電子商務及其安全防范畢業(yè)論文

電子商務及其安全防范[摘要]隨著因特網(wǎng)的飛速發(fā)展，電子商務正得到越來越廣泛的應用，進入21世紀，全球電子商務迎來了新的發(fā)展高潮。電子商務的安全性是影響其成敗的一個關鍵因素。本文首先討論了電子商務應用中所存在的問題，繼而對電子商務的安全性技術進行了分析。

[關鍵詞]電子商務；安全性；安全套接層協(xié)議；安全電子交易協(xié)議

隨著因特網(wǎng)的飛速發(fā)展，電子商務正得到越來越廣泛的應用，進入21世紀，全球電子商務迎來了新的發(fā)展高潮。電子商務的安全性是影響其成敗的一個關鍵因素。對電子商務中存在的安全問題及安全技術加以分析，才能滿足電子商務安全的基本需求，以推動電子商務的更快發(fā)展。

一、電子商務及其存在的問題

電子商務是指利用簡單快捷低成本的電子通信方式，買賣雙方不謀面而進行各種商業(yè)和貿(mào)易活動的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營、管理活動，而且將導致人類經(jīng)濟、社會和文化的一次新的革命。但目前電子商務的發(fā)展中還存在許多問題：

1．安全協(xié)議問題。我國大多數(shù)尚處在SSL(安全套接層協(xié)議)的應用上，SET協(xié)議的應用還只是剛剛試驗成功，在信息的安全保密體制上還不成熟，對安全協(xié)議還沒有全球性的標準和規(guī)范，相對制約了國際性的商務活動。

2．安全管理問題。在安全管理方面還存在很大隱患，究竟誰來管理，怎么管理，采取什么有序的管理辦法，這些問題亟待解決。需要有一個安全可靠的信息網(wǎng)絡普抵御黑客的攻擊。

3．電子商務沒有真正深入商務領域，而僅僅局限于信息領域。現(xiàn)在我國的電子商務好多只是停留在用計算機簡單模擬原來的手工操作流程，提供單純的技術產(chǎn)品為主，不擅長動態(tài)信息的跟蹤和獲取，個人用戶比較少，企業(yè)用戶還未大量出現(xiàn)。

4．技術人才短缺問題。電子商務是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術人才來處理所遇到的各種問題。不少電子商務的開發(fā)商對網(wǎng)絡技術很熟悉，但是對安全技術了解得偏少，因而難以開發(fā)出真正實用的、安全性的產(chǎn)品。

5．法律問題。電子交易衍生了一系列法律問題，例如網(wǎng)絡交易糾紛的仲裁、網(wǎng)絡交易契約等問題，急需為電子商務提供法律保障。

6．稅收問題。電子商務的發(fā)展在促進貿(mào)易增加稅收的同時又對稅收制度及其管理手段提出了新要求。

二、電子商務中的安全性技術

安全性技術是保證電子商務健康有序發(fā)展的關鍵因素，也是目前大家十分關注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡的各個層次都制訂了安全協(xié)議和具備了相應的安全技術，以保證電子商務的安全性。

(一)安全的網(wǎng)絡平臺。安全可靠的網(wǎng)絡是實現(xiàn)電子商務的基礎，常用的方法是在網(wǎng)絡中采用防火墻技術，虛擬專用網(wǎng)(VPN)技術，防病毒保護等。防火墻技術是通過IP過濾和代理服務器軟件方法保護企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權用戶才能獲準進入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)(VPN)技術通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠程分支機構和外出職工對中央系統(tǒng)的遠程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護網(wǎng)絡的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務基石，例如現(xiàn)在的加密技術、數(shù)字簽名技術、電子認證技術等。

(二)密碼術概述。密碼技術雖然在第二次世界大戰(zhàn)期間開始流行，在當前才廣泛應用于網(wǎng)絡安全和電子商務安全之中，但其起源可追溯到幾千年前。其思想目前還在使用，只是在處理過程中增加了數(shù)學上的復雜性。現(xiàn)代密碼體制與傳統(tǒng)密碼體制的最大不同就在于：原文的保密性不再依賴于算法本身，而是依賴于密鑰的保密性，其算法本身則是公開的。在網(wǎng)絡上，計算機的數(shù)據(jù)以數(shù)據(jù)包的形式發(fā)送．為防止信息被竊取，應當對發(fā)送的全部信息進行加密。加密傳輸形式是一種將傳送的內(nèi)容變成一些不規(guī)則的數(shù)據(jù)，只有通過正確的密鑰才可以恢復原文的傳輸形式。

根據(jù)密鑰的特點，加密算法可以分為對稱密鑰加密算法和非對稱密鑰加密算法兩類。

1．對稱密鑰加密算法是傳統(tǒng)的加密手段。最著名的對稱密鑰加密算法DES(DataEncryptions七andard)是由IBM公司在70年代發(fā)展起來的，并經(jīng)過政府的加密標準篩選后，于1976年11月被美國政府采用。DES隨后被美國國家標準局和美國國家標準協(xié)會承認。在該類算法中，信息的發(fā)送方和接收方用同一個秘密密鑰去加密和解密數(shù)據(jù)，一方用商定好的加密函數(shù)和秘密密鑰加密明文，另一方用加密函數(shù)的逆函數(shù)和同一個秘密密鑰對密文解密，得到原始明文。顯然，通訊雙方需要事先交換秘密密鑰。這類加密算法執(zhí)行效率高、速度快，適合對大數(shù)據(jù)量進行加/解密。但由于收發(fā)雙方共享一個秘密密鑰，密鑰的傳遞和管理很困難。目前常用的對稱密鑰加密算法有DES算法和工DEA算法等。

2．非對稱密鑰加密算法又稱公開密鑰技術。它需要使用一對密鑰來分別完成加密和解密操作，一個公開發(fā)布，稱為公開密鑰(Public-Key)；另一個由用戶自己秘密保存，稱為私有密鑰(Private-Key)。在該類算法中，每個用戶都擁有一對密鑰，一個是公開密鑰，另一個是私有密鑰。經(jīng)用戶公開密鑰加密的信息只能通過他的私有密鑰來解密，反過來，經(jīng)用戶私有密鑰加密的信息也只能通過他的公開密鑰來解密。當兩用戶通訊時，雙方都用又于的公開密鑰加密而用自己的私有密鑰解密，就可以實現(xiàn)信息的保密傳輸。常用的公開密鑰算法有RSA算法。

RSA算法是公開密鑰加密算法中比較優(yōu)秀的算法，已經(jīng)得到廣泛的應用。公開密鑰加密算法的安全性依賴于一類特殊的數(shù)學函數(shù)一單向哈希函數(shù)，單向哈希函數(shù)的性質(zhì)為：從一個方向求值容易，但逆向計算卻很困難。公開密鑰加密算法的優(yōu)點是不需在用戶之間傳遞私有密鑰，可以適應開放性的使用環(huán)境，但計算復雜度高，加密和解密速度都比對稱密鑰算法慢得多。

3．混合密鑰加密技術。為了充分利用公開密鑰密碼算法和私有密鑰密碼算法的優(yōu)點，克服其缺點，解決每次傳送更換密鑰的問題，可以采用混合密碼技術，即所謂的電子信封技術口發(fā)送者自動生成對稱密鑰，用對稱密鑰加密發(fā)送的信息，將生成的密文連同用接收方的公開密鑰加密的對稱密鑰一起傳送出去。收信者用自己的私有密鑰解密被加密的密鑰來得到對稱密鑰，并用它來解密密文。這樣保證每次傳送都可由發(fā)送方選定不同密鑰進行，更好的保證了數(shù)據(jù)通訊的安全性?；旌厦荑€加密技術的加/解密過程如下：

a．加密方(或發(fā)方)：

a)生成明文；

b)用密鑰生成算法產(chǎn)生特定長度的對稱密鑰：

c)使用對稱密鑰加密算法(DES/IDEA)和該對稱密鑰對明文進行加密，形成密文；

d)用收方(RSA)公開密鑰加密對稱密鑰：

e)把加密后的對稱密鑰和密文一同發(fā)送給收方。

b．解密方(或收方)：

a)用收方的密鑰解密收到的已加密的密鑰，得到未加密的對稱密鑰；

b)用(a)中得到的對稱密鑰解密密文，得到明文。

從上面分析可以看出，把兩者結合起來使用，就可以綜合發(fā)揮兩種加密體制的優(yōu)點，即DES/IDEA高速簡便性和RSA密鑰管理的方便性和安全性。也就是說，既保證了數(shù)據(jù)安全，又提高了加密和解密的速度。

(三)在線支付的安全技術。電子商務的另一個關鍵問題是要保證在線支付的安全，它是網(wǎng)上購物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransac-tion)協(xié)議。

SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層與應用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務器之間的安全連接技術。SSL通過數(shù)字簽名和數(shù)字證書來實行身份驗證，數(shù)字證書是從認證機構(CertificateAuthority，CA)獲得的，通常包含有唯一標識證書所有者的名稱、唯一標識證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號等。在用數(shù)字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。其運行機制是：

①在建立連接過程中采用公開密鑰；

②在會話過程中使用專有密鑰；

③加密的類型和強度則在兩端之間建立連接過程中判斷決定。

采用SSL協(xié)議的電子交易過程如下：

①表示客戶購買的信息首先發(fā)往商家；②表示商家再將信息轉發(fā)銀行；③和⑤表示銀行驗證客戶的信息的合法性后，再通知商家和客戶付款成功；④表示商家再通知客戶購買成功。

這個流程有兩個方面的缺點：首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證；其次，SSL只能保證資料傳遞過程的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實現(xiàn)電子支付所要求的保密性、完整性，而多方互相認證也很困難的。

SET協(xié)議

SET協(xié)議是一個能保證通過開放網(wǎng)絡進行安全資金支付的技術標準。采用這種協(xié)議它主要解決了以下問題。

首先是客戶資料雖然通過商家到達銀行，但商家不能閱讀這些資料，解決了客戶資料的安全性問題；其次是協(xié)議解決了網(wǎng)上交易存在的客戶與銀行之間、客戶與商家之間、商家與銀行之間的多方認證問題；再其次是由于整個交易過程是建立在Intranet，Extranet和Internet的網(wǎng)絡基礎上的，保證了網(wǎng)上交易的實時性。

SET協(xié)議下的交易模式如下：

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號碼信息的訂單送到商家時，商家只能看到訂單信息，卻看不到信用卡號碼信息，并且需要持卡人和商家相互認證，確定通信雙方身份，一般由認證中心為雙方提供信用擔保。

SET定義了一個完備的電子交易流程，較好地解決了電子交易中各方間復雜的信任關系和安全連接，確保了電子交易中信息的真實性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復雜，銀行、商家和客戶均需改造才能實現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個過程。在我國，大多尚處在對SSL協(xié)議的應用上，要完全實現(xiàn)SET協(xié)議安全支付還要有一個過程。

(3)其它安全問題

對于電子商務的安全性來講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡本身的物理差錯是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務器的可靠性，撥號連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對網(wǎng)絡系統(tǒng)的威脅，單純依賴技術是很難解決的，從某種意義上講，依靠管理加強內(nèi)部人員的安全防范意識等比安全技術更為重要。因此，要加強電子商務的安全性應從多方面入手。

三、對我國電子商務發(fā)展的幾點建議

1．提高服務的安全性

電子商務飛快的發(fā)展速度，致使其安全技術和安全管理都跟不上，這已成為越來越突出的問題，但不能因為安全問題而制約了電子商務的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒有發(fā)展安全就無從談起。

2．加快網(wǎng)絡基礎設施建設和網(wǎng)絡普及程度

發(fā)展電子商務的目的在于降低交易成本，提高交易效率，因此應積極發(fā)展高速寬帶通信信道，重點建設光纜和衛(wèi)星通信，同時積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗發(fā)展HFC接入網(wǎng)。

3．盡快完善有關網(wǎng)絡安全等方面的法律

我國政府在《中華人民共和國合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對推廣電子商務有很大的促進作用，但是在諸多方面還需順應網(wǎng)絡技術的發(fā)展而不斷完善。

4．加快銀行、稅務以及郵政等物流環(huán)節(jié)的信息化建設步伐，建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC)的商務溝通，實現(xiàn)網(wǎng)上資金流動，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5．轉變?nèi)藗兠鎸γ娼灰椎南M習慣

目前，基于Internet的電子商務應用還剛剛開始，許多方面都還不夠完善，并且，我國和發(fā)達國家之間的差距很大