电子商务安全技术相关研究结课

《电子商务安全技术相关研究结课》由会员分享，可在线阅读，更多相关《电子商务安全技术相关研究结课（35页珍藏版）》请在装配图网上搜索。

1、 结 课 论 文电子商务安全技术相关研究E-commerce security technology research 电子商务安全技术相关研究摘 要随着计算机时代的发展，基于网络和多媒体技术的电子商务逐渐成为人们进行商务活动的新模式。所谓电子商务是指政府、企业和个人利用现代电子计算机与网络技术实现交换和行政管理的全过程；它是一种基于互联网，以交易双方为主体，以银行电子支付和结算为手段，以客户数据为依托的全新电子商务模式。本质是建立一种全社会的“网络计算环境”或“数字神经系统”，以实现信息资源在国民经济和大众生活中的全方位应用。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推广，然而由于

2、互联网的开放性，电子商务的安全性问题也越来越多，当前，电子商务中网络安全问题产生的主要原因有：黑客袭击、软件漏洞、网络缺陷和技术管理欠缺等，其中的关键问题是电子商务企业本身的安全管理问题。本文就电子商务的现状、安全隐患进行了简单的分析；就电子商务的安全技术进行了重点研究和介绍。关键词：电子商务现状；安全问题；安全技术AbstractWith the development of the computer age, electronic commerce based on network and multimedia technology gradually become a new mode

3、of business activities have been conducted. E-commerce refers to the government, enterprises and individuals using modern computer and network technology exchange and the whole process of administrative management; It is a kind of based on the Internet, in order to trade both parties as the main bod

4、y, by means of bank electronic payment and settlement, based on the customer data of the new e-commerce model. Essence is a kind of the whole society to establish the network computing environment or digital nerve system , in order to realize the information resources in the national economy and the

5、 comprehensive application of public life. The rapid development of information technology and computer network make e-commerce got a great promotion, however, due to the openness of the Internet, electronic commerce security problem also more and more, at present, the main reason for the network se

6、curity problems in e-commerce are: hacker attacks, software bugs, defects and network management and technology, etc., which is the key problem of e-commerce enterprise safety management itself. In this paper, the present situation of electronic commerce, security hidden danger has carried on the si

7、mple analysis; As to the study on the security technology of electronic commerce and the introduction. Key words: electronic commerce present situation; Security issues; Security technology 目 录摘 要IAbstractII一、绪论1（一）研究背景、意义11.研究背景12.研究意义1（二）国内外电子商务安全研究现状21.国际电子商务安全研究现状22.我国电子商务安全研究现状2（三）研究方法，途径31.相关资

8、料、文献的收集32.数据分析、归纳和案例分析3二、电子商务安全概述4（一）电子商务安全的内容4（二）电子商务安全隐患41.内部人员滥用计算机资源42.外部攻击53.交易抵赖54.病毒或恶意代码55.新鲜的截获或窃取56.信息的篡改57.信息假冒5（三）电子商务安全要素61.数据的私有性和安全性62.数据的完整性63.通讯、交易和存取要求的合法性64.不可抵赖性65.审查能力66.可控性77.认证性78.不可拒绝性79.匿名性710.原子性7三、电子商务安全问题案例分析8（一）案例一：电子签名法首次用于庭审81.案例内容82.分析、得出结论9（二）案例二：淘宝“错价门”引发争议101.案例内容1

9、02.分析、得出结论10（三）结论11四、电子商务的安全技术机制12（一）加密技术121.加密技术的定义122.对称密钥加密体制123. 非对称密钥加密体制13（二）数字签名技术141.数字签名技术142.数字摘要153.摘要函数154.数字时间戳技术15（三）数字证书技术161.数字证书的定义162.数字证书的作用163.数字证书的原理174.数字证书的申请流程175.身份认证与数字认证17（四）认证中心181.CA（Certificate Authority）中心的定义182.认证中心的基本结构183.证书的树形验证结构184.CA认证的层次结构185.中国部分电子商务认证中心19（五）防

10、火墙技术191.防火墙技术的定义192.防火墙的位置19（六）电子商务安全协议201.SSL（Secure Socketlayer）协议202.SET（Secure Electronic Transaction）协议21（七）电子商务系统安全技术构架22结 论24参 考 文 献25结课论文撰写情况评分表26IV一、绪论（一）研究背景、意义1.研究背景随着互联网的迅猛发展，人们的生活方式发生了重大改变，相应的经济社会也受到了巨大的影响。在商业贸易领域，因为网络的飞速发展，产生了电子商务这样的一种贸易方式。但也正是因为网络的特殊性，电子商务在发展的过程中产生了许多安全性问题，这对电子商务的发展带来

11、了一定的冲击性。Internet是一个互相连通的自由空间，因此有一些人会因为某些目的攻击电子商务网站。比如盗窃资金、商业打击、恶作剧等，导致某些企业的电子商务网站贸易交流受损、服务暂停，甚至出现资金被盗的现象。据相关统计表明，美国每年因为网络安全问题在经济上造成的损失就达数百亿美元，而国内的情况也不容乐观。因此，当我们享受互联网带给我们的生活带来便利时，网络的安全性问题也逐渐成为电子商务发展的重大问题，给电子商务企业的发展带来了极大的阻碍。所以，计算机网络安全是电子商务发展过程中所面临的巨大挑战和问题。电子商务企业必须从维护顾客利益和自身利益出发，做好安全防范和自身安全管理工作，才能得到持续快

12、速的发展。2.研究意义对于企业来说，电子商务和EPR系统就像战场上的前线和后方，两者密切相关。比如，企业内部通过网上商城获取用户订单后，能够立刻将订单信息传递至内部的EPR系统，用以采购、计算、财务、进销存软件等各部门之间组织协调，核算库存、资金和销售，倘若前端商城系统与后台ERP系统脱节，就会导致信息流和数据相对封闭、独立，无法流通、整合，电子商务平台获得的订单信息、市场信息无法传递至后台ERP系统，前后台信息完全脱节。这样的后果便是企业的信息流、资金流、物流不能够有机统一，数据的一致性、完整性和准确性在进销存软件不能得到保证，中小企业内部之间重复着冗余的工作，不能对用户需求作出迅速及时的响

13、应，工作效率下降、运营成本上升，有百害而无一利。所以，企业的电子商务网上商城和ERP系统的整合对接迫不及待、不容忽视。正因为现如今电子商务在人们生活中已占有不可替代的作用，且一旦电子商务的安全性受到威胁，所损的不仅是企业，更是普通大众。所以电子商务的安全技术问题更应值得我们关注！我们要了解威胁电子商务安全的因素，掌握保证电子商务安全的相关技术，这样才能保证网络的安全，确保人们的正常生活。（二）国内外电子商务安全研究现状1.国际电子商务安全研究现状美国政府认为：电子商务的发展是未来世纪世界经济发展的一个重要推动力，甚至可以与200年前的工业革命对经济发展的促进媲美。目前美国电子商务的应用领域与规

14、模远远超过其他国家，1998年其网上交易额达170亿美元。2002年全美国网上销售和服务的营业额高达3270美元，网上电子交易4年内为美国国民收入净增长100-200亿美元，节约5%-15%的成本。从1999年1月1日起，美国要求联邦政府所有对外采购均采用电子商务方式，这一举措被认为是“将美电子商务推上了高速列车”。日本在1996年投入3.2亿日元，推动电子商务有关计划，1998年企业对消费者的电子商务市场为650亿日元，约是美国的3%，2003年达到3.16万亿日元，即在5年内增长50倍。1995年5月美日两国发表联合声明，对关税、税收、隐私权、身份确认等问题提出了一些原则看法，强调了两个经

15、济大国在电子商务方面进行磋商与合作的重要性，表明两国意欲通过他们在世界经济中的地位与影响，联手制定电子商务全球框架。1997年12月欧盟与美国发表了有关电子商务的联合宣言，与美国就全球电子商务指导原则达成协议，承诺建立“无关税电子空间”（Duty-FreeCyberePace）。2.我国电子商务安全研究现状电子商务是我国信息化建设的重要组成部分。20世纪90年代以来，以电子商务为核心的信息化在我国迅速发展。总体说来，我国电子商务发展经历了如下几个阶段: （1）1990-1993年，EDI应用起步阶段：1991年9月，国务院电子信息系统推广应用办公室牵头，发起成立“中国促进EDI应用协调小组”，

16、随后又成立了“中国 EDIFACT委员会”。在对贸易程序简化和规范化的基础上，开展了典型应用试点，标志着电子商务实验在我国开展。（2）1993-1998年，电子商务概念、技术推广阶段：1993年起，我国政府决定实施以“三金工程”为代表的国民经济信息化的重大工程项目，标志着电子商务在我国纵深应用的开展。1996年2月，中国国际电子商务中心(CIECC)成立。由中国国际电子商务中心承建并运营的中国国际电子商务网，是国家“金关工程”的骨干网络，是我国外经贸专用网络。1996年9月，中国电子进出口总公司成为中国国际电子商务网的第一个用户。1996年9月，中国金桥信息网(CHINAGBN)向社会提供In

17、ternet接入服务。1997年，中国公用计算机互联网(CHINANET)、中国科技网(CSTNET)、中国教育和科研计算机网(CERNET)、中国金桥信息网 (CHINAGBN)实现了互连互通。1998年，国家经贸委与信息产业部联合启动以电子贸易为主要内容的“金贸工程”，以推广网络和电子商务在经贸流通领域的应用。（3）1999-2000年，进入互联网电子商务实施发展阶段：中国电子商务开始进入以探索并推出大型电子商务项目为特征的新时期。这主要得益于以下三个因素:网民数量急剧增加;境内外风险投资大量介入;人们对应用与发展电子商务的认识水平有所提高。从总体上看，中国电子商务己经从宣传和启动阶段，开

18、始进入实施阶段。1999年尤其是进入下半年以后，中国的ICP和isP等网络服务商们开始大举进入电子商务领域，新的电子商务网站和新的电子商务项目猛然间急剧增加，令人目不暇接，几乎每天都有各类电子商务信息与咨询网站、网上商店、网上商场、网上邮购、网上拍卖等站点诞生。电子商务发展地域也在迅速扩大，从原先几乎局限于北京，上海，深圳，广州等极少数城市，开始向沿海及东部、中部各大城市发展。1999年中国电子商务的主角已经变成了电子商务企业、电子商务网站和致力于电子商务项目的机构。1999年的发展表明，中国电子商务己经开始由表及里，从虚到实，从宣传、启蒙和推广进入到了广泛而务实的发展阶段。（4）2000年至

19、今，电子商务进入快速发展阶段：进入2000年以来，电子商务发展发展迅速，网民数量逐渐增多。不少网上商城、网上服务开始盈利。随着各大银行陆续推出网上银行、个人银行业务，基于电子支付的真正的电子商务走入生活。然而，物流配送体系不完善，商业信用度低，信息的安全问题、特别是资金流问题尤为突出，电子商务的普遍应用还有不少问题需要解决。（三）研究方法，途径1.相关资料、文献的收集通过在图书馆进行对文献的查阅；在网络上进行相应资料的查找；在杂志等相关报刊进行参考；结合老师课上讲解的内容和课件等方式，收集了近些年有关电子商务安全技术的理论研究与实践经验，了解最新的理论研究方法和相关结论。2.数据分析、归纳和案

20、例分析对搜集到的数据进行分析、归纳，并结合相关案例分析，最后总结汇总。二、电子商务安全概述（一）电子商务安全的内容电子商务的一个重要技术特征是利用 IT 技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。（二）电子商务安全隐患如图2.1为电子商务安全从整体上的分类：人为破坏 硬件系统

21、实用环境自然破坏计算机系统的安全隐患系统漏洞黑客攻击电子商务安 全隐患软件系统工作人员失误数据的安全电子商务交易安全隐患交易的安全图2.11.内部人员滥用计算机资源内部人员对系统资源具有一定权限，如果内部人员职业道德水平不高，管理制度又不严格，就可能出现内部人员滥用计算机资源。据调查，目前的安全性事件中，来自内部人员的破坏占50%以上。内部人员除了破坏电子交易的可控性和机密性之外，还可能造成假冒交易，危害极大。2.外部攻击电子支付吸引了网上为数众多的不法之徒利用Internet或主机系统的漏洞偷窃合法用户的支付信息或电子资金。就统计数据看外部攻击比内部攻击情况出现得要少，但外部攻击可能造成的损

22、失是难以预测的，而且由于许多外部攻击行为没有被发觉使统计数据不全面，因而对外部攻击的防范不可疏忽。3.交易抵赖交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条消息或内容;购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易等。4.病毒或恶意代码主要危害是破坏系统中的数据，造成数据丢失或系统无法正常工作，从而危及电子商务的完整性和有效性。5.新鲜的截获或窃取如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装接收装置或在数据包通过的网关和路由器上截获数据等方式，获取传输的机密信息，或通过对信息流量

23、和流向、通信频度和长度等参数的分析，推导出有用信息，如消费者的银行帐号、密码以及企业的商业机密等。6.信息的篡改当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改后，再发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面:（1）篡改:改变信息流的次序、更改信息内容如购买商品的出货地址。（2）删除:删除某个息或消息的某些部分。（3）插入:在消息中插入一些信息，让接收方读不懂或接收错误信息。7.信息假冒当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户。主要有两种方式: 一种方式是伪造电子邮件。通过这种方式攻击者

24、可以虚开网站和商店，给用户发电子邮件，收定货单；可以伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；可以伪造用户发大量的电子邮件，窃取商家的商品信息和用户的信用卡等信息。 另外一种方式为假冒他人身份，例如冒充领导发布命令、调阅密件；冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序、窃取或修改使用权限、通行字、密钥等信息;冒充合法用户、欺骗系统、占用合法用户的资源等。（三）电子商务安全要素计算机安全问题主要分为三类：一是、实体的安全性。实体安全包括环境安全、设备安全和媒体安全，它是用来保证硬件和软件的安全。二是、

25、运行环境的安全性。运行安全包括风险分析、审计跟踪、备份与恢复和应急，它用来保证计算机能在良好的环境里持续工作。三是、信息的安全性，信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证，它用来保障信息不会被非法阅读、修改和泄露。以下具体的介绍各安全要素：1.数据的私有性和安全性如果不采用特别的保护措施，包括电子邮件等在Internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径，想任意窃听一组数据传输是不可能的，但是一些设置在节触web服务器的黑客程序却可以查找和收集特定类型的数据。这些数据包括信用卡、存款的帐号和相应的口令。2.数据的

26、完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同.贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。3.通讯、交易和存取要求的合法性例如Internet的计算机系统的身份是其由IP地址确认的，黑客通过IP欺骗，使用虚假的IP地址，从而达到隐瞒自己身份盗用他人身份的目的。4.不可抵赖性电子商务直接关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是

27、进行交易所期望的贸易方这一问题则是保证电子商务顺利进行的关键。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的。因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，确保交易过程的真实性，保证参加电子交易的各方承认交易过程的合法性。5.审查能力根据机密性和完整性的要求，应对数据审查的结果进行记录。6.可控性能控制使用资源的人或实体的使用方式。7.认证性认证性是指网络两端的使用者在沟通之前相互确认对方的身份。在电子商务中，认证性一般都通过证书机构CA和证书来实现。8.不可拒绝性商务服务的不可拒绝性又叫有效性或可用性，是保证授权用户在正常访问信息和资源时

28、不被拒绝，即保证为用户提供稳定的服务。9.匿名性匿名性指发送者匿名性、接收者匿名性、发送者与接收者之间的无连接性。其包含三个方面含义:信息分离、防勾结和匿名度。其中，匿名度是将匿名性从绝对隐藏、可能暴露、到暴露分为若个等级，用来衡量网络支付协议所达到的匿名程度。10.原子性原子性是指整个支付协议(一般包括初始化阶段、订购阶段、支付阶段、清算阶段等)看作一个事务，保证要么全部执行，要么全部取消。三、电子商务安全问题案例分析（一）案例一：电子签名法首次用于庭审1.案例内容北京市民杨某状告韩某借钱不还，并将自己的手机交给法庭，以 手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据？20

29、05年6月3日，海淀法院3名法官合议审理了这起电子签名法出台后的第一案。2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。为此，

30、在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部，其中记载了部分短信息内容。如：2004年8月27日15：05，“那就借点资金援助吧”。2004年8月27日15：13，“你怎么这么实在！我需要五千，这个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法见，你要是资助就得汇到我卡里！”等韩某发来的18条短信内容。韩某的代理人在听完短信内容后，否认发送短信的手机号码属于韩某，并质疑短信的真实。法官提醒他，在前次开庭时，法官曾当着双方拨打了该手机号码，接听者正是韩某本人。韩某也承认，

31、自己从 去年七八月份开始使用这个手机号码。法院经审理认为，依据最高人民法院关于民事诉讼证据的若干规定中的关于承认的相关规定，1391173XXXX”的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，故法院确认该号码系韩女士使用。依据2005年4月1日起施行的中华人民共和国电子签名法中的规定，“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用；能够识别数据电文的

32、发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。通过韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款50

33、00元；2004年9月7日韩女士提出借款6000元的请求，2004 年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本院对此予以

34、采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。2.分析、得出结论在本案中，针对主要证据手机短信息，法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性，在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下，同时又没有相反的证据足以否定这些证据的证明力的情况下，认可了这些手机短信息的证据力。在电子签名法出台之前，可以说有很多类似的案例，主要是针对电子邮件能否作为证据的，由于缺乏直接的法律规定，为此上海高院还专门出台了相关的解释，这种情况随着电子签名法的出台得到了根本的改变。本案是我国电子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味

35、着我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。通过这个案例我也更加明白了付媛老师课上给我们讲的数字签名的意义，虽然并不是我们手写的，但是一旦发生了，也就产生了法律效应。并且通过这个案例使我明白了电子商务的安全问题不只发生在计算机中，也会发生在手机这样的通讯工具中，我们除了要加强对技术的管理，更要加强警惕、加强自我保护的意识，遇到欺骗时不要心急，一定要懂得从正当途径捍卫自己的权利和利益，加强自己的法律意识。这个案例的发生不仅让我们知道了一种新的电子商务安全问题

36、，更可以通过这次教训激励我们要用不停止对电子商务安全技术的研究。（二）案例二：淘宝“错价门”引发争议1.案例内容互联网上从来不乏标价1元的商品。几年前，淘宝网上大量商品标价1元，引发网民争先恐后哄抢，但是之后许多订单被淘宝网取消。随后，淘宝网发布公告称，此次事件为第三方软件“团购宝”交易异常所致。部分网民和商户询问“团购宝”客服得到自动回复称：“服务器可能被攻击，已联系技术紧急处理。”这起“错价门”事件已经过去，导致“错价门”的真实原因依然是个谜，但与此同时，这一事件暴露出来的我国电子商务安全问题不容小觑。在此次“错价门”事件中，消费者与商家完成交易，成功付款下了订单，买卖双方之间形成了合同关

37、系。作为第三方交易平台的淘宝网关闭交易，这种行为本身是否合法？蒋苏华认为，按照我国现行法律法规，淘宝网的行为涉嫌侵犯了消费者的自由交易权，损害了消费者的合法权益，应赔礼道歉并赔偿消费者的相应损失。2.分析、得出结论在分析这个案例时我也在网上查阅了些其它企业的错价案例，事实上，“错价门”在IT互联网行业露露爆出。2009年，戴尔在中国台湾官网销售的多款产品标错价，因不愿以错价发货，戴尔遭到监管部门罚款，并与下单消费者对簿公堂，最终败诉；亚马逊中国也曾在2009年、2012年多次陷入“错价门”而单方面取消订单引发消费者不满；乌龙程度最夸张的当属2004年IBM公司将市售1500元的康宝光驱错标成了

38、1元，最终不得不向数量庞大的下单者如约发货。2014年3月20日，联想犯了一次晕，在其官方商城后台升级时，把原价1888元的联想平板标成了999元，10小时卖出11万台，损失近亿元。通过了解，我觉得以上的电子商务企业爆出的错价现象和淘宝“错价门”事件不同。以上“错价”现象，集中在某个商户或某个电子商务企业的某个商品，人为因素的可能性较大。淘宝“错价门”则是大批商户的大批商品价格在短时间内被恶意篡改，达到这个目的需要借助一定的技术手段。这个案例使我了解到，电子商务企业后台系统一旦被黑客侵入，数据库会被肆意篡改，不仅仅是商品的价格，还包括接收货物的客户个人信息等，这种非法入侵往往会造成很大的混乱，

39、带来很严重的后果，相关企业甚至会因此破产，涉嫌刑事犯罪。通过课堂的学习和查阅资料，我发现黑客攻击的主要目标是电子商务平台。黑客攻击可以是多层次、多方面、多种形式的。攻击电子商务平台，黑客可以轻松赚取巨大的、实实在在的经济利益。比如：窃取某个电子商务企业的用户资料，贩卖用户的个人信息；破解用户个人账号密码，可以冒充他人购物，并把商品货物发给自己。黑客有可能受经济利益驱使，也有可能是同业者暗箱操作打击竞争对手。攻击电子商务企业后台系统的往往是专业的黑客团队，要想防范其入侵，难度颇大。尤其是对于一些中小型电子商务网站而言，比如数量庞大的团购网站，对抗黑客入侵更是有些力不从心。如果大量电子商务企业后台

40、系统的安全得不到保障，我国整个电子商务的发展也将面临极大威胁。还有，抛开电子商务的安全问题，电子商务的正确管理也是非常重要的，像上面那些企业的错价门事件，有许多不也是因为人为的失误才发生的么？如果能在平时加强此方面的管理，我想这样的损失是完全可以避免发生的！（三）结论就我个人认为，电子商务的安全技术问题永远都会产生，我们能做到的不是杜绝其发生，而是减少其发生。电子商务安全问题是五花八门的，大到一个企业的运营，小到我们每个人的方方面面，我们一定不能放松对待。对于电子商务的安全问题，各企业除了要加强技术管理，公安机关和电信管理机关、电子商务管理机关也应当高度重视电子商务暴露的安全问题，严格执法、积

41、极介入，彻查一些严重影响互联网电子商务安全的恶性事件，切实保护消费者权益，维护我国电子商务健康有序的发展。总之，为了尽可能的减少损失，除了电子商务企业要加强安全技术管理，多聘用安全技术管理类人才，同时也要加强对员工的管理，作为大众的我们也要有一定的自我保护意识，可以通过参加一定的课程或多在网上留意相关信息进行学习，相应的管理部门也要加大力度进行维护、打击犯罪，除了抓住、惩罚罪犯，还要能有相应的应急预案，以及技术出台相关的法律法规约束网络，协助网络更好的发展。四、电子商务的安全技术机制（一）加密技术1.加密技术的定义加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把

42、重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，深受广大用户的喜爱。加密技术分为对称密钥加密体制和非对称密钥加密体制。如图4.1为加密和解密的过程：图4.12.对称密钥加密体制（1）对称密钥加密体制的定义：对称密钥加密体制是加密和解密均采用同一把秘密钥匙，而且通讯双方都要活的这把钥匙，并保持钥匙的秘密。（2）如图4.2为对称密钥加密解密过程：图4.2（3）对称密钥加密体制依赖的因素：对称密钥系统的安全性依赖于以下两个因素。第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的

43、；第二，加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。（4）对称密钥加密体制的缺点：对称加密算法的缺点是密钥难于共享，需要的密钥太多，对称加密系统最大的问题是密钥的分发和管理非常复杂、代价高昂。比如对于具有n个用户的网络，需要n(n-1)/2个密钥，在用户群不是很大的情况下，对称加密系统是有效的。对于大型网络，当用户群很大，分布很广时，密钥的分配和保存就成了大问题。另一方面的问题是如何将密钥传给要保密的用户。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须保证采用的是相同的密钥，保证彼此密钥的交换是安全可靠的，同时还要设定防止密钥泄露或更改密钥的程序。这样，对称密钥

44、的管理和分发工作演变成一件具有潜在危险的、繁琐的过程。对称加密算法另一个缺点是不能实现数字签名。 3. 非对称密钥加密体制（1）非对称密钥加密体制的定义：非对称密钥加密体制是在试图解决对称加密面临的两个最突出的问题而诞生的，即密钥分配和数字签名，而它的发展是整个密码学历史上最伟大的革命。采用公开密钥密码体制的每一个用户都有一对选定的密钥，其中加密密钥不同于解密密钥，而且从一个密钥很难推出另一个。加密密钥公之于众，谁都可以用，称为“公开密钥”；解密密钥只有解密人自己知道，称为“私密密钥”，公开密钥密码体制也称为不对称密钥密码体制。（2）如图4.3为对称密钥加密解密过程：图4.3（3）非对称密钥加

45、密体制的优点：知道公钥的人不可能计算出私钥；知道公钥和密文的人不可能计算出原始信息；密钥发布不成问题。它没有特殊的发布要求；在多人间进行保密信息传输所需的密钥组合数量很小，N个人只需要N对公开密钥，远远小于对称密钥加密系统的要求。（4）非对称密钥加密体制的缺点：非对称密钥加密体制比对称密钥加密体制的速度慢的多。不适合用来对大量的数据进行加密。（5）二者对比：对称密钥加密体制的编码效率高，在密钥分发与管理上存在困难；非对称密钥加密体制运算量大，但可以很好的解决密钥分发的问题。（二）数字签名技术1.数字签名技术（1）数字签名技术的定义：数字签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者

46、，接收者只有用发送者的公钥才能解密被加密的摘要。（2）数字签名技术的优点：1、可以确认信息是由签名者发出的；（不可否认性）2、信息自签发后到收到为止未曾做过任何修改。（消息完整性）（3）如图4.4为数字签名过程：图4.42.数字摘要（1）数字摘要的定义：数字摘要简要的描述了一份较长的信息或文件，它可以被看作一份长文件的“数字指纹”。信息摘要用于创建数字签名，对于特定的文件而言，信息摘要是唯一的。信息摘要可以被公开，它不会透露相应文件的任何内容。（2）数字摘要的作用：用于验证信息的完整性。（3）如图4.5为数字摘要过程：图4.53.摘要函数（1）摘要函数的定义摘要函数又称杂凑函数、杂凑算法或哈希

47、函数，就是把任意长度的输入串变化成固定长度的输出串的一种函数。（2）摘要函数的安全性输出长度是任意的；输出长度是固定的，根据目前的计算技术至少取128比特长，一边抵抗攻击；对每一个给定的输入，计算输出即杂凑值是很容易的；a给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值在计算上是不可行的。4.数字时间戳技术（1）数字时间戳服务的定义：数字时间戳服务（DTS：digital time stamp service）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。如果在签名时加上一个时间标记，即是有数字时间戳的数字签名。（2）时间戳的三个部分：时间

48、戳（time-stamp）是一个经过加密后形成的凭证文档，它包括三个部分：1、 需加时间戳的文件的摘要（digest）;2、 DTS收的文件的日期和时间；3、 DTS的数字签名。（3）数字签名和书面签名的区别：书面签署文件的时间是由签署人自己写上的，而数字时间则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。（4）如图4.6为获得数字时间戳的过程：图4.6（三）数字证书技术1.数字证书的定义所谓数字证书（Digital Certification）是指利用电子信息技术手段，确认、鉴定、认证Internet上信息交流参与者或服务器的身份，是一个担保个人、计算机系统或组织（企业或政

49、府部门）的身份，并且发布加密算法类别、公开密钥及其所有权的电子文档。它是由一个权威机构发行的，人们可以在交往中用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。2.数字证书的作用（1）信息传输的保密性；（2）数据交换的完整性；（3）信息的不可否认性；（4）交易者身份的确定性。以上四点也是网络交易的四大安全要素。3.数字证书的原理数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用他进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。4.数字证书的申

50、请流程如图4.7：图4.75.身份认证与数字认证数字认证是用数字方法确认、鉴定、认证网络上参与信息交流者或服务器的身份。数字证书是担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。公钥/私钥对提供了一种认证用户的方法，但他们并不保证公钥实际上属于所声称的持有者。为了确保公钥真正属于某一个人，公钥/私钥的对应关系应当被值得信赖的机构CA（certification authority）认证中心认证。经过CA认证后，公钥/私钥对和持有者身份证明信息以及其他信息就一起形成数字证书。数字证书可以作为鉴别个人身份的证明：证明网络上具体的公钥拥有者就是证书上记载的使用者。（四）认证中心1.CA（C

51、ertificate Authority）中心的定义证书授权中心，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。在交易中，CA不仅对持卡人、商户发放证书，还有对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是电子交易的核心环节。CA是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是签发证书，维护证书有效性，检查证书持有者身份的合法性等。2.认证中心的基本结构认证中心CA、注册中心RA、注册服务器RS3.证书的树形验证结构用户不需要验证并信任每一个想要交换信息的用户的身份，而只需要验证并信任颁发证书的C

52、A的身份就可以了。如果对签发证书的CA本事不信任，则可验证CA的身份，以此类推，一直到公认的权威CA处以确认证书的有效性。4.CA认证的层次结构如图4.8：图4.85.中国部分电子商务认证中心（1）上海电子商务（协卡）认证中心（2）广东电子商务认证中心（3）北京数字证书认证中心（4）湖北省CA认证中心（5）武汉数字证书认证中心（6）中国金融认证中心（7）华北CA认证中心（8）陕西数字证书认证中心（五）防火墙技术1.防火墙技术的定义防火墙如果从实现方式上来分，又分为硬件防火墙和软件防火墙两类，我们通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，

53、但效果较好，一般小型企业和个人很难实现：软件防火墙它是通过纯软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。防火墙是加强Internet和Intranet之间安全防范的、由硬件设备和软件系统组成的、在外部网和内部网之间的界面上构成的保护层。防火墙可以确定哪些内部服务允许外部访问，哪些外部服务可以由内部人员访问，可以用来控制网络内外的信息交流，提供接入控制和审查跟踪。为了发挥防火墙的作用，来自和发往Internet的所有信息必须经由防火墙出入，防火墙禁止Internet中未经授权的用户入侵，由它保护的计算机系统，它只允许授权信息通过，自身则不能

54、被渗透。2.防火墙的位置如图4.9：图4.9（六）电子商务安全协议1.SSL（Secure Socketlayer）协议（1）SSL协议的定义SSL(安全槽层)协议是由Netscape公司研究制定的安全协汉，该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来 实现有关安全特性的审查。在SSL握手信息中采用DES、MDS等加密技术来实现机密性和数据完整性，该协议已成为事实上的工业标准。如图4.10为网络平台上的SSL：图4.10（2）SSL的缺点1、它是一个面向连接的协议，在涉及多

55、方的电子交易中，只能提供交易中客户与服务器间的双方认证，而电于商务往往是用户、网站、银行三家协作完成，SSL协议并不能协调各方面的安全传输和信任关系。2、购货时用户要输入通信地址，这样将可能使得用户收到大量垃圾信件。（3）SSL提供的服务如图4.11：图4.11（4）SSL握手协议如图4.12：图4.122.SET（Secure Electronic Transaction）协议（1）SET协议的定义SET协议是针对开放网络上安全、有效的银行卡交易，是由Visa和Mastercard联合研制的一个能保证通过开放网络（包括Internet）进行安全资金支付的技术标准。该协议于1997年5月正式通

56、过，主要由6个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET1.0版已经公布并可应用于任何银行支付服务。SET协议采用公开密码体制（PK）和X509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完善地交换信息、更高的安全性和较少的可欺诈性。（2）SET协议的发展历程在最初的SET协议规范中，提供了一个非常复杂的安全协议，其公钥密码部分采用了RSA。SET1.0版本出台后，众多的团体和个人也尝试着对该版本进行多方面的改进，采用了许多的新技术，如ECC。使得在整个运营体系的安全性得到显著提高的同时，网络的交易性能和速度也获得

57、了显著的提高。 在我国一些较早开始研究电子商务的银行和外贸系统所进行的有关电子商务的试验中选择了SET作为其所用的协议。但是，虽然SET是专门为电子商务而设计的协议，在很多方面都优于SSL协议，但它仍然不能解决电子商务所遇到的全部问题。SET协议有待进一步研究改进。（七）电子商务系统安全技术构架在分析了电子商务系统的安全技术的基础上构建电子商务系统的策略模型，如图4.13是电子商务系统的安全技术实施框架：图4.13图中电子商务系统的安全架构分为五层，即：网络服务层、加密技术层、安全认证层、安全协议层、应用系统层。下层为上层提供技术支持，是上层的基础，上层是下层的扩展和递进，各层通过控制技术的递

58、进形成一个整体。这是从技术角度构建的电子商务系统的安全框架。结 论本文主要阐述了电子商务的现状、安全要素、安全问题，重点阐述了电子商务的安全技术。因为电子商务的安全技术对电子商务的发展起着至关重要的作用，关系着电子商务企业的正常运行、普通大众的生活质量和相关部门的管理方式，所有本文对各类电子商务的安全技术做了详细的论述，并通过案例分析的方式使读者对电子商务安全问题带来的危害有了简单易懂的了解，提醒读者要时刻关心电子商务安全问题。电子商务的发展前景是不可限量的，它给人们带来巨大利益和便利时，随之而来的也是更大的安全问题，所以，为了电子商务能更好的发展，我们应该从一下几个方面来正确看待电子商务发展

59、过程中产生的安全问题：1、安全是“动态”的，此时的安全不代表一直安全，时代是进步的，技术更是时刻发展的，在这个人才辈出的时代，永远充满许多新鲜的想法，技术，各行各业的竞争是十分激烈的，有竞争就有可能产生破坏，对此，我们就要不断的检查，评估和调整相应的安全策略。当然，评估只是手段，最重要的是我们要从中发现对我们企业、技术发展，维护有力的经验，发现问题，解决问题。2、安全不是绝对的，安全和管理应该始终联系在一起，不能因为只是一味的追求电子商务的安全而忽视、限制了其发展！我们应该处理好安全和管理的关系，本文在之前的案例分析中爷提到过，电子商务企业能否正常发展，与企业正确的管理也是密不可分的，我们不能

60、只关心安全问题，更要关心人员的培训。我们要做到在各个重要的部分之间找到个平衡点，这样才能更好的发展。3、安全问题不仅仅是技术问题，对有形的方面来说，还必须要有相关部门的管理约束和法律法规的制衡；对无形的方面来说，它更是与社会道德、行业管理以及人们的行为模式分不开的，所以不能将安全问题等同于技术问题。通过本文对电子商务安全技术的研究、了解，我对电子商务终于有了一个深入的了解，有了一下的收获：1、最初我认为电子商务就只是个开淘宝店的，但学习了这门课后我发现了，原来现在世界上的大型企业都有自己的电子商务企业；2、研究了这次课题，我发现了电子商务型企业现在已经成为企业发展的必然模式，所以研究电子商务安

61、全技术问题是非常必要的；3、作为电子商务专业的学生，不能只学习电子商务的知识，还有了解与之有关的，例如电子商务企业的管理，相关的法律法规，及时了解有关电子商务的最新情况，因为网络时代的特性就是新颖性、时效性，只有不短充实自己，接受新的知识，才不会在电子商务中被淘汰，面对安全问题的产生也不会措手不及。参 考 文 献1方美琪.电子商务概论.清华大学出版.1999.2钟乐海，王朝斌，李艳梅.网络安全技术第1版.电子工业出版.2003.3刘静.浅谈电子商务安全策略.长沙大学学报.2005.4李琪.电子商务安全.重庆大学出版社.2004.5易珊，张学哲.电子商务安全策略分析，科技情报开发与经济.2004

62、.6傅少川，张文杰，马军.电子商务风险分析及定性评估方法研究.2005.7邓顺国，唐晓东，门洪亮.网上银行与网上金融服务.清华大学出版社.结课论文撰写情况评分表题 目评分标准：论文内容内容与电子商务相关性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀研究内容的准确性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀研究思路的清晰性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀论文中论据的充分性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀观点、论点准确性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀论文内容的创新性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀论文结构摘要清晰准确性(2分)不及格 (3分)及格 (4分)良好 (5分)优秀结论清晰准确