安全电子商务网站设计与实现.docVIP

安全电子商务网站设计与实现 　　摘 要 随着电子商务技术的迅猛发展以及快递业务的不断增加，电子商务因其便利的特点越来越受到欢迎。由于电子商务社交到用户的身份信息、交易资金等各种重要信息，所以其安全问题不容忽视。本文分析研究了影响电子商务安全的主要技术，设计并实现一个安全的电子商务网站，对安全电子商务的发展有重要的作用。 　　关键词 电子商务；网站设计；安全 　　中图分类号：TM41 文献标识码：A 文章编号：1671-7597（2015）04-0059-02 　　在电子商务交易过程中，买卖双方可以突破时间及空间的限制完成交易，交易的媒介是网络平台，虽然这在提高交易效率的同时降低了交易成本，但由于计算机网络本身的安全性问题的影响，导致电子商务也面临一定的安全隐患[1]：1）交易信息不通畅。完成传统交易需要面对面，“一首交钱、一手交货”的交易模式具备一定的互信关系。电子商务交易是一个虚拟的交易过程，买卖双方只能了解通过网络发布的对方信息，难以实现安全验证，从而导致交易风险。2）交易信息传输的不安全性。计算机网络威胁比对应的防护技术会早一拍，电子商务信息在传输过程中可能会遭到黑客的监听，还可以假冒合法用户身份获取相应的非授权访问，所有的这些都给电子商务带来巨大的隐患。 　　除了上述问题外，电子商务安全还面临着诸如服务器安全、支付安全以及数据安全等各个方面，任一部分出现安全隐患都会导致整个电子商务系统的不可用，因此实现电子商务安全是一个系统工程。 　　自从电子商务出现以来，为了加速商务流通过程、降低交易成本，美国等发达国家着力推动电子商务的发展，经过近二十多年的演进，电子商务已经形成了基本的交易框架。和这些先进发达国家相比，我国的电子商务还刚处于起步阶段。因此，对电子商务网站进行深入研究，并建立一个安全可靠的电子商务交易网站，对电子商务在我国的发展具有重要的现实意义。 　　1 电子商务安全相关技术 　　1.1 传统的计算机安全技术 　　为了应对计算机网络安全，目前主要有如下几种网络安全技术[2]：防火墙技术、入侵检测技术、病毒防护技术以及虚拟专用网技术等。防火墙技术在互联网和局域网之间起作用，只允许符合内部网络安全策略的网络包通过防火墙，目的是保护局域网不受互联网络威胁的破坏。不同于防火墙技术被动的防御，入侵检测技术主动检测可能会对计算机产生不良影响的入侵行为；入侵检测技术会主动收集用户的行为、审计系统安全日志、数据库的修改操作以及其他关键点信息，以此检测进入内部网络的数据包、操作是否违反预先制定的安全策略。病毒防护技术采取专门的技术防止病毒程序被载入到内存，从而避免了病毒对计算机、网络造成的感染和破坏。 　　1.2 认证技术 　　传统的安全技术针对的主要是计算机，对网络威胁的作用比较小。为了保证电子商务网站这种网络安全，可以引入数字认证技术。数字认证技术主要有身份认证和报文认证两种，能够满足电子商务应用中的用户身份认证、信息的完整性及不可否认性。数字认证技术主要的技术手段有[3]： 　　1）数字签名技术。数字签名的作用是实现电子商务交易双方的认证和审核，不同于传统的手签方式，数字签名利用了数字水印技术，将经过数学运算的签名信息附加到信息上。目前常用的数字签名技术包括经典数字签名算法（DSA）、椭圆曲线算法以及RSA算法等。数字签名技术和传统的签名技术能起到相同的作用：电子商务交易双方的身份信息认证、买方无法否认其发送的购买信息、发送报文（购买信息）无法伪造或篡改。数字签名的这些作用无疑大大提高了电子商务交易的安全性。 　　2）数字证书及证书授权技术。数字证书的作用是提供用户在网络上的身份证明，并证明用户具有的访问权限。利用数字证书技术，可以保证在电子商务交易过程中验证交易双方的身份信息。为实现此功能，数字证书需要包括序列号、证书所有人信息、数字证书公钥、数字证书发行者的签名以及签名算法等信息，只有具备这些信息，数字证书才能够保证交易信息不被非法截取或篡改。电子商务应用中，一般存在一个交易双方都信任的第三方认证机构，它可以充当网上银行的角色，完成网上交易和网络供应链管理等功能。 　　3）数字摘要技术。哈希函数可以用于产生数字摘要，顾名思义，数字摘要是对大量信息的一个摘要说明，利用哈希函数能够将任意长度的输入转换为固定长度的输出（摘要）。哈希函数具有这样的特性：利用输入很容易得到输出，但利用输出却很难甚至不可能得到输入；所以即使知道摘要信息，也难以得到原始的交易信息。常用的具备哈希函数性质的是MD5算法。 　　1.3 密码技术 　　互连网络是一个开放的网络环境，其中的数据传输保护方式是通过加密、解密完成的。密码技术的主要目的是防止黑客非法获取传输通道中的数据信息，所以电子商务数据在传输之前都要用密钥进行