电子商务课程论文

新疆农业大学

《电子商务》课程论文

题 目: 姓 名: 学 院: 专 业:

班 级: 学 号: 成 绩： 指导教师:

浅谈电子商务安全技术 王盟盟 管 理 学 院 人力资源管理 人资102班 103937240 王华丽 职称: 副教授 2012年12月17日

浅谈电子商务安全技术

作者：王盟盟

摘要：随着Internet、计算机技术和网络技术的发展，出现了一种新兴的商务模式——电子商务。电子商务作为新时代人们进行商务活动的一种新模式，它随着网络科技的不断发展而日渐普及，其中安全成为制约其成长、发展的关键。本文简单介绍了电子商务的现状、安全隐患存在的原因及分析了电子商务的安全需求，其中重点探讨电子商务的安全技术及相应的解决措施。 关键词：电子商务；信息安全；安全需求；加密技术；安全协议

电子商务是指以现代网络技术为依托进行的一切有偿商业活动和非盈利业务交往或服务活动的总和。它是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新商务模式。随着电子商务的应用和推广，安全问题逐渐成为制约电子商务发展的瓶颈，构筑安全的电子商务信息环境，就显得愈来愈重要。 1 电子商务的现状

1.1 从整体来说，电子商务信息安全在还没有形成一个完整的体系。

电子商务安全技术的强度普遍不够，没能形成一套完整的安全体系。在电子商务的交易过程中，还存在很多漏洞和不足，电子商务的环境也不是很理想。 1.2 从实际来说，电子商务安全形势依旧很严峻。

电子商务飞速发展的今天，安全问题显得愈发显著，电子商务活动过程中存在诸多问题，如身份的冒充，信息的盗取、篡改，系统漏洞，电脑病毒等。 2 电子商务安全隐患存在的原因 2.1.互联网的开发性和开放性。

电子商务是建立在互联网技术平台上的一种商务活动，它继承了互联网的开

发性、开放性和共享性，让用户能在不同的地域进行沟通交流，形成一个全球化的整体。但这也同时为泄露信息、非法散布信息提供了一个平台，造成各种账号、

1

密码、电话等信息的泄漏。 2.2.互联网上的Cookie技术的应用

很多网站为了便于用户在登录后浏览时能够快速对网站进行浏览，都需用户在第一次使用时进行注册，用户信息都被自动记录到该网站上，在进行登录时网站会自动识别信息。Cookie技术能够收集用户的信息，当非法人员获得这些信息，就很容易将这些信息泄露出去或转为其他使用，给用户个人带来不安全隐患。 2.3.电子商务产品不过硬。

有些电子商务网站在追求利益的同时忽略了电子商务产品的质量，有些产品的安全措施是“移植”其他安全技术，也有些厂商对电子商务安全技术缺乏了解，使得产品安全技术不过硬，在电子商务活动中造成信息的不安全。 2.4.电子商务管理体制不健全

政府在一定程度上建立并制定了有关电子商务立法和政策，为电子商务发展提供了基本的法律保障，但仍在某些敌法还不成熟，仍需进一步完善。 3 信息安全需求

3.1 信息有效性、真实性

电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。 3.2 信息机密性、匿名性

电子商务作为贸易的一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体，商业防泄密是电子商务全面推广应用的重要保障。 3.3 信息完整性

电子商务简化了贸易过程，减少了人为的干预，同时也带来维护商业信息的

2

完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。 3.4 信息可靠性、不可抵赖性和可鉴别性

可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有效的责任机制，防止实体否认其行为；可鉴别性要求即是能控制使用资源的人或实体的使用方式。 3.5 系统的可靠性

电子商务系统是计算机系统，其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。 4. 电子商务的安全技术 4.1 数据加密技术

为了防止数据在传输过程中被窃取，必须对数据进行加密。数据的加密是利用某种算法对数据进行加密的过程，用来加密的算法是一个数学函数，通常情况下是两个相关的函数，一个用于加密，另一个用于解密，在加密过程中使用的参数称为密钥。现在，一些专用密钥加密算法和公开密钥加密算法可用来确保电子商务的保密性、完整性、真实性和不可否认性。

常用的加密技术有：替代加密法、换位加密法和数据加密标准DES。 4.2鉴别技术

为了保证电子商务的安全，除了需要数据加密，还要有对网络上个人行为鉴别的手段，防止假冒和否认行为的发生，因此许多鉴别技术就应运而生。 4.2.1 非对称密钥加密体制

非对称密钥加密体制是指对信息加密和解密时所使用的密钥是不同的，一个是公开的，另一个是私有的，这两个密钥组成一对密钥对。若用其中一个密钥对数据加密，则只有用另一个密钥才能解密。 4.2.2 数字摘要(digital digest)

这一加密方法亦称安全Hash 编码法，该编码法采用单向Hash 函数将需加密的明文“ 摘要”成一串128bit 的密文，这一串密文亦称为数字指纹(Finger

3

Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“ 真身”的“ 指纹”了。

4.2.3数字签名(digital signature)

数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。 4.2.4 数字信封

数字信封是采用双重加密技术，保证只有规定的接收者才能阅读信中的内容，它是先采用对称加密技术对信息进行加密，又将对称加密密钥用接收者的公开密钥进行加密，并将这两者一起发送给接收者。接收者先用私有密钥解密，打开数字信封，得到对称密钥，然后在用对称密钥解开收到的信息。 4.2.5 数字时间戳(digital time-stamp)

交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：①需加时间戳的文件的摘要(digest)②DTS收到文件的日期和时间③DTS的数字签名。

4.2.6数字证书(digital certificate)

数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字凭证有三种类型：①个人凭证(personal digital ID)②企业（服务器）凭证(server ID)③软件（开发者）凭证(developer ID) 4.3 防火墙技术

防火墙技术，顾名思义就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（security gateway），从而保护内

部网免受非法用户的入侵。实现防火墙的主要技术有包过滤（packet filter）技术、应

4

用网关（application gateway）和代理服务（proxy server）技术。

4.4 安全协议

为了保证在线支付、在线交易的安全，IT业与金融商贸行业的研究人员共同化开发和推出了一些安全协议，以确保电子商务的顺利发展。 4.4.1 安全超文本传输协议（S-HTTP）

安全超文本传输协议（Secure HTTP）是在因特网上广泛使用的超文本传输协议HTTP上增加了安全特性的一种协议，基于SSL技术，并利用密钥对对传输的数据进行加密，保障在Web站点间的交易安全。 4.4.2安全多功能因特网电子邮件扩充协议（S-MIME）

MIME是因特网上的一种电子邮件扩充标准格式，但并未提供任何的安全服务功能，而S-MIME是在MIME的多功能因特网电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。 4.4.3 安全套接层协议SSL

该协议向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器之间的安全连接技术，主要解决TCP/IP协议不能确认用户身份的问题，在Socket上使用非对称的加密技术，以保证网络通信服务的安全性。 4.4.4 安全交易技术（STT）协议

安全交易技术协议是由Microsoft公司提出的，STT将认证和解密在浏览器中分离开，

用以提高安全控制能力。

4.4.5 安全电子交易（SET）协议

安全电子交易协议是采用公钥密码体制（PKI）和X.509电子证书标准，通过相应软件、数字证书、数字签名和加密技术，将交易信息进行编码和加密，用于维护在开放网络上的个人信息的隐蔽性，以确保交易安全。 4.4.6 公开密钥体制（public key infrastructure ,PKI）

PKI能够确保通信的双方的身份认证、发送的信息不可否认性和数据的完整性的安全性问题，它主要由认证机构（CA）、证书库、证书管理系统、密钥生成管理系统、个人安全环境（PSE）等部分组成。 4.4.7 X.509标准

X.509标准是基于PKI技术的，它将个人身份同一对密钥联系在一起，X.509数字证书格式预留了扩展，用户可根据各自的需要进行扩展。

5

4.5 认证中心

认证中心（certificate authority ,CA）是在电子交易中担任网上安全交易认证服务、签发数字证书、确认用户身份等工作并具有权威性和公正性的第三方服务机构，它是保证电子商务交易安全进行的不可或缺的环节。

认证中心是为了电子商务的安全而设立的，认证中心本身的安全就成为了电子商务安全的核心，因此必须采取一些防范措施：认真核实数字证书申请确实是由相应的申请者发送过来的，防止冒名顶替；认证中心必须防范私人密钥落入他人之手；对认证人员的防范，防止他们被人收买等。 5.解决方式

5.1 加强教育和宣传，提高公众电子商务的安全意识。

信息安全意识是指人们在上网的过程中，对信息安全重要性的认识水平，发现影响网络安全行为的敏锐性，维护网络安全的主动性，强化上网人员的信息安全意识。

5. 2采用多重网络技术，保证网络信息安全。

利用多种电子商务安全技术，对网络信息加以保护。 5.3 .运用密码技术，强化通信安全。

加强身份认证、数据完整性、数据加密、数字签名等工作，确保信息的真实性、完整性、机密性和不可否认性保证，并在数据传输中采用加密传输，以防止攻击者窃密。

5. 4加强技术管理，努力做到使用安全。

一是在内部严格控制企业内部人员对网络共享资源的随意使用；二是对涉及秘密信息的用户主机，使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务，同时封闭一些不用的端口，并对服务器中的数据库进行安全备份；三是切实保证媒体安全，其中包括媒体数据的安全及媒体本身的安全。 5. 5健全法律，严格执法。

加快立法进程，有效地保护公众的合法权益，使电子商务安全管理走上法制化轨道。

结束语：电子商务已成为较为重要的商务活动模式，随着电子商务的不断发展，全球的经济、政治和法律都会受到影响，而其安全问题也随之变得更加重要和突

6

出。为保证电子商务的安全，新的安全技术将不断出现，而为了对电子商务攻击成功，攻击者也将采取新的攻击手段、技术和方法，两者之间的斗争将长期存在下去,电子商务将在斗争中不断发展。本文从电子商务安全出发论述了电子商务面临的安全威胁，以及其安全技术及解决途径进行了研究与分析，为实施电子商务安全提供参考和借鉴。任何技术手段都不能保证百分之百的安全，但安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进电子商务快速健康发展。

7

参考文献：

[1] 黄京华，《电子商务教程》，清华大学出版社，2006 年

[2] 丁学君，电子商务中的信息安全问题及其对策[ J ]，计算机安全， 2009, (2) [3] 吴德佩,赵丹. 电子商务的安全问题及技术手段[ J ]. 光盘技术, 2007, (05). [4] 祝晓光.网络安全设备与技术.[M].北京:清华大学出版社.2004.11.

[5] 周化祥、李智伟.网络及电子商务安全.[M].北京：中国电力出版社，2004.7 [6] 濮小金.电子商务安全的政策选择[J].全国商情经济理论研究，2009，（3） [7] 王建宏.电子商务安全技术研究[J].中国商贸，2009，（15） [8] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005 [9] 肖和阳,卢嫣.电子商务安全技术[M].长沙:国防科技大学出版社,2005 [10] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005 [11] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005

[12] 余绍军,彭银香. 电子商务安全与数据加密技术浅析[ J ].中国管理信息化(综合版) , 2007, (04)

[13]兰宜生，电子商务基础教程（第二版） 北京：清华大学出版社，2007.2

8