浅议计算机安全技术在电子商务中的应用.doc

摘 要本论文主要阐述了随着信息技术的发展,电子商务成为当今商务活动的新模式。许多企业开始通过英特网进行商务活动,电子商务也具有了广阔的发展前景,但是与此同时,其安全问题也变得日益突出。目前,网上金融服务面临着和很多普通互联网服务相同的安全威胁,如信息、解密、账号、拒绝服务等。利用一些思维方法和相关技术建立一个安全的电子商务使用环境,对商务传输和交换的信息提供必要的加密和防护,已经成为用户和业界关注的问题。目前，电子商务凭借能够降低成本，简化流通过程，增加贸易等特点赢得了众多消费者和厂商的喜爱，电子商务也在以迅猛的发展态势改变着物流、商品流、信息流的传递过程。但是基于计算机网络的信息传递技术，以虚拟货币为主要流通货币，以计算机网络硬件软件为基础的载体时刻会有安全的隐患。其中像身份信息、交易信息、支付信息以及会计信息等一旦泄露或者被其他人截取，就会对用户产生巨大的经济损失，所以对于这种以虚拟平台作为交易场所的商务活动就越来越需要“计算机安全技术”的支持了。关键词 电子商务 安全技术 计算机网络AbstractThis thesis mainly expounded along with the development of information technology, e-commerce become the new mode of business activities today. Many enterprises start business activities through the Internet, e-commerce also has the broad prospects for development, but at the same time, its security problem is also becoming increasingly prominent. At present, online financial services faces and many of the same security threat, ordinary Internet services such as information, decryption, accounts, denial of service, etc. Some thinking method and related technology is used to establish a secure electronic commerce using the environment, to business transmission and exchange of information with necessary encryption and protection, has become a user and concern in the industry.At present, e-commerce relies on to reduce cost, simplify the circulation process, increase trade and other characteristics, won the love of a number of consumers and manufacturers, e-commerce is in rapid development momentum changing logistics, commodity flow, the flow of information transfer process. But based on computer network communication technology, virtual currency as the main currency, is based on computer network hardware and software of the carrier time there will be a safe hidden trouble. As the identity information, transaction information, once the payment information and accounting information disclosed or others to intercept, will produce the huge economic loss to the customer, so for the virtual platform as a business of trading places, more need the support of computer security technology.KEY WORD The electronic commerce Security technology The computer network目 录绪 言4第一章 电子商务交易中存在的安全要素及安全隐患5第一节 电子商务交易中存在的安全隐患5第二节 电子商务信息的安全要素5第二章 计算机安全技术在电子商务中的应用7第一节 身份鉴别技术7第二节 常用的身份认证技术7第三章 数据加密技术使用9第一节 加密技术9第二节 数字签名技术9第四章 防火墙技术11第一节 防火墙是什么11第二节 防火墙的分类11第三节 防火墙的发展历程11第四节 防火墙的工作原理11第五节 防火墙应该具备的特性12第六节 防火墙主要技术12第七节 常见攻击方式以及应对策略12第八节 防火墙的反战前景以及技术方向13结束语14谢 辞15参考文献16电子科技大学毕业论文（设计） 浅议计算机安全技术在电子商务中的应用绪 言中国最近十年的外贸迅猛增长，帮助了阿里巴巴等一批国际商贸网站的崛起，但接下来几年，随着房地产及石油行业等利润的上涨，外贸行业的利润下降，更多的行业资本将流入到国内商贸及服务行业去，这也会对本地搜索与分类广告带来一定的发展契机，无论阿里巴巴、易趣或淘宝，这些的先行者只是集中精力在商贸行业，而服务行业相对是一片空白，如果本地搜索与分类广告发展得好，也许其中会产生另一位电子商务的巨头，毕竟随着中国经济的发展，服务行业占国民经济中的比重将越来越重要。 另外，在商贸行业，随着中国东南沿海出口型加工厂的经营成本越来越高，比如缺水缺电，工人工资增加等多因素，更多的企业老板开始考虑将加工厂西迁到中西部，这也在一定程度上促进了国内，特别是中西部的本地商业发展。事实上，在目前的网络商贸领域里面，也已经出现了众多区域性经济的现象，比如中国地区，C2C领域的地区商盟，浙江中化网准备集中精力做浙江的B2C，例如杭州的19楼区一样的区域性论坛。在国际上，Google与Yahoo等多家搜索引擎也开始推广地区搜索。电子商务的定义即是以电子及电子技术为手段，以商务为核心，把原来传统的销售、购物渠道移到互联网上来，打破国家与地区有形无形的壁垒，使生产企业达到全球化，网络化，无形化，个性化、一体化。它以计算机网络为基础，以电子化方式为手段，以商务活动为主体，在法律许可范围内所进行的商务活动过程。 电子商务的主要功能为：广告宣传、咨询洽谈、网上订购、网上支付、电子账户、服务传递、意见征询及交易管理。根据面向对象的不同，可分为七类商务模式：B2B、B2C、C2C、B2M、M2C、B2A（即B2G）、C2A（即C2G）。电子商务将传统的商务流程电子化、数字化，以电子流代替实物流，突破了时间和空间的限制，从而大大提高了效率，它所具有的开放性和全球性的特点，为企业创造了更多的贸易机会。同时，电子商务重新定义了传统的流通模式，减少了中间环节，使得生产者和消费者的直接交易成为可能，从而在一定程度上改变了整个社会经济运行的方式。另一方面，电子商务因受网络局限性的影响，在搜索功能、交易安全、交易管理等问题上仍存在较大缺陷。中国电子商务始于1997年，如今发展迅速，2008年6月底，网络购物用户人数达到6329万，半年内增加36.4%。截至2008年12月，电子商务类站点的总体用户覆盖已经从9000万户提升至9800万户。随着淘宝、阿里巴巴等电子商务门户网站的流行，人们在日常生活中对电子商务的依赖日益增加，由此可见，计算机网络对电子商务未来的发展和运行前景是非常必要的。随着网购市场的快速发展，人们对电子商务有了新的认识，电子商务也具备了广泛深远的意义，电子商务的用途与安全是电子商务发展的一个基础性和关键性问题。文章针对电子商务的风险与安全问题，浅谈了电子商务发展存在的风险进而提出了较有针对性的电子商务风险防范与控制对策，以帮助各类管理者全面了解、掌握电子商务的风险。第一章 电子商务交易中存在的安全要素及安全隐患第一节 电子商务交易中存在的安全隐患一、窃取信息隐患 一些攻击者会通过在公共电话网、电磁辐射范围内或者能够连接到互联网的区域设计接收的装置，再通过一定技术手段就能够窃取用户的机密信息；有些攻击者也会根据用户的使用习惯，对获取的大量进行分析，从信息的长度、流向以及通信双方的信息的参数进行比对分析就可能获取用户银行密码以及支付密码等会对其产生利益的信息。信息的被窃取会对用户的正常生活，社会信誉等造成巨大的影响，最终可能不仅仅造成经济上的损失，严重时还会导致精神上的，社会名誉上的重大损失。二、 篡改用户信息 攻击者在获取了用户的有用信息后可能会将获取到的信息经过各种技术或者方法进行修改，然后发往不同的目的地。这样过后，接受方收到的信息可能是被已经改变次序的、缺少部分关键内容的或者添加了一些内容的错误信息，这就导致了获取方会因为这种错误的信息做出错误的决策，因此造成很大的损失。三、 假冒信息 信息的发布者如果事后否认某条信息的发送或者对内容进行否认，接受者事后否认接受到信息等都会假冒信息可能会出现的问题。在电子商务的交易过程中，如果入侵者借获取的信息提出了订单，之后账号的原拥有着不承认下过订单，这就是导致交易的失败。假冒信息还可能会让入侵者获取一些应用程序的使用权，最后改变网络的交易规则，产生严重的后果。第二节 电子商务信息的安全要素一、机密性 机密性是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。传统的贸易大多是通过书信或者可靠的通信渠道来发送商业文档,虽然速度和效率都不高,但却能达到保密的目的,而电子商务是在开放的网络环境下进行的,因此要预防非法的信息存取和信息在传输过程中被非法窃取,所以保证电子商务信息的机密性就变得非常重要。二、完整性 数据完整性是信息安全的三个基本要点之一，指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。电子商务极大地简化了传统贸易过程,减少了认为的干预,同时也伴随着贸易各方商业信息的完整、同一问题。由于数据录入时合法或非法的行为,可能导致贸易数据的差异。信息在传输的过程中也有可能造成信息的丢失、重复或次序的差异。因此要预防对信息的各种非法操作,保证数据在传送的过程中完整性。三、认证性 网络环境是一个虚拟的环境,而电子商务就是在这个虚拟平台上进行的,贸易双方一般都不见面,需要一些技术和策略来进行身份确认。当个人或实体声称身份时,电子商务服务需要提供一种方式来进行身份认证。 四、有效性 在交易的过程中贸易双方需要确定很多信息,电子商务以电子形式取代了纸张来确认这此信息,保证谢谢信息的有效性是开展电子商务的前提。因此要对网络故障、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻和地点是有效的。 第二章 计算机安全技术在电子商务中的应用 第一节 身份鉴别技术 所谓的身份鉴别技术是指对识别对象进行验证，比较对对象的单个或者多个参数的有效性和真实性，然后检查识别对对象是否符合某种要求。用这种方式来避免攻击者的攻击和假冒。目前，比较成熟的身份鉴别技术主要是通过人的某些生理特征来进行辨别，诸如：指纹、虹膜等，这种认证方式的安全性非常高，但是当前这种技术的实现存在部分技术的困难、成本较高，导致了这种身份鉴别技术无法大范围的推广使用。目前，运用广泛的特征参数一般是标识符、密钥、随机数等，经过基于证书的加密算法，这种身份鉴别技术的实现是基于网络的信任体系和信息验证体系才能实现的。因此出现了用于在电子商务交易活动进行身份证明的具有唯一性的数字证书。数字证书是由证书中心统一发行的，证书中心采用自己的私钥对所有注册用户的信息以及属性、颁发证书的属性以及用户的公钥等进行数字签名，保证用户证书的唯一性，然后对其所颁发的证书进行管理和维护，提供包括签发、更新、维护以及归档等证书服务，保证用户的证书能够使用并且有能够证明其身份。第二节 常用的身份认证技术除此之外，计算机网路系统身份认证也有多种形式，通过多种身份认证保证信息的安全性常用的身份认证技术主要有以下几种：（1）用户名/密码方式：用户名/密码是最简单也是最常用的身份认证方法，是基于“whatyouknow”的验证手段。每个用户的密码是由用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，从安全性上讲，用户名/密码方式一种是极不安全的身份认证方式。（2）智能卡认证：智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是基于“whatyouhave”的手段，通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。（3）动态口令：动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。动态口令技术采用一次一密的方法，有效保证了用户身份的安全性。但是如果客户端与服务器端的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题。并且用户每次登录时需要通过键盘输入一长串无规律的密码，一旦输错就要重新操作，使用起来非常不方便。（4）USBKey认证：基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式：一是基于冲击/响应的认证模式，二是基于PKI体系的认证模式。（5）生物特征认证：基于生物特征的身份识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术，是基于“whatyouare”的身份认证手段，。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类，身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等第三章 数据加密技术使用第一节 加密技术为了保障电子商务交易的安全进行，目前最主要的措施是加密技术。目前，加密技术主要有两种形式，一种对称加密技术，另一种是非对称加密技术。对称加密技术是指任何用户如若想知道文件的内容，首先要拥有一个双方都特有的密钥，密钥和密码的解法及算法是保密，分别保存所需要用到的密钥，运用对称加密进行文件的传输要经过三个步骤：首先，通信双发要面对面或者采用绝对安全的方式，共同协商密钥的形式，在商讨同意之后，交由双发进行保管，然后发送方在发送需加密的文件先要用自己的密钥对文件进行加密，然后通过网络将加密后的文件也就是密文传输给接受方，最后接受方在接受到密文之后，先用密钥进行解密，然后得到可供阅读的明文，一般情况下，信息传递双方的密钥都是相同的，也就是说这种方式适合于双方知道对方信息，并且有相互通信的要求才能具有的效果，而非对称密钥的使用则与对称密钥的方式有些许差别，信息的发送发所有的密钥与信息的获取方所有的密钥是不同的，发送方的又称为公共密钥，也就是公开的、都可以使用的密钥，但是接收方的密钥只能单独使用，保密性高，这种方式适合多数人向少数人传递信息的文件传输形式。现在许多机构在运用加密技术时都运用到了pki的缩写，这中加密技术与非对称加密技术相似，公开密钥体系是用加密/签名技术共同构成的，从而更好地解决了信息传输的加密工作。 CA(GlobalSign)是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书(含公钥)，用以验证它所签发的证书。如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。第二节 数字签名技术数字签名技术是在进行文件传输时，在文件的单元上增加一些数据，或者是将某些数据单元进行密码的变换。增加的数据或者对数据单元进行的变换使得文件的接受者能够了解到数据文件的来源以及整体了解文件是否完整或者数据是否被人（例如文件的接受者）伪造。数字签名技术是对电子形式消息进行认证的一种有效方法，在一个通信网络中，一个签名是唯一。数字签名是通过以公钥密码体制与私钥体制共同构成的密码体制，由于技术原因，当前最主要的数字签名方法是公钥密码体制。其中包括了以rsa、fiat-shamir以及schnorr为代表的普通签名和以代理签名、门限签名、具有消息恢复功能的签名为代表的特殊签名等。数字签名技术能够帮助进行身份的认证，保证文件的完整性、不可否认性等方面有着重要的应用。同时在密文的背景下，还可以避免信息的发送对信息进行抵赖，抵赖是指不承认自己是信息的发送者，也不承认与做过与消息有关的行为，比如称信息的发送者是第三方。数字签名技术保证了发送信息过后的可能出现的抵赖行为，因为接收到的一方能够将签名作为证据作为信息的来源。第四章 防火墙技术第一节 防火墙是什么防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。第二节 防火墙的分类防火墙又大致分为硬件防火墙和软件防火墙:硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口，还具有各种安全功能，价格比较高，企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件，比如天网防火墙、金山网镖、蓝盾防火墙等等。第三节 防火墙的发展历程目前的防火墙无论从技术上还是产品发展历程上，都经历了五个发展阶段。第一代防火墙技术几乎与路由器同时出现，采用了包过滤技术。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。第四代防火墙是1992年，USC信息科学院的BobBraden开发出了基于动态包过滤技术的第四代防火墙，后来演变为目前所说的状态监视技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙是1998年，NAI公司推出了一种自适应代理技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义。高级应用代理的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。包过滤是对IP包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此，它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来描述，就是防火墙的安全性与效率成反比。第四节 防火墙的工作原理天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。第五节 防火墙应该具备的特性当前的防火墙需要具备如下的技术、功能、特性，才可以成为企业用户欢迎的防火墙产品：1、安全、成熟、国际领先的特性；2、具有专有的硬件平台和操作系统平台；3、采用高性能的全状态检测（Stateful Inspection）技术；4、具有优异的管理功能，提供优异的GUI管理界面；5、支持多种用户认证类型和多种认证机制；6、需要支持用户分组，并支持分组认证和授权；7、支持内容过滤；8、支持动态和静态地址翻译(NAT；9、支持高可用性，单台防火墙的故障不能影响系统的正常运行；10、支持本地管理和远程管理；11、支持日志管理和对日志的统计分析；12、实时告警功能，在不影响性能的情况下，支持较大数量的连接数；13、在保持足够的性能指标的前提下，能够提供尽量丰富的功能；14、可以划分很多不同安全级别的区域，相同安全级别可控制是否相互通讯；15、支持在线升级；16、支持虚拟防火墙及对虚拟防火墙的资源限制等功能；17、防火墙能够与入侵检测系统互动。第六节 防火墙主要技术先进的防火墙产品将网关与安全系统合二为一，具有以下技术：双端口或三端口的结构；透明的访问方式；灵活的代理系统；多级的过滤技术；网络地址转换技术（NAT）；Internet网关技术；安全服务器网络（SSN）；用户鉴别与加密；用户定制服务；审计和告警。第七节 常见攻击方式以及应对策略1.病毒策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。2.口令字对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。嗅探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。3.邮件来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在内网主机上采取相应阻止措施。4.IP地址黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网达到攻击的目的。策略：通过打开内核rp_filter功能，丢弃所有来自网络外部但却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。第八节 防火墙的反战前景以及技术方向伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择： (1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。 (2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。 (3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。 (4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。 (5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 (6)安全管理工具不断完善，特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。 另外值得一提的是，伴随着防火墙技术的不断发展，人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、VPN的功能与CA