电子商务的技术安全.doc

此文档收集于网络，如有侵权，请联系网站删除电子商务系2002级学生学年论文论电子商务的安全技术专业电子商务姓名邓力鹏学号2002047105指导教师 邹靳2004-12-27此文档仅供学习与交流摘要电子商务是指人们利用电子手段进行商业、贸易等商务活动，是商务活动的电子化，越来越显示出蓬勃的生命力，占世界贸易总额的分量也越来越重；面对如此巨大的商机，大量的厂商，企业纷纷开始开展了多种多样的电子商务，但是电子商务的数据和交易的安全性、隐秘性却得不到有效的保障，电子商务的安全也逐渐成为众人关注的焦点，电子商务的技术安全也成为了研究的重要课题。本文主要对电子商务交易技术原理，网络安全防护技术，交易加密技术及专用协议进行的简单的介绍关键词：电子商务，网络安全，交易安全。浅析电子商务的安全技术目录一电子商务概况3二电子商务交易原理3三网络安全防护技术41病毒防范技术42身份识别技术43防火墙技术41）模式转变42）功能扩展53）性能提高54虚拟专用网技术6四交易安全技术61加密技术62认证技术63安全认证协议7（1）安全套接层（SSL）协议7（2）安全电子交易（SET）协议7五总结8一电子商务概况自90年代以来，随着计算机网络、通信技术的迅速发展，以及Internet的普及应用和发展，使得商务处理的方式发生了巨大变化。人们充分利用Internet商务市场中的巨大潜力，使一些新的商务解决方案获得应用。电子商务作为商业贸易领域中以一种先进的方式进行交易，已经普及到全球，并对商业贸易领域中传统的观念和行为方式产生巨大的冲击和影响。电子商务的广泛推广，打破了时空界限，改变了贸易形态，大大加速了整个社会的商品流通，有助于降低企业的成本，提高企业竞争力，尤其是能使中小企业迅速进入国际市场参与世界竞争。它可以使销售商和供应商紧密联系起来，更快地满足客户的需求，也可以让商家在全球范围内选择最佳供应商，从而在全球市场上销售商品。同时也为消费者提供了更多的消费选择，使消费者得到更多的实惠。电子商务从广义方面讲，是指应用电子及信息技术而进行的经济贸易活动。从狭义的方面讲，电子商务是指利用电子信息网络设施来实现的商品和服务交易活动的总称，是一种以现代信息网络为载体的新的商务活动形式。简单地讲，电子商务是指买卖双方之间利用Internet网络按一定的标准进行的各类商务交易。二电子商务交易原理电子商务进行的原理可以从消费者在网上购买商家的产品过程体现出来，可以分为以下6个步骤：1消费者连入Internet，在商家的网上商店中浏览，寻找自己感兴趣的商品；2消费者在垢污对话框里填写自己的姓名、地址等个人信息，和自己想要购买的商品品种、规格、数量，商家会给消费者计算好价格；3消费者选择支付方式支付货款，如信用卡、借记卡、电子支票等；4通过Internet技术，商家确认支付货款是否得到认可；5通过Internet技术，商家确认消费者付款后，准备货物送货上门；6消费者的开户银行将支付款项传递到消费者的信用卡发放单位，信用卡发放单位负责发给消费者收费单。现在随着互联网络技术的发展，网络安全成了新的安全研究热点。网络安全就是如何保证网络上存储和传输的信息的安全性。但是由于在互联网络设计之初，只考虑方便性、开放性，使得互联网络非常脆弱，极易受到黑客的攻击或有组织的群体的入侵，也会由于系统内部人员的不规范使用和恶意破坏，使得网络信息系统遭到破坏，信息泄露。电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。三网络安全防护技术目前，常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术等。1病毒防范技术病毒是一种恶意的计算机程序，它可分为引导区病毒、可执行病毒、宏病毒和邮件病毒等，不同的病毒的危害性也不一样。为了防范病毒，可以采用以下的措施：（1）安装防病毒软件，加强内部网的整体防病毒措施；（2） 加强数据备份和恢复措施；（3） 对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。2身份识别技术身份识别技术是计算机网络安全技术的重要组成部分之一。它的目的是证实被认证对象是否属实和是否有效。其基本思想是通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、问题解答或者像指纹、声音等生理特征，常用的身份认证技术有口令、标记法和生物特征法。3防火墙技术防火墙是一种将内部网和公众网如Internet分开的方法，它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。它是电子商务的最常用的设备。防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展的停滞，恰恰相反，日益提高的安全需求对其提出了越来越高的要求，下面我们就防火墙一些基本技术层面的问题来谈谈防火墙产品的主要发展趋势。1）模式转变传统的防火墙通常都设置在网络的边界位置，不论是内网与外网的边界，还是内网中的不同子网的边界，以数据流进行分隔，形成安全管理区域。但这种设计的最大问题是，恶意攻击的发起不仅仅来自于外网，内网环境同样存在着很多安全隐患，而对于这种问题，边界式防火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布式结构，以分布式为体系进行设计的防火墙产品以网络节点为保护对象，可以最大限度地覆盖需要保护的对象，大大提升安全防护强度，这不仅仅是单纯的产品形式的变化，而是象征着防火墙产品防御理念的升华。防火墙的几种基本类型可以说各有优点，所以很多厂商将这些方式结合起来，以弥补单纯一种方式带来的漏洞和不足，例如比较简单的方式就是既针对传输层面的数据包特性进行过滤，同时也针对应用层的规则进行过滤，这种综合性的过滤设计可以充分挖掘防火墙核心功能的能力，可以说是在自身基础之上进行再发展的最有效途径之一，目前较为先进的一种过滤方式是带有状态检测功能的数据包过滤，其实这已经成为现有防火墙产品的一种主流检测模式了，可以预见，未来的防火墙检测模式将继续整合进更多的范畴，而这些范畴的配合也同时获得大幅的提高。2）功能扩展现在的防火墙产品已经呈现出一种集成多种功能的设计趋势，包括VPN、AAA、PKI 、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以某个功能为主了，即其已经逐渐向我们普遍称之为IPS（入侵防御系统）的产品转化了。有些防火墙集成了防病毒功能，这样的设计会对管理性能带来不少提升，但同时也对防火墙产品的另外两个重要因素产生了影响，即性能和自身的安全问题，这两个问题应该根据具体的应用环境来做综合的权衡，毕竟这个世界暂时还不存在绝对的解决方案。防火墙的管理功能一直在迅猛发展，并且不断地提供一些方便好用的功能给管理员，这种趋势仍将继续，更多新颖实效的管理功能会不断地涌现出来，例如短信功能，至少在大型环境里会成为标准配置，当防火墙的规则被变更或类似的被预先定义的管理事件发生之后，报警行为会以多种途径被发送至管理员处，包括即时的短信或移动电话拨叫功能，以确保安全响应行为在第一时间被启动，而且在将来，通过类似手机、PDA这类移动处理设备也可以方便地对防火墙进行管理，当然，这些管理方式的扩展需要首先面对的问题还是如何保障防火墙系统自身的安全性不被破坏。3）性能提高未来的防火墙产品由于在功能性上的扩展，以及应用日益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要求，而寄希望于硬件性能的水涨船高肯定会出现瓶颈，所以诸如并行处理技术等经济实用并且经过足够验证的性能提升手段将越来越多的应用在防火墙产品平台上；相对来说，单纯的流量过滤性能是比较容易处理的问题，而与应用层涉及越密，性能提高所需要面对的情况就会越复杂；在大型应用环境中，防火墙的规则库至少有上万条记录，而随着过滤的应用种类的提高，规则数往往会以趋进几何级数的程度上升，这是对防火墙的负荷是很大的考验，使用不同的处理器完成不同的功能可能是解决办法之一，例如利用集成专有算法的协处理器来专门处理规则判断。4虚拟专用网技术虚拟专用网是用于Internet电子交易的一种专用网络，它可以在两个系统之间建立安全的通道，非常适合于电子数据交换（EDI）。在虚拟专用网中交易双方比较熟悉，而且彼此之间的数据通信量很大。只要交易双方取得一致，在虚拟专用网中就可以使用比较复杂的专用加密和认证技术，这样就可以大大提高电子商务的安全性。VPN可以支持数据、语音及图像业务，其优点是经济、便于管理、方便快捷地适应变化，但也存在安全性低，容易受到攻击等问题。四交易安全技术电子商务的交易安全技术主要有加密技术、认证技术和安全认证协议等。1加密技术加密技术是电子商务安全的一项基本技术，它是认证技术的基础。采用加密技术对信息进行加密，是最常见的安全手段。加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成为无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。目前，在电子商务中，获得广泛应用的两种加密技术是对称密钥加密体制（私钥加密体制）和非对称密钥加密体制（公钥加密体制）。它们的主要区别在于所使用的加密和解密的密码是否相同。2认证技术安全认证技术主要有数字摘要、数字信封、数字签名、数字时间戳、数字证书等。（1）数字摘要数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。（2）数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性相当高。（3）数字签名把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（Digital Signature）。（4）数字时间戳交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的，是防止文件被伪造和篡改的关键性内容。而在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS-Digital Time-stamp Service）就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。（5）数字证书在交易支付过程中，参与各方必须利用认证中心签发的数字证书来证明各自的身份。所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。在网上电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。数字证书是用来惟一确认安全电子商务交易双方身份的工具。由于它由证书管理中心做了数字签名，因此，任何第三方都无法修改证书的内容。任何信用卡持有人只有申请到相应的数字证书，才能参加安全电子商务的网上交易。3安全认证协议目前电子商务中有两种安全认证协议被广泛使用，即安全套接层SSL（Secure Sockets Layer）协议和安全电子交易SET（Secure Electronic Transaction）协议。（1）安全套接层（SSL）协议安全套接层协议是由Netscape公司1994年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被概括为：它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。这里，商家是可以信赖的，所以客户需先汇款给商家。在电子商务的开始阶段，商家也担心客户购买后不付款，或是使用过期作废的信用卡。因而希望银行予以认证。SSL安全协议正是在这种背景下应用于电子商务的。SSL采用了公开密钥和专有密钥两种加密：在建立连接过程中采用公开密钥；在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。它保证了客户和服务器间事务的安全性。（2）安全电子交易（SET）协议安全电子交易是一个通过开放网络（包括Internet）进行安全资金支付的技术标准，由VISA和MasterCard组织共同制定，1997年5月联合推出。由于它得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持，已成为事实上的工业标准，目前已获得IETF标准的认可。这是一个在Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是至关重要的。SET将建立一种能在Internet上安全使用银行卡进行购物的标准。安全电子交易规范是一种为基于信用卡而进行的电子交易提供安全措施的规则，是一种能广泛应用于Internet上的安全电子付款协议，它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里，扩展到消费者个人计算机中。SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。SET主要由3个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET规范涉及的范围：加密算法的应用；证书信息和对象格式；购买信息和对象格式；确认信息和对象格式；划账信息和对象格式；对话实体之间消息的传输协议。为了解决电子商务安全机制的四个问题，SET协议定义了四种数字加密与安全认证技术：1） 将交易数据分割为若干个64位的数据块，再用DES算法生成56位的对称密钥加密数据块。对称密钥是由交易发起方设备随机生成的，每次交易的对称密钥均不相同。2） 对称密钥再由接收方设备用RSA算法生成的1024位非对称公共交换密钥加密。这相当于用一个数字信封将对称密钥包装之后，再传送至接受方。3） 交易数据经过SHA-1单向函数处理之后，变成了与之唯一对应的数字手印，并由发送方由RSA算法生成的1024位非对称私人签名密钥加密。数字手印供接收方检验接受数据的完整性时使用，而数字签名则保障了交易的不可抵赖性。 4） 每个交易方必须向证书授权机构申请数字证书方能参加网上交易。各级数字证书是由上一级CA采用RS