毕业答辩模板中国政法大学.ppt

电子商务的安全体系结构及安全技术研究 摘　要：针对目前电子商务中存在的主要安全问题，讨论了电子商务的安全性需求，提出了电子商务安全技术层次结构，详细介绍电子商务安全控制的核心技术及电子交易协议。 关键词：电子商务；安全体系；安全技术；加密；认证；安全协议 随着网络与通信技术的发展和日益融合，尤其是Internet的全面普及，基于Internet的电子商务 EC，Electronic Commerce 以及自身效率、低成本、无疆界、无时限等诸多优势在全球获得了迅猛发展，成为一种全新的商务模式，被公认为21世纪最具活力的经济增长点。 　　 现阶段的电子商务是指企业通过电子化形式将客户及供应商信息全部实时管理起来，任何需求与供应变化都迅速地传递给供应链中的其他环节，从而使货物和服务能更高效地流通和实施[1]。相对于传统商务模式，电子商务模式对管理水平、信息地传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要，如何有效地保证电子商务的安全性成为电子商务能否得到全面推广的核心和关键，也是目前电子商务应用研究的热点之一。 1 电子商务存在的主要安全问题 　　 电子商务的形式多种多样，涉及的安全问题各不相同，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般来说电子商务安全中主要存在以下几种安全稳患[2,3,4]： 　　 1 信息在网络的传输过程中被截获。攻击者可能通过互联网、公共电话网、搭线或在电磁波辐射范围内安装截收装置等方式，截获传输的机密信息，或通过对信息流量、流向、通信频率和长度等参数的分析，推断出有用信息、如消费者的银行帐号、密码等。 　　 2 传输的文件可能被篡改。攻击者可能从三方面破坏信息的完整性：①篡改——改变信息流的次序，更改信息的内容，如购买商品的出货地址；②删除——删除某个消息或消息的某些部分；③插入——在消息中插入一些信息，让收方读不懂或接收错误的信息。 3 假冒他人身份。①冒充他人身份，如冒充领导发布命令、调阅文件；②冒充他人消费，栽赃；③冒充主机欺骗合法主机及合法用户；④冒充网络控制程序，套取或修改使用权限、密钥等信息；⑤接管合法用户，欺骗系统，占用合法用户的资源。 4 伪造电子邮件。①虚开网站和商店，给用户发电子邮件，收购货单；②伪造大量用户。发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；③伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。 　　 5 抵赖行为。①发信者事后否认曾经发送过某条内容；②收信者事后否认曾经收到过某行消息或内容；③购买者发出订货单后不承认；④商家卖出的商品因价格差而不承认原有的交易。 2 电子商务的安全性要求 　　 保证交易数据的安全是电子商务系统的关键，由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁，因此，对电子商务的安全性提出了很高的要求[1,5]。 　　 1 有效性。电子商务系统应有效防止系统延迟和拒绝服务情况的发生，要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，保证交易数据在确定的时刻、确定的地点是有效的。 　　 2 机密性。系统应能对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或读取，防止通过非法拦截会话数据获得账户有效信息。 3 完整性。电子商务系统应防止对交易信息的随意生成、修改和删除，同时防止数据传输过程中交易信息的丢失和重复，并保证信息传递次序的统一。 　　 4 可靠性。由于网上的通信双方互不见面，所以在交易前必须首先确认对方的真实身份；在进行支付时，还需要确认对方的账号等信息是否真实有效。电子商务系统应该提供通信双方进行身份鉴别的机制，确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认，对私有密钥和口令的有效保护，对非法攻击能够防范，防止假冒身份在网上进行交易。 　　 6 防抵赖性。电子商务系统应有效防止商业欺诈行为的发生，网上进行交易的各方在进行数据传输时，都必须携有自身特有的、无法被别人复制的信息，以保证交易发生纠纷时有所对证，以保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖。 　　 5 匿名性。电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中的用户个人信息不会泄露，确保合法用户的隐私不被侵犯。 3 电子商务安全技术体系结构 　　 电子商务的安全技术体系结构是保证电子商务中数据安全的一个完整的逻辑结构 见图1 。电子商务安全体系由网络服务层、加密技术层、安全认证层、安全协议层、应用系统层组成。其中，下层是上层的基础，为上层提供技术支持；上层是下层的扩展与递进。各层次之间相互