电子商务网络交易安全性探讨
毕业学位论文原创性声明和使用授权说明原创性声明本人郑重声明: 所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。除文中已经注明引用的内容外,本论文不含任何其他个人或集体已经发表或撰
毕业学位论文原创性声明和使用授权说明
原创性声明
本人郑重声明: 所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的
成果。除文中已经注明引用的内容外,本论文不含任何其他个人或集体已经发表或撰写过的作品或成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律结果由本人承担。
论文作者签名: 年 月 日
学位论文使用授权说明
本人完全了解学校关于收集、保存、使用学位论文的规定,即:
按照学校要求提交学位论文的印刷本和电子版本;
学校有权保存学位论文的印刷本和电子版,并提供目录检索与阅览服务; 学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的的前提下,学校可以公布论文的部分或全部内容。
论文作者签名: 年 月 日
I
,摘 要
电子商务最早产生于60年代,发展于90年代。随着计算机的全民普及电子商务也逐具规模,并且伴随着信用卡的普及应用,其方便、快捷、安全等优点成为人们消费支付的重要手段,为电子商务中的网上支付提供了重要途径,使得电子商务大有一发不可收拾之势。
电子商务的实施,其关键在于保证整个商务过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题。在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,成为电子商务发展道路上必须解决的难关。
本文首先分析了电子商务发展背景与电子商务的安全现状。展示了完整的安全体系结构,再详述了电子商务的安全性需求和实现网络的安全技术措施。接着分析了数字证书与CA 认证、加密技术、数字签名技术和信息摘要技术等电子商务安全技术。最后探讨了保证交易安全的两个协议,即安全电子交易协议SET 和安全套接层协议SSL ,并对两种协议做出了相应的分析和比较。
关键词:电子商务;安全体系;加密;数字证书;安全交易
II
,ABSTRACT
E-commerce originated in the 60's, developed in the 90's. With the popularity of e-commerce is also a computer by a universal scale, and application along with the popularity of credit cards, convenient, fast and secure payment of such benefits become an important means of consumption, the online payment for e-commerce provides an important way to make much out of control e-commerce trend.
The implementation of e-commerce, the key is to ensure that the entire business process of system security, which is to ensure that electronic transactions on the Internet and traditional trading process as safe and reliable manner. Security is tight around the business transactions on the Internet on traditional business applications for a variety of security issues. On the basis of computer network security, how to protect the smooth process of e-commerce as e-commerce development difficulties on the road that must be addressed.
This paper analyzes the development background of e-commerce and e-commerce security situation. Shows a complete security architecture, then details the security requirements of electronic commerce and realization of the network security technical measures. Then analyzes the digital certificate and the CA authentication, encryption, digital signature technology and information technology, e-commerce security technology summary. Finally, we discuss the two agreements to ensure transaction security, the Secure Electronic Transaction SET and Secure Sockets Layer SSL, and two protocols to make the corresponding analysis and comparison.
Keywords: Electronic commerce; Security system; Encryption; Digital certificate; Security Transactions
III
,目 录
一、绪论 .......................................................... 1
(一) 电子商务发展背景 . .............................................. 1
(二) 国内外电子商务安全现状 . ........................................ 1
二、电子商务安全体系研究 .......................................... 2
(一) 完整的电子商务安全体系结构 . .................................. 2
(二) 电子商务的安全性要求 . ........................................ 3
三、电子商务安全技术分析 .......................................... 4
(一) 数字证书与CA 认证 . .............................................. 4
(三) 数字签名技术 . .................................................. 5
(四) 信息摘要技术 . .................................................. 6
四、电子商务安全交易标准 .......................................... 6
(一) 安全套接层SSL 协议 . ............................................ 6
(二) 安全电子交易SET 协议 . .......................................... 7
(三) SET协议与SSL 协议的比较 ....................................... 7
五、 结论 ......................................................... 9
参考文献 ......................................................... 11
致 谢 ........................................................... 12
IV
,一、绪论
(一) 电子商务发展背景
随着因特网的迅猛发展,电子商务已经逐渐成为人们进行商务活动的一个崭新的模式。我们可以把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。
7月20日,中国互联网络信息中心(CNNIC )在京发布“第十四次中国互联网络发展状况统计报告”。报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长27.9,上网计算机达到3630万台。网络国际出口带宽增长飞速,总数达到53.9G ,比去年同期增长190.3。互联网的影响正逐步渗透到人们生活的各个角落。因此电子商务的发展前景十分诱人,而其安全问题也变得越显突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
(二) 国内外电子商务安全现状
现今社会,运行在因特网上的电子商务,每天都在进行数以百万次计的各类交易,而由于因特网的高度开放性与电子商务的绝对保密性是矛盾的,因此基于因特网的电子商务安全无疑会受到严重威胁。不难想象,“黑客”的攻击一旦得逞,将会给国家的经济秩序、经济建设、信息安全造成不可估量的损失。
1997年1月至3月,宁波两名证劵公司技术人员利用计算机网络,非法透支本单位资金3000多万元,进行个人股票交易,给国家造成了巨大损失;1999年4月26日的CIH 病毒爆发,使我国4万多台电脑不能正常运行,国内很多企业的数据都或多或少地被破坏。
在国外,网络犯罪的人数呈成倍增长之势。1997年美国出现了两次大的企业网站瘫痪事件,连美国中央情报局的服务器在1999年也受到过“黑客”的攻击。著名的美国联机公司因人为操作和技术上的失误,使其计算机系统的600万用户陷入瘫痪10小时。最近2010年1月份,著名的搜索网站“百度”因国外的域名服务器被“黑客”恶意攻击,导致用户无法登陆“百度”长达11小时之久。
1
,大量事实说明,保证电子商务的正常运作,必须高度重视安全问题。只有建立起科学、合理的安全体系结构,才能保证电子商务交易的全面安全实施[1]。
二、电子商务安全体系研究
电子交易平台实现了现货挂牌交易、现货远期交易、竞价拍卖交易、竞价招投标交易、电子超市交易、网上商城交易、在线协商交易、专场交易等8种不同的电子交易模式的交易、交收、结算功能以及交易管理、交易监控、财务管理、行情分析、统计查询、系统管理等功能,能够充分满足钢铁、化工、煤炭、粮食等各行业大宗商品生产商、供应商、采购商、贸易商等各类交易商的交易需求。
物流配送平台实现了交易、物流一体化管理,为电子交易中心和交易商提供电子交易所需的全程物流服务管理功能,包括:交易与物流联动管理、交收管理、全面订单管理、仓储管理、运输配送管理、虚拟仓储管理、客户关系管理等,在电子交易仓单注册、挂单、撤单、交易、成交时,系统自动完成所对应货物的冻结、解冻、释放仓单等操作。
综合信息服务平台及门户入口为交易商、电子交易中心管理人员、政府监管部门、公众用户等,提供交易信息、交易价格行情分析、物流信息、物流价格、综合查询、统计分析、决策支持等综合信息服务功能,并为电子交易、物流配送、系统管理、信息浏览等提供门户入口功能。
(一) 完整的电子商务安全体系结构
电子商务安全体系可以分为以下三个层次:基本加密算法、安全认证手段和安全应用协议,如图2 - 1所示。
2
,图2 - 1 电子商务安全体系
第二层
第一层
(二) 电子商务的安全性要求
要使电子商务健康、顺利发展,必须解决好以下六种关键的安全性要求:
1. 可靠性要求:可靠性要求是指为了防止计算机的软件错误、硬件故障、网络中断、计算机病毒和自然灾害等突发事件,采取的一系列控制和预防措施来防止数据信息资源部受破坏的可靠程度。
2.保密性要求:信息的存取时在安全的环境中进行,不能被非法窃取、泄露;信息的发送和接收是在安全的网络中进行,交易双方在信息交换过程中没有被窃听的危险,非参与方不能获取交易的信息,保证交易双方的信息安全。
3.完整性要求:完整性是指数据在发送、接收和传递过程中,要求保证数据的一致性,防止非法用户对数据的随意生成、修改和删除,同时还要保证数据传递次序的统一。信息的完整性是从事电子商务交易双方的经营基础。
4.真实性要求:从事电子商务的交易双方的身份不能被假冒或伪装,能够有效鉴别、确定交易双份的真实身份。能否方便而有可靠地确认交易双方身份的真实性,是顺利进行电子商务交易的前提。
5.不可抵赖性要求:在电子商务环境下,通过手写签名和个人印章进行交易双方的鉴别已是不可能的了,必须在交易信息的传递过程中参与交易的个人、企业、商家或其他部门提供可靠的标识,有第三方提供有效的数字化过程记录,使交易各方不能事后抵赖。
6.有效性要求:在网络交易中,交易双方的信息交流(如双方的购销合同、签名、时间等)都是以数字化的形式出现的,数字化的文件取代了原有的纸张,
那么保证这种数字信息的有效性并为交易双方共同认可,就显得格外重要。一 3
,旦签订交易合同后,这项交易就受到法律保护,并防止被篡改或伪造[2]。
(三) 电子商务安全措施
电子商务中的安全措施包括如下几类:
(1) 保证交易双方身份的真实性:保证交易双方身份真实性的常 用技术是身份认证。一般依赖某个可信赖的机构(CA 认证中心)发放数字证书,并以此识别对方。目的是保证身份的真实性,分辨参与者身份的真伪,防止伪装攻击。
(2)保证信息的机密性:常用数据加密和解密技术来保护信息不被泄露给未经授权的人或组织,其安全性依赖于使用的算法种类和密钥长度。常见的加密方法有对称密钥加密技术(如DES 、AES 算法)和公有密钥加密技术(如RSA 、ElGamal 算法)。
(3)保证信息的完整性:常用散列函数(也叫哈希函数)来实现。通过对信息实行散列算法,以生成的散列码(信息的任意改动散列码都会不一样)来证明数据的完整性。典型的散列算法为MD5、SHA-1、RIPEMD-160。
(4)保证信息的真实性、不可否认性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送方对他所发送信息的否认、接收方对他已收到信息的否认等,其基础是公有密钥加密技术。数字签名也可以作为一种简单的身份认证技术实现身份认证。目前,可用的数字签名算法较多,如RSA 数字签名、ElGamal 数字签名等。
(5)保证信息存储、传输的安全性:规范内部管理,使用访问控制和日志,以及敏感信息的加密存储等。当使用WWW 服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性[3]。
三、电子商务安全技术分析
(一) 数字证书与CA 认证
由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通 4
,过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA )颁发的。
所谓CA (Certificate Authority :证书发行机构),是采用PKI (Public Key Infrastructure :公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。
公共密钥体系(PKI )是信息安全基础设施的一个重要组成部分,是一种利用公钥理论和技术建立的提供网络信息安全服务的基础设施。
(二) 加密技术
数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原为明文。以下是几种加密的算法:
(1)DES 算法,它是美国国家标准化局NBS 于1976年底作为官方的联邦标准颁布的。DES 是一种常规密码体制的密码算法,也是一个典型的对称分组密码算法。
(2)RSA 算法,它是1977年在美国麻省理工学院开发,1978年首次公布。它是一种分组加密算法,明文和密文在0~n-1之间(n 是一个正整数)。RSA 公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法之一。 [4]
(三) 数字签名技术
数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。一下是几种签名技术:
(1)RSA 签名:RSA 是完整的加密系统,它支持公钥/私钥对的生成、加密以及数字签名。RSA 体制的安全性依赖于n=pq分解的困难性。
(2)ElGamal 签名:该体制由T.ElGamal 在1985年给出。其修正形式 5
,已被美国国家标准与技术学会作为数字签名标准,它是Rabin 体制的一种变形[5]。
(四) 信息摘要技术
密钥加密技术只能解决信息的保密性问题,对信息的完整性则可以使用信息摘要技术来实现。信息摘要又称为Hash 算法,是一种单向加密算法,其加密结果是不能解密的。通过Hash 算法,得到一个固定长度(128位)的散列值,不同的原文产生的信息摘要必不相同,相同的原文产生的信息摘要必定相同。这样,通过用接收方产生的摘要与发送方发来的摘要比较,若两者相同则表示原文在传输过程中没有被修改,否则说明原文被修改过。
MD5和SHA-1是当前应用最为广泛的两种散列算法。常见的UNIX 系统口令就是经过MD5处理后保存其摘要信息串。2004年王小云教授在国际密码学会以上宣布Hash 算法MD5的碰撞。在MD5被“碰撞”后,SHA-1算法仍被世界密码学界认为是安全的算法[6]。
SHA-1目前仍是安全的算法,它的应用范围或许比MD5更加广泛,其安全性较MD5要高出很多。它是美国国家标准技术研究院(NIST )与美国国家安全局(NSA )共同设计的,在一些重要的场合都选择SHA-1来做数字签名。但近年已提出考虑更换SHA-1算法的说法。
四、电子商务安全交易标准
要实现安全的电子商务交易,交易双方必须遵照统一的安全标准协议。当前,电子商务的安全机制正走向成熟,并逐渐形成了一些国际规范,比较有代表性的有安全套接层协议SSL (Secure Sockets Layer)和安全电子交易协议SET (Secure Electronic Transaction)[7]。
(一) 安全套接层SSL 协议
SSL 协议是由Netscape 公司研制的安全协议,SSL 使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准, 6