电子商务在线安全.docx

1、电子商务在线安全题目：电子商务在线安全 摘 要 随着电子技术和互联网技术的日臻成熟及广泛普及，电子商务正逐步取代传统商务。电子商务作为一个新兴的事物，给人类社会带来深刻变革。作为一种更为快捷、准确的交易方式，电子商务在世界范围内得到全面开展并逐渐渗透到人们生活的各个领域。要使电子商务进一步的发展和广泛的应用，首先要解决电子商务的安全问题。本文首先对电子商务的的基本概念和开发电子商务的信息平台的所需的各种技术进行了阐述。其次介绍电子商务在线安全的相关知识，一些常用安全策略，如何从技术上确保安全，阐述PKI的结构、组成和功能。另外电子支付是电子商务系统中的重要组成部分，而电子现金系统是电子支 付的

2、重要手段之一，本文主要讨论以下几个方 面： （1）对电子现金系统的研究成果进行了全面总结。 （2）分析电子现金支付系统的优缺点，指出了电子现金的公开问题。 （3）介绍了一个可验证的秘密共享方案，并利用秘密共享技术设计了一个 可分电子现金系统。 关 键 词：电子商务 在线安全 公钥基础 电子现金支付 AbstractAs electronic technology and Internet technology maturity and widespread popularity of e-commerce is gradually replacing traditional business.

3、 E-commerce as a new thing, to bring about profound change in human society. As a more efficient and accurate trading, e-commerce around the world have been fully carried out and gradually penetrate into all areas of peoples lives. For the further development of e-commerce and a wide range of applic

4、ations, we must first solve the security problems of electronic commerce. Firstly, the basic concept of electronic commerce and development of e-commerce information platform of technologies required are described. Secondly, on e-commerce knowledge of online safety, some common security policy, how

5、to technically ensure safety, set PKI structure, composition and function. Another e-commerce electronic payment is an important part of the system, and electronic cash system is an important means of electronic payment, this article focuses on the following aspects: (1) of the electronic cash syste

6、m, a comprehensive summary of research results. (2) the advantages and disadvantages of electronic cash payment system, that open issue electronic cash. (3) describes a verifiable secret sharing scheme, and to use secret sharing techniques designed a divisible e-cash system. Key Words：Electronic Com

7、merce Online security Public-key basis PKI electronic cash payment目 录一 电子商务概况 11.1电子商务的基本概念 11.2电子商务的层次与实现步骤 2 1.3电子商务应用系统的构成 .3 1.3.1 企业内部网与互联网连接.3 1.3.2 电子商务应用系统.3 1.4电子商务在线面临的安全威胁.3二 电子商务安全技术与体系概述 42.1网上交易的安全保护 42.2 站点及企业网保护 52.3 SSL安全套接层协议 6三 密码技术 63.1对称密码体制 73.1.1对称密钥系统的工作原理 73.1.2对称密钥的优缺点 73.2

8、非对称密钥系统的工作原理 7 3.2.1非对称密钥的优缺点 7 3.2.2对称密钥与非对称密钥的结合使用 7四 PKI的结构组成与功能电子现金系统 84.1PKI的结构组成与功能.94.1.1PKI概念部分应用举例 94.2PKI技术功能 94.3电子现金支付系统.104.3.1电子现金支付系统模式与流程.104.3.2电子现金支付方式存在的问题.12五 结束语 13参考文献 14致 谢 15电子商务在线安全引言电子商务(ElectronicCommerce)就是利用电子数据交换(EDI)、电子邮件(E-mail)、电子资金转账(EFT)及Internet的主要技术在个人间、企业间和国家间进行

9、无纸化的业务信息的交换。随着互联网的全面普及，基于互联网的电子商务也应运而生，成为一种全新的商务模式，被许多经济专家认为是新的经济增长点。利用计算机技术、网络通信技术和英特网实现商务活动的国际化、信息化和无纸化，已成为全球商务发展的趋势。尽管电子商务的发展势头非常惊人，但它在全球贸易额中只占极小的一部分。一个主要的障碍就是如何保证传输数据的安全和交易双方的身份确认。如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。一电子商务的基本概况Web正改变着我们生活的方方面面，但任何领域都没有象商务运作方式那样经历着一场快速而巨大的变革。众多商家正在准备或已经

10、走向转变到电子商务的道路，即使用Internet技术转变关键的商务过程。本章介绍电子商务理念及有关技术基础。一 电子商务概况1.1电子商务的基本概念电子商务，Electronic Commerce，通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。“中国网络营销网” Tinlu相关文章指出，电子商务涵盖的范围很广，一般可分为企业对企业(Business-to-Business)，或

11、企业对消费者(Business-to-Consumer)两种。另外还有消费者对消费者（Consumer-to-Consumer)这种大步增长的模式。随着国内Internet使用人口之增加，利用Internet进行网络购物并以银行卡付款的消费方式已渐流行，市场份额也在快速增长，电子商务网站也层出不穷。电子商务最常见之安全机制有SSL及SET两种。电子商务的定义：首先将电子商务划分为广义和狭义的电子商务。广义的电子商务是指使用各种电子工具从事商务或活动。这些工具包括从初级的电报、电话、广播、电视、 传真到计算机、计算机网络，到NII（国家信息基础结构信息高速公路）、GII（全球信息基础结构）和In

12、ternet等现代系统。而商务活动是从泛商品（实物与非实物，商品与非商品化的生产要素等等）的需求活动到泛商品的合理、合法的消费除去典型的生产过程后的所有活动。狭义电子商务定主要指利用 Internet从事商务或活动。电子商务是在技术、经济高度发达的现代社会里，掌握信息技术和商务规则的人，系统化地运用电子工具，高效率、低成本地从 事以商品交换为中心的各种活动的总称。这突出了电子商务的前提、中心、重点、目的和标准，指出它应达到的水平和效果，它是对电子商务更严格和体现时 代要求的定义，它从系统的观点出发，强调人在系统中的中心地位，将环境与人、人与工具、人与劳动对象有机地联系起来，用系统的目标、系统的

13、组成来定义电子 商务，从而使它具有生产力的性质。1.2电子商务的层次和实现步骤电子商务的成功构建首先需要两大基础，那就是社会政策法规，技术标准和网络安全协议。社会政策法规是维持整个电子商务活动有序规范地进行的首要条件。技术标准和网络安全协议变为电子商务提供了技术平台。因此说这两者是两大基础，缺一不可。 两大基础上的是五个层次，分别为网络基础设施，信息发布平台，信息传输平台，电商服务平台，最后就是我们直观看见的电商应用层次了。网络基础设施就是各种电信网络，光纤电缆，无线网络等。然后就是信息发布的载体，即HTML，java等网页编写语言。编写好信息就靠传输平台通过网络基础设施进行传输，如EDI，E

14、-mail等。电子商务与传统商务的不同在于其服务的电子化。因此需要安全、认证、电子支付等服务平台。最高一层就是与消费者贴近的应用层了，如网店，电子银行等。一个企业形成自己独有的电子商务步骤为：企业先使自己单位决策者、内部管理层及对外业务部门的计算机上网，开通M-mail的使用，熟悉Internet功能和环境，开展初级的互联网应用。注册域名、建立自己的企业网站，以达到宣传企业、产品和服务的目的，关在内部开展电子办公尝试及学习。建立自己企业内部局域网，通过拔号或专线连接Internet，扩大企业各部门的对内对外对互联网的应用。有计划的提高办公自动化水平和企业内部应用电子商务的能力，并使企业销售部门

15、各级人员掌握网上商务能力。建立企业自己的在线数据库系统，使企业自身的各个环节部门数据相通，相用，构成企业一个完善的内部操作平台。建立面向供应商，代理商，最终销售商及其它有关合作单位的在线管理系统，带领他们进入电子商务环境。不断完善企业内外的整体信息管理系统，使自己的企业有续、持久的处于电子商务环境之中。1.3电子商务应用系统的构成电子商务的应用系统由三部分组成：企业内部网、企业内部网与Internet的连接、电子商务应用系统 企业内部网 企业内部网（Intranet）由Web服务器、电子邮件服务器、数据库服务器以及电子商务服务器和客户端的PC机组成。 所有这些服务器和PC机都通过先进的网络设备

16、集线器(Hub)或交换器(Swith)连接在一起。 WEB服务器-最直接的功能是可以向企业内部提供一个WWW站点，借此可以完成企业内部日常的信息访问； 邮件服务器为企业内部提供电子邮件的发送和接收； 电子商务服务器和数据库服务器通过Web服务器和由自己对企业内部和外部提供电子商务处理服务； 协作服务器主要保障企业内部某项工作能协同工作，例如，在一个软件企业，企业内部的开发人员可以通过协作服务器共同开发一个软件； 帐户服务器提供企业内部网络访问者的身份验证，不同的身份对各种服务器的访问权限将不同； 客户端PC机上要安装有Internet浏览器，如Microsoft Internet Explor

17、er 或Netscape Navigator,借此访问Web服务器。 在企业内部网中，每种服务器的数量随企业的情况不同而不同。例如，如果企业内访问网络的用户比较多，可以放置一台企业Web服务器和几台部门级Web服务器，如果企业的电子商务种类比较多样性或者电子商务业务量比较重，可以放置几台电子商务服务器。 1.3.1企业内部网与互联网连接 为了实现企业与企业之间、企业与用户之间的连接，企业内部网（Intranet）必须与互联网进行连接，但连接后，会产生安全性问题。所以在企业内部网 （Intranet）与互联网连接时，必须采用一些安全措施或具有安全功能的设备，这就是所谓的防火墙。 为了进一步提高安

18、全性，企业往往还会在防火墙外建立独立的Web服务器和邮件服务器供企业外部访问用，同时在防火墙与企业内部网 （Intranet）之间，一般会有一台代理服务器，代理服务器的功能有两个，一是安全功能，即通过代理服务器，可以屏蔽企业内部网内服务器或PC，当一台PC访问互联网时，它先访问代理服务器，然后代理服务器再访问互联网；二是缓冲功能，代理服务器可以保存经常访问的互联网上的信息，当PC即访问互联网时，如果被访问的信息存放在代理服务器中，那么代理服务器将把信息直接发送到PC机上，省去对互联网的再一次访问，可以节省费用。1.3.2电子商务应用系统 在建立了完善的企业内部网 （Intranet）和实现了与

19、互联网之间的安全连接后，企业已经为建立一个好的电子商务系统打下良好基础，在这个基础上，在增加电子商务应用系统，就可以进行电子商务了。 一般来讲，电子商务应用系统主要以应用软件形式实现，它运行在已经建立的企业内部网 （Intranet）之上。 电子商务应用系统分为两部分，一部分是完成企业内部的业务处理和向企业外部用户提供服务，比如用户可以通过互联网查看产品目录、产品资料等；另一部分是安全的电子支付系统，电子支付系统使得用户可以通过互联网在网上购物、支付等，真正实现电子商务。1.4电子商务在线面临的安全威胁在线安全问题主要与数据信息有关，XX用户的访问、出售等行为可造成信息的泄露或非法篡改及利用。

20、称之为信息传输风险：信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失。从技术上看，网上交易的信息传输风险主要来自三方面:冒名偷窃。如黑客为了获取重要的商业秘密、资源和信息，常常采用源IP地址欺骗攻击。篡改数据。攻击者XX进入网络交易系统，使用非法手段，删除、修改、重发某些重要信息，破坏数据的完整性，损害他人的经济利益，或干扰对方的正确决策，造成网上交易的信息传输风险。信息丢失。交易信息的丢失，可能有三种情况：一是因为线路问题造成信息丢失；二是因为安全措施不当而丢失信息；三是在不同的操作平台上转换操作不当而丢失信息。信息传递过程中的破坏

21、。信息在网络上传递时，要经过多个环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。计算机病毒的侵袭、黑客非法侵入、线路窃听等很容易使重要数据在传递过程中泄露，威胁电子商务交易的安全。此外，各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。虚假信息。从买卖双方自身的角度观察，网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或以过期的信息冒充现在的信息，以骗取对方的钱款或货物。现在还没有很好的解决信息鉴别的办法。与传统交易不同的是，网

22、上交易的信息传输风险更为严重。传统交易中的信息传递和保存主要通过有形的单证进行的，信息接触面比较窄，容易受到保护和控制。即使在信息传递过程出现丢失、篡改等情况时，也可以通过留下的痕迹查找出现偏差原因。而在网上传递的信息，是在开放的网络上进行的，与信息的接触面比较多，而且信息被篡改时可以不留下痕迹，因此网上交易时面临的信息传输风险比传统交易更为严重。二 电子商务安全技术与体系概述2.1网上交易的安全保护互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈,这就对安全技术提出了更高的要求。安全技术是电子商务安全体系中的基本策略,是伴随着安全问题的诞生而出现的,安全技术

23、极大地从不同层次加强了计算机网络的整体安全性。要加强电子商务的安全,需要企业本身采取更为严格的管理措施,需要国家建立健全法律制度,更需要有科学的先进的安全技术。安全问题是电子商务发展的核心和关键问题,安全技术是解决安全问题保证电子商务健康有序发展的关键因素1(1) 加密技术是电子商务安全的一项基本技术,它是认证技术的基础。采用加密技术对信息进行加密,是最常见的安全手段。加密技术是一种主动的信息安全防范措施,其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。目前,在电子商务中,获得广泛应用的两种加密技术是对称密钥加密体制(私钥加密体制)和非对

24、称密钥加密体制(公钥加密体制)。它们的主要区别在于所使用的加密和解密的密码是否相同。(2)安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。数字摘要。数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹Finger Print),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。数字信封。数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密钥来加密信息,然后将此对称密钥用接收方的公开

25、密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。这种技术的安全性相当高。数字签名。把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名(Digital Signature)。数字时间戳。交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的,是防止文件被伪造和篡改的关键性内容。而在电子交易中,

26、同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS-Digital Time-stamp Service)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。2.2站点及企业网保护网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:网络冗余它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态

27、相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。系统隔离分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。访问控制对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的

28、设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的IP信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。身份鉴别是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重

29、通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在IP层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。安全监测采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而

30、识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案,使网管能检测和管理安全风险信息。2.3 SSL安全套接层协议SSL（Secure Socket Layer）安全套接层协议主要适用于点对点之间的信息传输，通过在浏览器软件（例如Internet Explorer、Netscape Navigator）和WWW服务器建立一条安全通道，从而实现在Internet中传输保密文件。SSL是一个用来保证安全传输文件的协议。它包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说，使用SS

31、L可保证信息的真实性、完整性和保密性。但由于SSL对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“表单签名（Form Signing）”的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。综上所述，在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用“SSL+表单签名”模式能够为电子商务提供较好的安全性保证。三 密码技术3.1 对称密钥系统的工作原理 对称加密技术就是采用对称加密机制的加密技术，在对称密钥系统中，发送者与接受者有相同的密钥，用相同的密钥对数据加密或者解密，解决了信息的保密性。过程如图3-1所示：