电子商务信息安全与安全技术 毕业论文.doc
《电子商务信息安全与安全技术 毕业论文.doc》由会员分享,可在线阅读,更多相关《电子商务信息安全与安全技术 毕业论文.doc(12页珍藏版)》请在三一文库上搜索。
1、论文题目:电子商务信息安全与安全技术摘 要:随着信息化和E化时代的到来,电子商务信息技术得到了迅速普及和广泛应用,与此同时,电子商务以其快捷、便利等优点越来越受到社会的关注、认可。电子商务的发展前景十分诱人,但商业信息的安全依然值得我们时刻注意。本文从实现电子商务安全性的角度出发,对电子商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商务的途径。在分析电子商务的主要安全要素的基础上,具体介绍采用目前电子商务领域的六种安全技术,来消除电子商务活动中的安全隐患。关键词:电子商务身份认证信息安全 安全电子交易 安全技术目 录1.引言.52电子商务的主要安全要素及商务活动安全性要求.52
2、.1信息的有效性、真实性.52.2信息的机密性.52.3信息完整性.52.4信息可靠性、不可抵赖性和可鉴别性.52.5电子商务活动安全性的要求.63. 电子商务运用的安全技术.63.1网络节点的安全.63.2通讯的安全.63.3应用程序的安全性.63.4用户的认证管理.74.电子商务的安全技术讨论.74.1电子商务的安全技术之一:数据加密技术.74.2电子商务的安全技术之二:身份认证技术.94.3电子商务的安全技术之三:第三方支付平台104.4电子商务的安全技术之四:防火墙技术114.5电子商务的安全技术之五:入侵检测技术.124.6电子商务的安全技术之六:虚拟专用网技术125.电子商务中的其
3、他安全问题126.对电子商务的发展的几点思考126.1提高服务的安全性.126.2加快网络基础设施建设和网络普及程度.126.3尽快完善有关网络安全等方面的法律126.4加快银行、税收以及邮政等物流环节的信息化建设步伐.136.5转变人们面对面交易的消费习惯.137.结论138.致谢.139.参考文献.14一、引言电子商务是指利用简单、快捷、低成本的电子通信方式,买卖双方不谋面地进行的各种商业和贸易活动。相对于传统商务模式来说,电子商务具有高效、便携、低成本等特点。伴随着通信技术与计算机网络技术的高速发展,电子商务的发展得到空前繁荣,受到全球范围的广泛关注,给人类生活带来了巨大的影响。电子商务
4、依赖的是Internet网络具有虚拟性、动态性、高度开放性等特点,使电子商务面临众多的威胁与安全隐患,严重制约其进一步发展和应用。因此,安全问题成为电子商务发展的主要瓶颈,电子商务信息安全也成为各界关注、研究的热点。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的。安全只是相对的,而不是绝对的。为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。二、电子商务的主要安全要素及商务活
5、动安全性要求目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于存在更方面的限制,因而建立交易双方的安全和信任关系比较困难。电子商务交易双方(销售者和消费者)都面临来自互联网的安全威胁和不信任危机。2.1信息的有效性、真实性电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作
6、为贸易的一种新兴的商业形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和经济发展。2.2信息机密性电子商务作为新兴贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。2.3信息完整性电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会
7、导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确、可靠。2.4信息可靠性、不可抵赖性和可鉴别性可靠性要求即是能保证合法用户对信息、资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可
8、靠的标识。在1nternet上每个人都是匿名的。原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。2.5电子商务活动安全性的要求一是服务的有效性要求,电子商务系统应能防止服务失败情况的发生,预防由于网络故障和病毒发作等因素产生的系统停止服务等情况,保证交易数据能准确快速的传送。二是交易信息的保密性要求,电子商务系统应对用户所传送的信息进行有效的加密,防止因信息被截取破译,同时要防止信息被越权访问。三是数据完整性要求,数字完整性是指在数据处理过程中,原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正,交易的文件是不可被修改的,否则必然会损害一方的商业利益。四是身份认证的要求
9、,电子商务系统应提供安全有效的身份认证机制,确保交易双方的信息都是合法有效的,以免发生交易纠纷时提供法律依据。三. 电子商务运用的安全技术3.1网络节点的安全防火墙是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的应用可以有效的减少黑客的入侵及攻击,为电子商务的施展提供一个相对更安全的平台。防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许或拒绝等正确的判断。通过灵活有效地运用这些功能,制定正确的安全策略,将能提供一个安全、高效的网络系统。应给予特别注意的是,防火墙不仅仅是路由器、堡垒主机,或任何提供网络安全的设备的
10、组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源,这种安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。3.2通讯的安全在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。目前采用的是浏览器缺省的40位加密强度,也可以考虑将加密强度增加到128位。为在浏览器和服务器之间建立安全机制,SSL首先要求服务器向浏览器出示它的证书,证书包括一个公钥,由
11、一家可信证书授权机构签发。浏览器要验征服务器证书的正确性,必须事先安装签发机构提供的基础公共密钥。验证个人证书是为了验证来访者的合法身份,而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。验证此证书是合法的服务器证书通过后利用该证书对称加密算法与服务器协商一个对称算法及密钥,然后用此对称算法加密传输的明文。此时浏览器也会出进入安全状态的提示。3.3应用程序的安全性即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。程序错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最
12、小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制,程序员认为这个缺省的许可是正确的。这些缺点都被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度,假的输入字符串常常是可执行的命令,特权程序可以执行指令。3.4用户的认证管理一是身份认证,电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身
13、份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。二是CA证书,要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心发行。认证中心就是承担网上安全交易认证服务,能签发数字证书,并能确认户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。
14、验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书。三是SSL协议,SSL通过数字签名和数字证书来实行身份验证,数字证书是从认证机构获得的,通常包含有唯一标识证书所有者的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议以保证应用层数据传输的安全性。四.电子商务的安全技术讨论4.1电子
15、商务的安全技术之一:数据加密技术加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用kerberos服务的telnet、nfs、rlogion等,以及用作电子邮件加密的pem(privacy en
16、hanced mail)和pgp(pretty good privacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。4.1.1常用的加密技术分类:对称密钥密码算法:对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自1977年美国颁布des密码算法作为美国数据加密标准以来,对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,只有二者配合使用才能完
17、成加密和解密的全过程。由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。4.1.2电子商务领域常用的加密技术数字摘要(digital digest)这
18、一加密方法亦称安全Hash编码法,由Ron Rivest所设计。该编码法采用单向Hash 函数将需加密的明文摘要成一串128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是真身的指纹了。数字签名(digital signature)数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字
19、时间戳(digital time-stamp)交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp) 是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名数字证书(digital certificate,digital ID)数字
20、证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字凭证有三种类型:个人凭证(Personal Digital ID) 企业(服务器)凭证(Server ID)软件(开发者)凭证(Developer ID) 上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证。4.1.3与电子商务安全有关的协议技术讨论:SSL协议(Secure Sockets Layer)安全套接层协议-面向连接的协议,当初不是为电子商务而设计。SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务信息安全与安全技术 毕业论文 电子 商务信息 安全 安全技术
链接地址:https://www.31doc.com/p-3961934.html