1、贵 州 大 学2008 届硕士研究生学位论文电子商务安全技术研究学科专业: 软件工程 研究方向: 网络安全 导 师: 杨世平 研 究 生: 唐作莉 中国贵州贵阳2008 年 3 月分 类 号 : TP309 论文编号: 2006430113018 密 级: 目 录摘 要 .1第一章 绪 论 .3引 言 .31.1 论文研究的背景和意义 .31.1.1 论文研究的背景 .31.1.2 选题意义 .71.2 国内外研究现状 .81.3 基本概念及术语 .101.3.1 什么是电子商务 .101.3.2 电子商务的特点 .111.3.3 电子商务安全内容 .121.3.4 电子商务中的术语 .13第
2、二章 电子商务的安全现状和存在的问题 .152.1 电子商务的安全现状 .152.2 安全技术分析 .162.3 电子商务安全的必备要素 .202.4 电子商务安全理念 .21第三章 电子商务的安全体系和技术实现 .233.1 电子商务的安全体系 .233.2 电子商务安全技术 .243.2.1 加密技术 .243.2.2 安全认证技术 .243.2.3 电子商务的安全协议 .273.2.4 病毒防范技术 .283.2.5 防火墙技术 .293.3 电子商务安全技术的实现 .293.3.1 IDEA 数据加密算法 .293.3.2 用 OPENSSL 实现 CA 认证 .32第四章 电子商务安
3、全措施 .384.1 管理措施 .384.2 完善的保障措施 .394.2.1 建立实名登记制度 .394.2.2.建立信用制度 .404.2.3.建全法律制度 .404.2.4.建立更好的交易方法 .424.2.5.可引入信息告知制度 .434.3 发生电子商务安全问题时的应对原则 .43结语 .45致谢 .46参考文献 .47电子商务安全技术研究摘 要电子商务是利用计算机网络开展的商务活动,随着因特网的飞速发展, 电子商务已经成为一切经济活动不可或缺的组成元素,是推动企业发展的核心力量 。电子商务的发展前景十分诱人,但安全问题始终是影响电子商务发展的关键因素。安全问题威胁着交易中每一方的利
4、益,客户由此产生的疑虑会影响到交易的成败,甚至会影响电子商务的进一步的发展。要保证电子商务的顺利发展,就必须高度重视安全问题。如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于 Internet 的电子交易方式与传统交易方式一样安全可靠,已经成为大家十分关心的问题。 本文客观分析了电子商务发展所面临的问题,系统的介绍了电子商务系统中的主要安全技术,包括密码理论( 对称加密、公钥体制)、身份认证、数字签名等。应用IDEA 数据加密算法编写了加密和解密程序,并用 OPENSSL 实现 CA 认证过程。在管理措施方面提出建立信用制度、实名登记制度、信息告知制度等保障措施
5、。关键词: 电子商务,安全,加密,解密,数字签名,认证中心AbstractElectronic commerce is a commercial activity using internet. With the speedy development of internet, electronic business is becoming a necessary element of all economic activities and the core power accelerating the development of enterprises. Though the prospec
6、t of electronic businesss development is attractive, the security problem is always the key factor affecting the development of electronic business. The safety problem threaten the interests of both trading sides. Especially the doubts of customers can make the trade unsuccessful and even hinder the
7、 farther development of electronic business. To ensure the successful development of electronic business, the safety problem should be paid great attention. Now it is a problem cared by all the people how to create a safe and convenient application environment of electronic business to guarantee the
8、 safety of the information in the entire commercial activity and make the electronic business based on the internet as safe as the traditional trade. This article analyzes the problems existed in the development of electronic business objectively and researches the safety problem systematically. It
9、introduces the main safety technique which include password theory (symmetric encryption and public key system), identity authentication, digital signature and so on. The encryption and decryption programs are programmed with IDEA data encryption algorithm and CA authentication process is realized b
10、y OPENSSL. In the aspect of management measures, it is suggested that credit system, real-name registration system, information notification system and other safeguard measures should be established. Key Words: Electronic commerce, Security, Encryption, decryption, Digital signature, Certificate aut
11、horities,CA第一章 绪 论引 言 有这样一些画面越来越多地出现在如今的影视作品中:主角远在海外,却能在电子商务网站上给家人订购鲜花和生日蛋糕,当他给家人打电话祝贺家人生日快乐时,鲜花和蛋糕已经放在家中客厅的餐桌上;一名成功的商人在机场等待飞机起飞的过程中,通过移动电子商务又成功地签署了一份利润丰厚的合同事实上,诸如此类的场景现在已经不再是人们的梦想,不仅频繁地出现在影视作品中,而且在现实中也比比皆是,以至于我们已经开始习惯这种方便快捷的商务形式。我们在日常生活中享受电子商务给我们的生活和工作带来的种种便利,目前已经被广泛认同的电子商务的表现形式是多样的。比如:电子银行,用户能随时随地
12、在网上安全地进行个人财务管理,可以使用各种终端核查其账户、支付账单,进行转账以及接收付款通知等;股票交易,接收实时财务新闻和信息;订票,通过互联网(Internet)预订机票、车票或入场券,用户可以浏览电影剪辑、阅读评论,然后订购邻近电影院的电影票;购物,用户能很便利地在网上购物;娱乐,电子商务可带来一系列娱乐服务,用户不仅可以收听音乐,还可以订购、下载特定曲目,支付其费用,并且可以在网上与朋友们玩交互式游戏。以上都是电子商务在日常生活中的一些具体体现,而在这些现象背后的就是靠电子商务架构构筑的一个电子世界。这个构架非常重要一个支撑点就是安全技术,电子商务的的安全与否决定着电子商务的成败,没有
13、人愿意花钱去买一份没有保证的东西,所以,本文将针对电子商务的安全问题一一分析并找出相应防范措施。1.1 论文研究的背景和意义 1.1.1 论文研究的背景1.电子商务安全问题的紧迫性电子商务简而言之就是“利用计算机及互联网开展的各种商务活动” 。电子是手段,商务是目的。从其环节看,是买卖双方通过互联网,实现有关商务的信息流、资金流和物流的交互。从其内容看,是买卖双方通过互联网,发布有关商务的各类信息,开展商务谈判、签约,进行资金支付和结算,实现商品的配送及提供售后服务等。2006 年全球网上电子交易额超过 12 万亿美元。预计未来几年全球电子商务将迎来高速发展期,预计到 2010 年,全球电子商
14、务交易总额将会达到 27.4 万亿美元。电子商务在我国也迅速发展起来了,截至 2006 年底,我国网民人数达到了 1.37亿,占中国人口总数的 10.5%。2006 年我国参与网上交易的人数已达 1340 万,中国内地电子商务规模在 2005 年达到 5300 亿元人民币,预计 2007 年将骤增至 17000 亿元人民币。国内大多数商务站点因没有采用相应的安全保密技术而无法安全地实现网上支付和保证交易的合法性与严肃性。采用何种安全保密策略是整个商务网站建设中最重要的一环,电子商务的成功发展必须解决的问题有: 内容能否吸引客户,操作是否简单易用,交易是否安全保密等。而电子商务的安全保密是实施中
15、的关键问题,也是技术难点。一边电子商务风风火火迅速发展,一边安全问题没有完善解决,先从一些案例看看安全的紧迫性。1988 年 11 月 2 日,年仅 23 岁的美国康奈尔大学(Cornell University)的学生罗伯特莫瑞斯(Robert Morris) ,在自己的计算机上将自己编写的蠕虫程序送进因特网,一夜之间, “蠕虫”攻击了因特网上约 6200 台小型机和工作站,占当时互联网上连接的计算机总数的 10,造成包括美国参众两院、研究中心、国家航空航天局、几个军事基地及 300 多所大学的计算机停止运行,事故经济损失达 9600 万美元。这是世界上首例公开披露的网络“黑客”攻击案。19
16、94 年 4 月期间,24 岁的计算机专家列文通过因特网多次侵入美国花旗银行在华尔街的中央计算机系统的现金管理系统。此系统允许在该行开户的企业客户在世界范围内作资金流动转移,每天通过该银行的资金达 500 亿美元。列文从花旗银行在阿根廷的两家银行和印度尼西亚的一家银行的几个企业客户的账户中将 40 笔款项转移到其同伙在加利福尼亚和以色列银行所开的账户上,窃走 1000 多万美元。据称,这是大银行的重要计算机系统首次被外人侵入。该事件引起有关人士对银行计算机系统安全问题的关注。1995 年 2 月 16 日, 纽约时报头版报道,31 岁的计算机专家凯文米特尼克由于计算机欺诈和非法使用电话设备而受
17、到指控。他非法进入全国各地的计算机系统,盗窃了上千个文件和至少两万个信用卡号码,窥视了数以 10 亿美元计的商业机密,成为在全世界范围内被通缉的头号计算机“黑客” 。1999 年 3 月 26 日,一种通过电子邮件传播的名叫“美丽杀手”的病毒被发现。由于电子邮件在互联网上的广泛使用使此病毒以极高的速度广泛传播,它不仅能使被感染的计算机崩溃,还可能泄漏计算机中的机密信息。2000 年 2 月 7 日至 9 日, “黑客”袭击了美国最热门的几个网站: 雅虎(Y) 、B、eB、亚马逊网上书店(A) 、美国有线电视网(CNN)和微软网站(MSN.com) 。我国犯罪分子的触角也开始伸向电子商务领域。1
18、997 年 1 月 21 日到 3 月 18 日期间,宁波证券公司深圳业务部的技术骨干曾定文多次通过证券交易网络私自透支本单位资金,累计 928 万元,用于个人股票交易。而另一名技术人员吴敬文则于 1997 年 1月 27 日至 3 月 18 日期间,利用两个股东账号私自透支本单位资金 2033 万元用于炒股。他们的行为给国家造成了巨大损失。1999 年 4 月 26 日,CIH 病毒在我国大范围爆发,据估计,受害计算机总数超过 36万台,损失达 10 亿元人民币。2. 电子商务不安全原因传统的电子商务 EDI 依托封闭的专用网络传输信息,业务项目有限,交互范围不广,安全问题并不突出。建立在因
19、特网基础上的现代电子商务,因其方便、廉价、广泛而使电子商务跨出了超级企业的门槛,成为全民的网上交易工具。因特网本来就是一个开放的、自由的国际网,其安全性自然是首当其冲的问题。一个完整的电子商务体系涉及客户、服务商和银行等方面。而电子商务中双方的信息交换均是在开放的因特网上进行的,因特网技术极大地增强了客户、商家和银行之间的信息交换能力,然而也增加了某些敏感的有价值数据被滥用、假冒和窃取的风险。电子商务是基于计算机网络通信为基础的,而现代计算机网络在建立之初,大都忽略了安全问题,即使考虑了安全问题,也只是把安全机制建立在物理安全基础之上。随着网络的互联程度扩大,这种安全机制已经不能适应交易安全的
20、需要了。而且,目前网络上使用的协议,在制定之初也没有把安全问题考虑在内,所以没有安全可言。开放性和资源共享性,是计算机网络的最大优势,但也成为电子商务发展中安全问题的主要根源。网络社会中的种种威胁安全的风险问题也成为阻碍电子商务发展的一大难题。在因特网上,不仅个人隐私权需要保护,而且,电子商务的各个环节,如在线数据传输、网上电子支付等,其安全保障则是命脉攸关的。因特网目前不能成为平稳固定的商务平台,其重要的原因之一就是因特网上的用户不相信他们在网上的通信和资料是安全的、不会受到干扰和篡改。对商家而言要考虑客户是不是骗子,而客户也会担心网上的商店是不是一个玩弄骗术的黑店。因此能方便而可靠地确认对
21、方身份是交易的前提。为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,它们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法。商家还要防止发生拒付款问题以及确认订货和订货收据信息等。3. 电子商务的风险电子商务活动的参与人,包括商人、金融机构、网上服务提供商以及消费者,他们经常会遇到以下种种风险问题: 因电子商务交易的不确定性而引起的损失。 “黑客”入侵、商业毁誉、通信线路瘫痪、电子系统失灵、电子商务中的交易惯例
22、的不合理,以及工作人员的失误,都可能引起电子商务的中断,并给交易人带来不必要的损失。商业损失、信用及商誉的破坏、进行纠纷解决的费用都可能是相当巨大的,这是每个交易人不能不考虑的问题。 因欺诈而产生的直接经济损失。外部入侵及内部管理不严都有可能引起资金的错拨,以及金融交易记录的丢失。 因网络服务中断而导致的商业机会的损失。对于某些必须以电子数据通信或交换为基础的交易,如果系统遭受攻击或堵塞,而使交易停顿,则给交易人带来的损失可能是灾难性的。 保密信息的外泄。许多信息,技术诀窍、商业秘密等对于某些机关或企业而言,是至关重要的,一旦泄露出去,对该机关或企业可能会造成致命的打击。如在电子交易中,这些信
23、息如果被外部攻击者获取,交易人就可能面临巨大的损失。 非法使用。攻击者可能非法使用交易人的网上资源使之遭受损失。在实践中常见的是, “黑客”通过某一交易人的计算机系统作为工作平台,转而攻击第三人的系统或网络,而让该交易人代为承担责任。 尽管各国都加强了对消费者的保护,但是,电子储蓄或理财系统更易成为被攻击的对象。对于用户来说,银行系统的紊乱无疑是使其最感不安的事情。这些都是电子商务中存在的风险问题。这些问题使得网络用户在考虑采用电子数据方式交易时,小心翼翼、如履薄冰,因此也减缓了电子商务的发展速度。从上面可以看出,在电子商务系统中,如果不解决安全问题,就无法进行安全有效的电子商务活动。安全问题
24、已成为制约电子商务发展的重要因素之一。1.1.2 选题意义在以上背景下,本文选择了以电子商务安全为主题,对电子商务安全的提出以下观点: 首先,安全是一个系统概念,安全问题不仅仅是个技术问题,还包含管理,而且它与社会道德、行政管理以及人们的行为模式紧密相连。换句话说,安全是一个综合性课题,涉及立法、技术、管理、使用等许多方面,包括信息系统本身的安全问题以及信息、数据的安全问题。信息安全也有物质的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。其次,安全是相对的,不能一味地追求一个永远也攻不破的安全系统,安全与管理始终是联系在一起的。也就是说安全是相对的,而不是绝对的,要正确认识这个
25、问题。再次,安全是有代价的,无论是现在国外的 B2B还是 B2C,都要考虑安全的代价和成本的问题。如果只注重速度,就必定要以牺牲安全来作为代价; 如果考虑到安全,速度就得慢一点,把安全性保障得更好一些。当然这与电子商务的具体应用有关,如果不直接牵涉支付等敏感问题,对安全的要求就可以低一些; 如果牵涉支付问题,对安全的要求就要高一些,所以安全是有成本和代价的。作为一个经营者,应该综合考虑这些因素; 作为安全技术的提供者,在研发技术时也要考虑到这些因素。最后,安全是发展的、动态的,今天安全明天不一定安全,因为网络的攻防是此消彼长,道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗
26、性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。本文首先全面分析了在电子商务过程中的各种风险及原因,从宏观到微观,从内部环境到外部环境等,几乎涉及各种风险,并特别强调了各种风险的危害,想由此引起各方面,特别是做电子商务企业的高度重视。根据风险产生的原因,给出了避免这些风险的方法,特别是从管理学角度给出了控制风险的切实可行的方法。其次,对安全与加密理论进行了研究,根据这些原理对电子商务提出了安全对策。最后,对于安全环境,从建立基本的安全系统到安全系统的集成,讨论了它们的必要性,特别是安全系统的设置方法,从技术层面和管理层面上给出了具体的方法和措施。作为一个安全的电子商务系统,首先,必
27、须具有一个安全、可靠的通信网络系统,以保证交易信息安全、迅速地传递; 其次,必须保证数据库服务器绝对安全,防止信息被他人盗取; 再次,采取电子签名和电子公证、认证等网上比较成熟的安全手段,实现网上交易的安全进行,增强交易人对网上交易安全的信心; 最后,从制度角度加以完善。一方面应尽快制定规范的电子商务交易标准,包括标准合同文本、支付标准、技术标准等; 另一方面,应尽快完善电子商务交易的法律法规,明确交易各方当事人的法律关系和法律责任,以确保交易的安全实现。其安全措施一般分为三类: 逻辑上的、物理上的和法律上的。尽管物理上和法律上的措施对于保证交易安全十分重要,甚至是必不可少的,但是,面对越来越
28、严重的危害电子商务交易安全的种种威胁,本来就不甚完善的物理与法律措施更显得捉襟见肘了。因此,采用逻辑上的安全措施,即研究和开发有效的电子商务安全技术,变得相当重要了。在电子商务的交易人对电子商务安全性建立起足够的信心之前,电子商务的推广普及是不可能实现的。要保证电子商务的正常运作,必须高度重视安全问题。安全问题是网络交易成功与否的关键所在,也是致命所在。因为网络交易的安全问题不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家的经济稳定。因此,电子商务安全是电子商务发展过程中一个重要问题,其重要性不亚于电子商务本身的发展。1.2 国内外研究现状因特网技术起源于 20 世纪 60 年代末期美国军方研究的 ARPA 网(Advanced Research Projects Agency),到 1983 年从研究型网转向民用,并进入迅速发展阶段;到 90 年代初期,欧洲核粒子中心(CERN)研究出万维网服务之后,使得因特网进入
