毕业论文易趣网的安全性分析

1、 毕毕 业业 论论 文文 毕业论文题目： 易趣网的安全性分析 系 别： 信息管理系 专 业： 电子商务 班 级： 0801 班 摘 要 电子商务最早产生于 60 年代，发展于 90 年代。随着计算机的全民普及 电子商务也逐具规模，并且伴随着信用卡的普及应用，其方便、快捷、安全 等优点成为人们消费支付的重要手段，为电子商务中的网上支付提供了重要 途径，使得电子商务大有一发不可收拾之势。 电子商务的实施，其关键 在于保证整个商务过程中系统的安全性，即 保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。商务交易 安全则紧紧围绕传统商务在互联 网络上应用时产生的各种安全问题 。在计算 机网络安

2、全的基础上，如何保障电子商务过程的顺利进行 ，成为电子商务发 展道路上必须解决的难关。 本文首先分析了电子商务发展背景与电子商务的安全现状。展示了 完整的安全体系结构，再以易趣网为例， 详述了电子商务的安全性需求 和实现网络的安全技术 措施。接着分析了 数字证书与 ca 认证、加密技 术、数字签名技术和信息摘要技术等电子商务安全技术。最后探讨了保 证交易安全的两个协议，即安全电子交易协议 set 和安全套接层协议 ssl，并对两种协议做出了相应的分析和比较。 关键词：电子商务；安全体系；加密；数字证书；安全交易标准；易趣网 abstract e-commerce first appeared

3、in the 1960s, and developed in the 1990s. along with the computers national popularization electronic commerce also by scale, and is associated with the popularization and application of credit card, the convenient, quick, safe for human consumption advantages become the important means for the paym

4、ent of e-commerce in the online payment provides an important way, make e-commerce great spiralling out of power. the implementation of the electronic commerce, the key is to keep the business process, namely, ensure the security of the system based on internet electronic transaction process and the

5、 traditional trade in the same manner as safe and reliable. business transaction security is closely around the traditional business over the internet application to produce a variety of safety problems. on the basis of computer network security, how to guarantee the e-commerce process smoothly, bec

6、ome e-commerce development path must solve difficulties this paper first analyzes the e-commerce development background and e- commerce security situation. display the complete security architecture, again recounted e-commerce security demand and realize network safety technical measures. then analy

7、zes digital certificate and ca identification, encryption technology, digital signature technology and information technology such as e- commerce security technology. finally discusses guarantee transaction security of the two protocols, i.e. safety electronic transaction agreement set and condoms c

8、onnect layer protocol, and the two ssl protocol made corresponding analysis and comparison keywordskeywords：e-commerce, safety system, encryption, digital certificates, security trading standards; ebay 目 录 目 录.3 1 绪论.4 1.1 电子商务发展背景 .4 1.2 国内外电子商务安全现状 .4 1.3 易趣网的发展历史 .4 2 电子商务安全体系研究.5 2.1 完整的电子商务安全体系

9、结构 .5 2.2 电子商务的安全性要求 .5 2.3 电子商务安全措施 .6 2.4 易趣网的安全措施 .7 3 电子商务安全技术分析.7 3.1 数字证书与 ca 认证 .7 3.2 加密技术 .8 3.3 数字签名技术 .8 3.4 易趣网的安全技术与经营模式分析 .8 4 电子商务安全交易标准.9 4.1 安全套接层 ssl 协议 .9 4.2 安全电子交易 set 协议 .10 4.3 易趣网的交易流程 .10 结论.11 参考文献.12 致谢.13 1 绪论 1.1 电子商务发展背景 随着因特网的迅猛发展，电子商务已经逐渐成为人们进行商务活动的一个崭新 的模式。我们可以把电子商务定

10、义为整个事务活动和贸易活动的电子化。它将信息 网络、金融网络和物流网络结合起来，把事务活动和贸易活动中发生关系的各方有 机地联系起来，极大地方便了各种网络上的事务活动和贸易活动。 7 月 20 日，中国互联网络信息中心（cnnic）在京发布“第十四次中国互联网 络发展状况统计报告”。报告显示，截止到 2004 年 6 月 30 日，我国上网用户总数为 8700 万，比去年同期增长 27.9%，上网计算机达到 3630 万台。网络国际出口带宽增 长飞速，总数达到 53.9g，比去年同期增长 190.3%。互联网的影响正逐步渗透到人 们生活的各个角落。因此电子商务的发展前景十分诱人，而其安全问题也

11、变得越显 突出，如何建立一个安全、便捷的电子商务应用环境，对信息提供足够的保护，已 经成为商家和用户都十分关心的话题。 1.2 国内外电子商务安全现状 现今社会，运行在因特网上的电子商务，每天都在进行数以百万次计的各类交 易，而由于因特网的高度开放性与电子商务的绝对保密性是矛盾的，因此基于因特 网的电子商务安全无疑会受到严重威胁。不难想象， “黑客”的攻击一旦得逞，将会 给国家的经济秩序、经济建设、信息安全造成不可估量的损失。 1997 年 1 月至 3 月，宁波两名证劵公司技术人员利用计算机网络，非法透支本 单位资金 3000 多万元，进行个人股票交易，给国家造成了巨大损失；1999 年 4

12、 月 26 日的 cih 病毒爆发，使我国 4 万多台电脑不能正常运行，国内很多企业的数据都 或多或少地被破坏。 大量事实说明，保证电子商务的正常运作，必须高度重视安全问题。只有建立 起科学、合理的安全体系结构，才能保证电子商务交易的全面安全实施。 1.3 易趣网的发展历史 易趣是全球最大的电子商务公司ebay（nasdaq：ebay）和国内领先的门户网站、 无线互联网公司tom在线于2006年12月携手组建一家合资公司。 1999年8月，易趣在上海创立。主营电子商务，由邵亦波及谭海音所创立，两人 同tom易趣产品总监常琳为上海人，毕业于美国哈佛商学院。2000年2月，在全国首 创24小时无间

13、断热线服务，2000年3月至5月，与新浪结成战略联盟，并于2000年5月 并购5291手机直销网，开展网上手机销售，使该业务成为易趣特色之一。易趣目前 有350万注册用户。2002年，易趣与ebay结盟，更名为ebay易趣，并迅速发展成国内 最大的在线交易社区。秉承帮助几乎任何人在任何地方能实现任何交易的宗旨，不 仅为卖家提供了一个网上创业、实现自我价值的舞台，品种繁多、价廉物美的商品 资源，也给广大买家带来了全新的购物体验。2006年12月，ebay与tom在线合作， 通过整合双方优势，凭借ebay在中国的子公司ebay易趣在电子商务领域的全球经验 以及国内活跃的庞大交易社区与tom在线对本

14、地市场的深刻理解，2007年，两家公 司将推出为中国市场定制的在线交易平台。新的交易平台将带给国内买家和卖家更 多的在线与移动商机，促进ebay在中国市场的纵深发展。 2 电子商务安全体系研究 2.1 完整的电子商务安全体系结构 电子商务安全体系可以分为以下三个层次：基本加密算法、安全认证手段和安 全应用协议，如图 2 - 1 所示。 2.2 电子商务的安全性要求 要使电子商务健康、顺利发展，必须解决好以下六种关键的安全性要求： （1）可靠性要求：可靠性要求是指为了防止计算机的软件错误、硬件故障、网 络中断、计算机病毒和自然灾害等突发事件，采取的一系列控制和预防措施来防止 数据信息资源部受破坏

15、的可靠程度。 电子商务系统 安全协议 set、ssl、s-http 认证手段、数字签名、ca 体系 基本加密算法、对称加密、非对称加密 第三层 第一层 第二层 图图 2 2 - - 1 1 电子商务安全体系电子商务安全体系 （2）保密性要求：信息的存取时在安全的环境中进行，不能被非法窃取、泄露； 信息的发送和接收是在安全的网络中进行，交易双方在信息交换过程中没有被窃听 的危险，非参与方不能获取交易的信息，保证交易双方的信息安全。 （3）完整性要求：完整性是指数据在发送、接收和传递过程中，要求保证数据 的一致性，防止非法用户对数据的随意生成、修改和删除，同时还要保证数据传递 次序的统一。信息的完

16、整性是从事电子商务交易双方的经营基础。 （4）真实性要求：从事电子商务的交易双方的身份不能被假冒或伪装，能够有 效鉴别、确定交易双份的真实身份。能否方便而有可靠地确认交易双方身份的真实 性，是顺利进行电子商务交易的前提。 （5）不可抵赖性要求：在电子商务环境下，通过手写签名和个人印章进行交易 双方的鉴别已是不可能的了，必须在交易信息的传递过程中参与交易的个人、企业、 商家或其他部门提供可靠的标识，有第三方提供有效的数字化过程记录，使交易各 方不能事后抵赖。 （6）有效性要求：在网络交易中，交易双方的信息交流（如双方的购销合同、 签名、时间等）都是以数字化的形式出现的，数字化的文件取代了原有的纸

17、张，那 么保证这种数字信息的有效性并为交易双方共同认可，就显得格外重要。一旦签订 交易合同后，这项交易就受到法律保护，并防止被篡改或伪造。 2.3 电子商务安全措施 电子商务中的安全措施包括如下几类 ： （1） 保证交易双方身份的真实性：保证交易双方身份真实性的常 用技术是身份认证。一般依赖某个可信赖的机构（ ca 认证中心）发放数字证书， 并以此识别对方。目的是保证身份的真实性，分辨参与者身份的真伪，防止伪装 攻击。 （2）保证信息的机密性：常用数据加密和解密技术来保护信息不被泄露给 未经授权的人或组织，其安全性依赖于使用的算法种类和密钥长度。常见的加密 方法有对称密钥加密技术（如 des、

18、aes 算法）和公有密钥加密技术（如 rsa、elgamal 算法） 。 （3）保证信息的完整性：常用散列函数（也叫哈希函数）来实现。通过对 信息实行散列算法，以生成的散列码（信息的任意改动散列码都会不一样）来证 明数据的完整性。典型的散列算法为md5、sha-1、ripemd-160。 （4）保证信息的真实性、不可否认性：常用的处理手段是数字签名技术。 目的是为了解决通信双方相互之间可能的欺诈，如发送方对他所发送信息的否认、 接收方对他已收到信息的否认等，其基础是公有密钥加密技术。数字签名也可以 作为一种简单的身份认证技术实现身份认证。目前，可用的数字签名算法较多， 如 rsa 数字签名、e

19、lgamal 数字签名等。 （5）保证信息存储、传输的安全性：规范内部管理，使用访问控制和日志， 以及敏感信息的加密存储等。当使用www 服务器支持电子商务活动时，应注 意数据的备份和恢复，并采用防火墙技术保护内部网络的安全性。 2.4 易趣网的安全措施 从注册来看，无论易趣还是淘宝，都需要你有一个电子信箱，等注册完毕 后，网站会发一封信到你的注册信箱中，按照上面的步骤，就可以轻松实现注册 的全过程了。不过，注册完毕之后，还有一个认证的过程。这是决定你是否能获 得网上交易权利的重要环节。在易趣中，没有通过认证注册的会员只能享受部分 买物品的权利。通过认证的过程为：在首页下部有选项“点击这里迅速

20、成为星 级用户” 。在这里可以通过手机即时通过认证，而之后交易的费用也将从你的电 话费中扣除。如果用身份证和信用卡等级，则需要在首页顶部“诚信与安全 ” 链接里的“交易和安全”栏里找到“实名制认证申请 ” 。填写身份证号码或者信 用卡卡号。这个认证过程需要 17 个工作日。而在淘宝中，认证机制只有通过 身份证认证一种。注册用户可以通过扫描身份证后上传副件，也可以通过以邮寄 身份证复印件至淘宝公司的方法通过认证。另外还有一种简单的方法就是用传真。 不过这样的方式必须要先和工作人员取得联系后才方便进行，淘宝的交易成功仅 凭买卖双方说了算，整个交易流程中大部分物品的交付处于不可控的状态，允许 一些交

21、易在线下支付货款，为部分用户不实际成交互换好评开了方便之门；其次 由于对交易双方没有完全采用实名认证，也没有和银行系统的征信机构连接，不 能排除自卖自买的情况发生；加之国内没有建立网上、网下的失信惩戒机制，淘 宝的信用评价机制还不能发挥全部作用。 3 电子商务安全技术分析 3.1 数字证书与 ca 认证 由于电子商务在网络中完成，互相之间不见面，因此为了保证每个人及机构 都能惟一且被准确无误地识别，就需要进行身份认证。身份认证可以通过验证参 与各方的数字证书来实现，而数字证书是由认证中心（ ca）颁发的。 所谓 ca（certificate authority：证书发行机构） ，是采用 pki

22、（public key infrastructure：公共密钥体系）公开密钥基础架构技术，专门提供网络身份认证 服务，负责签发和管理 数字证书，具有权威性和公正性的第三方信任机构，其作 用就像现实生活中颁发证件的机构。 公共密钥体系（pki）是信息安全基础设施的一个重要组成部分，是一种利用 公钥理论和技术建立的提供网络信息安全服务的基础设施。 3.2 加密技术 数字加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息 进行数据加密来保障安全性。利用加密技术，可以将某些重要的信息和数据从一 个可以理解的明文转换为复杂的、不可理解的密文形式，在线路上传送或在数据 库中存储，其他用户再将密

23、文还原为明文。以下是几种加密的算法： （1）des 算法，它是美国国家标准化局 nbs 于 1976 年底作为官方的联邦 标准颁布的。des 是一种常规密码体制的密码算法，也是一个典型的对称分组密 码算法。 （2）rsa 算法，它是 1977 年在美国麻省理工学院开发， 1978 年首次公布。 它是一种分组加密算法，明文和密文在 0n-1 之间（n 是一个正整数） 。rsa 公 钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法之一。 3.3 数字签名技术 数字签名是密钥加密和信息摘要相结合的技术，用于保证信息的完整性和不 可否认性。签名机制的特征是该签名只有通过签名者的私有信息才

24、能产生，即一 个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时，第三方就能 根据消息上的数字签名来裁定这条消息是否由发送方发出，从而实现不可否认服 务。一下是几种签名技术： （1）rsa 签名：rsa 是完整的加密系统，它支持公钥 /私钥对的生成、加密 以及数字签名。rsa 体制的安全性依赖于 n=pq 分解的困难性。 （2）elgamal 签名：该体制由 t.elgamal 在 1985 年给出。其修正形式已被 美国国家标准与技术学会作为数字签名标准，它是rabin 体制的一种变形。 3.4 易趣网的安全技术与经营模式分析 （1）各自经营方式的特点比较 易趣：收取商品登陆费，目前易

25、趣向卖家收取商品登录费、登录费 1 元至 8 元 不等，以商品最低成交价为计费基数。并在每次交易成功之后，收取相应佣金也就 是交易服务费，价格按每件商品在网上成交金额的 0.25%到 2%收取，如果未实际 成交则不收取。一件商品在易趣网上以 3000 元人民币的价格网上成交，交易服务 费约为 30 元。实名注册，易趣用户必须要实名注册，通过实名认证后，不但有 “奖状”作为标记，还能得到一颗星；交易后双方互做信用评价，信用评价由评价 类型（好中差）和评论内容组成。用户得到的所有评价构成用户的信用记录。 认真如实的评价可以为其他用户提供参照，当然，评价方同样可以从他人提供的评 价里获益。目前此方法

26、被广泛使用在电子商务领域。 （2）取得的成绩 易趣方面称，衡量电子商务的重要指标主要有两个：一个是交易额，另一个是 成交率。据透露，2003 年易趣的交易额达到了 10 亿元人民币，成交率达到了 55%。 2004 年 4 月，互联网实验室发布的个人交易网站增长幅度，淘宝网 以 768的高增长率领先国内网站；2004 年 5 月，上海艾瑞公司发布的网民覆盖 率市场调查报告中，淘宝网首次超越国内外同行，跃居第一的位置。目前，淘宝网 在线商品数量达到近 200 万件。 （3）存在问题 安全、诚信依然是亟需解决的问题。只要是涉及到金钱的交易就必然会存在风 险，网络这一新兴的交易平台在创造许多财富的同

27、时，也正在暴露出一些存在的问 题。首先是诚信的问题，它对电子商务的健康发展起着生死攸关的作用。因为网上 交易的主要瓶颈是信用，很多人比较担心的问题是产品质量、售后服务及厂商信用、 安全性得不到保障，所以网上平台必须建立一套信用体系，保证商品质量、交易安 全和市场秩序。网上购物人群仍占很小份额，在网民上网目的中，直接进行网上购 物的比例仍然是少的可怜，很多人还停留在有兴趣的阶段，爱好和购物是两回事。 个人成规模做起来还很不容易。缺乏触摸感，要追上传统零售道路仍很漫长。这是 网络零售最大的劣势所在。由于只可眼观而不能手动，消费者往往无法得到商品更 多的内在信息，例如一件衣服的质感、一台音响的效果等

28、等，这使得消费者很难对 商品质量产生信赖感，传统商店在这方面却占尽优势。 4 电子商务安全交易标准 4.1 安全套接层 ssl 协议 ssl 协议是由 netscape 公司研制的安全协议， ssl 使用加密的方法建立一个 安全的通信通道，以使客户的信用卡号传送给商家，商家再将其转发给银行，银 行验证后在通知商家付款成功。该协议已成为事实上的工业标准，微软、ibm 公司都提供基于这种简单加密模式的支付系统。 4.2 安全电子交易 set 协议 系统控制器程序是放在 eeliod270 平台运行的，是而 eeliod270 平台放在 用户家里，用来管理家中的设备，因而系统控制器程序可以简称为用户

29、端程序。 用户端程序主要包括数据通信、视频采集和发送控制命令等三个方面，其中数据 通信包括与扩展板、 gsm 模块的 rs232 通信和与服务器端的无线网络通信；视 频数据采集主要包括客户端的视频预览和视频数据传输 ，发送控制命令则主要根 据短信内容、扩展板传感器报警信息发送各种控制命令。 4.3 易趣网的交易流程 易趣网目前已开展了三种交易方式，即个人物品竞标、网上直销和商家专卖。 其中以个人物品竞标方式为主，其他两种方式为辅。 （1）卖方和买方在网上注册阶段的简单认证是通过电子信箱进行的，即用户需 输入自己的昵称、密码、邮箱及其他的个人信息，初步注册成功后，系统会自动发 送确认信函。用户进

30、入邮箱进行确认后才能成为注册会员，进行交易。但是，为了 更好地确认卖方身份，保证买方的合法权益，易趣网自 2002 年 9 月以来推出了实 名认证的方法。虽然网站只硬性要求需在网站上设立店铺的卖方必须进行实名注册， 但也强烈建议其他交易者进行实名注册，即通过用户输入的身份证号码或信用卡号 码，向相关部门进行核实，达到确认的目的。 （2）在交易前准备环节，卖方在网上选择售卖商品的相应分类，填写较为详细 的商品信息，可采取起始价、最低价或一口价，并设立一定的时间期限；买方不仅 需要查询所需商品，还要对其进行鉴别，即他们在通过网站搜索系统、商品分类或 同类店铺等查询方式找出自己满意商品的同时，需要注

31、意鉴别卖方的信用级别、查 看历史的交易评价、并仔细分辨商品信息的真伪，如此一来，可在一定程度上减少 被欺诈的可能。买卖双方不同的是，卖方在网上售卖商品不仅需要缴纳如物品登录 费、粗体显示费及物品推荐费等费用，还需要在交易达成后支付一定的交易服务费。 当然，如果卖方在网上开立店铺的话，也须按照付费店铺收费标准进行付费。 （3）网上交易环节相对较为简单，卖方主要是在商品售卖阶段对潜在出价者所 提的问题进行解答，以促成交易达成机会；买方在自我出价的同时，可选择网站的 代理出价系统进行实时自动出价，提高获得交易的机会。代理出价系统只需买方填 写能够接受的最高价格，系统会自动在这个价格范围内以当前的最低获得价使买方 的出价始终保持领先，并在别的买家出价时自动加价（加价幅度是由系统按照当前 价格自动计算生成的） ，直到商品下线成交或买方出的代理最高价被别的买家超越。 结论 随着网络、通信技术的飞速发