(精品)我國電子商務(wù)的發(fā)展安全及信用問題的研究終稿(2013年優(yōu)秀畢業(yè)設(shè)計(jì))

學(xué) 院 畢畢 業(yè)業(yè) 論論 文文 我國電子商務(wù)的發(fā)展安全及信用問題的研究 姓 名： 所在學(xué)院： 信息科技學(xué)院 所學(xué)專業(yè)： 信息管理與信息系統(tǒng) 班 級(jí) 學(xué) 號(hào) 指導(dǎo)教師： 完成時(shí)間： 畢業(yè)論文（設(shè)計(jì)）任務(wù)書畢業(yè)論文（設(shè)計(jì)）任務(wù)書 論文題目我國電子商務(wù)的發(fā)展安全及信用問題的研究 院部信息科技學(xué)院專業(yè)信息管理與信息系統(tǒng)班級(jí) 畢業(yè)論文（設(shè)計(jì)）的要求 1、選題應(yīng)符合本專業(yè)培養(yǎng)目標(biāo)的要求，具有理論意義和實(shí)際價(jià)值。 2、正文內(nèi)容文題應(yīng)相符，結(jié)構(gòu)合理，層次分明，合乎邏輯，概念準(zhǔn)確，語言流暢，論點(diǎn)鮮明,論 據(jù)充分，書寫格式規(guī)范，符合煙臺(tái)南山學(xué)院畢業(yè)設(shè)計(jì)管理?xiàng)l例的要求。 3、論文應(yīng)當(dāng)反映出學(xué)生查閱文獻(xiàn)、獲取信息的能力，綜合運(yùn)用所學(xué)知識(shí)分析問題與解決問題 的能力，研究方案的設(shè)計(jì)能力，研究方法和手段的運(yùn)用能力，外語和計(jì)算機(jī)的應(yīng)用能力及團(tuán) 結(jié)協(xié)作能力。 畢業(yè)論文（設(shè)計(jì)）的內(nèi)容與技術(shù)參數(shù) 對(duì)電子商務(wù)的發(fā)展安全和信用問題進(jìn)行了討論，主要研究了電子商務(wù)的安全框架體系結(jié) 構(gòu)，談?dòng)懥思用芗夹g(shù)層、安全認(rèn)證層和交易協(xié)議層，分析了企業(yè)電子商務(wù)發(fā)展安全問題，并 分別討論了企業(yè)電子商務(wù)安全的技術(shù)分析和管理分析，最后運(yùn)用對(duì)策論對(duì)中小電子商務(wù)企 業(yè)信用形成的外在作用機(jī)理進(jìn)行了探討。 畢業(yè)論文（設(shè)計(jì)）工作計(jì)劃 1、2009 年 9 月 13 日確定選題方向； 2、2009 年 9 月 20 日前提交開題報(bào)告； 3、2009 年 9 月 30 日前確定課題； 4、2009 年 10 月至 2010 年 1 月完成論文資料收集或系統(tǒng)設(shè)計(jì)； 5、2010 年 3 月 14 日前提交論文初稿（交指導(dǎo)教師）； 6、2010 年 3 月 31 日前提交第二稿（交指導(dǎo)教師）； 7、2010 年 4 月 15 日前定稿，審核答辯資格； 8、2010 年 5 月 1 日前后畢業(yè)答辯。 接受任務(wù)日期 年 月 日 要求完成日期 年 月 日 學(xué) 生 (簽名) 年 月 日 指 導(dǎo) 教 師 (簽名) 年 月 日 院 長(zhǎng) (主 任 ) (簽名) 年 月 日 摘 要 人類已進(jìn)入信息社會(huì)，而電子商務(wù)是信息社會(huì)的核心內(nèi)容和重要基礎(chǔ)之一，直接 影響著社會(huì)、政治、經(jīng)濟(jì)、文化等各個(gè)領(lǐng)域信息化的發(fā)展。電子商務(wù)并未帶來預(yù)期的 利潤，主要原因之一是電子商務(wù)目前尚存在著一些安全及信用問題，影響了在線交易 的規(guī)模和效益，阻礙了電子商務(wù)的進(jìn)一步發(fā)展。電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù) 和交易過程的安全，Internet 本身的開放性使電子商務(wù)系統(tǒng)面臨各種各樣的安全威脅。 企業(yè)有效開展電子商務(wù)活動(dòng)中，關(guān)鍵是要保證企業(yè)電子商務(wù)系統(tǒng)的安全性，也就是要 保證基于 Internet 的企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交易過程的安全。如何確 保企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交易過程的安全，為客戶在網(wǎng)上從事商務(wù) 活動(dòng)提供信心保證，是決定企業(yè)電子商務(wù)系統(tǒng)成敗的關(guān)鍵，是企業(yè)電子商務(wù)健康全面 發(fā)展的保障。本文從電子商務(wù)企業(yè)安全在技術(shù)方面和管理方面分別進(jìn)行了全面的分析。 本文最后從運(yùn)籌學(xué)角度，運(yùn)用對(duì)策論對(duì)中小電子商務(wù)企業(yè)信用形成的外在作用機(jī)理進(jìn) 行探討，其基本內(nèi)容是分析中小電子商務(wù)企業(yè)交易中處于不同交易部位的交易者和管 理者等主體間作用和影響及其由此而形成虛擬市場(chǎng)信用的機(jī)理。 關(guān)鍵詞：電子商務(wù)；安全；信用問題關(guān)鍵詞：電子商務(wù)；安全；信用問題 ABSTRACT Mankind has entered the information society. The e-commerce is the core content and important foundation of the information society. It has a direct impact on the social, political, economic, cultural and other fields of information technology development. E-commerce does not bring the expected profits, one of the major reasons is that e-commerce is currently surviving on a number of security and credit problems which have affected the size and effectiveness of online transactions, hindering the further development of e-commerce. The key of the e-commerce systems is to ensure that the security of the data and the process of transaction is safe, Internet itself is open, which make e-commerce systems faced with a variety of security threats. Enterprises can effectively conduct e-commerce activities, the key is to ensure the security of enterprise e-commerce system, that is, Internet-based businesses must ensure the security of e-business environment and business e-commerce transaction security. How to ensure the safety of enterprise e-business environment and the security of enterprise e-commerce transactions, to provide assurance for clients in business activities on the Internet, is the key to determine the success or failure of enterprise e-business system. From the point of view in the operational research, this paper mainly use the game theory to explore the mechanism of the external of the formation of small and medium e-commerce business credit, the basic element is to analyze small and medium e-business transactions in different parts of the trading transactions and the role of managers and their formation of a virtual market credit mechanism. It discusses the establishment of small and medium e- commerce business credit conditions, and provides theoretical guidance to the optimal decision for each game parties. Keywords: E-commerce；safety；credit 目目 錄錄 前前 言言 1 1 緒論緒論 .2 1.1 研究目標(biāo) 2 1.2 研究?jī)?nèi)容 2 1.3 論文結(jié)構(gòu) 3 2 電子商務(wù)及相關(guān)理論綜述電子商務(wù)及相關(guān)理論綜述 .4 2.1 什么是電子商務(wù) 4 2.1.1 電子商務(wù)的概念.4 2.1.2 電子商務(wù)的內(nèi)容與目標(biāo).4 2.2 我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢(shì) 4 2.3 我國電子商務(wù)所面臨的安全問題及發(fā)展趨勢(shì) 6 2.4 電子商務(wù)中的信用問題 6 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) .8 3. 1 電子商務(wù)安全框架體系8 3. 2 加密技術(shù)層8 3.2.1 對(duì)稱密鑰加密(Private Key)8 3.2.2 非對(duì)稱密鑰加密(Public Key) 9 3.2.3 兩類加密方法比較.9 3. 3 安全認(rèn)證層9 3. 4 交易協(xié)議層.11 3.4.1 安全套接字層協(xié)議(Secure Socket Layer, SSL) .11 3.4.2 安全電子交易協(xié)議(Secure Electronic Transaction, SET)11 4 企業(yè)電子商務(wù)發(fā)展安全問題分析企業(yè)電子商務(wù)發(fā)展安全問題分析 12 4.1 企業(yè)電子商務(wù)安全技術(shù)分析 .12 4.1.1 鑒別和認(rèn)證安全12 4.1.2 訪問控制安全12 4.1.3 審計(jì)和響應(yīng)安全13 4.1.4 冗余和恢復(fù)安全14 4.1.5 內(nèi)容安全14 4.2 企業(yè)電子商務(wù)安全管理分析 .15 4.2.1 信息安全管理概述15 4.2.2 電子支付信息安全管理體系要求16 4.2.3 電子支付信息安全管理體系建設(shè)16 5 從運(yùn)籌學(xué)角度分析中小電子商務(wù)企業(yè)信用問題從運(yùn)籌學(xué)角度分析中小電子商務(wù)企業(yè)信用問題 18 5.1 電子商務(wù)信用問題的重要性 .18 5.2 從對(duì)策論看電子商務(wù)信用問題 .19 5.3 中小電子商務(wù)企業(yè)信用形成 .20 5.3.1 電子商務(wù)買賣方之間的完全信息靜態(tài)博弈20 5.3.2 電子商務(wù)買賣方之間的完全信息動(dòng)態(tài)博弈22 5.3.3 電子商務(wù)信用問題政策建議23 結(jié)結(jié) 論論 .25 致致 謝謝 .26 參考文獻(xiàn)參考文獻(xiàn) .27 前 言 1 前前 言言 隨著信息技術(shù)日新月異的發(fā)展，人類正在進(jìn)入以網(wǎng)絡(luò)為主的信息時(shí)代，Internet 的 高速發(fā)展不僅方便了人們的通信和交流，同時(shí)帶來了商業(yè)和經(jīng)濟(jì)模式的變革。更多的 企業(yè)、個(gè)人及其他各種組織，甚至包括政府都在積極地推動(dòng)電子商務(wù)的發(fā)展，越來越 多的人投入到電子商務(wù)中去。電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用發(fā)展的必然趨勢(shì)，也是國際金融 貿(mào)易中越來越重要的經(jīng)營模式，以后它還會(huì)逐漸地成為我們經(jīng)濟(jì)生活中一個(gè)重要部分。 安全和信用問題是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素。 越來越多的中國企業(yè)積極開展國際電子商務(wù)，并取得一定成效。一些企業(yè)在電子 商務(wù)應(yīng)用方面進(jìn)行了積極有效的探索。廣大企業(yè)充分認(rèn)識(shí)到開展電子商務(wù)對(duì)改造傳統(tǒng) 產(chǎn)業(yè)的重要性和緊迫性，通過信息化建設(shè)和開展電子商務(wù)應(yīng)用，能夠有效拓展業(yè)務(wù)， 提高企業(yè)適應(yīng)市場(chǎng)變化和參與市場(chǎng)競(jìng)爭(zhēng)的能力。與此同時(shí)，一些地區(qū)的中小型企業(yè)也 逐步成為電子商務(wù)的積極實(shí)踐者。安全問題是我國的商務(wù)發(fā)展中的一個(gè)重要制約因素。 電子商務(wù)的安全總是表現(xiàn)為信息安全、交易安全和財(cái)產(chǎn)安全三個(gè)方面。其來源有四個(gè)層面: 硬件層面、軟件層面、應(yīng)用層面和環(huán)境層面。應(yīng)采取多種措施應(yīng)對(duì)安全挑戰(zhàn)，促進(jìn)我國電 子商務(wù)的進(jìn)一步發(fā)展。電子商務(wù)在近幾年才得到了迅猛發(fā)展，各地都缺乏足夠的技術(shù)人才 來處理所遇到的各種問題，許多企業(yè)技術(shù)人員的技術(shù)水平較低，不能完全勝任所承擔(dān)的工 作。同時(shí)企業(yè)對(duì)電子商務(wù)的管理也處于一個(gè)摸索的階段,管理的水平不高,效率底下。這些 都給電子商務(wù)帶來很大的安全隱患。從總體上，講廣大消費(fèi)者對(duì)于電子商務(wù)這個(gè)新生事物 還比較陌生，缺乏相應(yīng)的知識(shí)，還不能十分熟練的應(yīng)用這一新的交易手段，造成各種人為 的安全威脅。 誠信是市場(chǎng)經(jīng)濟(jì)的基礎(chǔ)，是市場(chǎng)順利運(yùn)行的前提條件。由于電子商務(wù)本身具有虛擬性 和流動(dòng)性，交易雙方不直接見面，在身份的判別確認(rèn)、違約責(zé)任的追究等方面都存有很大 困難，其格式和媒體可以分離，參與電子商務(wù)的主體的誠信問題使得電子商務(wù)信息的真實(shí) 性與安全性難以保障。電子商務(wù)與傳統(tǒng)的交易相比對(duì)信用的要求更高，要發(fā)展電子商務(wù)必 須先加強(qiáng)信用建設(shè)。社會(huì)信用體系的建設(shè)問題，最終將會(huì)成為中國電子商務(wù)發(fā)展的瓶頸。 目前，我國電子商務(wù)信用環(huán)境與西方發(fā)達(dá)國家相比，差距還很大，我國經(jīng)濟(jì)是由計(jì)劃經(jīng)濟(jì) 脫胎而來的，社會(huì)信用經(jīng)濟(jì)發(fā)育較晚，市場(chǎng)信用交易不發(fā)達(dá)，社會(huì)普遍缺乏現(xiàn)代市場(chǎng)經(jīng)濟(jì) 條件下的信用意識(shí)和信用道德規(guī)范。信用保障體系還未完全建立，社會(huì)信用缺失反過來影 響到電子商務(wù)活動(dòng)中；在建立電子商務(wù)信用保障體系中，還存在著許多制約因素。因此， 信用風(fēng)險(xiǎn)遠(yuǎn)較傳統(tǒng)業(yè)務(wù)中發(fā)生的概率大。 隨著經(jīng)濟(jì)的發(fā)展和社會(huì)的進(jìn)步，電子商務(wù)必將成為商務(wù)活動(dòng)的發(fā)展趨勢(shì)，電子商 務(wù)的發(fā)展安全及信用問題成為了制約電子商務(wù)進(jìn)一步發(fā)展的瓶頸問題，因此對(duì)電子商 務(wù)的發(fā)展安全及信用問題的研究顯得尤為重要。 1 緒論 2 1 緒論緒論 1.1 研究目標(biāo) 在我國，電子商務(wù)技術(shù)還比較落后，通過對(duì)我國電子商務(wù)的發(fā)展安全及信用問題 的研究，提出改善我國電子商務(wù)安全性的方法，促進(jìn)我國電子商務(wù)在安全方面的發(fā)展， 使網(wǎng)上交易更可信，使更多的消費(fèi)者信任電子商務(wù)。 本文將結(jié)合我國電子商務(wù)發(fā)展的實(shí)際情況，參考我國電子商務(wù)的發(fā)展安全和信用 問題的研究成果與實(shí)踐經(jīng)驗(yàn)，對(duì)電子商務(wù)的發(fā)展安全和信用問題進(jìn)行較系統(tǒng)的研究。 研究將采用定性與定量相結(jié)合的方式，注重實(shí)證研究，以得到有價(jià)值的研究成果，提 出改進(jìn)電子商務(wù)安全性和可信度的具體策略，保障電子商務(wù)交易的順利進(jìn)行，促進(jìn)我 國電子商務(wù)的發(fā)展。 1.2 研究?jī)?nèi)容 本文對(duì)電子商務(wù)的發(fā)展安全及信用問題進(jìn)行研究，在重點(diǎn)研究電子商務(wù)安全及信用 問題的基礎(chǔ)上，針對(duì)與電子商務(wù)應(yīng)用相關(guān)的基本安全問題及信用問題進(jìn)行了探討。本 文分析了電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)，電子商務(wù)系統(tǒng)的關(guān)鍵是保證交易數(shù)據(jù)和 交易過程的安全，Internet 本身的開放性使電子商務(wù)系統(tǒng)面臨各種各樣的安全威脅。要 解決安全問題，要求電子商務(wù)系統(tǒng)具備:防止交易信息被非法截獲或讀取的保密性、防 止交易過程被跟蹤的匿名性、防止交易信息丟失并保證信息傳遞次序統(tǒng)一的完整性、 防止假冒身份在網(wǎng)上交易和詐騙的可靠性,防止交易各方對(duì)己做交易抵賴的抗否認(rèn)性以 及原子性等安全要求。站在系統(tǒng)的角度，本文根據(jù)電子商務(wù)信息安全性要求，對(duì)電子 商務(wù)的安全問題進(jìn)行了層次分析，提出了電子商務(wù)安全框架體系結(jié)構(gòu)。本文同時(shí)對(duì)企 業(yè)電子商務(wù)發(fā)展安全問題進(jìn)行了分析，企業(yè)有效開展電子商務(wù)活動(dòng)中，關(guān)鍵是要保證 企業(yè)電子商務(wù)系統(tǒng)的安全性，也就是要保證基于 Internet 的企業(yè)電子商務(wù)環(huán)境的安全和 企業(yè)電子商務(wù)交易過程的安全。如何確保企業(yè)電子商務(wù)環(huán)境的安全和企業(yè)電子商務(wù)交 易過程的安全，為客戶在網(wǎng)上從事商務(wù)活動(dòng)提供信心保證，是決定企業(yè)電子商務(wù)系統(tǒng) 成敗的關(guān)鍵，是企業(yè)電子商務(wù)健康全面發(fā)展的保障。最后本文從運(yùn)籌學(xué)角度分析了中 小電子商務(wù)企業(yè)信用問題，在分析電子商務(wù)信用問題的基礎(chǔ)上，主要針對(duì)中小電子商 務(wù)企業(yè)中信用形成的機(jī)理進(jìn)行分析，試圖從運(yùn)籌學(xué)角度，主要運(yùn)用對(duì)策論對(duì)中小電子 商務(wù)企業(yè)信用形成的外在作用機(jī)理進(jìn)行探討，其基本內(nèi)容是分析中小電子商務(wù)企業(yè)交 易中買賣雙方之間作用和影響及其由此而形成虛擬市場(chǎng)信用的機(jī)理。 煙臺(tái)南山學(xué)院畢業(yè)論文 3 1.3 論文結(jié)構(gòu) 本文共分為四大部分： 第一部分為引言，包括第一章緒論，介紹總體研究背景、研究思路。第二章電子 商務(wù)及相關(guān)理論綜述，介紹了電子商務(wù)安全及信用問題的基礎(chǔ)理論，主要包括: 什么 是電子商務(wù)，我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢(shì)，我國電子商務(wù)所面臨的安全問題及發(fā) 展趨勢(shì)，電子商務(wù)中的信用問題；第二部分分析了電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)， 研究了加密技術(shù)層，安全認(rèn)證層，交易協(xié)議層；第三部分分析了企業(yè)電子商務(wù)發(fā)展安 全問題，從企業(yè)電子商務(wù)安全技術(shù)和企業(yè)電子商務(wù)安全管理兩個(gè)角度進(jìn)行了分析；第 四部分從運(yùn)籌學(xué)角度分析了中小電子商務(wù)企業(yè)信用問題。 2 電子商務(wù)及相關(guān)理論綜述 4 2 電子商務(wù)及相關(guān)理論綜述電子商務(wù)及相關(guān)理論綜述 2.1 什么是電子商務(wù) 2.1.1 電子商務(wù)的概念 電了商務(wù)是通過電子手段進(jìn)行商業(yè)活動(dòng)。電了商務(wù)的英文表示有兩種， EC(Electronic Commerce)和 EB (Electronic Business)。日前還沒有一個(gè)統(tǒng)一的較為權(quán)威 的電子商務(wù)定義。全球信息基礎(chǔ)設(shè)施委員會(huì)對(duì)電子商務(wù)的定義是:電子商務(wù)是運(yùn)用電子 通信手段的經(jīng)濟(jì)活動(dòng)，通過這種方式人們可以對(duì)帶有經(jīng)濟(jì)價(jià)值的產(chǎn)品和服務(wù)進(jìn)行宣傳、 購買和結(jié)算。聯(lián)合國國際貿(mào)易委員會(huì)對(duì)電子商務(wù)的定義是: 電子商務(wù)是采用電子數(shù)據(jù) 交換和其他通訊方式增進(jìn)國際貿(mào)易的職能。 簡(jiǎn)單的說，電子商務(wù)是指實(shí)現(xiàn)從售前服務(wù)到售后支持的整個(gè)商務(wù)或貿(mào)易活動(dòng)環(huán)節(jié) 的電子化、自動(dòng)化。對(duì)于企業(yè)來說，電子商務(wù)是利用以 Internet 為核心的信息技術(shù)，進(jìn) 行商務(wù)活動(dòng)和企業(yè)資源管理，它的核心是高效地管理企業(yè)的所有信息，幫助企業(yè)創(chuàng)建 一條暢通于客戶、企業(yè)內(nèi)部和供應(yīng)商之間的信息流，并通過高效率的管理、增值和應(yīng) 用，把客戶、企業(yè)、供應(yīng)商連接在一起，以最快的速度、最低的成本響應(yīng)市場(chǎng)，及時(shí) 把握商機(jī)，不斷提高和鞏固競(jìng)爭(zhēng)優(yōu)勢(shì)。 2.1.2 電子商務(wù)的內(nèi)容與目標(biāo) 電子商務(wù)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用。它是以電子交易為手段，完成金融、物品、 服務(wù)、信息等價(jià)值的交換，是快速而有效地進(jìn)行各種商務(wù)活動(dòng)的最新方法。電子商務(wù) 滿足了企業(yè)、商人和消費(fèi)者提高產(chǎn)品和服務(wù)的質(zhì)量、加快服務(wù)速度、降低費(fèi)用等方面 的需求，也幫助企業(yè)和個(gè)人通過網(wǎng)絡(luò)查詢和信息檢索以支持決策。所以，電子商務(wù)的 內(nèi)容主要有三個(gè)方面:企業(yè)內(nèi)部的協(xié)調(diào)與溝通、企業(yè)之間的合作以及網(wǎng)上交易。 電子商務(wù)是運(yùn)用現(xiàn)代通訊技術(shù)、計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)進(jìn)行的一種社會(huì)經(jīng)濟(jì)形態(tài)，其 目的是降低社會(huì)經(jīng)營成本，提高社會(huì)生產(chǎn)效率，優(yōu)化社會(huì)資源配置，從而實(shí)現(xiàn)社會(huì)財(cái) 富的最大化利用。因此，電子商務(wù)是一種新的社會(huì)經(jīng)濟(jì)形態(tài)。 2.2 我國電子商務(wù)的現(xiàn)狀及發(fā)展趨勢(shì) 在政府的推動(dòng)和支持下，我國己經(jīng)基本建成了覆蓋全國的大容量、高速率光纖傳 輸 煙臺(tái)南山學(xué)院畢業(yè)論文 6 網(wǎng)絡(luò)，公用數(shù)據(jù)通信網(wǎng)、衛(wèi)星與微波通信網(wǎng)、圖像通信網(wǎng)和多媒體通信網(wǎng)正在建 設(shè)中，國內(nèi) Internet 網(wǎng)絡(luò)己經(jīng)形成，國際線路連接的國家有英國、美國、法國、德國、 加拿大、澳大利亞、日本、韓國等多個(gè)國家，這些為發(fā)展我國電子商務(wù)提供了良好的 網(wǎng)絡(luò)平臺(tái)和運(yùn)行環(huán)境。 據(jù)統(tǒng)計(jì)，自 1994 年后我國的互連網(wǎng)絡(luò)得到快速增長(zhǎng)，并且形成一定的網(wǎng)上市場(chǎng)規(guī) 模，至 2001 年 6 月底我國上網(wǎng)的計(jì)算機(jī)總數(shù)為 1002 萬臺(tái)，網(wǎng)民 2650 萬，每年以 60% 的速度增長(zhǎng)。到 2000 年底，www 站點(diǎn)總數(shù)為 265405 個(gè)，cn 下注冊(cè)的域名總數(shù) 122099 個(gè)。1998 年至 2003 年，中國電子商務(wù)市場(chǎng)的增長(zhǎng)率為 243%。 與北美、歐洲和日本相比，我國的電子商務(wù)起步雖晚，但發(fā)展勢(shì)頭強(qiáng)勁。從 1998 年 IT 業(yè)界和媒體宣傳電子商務(wù)的概念開始算起，短短幾年內(nèi)，我國的電子商務(wù)己經(jīng)從 啟蒙階段迅速躍進(jìn)到實(shí)戰(zhàn)階段。許多企業(yè)和個(gè)人上網(wǎng)開展銷售和商務(wù)活動(dòng)，并取得了 可喜的成績(jī)，例如易趣網(wǎng)、阿里巴巴等。 雖然說中國的電子商務(wù)發(fā)展迅速，但是還將面臨許多困難。首先，傳統(tǒng)觀念的影 響和科學(xué)文化素質(zhì)的制約在一段時(shí)期內(nèi)將妨礙電子商務(wù)在我國的推廣，人們還沒有完 全從計(jì)劃經(jīng)濟(jì)的影響下解放出來，還沒有認(rèn)識(shí)到電子商務(wù)是一場(chǎng)革命。其次，企業(yè)職 工文化素質(zhì)較低也是一個(gè)障礙，電子商務(wù)的開展需要懂得商務(wù)又了解信息技術(shù)的人才， 這種人才國內(nèi)還很缺乏。第三，有關(guān)電子商務(wù)的法律還沒有出臺(tái)，對(duì)于網(wǎng)上版權(quán)、網(wǎng) 上拍賣權(quán)、數(shù)字簽名等問題還沒有明確的規(guī)定，這使得很多互聯(lián)網(wǎng)公司的長(zhǎng)期發(fā)展受 到影響。第四，國有企業(yè)中虧損企業(yè)占 40%左右，這些企業(yè)認(rèn)為擺脫困境是當(dāng)前的首 要任務(wù)，電子商務(wù)只能是盈利企業(yè)才能做的事情，他們沒有意識(shí)到電子商務(wù)會(huì)成為擺 脫困難的有效途徑。第五，我國相當(dāng)多的企業(yè)還處于手工管理的狀態(tài)，對(duì)市場(chǎng)的變化 不能適時(shí)做出調(diào)整。第六，認(rèn)證體系建設(shè)剛剛開始，認(rèn)證是指對(duì)交易主體頒發(fā)電子證 書，在交易發(fā)生時(shí)對(duì)電子證書、數(shù)字簽名進(jìn)行驗(yàn)證。認(rèn)證體系還有待進(jìn)一步發(fā)展。第 七，網(wǎng)上支付方式還未解決，例如建設(shè)網(wǎng)上銀行，在線安全支付交易額，以及多銀行、 多方式、多協(xié)議的網(wǎng)上支付、提高支付的安全性、縮短支付結(jié)算周期，加強(qiáng)支付服務(wù) (如查賬、退款)，這些在我國還未得到很好的解決。第八，在網(wǎng)絡(luò)傳輸過程中，商業(yè) 機(jī)密不能泄漏，這些安全配置問題還要加強(qiáng)。第九，物流配送體系欠缺。第十，社會(huì) 習(xí)慣對(duì)電子商務(wù)有一定的影響，例如密集的居住習(xí)慣和眼看為實(shí)的消費(fèi)習(xí)慣，使人們 不愿意到網(wǎng)上通過下訂單、確認(rèn)訂單來麻煩的購物。 盡管中國的電子商務(wù)的發(fā)展有困難，但是前景廣闊。中國互聯(lián)網(wǎng)規(guī)模不斷膨脹， 國內(nèi)企業(yè)積極采用電子商務(wù)手段來強(qiáng)化自身的競(jìng)爭(zhēng)能力。據(jù)估計(jì)，到 2005 年，中國電 子商務(wù)的交易額可能超過 1000 億美元。我們相信，隨著電子商務(wù)應(yīng)用服務(wù)的發(fā)展，物 流配送系統(tǒng)的完善，網(wǎng)上支付的實(shí)現(xiàn)，中國的電子商務(wù)發(fā)展將迎來新的高潮。 2 電子商務(wù)及相關(guān)理論綜述 7 2.3 我國電子商務(wù)所面臨的安全問題及發(fā)展趨勢(shì) 目前，中國大力發(fā)展電子商務(wù)經(jīng)濟(jì)，必須重視和急需解決的主要問題有:第一，在 思想上清醒地認(rèn)識(shí)到網(wǎng)絡(luò)安全與國家安全息息相關(guān)。第二，認(rèn)清網(wǎng)絡(luò)信息系統(tǒng)安全問 題的根本原因:(1)網(wǎng)絡(luò)信息技術(shù)及網(wǎng)絡(luò)安全設(shè)備絕大多數(shù)是西方發(fā)明的，有“先天”不 足帶來的安全問題。(2)我國網(wǎng)絡(luò)信息系統(tǒng)中所用的安全設(shè)備、技術(shù)大多數(shù)是舊的，關(guān) 鍵時(shí)候根本就不起安全防范作用。(3)我們?cè)谒枷肷蠈?duì)網(wǎng)絡(luò)安全的重視不夠。(4)重網(wǎng)絡(luò) 設(shè)施的建設(shè)，輕網(wǎng)絡(luò)安全的投入。第三，急需建立、健全社會(huì)化信用體系。目前中國 的社會(huì)化信用體系很不健全，信用心理不成熟。交易行為缺乏必要的自律和嚴(yán)厲的社 會(huì)監(jiān)督。第四，國家海關(guān)、工商、稅務(wù)等管理機(jī)關(guān)的信息化問題，是電子商務(wù)的一項(xiàng) 基礎(chǔ)工作。在建設(shè)和研究電子商務(wù)系統(tǒng)時(shí)，必須強(qiáng)化國家在電子商務(wù)系統(tǒng)中的管理職 能，以保障國家的權(quán)益。第五，解決電子商務(wù)立法滯后問題，形成對(duì)網(wǎng)上違法犯罪行 為的威懾力。必須把信息社會(huì)納入規(guī)范化、法律化的軌道，運(yùn)用法律手段對(duì)新的社會(huì) 關(guān)系予以規(guī)范和調(diào)整，而僅靠傳統(tǒng)的法律體系己經(jīng)越來越不能滿足信息社會(huì)的需要， 這也需要制定出適應(yīng)信息化社會(huì)的法律制度。 中國的電子商務(wù)在近幾年得到快速的發(fā)展，就目前中國電子商務(wù)發(fā)展的勢(shì)頭看， 電子商務(wù)安全問題研究有以下發(fā)展趨勢(shì):一是政府越來越高度重視電子商務(wù)安全問題研 究。二是電子商務(wù)安全研究的專門科研機(jī)構(gòu)不斷增加，科研實(shí)力不斷增強(qiáng)。三是科研 以研發(fā)具有獨(dú)立自主知識(shí)產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品為目標(biāo)，力爭(zhēng)打破國外信息安全產(chǎn) 品的壟斷。四是國家有關(guān)部門逐步加快了與電子商務(wù)相關(guān)的政策、法規(guī)和法律的研究 與制定。五是電子商務(wù)安全產(chǎn)業(yè)規(guī)模將逐步擴(kuò)大。 2.4 電子商務(wù)中的信用問題 電子商務(wù)中的信用問題是指電子商務(wù)交易過程中因缺乏一定的信任關(guān)系而導(dǎo)致電 子商務(wù)的交易成本上升，使交易復(fù)雜化、混亂化，無法正常進(jìn)行。電子商務(wù)具有的遠(yuǎn) 程性、記錄的可更改性、個(gè)體的復(fù)雜性等特征決定了其信用問題更加突出。電子商務(wù) 信用機(jī)制的研究，不僅是電子商務(wù)網(wǎng)站如何在經(jīng)濟(jì)行為中遵循信用原則，更重要的是 要為電子交易的各方參與者建立必要的、適用電子商務(wù)特征的信用模式，為電子商務(wù) 交易的當(dāng)事人建立一個(gè)公平、公正的平臺(tái)，確保電子商務(wù)的交易安全可靠。 信息不對(duì)稱理論認(rèn)為:市場(chǎng)中賣家比買家更了解有關(guān)商品的各種信息，掌握更多信 息的一方向信息貧乏的一方傳遞信息，并依靠信息而在市場(chǎng)中獲益。買賣雙方中擁有 信息較少的一方會(huì)努力從另一方獲取信息；市場(chǎng)信號(hào)顯示在一定程度上可以彌補(bǔ)信息 不對(duì)稱問題。電子商務(wù)借助互聯(lián)網(wǎng)跨空間進(jìn)行交易，增強(qiáng)了交易者之間的感知不確定 性，主要表現(xiàn)在在線市場(chǎng)買賣雙方對(duì)產(chǎn)品質(zhì)量信息觀察的不對(duì)稱，買家之間對(duì)于同一 產(chǎn)品質(zhì)量和價(jià)格信息掌握程度的不對(duì)稱，以及買家之間與賣家之間對(duì)市場(chǎng)需求、產(chǎn)品 質(zhì)量、價(jià)格 煙臺(tái)南山學(xué)院畢業(yè)論文 9 和非價(jià)格競(jìng)爭(zhēng)信號(hào)觀察的概率組合的不對(duì)稱。在存在更多信息不對(duì)稱的電子商務(wù)市場(chǎng) 中，信用風(fēng)險(xiǎn)是增加買家不確定感知、阻礙購買意愿形成的關(guān)鍵因素。 Lee 和 Turban 通過調(diào)查研究發(fā)現(xiàn)，消費(fèi)者不通過網(wǎng)絡(luò)方式進(jìn)行商品交易的最主要 原因就是信用風(fēng)險(xiǎn)的存在。電子商務(wù)信用風(fēng)險(xiǎn)類型大致歸結(jié)為六個(gè)方面: (1)制度風(fēng)險(xiǎn)，是指網(wǎng)絡(luò)平臺(tái)運(yùn)營商建立的必要政策體制，規(guī)范交易商的各種行為是 否合理；(2)系統(tǒng)風(fēng)險(xiǎn)，是指經(jīng)營電子商務(wù)所需要的硬件、軟件技術(shù)是否安全；(3)結(jié)算 風(fēng)險(xiǎn)，是指支付手段是否可靠，信息傳輸是否安全；(4)信息風(fēng)險(xiǎn)，是指信息傳遞是否 真實(shí)、有效、準(zhǔn)確、完整；(5)服務(wù)風(fēng)險(xiǎn)，是指賣家的服務(wù)質(zhì)量和其他承諾是否有效； (6)配送風(fēng)險(xiǎn)，是指運(yùn)輸和供貨是否到位。第一項(xiàng)是基于第三方電子商務(wù)平臺(tái)的制度風(fēng) 險(xiǎn);第二、三項(xiàng)是技術(shù)風(fēng)險(xiǎn)，并可以通過技術(shù)手段的提升來降低風(fēng)險(xiǎn);后三項(xiàng)風(fēng)險(xiǎn)主要 針對(duì)具體交易者，是核心風(fēng)險(xiǎn)，本文關(guān)注的信用問題主要來自該類風(fēng)險(xiǎn)。 電子商務(wù)中的信用風(fēng)險(xiǎn)是由欺詐行為引發(fā)的，不少國外學(xué)者對(duì)于在線市場(chǎng)欺詐的 類型、成因做出研究，例如 Macinnes 曾總結(jié)出影響網(wǎng)上拍賣欺詐的因素包括產(chǎn)品、交 易者、交易過程三方面。網(wǎng)上拍賣欺詐的類型主要包括有收款不發(fā)貨、故意提供錯(cuò)誤 信息、隱瞞費(fèi)用、提供非法或劣質(zhì)產(chǎn)品、多頭拍賣、雇傭他人來虛假出價(jià)等。 由于網(wǎng)上交易并不像傳統(tǒng)交易那樣可以當(dāng)場(chǎng)檢驗(yàn)商品，我們只能在商品遞送到買 家手中才能進(jìn)行檢驗(yàn)，所以交易發(fā)生前消費(fèi)者只有根據(jù)賣家提供的特定信息進(jìn)行評(píng)估， 這就給賣家利用信息不對(duì)稱進(jìn)行欺詐提供了機(jī)會(huì)。Dellarocas 通過對(duì)策論證實(shí)在一個(gè)完 全均衡的市場(chǎng)環(huán)境下賣家仍然會(huì)作出欺詐行為，因?yàn)楦哔|(zhì)量的產(chǎn)品較低質(zhì)量的產(chǎn)品利 潤更高，因此賣家往往承諾銷售高質(zhì)量的產(chǎn)品。 產(chǎn)品評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)是在線欺詐的第二大誘因。對(duì)于網(wǎng)絡(luò)拍賣的產(chǎn)品而言， Lee and Yoo 認(rèn)為較之傳統(tǒng)市場(chǎng)環(huán)境，產(chǎn)品的性能問題在電子商務(wù)環(huán)境下更難評(píng)估和判 斷，尤其是對(duì)那些缺乏標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)，如二手產(chǎn)品等;與此有相似觀點(diǎn)的 Zeithaml、Murray 均指出服務(wù)性產(chǎn)品比起傳統(tǒng)產(chǎn)品而言更難評(píng)估。Grazioli and Jarvenpaa 研究表明，較之 B2B 和 B2C 交易中產(chǎn)品類型較少，標(biāo)準(zhǔn)化程度較低的現(xiàn)實(shí)， C2C 交易的產(chǎn)品多、屬性復(fù)雜，研究數(shù)據(jù)認(rèn)為其欺詐比重在不斷上升。 買賣雙方二次交易的可能性小以及買家經(jīng)驗(yàn)的缺乏也是誘導(dǎo)賣家欺詐的重要因素。 Resnick and Zeckhauser 連續(xù)研究了 eBay 聲譽(yù)系統(tǒng)中 5 個(gè)月的數(shù)據(jù)表明，有 89%的交易 發(fā)生在陌生買賣雙方之間，98.9%的交易主體不會(huì)重復(fù) 4 次以上進(jìn)行連續(xù)交易。這說明 在線交易中交易雙方再次交易的可能性很小，不少學(xué)者認(rèn)為這給了欺詐者機(jī)會(huì)，同時(shí) Albert 認(rèn)為，買家網(wǎng)絡(luò)拍賣的經(jīng)歷越少，交易經(jīng)驗(yàn)可能越少，而這類買家遭遇網(wǎng)絡(luò)欺 詐的可能性也越大。 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 10 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu)電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 3. 1 電子商務(wù)安全框架體系 電子商務(wù)的安全控制體系結(jié)構(gòu)是保證電子商務(wù)數(shù)據(jù)安全的一個(gè)完整邏輯的邏輯結(jié) 構(gòu)。電子商務(wù)安全體系由網(wǎng)絡(luò)服務(wù)層、加密技術(shù)層、安全認(rèn)證層、交易協(xié)議層、商務(wù) 系統(tǒng)層組成。從層次結(jié)構(gòu)可以看出，下層是上層的基礎(chǔ)，為上層提供技術(shù)支持;上層是 下層的擴(kuò)展與遞進(jìn)，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)一整體，各層通過控制技 術(shù)的遞進(jìn)實(shí)現(xiàn)電子商務(wù)的安全。 電子商務(wù)系統(tǒng)是依賴網(wǎng)絡(luò)實(shí)現(xiàn)的商務(wù)系統(tǒng)，需要利用 Internet 基礎(chǔ)設(shè)施和標(biāo)準(zhǔn)，所 以構(gòu)成電子商務(wù)安全框架的底層是網(wǎng)絡(luò)服務(wù)層。它是各種電子商務(wù)應(yīng)用系統(tǒng)的基礎(chǔ)， 并提供信息傳送的載體和用戶接入手段及安全通信服務(wù)，保證網(wǎng)絡(luò)最基本的運(yùn)行安全。 為確保電子商務(wù)系統(tǒng)全面安全，必須建立完善的加密技術(shù)和認(rèn)證機(jī)制。加密技術(shù)是保 證電子商務(wù)系統(tǒng)安全所采用的最基本的安全措施，它用于滿足電子商務(wù)對(duì)保密性的要 求。安全認(rèn)證層中的認(rèn)證技術(shù)是保證電子商務(wù)安全的又一必要手段，它對(duì)加密技術(shù)層 中提供的多種加密算法進(jìn)行綜合運(yùn)用，進(jìn)一步滿足電子商務(wù)對(duì)完整性、抗否認(rèn)性、可 靠性的要求。 用于保證電子商務(wù)的安全控制技術(shù)很多，層次各不相同，但并非是把所有安全技 術(shù)簡(jiǎn)單地組合就可以得到可靠的安全，只有通過合理改進(jìn)，才可以從技術(shù)上實(shí)現(xiàn)系統(tǒng) 的、有效的電子商務(wù)安全。 3. 2 加密技術(shù)層 3.2.1 對(duì)稱密鑰加密(Private Key) 加密和解密采用相同的算法，并只交換共享的私有密鑰。如果進(jìn)行通信的交易各 方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露，可通過對(duì)稱加密方法加密機(jī)密信 息，并隨報(bào)文發(fā)送報(bào)文摘要和報(bào)文散列值，來保證報(bào)文的機(jī)密性和完整性。密鑰安全 交換是關(guān)系到對(duì)稱加密有效性的核心環(huán)節(jié)，目前常用的對(duì)稱加密算法有 DES, IDEA. 3DES 等，其中 DES 使用最普遍，被 ISO 采用為數(shù)據(jù)加密的標(biāo)準(zhǔn)。 煙臺(tái)南山學(xué)院畢業(yè)論文 11 3.2.2 非對(duì)稱密鑰加密(Public Key) 不同于對(duì)稱加密，非對(duì)稱加密的密鑰被分解為公開密鑰和私有密鑰。密鑰對(duì)生成 后，公開密鑰以非保密方式對(duì)外公開，只對(duì)應(yīng)于生成該密鑰的發(fā)布者，私有密鑰則保 存在密鑰發(fā)布方手里。任何得到公開密鑰的用戶都可使用該密鑰加密信息發(fā)送給該公 開密鑰的發(fā)布者，而發(fā)布者得到加密信息后，使用與公開密鑰相應(yīng)的私有密鑰進(jìn)行解 密。目前常用的非對(duì)稱加密算法是 RSA 算法，該算法已被 ISO/TC 的數(shù)據(jù)加密技術(shù)分 委員會(huì) SC20 推薦為非對(duì)稱密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。 3.2.3 兩類加密方法比較 在對(duì)稱和非對(duì)稱兩類加密方法中，對(duì)稱加密的特點(diǎn)是加密速度快(通常比非對(duì)稱加 密快 10 倍以上)、效率高，被廣泛用于大量數(shù)據(jù)的加密。該方法的致命缺點(diǎn)是密鑰的 傳輸易被截獲，難以安全管理大量的密鑰，因此大范圍應(yīng)用存在一定的問題。而非對(duì) 稱密鑰很好地解決對(duì)稱加密中密鑰數(shù)量過多難管理及費(fèi)用高的不足和傳輸中私有密鑰 的泄露，保密性能優(yōu)于對(duì)稱加密技術(shù)。但非對(duì)稱加密算法復(fù)雜，加密速度不理想，目 前電子商務(wù)實(shí)際運(yùn)用中常是兩者結(jié)合使用。 3. 3 安全認(rèn)證層 目前，僅有加密技術(shù)不足以保證電子商務(wù)中的交易安全，身份認(rèn)證技術(shù)是保證電 子商務(wù)安全不可缺少的又一重要技術(shù)手段。認(rèn)證的實(shí)現(xiàn)包括數(shù)字摘要技術(shù)(Digital digest)、 數(shù)字簽名技術(shù)(Digital Signature)、數(shù)字時(shí)間戳技術(shù)( Digital Time Stamp)、數(shù)字憑證技術(shù) (Digital ID)、認(rèn)證技術(shù)(Certificate Authority CA)以及智能卡技術(shù)(Smart Card)等共六項(xiàng)技 術(shù)。 1. 數(shù)字摘要(Digital digest) 數(shù)字摘要通過使用單向散列函數(shù)(Hash)將需要加密的明文“摘要”成一個(gè)固定長(zhǎng)度 (128bit )的密文。該密文同明文是一一對(duì)應(yīng)的，不同的明文加密成不同的密文;相同的 明文其摘要必然一樣。因此，利用數(shù)字摘要就可以驗(yàn)證通過網(wǎng)絡(luò)傳輸收到的明文是否 是初始的、未被篡改過，從而保證數(shù)據(jù)的完整性和有效性。 2. 數(shù)字簽名(Digital Signature) 數(shù)字簽名是非對(duì)稱加密技術(shù)中的一種技術(shù)。其主要方式為:報(bào)文發(fā)送方從報(bào)文文本 中生成一個(gè) 128 位的散列值(或報(bào)文摘要)，并用自己的專用密鑰對(duì)這個(gè)散列值進(jìn)行加 密，形成發(fā)送方的數(shù)字簽名;然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給 報(bào)文的接收方;報(bào)文接收方首先從接收到的原始報(bào)文中計(jì)算出 128 位的散列值(或報(bào)文 摘要)，接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列 值相同， 3 電子商務(wù)的安全技術(shù)框架體系結(jié)構(gòu) 13 那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，通過數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒 別和不可否認(rèn)性。 3. 數(shù)字時(shí)間戳( Digital Time Stamp) 數(shù)字時(shí)間戳在電子商務(wù)中，需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù) 字時(shí)間戳服務(wù)(DTS Service)專用于提供電子文件發(fā)表時(shí)間的安全保護(hù)，該服務(wù)由專門 的機(jī)構(gòu)提供。所謂的時(shí)間戳是一個(gè)經(jīng)過加密后形成的憑證文檔，共包括 3 個(gè)部分:需要 加蓋時(shí)間戳的文件的摘要、DTS 收到文件的日期和時(shí)間、DTS 的數(shù)字簽名。 4. 數(shù)字憑證(Digital ID) 數(shù)字憑證又稱數(shù)字證書，是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源訪問 的權(quán)限。在網(wǎng)上的電子交易中，交易雙方出示了各自的數(shù)字憑證，并用它來進(jìn)行交易 操作。數(shù)字憑證的內(nèi)部格式是由 CCITTX.509 國際標(biāo)準(zhǔn)所規(guī)定的，包含以下內(nèi)容:憑證 擁有者的姓名、憑證擁有者的公共密鑰、公共密鑰的有效期、頒發(fā)數(shù)字憑證的單位、 數(shù)字憑證的序列號(hào)。數(shù)字證書的使用涉及到數(shù)字認(rèn)證中心 CA(Certificate Authority)。 5. 認(rèn)證(Certificate Authority CA) 認(rèn)證在電子商務(wù)系統(tǒng)中無論是數(shù)字時(shí)間戳服務(wù)，還是數(shù)字憑證的發(fā)放都需要由一 個(gè)具有權(quán)威性和公正性的第三方認(rèn)證機(jī)構(gòu)來承擔(dān)。CA 正是這樣一個(gè)受信任的第三方。 CA 用來為用戶簽發(fā)證書，提供身份認(rèn)證服務(wù)，是整個(gè)系統(tǒng)的安全核心。在非對(duì)稱私密 密鑰認(rèn)證系統(tǒng)中，用戶的簽名密鑰和加密密鑰通常是分開的，而 CA 只知道用戶的簽 名公鑰，這樣就降低了 CA 受到攻擊的危害程度，避免了可信第三方被攻擊和整個(gè)系 統(tǒng)陷入癱瘓的嚴(yán)重問題。此外，在認(rèn)證系統(tǒng)中 CA 只負(fù)責(zé)審核用戶的真實(shí)身份并對(duì)此 提供證明，不介入具體的認(rèn)證過程，從而緩解了可信第三方的系統(tǒng)瓶頸問題，而且 CA 只須管理每個(gè)用戶的一個(gè)公開密鑰，大大降低了密鑰管理的復(fù)雜性。這些優(yōu)點(diǎn)使得非 對(duì)稱密鑰認(rèn)證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡(luò)系統(tǒng)。 6. 智能卡(Smart Card) 智能卡是一種智能集成電路卡，包括 CPU, RAM, ROM 等。它不但提供讀寫數(shù)據(jù) 和存儲(chǔ)數(shù)據(jù)的能力，而且還具有對(duì)數(shù)據(jù)進(jìn)行處理的能力，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密解密， 能進(jìn)行數(shù)字簽名和驗(yàn)證數(shù)字簽名，其存儲(chǔ)器部分具有外部不可讀特性。智能卡在電子 商務(wù)系統(tǒng)中有無法比擬的優(yōu)勢(shì)。首先，私人密鑰和電子證書是保存于智能卡的不允許 外讀的存儲(chǔ)單元中，而且可對(duì)智能卡的使用設(shè)置個(gè)人密碼，從而鑒別持卡人是否為該 卡的合法使用者;同時(shí)，可以承擔(dān)對(duì)信息的加密解密、簽名及對(duì)簽名的驗(yàn)證等事務(wù)，減 輕了客戶端系統(tǒng)的負(fù)擔(dān)。當(dāng)需要對(duì)加密解密算法進(jìn)行改動(dòng)或替換時(shí)只需要對(duì)智能卡進(jìn) 行相應(yīng)的改動(dòng)，而無須對(duì)客戶端系統(tǒng)進(jìn)行升級(jí)。采用智能卡，使身份識(shí)別更有效、安 全，智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證的首選技術(shù)。 煙臺(tái)南山學(xué)院畢業(yè)論文 14 3. 4 交易協(xié)議層 除了各種安全控制技術(shù)外，電子商務(wù)的運(yùn)行還需要一套完善的交易安全協(xié) 議。不同交易協(xié)議的復(fù)雜性、開銷、安全性各不相同，不同的應(yīng)用環(huán)境對(duì)協(xié)議目標(biāo)的 要求也不盡相同。目前，比較成熟的協(xié)議有 SET,SSL 等基于信用卡的交易協(xié)議， NetBill, NetCheque 等基于支票的交易協(xié)議，Digicash, Netcash 等基于現(xiàn)金的交易協(xié)議等。 3.4.1 安全套接字層協(xié)議(Secure Socket Layer, SSL) 安全套接字層協(xié)議 SSL 是目前使用最廣泛的電子商務(wù)協(xié)議，它由 Netscape 公司于 1996 年設(shè)計(jì)開發(fā)。它位于運(yùn)輸層和應(yīng)用層之間，能很好地封裝應(yīng)用層數(shù)據(jù)，不用改變 位于應(yīng)用層的應(yīng)用程序，對(duì)用戶是透明的。同時(shí)，SSL 只需要通過一次“握手”過程， 建立客戶與服務(wù)器之間一條安全通信的通道，保證傳輸數(shù)據(jù)的安全。由于內(nèi)置于用戶 瀏覽器和商家的 Web 服務(wù)器中，故能方便而低開銷地進(jìn)行信息加密，多用于信用卡的 傳送。然而，SSL 并不是專為支持電子商務(wù)而設(shè)計(jì)的，只支持雙方認(rèn)證，只能保證傳 送信息過程中不因被截而泄密，因?yàn)樯碳彝耆莆障M(fèi)者的帳戶信息，所以不能防止 商家利用獲取的信用卡號(hào)進(jìn)行欺詐。它滿足錢原子性。 3.4.2 安全電子交易協(xié)議(Secure Electronic Transaction, SET) SET 是由 VISA 公司和 Master Card 公司聯(lián)合開發(fā)設(shè)計(jì)的，用于劃分與界定電子商 務(wù)活動(dòng)中的消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，它 可以對(duì)交易各方進(jìn)行認(rèn)證，可防止商家欺詐。為了進(jìn)一步加強(qiáng)安全性，SET 使用兩組 密鑰對(duì)分別用于加密和簽名，通過雙簽名(dual signature)機(jī)制將訂購信息同帳戶信息鏈 接在一起簽名。SET 協(xié)議開銷較大，客戶、商家、銀行都要安裝相應(yīng)軟件。SET 協(xié)議 滿足錢原子性，但不滿足商品原子性和確認(rèn)發(fā)送原子性。 4 企業(yè)電子商務(wù)發(fā)展安全問題分析 15 4 企業(yè)電子商務(wù)發(fā)展安全問題分析企業(yè)電子商務(wù)發(fā)展安全問題分析 4.1 企業(yè)電子商務(wù)安全技術(shù)分析 企業(yè)電子商務(wù)環(huán)境安全包括鑒別和認(rèn)證安全、訪問控制安全、審計(jì)和響應(yīng)安全、 冗余和恢復(fù)安全、內(nèi)容安全。 4.1.1 鑒別和認(rèn)證安全 鑒別和認(rèn)證是防止非授權(quán)的人進(jìn)入第三方支付平臺(tái)進(jìn)行操作，是系統(tǒng)安全的第一 道防線。鑒別和認(rèn)證是通過對(duì)網(wǎng)絡(luò)系統(tǒng)中的主客體進(jìn)行鑒別，并且給這些主客體賦予 恰當(dāng)?shù)臉?biāo)志、標(biāo)簽、證書等。 用一個(gè)動(dòng)作來描述鑒別和認(rèn)證的操作特點(diǎn)就是“貼標(biāo)簽” 。鑒別和認(rèn)證就是為了解 決主體的信用問題和客體的信任問題。這些就是通過各種形式的標(biāo)簽來實(shí)現(xiàn)的。 鑒別和認(rèn)證不僅僅包括對(duì)于用戶的鑒別，還包括與系統(tǒng)訪問相關(guān)的各方面實(shí)體和 實(shí)體特性的鑒別。這些鑒別可以包括:用戶組鑒別、設(shè)備鑒別、時(shí)間鑒別、網(wǎng)絡(luò)地址鑒 別等。從實(shí)施成本的考慮，如果將所有安全控制細(xì)節(jié)實(shí)施在每個(gè)實(shí)體上，會(huì)大大影響 系統(tǒng)的效率和性能，并最終導(dǎo)致系統(tǒng)安全失效。因此，合理控制鑒別的粒度非常重要。 鑒別和認(rèn)證技術(shù)包括: 1、用戶名/口令機(jī)制(User/Password )此機(jī)制是最典型的、最經(jīng)濟(jì)的鑒別機(jī)制。 在各種系統(tǒng)中一般都缺省使用這個(gè)機(jī)制； 2、Token, Smart Card 等強(qiáng)鑒別機(jī)制； 3、生物鑒別機(jī)制； 4、PKI, PKI 的核心技術(shù)基礎(chǔ)就是公開密鑰，通過一對(duì)不相同的公、私鑰，結(jié)合密 鑰管理體系，完成對(duì)于持有密鑰人的鑒別和認(rèn)證功能； 5、IP 地址和域名，在網(wǎng)絡(luò)中經(jīng)常用 IP 地址和域名作為鑒別訪問者和被訪問者的 標(biāo)志。 6、硬件序列號(hào)通過硬件設(shè)備中的板卡、部件的一些序列號(hào)組成一個(gè)鑒別體。 比如，CPU 序列號(hào)、網(wǎng)卡序列號(hào)、網(wǎng)卡 MAC 地址等。 4.1.2 訪問控制安全 訪問控制以參考監(jiān)視器(Reference Monitor)的形式工作，或者說是類似網(wǎng)關(guān)、接口和邊 界 煙臺(tái)南山學(xué)院畢業(yè)論文 17 的形式。 (一)一個(gè)有效的 Reference Monitor(RM 機(jī)制)必須要有三個(gè)條件: 1、不可旁路:主體對(duì)客體的訪問不能繞過 RM，必須經(jīng)過 RM 機(jī)制的控制、和檢查。 2、抗篡改:RM 應(yīng)當(dāng)是一個(gè)抗攻擊的體系，不能被攻破;RM 以及配合的規(guī)則庫應(yīng)當(dāng)被 正確地配置;另外該機(jī)制的特權(quán)管理、規(guī)則庫等不能被侵入。 3、足夠小，可以被證明:RM 本身也是程序，因此需要保證其自身的正確性。從計(jì)算 機(jī)科學(xué)的角度看，這是比較困難的。一般也僅僅通過測(cè)評(píng)認(rèn)證等工作來部分地滿足。 訪問控制策略： (二)為詳細(xì)說明訪問控制規(guī)則，應(yīng)注意考慮以下各項(xiàng): 1. 區(qū)分必須執(zhí)行的規(guī)則與可選執(zhí)行的規(guī)則； 2. 所建立的規(guī)則應(yīng)以“未經(jīng)明確允許的都是禁止的”為前提，而不是以較弱的原則 “未經(jīng)明確禁止的都是允許的”為前提； 3. 信息標(biāo)記的變化，包括由信息處理設(shè)備自動(dòng)引起的或是由用戶決定引起的； 4. 規(guī)則在頒布之前需要管理人員的批準(zhǔn)或其他形式的許可； 5. 不同的業(yè)務(wù)應(yīng)用的安全需求； 6. 不同系統(tǒng)的訪問控制和信息分類策略之間的一致性； 7. 對(duì)數(shù)據(jù)和服務(wù)保護(hù)的有關(guān)法規(guī)和合同義務(wù)； 8. 分布式和網(wǎng)絡(luò)化環(huán)境的訪問權(quán)限管理。 (三)訪問控制類型的典型技術(shù)包括： 1、訪問控制列表，目前廣泛應(yīng)用的控制方法，比如操作系統(tǒng)的自主訪問控制就是典型 的例子。 2、主機(jī)操作系統(tǒng)加固服務(wù)，尋找可能旁路的路徑，然后通過補(bǔ)丁和配置將其彌補(bǔ);加 強(qiáng)操作系統(tǒng)自身的強(qiáng)壯性不被一般的攻擊所破壞;檢查各項(xiàng)規(guī)則的合理性和有效性 等。 3、防火墻，典型的網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)訪問控制方法和工具。 4、VPN 虛擬專用網(wǎng)，結(jié)合了防火墻技術(shù)、加密技術(shù)、密鑰管理技術(shù)等方面的安全信道 系統(tǒng)。這個(gè)安全信道可以理解為兩個(gè)網(wǎng)絡(luò)區(qū)域之間的一個(gè)接口和管道。 5、應(yīng)用系統(tǒng)訪問控制，一般在應(yīng)用系統(tǒng)開發(fā)中單獨(dú)實(shí)現(xiàn);有時(shí)也可以通過調(diào)用操作系 統(tǒng)或者數(shù)據(jù)庫管理系統(tǒng)的訪問控制功能;一些比較通用的應(yīng)用系統(tǒng)，比如基于 Web 的應(yīng)用，可以通過一些專用的應(yīng)用系統(tǒng)訪問控制系統(tǒng)完成其功能。 4.1.3 審計(jì)和響應(yīng)安全 審計(jì)主要實(shí)現(xiàn)機(jī)制是通過 Standby/Sniffer 類型的工作方式實(shí)現(xiàn)。這種機(jī)制一般情 況下并不干涉和直接影響主業(yè)務(wù)流程，而是對(duì)主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等功能來 完成以審計(jì)(Accountability)、完整性(Integrity)等要求為主的安全功能。響應(yīng)是對(duì)系統(tǒng)安 全問 4 企業(yè)電子商務(wù)發(fā)展安全問題分析 19 題的實(shí)時(shí)檢測(cè)、告警和處理。其典型技術(shù)包括:日志管理，入侵檢測(cè)，漏洞掃描和評(píng)估， 一致性檢查等。 1、日志(Log)，是最基本的審計(jì)跟蹤功能，一般的系統(tǒng)都具有此功能。一個(gè)安全的 系統(tǒng)需要開啟足夠的日志和審計(jì)功能。 2、入侵檢測(cè)(IDS)，是專門應(yīng)對(duì)異常訪問和操作的監(jiān)控和審計(jì)系統(tǒng)。一些非法入侵 者(黑客)為了繞過系統(tǒng)訪問控制和回避日志的記錄，常常采用一些旁門左道， IDS 系統(tǒng)就是為了檢查這些異常行為而設(shè)計(jì)的。不管是基于網(wǎng)絡(luò)的 IDS 還是基 于主機(jī)的 IDS，都提供獨(dú)立于業(yè)務(wù)系統(tǒng)之外的監(jiān)控功能。 3、漏洞掃描和評(píng)估(Vulnerability Assessment)，檢查當(dāng)前系統(tǒng)中可能存在的不足和 缺陷，為訪問控制系統(tǒng)和其他基礎(chǔ)系統(tǒng)加固提供依據(jù)。 4、一致性檢查，系統(tǒng)的一致性檢查和數(shù)據(jù)的一致性檢查常常是一個(gè)非常有效的、 簡(jiǎn)單的安全方法，用來發(fā)現(xiàn)系統(tǒng)和數(shù)據(jù)可能存在的篡改現(xiàn)象。 4.1.4 冗余和恢復(fù)安全 從過程上看，冗余和恢復(fù)是為了異常情況在事前所作的準(zhǔn)備和事后的措施；從管 理層面看，這方面的技術(shù)解決方案要結(jié)合管理方面的措施，形成企業(yè)的業(yè)務(wù)可持續(xù)計(jì) 劃。冗余和恢復(fù)體現(xiàn)管理過程的動(dòng)態(tài)性，必須在情況發(fā)生之前就做好充分的準(zhǔn)備。因 此，冗余和恢復(fù)的關(guān)鍵要素就是在情況發(fā)生之前就做好應(yīng)對(duì)的準(zhǔn)備工作。而這方面的 準(zhǔn)備可以和技術(shù)框架的各個(gè)環(huán)節(jié)結(jié)合起來。比如:防火墻可以進(jìn)行高可用配置，通過雙 防火墻進(jìn)行互備;通過配置使得入侵檢測(cè)可以和防火墻進(jìn)行互動(dòng)等等，可以歸結(jié)到冗余 恢復(fù)類的典型技術(shù)包括: 1、HA 技術(shù)，高可用技術(shù)常常通過冗余設(shè)備來完成。一些具體的技術(shù)包括:熱備份、集 群技術(shù)、脈搏技術(shù)等。 2、路徑冗余，網(wǎng)絡(luò)的 HA 常常通過冗余的路徑來實(shí)現(xiàn)，當(dāng)一個(gè)線路中斷后，其他冗余 的路徑保證網(wǎng)絡(luò)不會(huì)整體完全中斷。 3、數(shù)據(jù)備份和恢復(fù)技術(shù)，當(dāng)系統(tǒng)出現(xiàn)問題數(shù)據(jù)遭到