畢業(yè)學(xué)位論文原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重聲明： 所呈交的學(xué)位論文，是本人在導(dǎo)師的指導(dǎo)下，獨立進行研究工作所取得的成果。除文中已經(jīng)注明引用的內(nèi)容外，本論文不含任何其他個人或集體已經(jīng)發(fā)表或撰

畢業(yè)學(xué)位論文原創(chuàng)性聲明和使用授權(quán)說明

原創(chuàng)性聲明

本人鄭重聲明： 所呈交的學(xué)位論文，是本人在導(dǎo)師的指導(dǎo)下，獨立進行研究工作所取得的

成果。除文中已經(jīng)注明引用的內(nèi)容外，本論文不含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品或成果。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本聲明的法律結(jié)果由本人承擔(dān)。

論文作者簽名： 年 月 日

學(xué)位論文使用授權(quán)說明

本人完全了解學(xué)校關(guān)于收集、保存、使用學(xué)位論文的規(guī)定，即：

按照學(xué)校要求提交學(xué)位論文的印刷本和電子版本；

學(xué)校有權(quán)保存學(xué)位論文的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)； 學(xué)校可以采用影印、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。

論文作者簽名： 年 月 日

I

摘 要

電子商務(wù)最早產(chǎn)生于60年代，發(fā)展于90年代。隨著計算機的全民普及電子商務(wù)也逐具規(guī)模，并且伴隨著信用卡的普及應(yīng)用，其方便、快捷、安全等優(yōu)點成為人們消費支付的重要手段，為電子商務(wù)中的網(wǎng)上支付提供了重要途徑，使得電子商務(wù)大有一發(fā)不可收拾之勢。

電子商務(wù)的實施，其關(guān)鍵在于保證整個商務(wù)過程中系統(tǒng)的安全性，即保證基于互連網(wǎng)的電子交易過程與傳統(tǒng)交易的方式一樣安全可靠。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題。在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行，成為電子商務(wù)發(fā)展道路上必須解決的難關(guān)。

本文首先分析了電子商務(wù)發(fā)展背景與電子商務(wù)的安全現(xiàn)狀。展示了完整的安全體系結(jié)構(gòu)，再詳述了電子商務(wù)的安全性需求和實現(xiàn)網(wǎng)絡(luò)的安全技術(shù)措施。接著分析了數(shù)字證書與CA 認證、加密技術(shù)、數(shù)字簽名技術(shù)和信息摘要技術(shù)等電子商務(wù)安全技術(shù)。最后探討了保證交易安全的兩個協(xié)議，即安全電子交易協(xié)議SET 和安全套接層協(xié)議SSL ，并對兩種協(xié)議做出了相應(yīng)的分析和比較。

關(guān)鍵詞：電子商務(wù)；安全體系；加密；數(shù)字證書；安全交易

II

ABSTRACT

E-commerce originated in the 60's, developed in the 90's. With the popularity of e-commerce is also a computer by a universal scale, and application along with the popularity of credit cards, convenient, fast and secure payment of such benefits become an important means of consumption, the online payment for e-commerce provides an important way to make much out of control e-commerce trend.

The implementation of e-commerce, the key is to ensure that the entire business process of system security, which is to ensure that electronic transactions on the Internet and traditional trading process as safe and reliable manner. Security is tight around the business transactions on the Internet on traditional business applications for a variety of security issues. On the basis of computer network security, how to protect the smooth process of e-commerce as e-commerce development difficulties on the road that must be addressed.

This paper analyzes the development background of e-commerce and e-commerce security situation. Shows a complete security architecture, then details the security requirements of electronic commerce and realization of the network security technical measures. Then analyzes the digital certificate and the CA authentication, encryption, digital signature technology and information technology, e-commerce security technology summary. Finally, we discuss the two agreements to ensure transaction security, the Secure Electronic Transaction SET and Secure Sockets Layer SSL, and two protocols to make the corresponding analysis and comparison.

Keywords: Electronic commerce; Security system; Encryption; Digital certificate; Security Transactions

III

目 錄

一、緒論 .......................................................... 1

(一) 電子商務(wù)發(fā)展背景 . .............................................. 1

(二) 國內(nèi)外電子商務(wù)安全現(xiàn)狀 . ........................................ 1

二、電子商務(wù)安全體系研究 .......................................... 2

（一） 完整的電子商務(wù)安全體系結(jié)構(gòu) . .................................. 2

（二） 電子商務(wù)的安全性要求 . ........................................ 3

三、電子商務(wù)安全技術(shù)分析 .......................................... 4

(一) 數(shù)字證書與CA 認證 . .............................................. 4

(三) 數(shù)字簽名技術(shù) . .................................................. 5

(四) 信息摘要技術(shù) . .................................................. 6

四、電子商務(wù)安全交易標準 .......................................... 6

(一) 安全套接層SSL 協(xié)議 . ............................................ 6

(二) 安全電子交易SET 協(xié)議 . .......................................... 7

(三) SET協(xié)議與SSL 協(xié)議的比較 ....................................... 7

五、 結(jié)論 ......................................................... 9

參考文獻 ......................................................... 11

致 謝 ........................................................... 12

IV

一、緒論

(一) 電子商務(wù)發(fā)展背景

隨著因特網(wǎng)的迅猛發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進行商務(wù)活動的一個嶄新的模式。我們可以把電子商務(wù)定義為整個事務(wù)活動和貿(mào)易活動的電子化。它將信息網(wǎng)絡(luò)、金融網(wǎng)絡(luò)和物流網(wǎng)絡(luò)結(jié)合起來，把事務(wù)活動和貿(mào)易活動中發(fā)生關(guān)系的各方有機地聯(lián)系起來，極大地方便了各種網(wǎng)絡(luò)上的事務(wù)活動和貿(mào)易活動。

7月20日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC ）在京發(fā)布“第十四次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告”。報告顯示，截止到2004年6月30日，我國上網(wǎng)用戶總數(shù)為8700萬，比去年同期增長27.9，上網(wǎng)計算機達到3630萬臺。網(wǎng)絡(luò)國際出口帶寬增長飛速，總數(shù)達到53.9G ，比去年同期增長190.3?；ヂ?lián)網(wǎng)的影響正逐步滲透到人們生活的各個角落。因此電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越顯突出，如何建立一個安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關(guān)心的話題。

(二) 國內(nèi)外電子商務(wù)安全現(xiàn)狀

現(xiàn)今社會，運行在因特網(wǎng)上的電子商務(wù)，每天都在進行數(shù)以百萬次計的各類交易，而由于因特網(wǎng)的高度開放性與電子商務(wù)的絕對保密性是矛盾的，因此基于因特網(wǎng)的電子商務(wù)安全無疑會受到嚴重威脅。不難想象，“黑客”的攻擊一旦得逞，將會給國家的經(jīng)濟秩序、經(jīng)濟建設(shè)、信息安全造成不可估量的損失。

1997年1月至3月，寧波兩名證劵公司技術(shù)人員利用計算機網(wǎng)絡(luò)，非法透支本單位資金3000多萬元，進行個人股票交易，給國家造成了巨大損失；1999年4月26日的CIH 病毒爆發(fā)，使我國4萬多臺電腦不能正常運行，國內(nèi)很多企業(yè)的數(shù)據(jù)都或多或少地被破壞。

在國外，網(wǎng)絡(luò)犯罪的人數(shù)呈成倍增長之勢。1997年美國出現(xiàn)了兩次大的企業(yè)網(wǎng)站癱瘓事件，連美國中央情報局的服務(wù)器在1999年也受到過“黑客”的攻擊。著名的美國聯(lián)機公司因人為操作和技術(shù)上的失誤，使其計算機系統(tǒng)的600萬用戶陷入癱瘓10小時。最近2010年1月份，著名的搜索網(wǎng)站“百度”因國外的域名服務(wù)器被“黑客”惡意攻擊，導(dǎo)致用戶無法登陸“百度”長達11小時之久。

1

大量事實說明，保證電子商務(wù)的正常運作，必須高度重視安全問題。只有建立起科學(xué)、合理的安全體系結(jié)構(gòu)，才能保證電子商務(wù)交易的全面安全實施[1]。

二、電子商務(wù)安全體系研究

電子交易平臺實現(xiàn)了現(xiàn)貨掛牌交易、現(xiàn)貨遠期交易、競價拍賣交易、競價招投標交易、電子超市交易、網(wǎng)上商城交易、在線協(xié)商交易、專場交易等8種不同的電子交易模式的交易、交收、結(jié)算功能以及交易管理、交易監(jiān)控、財務(wù)管理、行情分析、統(tǒng)計查詢、系統(tǒng)管理等功能，能夠充分滿足鋼鐵、化工、煤炭、糧食等各行業(yè)大宗商品生產(chǎn)商、供應(yīng)商、采購商、貿(mào)易商等各類交易商的交易需求。

物流配送平臺實現(xiàn)了交易、物流一體化管理，為電子交易中心和交易商提供電子交易所需的全程物流服務(wù)管理功能，包括：交易與物流聯(lián)動管理、交收管理、全面訂單管理、倉儲管理、運輸配送管理、虛擬倉儲管理、客戶關(guān)系管理等，在電子交易倉單注冊、掛單、撤單、交易、成交時，系統(tǒng)自動完成所對應(yīng)貨物的凍結(jié)、解凍、釋放倉單等操作。

綜合信息服務(wù)平臺及門戶入口為交易商、電子交易中心管理人員、政府監(jiān)管部門、公眾用戶等，提供交易信息、交易價格行情分析、物流信息、物流價格、綜合查詢、統(tǒng)計分析、決策支持等綜合信息服務(wù)功能，并為電子交易、物流配送、系統(tǒng)管理、信息瀏覽等提供門戶入口功能。

（一） 完整的電子商務(wù)安全體系結(jié)構(gòu)

電子商務(wù)安全體系可以分為以下三個層次：基本加密算法、安全認證手段和安全應(yīng)用協(xié)議，如圖2 - 1所示。

2

圖2 - 1 電子商務(wù)安全體系

第二層

第一層

（二） 電子商務(wù)的安全性要求

要使電子商務(wù)健康、順利發(fā)展，必須解決好以下六種關(guān)鍵的安全性要求：

1. 可靠性要求：可靠性要求是指為了防止計算機的軟件錯誤、硬件故障、網(wǎng)絡(luò)中斷、計算機病毒和自然災(zāi)害等突發(fā)事件，采取的一系列控制和預(yù)防措施來防止數(shù)據(jù)信息資源部受破壞的可靠程度。

2.保密性要求：信息的存取時在安全的環(huán)境中進行，不能被非法竊取、泄露；信息的發(fā)送和接收是在安全的網(wǎng)絡(luò)中進行，交易雙方在信息交換過程中沒有被竊聽的危險，非參與方不能獲取交易的信息，保證交易雙方的信息安全。

3.完整性要求：完整性是指數(shù)據(jù)在發(fā)送、接收和傳遞過程中，要求保證數(shù)據(jù)的一致性，防止非法用戶對數(shù)據(jù)的隨意生成、修改和刪除，同時還要保證數(shù)據(jù)傳遞次序的統(tǒng)一。信息的完整性是從事電子商務(wù)交易雙方的經(jīng)營基礎(chǔ)。

4.真實性要求：從事電子商務(wù)的交易雙方的身份不能被假冒或偽裝，能夠有效鑒別、確定交易雙份的真實身份。能否方便而有可靠地確認交易雙方身份的真實性，是順利進行電子商務(wù)交易的前提。

5.不可抵賴性要求：在電子商務(wù)環(huán)境下，通過手寫簽名和個人印章進行交易雙方的鑒別已是不可能的了，必須在交易信息的傳遞過程中參與交易的個人、企業(yè)、商家或其他部門提供可靠的標識，有第三方提供有效的數(shù)字化過程記錄，使交易各方不能事后抵賴。

6.有效性要求：在網(wǎng)絡(luò)交易中，交易雙方的信息交流（如雙方的購銷合同、簽名、時間等）都是以數(shù)字化的形式出現(xiàn)的，數(shù)字化的文件取代了原有的紙張，

那么保證這種數(shù)字信息的有效性并為交易雙方共同認可，就顯得格外重要。一 3

旦簽訂交易合同后，這項交易就受到法律保護，并防止被篡改或偽造[2]。

(三) 電子商務(wù)安全措施

電子商務(wù)中的安全措施包括如下幾類：

（1） 保證交易雙方身份的真實性：保證交易雙方身份真實性的常 用技術(shù)是身份認證。一般依賴某個可信賴的機構(gòu)（CA 認證中心）發(fā)放數(shù)字證書，并以此識別對方。目的是保證身份的真實性，分辨參與者身份的真?zhèn)?，防止偽裝攻擊。

（2）保證信息的機密性：常用數(shù)據(jù)加密和解密技術(shù)來保護信息不被泄露給未經(jīng)授權(quán)的人或組織，其安全性依賴于使用的算法種類和密鑰長度。常見的加密方法有對稱密鑰加密技術(shù)（如DES 、AES 算法）和公有密鑰加密技術(shù)（如RSA 、ElGamal 算法）。

（3）保證信息的完整性：常用散列函數(shù)（也叫哈希函數(shù)）來實現(xiàn)。通過對信息實行散列算法，以生成的散列碼（信息的任意改動散列碼都會不一樣）來證明數(shù)據(jù)的完整性。典型的散列算法為MD5、SHA-1、RIPEMD-160。

（4）保證信息的真實性、不可否認性：常用的處理手段是數(shù)字簽名技術(shù)。目的是為了解決通信雙方相互之間可能的欺詐，如發(fā)送方對他所發(fā)送信息的否認、接收方對他已收到信息的否認等，其基礎(chǔ)是公有密鑰加密技術(shù)。數(shù)字簽名也可以作為一種簡單的身份認證技術(shù)實現(xiàn)身份認證。目前，可用的數(shù)字簽名算法較多，如RSA 數(shù)字簽名、ElGamal 數(shù)字簽名等。

（5）保證信息存儲、傳輸?shù)陌踩裕阂?guī)范內(nèi)部管理，使用訪問控制和日志，以及敏感信息的加密存儲等。當使用WWW 服務(wù)器支持電子商務(wù)活動時，應(yīng)注意數(shù)據(jù)的備份和恢復(fù)，并采用防火墻技術(shù)保護內(nèi)部網(wǎng)絡(luò)的安全性[3]。

三、電子商務(wù)安全技術(shù)分析

(一) 數(shù)字證書與CA 認證

由于電子商務(wù)在網(wǎng)絡(luò)中完成，互相之間不見面，因此為了保證每個人及機構(gòu)都能惟一且被準確無誤地識別，就需要進行身份認證。身份認證可以通 4

過驗證參與各方的數(shù)字證書來實現(xiàn)，而數(shù)字證書是由認證中心（CA ）頒發(fā)的。

所謂CA （Certificate Authority ：證書發(fā)行機構(gòu)），是采用PKI （Public Key Infrastructure ：公共密鑰體系）公開密鑰基礎(chǔ)架構(gòu)技術(shù)，專門提供網(wǎng)絡(luò)身份認證服務(wù)，負責(zé)簽發(fā)和管理數(shù)字證書，具有權(quán)威性和公正性的第三方信任機構(gòu)，其作用就像現(xiàn)實生活中頒發(fā)證件的機構(gòu)。

公共密鑰體系（PKI ）是信息安全基礎(chǔ)設(shè)施的一個重要組成部分，是一種利用公鑰理論和技術(shù)建立的提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施。

(二) 加密技術(shù)

數(shù)字加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密來保障安全性。利用加密技術(shù)，可以將某些重要的信息和數(shù)據(jù)從一個可以理解的明文轉(zhuǎn)換為復(fù)雜的、不可理解的密文形式，在線路上傳送或在數(shù)據(jù)庫中存儲，其他用戶再將密文還原為明文。以下是幾種加密的算法：

（1）DES 算法，它是美國國家標準化局NBS 于1976年底作為官方的聯(lián)邦標準頒布的。DES 是一種常規(guī)密碼體制的密碼算法，也是一個典型的對稱分組密碼算法。

（2）RSA 算法，它是1977年在美國麻省理工學(xué)院開發(fā)，1978年首次公布。它是一種分組加密算法，明文和密文在0~n-1之間（n 是一個正整數(shù)）。RSA 公鑰密碼算法是目前網(wǎng)絡(luò)上進行保密通信和數(shù)字簽名的最有效的安全算法之一。 [4]

(三) 數(shù)字簽名技術(shù)

數(shù)字簽名是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認性。簽名機制的特征是該簽名只有通過簽名者的私有信息才能產(chǎn)生，即一個簽名者的簽名只能惟一地由他自己生成。當收發(fā)雙方發(fā)生爭議時，第三方就能根據(jù)消息上的數(shù)字簽名來裁定這條消息是否由發(fā)送方發(fā)出，從而實現(xiàn)不可否認服務(wù)。一下是幾種簽名技術(shù)：

（1）RSA 簽名：RSA 是完整的加密系統(tǒng)，它支持公鑰/私鑰對的生成、加密以及數(shù)字簽名。RSA 體制的安全性依賴于n=pq分解的困難性。

（2）ElGamal 簽名：該體制由T.ElGamal 在1985年給出。其修正形式 5

已被美國國家標準與技術(shù)學(xué)會作為數(shù)字簽名標準，它是Rabin 體制的一種變形[5]。

(四) 信息摘要技術(shù)

密鑰加密技術(shù)只能解決信息的保密性問題，對信息的完整性則可以使用信息摘要技術(shù)來實現(xiàn)。信息摘要又稱為Hash 算法，是一種單向加密算法，其加密結(jié)果是不能解密的。通過Hash 算法，得到一個固定長度（128位）的散列值，不同的原文產(chǎn)生的信息摘要必不相同，相同的原文產(chǎn)生的信息摘要必定相同。這樣，通過用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要比較，若兩者相同則表示原文在傳輸過程中沒有被修改，否則說明原文被修改過。

MD5和SHA-1是當前應(yīng)用最為廣泛的兩種散列算法。常見的UNIX 系統(tǒng)口令就是經(jīng)過MD5處理后保存其摘要信息串。2004年王小云教授在國際密碼學(xué)會以上宣布Hash 算法MD5的碰撞。在MD5被“碰撞”后，SHA-1算法仍被世界密碼學(xué)界認為是安全的算法[6]。

SHA-1目前仍是安全的算法，它的應(yīng)用范圍或許比MD5更加廣泛，其安全性較MD5要高出很多。它是美國國家標準技術(shù)研究院（NIST ）與美國國家安全局（NSA ）共同設(shè)計的，在一些重要的場合都選擇SHA-1來做數(shù)字簽名。但近年已提出考慮更換SHA-1算法的說法。

四、電子商務(wù)安全交易標準

要實現(xiàn)安全的電子商務(wù)交易，交易雙方必須遵照統(tǒng)一的安全標準協(xié)議。當前，電子商務(wù)的安全機制正走向成熟，并逐漸形成了一些國際規(guī)范，比較有代表性的有安全套接層協(xié)議SSL （Secure Sockets Layer）和安全電子交易協(xié)議SET （Secure Electronic Transaction）[7]。

(一) 安全套接層SSL 協(xié)議

SSL 協(xié)議是由Netscape 公司研制的安全協(xié)議，SSL 使用加密的方法建立一個安全的通信通道，以使客戶的信用卡號傳送給商家，商家再將其轉(zhuǎn)發(fā)給銀行，銀行驗證后在通知商家付款成功。該協(xié)議已成為事實上的工業(yè)標準， 6