搜索
内蒙古化工职业学院毕业设计(论文)用纸第(1)页电子商务中安全技术的应用摘要Internet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。安全问题始终是电子商务的核心和关键问题。本文在分析电子商务的主要安全要素的基础上,具体介绍采用目前电子商务领域的安全技术,来消除电子商务活动中的安全隐患,对安全的措施,以及安全的应用。对我国来说,电子商务尚是一个机遇和挑战并存的新领域,这种挑战在很大程度上来源于对有关安全技术的信赖。在开放的网络(如Internet)上处理交易,如何保证传输数据的安全成为电子商务能否普及最重要的因素之一。电子商务要为客房提供一个安全可靠的交易环境。这涉及到在网上提供信用和支付,还涉及到法律和其他责任问题,如有效签名、不可抵赖等,因此,在电子商务中安全是一个非常重要的问题。网上交易只有做到安全可靠客户才能接受和使用这种交易方式。关键词:电子商务,安全套接层协议,安全电子交易,认证中心内蒙古化工职业学院毕业设计(论文)用纸第(2)页目录第一章电子商务中安全的概述………………………………………第二章电子商务的安全问题…………………………………………2.1网络安全问题………………………………………………………………2.2计算机网络安全体系…………………………………………………………2.3用户对于安全的需求…………………………………………………………2.4电子商务安全交易标准………………………………………………………2.5电子商务安全的关键CA认证………………………………………………2.6相应法律法规………………………………………………………………第三章电子商务中的安全技术………………………………………3.1防火墙技术………………………………………………………………3.2数据加密技术………………………………………………………………第四章电子商务的应用特性…………………………………………第五章电子商务中安全技术的应用………………………………参考文献………………………………………………………………总结………………………………………………………………………致谢………………………………………………………………………内蒙古化工职业学院毕业设计(论文)用纸第(3)页第一章电子商务中安全的概述电子商务(ElectronicCommerce,EC)就是借助于公共网络,如Internet或开放式计算机网络(OpenCompeerNetwork)进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。这种商务过程包括商品和服务交易的各个环节,如广告、商品购买、产品推销、信息咨询、商务洽谈、金融服务、商品的支付等商业交易活动。电子商务应用范围相当广泛,以消费者对企业方面来讲包括:电子购物——电子商场、商品展示、线上订购;网络拍卖;电子钱包——电子现金(ElectronicCash)、电子支票(ElectronicCheque);网络银行——网络转帐、帐单查询、服务申请、开户、金融产品介绍、网络广告。而企业与企业之间则有商品资料库、电子资料交换、生产供求、商务洽谈、帐目清算、技术合作、资金拆借等应用。在企业内部则可利用相关的安全技术建立数字签名、电子公文传送等系统,真正达到安全、迅速的无纸办公以提高管理效率、改善经营质量。电子商务一般包括四个部分:1、交易的商流:指接受订单、购买、开具发票等销售的工作,也包括维修等售后服务之类的工作;2、配送的物流:指商品的配送;3、转帐支付的结算:交易双方必然涉及到资金转移的过程,包括付款、与金融机构交互等(应包括资金转移、与资金转移之相关信息,例如所有权转移凭证等);4、信息流:包括商品信息、信息提供、促销、直销等。它和传统的商业系统相比,具有交易花费成本低、资金更安全、资金结算速度快、节省人力物力、方便等特点。电子商务的实现,必须解决下面几个关键问题:1、安全性(Security)和可靠性(Reliability):对于在线交易、资金转移和电子货币的铸造都需要绝对安全和可靠,必须保证交易的保密性、完整性和可用性;2、真实性(Reality):买卖双方能够确认他们收到的电子货币是真实的;3、匿名性(Anonymity):确保消费者、商家和他们之间的交易是无记名的,即不可追踪的;4、可分性(Divisibility):在Internet上实际运行中,要能够处理各种不同货币单位和货币种类的交易;5、灵活性(Flexibility):支付系统必须能够处理不同的支付方式,比如信用卡、电子支票和电子现金等;6、互操作性(Interoperability)和方便性(Convertibility):由于目前存在着不同的支付系统,因此应该能够考虑异种支付系统的互通,保证交易双方操作的透明性;7、身份确认(Authenticity):在买卖双方进行交易前,必须相互进行身份的确认;内蒙古化工职业学院毕业设计(论文)用纸第(4)页8、防重传(Non—Replay):保证信息被截取后,不能再被重新传输;9、不可否认性(Non—Repudiability);包括信息发送方和接收方两个方面,保证发送方不可否认他发送的信息,防止接受方否认收到数据,可以有效地防止交易上的纠纷;10、可接受性(Acceptability):必须有国家的法律支持。目前世界各国都在展开电子商务系统的研究,通过电子货币完全取代目前的支票及现金支付模式。为了保证电子商务安全因素的顺利实现,在电子商务中使用了各种安全技术,如加密技术、密钥管理技术、数字签名等。电子商务发展中的大部分问题和矛盾都集中在支付手段上。在技术上,要解决两大问题:安全传输问题和身份认证问题。解决安全传输问题的手段就是建立一个安全的加密传输通道,即在用户与贸易商的站点之间建立一个安全连接,保证从用户传递贸易站点的信用卡号码不会被第三者所窥视。首先注意的就是不要通过电子邮件来传递卡号,电子邮件被认为是目前网上最不安全的传输手段。解决身份认证问题,其目的是保证在每一个参与在线交易的用户的背后,都至少有一张有支付能力的信用卡的支持,从而保证信用卡的真实性。在此方面,SET一直被认为是解决安全交易和身份认证的有效手段。从理论上讲,如果卖方收到了一份带有SET认证的定单,则可以认为此定单的背后有一张合法的信用卡支持,自己将能够保证从银行收回货款;另一方面,客户也能够确认交易的对方是一个诚实可靠、并且被Visa或MasterCard所信赖的贸易商。在电子商务的发展潮流中,世界各大IT厂商如HP、IBM等,相继推出了完整的电子商务解决方案,为电子商务的发展推波助澜。我国电子商务技术开发较晚,刚刚起步。对发展中的中国来说,开展电子商务,网络安全更为重要。一方面,国内几乎所有的主机、交换机、路由器、网络操作系统都来自国外。另一方面,由于美国对别国采取歧视态度,对中国实行密钥信前控制和限制长密钥产品出口。因此,我们必须研制自己的加密算法,以保证中国电子商务的正常发展。第二章电子商务的安全问题2003年对中国来说是个多事之秋,先是SARS肆虐后接高温威胁。但对电子商务来说,却未必不是好事:更多的企业、个人及其他各种组织,甚至包括政府都在积极地推动电子内蒙古化工职业学院毕业设计(论文)用纸第(5)页商务的发展,越来越多的人投入到电子商务中去。电子商务是指发生在开放网络上的商务活动,现在主要是指在Internet上完成的电子商务。Internet所具有的开放性是电子商务方便快捷、广泛传播的基础,而开放性本身又会使网上交易面临种种危险。一个真正的电子商务系统并非单纯意味着一个商家和用户之间开展交易的界面,而应该是利用Web技术使Web站点与公司的后端数据库系统相连接,向客户提供有关产品的库存、发货情况以及账款状况的实时信息,从而实现在电子时空中完成现实生活中的交易活动。这种新的完整的电子商务系统可以将内部网与Internet连接,使小到本企业的商业机密、商务活动的正常运转,大至国家的政治、经济机密都将面临网上黑客与病毒的严峻考验。因此,安全性始终是电子商务的核心和关键问题。电子商务的安全问题,总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。2.1网络安全问题一般来说,计算机网络安全问题是计算机系统本身存在的漏洞和其他人为因素构成了计算机网络的潜在威胁。一方面,计算机系统硬件和通信设施极易遭受自然环境的影响(如温度、湿度、电磁场等)以及自然灾害和人为(包括故意破坏和非故意破坏)的物理破坏;另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击;同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作,造成计算机网络系统内信息的损坏、丢失和安全事故。2.2计算机网络安全体系一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时,首先要加强主机本身的安全,做好安全配置,及时安装内蒙古化工职业学院毕业设计(论文)用纸第(6)页安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施。对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来的几年中成为重点,如身份认证,授权检查,数据安全,通信安全等将对电子商务安全产生决定性影响。作为一个成功的电子商务系统,首先要消除客户对交易过程中安全问题的担心才能够吸引用户通过WEB购买产品和服务。使用者担心在网络上传输的信用卡及个人资料被截取,或者是不幸遇到“黑店”,信用卡资料被不正当运用;而特约商店也担心收到的是被盗用的信用卡号码,或是交易不认账,还有可能因网络不稳定或是应用软件设计不良导致被黑客侵入所弓|发的损失。由于在消费者、特约商店甚至与金融单位之间,权责关系还未彻底理清,以及每一家电子商场或商店的支付系统所使用的安全控管都不尽相同,于是造成使用者有