《毕业论文易趣网的安全性分析.doc》由会员分享,可在线阅读,更多相关《毕业论文易趣网的安全性分析.doc(14页珍藏版)》请在三一办公上搜索。
1、 毕 业 论 文毕业论文题目: 易趣网的安全性分析 系 别: 信息管理系专 业: 电子商务班 级: 0801班 摘 要 电子商务最早产生于60年代,发展于90年代。随着计算机的全民普及电子商务也逐具规模,并且伴随着信用卡的普及应用,其方便、快捷、安全等优点成为人们消费支付的重要手段,为电子商务中的网上支付提供了重要途径,使得电子商务大有一发不可收拾之势。 电子商务的实施,其关键在于保证整个商务过程中系统的安全性,即保证基于互连网的电子交易过程与传统交易的方式一样安全可靠。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题。在计算机网络安全的基础上,如何保障电子商务过程的顺利进行
2、,成为电子商务发展道路上必须解决的难关。本文首先分析了电子商务发展背景与电子商务的安全现状。展示了完整的安全体系结构,再以易趣网为例,详述了电子商务的安全性需求和实现网络的安全技术措施。接着分析了数字证书与CA认证、加密技术、数字签名技术和信息摘要技术等电子商务安全技术。最后探讨了保证交易安全的两个协议,即安全电子交易协议SET和安全套接层协议SSL,并对两种协议做出了相应的分析和比较。关键词:电子商务;安全体系;加密;数字证书;安全交易标准;易趣网AbstractE-commerce first appeared in the 1960s, and developed in the 1990
3、s. Along with the computers national popularization electronic commerce also by scale, and is associated with the popularization and application of credit card, the convenient, quick, safe for human consumption advantages become the important means for the payment of e-commerce in the online payment
4、 provides an important way, make e-commerce great spiralling out of power. The implementation of the electronic commerce, the key is to keep the business process, namely, ensure the security of the system based on Internet electronic transaction process and the traditional trade in the same manner a
5、s safe and reliable. Business transaction security is closely around the traditional business over the Internet application to produce a variety of safety problems. On the basis of computer network security, how to guarantee the e-commerce process smoothly, become e-commerce development path must so
6、lve difficulties This paper first analyzes the e-commerce development background and e-commerce security situation. Display the complete security architecture, again recounted e-commerce security demand and realize network safety technical measures. Then analyzes digital certificate and CA identific
7、ation, encryption technology, digital signature technology and information technology such as e-commerce security technology. Finally discusses guarantee transaction security of the two protocols, i.e. safety electronic transaction agreement SET and condoms connect layer protocol, and the two SSL pr
8、otocol made corresponding analysis and comparisonKeywords:E-commerce, Safety system, Encryption, Digital certificates, Security trading standards; ebay 目 录目 录31 绪论41.1 电子商务发展背景41.2 国内外电子商务安全现状41.3 易趣网的发展历史42 电子商务安全体系研究52.1 完整的电子商务安全体系结构52.2 电子商务的安全性要求52.3 电子商务安全措施62.4 易趣网的安全措施73 电子商务安全技术分析73.1 数字证书与
9、CA认证73.2 加密技术83.3 数字签名技术83.4 易趣网的安全技术与经营模式分析84 电子商务安全交易标准94.1 安全套接层SSL协议94.2 安全电子交易SET协议104.3 易趣网的交易流程10结论11参考文献12致谢131 绪论1.1 电子商务发展背景 随着因特网的迅猛发展,电子商务已经逐渐成为人们进行商务活动的一个崭新的模式。我们可以把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来,把事务活动和贸易活动中发生关系的各方有机地联系起来,极大地方便了各种网络上的事务活动和贸易活动。 7月20日,中国互联网络信息中心(CNNIC)在京发布“第
10、十四次中国互联网络发展状况统计报告”。报告显示,截止到2004年6月30日,我国上网用户总数为8700万,比去年同期增长27.9%,上网计算机达到3630万台。网络国际出口带宽增长飞速,总数达到53.9G,比去年同期增长190.3%。互联网的影响正逐步渗透到人们生活的各个角落。因此电子商务的发展前景十分诱人,而其安全问题也变得越显突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。 1.2 国内外电子商务安全现状现今社会,运行在因特网上的电子商务,每天都在进行数以百万次计的各类交易,而由于因特网的高度开放性与电子商务的绝对保密性是矛盾的,因
11、此基于因特网的电子商务安全无疑会受到严重威胁。不难想象,“黑客”的攻击一旦得逞,将会给国家的经济秩序、经济建设、信息安全造成不可估量的损失。1997年1月至3月,宁波两名证劵公司技术人员利用计算机网络,非法透支本单位资金3000多万元,进行个人股票交易,给国家造成了巨大损失;1999年4月26日的CIH病毒爆发,使我国4万多台电脑不能正常运行,国内很多企业的数据都或多或少地被破坏。大量事实说明,保证电子商务的正常运作,必须高度重视安全问题。只有建立起科学、合理的安全体系结构,才能保证电子商务交易的全面安全实施。1.3 易趣网的发展历史易趣是全球最大的电子商务公司eBay(Nasdaq:EBAY
12、)和国内领先的门户网站、无线互联网公司TOM在线于2006年12月携手组建一家合资公司。1999年8月,易趣在上海创立。主营电子商务,由邵亦波及谭海音所创立,两人同TOM易趣产品总监常琳为上海人,毕业于美国哈佛商学院。2000年2月,在全国首创24小时无间断热线服务,2000年3月至5月,与新浪结成战略联盟,并于2000年5月并购5291手机直销网,开展网上手机销售,使该业务成为易趣特色之一。易趣目前有350万注册用户。2002年,易趣与eBay结盟,更名为eBay易趣,并迅速发展成国内最大的在线交易社区。秉承帮助几乎任何人在任何地方能实现任何交易的宗旨,不仅为卖家提供了一个网上创业、实现自我
13、价值的舞台,品种繁多、价廉物美的商品资源,也给广大买家带来了全新的购物体验。2006年12月,eBay与TOM在线合作,通过整合双方优势,凭借eBay在中国的子公司eBay易趣在电子商务领域的全球经验以及国内活跃的庞大交易社区与TOM在线对本地市场的深刻理解,2007年,两家公司将推出为中国市场定制的在线交易平台。新的交易平台将带给国内买家和卖家更多的在线与移动商机,促进eBay在中国市场的纵深发展。2 电子商务安全体系研究2.1 完整的电子商务安全体系结构电子商务安全体系可以分为以下三个层次:基本加密算法、安全认证手段和安全应用协议,如图2 - 1所示。电子商务系统第三层安全协议SET、SS
14、L、S-HTTP第二层 认证手段、数字签名、CA体系第一层 基本加密算法、对称加密、非对称加密图2 - 1 电子商务安全体系2.2 电子商务的安全性要求要使电子商务健康、顺利发展,必须解决好以下六种关键的安全性要求:(1)可靠性要求:可靠性要求是指为了防止计算机的软件错误、硬件故障、网络中断、计算机病毒和自然灾害等突发事件,采取的一系列控制和预防措施来防止数据信息资源部受破坏的可靠程度。(2) 保密性要求:信息的存取时在安全的环境中进行,不能被非法窃取、泄露;信息的发送和接收是在安全的网络中进行,交易双方在信息交换过程中没有被窃听的危险,非参与方不能获取交易的信息,保证交易双方的信息安全。(3
15、) 完整性要求:完整性是指数据在发送、接收和传递过程中,要求保证数据的一致性,防止非法用户对数据的随意生成、修改和删除,同时还要保证数据传递次序的统一。信息的完整性是从事电子商务交易双方的经营基础。(4) 真实性要求:从事电子商务的交易双方的身份不能被假冒或伪装,能够有效鉴别、确定交易双份的真实身份。能否方便而有可靠地确认交易双方身份的真实性,是顺利进行电子商务交易的前提。(5) 不可抵赖性要求:在电子商务环境下,通过手写签名和个人印章进行交易 双方的鉴别已是不可能的了,必须在交易信息的传递过程中参与交易的个人、企业、商家或其他部门提供可靠的标识,有第三方提供有效的数字化过程记录,使交易各方不
16、能事后抵赖。(6) 有效性要求:在网络交易中,交易双方的信息交流(如双方的购销合同、签名、时间等)都是以数字化的形式出现的,数字化的文件取代了原有的纸张,那么保证这种数字信息的有效性并为交易双方共同认可,就显得格外重要。一旦签订交易合同后,这项交易就受到法律保护,并防止被篡改或伪造。2.3 电子商务安全措施电子商务中的安全措施包括如下几类: (1) 保证交易双方身份的真实性:保证交易双方身份真实性的常用技术是身份认证。一般依赖某个可信赖的机构(CA认证中心)发放数字证书,并以此识别对方。目的是保证身份的真实性,分辨参与者身份的真伪,防止伪装攻击。(2)保证信息的机密性:常用数据加密和解密技术来
17、保护信息不被泄露给未经授权的人或组织,其安全性依赖于使用的算法种类和密钥长度。常见的加密方法有对称密钥加密技术(如DES、AES算法)和公有密钥加密技术(如RSA、ElGamal算法)。(3)保证信息的完整性:常用散列函数(也叫哈希函数)来实现。通过对信息实行散列算法,以生成的散列码(信息的任意改动散列码都会不一样)来证明数据的完整性。典型的散列算法为MD5、SHA-1、RIPEMD-160。(4)保证信息的真实性、不可否认性:常用的处理手段是数字签名技术。目的是为了解决通信双方相互之间可能的欺诈,如发送方对他所发送信息的否认、接收方对他已收到信息的否认等,其基础是公有密钥加密技术。数字签名也
18、可以作为一种简单的身份认证技术实现身份认证。目前,可用的数字签名算法较多,如RSA数字签名、ElGamal数字签名等。(5)保证信息存储、传输的安全性:规范内部管理,使用访问控制和日志,以及敏感信息的加密存储等。当使用WWW服务器支持电子商务活动时,应注意数据的备份和恢复,并采用防火墙技术保护内部网络的安全性。2.4 易趣网的安全措施从注册来看,无论易趣还是淘宝,都需要你有一个电子信箱,等注册完毕后,网站会发一封信到你的注册信箱中,按照上面的步骤,就可以轻松实现注册的全过程了。不过,注册完毕之后,还有一个认证的过程。这是决定你是否能获得网上交易权利的重要环节。在易趣中,没有通过认证注册的会员只
19、能享受部分买物品的权利。通过认证的过程为:在首页下部有选项“点击这里迅速成为星级用户”。在这里可以通过手机即时通过认证,而之后交易的费用也将从你的电话费中扣除。如果用身份证和信用卡等级,则需要在首页顶部“诚信与安全”链接里的“交易和安全”栏里找到“实名制认证申请”。填写身份证号码或者信用卡卡号。这个认证过程需要17个工作日。而在淘宝中,认证机制只有通过身份证认证一种。注册用户可以通过扫描身份证后上传副件,也可以通过以邮寄身份证复印件至淘宝公司的方法通过认证。另外还有一种简单的方法就是用传真。不过这样的方式必须要先和工作人员取得联系后才方便进行,淘宝的交易成功仅凭买卖双方说了算,整个交易流程中大
20、部分物品的交付处于不可控的状态,允许一些交易在线下支付货款,为部分用户不实际成交互换好评开了方便之门;其次由于对交易双方没有完全采用实名认证,也没有和银行系统的征信机构连接,不能排除自卖自买的情况发生;加之国内没有建立网上、网下的失信惩戒机制,淘宝的信用评价机制还不能发挥全部作用。3 电子商务安全技术分析3.1 数字证书与CA认证由于电子商务在网络中完成,互相之间不见面,因此为了保证每个人及机构都能惟一且被准确无误地识别,就需要进行身份认证。身份认证可以通过验证参与各方的数字证书来实现,而数字证书是由认证中心(CA)颁发的。 所谓CA(Certificate Authority:证书发行机构)
21、,是采用PKI(Public Key Infrastructure:公共密钥体系)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,具有权威性和公正性的第三方信任机构,其作用就像现实生活中颁发证件的机构。公共密钥体系(PKI)是信息安全基础设施的一个重要组成部分,是一种利用公钥理论和技术建立的提供网络信息安全服务的基础设施。3.2 加密技术数字加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障安全性。利用加密技术,可以将某些重要的信息和数据从一个可以理解的明文转换为复杂的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原
22、为明文。以下是几种加密的算法:(1) DES算法,它是美国国家标准化局NBS于1976年底作为官方的联邦标准颁布的。DES是一种常规密码体制的密码算法,也是一个典型的对称分组密码算法。(2) RSA算法,它是1977年在美国麻省理工学院开发,1978年首次公布。它是一种分组加密算法,明文和密文在0n-1之间(n是一个正整数)。RSA公钥密码算法是目前网络上进行保密通信和数字签名的最有效的安全算法之一。3.3 数字签名技术数字签名是密钥加密和信息摘要相结合的技术,用于保证信息的完整性和不可否认性。签名机制的特征是该签名只有通过签名者的私有信息才能产生,即一个签名者的签名只能惟一地由他自己生成。当
23、收发双方发生争议时,第三方就能根据消息上的数字签名来裁定这条消息是否由发送方发出,从而实现不可否认服务。一下是几种签名技术:(1) RSA签名:RSA是完整的加密系统,它支持公钥/私钥对的生成、加密以及数字签名。RSA体制的安全性依赖于n=pq分解的困难性。(2) ElGamal签名:该体制由T.ElGamal在1985年给出。其修正形式已被美国国家标准与技术学会作为数字签名标准,它是Rabin体制的一种变形。3.4 易趣网的安全技术与经营模式分析(1)各自经营方式的特点比较 易趣:收取商品登陆费,目前易趣向卖家收取商品登录费、登录费1元至8元不等,以商品最低成交价为计费基数。并在每次交易成功
24、之后,收取相应佣金也就是交易服务费,价格按每件商品在网上成交金额的0.25%到2%收取,如果未实际成交则不收取。一件商品在易趣网上以3000元人民币的价格网上成交,交易服务费约为30元。实名注册,易趣用户必须要实名注册,通过实名认证后,不但有“奖状”作为标记,还能得到一颗星;交易后双方互做信用评价,信用评价由评价类型(好中差)和评论内容组成。用户得到的所有评价构成用户的信用记录。认真如实的评价可以为其他用户提供参照,当然,评价方同样可以从他人提供的评价里获益。目前此方法被广泛使用在电子商务领域。 (2)取得的成绩 易趣方面称,衡量电子商务的重要指标主要有两个:一个是交易额,另一个是成交率。据透
25、露,2003年易趣的交易额达到了10亿元人民币,成交率达到了55%。 2004年4月,互联网实验室发布的个人交易网站增长幅度,淘宝网以768的高增长率领先国内网站;2004年5月,上海艾瑞公司发布的网民覆盖率市场调查报告中,淘宝网首次超越国内外同行,跃居第一的位置。目前,淘宝网在线商品数量达到近200万件。 (3)存在问题 安全、诚信依然是亟需解决的问题。只要是涉及到金钱的交易就必然会存在风险,网络这一新兴的交易平台在创造许多财富的同时,也正在暴露出一些存在的问题。首先是诚信的问题,它对电子商务的健康发展起着生死攸关的作用。因为网上交易的主要瓶颈是信用,很多人比较担心的问题是产品质量、售后服务
26、及厂商信用、安全性得不到保障,所以网上平台必须建立一套信用体系,保证商品质量、交易安全和市场秩序。网上购物人群仍占很小份额,在网民上网目的中,直接进行网上购物的比例仍然是少的可怜,很多人还停留在有兴趣的阶段,爱好和购物是两回事。个人成规模做起来还很不容易。缺乏触摸感,要追上传统零售道路仍很漫长。这是网络零售最大的劣势所在。由于只可眼观而不能手动,消费者往往无法得到商品更多的内在信息,例如一件衣服的质感、一台音响的效果等等,这使得消费者很难对商品质量产生信赖感,传统商店在这方面却占尽优势。4 电子商务安全交易标准4.1 安全套接层SSL协议SSL协议是由Netscape公司研制的安全协议,SSL
27、使用加密的方法建立一个安全的通信通道,以使客户的信用卡号传送给商家,商家再将其转发给银行,银行验证后在通知商家付款成功。该协议已成为事实上的工业标准,微软、IBM公司都提供基于这种简单加密模式的支付系统。4.2 安全电子交易SET协议系统控制器程序是放在EELiod270平台运行的,是而EELiod270平台放在用户家里,用来管理家中的设备,因而系统控制器程序可以简称为用户端程序。用户端程序主要包括数据通信、视频采集和发送控制命令等三个方面,其中数据通信包括与扩展板、GSM模块的RS232通信和与服务器端的无线网络通信;视频数据采集主要包括客户端的视频预览和视频数据传输,发送控制命令则主要根据
28、短信内容、扩展板传感器报警信息发送各种控制命令。4.3 易趣网的交易流程易趣网目前已开展了三种交易方式,即个人物品竞标、网上直销和商家专卖。其中以个人物品竞标方式为主,其他两种方式为辅。(1)卖方和买方在网上注册阶段的简单认证是通过电子信箱进行的,即用户需输入自己的昵称、密码、邮箱及其他的个人信息,初步注册成功后,系统会自动发送确认信函。用户进入邮箱进行确认后才能成为注册会员,进行交易。但是,为了更好地确认卖方身份,保证买方的合法权益,易趣网自2002年9月以来推出了实名认证的方法。虽然网站只硬性要求需在网站上设立店铺的卖方必须进行实名注册,但也强烈建议其他交易者进行实名注册,即通过用户输入的
29、身份证号码或信用卡号码,向相关部门进行核实,达到确认的目的。(2)在交易前准备环节,卖方在网上选择售卖商品的相应分类,填写较为详细的商品信息,可采取起始价、最低价或一口价,并设立一定的时间期限;买方不仅需要查询所需商品,还要对其进行鉴别,即他们在通过网站搜索系统、商品分类或同类店铺等查询方式找出自己满意商品的同时,需要注意鉴别卖方的信用级别、查看历史的交易评价、并仔细分辨商品信息的真伪,如此一来,可在一定程度上减少被欺诈的可能。买卖双方不同的是,卖方在网上售卖商品不仅需要缴纳如物品登录费、粗体显示费及物品推荐费等费用,还需要在交易达成后支付一定的交易服务费。当然,如果卖方在网上开立店铺的话,也
30、须按照付费店铺收费标准进行付费。(3)网上交易环节相对较为简单,卖方主要是在商品售卖阶段对潜在出价者所提的问题进行解答,以促成交易达成机会;买方在自我出价的同时,可选择网站的代理出价系统进行实时自动出价,提高获得交易的机会。代理出价系统只需买方填写能够接受的最高价格,系统会自动在这个价格范围内以当前的最低获得价使买方的出价始终保持领先,并在别的买家出价时自动加价(加价幅度是由系统按照当前价格自动计算生成的),直到商品下线成交或买方出的代理最高价被别的买家超越。结论随着网络、通信技术的飞速发展,电子商务已经成为经济全球化的助推器,它改变了传统的商业运作模式,给世界范围内的商务交易活动带来了新的契
31、机。电子商务在提高效率、降低商务交易成本的同时,也遇到了非常严峻的挑战。电子商务自诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。毫无疑问,电子商务安全知识及其应用技术已成为电子商务从业人员应了解和掌握的必备知识,也成为众多学者、研究、开发人员、政府人员和管理人员关注的目标。电子商务的本质是商务,技术是电子商务得以实现的手段。没有商务需求,技术的研究就失去了应用价值;没有技术实现,电子商务就不能得以实施,所以技术是电子商务的必要条件。而安全则是实现电子商务技术的前提,也是电子商务的必要条件。解决电子商务的安全问题不是一个单一的技术问题,它是由一系列工作组成,需要从
32、电子商务安全管理、安全技术体系和法律等多方面开展工作和研究。参考文献1 电子商务中的信息安全.M.北京交通大学, 2006-08. 唐晓东.2 电子商务安全保密技术及应用.M.合肥工业大学, 2006-11. 梁兴琦.3 电子商务信息安全技术.M.武汉工业大学,2007-6. 代春艳.4 电子商务概论.M.清华大学, 2009-3. 宋文官.5 电子商务安全技术.清华大学, M.2006-12. 张爱菊6 电子商务安全.北京大学, M.2006-11. 祝凌曦. 7 电子商务中安全支付协议的对比及应用J,2004-12.何 胜.8 试论电子商务物流隐性成本控制J,2007-01.经济师.致谢时
33、光匆匆如流水,转眼便是大学毕业时节,春梦秋云,聚散真容易。离校日期已日趋临近,毕业论文的的完成也随之进入了尾声。从开始进入课题到论文的顺利完成,一直都离不开老师、同学、朋友给我热情的帮助,在这里请接受我诚挚的谢意!非常感谢张晋华老师在我大学的最后学习阶段毕业设计阶段给自己的指导,从最初的定题,到资料收集,到写作、修改,到论文定稿,给了我耐心的指导和无私的匡助。为了指导我们的毕业论文,他抛却了自己的休息时间,他的这种无私奉献的敬业精神令人钦佩,在此我向他表示我诚挚的谢意。同时,感谢所有任课老师和所有同学在这三年来给自己的指导和匡助,是他们教会了我专业知识,教会了我如何学习,教会了我如何做人。恰是因为他们,我才能在各方面取得明显的提高,在此向他们表示我由衷的谢意,并祝所有的老师培养出越来越多的优秀人才,桃李满天下!
