课程设计说明书课程名称: 信息安全技术设计题目:电子商务信息安全整体解决方案院系: 计算机科学与信息工程学院学生姓名: 刘长兴学号: 201203010054专业班级: 12—物联网指导教师: 李阳目录摘要 (1)正文 (2)1.电子商务信息安全问题 (2)1.1 身份冒充问题 (2)1.2 网络信息安全问题 (2)1.3 拒绝服务问题 (2)1.4 交易双方抵赖问题 (2)1.5计算机系统安全问题 (3)2.电子商务安全机制 (3)2.1 加密和隐藏机制 (3)2.2 认证机制 (3)2.3 审计机制 (3)2.4完整性保护机制 (4)2.5权力控制和存取控制机制 (4)2.6业务填充机制 (4)3.电子商务安全关键技术 (4)3.1防火墙技术 (4)3.2虚拟专网技术（VPN） (5)3.3数据加密技术 (5)3.4安全认证技术 (6)3.5数字签名 (6)3.7数字证书 (7)4. 电子商务安全的网络实现技术 (8)4.1 安全套接层协议(SSL) (8)4.2 安全电子交易协议(SET) (9)4.3Netbill协议 (10)4.4匿名原子交易协议 (11)5.电子商务交易形式和诚信安全解决方案 (11)5.1 电子商务的交易形式 (11)5.2电子商务诚信安全解决方案 (12)6.电子商务信息安全的防范策略 (13)6.1通用技术 (13)6.2电子支付协议 (14)总结 (16)参考文献 (16)电子商务是利用Internet进行的各项商务活动，主要包括非支付型业务和支付型业务，非支付型业务指广告、售后服务等业务，支付型业务指交易、支付等业务。

电子商务改变了传统的买卖双方面对面的交流方式，它通过网络使企业面对整个世界，电子商务的规模正在逐年迅速增长，它带来的商机是巨大而深远的。

由于电子商务所依托的Internet的全球性和开放性，电子商务的影响也是全面的，它不仅在微观上影响企业的经营行为和消费者的消费行为，而且在宏观上影响到国际贸易关系和国家未来竞争力。

因此电子商务引起包括我国在内的许多国家政府部门的高度重视，纷纷出台了有关政策和举措推动电子商务的发展。

确保有效开展电子商务活动，关键是要保证电子商务系统的安全性，也就是要保证基于Internet的电子商务环境的安全和电子商务交易过程的安全。

如何确保电子商务环境的安全和电子商务交易过程的安全，为客户在网上从事商务活动提供信心保证，是决定电子商务系统成败的关键，是电子商务健康全面发展的保障。

关键字：电子商务、信息安全、认证技术、第三方支付1.电子商务信息安全问题由于Internet本身的开放性，使电子商务系统面临着各种各样的安全威胁。

目前电子商务主要存在的安全隐患有以下几个方面。

1.1 身份冒充问题攻击者通过非法手段盗用合法用户的身份信息，仿冒合法用户的身份与他人进行交易，进行信息欺诈与信息破坏，从而获得非法利益。

主要表现有：冒充他人身份；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户等。

1.2 网络信息安全问题主要表现在攻击者在网络的传输信道上，通过物理或逻辑的手段，进行信息截获、篡改、删除、插入。

截获，攻击者可能通过分析网络物理线路传输时的各种特征，截获机密信息或有用信息，如消费者的账号、密码等。

篡改，即改变信息流的次序，更改信息的内容；删除，即删除某个信息或信息的某些部分；插入，即在息中插入一些信息，让收方读不懂或接受错误的信息1.3 拒绝服务问题扰乱正常的资讯通道。

包括：虚开网站和商店，给用户发电子邮件，收订货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应。

1.4 交易双方抵赖问题某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。

在网络世界里谁为交易双方的纠纷进行公证、仲裁。

1.5计算机系统安全问题计算机系统是进行电子商务的基本设备，如果不注意安全问题，它一样会威胁到电子商务的信息安全。

计算机设备本身存在物理损坏，数据丢失，信息泄露等问题。

计算机系统也经常会遭受非法的入侵攻击以及计算机病毒的破坏。

同时，计算机系统存在工作人员管理的问题，如果职责不清，权限不明同样会影响计算机系统的安全。

2.电子商务安全机制2.1 加密和隐藏机制加密使信息改变，攻击者无法读懂信息的内容从而保护信息；而隐藏则是将有用的信息隐藏在其他信息中，使攻击者无法发现，不仅实现了信息的保密，也保护了通信本身。

2.2 认证机制网络安全的基本机制，网络设备之间应互相认证对方身份，以保证正确的操作权力赋予和数据的存取控制。

网络也必须认证用户的身份，以保证正确的用户进行正确的操作并进行正确的审.2.3 审计机制审计是防止内部犯罪和事故后调查取证的基础，通过对一些重要的事件进行记录，从而在系统发现错误或受到攻击时能定位错误和找到攻击成功的原因。

审计信息应具有防止非法删除和修改的措施。

2.4完整性保护机制某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

如：发布者事后否认曾经发送过某条信息或内容；收信者事后否认曾经收到过某条信息或内容；购买者做了订货单不承认；商家卖出的商品质量差但不承认原有的交易。

在网络世界里谁为交易双方的纠纷进行公证、仲裁。

用于防止非法篡改，利用密码理论的完整性保护能够很好地对付非法篡改。

完整性的另一用途是提供不可抵赖服务，当信息源的完整性可以被验证却无法模仿时。

收到信息的一方可以认定信息的发送者，数字签名就可以提供这种手段。

2.5权力控制和存取控制机制主机系统必备的安全手段，系统根据正确的认证，赋予某用户适当的操作权力，使其不能进行越权的操作。

该机制一般采用角色管理办法，针对系统需要定义各种角色，如经理、会计等，然后对他们赋予不同的执行权利。

2.6业务填充机制在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难。

同时，也增加了密码通信的破译难度。

发送的随机数据应具有良好模拟性能，能够以假乱真。

3.电子商务安全关键技术3.1防火墙技术现有的防火墙技术包括两大类：数据包过滤和代理服务技术。

其中最简单和最常用的是包过滤防火墙，它检查接受到的每个数据包的头，以决定该数据包是否发送到目的地。

由于防火墙能够对进出的数据进行有选择的过滤，所以可以有效地避免对其进行的有意或无意的攻击，从而保证了专用私有网的安全。

将包过滤防火墙与代理服务器结合起来使用是解决网络安全问题的一种非常有效略。

防火墙技术的局限性主要在于：防火墙技术只能防止经由防火墙的攻击，不能防止网络内部用户对于网络的攻击;防火墙不能保证数据的秘密性，也不能保证网络不受病毒的攻击，它只能有效地保护企业内部网络不受主动攻击和入侵。

3.2虚拟专网技术（VPN）VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。

VPN具投资小、易管理、适应性强等优点。

VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接，并保证数据的安全传输，以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。

3.3数据加密技术加密技术是保证电子商务系统安全所采用的最基本的安全措施，它用于满足电子商务对保密性的需求。

加密技术分为常规密钥密码体系和公开密钥密码体系两大类。

如果进行通信的交易各方能够确保在密钥交换阶段未曾发生私有密钥泄露，可通过常规密钥密码体系的方法加密机密信息，并随报文发送报文摘要和文散列值，以保证报文的机密性和完整性。

目前常用的常规密钥密码体系的算法有：数据加密标准DES、三重DES、国际数据加密算法IDEA等，其中DES使用最普遍，被ISO采用为数据加密的标准。

在公开密钥密码体系中，加密密钥是公开信息，而解密密钥是需要保护的，加密算法和解密算法也都是公开的。

典型的公开密钥密码体系有：基于数论中大数分解的RSA体系、基于NP完全理论的Merkel-Hellman背包体系和基于编码理论的McEliece体系。

在以上两类加密体系中，常规密钥密码体系的特点是加密速度快、效率高，被广泛用于大量数据的加密，但该方法的致命缺点是密钥的传输易被截获，难以安全管理大量的密钥，因此大范围应用存在一定问题。

而公开密钥密码体系很好地解决了上述不足保密性能也优于常规密钥密码体系，但公开密钥密码体系复杂，加密速度不够理想。

目前电子商务实际运用中常将两者结合使用3.4安全认证技术安全认证技术主要有:(1)数字摘要技术，可以验证通过网络传输收到的明文是否被篡改，从而保证数据的完整性和有效性。

(2)数字签名技术，能够实现原始报文的鉴别和不可否认性，同时还能阻止伪造签名。

(3)数字时间戳技术，用于提供电子文件发表时间的安全保护。

(4)数字凭证技术，又称为数字证书，负责用电子手段来证实用户的身份和对网络资源访问的权限。

(5)认证中心，负责审核用户的真实身份并对此提供证明，而不介入具体的认证过程，从而缓解了可信第三方的系统瓶颈问题，而且只须管理每个用户的一个公开密钥，大大降低了密钥管理的复杂性，这些优点使得非对称密钥认证系统可用于用户众多的大规模网络系统。

(6)智能卡技术，它不但提供读写数据和存储数据的能力，而且还具有对数据进行处理的能力，可以实现对数据的加密和解密，能进行数字签名和验证数字签名，其存储器部分具有外部不可读特性。

采用智能卡，可使身份识别更有效、安全，但它仅仅为身份识别提供一个硬件基础，如果要使身份认证更安全，还需要与安全协议的配合。

3.5数字签名对信息进行加密只解决了信息保密问题，而防止他人对传输的信息进行篡改或破坏，保证信息的完整性，以及保证信息发送者对发送信息的不可抵赖性，需要采用其它的手段，这一手段就是数字签名。

在电子商务系统中，数字签名技术有着特别重要的地位，数据签名技术能够保证：信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方对于自己发送的信息不能抵赖。

目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。

数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：信息是由签名者发送的;信息自签发后到收到为止未曾作过任何修改。

应用广泛的数字签名方法主要有三种，即：RSA签名、DSS签名和Hash签名。

这三种算法可单独使用，也可综合在一起使用。

3.6数字信封数字签名也是建立在公共密钥体制基础上，它也是公用密钥加密技术的另一类应用。

所谓数字信封是指信息发送方用信息接收方的公开密钥将一个会话密钥加密，形成一个数字信封，然后发送给接收方，只有指定的接收方才能使用自己的秘密密钥打开数字信封，获取其中的对称密钥，并使用对称密钥解读发送方传送过来的信息。