電子商務中數(shù)據(jù)安全性問題的研究隨著INTERNET 的發(fā)展，電子商務已經(jīng)逐漸成為人們進行商務活動的新模式給整個社會帶來了巨大的變革，成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。越來越多的人通過INTERNET 進行商

電子商務中數(shù)據(jù)安全性問題的研究

隨著INTERNET 的發(fā)展，電子商務已經(jīng)逐漸成為人們進行商務活動的新模式給整個社會帶來了巨大的變革，成為驅(qū)動所有產(chǎn)業(yè)發(fā)展的動力。越來越多的人通過INTERNET 進行商務活動。電子商務是在Internet 開放環(huán)境下的一種新型的商業(yè)運營模式，是網(wǎng)絡技術應用的全新發(fā)展方向。發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全，便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關注的話題，在此首先對電子商務中存在的問題及其安全性技術加以分析，然后對中國電子商務未來的發(fā)展提出了一些建議，以使更多的人士關注電子商務技術，盡快解決現(xiàn)存的問題，推動電子商務的發(fā)展。

首先讓我們先了解以下什么是電子商務，通俗的說，所謂電子商務，就是在網(wǎng)上開展商務活動－當企業(yè)將它的主要業(yè)務通過企業(yè)內(nèi)部網(wǎng)（Intranet ）、外部網(wǎng)（Extranet ）以及Internet 與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intranet或局域網(wǎng)、廣域網(wǎng)、包括了從銷售、市場到商業(yè)信息管理的全過程。

目前，電子商務只是在對通用方針和平臺意見一致的參與者間的封閉組織內(nèi)進行。例如，電子數(shù)據(jù)交換（EDI ）被用來在一個機構(gòu)的多個分支之間，或者在建立了契約聯(lián)系的機構(gòu)之間安全地傳輸數(shù)據(jù)。而在這些早期階段，電子商務系統(tǒng)只處理某幾個方面的完全商務事務。 當客戶可以通過他們的Web 瀏覽器來使用的第一批基于web 的商店出現(xiàn)時，建立了電子商務的一個更全面的概念作為Internet 上傳遞貨物和價格的方式?，F(xiàn)在，大多數(shù)電子商務系統(tǒng)是基于web 的，并且允許客戶通過他們的web 瀏覽器購買貨物并用信用卡結(jié)帳。然而，基于web 的應用程序的局限功能使得很難向客戶提供全范圍的服務。

電子商務中的安全一般有以下幾個方面：

電子商務中數(shù)據(jù)安全性問題， 而息安全的核心就是數(shù)據(jù)庫的安全，也就是說數(shù)據(jù)庫加密是信息安全的核心問題。數(shù)據(jù)庫數(shù)據(jù)的安全問題越來越受到重視，數(shù)據(jù)庫加密技術的應用極大的解決了數(shù)據(jù)庫中數(shù)據(jù)的安全

電子商務交易協(xié)議對安全性的影響，當許多傳統(tǒng)的商務方式應用在Internet 上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付、保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務的大規(guī)模使用雖然只有幾年的時間，但不少公司都已經(jīng)推出了相應的軟、硬件產(chǎn)品。由于電子商務的形式多種多樣，涉及安全問題各不相同，但在Internet 上的電子商務交易過程中，最核心、最關鍵的問題就是交易的安全性。一別般來說商務安全中普遍存在著一些安全隱患。

部分告知是指在網(wǎng)上交易中將最關鍵的數(shù)據(jù)如信用卡號碼及成叫數(shù)額等略去，然后再用電話告之，以防泄密；另行確定是指當在網(wǎng)上傳輸交易信息后再用電子郵件對交易做確認，才認為有效。這些方法有一定的局限性，操作復雜，貝寧實現(xiàn)真正的安全可靠性。進年來，針對電子交易安全的要求，IT 業(yè)界與金融行業(yè)一起。推出不少有效的安全交易標準和技術。主要協(xié)議分為幾種：SET 協(xié)議、SSL 協(xié)議。

而電子商務應用的核心和關鍵問題是交易的安全性. 由于因特網(wǎng)本身的開放性, 使得網(wǎng)上交易面臨著各種危險, 由此提出了相應的安全控制要求. 最近幾年, 信息技術行業(yè)與金融行業(yè)聯(lián)合制定了幾種安全交易標準, 它們主要包括SET 標準和SSL 標準等.

SSL——提供網(wǎng)上購物安全的協(xié)議

安全套接層(Secure Sockets Layer,SSL)是一種傳輸層技術, 由Netscape 開發(fā), 可以實現(xiàn)兼容瀏覽器和服務器(通常是Web 服務器) 之間的安全通信.SSL 協(xié)議是目前網(wǎng)上購物網(wǎng)站中常使用的一種安全協(xié)議. 使用它在于確保信息在網(wǎng)際網(wǎng)絡上流通的安全性, 讓瀏覽器和Web 服務器能夠安全地進行溝通. 簡單地說, 所謂SSL 就是在和另一方通信前先講好的一套方法, 這個方法能夠在它們之間建立一個電子商務的安全性秘密信道, 確保電子商務的安全性, 凡是

不希望被別人看到的機密數(shù)據(jù), 都可通過這個秘密信道傳送給對方, 即使通過公共線路傳輸, 也不必擔心別人的偷窺.SSL 為快速架設商業(yè)網(wǎng)站提供了比較可靠的安全保障, 并且成本低廉, 容易架設.Microsoft 和Netscape 的瀏覽器都支持SSL, 很多Web 服務器也支持SSL.SSL 使用的是RSA 數(shù)字簽名算法, 可以支持X.509證書和多種保密密鑰加密算法, 比如DES 和TripleDES.

SSL 標準主要提供了3種服務:數(shù)據(jù)加密服務, 認證服務與數(shù)據(jù)完整性服務. 首先,SSL 標準要提供數(shù)據(jù)加密服務.SSL 標準采用的是對稱加密技術與公開密鑰加密技術.SSL 客戶機與服務器進行數(shù)據(jù)交換之前, 首先需要交換SSL 初始握手信息, 在SSL 握手時采用加密技術進行加密, 以保證數(shù)據(jù)在傳輸過程中不被截獲與篡改. 其次,SSL 標準要提供用戶身份認證服務.SSL 客戶機與服務器都有各自的識別號, 這些識別號使用公開密鑰進行加密. 在客戶機與服務器進行數(shù)據(jù)交換時, SSL握手需要交換各自的識別號, 以保證數(shù)據(jù)被發(fā)送到正確的客戶機或服務器上. 最后,SSL 標準要提供數(shù)據(jù)完整性服務. 它采用哈希函數(shù)和機密共享的方法提供完整信息性的服務, 在客戶機與服務器之間建立安全通道, 以保證數(shù)據(jù)在傳輸中完整地到達目的地. SET——提供安全的電子商務數(shù)據(jù)交換

在開放的因特網(wǎng)上進行電子商務, 如何保證交易雙方傳輸數(shù)據(jù)的安全成為電子商務能否普及的最重要的問題. 在電子商務的交易過程中, 首先是交流信息和需求, 進行磋商; 接著是交換單證; 最后是電子支付. 特別是電子支付涉及到資金, 賬戶, 信用卡, 銀行等一系列對貨幣最敏感的部門, 因此對安全有非常高的要求.SSL 安全協(xié)議有缺點, 不足以擔此重任.1996年提出了有重大實用價值和深遠影響的安全電子交易 (Secure Electronic Transaction,SET).SET 在保留對客戶信用卡認證的前提下, 又增加了對商家身份的認證, 這對于需要支付貨幣的交易來講是事關重大的. 由于設計合理,SET 協(xié)議得到了IBM,Microsoft 等許多大公司的支持, 已成為事實上的工業(yè)標準.

SET 是一種以信用卡為基礎的, 在因特網(wǎng)上交易的付款協(xié)議書, 是授權業(yè)務信息傳輸安全的標準, 它采用RSA 密碼算法, 利用公鑰體系對通信雙方進行認證, 用DES 等標準加密算法對信息加密傳輸, 并用散列函數(shù)來鑒別信息的完整性.

電子商務中存在的安全威脅而它主要表現(xiàn)在以下方面

1、對知識產(chǎn)權的安全威脅?；ヂ?lián)網(wǎng)廣泛應用后，對知識產(chǎn)權的安全威脅比以前嚴重多了，甚至有很多人在做出侵權的行為后并不知道自己已經(jīng)構(gòu)成了威脅。這主要有兩個原因：首先，網(wǎng)絡信息非常容易復制，無論是否受到版權保護；其次，很多人不了解保護知識產(chǎn)權方面的版權規(guī)定。如前段時間，百度受到香港幾家唱片公司的訴訟，原因是百度提供了其旗下若干歌手MP3的下載鏈接。域名搶注、域名變異和域名竊取是與知識產(chǎn)權保護有關的三個問題。

（1）域名搶注。是指用別人公司的商標來注冊一個域名，以期商標所有者付巨資贖回域名。

（2）域名變異。是指某人注冊著名域名的錯誤拼寫的域名來騙走不知情的顧客。顧客一個小的錯誤拼寫就會進入其他網(wǎng)站。

（3）域名竊取。是指非域名所有者變更了某個域名的所有權就屬于域名竊取。通常這種情況的發(fā)生均是人為的。這種欺騙客戶的手段大膽而拙劣。

2、對客戶機的安全威脅。對客戶機的威脅主要來自活動內(nèi)容，是指在頁面上嵌入的對用戶透明的程序，它可完成一些動作。由于活動內(nèi)容是可以在客戶機上運行的程序，它就有可能破壞客戶機。因此活動內(nèi)容給客戶機帶來了嚴重的安全威脅?；顒觾?nèi)容有多種形式，最知名的活動內(nèi)容形式包括cookies 、Java 小應用程序、JavaScript 、VBScript 和ActiveX 控件，另外還有圖片、瀏覽器插件和電子郵件附件。

（1）cookie 是web 站點用來存儲用戶相關信息的一種工具。當訪問者進入一個web 站點時，該站點向訪問者的計算機發(fā)送一個小型的文本文件（cookie ），以便當下次再訪問該站點時，以前存儲的信息能夠被快速載入。正是通過一個特點可以潛入的有惡意的程序可使通常存在cookie 里的信用卡號、用戶名和口令等信息泄密。有惡意的活動內(nèi)容利用cookie

可將客戶機端的文件泄密，甚至破壞存儲在客戶機上的文件。

（2）Java 小應用程序隨頁面下載下來，只要瀏覽器兼容Java ，它就可在客戶機上運行，這就意味著非常可能發(fā)生破壞安全的問題。

（3）ActiveX 控件是一些軟件組件和對象，可以將其插入到web 網(wǎng)頁或其他應用程序中。當瀏覽器下載了嵌有ActiveX 控件的頁面時，它就可在客戶機上運行了。Shockwave 是用于動畫和娛樂控制的瀏覽器插件程序。ActiveX 控件的安全威脅是：一旦下載后，它就能像計算機上的其他程序一樣執(zhí)行，能訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源，這就會對客戶機的安全構(gòu)成威脅。

3、對通信信道的安全威脅。互聯(lián)網(wǎng)是客戶機連到服務器上的傳輸信道，互聯(lián)網(wǎng)最初建立的主要目的不是為了安全傳輸，而是提供冗余傳輸，既防止一個或多個通信線路被切斷。在互聯(lián)網(wǎng)上傳輸?shù)男畔?，從起始?jié)點到目標節(jié)點之間的路徑是隨機選擇的，到達之前會通過很多中間節(jié)點，根本就無法保證信息傳輸時的安全。

（1）對完整性的安全威脅。也叫主動搭線竊聽，當未經(jīng)授權方改變了信息流時就構(gòu)成了對完整性的威脅。破壞他人網(wǎng)站就是破壞完整性的例子

（2）對即需性的安全威脅。也叫拒絕服務安全威脅，其目的是破壞正常的計算機處理或完全拒絕處理。例如：將網(wǎng)站訪問速度大大降低，就會影響訪問該網(wǎng)站人群的數(shù)量，對于一些即時性交易，會產(chǎn)生毀滅性的打擊。

（3）對保密性的安全威脅?？吹搅瞬粦吹降男畔ⅰＴ谕ㄐ判诺澜厝”Ｃ苄畔⒓右云平?。

4、對服務器的安全威脅?？蛻魴C、互聯(lián)網(wǎng)和服務器的電子商務鏈上第三個環(huán)節(jié)是服務器。對企圖破壞或非法獲取信息的人來說，服務器就有很多弱點可以被利用，如數(shù)據(jù)庫和數(shù)據(jù)庫服務器。

（1）對WWW 服務器的安全威脅。因為WWW 服務器軟件支持服務器的方便使用，非常復雜，所以也有很多的安全漏洞。如果WWW 服務器提供在高權限下運行，破壞者就可利用高權限進行破壞和攻擊。

（2）對數(shù)據(jù)庫的安全威脅。在電子商務中數(shù)據(jù)庫除了存儲產(chǎn)品信息外，還可能保存有價值的信息或隱私信息，如果被破壞或泄漏，就會造成重大的損失。

（3）對WWW 服務器的物理威脅。即作為關鍵的物理資源，受到物理的破壞。許多公司都通過CSP 托管網(wǎng)站。

5由于電子商務是以計算機網(wǎng)絡為基礎的，因此它不可避免面臨著一系列的安全問題。

1) 信息泄漏

在電子商務中表現(xiàn)為商業(yè)機密的泄漏，主要包括兩個方面：交易雙方進行交易的內(nèi)容被第三方竊?。唤灰滓环教峁┙o另一方使用的文件被第三方非法使用。

(2)竄改

在電子商務中表現(xiàn)為商業(yè)信息的真實性和完整性的問題。電子的交易信息在網(wǎng)絡上傳輸?shù)倪^程中，可能被他人非法修改、刪除或重改，這樣就使信息失去了真實性和完整性。

（3) 身份識別

如果不進行身份識別，第三方就有可能假冒交易一方的身份，以破壞交易、破壞被假冒一方的信譽或盜取被假冒一方的交易成果等，進行身份識別后，交易雙方就可防止相互猜疑的情況。

(4)電腦病毒問題電腦病毒問世十幾年來，各種新型病毒及其變種迅速增加，互聯(lián)網(wǎng)的出現(xiàn)又為病毒的傳播提供了最好的媒介。不少新病毒直接利用網(wǎng)絡作為自己的傳播途徑，還有眾多病毒借助干網(wǎng)絡傳播得更快，動輒造成數(shù)百億美元的經(jīng)濟損失

(5) 黑客問題

隨著各種應用工具的傳播，黑客己經(jīng)大眾化了, 不像過去那樣非電腦高手不能成為黑客。

曾經(jīng)大鬧雅虎網(wǎng)站的黑手黨男孩就沒有受過什么專門訓練，只是向網(wǎng)友下載了幾個攻擊軟件

并學會了如何使用，就在互聯(lián)網(wǎng)上大干了一場。

對以上電子商務中安全威脅的防范措施一般如下：

安全問題是企業(yè)應用電子商務最擔心的問題，而如何保障電子商務活動的安全，將一

直是電子商務的核心研究領域。作為一個安全的電子商務系統(tǒng)，首先必須具有一個安全、可

靠的通信網(wǎng)絡，以保證交易信息安全、迅速地傳遞；其次必須保證數(shù)據(jù)庫服務器絕對安全，

防止黑客闖入網(wǎng)絡盜取信息。

防火墻 防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，可被認為是一種訪問

控制機制，用于確定哪些內(nèi)部服務允許外部訪問，以及允許哪些外部服務訪問內(nèi)部服務。實

現(xiàn)防火墻技術的主要途徑有：數(shù)據(jù)包過濾、應用網(wǎng)關和代理服務。加密技術 加密技術是

EC 采取的主要安全措施, 貿(mào)易方可根據(jù)需要在信息交換的階段使用。

. 為呢保護數(shù)據(jù)就需要加密，加密" ，是一種限制對網(wǎng)絡上傳輸數(shù)據(jù)的訪問權的技術。

原始數(shù)據(jù)（也稱為明文，plaintext) 被加密設備(硬件或軟件) 和密鑰加密而產(chǎn)生的經(jīng)過編碼

的數(shù)據(jù)稱為密文（ciphertext ）。將密文還原為原始明文的過程稱為解密，它是加密的反向

處理，但解密者必須利用相同類型的加密設備和密鑰對密文進行解密

數(shù)據(jù)加密技術可以分為3類，即對稱型加密、不對稱型加密和不可以逆加密。

對稱加密也叫做常規(guī)加密、保密密鑰或單密鑰加密，它是20世紀70年代之前使用的唯一一

種加密機制。它現(xiàn)在仍是最常使用的倆種加密類型之一，另一種是公開密鑰加密機制。

下面介紹對稱加密技術和一些常用的對稱加密算法，如DES 、TDEA 、RC5和IDEA 。

DES 加密算法

DES ( data encryption Standard) 是一種世界標準的加密形式， 已經(jīng)15 年歷史了，雖

然有些老， 可還算是比較可靠的算法。在七十的初期, 隨著計算機之間的通信發(fā)展， 需要

有一種標準密碼算法為了限制不同算法的激增使它們之間不能互相對話。為解決這個問題,

美國國家安全局(N.S.A ) 進行招標。 I.B.M 公司開發(fā)了一種算法， 稱為：Lucifer 。 經(jīng)

過幾年的研討和修改, 這種算法, 成為了今天的D.E.S ，1976 年11月23 日， 終于被美國

國家安全局采用。

D.E.S 是分塊加密的，將明文分割成 64 BITS 的塊, 然后它們一個個接起來 。它使用56

位密鑰對64位的數(shù)據(jù)塊進行加密，并對64bits 的數(shù)據(jù)塊進行16輪編碼。與每輪編碼時，

一個48bits 的“每輪”密鑰值由56bits 的完整密鑰得出來。DES 用軟件進行解碼需要用很

長時間，而用硬件解碼速度非?？欤?977年，人們估計要耗資兩千萬美元才能建成一個專

門計算機用于DES 的解密，而且需要12個小時的破解才能得到結(jié)果。所以，當時DES 被認

為是一種十分強壯的加密方法。但今天， 只需 二十萬美圓就可以制造一臺破譯DES 的特殊

的計算機，所以現(xiàn)在 DES 對要求“強壯”加密的場合已經(jīng)不再適用了。

DES 的變種：

- 3DES ( 三重DES)

DES 的唯一密碼學缺點，就是密鑰長度相對比較短，人們并沒有放棄使用DES ，而是想出了

一個解決其長度問題的方法，即采用三重DES 。加密成為三步， 而不是一步，每一步的密

鑰都不一樣， 這樣爆破就比較復雜了，這樣要找三個密鑰， 而不是一個， 每個密鑰有56

BITS ， 那樣我們就有56 乘以三， 等于168 Bits。

- 兩個密鑰的DES 。

加密也有三步， 但是， 只有兩個密鑰， 第一步是一號鑰，第二步是二號鑰， 然后第三步

再回來一號鑰，這樣我們有56 乘以二， 等于112 BITS。

IDEA 加密算法

IDEA數(shù)據(jù)加密算法是由中國學者來學嘉博士和著名的密碼專家 James L. Massey 于

1990年聯(lián)合提出的。它的明文和密文都是64比特，但密鑰長為128比特。IDEA 是作為迭

代的分組密碼實現(xiàn)的，使用 128 位的密鑰和 8 個循環(huán)。這比 DES 提供了更多的 安全性，

但是在選擇用于 IDEA 的密鑰時，應該排除那些稱為“弱密鑰”的密鑰。DES 只有四個弱密

鑰和 12 個次弱密鑰，而 IDEA 中的弱密鑰數(shù)相當可觀，有 2 的 51 次方個。但是，如果

密鑰的總數(shù)非常大，達到 2 的 128 次方個，那么仍有 2 的 77 次方個密鑰可供選擇。IDEA

被認為是極為安全的。使用 128 位的密鑰，蠻力攻擊中需要進行的測試次數(shù)與 DES 相比會

明顯增大，甚至允許對弱密鑰測試。而且，它本身 也顯示了它尤其能抵抗專業(yè)形式的分析

性攻擊。

總結(jié)加密以某種特殊的算法改變原有的信息數(shù)據(jù)，使得未授權的用戶即使獲得了已加密的信

號，但因不知道解密的方法，仍然無法了解信息的內(nèi)容。

加密建立在對信息進行數(shù)學編碼和解碼的基礎上。 我們使用的加密類型分為兩種密鑰 --

一種是公共密鑰，一種是私人密鑰。 您發(fā)送信息給我們時，使用公共密鑰加密信息。 一旦

我們收到您的加密信息，我們則使用私人密鑰破譯信息密碼。 同一密鑰不能既是加密信息

又是解密信息。 因此，使用私人密鑰加密的信息只能使用公共密鑰解密，反之亦然，以確

保您的信息安全。 在未來 我國應盡快對電子商務的有關細則進行立法，否則就會使該電子商務行業(yè)變得混亂，

不能成為新的經(jīng)濟增長點。大多數(shù)系統(tǒng)都將銷售商的服務器和消費者的瀏覽器間的關系假設

為主從關系，這種非對稱關系限制了在這些系統(tǒng)中執(zhí)行復雜的協(xié)議，而且不允許用戶間進行

直接交易。客戶的匿名性和隱私尚未得到充分的考慮。

綜上所述，電子商務安全技術雖然已經(jīng)取得了一定的成績，但是電子商務要真正成為一種主

導的商務模式，還必須在安全技術上有更大的突破。

致謝

物與為人處世的道理。本論文從選題到完成，每一步都是在導師的指導下完成的，傾

注了導師大量的心血。在此，謹向?qū)煴硎境绺叩木匆夂椭孕牡母兄x！

本論文的順利完成，離不開各位老師、同學和朋友的關心和幫助。在此感謝我的任課老師張

清榮張老師, 雖然他是個新來的年輕老師但是他為了我們畢業(yè)班他付出了他的辛勞與汗水教

育了我們很多很多, 我們在他面前的無禮他用他大度的心不與我們計較. 畢業(yè)論文的每一個

過程都凝結(jié)著張老師的心血, 離不開他的悉心指導。真誠的說聲--謝謝你，張清榮老師！

感謝在學習期間給我諸多教誨和幫助的范淑湘范媽媽，她就像我們的母親一樣用她那顆慈母

的心靈來教育我們，她教育我們出去該怎么面對人生面對自己選擇的路，她在我們面前永遠

是那么的和藹可祥所以我們都是習慣性的叫范媽媽了。謝謝你，范淑湘范媽媽，你讓我感受到了一個老師的可愛你將會是我永遠難忘的班主任！

感謝學校的老師們，還我在貴校的一位老師劉飛軍我的哥哥，如果沒有他在這所學校教書我將不會來到這所學校到這所學校后我懂的了人生的道路是怎樣的。真心的謝謝！

感謝我的朋友，感謝你們在我失意時給我鼓勵，在失落時給我支持，感謝你們和我一路走來，讓我在此過程中倍感溫暖！

一個人的成長絕不是一件孤立的事，沒有別人的支持與幫助絕不可能辦到。我感謝可以有這樣一個空間，讓我對所有給予我關心、幫助的人說聲“謝謝”！今后，我會繼續(xù)努力，好好工作！好好學習！好好生活！！

賀玲