電子商務(wù)及其安全防范畢業(yè)論文

電子商務(wù)及其安全防范[摘要]隨著因特網(wǎng)的飛速發(fā)展，電子商務(wù)正得到越來越廣泛的應(yīng)用，進(jìn)入21世紀(jì)，全球電子商務(wù)迎來了新的發(fā)展高潮。電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素。本文首先討論了電子商務(wù)應(yīng)用中所存在的問題，繼而對(duì)電子商務(wù)的安全性技術(shù)進(jìn)行了分析。

[關(guān)鍵詞]電子商務(wù)；安全性；安全套接層協(xié)議；安全電子交易協(xié)議

隨著因特網(wǎng)的飛速發(fā)展，電子商務(wù)正得到越來越廣泛的應(yīng)用，進(jìn)入21世紀(jì)，全球電子商務(wù)迎來了新的發(fā)展高潮。電子商務(wù)的安全性是影響其成敗的一個(gè)關(guān)鍵因素。對(duì)電子商務(wù)中存在的安全問題及安全技術(shù)加以分析，才能滿足電子商務(wù)安全的基本需求，以推動(dòng)電子商務(wù)的更快發(fā)展。

一、電子商務(wù)及其存在的問題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通信方式，買賣雙方不謀面而進(jìn)行各種商業(yè)和貿(mào)易活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問題：

1．安全協(xié)議問題。我國(guó)大多數(shù)尚處在SSL(安全套接層協(xié)議)的應(yīng)用上，SET協(xié)議的應(yīng)用還只是剛剛試驗(yàn)成功，在信息的安全保密體制上還不成熟，對(duì)安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。

2．安全管理問題。在安全管理方面還存在很大隱患，究竟誰來管理，怎么管理，采取什么有序的管理辦法，這些問題亟待解決。需要有一個(gè)安全可靠的信息網(wǎng)絡(luò)普抵御黑客的攻擊。

3．電子商務(wù)沒有真正深入商務(wù)領(lǐng)域，而僅僅局限于信息領(lǐng)域。現(xiàn)在我國(guó)的電子商務(wù)好多只是停留在用計(jì)算機(jī)簡(jiǎn)單模擬原來的手工操作流程，提供單純的技術(shù)產(chǎn)品為主，不擅長(zhǎng)動(dòng)態(tài)信息的跟蹤和獲取，個(gè)人用戶比較少，企業(yè)用戶還未大量出現(xiàn)。

4．技術(shù)人才短缺問題。電子商務(wù)是在近幾年才得到了迅猛發(fā)展，許多地方都缺乏足夠的技術(shù)人才來處理所遇到的各種問題。不少電子商務(wù)的開發(fā)商對(duì)網(wǎng)絡(luò)技術(shù)很熟悉，但是對(duì)安全技術(shù)了解得偏少，因而難以開發(fā)出真正實(shí)用的、安全性的產(chǎn)品。

5．法律問題。電子交易衍生了一系列法律問題，例如網(wǎng)絡(luò)交易糾紛的仲裁、網(wǎng)絡(luò)交易契約等問題，急需為電子商務(wù)提供法律保障。

6．稅收問題。電子商務(wù)的發(fā)展在促進(jìn)貿(mào)易增加稅收的同時(shí)又對(duì)稅收制度及其管理手段提出了新要求。

二、電子商務(wù)中的安全性技術(shù)

安全性技術(shù)是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，也是目前大家十分關(guān)注的問題。雖然Internet的開放式的信息交換使之在安全方面存在脆弱性，但現(xiàn)在幾乎網(wǎng)絡(luò)的各個(gè)層次都制訂了安全協(xié)議和具備了相應(yīng)的安全技術(shù)，以保證電子商務(wù)的安全性。

(一)安全的網(wǎng)絡(luò)平臺(tái)。安全可靠的網(wǎng)絡(luò)是實(shí)現(xiàn)電子商務(wù)的基礎(chǔ)，常用的方法是在網(wǎng)絡(luò)中采用防火墻技術(shù)，虛擬專用網(wǎng)(VPN)技術(shù)，防病毒保護(hù)等。防火墻技術(shù)是通過IP過濾和代理服務(wù)器軟件方法保護(hù)企業(yè)內(nèi)部網(wǎng)(Intranet)中數(shù)據(jù)，只有授權(quán)用戶才能獲準(zhǔn)進(jìn)入企業(yè)內(nèi)部網(wǎng)的系統(tǒng)。虛擬專用網(wǎng)(VPN)技術(shù)通過IP隧道等方法來保證企業(yè)協(xié)作網(wǎng)(Extranet)中企業(yè)間數(shù)據(jù)和企業(yè)內(nèi)部網(wǎng)的遠(yuǎn)程分支機(jī)構(gòu)和外出職工對(duì)中央系統(tǒng)的遠(yuǎn)程訪問數(shù)據(jù)的安全傳遞。單純依靠這些方法保護(hù)網(wǎng)絡(luò)的安全性是不夠的，還必須與其它安全措施綜合使用才能為為用戶提供更為可靠的電子商務(wù)基石，例如現(xiàn)在的加密技術(shù)、數(shù)字簽名技術(shù)、電子認(rèn)證技術(shù)等。

(二)密碼術(shù)概述。密碼技術(shù)雖然在第二次世界大戰(zhàn)期間開始流行，在當(dāng)前才廣泛應(yīng)用于網(wǎng)絡(luò)安全和電子商務(wù)安全之中，但其起源可追溯到幾千年前。其思想目前還在使用，只是在處理過程中增加了數(shù)學(xué)上的復(fù)雜性。現(xiàn)代密碼體制與傳統(tǒng)密碼體制的最大不同就在于：原文的保密性不再依賴于算法本身，而是依賴于密鑰的保密性，其算法本身則是公開的。在網(wǎng)絡(luò)上，計(jì)算機(jī)的數(shù)據(jù)以數(shù)據(jù)包的形式發(fā)送．為防止信息被竊取，應(yīng)當(dāng)對(duì)發(fā)送的全部信息進(jìn)行加密。加密傳輸形式是一種將傳送的內(nèi)容變成一些不規(guī)則的數(shù)據(jù)，只有通過正確的密鑰才可以恢復(fù)原文的傳輸形式。

根據(jù)密鑰的特點(diǎn)，加密算法可以分為對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法兩類。

1．對(duì)稱密鑰加密算法是傳統(tǒng)的加密手段。最著名的對(duì)稱密鑰加密算法DES(DataEncryptions七andard)是由IBM公司在70年代發(fā)展起來的，并經(jīng)過政府的加密標(biāo)準(zhǔn)篩選后，于1976年11月被美國(guó)政府采用。DES隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)承認(rèn)。在該類算法中，信息的發(fā)送方和接收方用同一個(gè)秘密密鑰去加密和解密數(shù)據(jù)，一方用商定好的加密函數(shù)和秘密密鑰加密明文，另一方用加密函數(shù)的逆函數(shù)和同一個(gè)秘密密鑰對(duì)密文解密，得到原始明文。顯然，通訊雙方需要事先交換秘密密鑰。這類加密算法執(zhí)行效率高、速度快，適合對(duì)大數(shù)據(jù)量進(jìn)行加/解密。但由于收發(fā)雙方共享一個(gè)秘密密鑰，密鑰的傳遞和管理很困難。目前常用的對(duì)稱密鑰加密算法有DES算法和工DEA算法等。

2．非對(duì)稱密鑰加密算法又稱公開密鑰技術(shù)。它需要使用一對(duì)密鑰來分別完成加密和解密操作，一個(gè)公開發(fā)布，稱為公開密鑰(Public-Key)；另一個(gè)由用戶自己秘密保存，稱為私有密鑰(Private-Key)。在該類算法中，每個(gè)用戶都擁有一對(duì)密鑰，一個(gè)是公開密鑰，另一個(gè)是私有密鑰。經(jīng)用戶公開密鑰加密的信息只能通過他的私有密鑰來解密，反過來，經(jīng)用戶私有密鑰加密的信息也只能通過他的公開密鑰來解密。當(dāng)兩用戶通訊時(shí)，雙方都用又于的公開密鑰加密而用自己的私有密鑰解密，就可以實(shí)現(xiàn)信息的保密傳輸。常用的公開密鑰算法有RSA算法。

RSA算法是公開密鑰加密算法中比較優(yōu)秀的算法，已經(jīng)得到廣泛的應(yīng)用。公開密鑰加密算法的安全性依賴于一類特殊的數(shù)學(xué)函數(shù)一單向哈希函數(shù)，單向哈希函數(shù)的性質(zhì)為：從一個(gè)方向求值容易，但逆向計(jì)算卻很困難。公開密鑰加密算法的優(yōu)點(diǎn)是不需在用戶之間傳遞私有密鑰，可以適應(yīng)開放性的使用環(huán)境，但計(jì)算復(fù)雜度高，加密和解密速度都比對(duì)稱密鑰算法慢得多。

3．混合密鑰加密技術(shù)。為了充分利用公開密鑰密碼算法和私有密鑰密碼算法的優(yōu)點(diǎn)，克服其缺點(diǎn)，解決每次傳送更換密鑰的問題，可以采用混合密碼技術(shù)，即所謂的電子信封技術(shù)口發(fā)送者自動(dòng)生成對(duì)稱密鑰，用對(duì)稱密鑰加密發(fā)送的信息，將生成的密文連同用接收方的公開密鑰加密的對(duì)稱密鑰一起傳送出去。收信者用自己的私有密鑰解密被加密的密鑰來得到對(duì)稱密鑰，并用它來解密密文。這樣保證每次傳送都可由發(fā)送方選定不同密鑰進(jìn)行，更好的保證了數(shù)據(jù)通訊的安全性。混合密鑰加密技術(shù)的加/解密過程如下：

a．加密方(或發(fā)方)：

a)生成明文；

b)用密鑰生成算法產(chǎn)生特定長(zhǎng)度的對(duì)稱密鑰：

c)使用對(duì)稱密鑰加密算法(DES/IDEA)和該對(duì)稱密鑰對(duì)明文進(jìn)行加密，形成密文；

d)用收方(RSA)公開密鑰加密對(duì)稱密鑰：

e)把加密后的對(duì)稱密鑰和密文一同發(fā)送給收方。

b．解密方(或收方)：

a)用收方的密鑰解密收到的已加密的密鑰，得到未加密的對(duì)稱密鑰；

b)用(a)中得到的對(duì)稱密鑰解密密文，得到明文。

從上面分析可以看出，把兩者結(jié)合起來使用，就可以綜合發(fā)揮兩種加密體制的優(yōu)點(diǎn)，即DES/IDEA高速簡(jiǎn)便性和RSA密鑰管理的方便性和安全性。也就是說，既保證了數(shù)據(jù)安全，又提高了加密和解密的速度。

(三)在線支付的安全技術(shù)。電子商務(wù)的另一個(gè)關(guān)鍵問題是要保證在線支付的安全，它是網(wǎng)上購(gòu)物的重要保證。目前采用的在線支付協(xié)議有兩種：安全套接層SSL(SecureSocketsLayer)協(xié)議和安全電子交易SET(SecureElectronicTransac-tion)協(xié)議。

SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡(luò)傳輸層與應(yīng)用層之間提供的一種基于RSA和保密密鑰的用于瀏覽器與Web服務(wù)器之間的安全連接技術(shù)。SSL通過數(shù)字簽名和數(shù)字證書來實(shí)行身份驗(yàn)證，數(shù)字證書是從認(rèn)證機(jī)構(gòu)(CertificateAuthority，CA)獲得的，通常包含有唯一標(biāo)識(shí)證書所有者的名稱、唯一標(biāo)識(shí)證書發(fā)布者的名稱、證書所有者的公開密鑰、證書發(fā)布者的數(shù)字簽名、證書的有效期及證書的序列號(hào)等。在用數(shù)字證書對(duì)雙方的身份驗(yàn)證后，雙方就可以用保密密鑰進(jìn)行安全的會(huì)話了。其運(yùn)行機(jī)制是：

①在建立連接過程中采用公開密鑰；

②在會(huì)話過程中使用專有密鑰；

③加密的類型和強(qiáng)度則在兩端之間建立連接過程中判斷決定。

采用SSL協(xié)議的電子交易過程如下：

①表示客戶購(gòu)買的信息首先發(fā)往商家；②表示商家再將信息轉(zhuǎn)發(fā)銀行；③和⑤表示銀行驗(yàn)證客戶的信息的合法性后，再通知商家和客戶付款成功；④表示商家再通知客戶購(gòu)買成功。

這個(gè)流程有兩個(gè)方面的缺點(diǎn)：首先，客戶的銀行資料信息先送到商家，讓商家閱讀，這樣，客戶銀行資料的安全性就得不到保證；其次，SSL只能保證資料傳遞過程的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實(shí)現(xiàn)電子支付所要求的保密性、完整性，而多方互相認(rèn)證也很困難的。

SET協(xié)議

SET協(xié)議是一個(gè)能保證通過開放網(wǎng)絡(luò)進(jìn)行安全資金支付的技術(shù)標(biāo)準(zhǔn)。采用這種協(xié)議它主要解決了以下問題。

首先是客戶資料雖然通過商家到達(dá)銀行，但商家不能閱讀這些資料，解決了客戶資料的安全性問題；其次是協(xié)議解決了網(wǎng)上交易存在的客戶與銀行之間、客戶與商家之間、商家與銀行之間的多方認(rèn)證問題；再其次是由于整個(gè)交易過程是建立在Intranet，Extranet和Internet的網(wǎng)絡(luò)基礎(chǔ)上的，保證了網(wǎng)上交易的實(shí)時(shí)性。

SET協(xié)議下的交易模式如下：

SET使訂單信息和信用卡信息的隔離。在把包含信用卡號(hào)碼信息的訂單送到商家時(shí)，商家只能看到訂單信息，卻看不到信用卡號(hào)碼信息，并且需要持卡人和商家相互認(rèn)證，確定通信雙方身份，一般由認(rèn)證中心為雙方提供信用擔(dān)保。

SET定義了一個(gè)完備的電子交易流程，較好地解決了電子交易中各方間復(fù)雜的信任關(guān)系和安全連接，確保了電子交易中信息的真實(shí)性、保密性、防抵賴性和不可更改性。但由于SET協(xié)議龐大而又復(fù)雜，銀行、商家和客戶均需改造才能實(shí)現(xiàn)互操作，使得SET協(xié)議被普遍使用還需有一個(gè)過程。在我國(guó)，大多尚處在對(duì)SSL協(xié)議的應(yīng)用上，要完全實(shí)現(xiàn)SET協(xié)議安全支付還要有一個(gè)過程。

(3)其它安全問題

對(duì)于電子商務(wù)的安全性來講，有了防火墻與安全協(xié)議和規(guī)范還不夠，一方面，網(wǎng)絡(luò)本身的物理差錯(cuò)是難以避免的；另一方面，Internet主干網(wǎng)和DNS服務(wù)器的可靠性，撥號(hào)連接質(zhì)量與速度還不能滿足人們的需求；另外，惡意代碼對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅，單純依賴技術(shù)是很難解決的，從某種意義上講，依靠管理加強(qiáng)內(nèi)部人員的安全防范意識(shí)等比安全技術(shù)更為重要。因此，要加強(qiáng)電子商務(wù)的安全性應(yīng)從多方面入手。

三、對(duì)我國(guó)電子商務(wù)發(fā)展的幾點(diǎn)建議

1．提高服務(wù)的安全性

電子商務(wù)飛快的發(fā)展速度，致使其安全技術(shù)和安全管理都跟不上，這已成為越來越突出的問題，但不能因?yàn)榘踩珕栴}而制約了電子商務(wù)的發(fā)展，使安全成為發(fā)展的瓶頸，發(fā)展是首位的，沒有發(fā)展安全就無從談起。

2．加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和網(wǎng)絡(luò)普及程度

發(fā)展電子商務(wù)的目的在于降低交易成本，提高交易效率，因此應(yīng)積極發(fā)展高速寬帶通信信道，重點(diǎn)建設(shè)光纜和衛(wèi)星通信，同時(shí)積極利用現(xiàn)有通信線路發(fā)展ISDN和ADSL接入，利用有線電視線路，試驗(yàn)發(fā)展HFC接入網(wǎng)。

3．盡快完善有關(guān)網(wǎng)絡(luò)安全等方面的法律

我國(guó)政府在《中華人民共和國(guó)合同法》中規(guī)定了以電子媒體為載體的合同具有法律約束力，對(duì)推廣電子商務(wù)有很大的促進(jìn)作用，但是在諸多方面還需順應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷完善。

4．加快銀行、稅務(wù)以及郵政等物流環(huán)節(jié)的信息化建設(shè)步伐，建立企業(yè)到企業(yè)(BtoB)、企業(yè)到客戶(BtoC)的商務(wù)溝通，實(shí)現(xiàn)網(wǎng)上資金流動(dòng)，解決目前有形商品交易環(huán)節(jié)中的流通因難。

5．轉(zhuǎn)變?nèi)藗兠鎸?duì)面交易的消費(fèi)習(xí)慣

目前，基于Internet的電子商務(wù)應(yīng)用還剛剛開始，許多方面都還不夠完善，并且，我國(guó)和發(fā)達(dá)國(guó)家之間的差距很大