電子商務安全與網上支付實驗報告6600字

電子商務安全研究新動向班級：商務1002姓名：薛晶晶學號：10122002051.背景介紹隨著網絡的全面普及和信息技術的不斷發展，同時基于互聯網的電子商務應運而生，帶來了商業和經濟模式的變革，這在20xx年就早已普遍被經濟專家們認為是一個快速發展的新經濟增長點。由此看來，電子商務的發展前景十分誘人，但盡管Internet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎，卻也在相應程度上使得網上交易面臨種種危險。近年來，電子商務的發展速度逐漸放慢，其安全問題是發展的一大瓶頸。例如，網絡黑客頻傳，網絡業者人人自危。目前許多最具危害性的計算機犯罪都擁有共同的特點：即繞過密碼保護以獲得對信息或資金的訪問權限。就企業、電子商務而言，最機密的應用、文件及系統則需要更高層次的保護措施。而網絡用戶的不斷增加，對網絡的攻擊和資源的竊取越來越多，相關的商務機密資源的散失，不可避免地給政府、企業單位帶來了不同程度的損失。與此同時，電子商務模式也對管理水平、信息傳遞技術提出了更高的要求，其中安全體系的構建就顯得尤為重要。2.電子商務安全內容說到電子商務的安全，它包括計算機網絡安全和商務信息安全兩個方面。作為電子商務平臺的計算機網絡的安全包含計算機物理安全、系統安全、訪問控制安全、網絡服務安全等；商務信息安全則指在計算機網絡安全的基礎上，圍繞傳統商務在Internet上應用時產生的各種問題，實現電子商務的保密性、完整性、身份認證、不可依賴性。商務信息安全則緊緊圍繞傳統商務在互聯網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網絡安全與電子商務信息安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網絡安全作為基礎，商務信息安全就猶如空中樓閣，無從談起。沒有商務信息安全保障，即使計算機網絡本身再安全，仍然無法達到電子商務所特有的安全要求。由此，電子商務的過程需要滿足一下五方面需求———2.1信息的保密性電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。傳電子商務建立在一個開放的網絡環境上，維護商業機密是電子商務全面推廣應用的重要保障。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。保密性一般通過密碼技術對傳輸的信息進行加密處理來實現。電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。2.2信息的完整性電子商務簡化了貿易過程，減少了人為的干預，同時也帶來維護貿易各方商業信息的完整、統一的問題。數據輸入時的意外差錯或欺詐行為，可能會導致貿易各方信息的差異。另外，數據傳輸過程中信息的丟失、信息重復或信息傳送的次序差異也會導致貿易各方信息的不同。因此，貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是電子商務應用的基礎。一般可通過提取信息摘要的方式來保持信息的完整性。2.3信息的真實性只有信息流、資金流、物流的有效轉換，才能保證電子商務的順利實現，而這一切是以信息的真實性為基礎。信息的真實性一方面是指網上交易雙方提供信息內容的真實性；另一方面是指網上交易雙方身份信息的真實性，即對人或實體的身份進行鑒別，為身份的真實性提供保證，使交易的雙方能夠在相互不見面的情況下確認對方的身份。這意味著當某人或實體聲稱具有某個特定身份時，鑒別服務將驗證其聲明的正確性。一般可通過認證機構和證書來實現。2.4信息的不可抵賴性對進行電子商務交易的貿易雙方來說，一個很關鍵問題就是如何確定進行交易的貿易方正是交易所期望的貿易方。在無紙化的電子商務方式下，通過手寫簽名和印章進行貿易方的鑒別已經不可能。因此，要在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識。2.5信息的有效性保證電子形式貿易信息的有效性是開展電子商務的前提。電子商務信息的有效性將直接關系到個人、企業或國家的經濟利益和聲譽。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，這對于保證貿易數據在確定的時刻、確定的地點是有效的。3.面臨威脅3.1電子商務信息存儲安全隱患信息存儲安全是指電子商務信息在靜態存放中的安全。其信息安全隱患主要包括非授權調用信息和篡改信息內容。企業的Intranet與Internet聯接后，電子商務的信息存儲安全面臨著內部和外部兩方面的隱患：(1)內部隱患。主要是企業的用戶故意或無意的非授權調用電子商務信息或未經許可隨意增加、刪除、修改電子商務信息。(2)外部隱患。主要是外部人員私自闖入企業Internet，對電子商務信息故意或無意的非授權調用或增加、刪除、修改。而主要來源有競爭對手的惡意闖入、信息間諜的非法闖入以及黑客的騷擾闖入。3.2電子商務信息傳輸安全隱患信息傳輸安全是指電子商務運行過程中，物流、資金流匯成信息流后動態傳輸過程中的安全。其安全隱患主要包括竊取商業秘密、攻擊網站、網上詐騙、否認發出信息。3.3電子商務交易雙方的信息安全隱患電子商務是買賣雙方通過Internet的信息流動來實現商品交換的，信息技術手段使不法之徒有機可乘，這就使得電子商務的交易雙方在安全感和信任程度等方面都存在疑慮。電子商務的交易雙方都面臨著信息安全的威脅。3.3.1賣方面臨的信息安全威脅例如，假冒合法用戶名義改變商務信息內容，致使電子商務活動中斷，造成商家名譽和用戶利益等方面的受損；信息間諜通過技術手段竊取商業秘密；黑客入侵并攻擊服務器，產生大量虛假訂單擠占系統資源，令其無法響應正常的業務操作。3.3.2買方面臨的信息安全威脅例如，用戶身份證明信息被攔截竊用，以致被要求付帳或返還商品；發送的商務信息不完整或被篡改，用戶無法收到商品；受虛假廣告信息誤導購買假冒偽劣商品或被騙錢財；遭黑客破壞，計算機設備發生故障導致信息丟失。4.安全技術機制電子商務的安全體系結構由網絡服務層、加密技術層、安全認證層、交易協議層和商務系統層組成。因此，要采取積極的安全防范技術手段就應從每一層著手，相應地將各安全措施映射到對應層次中，可以較好地描述電子商務安全技術體系，進而解決系統結構中的各層安全問題。以下，列舉各層的安全技術對策———3.1網絡服務層網絡安全是電子商務系統安全的基礎，涉及的方面較廣，如防火墻技術、網絡監控、網絡隱患掃描及各種反黑客技術等，其中防火墻技術是防范非法攻擊的有力措施。其主要功能是加強網絡之間的訪問控制，防止外部網絡用戶以非法手段通過外部網絡侵入內部網絡(被保護網絡)。它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的安全策略對其進行檢查，來決定網絡之間的通信是否被允許，并監視網絡運行狀態。簡單防火墻技術可以在路由器上實現，而專用防火墻提供更加可靠的網絡安全控制。3.2加密技術層加密層技術中數據加密被認為是電子商務最基本的安全保障形式，可以從根本上滿足信息完整性的要求，分為對稱機密和非對稱機密。通過一定的加密算法，利用密鑰來對敏感信息進行加密，然后把加密好的數據和密鑰通過安全方式發送給接收者，接收者可利用同樣的算法和傳遞過來的密鑰對數據進行解密，從而獲取敏感信息并保證網絡數據的機密性。3.3安全認證層安全認證技術是為了保證電子商務活動中的交易雙方身份及其所用文件真實性的必要手段。包括數字摘要、數字簽名、數字時間戳、數字證書、認證、智能卡。其中通過數字簽名能夠實現對原始報文的鑒別和不可否認性；使用數據證書相當于使用在網絡通信中標志通信各方身份信息的一系列數據，從而保證信息不被竊取、不被篡改、交易雙方的身份確認、發送方的信息不可否認性，電子商務中安全措施的實現主要圍繞數字證書展開。3.4交易協議層電子商務的在線支付是通過Internet完成的，必須使用安全協議來保證支付信息傳輸的安全、交易方的合法身份的確認及支付過程的完整。不同交易協議的復雜性、開銷、安全性各不相同。同時，不同的應用環境對協議目標的要求也不盡相同。目前，比較成熟的協議有SET、SSL、iKP等基于信用卡的交易協議，NetCheque等基于支票的交易協議，Digicash、Netcash等基于現金的交易協議等。電子郵件是Internet上進行電子商務的一大重要信息傳輸手段，因此必須有電子郵件的安全協議以保證商務信息的完整與安全。在國際上，電子商務的安全機制正在走向成熟，并逐漸形成了一些國際規范，比較有代表性的有SSL協議和安全電子交易規范（SET），還有安全超文本傳輸協議（HTTP）、、有線等效加密協議（WEP）等。3.5商務系統層電子商務系統層包括B2C、B2B等電子商務應用系統模式，因此針對不同系統，采取相應不同的安全策略。雖然每種技術都旨在加強某一方面的信息安全，包括限制訪問或防止機密數據被截獲，但沒有一種技術的設計目標是解決最具危害性的信息犯罪的基本安全問題。而使用身份認證技術特別是強大的雙因素身份認證系統替代基本的密碼安全機制，才能夠解決由密碼泄露導致的入侵問題。因此，雙因素身份認證系統將成為網絡信息安全市場新一輪焦點和新的趨勢。同時，除技術問題外，電子商務的信息安全還有賴于電子商務發展所需的政策和相應的法律、法規的建設等社會環境的完善。這些課題的研究不僅具有重要的理論價值和實用價值，而且對于推動電子商務的發展具有重要的現實意義。5.總結國內外電子商務安全研究現狀世界各國對電子商務安全問題研究的發展是相當重視的，特別是電子商務安全方面普遍存在標準先行的情況。如美國政府很早就致力于秘密技術的標準化，從19xx年公布的數據加密DES開始，就由美國國家標準技術研究院制定了一系列有關秘密技術的聯邦信息處理標準，在技術規范的前提下對密碼產品進行嚴格的檢驗。19xx年7月1日，在美國政府發布的美國電子商務綱要中，明確提出要建立一些共同的標準，以確保網上購物的消費者享有與在商店購物的消費者同等權利。韓國一些主要的電子設備公司也建立聯盟，簽署聯合協議，規定在20xx年制訂出整個的電子商務標準。國際范圍內電子商務標準有以下發展動態：5.1成立機構電子商務業務工作組為了迎接電子商務給全球帶來的基于和挑戰，使之在全球范圍內更有序地發展，19xx年6月，ISO/IECJTCI成立了“電子商務業務工作組（BT-EC）”，其確定了電子商務急需建立標準的三個領域，即用戶接口、基本功能和數據及客體的定義與編碼。5.2簽署文件電子商務標準化理解備忘錄ISO、IEC和UN/ECE（聯合國歐洲經濟委員會）共同致力于電子商務的標準化工作。陳簽署了“理解備忘錄”，就EDI、開放式EDI及有關貿易單證標準領域進行合作。19xx年11月三者又簽署了一個電子商務領域有關標準化的“理解備忘錄”。該備忘錄包括總體部分、三個附錄及上述的，擴充了以前的合作框架，擴展了各部門之間的電子商務，增加了國際用戶團的參與，以確保它們的標準化要求得到滿足。作為國際用戶團的參加者有CALS(持續采辦和全壽命支持，世界性的非政府組織，制定國際工業組織之間電子商務的標準要求)及NATOCALS組織(NATO為北大西洋公約組織的縮寫)。國際用戶團參與者必須滿足”理解備忘錄”中關于國際用戶團注冊規定的具體內容，而且它們的參與必須在標準化組織之間相互達成協定的基礎上。”理解備忘錄”提供了21世紀電子商務發展的有效基礎，是國際合作的極好范例。6.研究發展趨勢網絡安全技術在近幾年得到快速的發展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因為網絡安全問題日益突出，網絡安全企業不斷跟進最新安全技術，不斷推出滿足用戶需求、具有時代特色的安全產品，進一步促進了網絡安全技術的發展。就目前電子商務發展的勢頭看，電子商務安全問題研究的有以下發展趨勢：6.1政府越來越高度重視電子商務安全問題研究。由于電子商務安全與國家安全密切相關，涉及社會政治穩定，經濟、金融的穩定等。因此，政府高層及其職能部門空前重視電子商務安全研究問題，將有關問題列入國家宏觀發展戰略之中，充分發揮國家的整體優勢，在政策上積極引導、重點支持，同時加大經費投入的力度，在人、財、物等全方位予以支持。6.2電子商務安全研究的專門科研機構不斷增加，科研實力不斷增強。在國家有關政策的支持的指導和支持下，有許多國家級的研究所、重點大專院校，有實力的企業紛紛涉足電子商務安全問題研究，相繼建立了一批院、所等電子商務安全科研基地，經過組織科研力量進行專項攻關，取得一批研究成果。同時，院、所培養出一批專門從事電子商務安全研究和管理工作的博士、碩士和本科人才，滿足了社會對各個層次電子商務安全專門人才的需求。6.3科研以研發具有獨立自主知識產權的電子商務安全產品為目標，力爭打破國外信息安全產品的壟斷。由于歷史的原因，國內網絡上信息安全產品有相當一部分是進口產品，因此我國的信息系統存在著很大的安全隱患。為了保證我們國家的信息系統的安全，保證電子商務系統的正常運行，以及電子商務安全研究及其產品使用的特殊性，電子商務安全研究的項目基本上是國家規劃、組織、實施，由科研機構組織科研力量獨立研發，目前己研發出一些世界水平的信息安全產品，一些軟件和硬件安全產品解決了實際中的需要。6.4國家有關部門逐步加快了與電子商務相關的政策、法規和法律的研究與制定。隨著電子商務在全社會的廣泛應用，以及電子商務問題的不斷出現，面向社會的有關道德、法規和法律等方面的研究工作也逐步開展，已出臺的電子商務的有關政策、法規，基本解決了電子商務應用中一些急需解決的問題，保障了現階段電子商務的正常運行。可以預見，隨著電子商務安全技術研究的深入，與電子商務安全有關的政策、法規和法律將會不斷完善和發展。6.5電子商務安全產業規模將逐步擴大。據有關部門統計，20xx年全國的信息安全產品的市場銷售額已達50億，．20xx年的電子商務安全市場銷售額達數百億元，全球的信息安全費用在今后的5年內將年平均增長約20％。7.結束語在我國，電子商務的安全問題已經是導致電子商務發展滯后的不爭的事實。相反，由于發達國家在電子商務方面起步較早，在電子商務經營中，對其安全問題非常重視，并且網絡功能的利用比較全面，這就使他們可以在劇烈的競爭中得到保護。從而能夠生存下來并發展壯大。鑒于這種情況，我國應該首先在思想上清醒地認識到網絡安全與國家安全息息相關。對網絡安全問題國家要成立專門的領導協調機構，以超常規的速度組織人、財、物進行研發，建立安全可靠，高效有序的信息網絡系統，以保障電子商務系統安全，防范金融風險，避免經濟動蕩，以及保障國家政治穩定和維護國家安全，為保衛共和國的安全筑起一道電子的鋼鐵長城。其次認清網絡信息系統安全問題的根本原因，并且急需建立健全社會化信用體系。最后要解決電子商務立法的滯后問題，通過授予知識產權保護的形式對電子商務中的創新經營進行保護無疑是對我國電子商務發展的一種促進。在以后的日子里，希望各界能更加關注和思考此問題，使我國電子商務管理的安全問題得到重視，得以解決，為我國電子商務的發展鋪平道路。參考文獻【1】電子商務導論，黃永斌，北京，機械工業出版社，2004，202"-245【2】《我國電子商務發展現狀及存在問題與對策》，張小兵，《商業研究》，20xx年2期【3】鄭英鐸電子商務安全綜述，市場周刊·管理探索，2005，l：148～【4】淺談保障電子商務活動中的信息安全科技情報開發與經濟，徐雪梅，2003．【5】電子商務安全與保密，祁明，北京，高等教育出版社，2001【6】電子商務網上支付的安全保障問題，徐偉，合肥聯合大學學報，2000，(3)【7】徐學軍我國發展電子商務的主要瓶頸及對策科技管理研究，2004，(2)【8】韓寶明電子商務安全與支付，北京人民郵電出版社，2001，32"--66

第二篇：電子商務安全數字簽名實驗報告2300字實驗二數字簽名一實驗目的了解數字簽名的原理，掌握數字簽名的方法，掌握常用的數字簽名技術，理解并掌握非對稱加密算法的使用。二實驗內容1散列函數：2數字簽名：3非對稱加密算法的使用三實驗步驟1散列函數（1）任意選擇一個文件，分別使用MD5和SHA進行信息摘要實驗，比較兩種散列算法得到的結果。注意：這里要完成2種情況的實驗。（2）將文件中的內容進行分別進行不同的修改操作：增加、刪除、修改，然后再使用兩種散列算法進行信息摘要實驗，比較兩種算法在不同修改操作得到的結果，并進行分析。注意，這里要完成6種實驗過程。經過對內容的修改（即使是很小的改動例如一個標點符號），同種算法中得出的結果完全不相同，由此可見散列算法具有唯一性，從而保證了信息傳輸的安全性。而且摘要長度大小是一樣的，這說明散列算法有定長性。（3）字符串散列實驗：使用自己的姓名和學號當作實驗字符串，使用不同的散列算法獲得信息摘要，并2數字簽名實驗（1）選擇一個文件，然后生成信息摘要。（2）使用RAS算法進行數字簽名。注意自己的私鑰和公鑰的保存。（3）將原始文件和簽名得到的文件傳遞給相鄰同學，讓其驗證你的簽名。注意，應告訴對方你的公鑰，四實驗總結2總結信息摘要的特點，分析比較原始文件和信息摘要的關系。（1）對于任何大小的數據，單向散列函數產生定長的信息摘要——定長性；（2）對任何不同的信息，通過單項散列函數產生的指紋都不同——唯一性；（3）已知信息摘要，不能通過推理或計算得到相應的數據——單向性。信息摘要是根據原始文件通過單項散列函數得到的，并且原始文件一經改變，其信息摘要也會改變；而且無法從信息摘要產生相應的文件信息，這是由其單向性決定的。也就是說原始文件是信息摘要的基礎，而信息摘要無法推斷出原始文件，并且原始文件的改變也會改變信息摘要。3查找資料，掌握數字簽名的原理和過程，畫出數字簽名的過程。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，授受方用發送方的公開密鑰進行解密。這是一對多的關系：任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性。在實際過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密解密，一個密鑰對用來對私有密鑰進行加密解密。下面介紹利用散列函數進行數字簽名和驗證的文件傳輸過程：（1）被發送文件用SHA編碼加密產生128bit的數字摘要。（2）發送方用自己的私用密鑰對摘要再加密，這就形成了數字簽名。（3）將原文和加密的摘要同時傳給對方。（4）對方用發送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產生又一摘要。（5）將解密后的摘要和收到的文件在接收方重新加密產生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。數字簽名的過程如下圖：數字簽名的過程4分析總結，如何在開放的網絡環境中應用數字簽名？分析并總結數字簽名在目前的電子商務應用中情況。（1）數字簽名提供了對信息來源的確定并能檢測信息是否被篡改。在實際運用中數字簽名常引入公開的密碼散列函數。它將取任意長度的消息做自變量，結果產生規定長度的消息摘要。如數字簽名標準DSS中的消息摘要為160bit，然后簽名消息摘要。它發生在簽名后、加密前，對郵件傳輸或存儲都有節省空