电子商务交易中的安全问题研究.doc

学科代码：110102 学 号：080403010047贵 州 师 范 大 学（本 科）毕 业 论 文题 目：电子商务交易中的安全问题研究学 院：经济与管理学院专 业：信息管理与信息系统年 级：2008级姓 名：谢发江 指导教师：崔新华（讲师）完成时间：20011年11月25日电子商务交易中的安全问题研究谢发江摘要：随着互联网迅猛发展，计算机技术日益成熟。网上交易渐渐成为新的商务模式，电子商务应运而生。基于网络资源的电子商务交易已被大众所接受。人们在享受电子商务交易带来的便捷的同时，也意识到安全问题的存在。下面首先对电子商务交易中的安全需求进行阐述，然后着重提出电子商务交易中存在的几个安全问题及这些安全问题产生的原因，最后针对安全问题提出解决方案。 关键词：电子商务交易；安全问题；安全需求；交易标准；安全技术Abstract:with the rapid development of Internet,computer technique becomes more mature,online transaction gradually turns to be the new business model, emerging in reponse to the time.the e-business ,which is based on internet resource,is accepted by most people.while enjoying the convenience bring by it ,people should come to be aware of the safety issue.Then i want to make a statement about the exist safety problems when doing the e -business,after that i would like to stress the safety problems of existing in the e-trade as well as the reasons,and the last would like to come up with a solution to deal with the problem.Key words:Electronic Commerce; Security; Security Demand;Trading Standards;Security technology0. 引言所谓电子商务，广义上的概念是指利用信息技术把商务活动的各方（如企业、合作者、消费者、政府）连接起来，进行各种商务活动。狭义的概念单指电子交易，即在网上实现商品的订货、展示、促销、查询、销售到最后的转账、清算、服务的全过程。在宏观上，电子商务不仅涉及电子技术本身，更涉及到贸易、金融、安全等其他方面。在微观上，是指各种有商业活动能力的实体，通过网络和先进数字传媒技术进行商业交易。电子商务交易中的安全问题就是指在进行电子商务交易活动过程中涉及到的一系列和安全有关的问题。在这方面已经有很多的研究了，但是在一些关键的安全问题方面仍然没有得到解决。由于电子商务具有低成本、高效益、全球性等特点使其很快遍及全世界。电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。然而,目前世界通过电子商务方式完成的贸易额只占同期全球贸易额中的小部分。究其原因,电子商务是一个复杂的系统工程,它的应用还依靠相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全问题是制约电子商务发展的最为关键问题。在电子商务交易中，消费者和销售者都面临着安全问题，安全问题制约着电子商务交易的发展，阻碍人们安全交易的进行。只有不断的探索研究，减少安全问题，杜绝安全隐患，电子商务才能更快更好地发展。下面主要从提出问题、分析问题、解决问题着手。对电子商务交易中的问题进行探讨。1. 电子商务交易的安全需求 安全问题是制约电子商务发展的重要因素之一，安全是电子商务交易的基础保证。在电子商务交易中，安全需求主要有以下几个方面：1.1. 交易的认证性交易的认证性是指在交易开始之前，买卖双方能够认证对方的身份。即可以识别对方的身份是否是真实的。1.2. 交易的保密性 所谓交易的保密性是指信息不泄露给非授权用户、实体或过程，或供其利用的特性。在交易的保密性中，还包括了一点就是交易的不可跟踪性。1.3. 交易的完整性交易的完整性指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改，不被破坏的和丢失的特性。1.4. 交易的不可否认性交易的不可否认性也称交易的不可抵赖性，主要是指交易双方不能否认彼此之间所进行的交易。11.5. 其他安全需求其他安全需求还有可访问性（即保证系统、数据和服务能由合法人员访问）；防御性（即能够阻挡不希望的信息或黑客的入侵）；合法性（即保证各方的业务符合可使用的法律和法规）。2. 电子商务交易中存在的安全问题及原因2.1. 电子商务交易中存在的问题在电子商务交易中的安全问题主要包括了传输问题、信用问题和管理问题。2.1.1. 传输问题所谓信息传输问题就是指在进行网上交易的时候，因传输的信息失真或者信息被非法的进行窃取、篡改和丢失，从而导致网上交易的一些不必要的损失。从技术上看，网上交易的信息传输问题主要包括以下几个方面：冒名偷窃：为了获取重要的商业秘密、资源和信息，竞争对手或者“黑客”常常采用源IP地址来进行欺骗攻击；篡改数据：攻击者利用非法手段掌握了信息的格式和规律后，通过各种手段方法，将网络上传输的信息数据进行删除、修改、重发等，破坏数据的完整性和真实性，损害他人的经济利益，或者干扰对方的正确决策；信息丢失：在交易中存在的信息丢失，是因为线路问题、安全措施不当或因为在不同的操作平台上转换操作不当导致的；信息传递过程中的破坏：由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在被新技术攻击的可能性。计算机病毒的侵袭、“黑客”的非法入侵、线路窃听等很容易使重要的数据在传输过程中泄露，威胁电子商务交易中的安全。另外，外界的干扰也会影响到数据的真实性和完整性； 虚假信息：在网上交易过程中，信息传输问题可能来源于用户以合法身份进入系统后，买卖双方都可能在网上发布虚假的供求信息，或者以过期的信息冒充现在的信息，从而骗取对方的欠款或货物。2.1.2. 信用问题在电子商务交易中存在的信用问题主要表现在以下几个方面:来自买方的信用问题，对于消费者来说，可能在网络上利用信用卡进行支付时的恶意透支，或者使用伪造的信用卡来骗取买方的货物；来自卖方的信用问题，卖方不能按质、按量、按时寄送消费者购买的货物，或者不能完全根据合同来履行合同内容，造成对买方权益的损害；买卖双方都存在的抵赖问题，电子商务交易是直接通过网络进行的，导致信用得不到保证，买方存在不付款，卖方存在不发货的抵赖行为。从而致使信用问题难以控制，网上交易很难进行。2.1.3. 管理问题网上交易管理上也存在诸多问题，主要表现在以下几个方面：交易流程管理问题：在网络交易中介介入交易的过程中,客户进入交易中心。交易中心不但要监督买方按时付款，也要监督卖方按时提供合同所要求的货物。在这里面，管理问题大量存在，假如管理不善，将会导致巨大的潜在风险；人员管理问题：在网上交易中，最薄弱的环节是人员管理。由于工作人员的职业道德不高，安全教育和管理松懈，使得通过网络犯罪的现象越来越严重，并且多数反映在内部管理人员。由于对于人员的管理不善，导致很多机密文件被竞争对手获得；交易技术管理问题：网上交易只经历了很短的时间，没有比较完善的控制机制，使得网上交易技术管理的漏洞众多，也因此带来很大的交易问题。所以，在交易技术方面，仍然需要加强对其管理和规范。22.2. 电子商务交易中出现安全问题的原因日益严重的网络信息安全问题，不仅会使网上企业、机构及用户蒙受巨大的经济损失，而且也会使国家的安全与主权面临严重的威胁。引发电子商务交易中的安全问题的原因有很多，主要表现在以下几个方面：2.2.1. 黑客的攻击由于网络技术发展迅速，对于网络犯罪的追踪和反击手段还不成熟，并且黑客的攻击具有杀伤力强，隐蔽性高的特点。所以对于网上交易的威胁巨大，严重制约电子商务安全交易的发展。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客常用的攻击手段主要有以下几个方面： 后门程序：由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因(如将其留在程序中，便于日后访问、测试等)后门没有去掉，一些别有用心的人会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。 信息炸弹：黑客使用一些特殊工具软件，短时间内向目标服务器发送大量超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包，会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。 拒绝服务：拒绝服务又叫分布式DOS攻击，它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。作为攻击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的IP地址作为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。 网络监听：网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具，它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网络监听只能应用于物理上连接于同一网段的主机，通常被用做获取用户口令。2.2.2. 管理的欠缺人员管理方面是目前电子商务安全最大的隐患，由于人员的职业道德修养不高，安全教育和管理松懈。一些竞争对手还利用企业招募新人的方式潜入该企业，或利用不正当的方式收买企业网络交易管理人员，窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。在处理网络安全问题时，网络管理人员通常只把Internet上面的黑客放在要防范的假想敌之中，却不知道企业内部员工的疏失有时候远比网络上的黑客还要可怕（例如，员工在使用自己桌上的电脑时把电脑设成服务器，使得所有人都可以经过该网络进入该电脑，窃取机密的信息，或者对上面的信息进行修改。甚至利用该电脑为跳板进入其他的电脑系统之中为非作歹）。网络交易技术管理的漏洞带来危险的原因主要是有些系统中某些用户是没有口令的，如匿名文件传输协议的服务存在信任概念，允许被信任用户不需要口令就可以进入系统，然后把自己升级为超级用户。3. 电子商务交易安全问题的解决方案随着电子商务交易安全的内涵不断地延伸电子商务交易安全技术也在飞速发展，从最初的商务信息保密技术发展到保证商务信息的完整性、可用性、可控性和不可否认性的综合技术，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。下面针对本文提到的问题提出解决方案：3.1. 密码技术 密码理论技术主要有两部分，即基于数学的密码理论与技术（包括公钥密码、分组密码、序列密码、认证码、电子签名、Hash函数、身份识别、密钥管理、公钥基础设施技术等）和非数学的密码理论与技术（包括信息隐形、量子密码、基于生物特征的识别理论与技术）。目前对于非数学的密码理论与技术讨论十分活跃，关于此理论与技术的研究引起人们的高度重视。在某些方面取得了很大的进步。但是这类的产品往往因为成本太高而未被广泛采用。并且对于量子密码的研究虽然取得了一定成绩，但是在关于量子密码的实用化、量子加密算法的开发等方面还有待研究。基于数学的密码理论与技术依然是电子商务安全应用技术的主流。目前国际上已经提出许多公钥密码体制，但是最流行主要有两种：一是基于大整数因子分解问题的，其中最典型的代表是RSA；另一种是基于离散对数问题的，比如椭圆曲线公钥密码。公钥密码主要用于电子签名和密钥分配。Hash函数主要用于完整性校验和提高电子签名的有效性，目前已经提出很多方案，各有千秋。而当前最为人们所关注的实用密码技术是PKI技术。就目前来看，很多厂商已经开发了PKI，有些公司正在使用PKI提供服务，但是总体来说PKI技术仍在发展中。资深专家认为：PKI技术将成为所有应用的计算基础和核心部件，提供了B2B电子商务活动需要的认证、完整性、不可否认性等功能。3.2. 认证技术认证技术中的客户认证是基于用户的客户端主机IP地址的一种认证机制，它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。CA与IP地址相关，对访问的协议不作直接的限制。服务器和客户机无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等。客户认证技术是保证电子商务交易安全的一项重要技术。客户认证主要包括身份认证和通过认证机构认证。主要解决了电子商务交易中存在的信用问题。3.2.1. 身份认证身份认证是判明和确认交易双方真实身份的必要环节，也是电子商务交易过程中最薄弱的环节。因为非法用户经常采用窃取口令、修改和伪造、阻断服务方式对网络支付系统进行攻击，阻止系统资源的合法管理和使用。用户身份认证可以通过三种不同的组合来实现：用户所知道的某个秘密信息（如用户自己的密码口令）；用户所拥有的某个秘密信息（如智能卡中存储的个人参数）；用户所具有的某些生物学特征（如指纹、声音、DNA等）。认证机构或信息服务商应当提供的认证功能：可信性（信息的可来源是可信的，即信息的接收者能确定所获得的信息是真实的）、完整性（即要求信息在传输过程中保持完整）、不可抵赖性（要求信息发送者不能否认自己所发的信息）、访问控制（要求能够拒绝非法用户访问系统资源）。3.2.2. 通过认证机构认证网上交易的买卖双方在进行每一笔交易时，都要鉴别对方是否是可信的。所以需要一个第三方来验证对方的身份，这样的第三方被称为“CA”通过认证机构来认证买卖双方的身份，是保证网络交易安全的主要措施。电子商务CA体系包括两大部分，即符合SET标准的SET CA认证体系又叫“金融CA”体系（在SET中，CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。SET CA是一套严密的认证体系，可保证B2C类型的电子商务安全顺利的进行。但是SET认证机构适用于卡基支付，对其他支付方式是有所限制的）和基于X.509的PKI CA体系又叫“非金融CA”体系（PKI是提供公钥加密和电子签名服务的安全基础平台，目的是管理密钥和证书。PKI是创建、颁发、管理、撤销公钥证书所涉及到的所有文件、硬件的集合体，它将公开密钥技术、数字证书、证书发放机构（CA）和安全策略等安全措施整合起来，成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。一个典型的应用系统包括五个部分：密钥管理子系统、证书受理子系统、证书签发子系统、证书发布子系统、目录服务子系统。）3.3. 带有电子签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有电子签名和数字证书，主要解决了电子商务交易中存在的信息传输问题。其基本步骤有：（1）发送方的网站上，将要传送的信息通过Hash函数变换为预先设定长度的报文摘要。（2）用发送方的私钥该报文摘要加密，结果是电子签名。（3）将电子签名和发送方的认证证书附在原始信息上打包，使用DES算法生成对称密钥在发送方的计算机上为信息包加密，得到加密信息包。（4）用预先收到的接收方的公钥为对称密钥加密，得到数字信封。（5）加密信息和数字信封合成一个新的信息包，通过Internet将加密信息和数字信封传到接收方的计算机上。（6）用接收方的私钥解密数字信封，得到对称密钥。（7）用还原的对称密钥解密加密信息，得到原始信息、电子签名和发送方的证人证书。（8）用发送方公钥解密电子签名，得到报文摘要。（9）将收到的原始信息通过Hash函数变换为报文摘要。（10）将第8步和第9步得到的信息摘要加以比较，以确认信息的完整性。33.4. 加强管理网上交易的安全管理要跳出单纯从技术角度寻求解决办法的思路，采用综合防范的思想，从技术（如防火墙、网络防毒、信息加密存储通信、身份认证、授权等）、管理（必须加强监管，建立各种有关的合理制度，并加强严格监督，如建立交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等）、法律（社会的法律政策与法律保障，通过健全法律制度和完善法律体系，来保证合法网上交易的权益，同时对破坏合法网上交易权益的行为进行立法严惩）方面综合思考。建立一个完整的网络交易安全体系，至少从三方面考虑，并且三者缺一不可。参与网上交易的经营管理人员在很大程度上支配着企业的命运，他们面临着防范严重的网络犯罪的任务。因而加强对有关人员的管理变得十分重要。首先，对有关人员进行上岗培训。其次，落实工作责任制，对违反网上交易安全规定的行为应坚决进行打击，对有关人员要进行及时的处理。最后，贯彻网上交易安全运作基本原则：包括双人负责原则（重要任务不只安排一个人，实行两人或多人相互制约的机制）；任期有限原则（任何人不能长期担任与交易有关的职务）；最小权限原则（明确规定只有网络管理员才能进行物理访问、软件安装）。4. 电子商务安全交易的标准4.1. SSL协议SSL协议是Netscape公司推出的一个安全通信协议。全称为安全套接层协议（Secure Sockets Layer ,SSL）。它是一种传输层技术，可以实现兼容浏览器和服务器（通常是Web服务器）之间的安全通信。Microsoft和Netscape的浏览器都支持SSL，很多Web服务器也支持SSL。SSL使用的RSA数字签名算法，可以支持X.509证书和多种保密密钥加密算法，比如DES和TripleDES。Netscape浏览器中内置一个功能强大的加密程序，这样用户可以向支持SSL技术的、类似配置的服务器发送加密信息。目前，SSL协议已经成为Internet上保密通信的标准。现行的Web浏览器普遍将HTTP（超文本传输协议）和SSL协议相结合，从而实现安全通信。如下图：SSL握手协议SSL更改密码规格协议SSL警报协议HTTP SSL记录协议 TCP IP图 1. HTTP与SSL协议结合图SSL协议主要提供三方面的服务：一是用户和服务器的信息发送保证，使得用户与服务器能够确信数据被发送到正确的客户机和服务器上，客户机和服务器都有各自的识别号，由公开密钥编排。为了验证用户，SSL协议要求在握手交换数据中作数字认证，以此来确保用户的合法性；二是加密数据以隐藏被传递的数据。SSL协议采用的加密技术既有对称密钥，又有公开密钥。在客户机和服务器交换数据之前，先交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术，以保证其机密性与数据的完整性；三是维护数据的完整性。SSL协议采用Hash函数机密共享的方法来提供完整的信息服务，建立客户机与服务器之间的安全通道，使所有经过SSL处理的业务能钱不准确无误的到达目的地。4.2. SET协议SET协议是由VISA和Mastercard两家国际上最大的信用卡公司连同一些计算机商（包括IBM，Microsoft等等信息巨头）共同制定并推出的安全电子交易（Secure Electronic Transaction ,SET）协议。SET协议完全是一项支付协议，只是在持卡人向商户发送支付请求、商户向支付网关发送授权或获取请求、支付网关向商户发送授权或回应、商户向持卡人发送支付回应时才起作用。它并不包括商品挑选、价格协商、支付方式选择等方面的协议。SET协议主要通过使用各种密码技术对交易数据及支付信息进行加密，以确保信息的保密性，并使用数字证书来验证参与交易的各方的身份。因而保护了交易各方的安全。并且SET还通过数字签名，双重数字签名等技术手段，不但可以为不可否认性提供重要证据，而且还保证了商家无法看到持卡人的相关信息，银行无法看到订单信息等功能。更好的保护各方利益。25. 结束语我国虽然在电子商务方面做了大量有益的工作，但是这些工作只能算是在电子商务初级阶段的一些尝试。在电子商务交易中依然有很多问题需要解决，但是随着信息技术的不断提高，在本世纪电子商务作为一种常规的商业交往和日常生活形态必将成为主流。而电子商务交易中所面临的问题也必将被逐步消除。那时，人们将真正感受到电子商务的魅力。参考文献1祝凌曦.电子商务安全M.北