（计算机应用技术专业论文）电子商务交易安全机制的研究.pdf

硕士研究生论文 电子商务交易安全机制的研究 摘要 随着信息技术日新月异的发展 人类正在进入以网络为主的信息时代 基于 i n t e r a c t 开展的电子商务已逐渐成为人们进行商务活动的新模式 越来越多的人通 过i n t e m e t 进行商务活动 电子商务的发展前景十分诱人 但电子商务的安全问题 变得越来越突出 建立一个安全 便捷的电子商务应用环境 关键在于保证整个 商务活动中信息的安全性 使基于i n t e r n e t 的电子交易方式与传统交易方式一样安 全可靠 而数据加密技术则构成了电子商务安全的基础 可以说 没有数据加密 技术 就没有电子商务的安全 电子商务安全包括计算机网络安全和商务交易安全 而商务交易安全主要是 通过加密技术 安全机制 安全协议进行保证的 电子商务中的安全协议主要采 用s s l 协议和s e t 协议 s s l s e c u r i t ys o c k e tl a y e r 安全套接字层协议是由n e t s c a p e 公司提出的应 用于i n t e r a c t 上进行保密通信的一个中间层安全协议 它位于t c p i p 层和应用层 之间 为应用层程序提供一条安全的网络传输通道 对其上层协议 应用层协议 是透明的 它的主要目的是保证两台机器之间的通信安全 提供网络上可依赖的 服务 s e t s e c u r ee l e c t r o n i ct r a n s a c t i o n 安全电子交易协议是由美国v i s a 和 m a s t e r c a r d 两大信用卡组织提出的应用于i n t e m e t 上的以信用卡为基础的电子支 付系统协议 s e t 中的核心技术主要有数据加密 数字签名 电子信封 电子安 全证书等 它主要是为了解决用户 商家和银行之间通过信用卡支付的交易而设 计的 以保证支付信息的机密 支付过程的完整 商户及持卡人的合法身份 以 及可操作性 s e t 协议本身比较复杂 设计比较严格 安全性高 主要应用于b 2 c 模式中保障支付信息的安全 本文主要研究电子商务的交易安全问题 首先 简要地介绍电子商务发展的 背景及相关的基础知识 总结当前电子商务中存在的安全问题 进而阐述本文研 究的内容及研究意义 然后 针对存在的安全问题 着重讨论电子商务中所采用 的安全技术 包括现代加密理论 对称加密 公钥体制 非数学加密理论与技术 完整性保障 消息摘要h a s h 函数 数字签名等 文章第三部分重点分析s s l 与 s e t 协议及其安全性 指出其存在的缺陷 针对这些不足之处 提出相应的解决 方法 最后在结合安全技术的实际应用 分析相关协议的基础上 提出一个适合 我国国情的关于电子商务安全的解决方案参考模型 关键词 电子商务 证书 s s l s e t 加密 硕士研究生论文 电子商务交易安全机制的研究 a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n f o r m a t i o na n dt e c h n o l o g y h u m a nr a c ei s c o m i n gi n t oan e we r ao f n e t w o r ka n di n f o r m a t i o n e l e c t r o n i cc o m m e r c eb a s e do n i n t e r n e th a sb e c o m ean e wm o d ef o rp e o p l et op u r s u ec o m m e r c e w i t hm o r ea n dm o r e p e o p l ee x e c u t et h e i rc o m m e r c et h r o u g hi n t e r n e t t h ep r o s p e c to fe l e c t r o n i cc o m m e r c e i sb e c o m i n gm o r ea n dm o r ea t t r a c t i n g b u ta tt h es a m et i m e t h es e c u r i t yp r o b l e mo f e l e c t r o n i cc o m m e r c ei s b e c o m i n gm o r ea n dm o r eo b v i o u s t h ek e y p o i n to f e s t a b l i s h i n gas e c u r ea n dc o n v e n i e n ta p p l i c a t i o ne n v i r o n m e n to f e l e c t r o n i cc o m m e r c e i st oa s s u r et h es e c u r i t yo fb u s i n e s sa c t i v i t i e sa n dm a k ei ta ss a f ea n dc r e d i b l ea s t r a d i t i o nm o d e d a t ae n c r y p t i o nc o n s t i t u t et h ef o u n d a t i o no fe cs e c u r i t y t h a ti st o s a y e cs e c u r i t yc o u l d n te x i s ti f t h e r ei sn od a t ae n c r y p t i o nt e c h n i q u e s t h es e c u r i t yo fe l e c t r o n i cc o m m e r c ec o n s i s t so fn e t w o r ks e c u r i t ya n db u s i n e s s t r a n s a c t i o ns e c u r i t y e n c r y p t i o nt e c h n o l o g y s e c u r i t ys y s t e ma n ds e c u r i t yp r o t o c o l sa r e t h em a j o rs u p p o r t sf o rp r e s e n tb u s i n e s st r a n s a c t i o n w h i l es e c u r i t yp r o t o c o lu s u a l l y a d o p t ss s la n ds e tp r o t o c 0 1 s s lp r o t o c o li sam i d d l el a y e rs e c u r i t yp r o t o c o lw h i c hw a sp r o v i d e db yn e t s c a p e c o m p a n yt ob eu s e do ni n t e r n e tw i me n c r y p t i o nc o m m u n i c a t i o n i ti sl i e db e t w e e n t c p i pl a y e ra n da p p l i c a t i o nl a y e r a n dp r o v i d e das e c u r i t yc h a n n e l sf o rn e t w o r k t r a n s m i s s i o n t h ec h a n n e l si st r a n s p a r e n tf o ra p p l i c a t i o np r o t o c o l a n dp r o v i d e dt r u s t y s e r v i c e sw h i c ha s s u r e dc o m m u n i c a t i o ns e c u r i t yi nt w oc o m p u t e r s s e tp r o t o c o li sa ne l e c t r o n i cp a y m e n ts y s t e mp r o t o c o lb a s e do nc r e d i tc a r d s w h i c hw a sp r o p o s e db yt h et w og r e a tc r e d i tc a r do r g a n i z a t i o n sv i s aa n dm a s t e r c a r dt o b eu s e do ni n t e r n e t t h ec o r et e c h n o l o g yi ns e ti n c l u d e sd a t ae n c r y p t i o n d a t a s i g n a t u r e e l e c t r o n i ce n v e l o p ea n de l e c t r o n i cs e c u r ec e r t i f i c a t ee t c s e ti sd e s i g n e d m a i n l yt os o l v et r a n s a c t i o n st h r o u g hc r e d i tc a r dp a y m e n ta m o n gt h ec u s t o m e ra n dt h e m e r c h a n ta n dt h eb a n k s oa st op r o t e c tt h es e c r e to fp a y m e n ti n f o r m a t i o n t h ei n t e g r i t y o fp a y m e n tp r o c e s s t h el e g a ls t a t u so fm e r c h a n t sa n dc a r d h o l d e r s a n dt h eo p e r a b i l i t y s e tp r o t o c o li sc o m p l e x i t sd e s i g ni ss t r i c ta n di t ss e c u r i t yi s h i g h i ti sm a i n l y a p p l i e dt obt ocm o d et op r o t e c tt h es e c u r i t yo fp a y m e n ti n f o r m a t i o n t h et r a n s a c t i o ns e c u r i t yp r o b l e mo fr e s e a r c h i n ge ci st h ef o c u so ft h ep a p e r t h i s p a p e r f i r s t l y i n t r o d u c e se c sb a c k g r o u n da n dc o r r e l a t i v ef o u n d a t i o nk n o w l e d g e c o n c l u d e st h es e c u r i t yp r o b l e mo fc u r r e n t l ye c f u r t h e r e x p o u n d sc o n t e n t sa n d m e a n i n go ft h er e s e a r c h s e c o n d l y a i m i n g a tt h e s e c u r i t yp r o b l e m t h ep a p e r e m p h a s i z e si t ss e c u r i t yt e c h n i q u e s i n c l u d i n ge n c r y p t i o nt h e o r y s e c r e tk e y l i 硕士研究生论文 电子商务交易安全机制的研究 e n c r y p t i o n p u b l i ck e ye n c r y p t i o n n o n m a t h se n e r y p t i o na n dt e c h n o l o g y i n t e g r a l i t y m e s s a g ed i g e s ta n dh a s hf u n c t i o n d i g i t a ls i g n a t u r e e t c i nt h et h i r dp a r t t h ep a p e rm a i n l ya n m y z et h es e c u r i t yo fs s la n ds e ta n dt h e i r s e l v e s p o i n t so u ts o m e d e f i c i e n c i e si ns s la n ds e t a n d 诵t hr e g a r dt ot h e s ed e f i c i e n c i e s t h ea u t h o ro ft h i s p a p e rp u t sf o r w a r dc o r r e s p o n d i n gr e s o l v e n t a tl a s t t h ep a p e rp u t sf o r w a r dar e f e r e n c e m o d e lo fs o l u t i o np r o j e c tw h i c hs u i t st h es i t u a t i o no fo u rc o u n t r yo nt h ef o u n d a t i o no f c o m b i n i n gt h er e a l i t ya p p l i c a t i o no fs e c u r i t yt e c h n i q u ea n da n a l y z i n gc o r r e l a t i v e p r o t o c 0 1 k e yw o r d e l e c t r o n i cc o m m e r c e c e r t i f i c a t e s s l s e t e n c r y p t 1 1 1 专暂泰浚稼 学位论文原创性声明 本人郑重声明 所呈交的论文是本人在导师的指导下独立进行研究 所取得的研究成果 除了文中特别加以标注引用的内容外 本论文不包 含任何其他个人或集体已经发表或撰写的成果作品 也不包含为获得中 南林学院或其他教育机构的学位或证书所使用过的材料 对本文的研究 作出重要贡献的个人和集体 均已在文中以明确方式表明 本人完全意 识到本声明的法律后果由本人承担 作者签名 砀 i 年舌月 专翱靳浚蕊 日 学位论文版权使用授权书 荔笔科彳靳 瞬 i 7 彩f l 硕士研究生学位论文电子商务交易安全机制的研究 1 绪论 本章简要介绍电子商务的发展背景及相关概念 分析当前电子商务所面临的 安全问题 研究现状及研究意义 并简要提出本文将要做的主要工作 1 1 电子商务概论 1 1 1 电子商务发展的背景 当今世界网络 通信和信息技术快速发展 因特网 i n t e m e t 在全球迅速发 展普及 使得商业具有不断增长的供货能力 不断增长的客户需求和不断增长的 全球竞争三大特征 使得任何一个商业组织都必须改变自己的组织结构和运行方 式来适应这种全球性的发展和变化 随着信息技术在国际贸易和商业领域的广泛 应用 利用计算机技术 网络通信技术和i n t e r n e t 实现商务活动的国际化 信息化 和无纸化 己成为各国商务发展的一大趋势 电子商务正是为了适应这种以全球为市场的变化而出现和发展起来的 电子 商务提出了一种全新的商业机会 需求 规则和挑战 它代表了未来信息产业的 发展方向 已经并将继续对全球经济和社会的发展产生深刻的影响 同时 电子 商务对整个人类来说都是一个新生事物 它的产生有其深刻的技术背景和商业背 景 生产力发展的客观要求和i t 业技术发展既是它的产生原因 也是它的发展驱 动 迄今为止 电子商务的发展经历了基于传统的e d i 的电子商务 以i n t e m e t 上的e d i 为核心的电子商务和现在的e 概念电子商务三个阶段 并且正在如火如 茶地向前发展 1 1 1 1 电子商务产生的技术背景 自从a r p a n e t 诞生之后 计算机网络和i n t e r n e t 在2 0 世纪7 0 年代得到了迅速 的发展 很多企业开始依靠e d i 实现业务处理的自动化 e d i 电子数据交换 e l e c t r o n i cd a t ai n t e r c h a n g e 是指以电子形式在异构系统之间进行数据交换 以支 持商务的事务处理 e d i 着重于合作者之间的事务处理标准化 它提供一系列标 准的消息和格式 如a n s i x 1 2 和u n e d i f a c t 企业之间用这些标准的消息 和格式传送成批的请求来订购产品 接收货物 付帐 而这些都以电子化的形式 进行 但是e d i 标准缺乏灵活性和可扩展性 传统e d i 使用固定的事务集 把业 务规则嵌入事务集 也就是说 把业务规则写进应用程序代码 然而 在实际应 用中 业务规则不仅随企业不同而不同 而且会随着市场的变化而变化 从而产 生了固定的实现与经常性变化的需求之间的矛盾 再者 传统的e d i 服务是在昂 贵的增值网络上进行的 它的建立与维护的高成本阻碍它进入中小型企业及组织 硕士研究生学位论文电子商务交易安全机制的研究 机构 增值网络的高成本是传统e d i 的又一大障碍 到2 0 世纪8 0 年代初 在t c p i p 协议族在a r p a n e t 上全面实现后 随之而 来的是i n t e r n e t 的蓬勃发展 人们就开始考虑借助i n t e m e t 进行e d i i n t e m e t 的低 成本消除了传统e d i 的一大障碍 而且 面向对象软件开发技术在8 0 年代取得了 长足的发展 方便了e d i 应用系统的开发 但是 e d i 标准缺乏灵活性和可扩展 性这一事实并不因此而改变 进入2 0 世纪9 0 年代 随着w e b 的诞生 许多商家开始采用w e b 应用系统来 支持电子商务 如网络广告 网络营销 客户关系管理等 1 9 9 5 年5 月 j a v a 的 问世进一步推动了i n t e m e t 与网络计算的发展 迎来了网络计算与电子商务时代 电子商务不仅仅包括书籍和光盘的在线销售 而且包括企业内部的员工管理 跨 越供应链的事务处理和在线采购 还包括公共事业的在线事务处理 如保健 教 育和政务 电子商务应用也推动了w e b 和j a v a 等技术的进一步发展 例如 h t m l 语言从1 0 版本逐步升级到4 0 版本 直到x m l 语言的问世 j a v a 平台从1 1 到1 2 软件组件开发技术发展到分布式组件技术 1 1 1 2 电子商务产生的商业背景 在任何商业活动中 买卖双方所交换的是他们的需求 在商业活动的发生过 程中都必然包含了物资流 资金流和信息流 这是人类商业活动所共同遵循的 在人类社会的商业活动中 自始至终存在是物资流 而资金流是随着货币作中介 服务的机构产生了 如银行 随着货币中介服务业的产生 物资流和资金流开始 分离 产生了多种交易付款方式 交易前的预付款 信用证担保付款 交易中的 托收 支票 汇票 交易后的付款 如分期付款 延期付款等 正是随着商品所 有权的转移和物资流的分离 信息流开始表现出来 并且起到了十分重要的作用 物流与资金流的分离 使得人类的交易活动呈现出丰富而复杂的特性 给人 们提供了方便 但是也出现了新的商业风险 比如 对方的商品质量信息 价格 信息 支付能力 支付信誉等 要规避这种风险就得获取尽可能多的信息 只有 多掌握信息 才能减少不确定因素并监督控制交易过程 正是在这种背景下才使 得信息作为规避风险的有效手段越来越为人们所重视 正是信息流的突显重要与规避商业风险的必需 商业活动中引入了电子手段 从而导致了新的经济模式的产生 并且导致了行业的重组 电子商务阶段的一个 重要特点就是信息流处于极为重要的地位 它站在更高的角度对商品流通的全过 程进行控制 因此 不断发展的商业的活动呼唤着一个新的经济模式 电子商 务的产生 1 1 2 电子商务的定义 分类 硕士研究生学位论文电子商务交易安全机制的研究 1 1 2 1 电子商务的定义 电子商务源于英文e l e c t r o n i cc o m m e r c e 简写为e c 顾名思义 其内容包含 两个方面 一是电子方式 二是商贸活动 电子商务指的是利用简单 快捷 低 成本的电子通讯方式 买卖双方不谋面地进行各种商贸活动 但是 对电子商务 的定义至今还没有一个较为全面的 具有权威性 能够为大多数人接受的电子商 务的准确定义 各国政府部门 行业协会 i t 公司和专家学者从不同角度提出了 各自的见解i l 6 1 定义1 美国的e m m e l h a i n z 博士在其专著 e d i 全面管理指南 中把电子商 务定义为 通过电子方式 并在网络基础上实现物资 人员过程的协调 以实现 商业交换活动 定义2 加拿大专家j e n k i n s 和l a n c a s h i r e 在 电子商务手册 中从应用角度 定义e c 为 数据 资料 电子装配线 e l e c t r o n i c a s s e m b l y l i n eo f d a t a 的横向 h o r i z o n t a l 集成 定义3 电子商务是由i n t e m e t 创造的电脑空间 c y b e rs p a c e 超越时间和空 间的制约 以极快的速度实现电子式商品交换 定义4 电子商务是在计算机与通信网络的基础上 利用电子工具实现商业 交换和行政作业的全部过程 定义5 电子商务是一组电子工具在商务中的应用 这些工具包括 电子数 据交换 e d i e l e c t r o n i cd a t ai n t e r c h a n g e 电子邮件 e m a i l 电子公告系统 b b s 条码 b a rc o d e 图像处理 智能卡等 定义6 中国电子商务蓝皮书 2 0 0 1 年度 认为 电子商务指通过i n t e m e t 网完成的商务交易 交易的内容可分为商品交易和服务交易 交易是指货币和商 品的易位 交易要有信息流 资金流和物流的支持1 7 j 定义7 加拿大电子商务协会给电子商务的定义是 电子商务是通过数字通 信进行商品和服务的买卖以及资金的转帐 它还包括公司间和公司内利用e m a i l e d i 文件传输 传真 电视会议 远程计算机联网所能实现的全部功能 如 市 场营销 金融结算 销售以及商务谈判 定义8 美国政府在其 全球电子商务纲要 中比较笼统地指出 电子商务 是指通过i n t e r n e t 进行的各项商务活动 包括 广告 交易 支付 服务等活动 全球电子商务将会涉及全球各国 定义9 欧洲经济委员会在比利时首都布鲁塞尔举办了全球信息社会标准大 会 会上明确提出了电子商务的定义 电子商务是各参与方之间以电子方式而不 是以物理方式交换或直接物理接触方式完成任何形式的业务交易 这里的电子方 式包括电子数据交换 e d i 电子支付手段 电子订货系统 电子邮件 传真 网 络 电子公告系统条码 图像处理 智能卡等 硕士研究生学位论文电子商务交易安全机制的研究 定义1 0 世界贸易组织 w t o w o r l dt o u r i s mo r g a n i z a t i o n 认为 电子商 务是通过电子方式进行货物和服务的生产 销售 买卖和传递 这一定义奠定了 审查与贸易有关的电子商务的基础 也就是继承关贸总协定 g a t t g e n e r a l a g r e e m e m o nt a r i f f sa n dt r a d e 的多边贸易体系框架 定义1 1 i b m 提出了一个电子商务的定义公式 即 电子商务 w e b i t 它 所强调的是在网络计算环境下的商业化应用 是把买方 卖方 厂商及其合作伙 伴在因特网 i m e m e t 企业内部网 i n t r a n e t 和企业外部网 e x l x a n e t 结合起 来的应用 定义1 2 惠普提出了电子商务以现代扩展企业为信息技术基础结构 电子商 务是跨时域 跨地域的电子化世界e w o r l d e w e c e l e c t r o n i c c o m m e r c e e b e l e c t r o n i cb u s i n e s s e c e l e a r o n i ec o m m a e r 惠普电子商务的范畴 按定义包括所有可能的贸易伙伴 用户 商品和服务的供应商 银行保险公司以 及所有其他外部信息源的收益人 从以上的定义不难看出 这是人们从各自不同的角度各抒已见 一般而言 电子商务应包括如下五点含义 采用多种电子方式 特别是通过i n t e r a c t 实现商品交易 服务交易 其中含人力资料 资金 信息服务等 包含企业问的商务活动 也包含企业内部的商务活动 生产 经营 管理 财务等 涵盖交易的各个环节 如询价 报价 订货 售后服务等 采用电子方式是形式 跨越时空 提高效率是主要目的 综上分析 我们可做如下定义 电子商务是各种具有商业活动能力和需求的 实体 生产企业 商贸企业 金融企业 政府机构 个人消费者 为了跨越 时空限制 提高商务活动效率 而采用计算机网络和各种数字化传媒技术等电子 方式实现商品交易和服务交易的一种贸易形式 1 1 2 2 电子商务的分类 电子商务系统可以按照其所支持的商务活动的不同可分为三个不同阶段 即 交易前 交易过程中 交易后的电子商务系统噜1 交易前 p r o t r a d e t r a n s a c t i o n 系统实际上即通过网络和应用系统提供商贸信息源的一个信息发布和查询系统 支持交易过程中的系统 t r a d e t r a n s a c t i o n 即在前一系统基础上完成商贸单证和 票据交换的过程 因为涉及重要的商务单证 此业务自身对信息交换的准确性 规范性 安全性 保密性以及相应的法律制度方面都有较高要求 支持交易后 p o s t t r a d e t r a n s a c t i o n 的系统是在前两者基础上完成资金支付 清算 承运 发 到货管理等 由于涉及到银行 运输等部门 运行机制的复杂程度 对系统安 硕士研究生学位论文 电子商务交易安全机制的研究 全的要求和系统开发的难度会大大增加 首先系统必须从技术上保证用户的订货 不是欺诈和恶作剧行为 其次要确认供应方是合法单位 并且保证他人不会盗用 用户的银行卡信息从事违法活动 通常要求交易各方事先在网络认证中心进行有 效性和合法性的注册 只有已注册的用户才能从事网上交易 并且在交易过程中 系统将会提供动态联机认证和保密措施 图1 1 从不同角度给出各种阶段电子商 务系统从事商业运作的内部过程 申孑i 盘溜 b 喇啊血o m m h b l 商r 妊s 商贸 交易 系统 图1 1 电子商务哥溺瞳翻噼l 架 电子商务参与方主要有四部分 即企业 个人消费者 政府和中介方 其中 中介方为电子商务的实现与开展提供技术 管理与服务支持 依据电子商务系统 所涉及的业务范围 系统的复杂程度和应用功能等不同的情况 可对企业的电子 商务系统进行不同的分类 9 1 1 1 按企业电子商务系统业务处理过程涉及的范围分类 1 企业内部电子商务 即企业内部之间 通过企业内部网 i n t r a n e t 的方式处理 与交换商贸信息 2 企业间的电子商务 b t o b b 2 b b u s i n e s st ob u s i n e s s 即企业与企业 b u s i n e s s b u s i n e s 之间 通过i n t e m e t 或专用网方式进行电子商务活动 3 企业与消费者之间的电子商务 b t o c b 2 c b u s i n e s st oc o n s u m e r 即企业 通过i n t e m e t 为消费者提供一个新型的购物环境 网上商店 消费者通过网 络在网上购物 在网上支付 4 企业与政府之间的电子商务 b t o g b 2 c b u s i n e s st og o v e r n m e n t 即政府 硕士研究生学位论文电子商务交易安全机制的研究 一方面作为消费者 可能通过i n t e r n e t 网发布自己采购清单 公开 透明 高 效 廉洁地完成所需要物品的采购 另一方面 政府对企业宏观调控 指导规 范 监督管理的职能通过网络以电子商务方式更能充分 及时地发挥 按电子商务复杂性程度分类 1 网上黄页 即用户可以在网上发布广告信息 且这些信息都连接在企业的万维 网站点上 此方案所提供的功能相当有限 但费用相当低廉 方便有效 是中 小企业进入电子商务领域初期可采用的较好选择 2 简单电子商务解决方案 即企业在没有专业的网络工程师和软件开发人员的情 况下 拥有一个网上目录 并能接受网上订货 此方案不需要专门的硬件和软 件设备 适合于有一定开展电子商务基础的企业 3 完整的电子商务解决方案 即企业能进行独立的网上营销活动 设计网上目录 和接收网上订货 并能对网上订货做出相应的处理 此方案功能强大 服务广 阔 不仅提供了前台服务 还提供后台服务 对企业的一些日常操作能自动处 理 是企业开展电子商务的最终 按电子商务系统功能目标分类 1 内容管理 即对企业需要在网上发布的各种信息进行管理 2 协同处理 即能与公司人员协同工作 自动处理电子商务的业务流程 对企业 内外的各组织进行随时的紧密联系 3 交易服务 即能在网上向客户提供智能目录 接受网上订单和安全的网上支付 等服务功能 按电子商务信息网络范围分类 1 本地电子商务 指利用本城市内或本地区内的信息网络实现的电子商务活动 电子交易的地域范围较小 是开展远程国内电子商务和全球电子商务的基础系 统 2 远程国内电子商务 是指在本国范围内的网上电子交易活动 其交易的地域范 围较大 对软硬件和技术要求较高 要求在全国范围内实现商业电子化 自动 化 实现金融电子化 交易各方具备一定的电子商务知识 经济能力和技术能 力 并具有一定的管理水平和能力等 3 全球电子商务 指在全世界范围内进行的电子交易活动 参加电子交易各方通 过网络进行贸易 1 2 电子商务安全问题 1 2 1 电子商务安全的概念与特点 电子商务安全从整体上可分为两大部分 计算机网络安全和商务交易安全 硕士研究生学位论文 电子商务交易安全机制的研究 计算机网络安全的内容包括 计算机网络设备安全 计算机网络系统安全 数据 库安全等 其特征是针对计算机网络本身可能存在的问题 实施网络安全增强方 案 以保证计算机网络自身的安全为目标 商务交易安全则紧紧围绕传统商务在 互联网络上应用时产生的各种安全问题 在计算机网络安全的基础上 保障以电 子交易和电子支付为核心的电子商务过程的顺利进行 即实现电子商务保密性 完整性 可鉴别性 不可伪造性和不可抵赖性 计算机网络安全与商务交易安全 实际上是密不可分的 两者相辅相成 缺一不可 没有计算机网络安全作为基础 商务交易安全就犹如空中楼阁 无从谈起 没有商务交易安全保障 即使计算机 网络本身再安全 仍然无法达到电子商务所特有的安全要求 电子商务安全是以网络安全为基础 但是 电子商务安全与网络安全又是有 区别的 从安全等级来说 从下至上有计算机密码安全 局域网安全 互联网安 全和信息安全之分 而电子商务安全属于信息安全的范畴 涉及信息的机密性 完整性 认证性等方面 它们之间的关系如图1 4 所示 同时 电子商务安全又有它自身的特殊性 即以电子交易安全和电子支付安 全为核心 有更复杂的机密性概念 更严格的身份认证功能 对不可拒绝性有新 的要求 需要有法律依据性和货币直接流通性等特点 还要网络设有的其他服务 如数字时间戳服务 等 图1 4 安全概念基本关系示意图 电子商务安全具有如下四大特性 1 2 1 4 电子商务安全是一个系统概念 电子商务安全问题不仅仅是个技术性问 题 更重要的是管理问题 而且它还与社会道德 行业管理以及人们的行 为模式都紧密地联系在一起 电子商务安全是相对的 任何一个系统的安全是相对的 而不是绝对的 要想以后的网站永远不受攻击 不出安全问题是不可能的 电子商务安全是有代价的 电子商务交易活动中 其安全性与速度是一对 矛盾体 如注重安全 就必定要以牺牲速度来作为代价 反之则然 电子商务安全是发展的 动态的 社会在不断发展 技术在不断地进步 硕士研究生学位论文电子商务交易安全机制的研究 没有一劳永逸的安全 也没有一蹴而就的安全 1 2 2 电子商务面临的安全威胁 1 5 1 6 l 及安全需求 1 7 1 8 随着计算机技术和通信技术的发展以及i n t e r n e t 网络的普及和成熟 电子商务 正以不可逆转之势席卷全球的各行各业 在当今的电子商务中 i n t e m e t 是重要平 台 由于i n t e r n e t 的全球性 开放性 无缝连通性 共享性 动态性发展 使得任 何人都可以自由地接人i n t e m e t 特别是当前网络技术的飞速发展 新的威胁和脆 弱点不断出现 从而对网络安全技术提出了更高的要求1 1 9 1 电子商务在这样的环境中 时时处处受到安全的威胁 其安全威胁可分为以 下四大类 信息的截获和窃取 如没有采取加密措施或加密强度不够 攻击者通过采 用各种手段非法获得用户机密的信息 信息的篡改 攻击者利用各种技术和手段对网络中的信息进行中途修改 并发往目的地 从而破坏信息的完整性 这种破坏手段有三种 篡改 改变信息流的次序 删除 删除某个消息或消息的某些部份 插入 在消息中插入一些无用的信息 让接收方读不懂或接收错误的 信息 信息假冒 攻击者通过掌握网络信息数据规律或解密商务信息后 假冒合 法用户或发送假冒信息来欺骗其用户 主要有两种方式 伪造电子邮件 如虚开网站和商店 给用户发电子邮件 收订货单 假冒他人身份 如冒充主机欺骗合法主机及合法用户 交易抵赖 指交易单方或双方否认曾进行的交易行为 电子商务面临的威胁导致了对电子商务安全的需求 真正实现一个安全电子 商务系统所要求做到的各个方面主要包括 机密性 完整性 认证性 不可抵赖 性 不可拒绝性 访问控制性 匿名性 原子性等安全需求 如图1 5 所示 图1 5 电子商务的安全需求 机密性 机密性 c o n f i d e n t i a l i 够 又叫保密性 是指信息在传送或存储的过程中不被 硕士研究生学位论文 电子商务交易安全机制的研究 他人窃取 不被泄露或披露未经授权的人或组织 或者经过加密伪装后 使未经 授权者无法了解其内容 机密性一般通过密码技术对保密的信息进行加密处理来 实现 完整性 完整性 i n t e g r i t y 又叫真实性 是保护数据不被未授权者修改 建立 嵌入 删除 重复传送或由于其他原因使原始数据被更改 完整性一般可通过提取信息 消息摘要的方式来获得 认证性 认证性 a u t h e n t i c a t i o n 是指网络两端的使用者在沟通之前相互确认对方的 身份 在电子商务中 认证性一般都通过证书机构c a 和证书来实现 不可抵赖性 不可抵赖性又叫不可否认性 n o n r e p u d i a t i o n 是指信息的发送方不能否认 已发送的信息 接收方不能否认已收到的信息 这是一种法律有效性要求 不可 抵赖性可通过对发送信息进行数字签名来获得 不可拒绝性 商务服务的不可拒绝性 d e n i a lo fs e r v i c e 又叫有效性 或可用性 是保证 授权用户在正常访问信息和资源时不被拒绝 即保证为用户提供稳定的服务 访问控制性 访问控制性 a c c e s sc o n t r 0 1 是指在网络上限制和控制通信链路对主机系统 和应用的访问 用于保护计算机系统的资源 信息 计算和通信资源 不被未经 授权人或未授权方式接入 使用 修改 破坏 发出指令或植入程序等 匿名性 匿名性 a n o n y m i t y 指发送者匿名性 接收者匿名性 发送者与接收者之间 的无连接性 其包含三个方面含义 信息分离 防勾结和匿名度 其中 匿名度 是将匿名性从绝对隐藏 可能暴露 到暴露分为若个等级 用来衡量网络支付 协议所达到的匿名程度 原子性 原子性 a t o m i e i t y 2 1 2 5 是指整个支付协议 一般包括初始化阶段 订购阶 段 支付阶段 清算阶段等 看作一个事务 保证要么全部执行 要么全部取消 原子性包括 钱原子性 m o n e ya t o m i c i t y 商品原子性 g o o d s a t o m i c i t y 确认发送原子性 c e r t i f i e dd e l i v e r y 国内有学者在上述三级原子性的 基础上提出了一个更高层次的 合同原子性 概念 并认为一个完美的电子商务 协议除满足t y g a r 的3 级原子性以外至少还须满足合同的原子性 8 3 满足钱原子性 参与电子商务活动的各方间的购销合同必须得到自动地强制性地完整执 硕士研究生学位论文电子商务交易安全机制的研究 行 合同的执行必须在有限时间内完成 1 2 3 电子商务安全体系结构 电子商务的安全控制体系结构 2 司是保证电子商务中数据安全的一个完整的逻 辑结构 由5 个部分组成 具体如图1 6 所示 电子商务安全体系由网络服务层 加密技术层 安全认证层 交易协议层 应用系统层组成 从图中的层次结构可 看出 下层是上层的基础 为上层提供技术支持 上层是下层的扩展与递进 各 层次之间相互依赖 相互关联构成统一整体 各层通过控制技术的递进实现电子 商务系统的安全 狙烈嬲塞 应用系统层 n e t b i l l 协议ll 安全协议层 篡 檀数字签名l l 加密技术层 赢蕊萄r h 翌竺墨竺呈卜厢磊函磊 防火墙 ij 内容识别ii 病毒防治 图1 6 电子商务安全技术体系结构 电子商务系统是依赖网络实现的商务系统 需要利用i n t e r n e t 基础设施和标 准 所以构成电子商务安全框架的底层是网络服务层 它是各种电子商务应用系 统的基础 并提供信息传送的载体和用户接入的手段及安全通信服务 保证网络 最基本的运行安全 网络服务层是电子商务系统基本 灵活的网络服务平台 为确保电子商务系统全面安全 必须建立完善的加密技术和认证机制 加密 技术是保证电子商务系统安全所采用的最基本的安全措施 它用于满足电子商务 对保密性的需求 安全认证层中的认证技术是保证电子商务安全的又一必要手段 议一议一一证一正1j密一艚 一一一一一一 一一一一 硕士研究生学位论文电子商务交易安全机制的研究 它对加密技术层中提供的多种加密算法进行综合运用 进一步满足电子商务对完 整性 抗否认性 可靠性的要求 在图1 6 所示的电子商务安全框架体系中 加 密技术层 安全认证层 安全协议层 即专为电子交易数据的安全而构筑 其中 安全协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善 它为 电子商务安全交易提供保障机制和交易标准 电子商务安全是一个受普遍关注的系统问题 用于保护电子商务的安全控制 技术很多 并非把这些技术简单地组合就可能得到安全 但是通过合理应用安全 控制技术 并进行有机结合 就可从技术上实现系统 有效的电子商务安全 1 2 4 安全技术的评估标准 安全评价标准及技术作为各种计算机系统安全防护体系的基础 已被许多企 业和咨询公司用于指导i t 产品安全设计以及衡量一个i t 产品和评测系统安全性 的依据 目前国际上比较重要和公认的安全标准有美国i c s e c 橙皮书 欧洲 i t s e c 加拿大c t c p e c 美国联邦准则 f c 联合公共准则 c c 和英国标准 7 7 9 9 b s 7 7 9 9 以及国际标准化组织 i s o 组织 发布的以b s 7 7 9 9 标准为基础 的i s 0 7 7 9 9 标准 如图1 7 所示 2 7 1 9 舒年美国可信计算 机系统评价准则 t c s e c 1 9 9 0 年欧洲信息 技术评估准则 i t s e c 1 9 9 0 年加拿犬研氟黼l 产品评估准则 c t c p e c 1 9 9 1 年美国联邦 准则f c 1 9 9 5 年联 合公共准则 c c 1 9 9 9 年c c 成 为国际标准 图1 7 几个重要国际标准的关系 我国公安部在充分借鉴国际标准的前提下 组织制定了 计算机信息系统安 全保护等级划分准则 以下简称 准则 0 8 1 国家标准 并于1 9 9 9 年9 月1 3 日 由国家质量技术监督局审查通过并正式批准发布 已于2 0 0 1 年1 月1 日执行 该 准则 对计算机信息系统安全保护能力划分为5 个等级 计算机信息系 统安全保护能力随着安全保护等级的增高 逐渐增强 高级别的安全要求是低级 要求的超集 用户自主保护级它的安全保护机制使用户具备自主安全保护的能力 保 硕士研究生学位论文电子商务交易安全机制的研究 护用户的信息免受非法的读写破坏 系统审计保护级除具备第一级所有的安全保护功能外 要求创建和维护 访问的审计跟踪记录 使所有用户对自己行为的合法性负责 安全标记保护级除继承前一个级别的安全功能外 还要求以访问对象标 记的安全级别限制访问者的访问权限 实现对访问对象的强制访问 结构化保护级在继承前面安全级别安全功能的基础上 将安全保护机制 划分为关键部分和非关键部分 对关键部分直接控制访问者对访问对象的 存取 从而加强系统的抗渗透能力 访问验证保护级这一个级别特别增设了访问验证功能 负责仲裁访问者 对访问对象的所有访问活动 1 3 电子商务的安全现状及研究意义 信息是一种财富 而且可以