电子商务毕业论文-电子商务交易安全问题

1、四川省xxxx学院毕业设计（论文）题s：电子商务交易安全问题专业：电子商务班级：xx级电商xxx班姓名：xxxx指导老师：xxxxx班主任：xxxxx2011年6月-xx.a刖b电了商务是在internet 放的网络环境下，实现消费者在线购物，企业z间 的在线交易和网上电子支付的一种新型的交易方式，由于电子商务具冇低成本、 高效益、全球性等特点使其很快遍及全世界，电子商务己成为世界经济最具省力 的增长点，它的应用将给社会和经济发展带来巨大的变革。然而，口前世界通过 屯子商务方式完成的贸易额只占同期全球贸易额中的一小部分，穷其原因，电子 商务是一个复杂的系统工程，它的应用还依靠相应的社会问题和技

2、术问题的逐步 解决与完善。其中，电子商务的安全问题是制约电子商务的最关键问题。由于internet的开放性以及其他各种因素的影响，安全问题也一直是困扰着 电子商务发展的重要问题，包括网上传送的信息可行性和完整性，即不被窃取， 不被篡改，不被重写，还包括身份的识别、认证和交易的不可否认性，一旦出现 问题应该如何用法律武器维护口己的合法权益。电子商务交易安全问题摘要：电子商务是新兴商务形式，它冇很大的发展前途，i佃随zmj来的安全问题也越来越突出，如何建立一个安全、便捷的电子商务应用环境，对信息提供 足够的保护，是商家和用户都十分关注的话题。本文针对电子商务活动中存在的 信息安全问题，实施保障电了

3、商务信息安全的数据加密技术、身份验证技术、防 火墙技术等技术性措施，完善电子商务发展的内外部环境，促进我国电子商务可 持续发展。关键词:电子商务安全问题安全技术一、电子商务交易安全问题的产生11.1电子商务交易的安全威胁21.2电子商务的安全需求2二、电子商务中存在的安全问题22.1网络安全问题32.2商务安全问题3三、电子商务交易的安全技术33.1加密技术43.2身份认证技术43.3防火墙技术5结束语7致谢词8参考文献9电子商务交易安全问题一、电子商务交易安全问题的产生电子商务是基于internet的环境开展的，它消除了传统商务交易中存在的时 间、空间等条件的限制，因此得到迅速的发展。电了商

4、务依托internet网络，其 通信办议tcp/ip及源代码的开放和共享，使得电子商务在开放、共享的环境中 开展，但是电子商务中的一些信息是不能共享的。比如个人隐私、商业机密等， 这就出现了矛盾，尽管如此，每天都有成千上万种交易在internet ±进行，这自 然给某些别冇用心的人提供机会，比如在internet上进行恶意攻击、窃取商业机 密、冒用他人的信用卡、篡改名单等犯罪行为时有发生，在经受损失的同时，人 们对电子商务的安全捉供了警惕，安全已经成为电子商务和发展的关键问题。电子商务是internet网上开展的商务活动，从逻辑上看可以分成低层的物理 系统和上层的业务逻辑系统，其屮物

5、理安全是指系统设备及相关设施的物理保护 以免于被破坏和丢失；逻辑安全是指信息的口j用性、完整性和保密性三要索。因 此，电了商务系统的安全措施也相应地分成两个层次，一个是保障低层的物理系 统，也就是计算机网络系统的安全；另一个是保障上层业务逻辑系统的安全，也 就是保证商务活动在网上的顺利开展。第一层安全措施是安全电子商务系统的基 础，它保障了人们进行网上交易的虚拟场所的安全；第二层安全措施是安全电子 商务系统的前提，它提供了网上交易不同于传统交易的交易规则，保障了网上交 易的安全，这两个方面的安全措施缺一不可，共同为安全电了商务活动的开展保 驾护航。1.1电子商务交易的安全威胁电子商务交易中，比

6、较容易受到以下的安全威胁，这些安全威胁经常都会 对电了商务造成非常严重的后果，计算机病的侵袭、黑客非法侵入，线路窃听等 很容易使重要数据在传递过程屮泄露、威胁电子商务交易的安全，一般来说电子 商务安全中普遍存在着以下儿种安全隐患：一是交易信息窃取与篡改，即网络交易屮用明文传输的数据被非法入侵者 截获并破译之后，进行非法篡改、删除或插入，使信息的完整性遭受破坏；二是 信息的假冒，即网络非法攻击通过假冒合法用户或者模拟虚假信息來实施诈骗行 为；三是恶意破坏，由丁攻击者可以接入网络，则可能对网络中的信息进行修改, 掌握网上的重要信息，甚至可以潜入网络内部，其后果是非常严重的；四是交易 抵赖，交易抵赖

7、包括多个方面，购买者做了订单不承认；商家卖出的商甜因价格 差异而不承认原冇的交易。各种外界的物理性干扰，如通信线路质量较差，地理 位置复朵、门然灾害等，都可能影响到数据的真实性和完整性。1.2电子商务的安全需求电子商务交易过程有以下的安全需求，分别是信息的保密性、完整性和不 可否认性，屯子商务信息的保密性，指的是信息不泄霜给非授权用户，实体或过 程或供其利用的特性。电了商务信息的完整性，指的是数据未经授权不能进行改 变的特性，即信息在存储或传输过程屮保持不被修改，不被破坏和丢失的特性。电子商务的不可否认性，指的是避免发生交易中的某一方在进行某种交易行为之 后，否认自己曾经进行过商务行为；或某一

8、方否认自己曾经接收到对方发出的交 易信息，电子商务的有效性，指贸易数据在确定的时刻，确定的地点是有效的。 电了商务的真实性是指接收方可以确信信息來口发信者，而不是第三者冒名发 送；发送方可以确信接收方的身份是真实后，而不至于发往与交易无关的第三方。二、电子商务中存在的安全问题2.1网络安全问题网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发 扬的重要问题，网络安全就是如何保证网上存储和传输的信息的安全性，网络安 全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在 威胁，网络安全所遭受到的攻击可以分为以下几种。病毒病毒是由一些不正直的程序员所编写的计算机程序，它

9、采用了独特的设计, 可以在受到某个事件收发时，复制自身，并感染计算机，如果在病毒可以通过某 个外界来源进入网络时，网络才会感染病毒。当网络上的一台计算机被感染时， 网络上的其他计算机就非常冇可能感染到这种病毒，在网络环境下，病毒可以按 指数增长模式进行传染，病毒侵入计算机网络，可以导致计算机效率急剧卜降， 系统资源遭到严重破坏，短时间内造成网络系统的瘫痪。(2) 特洛伊木马程序特洛伊木马程序是破坏性代码的传输工具，特洛伊表面上看起來是无害的 或者有用的软件程序。例如计算机游戏，但是它们实际上是伪装的敌人，特洛伊 可以删除数据，将自身的副本发送给电子邮件地址簿屮的收件人，以及开启计算 机进行其他

10、攻击，只有通过磁盘从互联网上下载文件或者打开某个电子邮件附 件，将特洛伊木马程序复制到一个系统，才可能感染特洛伊，无论是特洛伊还是 病毒并不能通过电子邮件本身传播，它们可能通过电子邮件附件传播。(3) 恶意破坏程序网站会提供一些软件应用的开发而变得更加活泼，这些应用可以实现动画 和其他-些特殊效果，从而使网站更具有吸引力和互动性，但是由于这些应用非 常便于下载和进行，从而提供了一种造成损害的新工具，恶意破坏程序是指会导 致不同程序破坏的软件应用或者java小程序，一个恶意破坏程序可能只会损坏 一个文件，也可能损坏大部分计算机系统。(4) 攻击目前已经出现各种类型的网络攻击，它们通常被分为三大类

11、：探测或攻击、 访问攻击和拒绝服务攻击。探测式攻击实际上是信息采集活动，黑客们通过这种 攻击搜集网络数据，用于以后进一步攻击网；访问攻击用于发现身份证服务、文 件传输协议功能等网络领域的漏洞。以访问电子邮件帐号、数据库和其他保密信 息；dos攻击可以防止用户对于部分或者全部计算机系统的访问，它们的实现 方法通常是：向某个连接到企业网络或者互联网的设备发送大量的杂乱的或者无 法控制的数据，从而让正常的访问无法到达该主机，更恶意的分布式拒绝服务攻 击(ddos),在这种攻击下攻击者将会危及到各个设备或者主机的安全。数据阻截通过任何类型的网络进行数据传输者可能会被未经授权的一方截取，犯罪 分子可能会

12、窃听通信信息，其至更改被传输的数据分组，犯罪分子可以利用不同 的方法来阻截数据。(6) 社会活动社会活动是一种越来越流行的通过非技术手段获取保密的网络安全信息的 手段。(7) 垃圾信件垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为 发送未经屮请的广告信息的行为，垃圾信件通常是无害的，但是它可能会浪费接 收者的时间和存储空间带来很多麻烦。22商务安全问题商务交易安全则紧紧围绕传统商务在互联网络上应用吋产生的各种安全问 题，在计算机网络安全的基础上，如何保障电了商务过程的顺利进行，即实现电 子商务的保奈性、完整性、可鉴别性、不可伪造性备受关注，网络所固冇的开放 性与资源共享导致网

13、上交易的安全性受到严重威胁，所以在电子商务交易中，保 证交易数据的安全是电子商务系统的关键。三、电子商务交易的安全技术3.1加密技术互联网已经日渐融入到人类社会的各个方面屮，网络防护与网络攻击之间 的斗争也将更加激烈，这就对安全技术提出了更高的要求，安全技术是屯子商务 安全体系中的基木策略，是伴随着安全问题的诞生而出现的，安全技术极大地从 不同层次加强了计算机网络的整体安全性，要加强电子商务的安全，需要企业本 身采取更为严格的管理措施，需要国家建立健全法律制度，更需要有科学的先进 的安全技术、安全问题是电子商务发展的核心关键问题，安全技术是解决安全问 题保证电子商务健康冇序发展的关键因索。加密

14、技术是电了商务的最基木技术，是一种主动的信息安全防范措施，其 原理是利用一定的加密算法，将明文转换成无意义的密文，阻止非法用户理解原 始数据，从而确保数据的保密性。在目前技术条件下，加密技术通常分为对称加 密和非对称加密两类。(1) 对称密钥加密：采用相同的加密算法，并且加密和解密都使用相同的密 钥，如杲进行的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露，则可 以通过对称加密方法加密机密信息，并随报文发送报文摘耍和报文散列值，来保 证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。口前最常用的对称 加密算法冇des、aes、idea、3des等，其中des使用最常用

15、，被国际标准 化组织采用作为数据加密的标准。(2) 非对称密钥加密(rsa)：非对称加密不同于对称加密其密钥被分为公开 密钥和私冇密钥，密钥对生成后，公开密钥对外公开，而私冇密钥则保存在密钥 发布方手里，任何得到公开密钥的用户都可以使用密钥加密信息发送给该公开密 钥的发布着，1佃发布者在得到加密信息后，使用与公开密钥相应对的私冇密钥进 行解密。目前，常用的非对称加密算法有rsa算法、背包算法、rabin算法、概 率加密算法，其屮rsa算法是最常用的。该算法已被国际标准化组织的数据加 密技术分委员会推荐为非对称密钥数据加密标准。在对称和非对称两类加密方法中，对称加密的优点是加密速度快，效率高,

16、被广泛用于大量数据的加密，但该方法的致使缺点是密钥的传输与交换也而临着 安全问题。密钥易被截取，而且，若和大量用户进行通信，难以安全管理大量的 密钥吋，因此，对称加密大范围应用存在一定问题，而非对称密钥则相反。其优 点是解决了对称加密中密钥数量过多难管理和费用高的不足，也不必担心传输中 和有密钥的泄露，保密性能优于对称加密技术,但非对称的缺点是加密算法复杂, 加密速度不很理想。目前，电子商务屮常常有两者结合使用。3.2身份认证技术口前电子商务交易屮仅加密技术不足以保证交易安全，身份认证技术是保 证电子商务安全的另一重要技术手段、身份认证的实现包括字签名技术、数字证 书技术、数字摘要、数字信封、

17、数字时间戳等。(1) 数字签字技术对信息加密只解决了信息、传输过程中的保密问题，而防止他人对传输的 信息进行了篆改和破坏，保证信息的完整性以及保证信息发送信息的不可抵赖 性，需要采用其他的手段，这一手段就是数字签名，数字签名技术即进行身份认 证的技术，在数字文档上的数字签名类似于纸张上的手写签名，是不可伪造的， 接收者能够验证文档确实来自签名后，并且签名后文档没冇被修改时，从而保证 信息的真实性和完整性。口前的数字签名是建立在公开密钥体制基础上，它是公用密钥密技术的另 一类应用，数字签名与书面文件签名有相同之处，采用数字签名也能确认以下两 点：信息是由签名者发后到收到为止未作任何修改，数字签名

18、方法主耍有三种， 即rsa签名，dss签名和hssh签名，这三种算法可单独使用，也可综合在一起 使用。(2) 数字认证技术在公开密钥体制中，私钥只有信息发送者知道，而与z匹配的公钥是公开, 它能保证传输信息的保密性，但没冇解决公钥的分发方式，数字签名保证了信息 是由签发者发送的以及信息口签发后到收到为止未曾作过任何修饰，但不能保证 签名身份的真实性，因此需要有一种措施就是数字证书。数字证书是i般由具有 权威性、可信任性的第三方机构即认证机构ca所颁发，数字后本是公开密，钥 体制中的密钥管理媒介，并将公钥和实体身份信息绑定在一起，并包含认证机构 的数字签字证书在电子商务4用于公钥的分发、传递、证

19、明电子商务实体身份与 公钥相匹配。(3) 数字摘要数字摘要是采用单向hash函数对文件中若干重要元素进行某种交换运算 得到固定长度的摘要码，并在传输信息吋，将之加入文件一同送给接收方，接收 方收到文件后，用相同的方法进行交换运算，若得到的结果与发送來的摘要码相 同，则可断定文件未被篡改，反z亦然。(4) 数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容， 在数字信封屮，信息发送方采用对称密钥用接收方的公开密钥来加密之后，将它 和信息一起发送给接收方，接收方先用相应的私冇密钥打开数字信封，得到对称 密钥，然后使用对称密钥解开信息，这种技术的安全性相当高。(5) 数字时间戳交

20、易文件屮，吋间是十分重要的信息，在书面合同屮，文件签署的日期和 签名一样均是十分重要的，是防止文件被伪造和篡改的关键性内容，而在屯子交 易中，同样需对交易文件的口期和时间信息采取安全措施，而数字时间戳服务就 能捉供电子文件发表时间的安全保护，数字时间戳服务是网络安全服务项目，由 专门的机构提供。3.3防火墙技术3.3.1防火墙的概述防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安 全技术，越来越多的应用于网络与公共网络的互联环境屮，大型网络系统与 internet互联的交换和访问行为來实现对网络安全的冇效管理。其基本功能为： 首先防火墙是网络安全的屏障，网络内部和外部z间的所有

21、通信，全部必须以过 防火墙，英次防火墙右以强化网络安全策略，所以实施安全策略所需求的安全功 能；第三网络存取和访问进行监控审计，只有经过授权的通信业务才能通过防火 墙进行，第四防止内部信息的外泄。防火墙主要用来提供服务控制，因此能够提供以下4类控制服务：确定可进出服务器的互联网的服务类型，防火墙可根据ip地址和tcp 端口号来过滤通信号o(2) 方式k制:对稳定的服务请求，控制其他进出防火墙的方向，这些操作 具有方向性，方向控制就是用来确定进出的访问。(3) 请求控制：根据请求访问的用户來确定是否提供这服务。(4) 行为控制：控制如何使用特定的服务，如何从电了邮件中过滤垃圾邮件 也可限制外部防

22、问，使它们只能访问本地web服务器屮的部份信息。防火墙能控制外部网络和内部网络的信息交流，能提供接入控制和审查跟 踪，禁止互联网屮未经授权的计算机侵入由防火墙保护的内部网络的计算机系 统。因此，防火墙具有这样的局限性，防火墙外不防内；防火墙难于管理和配量, 易造成安全漏洞；很难为用户在防火墙内外提供一致的安全策略，防火墙只实现 粗粒度的访问控制。a、防火墙的分类最常用的防火墙有过滤防火墙和代理防火墙。(1) 包过滤防火墙，包过滤一般是基于源地址和目的地址，应用或协议以及 每个人ip包的端口来做出通过与否的判断的，包过滤的优点是不能改动应用程 序，一个过滤路出器能协助保护整个网络，数据包过滤对用

23、户透明，过滤路出器 速度快、效率高，但是它对网络的保护能力有限，因为它只检杳地址和端口，对 网络更高i办议层的信息无理解能力。(2) 代理防火墙，代理防火墙是针对包过滤的缺点而引入的防火墙技术，它 的优点是内置了专门为了提高安全性而编制的rroxy应用程序，能够透彻地理解 相关服务的命令，对來往的数据它进行安全化处理，安全，不允许数据包通过防 火墙，避免了数据驱动式攻击的发生，控制内部流量和外部流量。代理防火墙安全性高，可以针对应用层进行侦测和扫描，对付基于应用层 的侵入利病毒都十分有效，但对系统的整体性能有较大的影响，而口代理服务器 必须针对客户机可能发牛的所有应用类型逐一进行设置，大大增加

24、了系统管理的 复杂性，也限制了其他提供的服务。b、防火墙的缺陷虽然防火墙是目前保护网络免遭黑客袭击的冇效手段，但也冇一些缺陷和 不足，有些缺陷目前甚至无法解决。限制有用的网络服务：防火墙为了提高被保护网络的安全、限制或关闭 了很多有用但存在安全缺陷的网络服务。(2)无法防护内部网络用户的攻击：目前防火墙只提供对外部网络用户攻击 的防护。结束语当丽，我国社会信息化止以一口千里的速度前进，对网络与信息安全的需 求日益增大，与英他领威不同，网络与信息安全问题必须依靠我国自己的力量来 解决，虽然目前电子商务的安全技术有很多突破，但仍有许多未解决的问题。比 如：没有解决电子商务安全问题的完整方案和模型；大多数电子商务系统都是封 闭以后，支持一-些特定的协议和