电子商务安全研究论文

[摘要]WPKI是在有线PKI基础上进行优化拓展，在移动电子商务安全中具有重要作用。介绍了WPKI的安全机制与结构，提出了采用VA的WPKI移动电子商务安全框架，并详细阐述了WPKI在移动电子商务中的实现。下面小编整理了一些《电子商务安全研究论文(精选3篇)》相关资料，欢迎阅读！

电子商务安全研究论文 篇1：

关于电子商务安全研究

摘要　电子商务越来越深入我们的商务活动，但是电子商务模式对管理水平、信息传递技术都提出了更高的要求，其中安全体系的构建又显得尤为重要。如何建立一个安全的电子商务应用环境，对信息提供足够的保护，是商家和用户都十分关注的话题。本文介绍了电子商务安全的具体特性及常用的安全技术。

关键词　电子商务；安全；SSL；PKI认证

作者简介　王玲，江西省现代职业技术学院副教授，研究方向为教育信息化、高职教育；(江西　南昌　330012)

吁元卿，江西省信息中心工程师，研究方向为网络管理。(江西南昌330046)

随着因特网的迅猛发展，电子商务已经逐渐成为人们进行商务活动的一个崭新模式。我们可以把电子商务定义为整个事务活动和贸易活动的电子化。它将信息网络、金融网络和物流网络结合起来，把事务活动和贸易活动中发生关系的各方有机地联系起来，极大地方便了各种网络上的事务活动和贸易活动。电子商务有比传统商务方式更巨大的方便性和灵活性。然而，网络面临的安全问题也随之而来，例如内部窃密和破坏、截收、非法访问、破坏信息的完整性、破坏系统的可用性等等诸多问题。

任何在互联网上开展业务的机构都必须采取积极的步骤，确保系统有足够的安全措施，以防止机密信息泄露和非法侵入所造成的损失。但互联网本身就是基于开放思想设计并逐步发展起来的。要想在互联网上实现绝对安全是困难的。互联网上实现电子商务面临的风险主要来自机密关键数据安全及电子交易安全。

一、电子商务安全的具体技术表现

(一)数据的私有性和安全性

如果不采用特别的保护措施，包括电子邮件等在internet中开放传输的数据都可能被第三者监视和阅读。考虑到巨大的传输量和难以计数的传输途径，想任意窃听一组数据传输是不可能，但是一些设置在web服务器的黑客程序却可以查找和收集特定类型的数据，这些数据包括信用卡、存款的账号和相应的口令。同时，因为internet的开放性设计，数据私有性和安全性还包括数据传输之外的问题，例如：连入internet的数据存储网络驱动器的安全性。所以，任何存储在web服务器上的数据必须采取保护措施。

(二)数据的完整性

对完整性的安全威胁也叫主动搭线窃取。当未经授权方改变了信息流时就构成了对完整性的安全威胁。未保护的银行交易很易受到对完整性的攻击。当然，破坏了完整性也就意味着破坏了保密性，因为能改变信息的窃取者肯定能阅读此信息。完整性和保密性间的差别在于：对保密性的安全威胁是指某人看到了他不应看到的信息。而对完整性的安全威胁是指某人改动了关键的传输。破坏他人网站就是破坏完整性的例子。破坏他人网站是指以电子方式破坏某个网站的网页。破坏他人网站的行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时，就说发生了破坏他人网站的行为。由于internct的开放体系，如果具备了特定的知识和工具，则完全可以更改传输中的数据。同时，要采取适当的存取访问控制，以保证数据存取系统的安全。在电子商务中务必保存数据最初的格式和内容。

(三)认证

在猖獗的网络欺诈或者反悔中，网络交易者隐身在电脑屏幕背后，身份难以识别的问题是其重要渊源。建立有效的网上交易身份认证机制，提升交易双方的信用度是有效控制网络欺诈的重要途径，对于电子商务的健康发展有着重要作用。交易方的信用问题已经成为制约电子商务发展的重要瓶颈之一。在现实社会中，即便有着诸多因素的制约，仍然普遍地存在着信用缺乏的现象，建立完善的信用机制已经成为社会各界的共识。在电子商务的具体实现中，首先要确认当前的通讯、交易和存取要求是合法的。例如，internet中的计算机系统的身份是其由IP地址确认的。黑客通过IP欺骗，使用虚假的IP地址，从而达到隐瞒自己身份盗用他人身份的目的。在日常电子邮件的使用中可以很容易地发匿名邮件，或者使用不真实的邮件用户名。因此，在电子商务中必须建立严格的身份认证机制，以确保参加交易各方的身份真实有效。

(四)不可否认性

不可否认主要包含数据的原始记录和发送记录，确认数据已经完成发送和接收，防止接收用户更改原始记录，防止用户在已经收到数据以后否认收到数据，并拖延自己的下一步工作。为了保证交易过程的可操作性，必须采取可靠的方法确保交易过程的真实性，保证参加电子交易的各方承认交易过程的合法性。

简言之，在internet上实现电子商务面临的任务：(1)私有性，即保证只有发送者和接收者可以接触到信息；(2)完整性，即信息在传输过程中未经任何改动；(3)身份认证，即接收方可以确信信息来自发信者，而不是第三者冒名发送，发送方可以确信接收方的身份是真实的，而不至于发往与交易无关的第三方；(4)不可否认性，在交易数据发送完成以后，双方都不能否认自己曾经发出或接收过信息。

电子商务面临的上述问题主要是由对系统的非法入侵造成的。首先是网络黑客，他们通过发现web服务器、操作系统或者主页部件在配置方面的漏洞，攻击网络系统。其次是内部入侵，这主要是由企业IT部门的员工造成的，保护网络的物理安全(如主控机房)及严格的口令管理制度，是防范该类问题的关键。还有恶意代码(如计算机病毒)，它们在企业的传播会给电子商务系统造成严重的损失。另外，值得关注的是计算机系统本身的问题，例如，由于电源造成的系统宕机，以及广域网络的通讯，这些都会直接造成服务的突然中止，影响电子商务的形象。我们还应关注系统管理方面的问题，有时电子商务出现的问题既非黑客也非系统本身的毛病，而是源于对敏感数据处理不善或者是安全系统(如防火墙)的不正确配置。用户的身份认证是计算机系统安全的基础工作，数字签名加密等技术在这里可以充分起到作用。

二、电子商务安全系统关键技术

(一)ssL VPN技术

SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN(虚拟专用网)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的

员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接人。过去，VPN总是和IPSec联系在一起，因为它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSee VPN则多用于连接两个网络或点到点之间的连接。 所谓的SSL VPN，其实是YPN设备厂商为了与IPsecVPN区别所创造出来的名词，指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能，用浏览器连回公司内部SSL VPN服务器，然后透过网络封包转向的方式，让使用者可以在远程计算机执行应用程序，读取公司内部服务器数据。它采用标准的安全套接层(ssL)对传输中的数据包进行加密，从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间，SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSec VPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换(NAT)和防火墙设置。

(二)加密技术

数据加密技术作为一项基本技术，是电子商务的基石，是电子商务最基本的信息安全防范措施。其实质是对信息进行重新编码，从而达到隐藏信息内容，使非法用户无法获取真实信息的一种技术手段，确保数据的保密性。基于加/解密所使用的密钥是否相同，可分为对称加密和非对称加密两类。

(1)对称加密。对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信之前，商定一个密钥，用这个密钥对传输数据进行加密、解密。对称加密的突出特点是加解密速度快，效率高，适合对大量数据加密。缺点是密钥的传输与交换面临安全问题，且若和大量用户通信时，难以安全管理大量密钥。目前，常用的对称加密算法有DES、3DES、IDEA、Blowfish等。其中，DES(DataEncryptionStandard)算法由IBM公司设计，是迄今为止应用最广泛的一种算法，也是一种最具代表性的分组加密体制。DES是一种对二元数据进行加密的算法，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展，密钥长度为64bit，其中有8bit奇偶校验，有效密钥长度为56bit。加密过程包括16轮的加密迭代，每轮都采用一种乘积密码方式(代替和移位)。DES整个体制是公开的，系统的安全性全靠密钥的保密。DES算法的入口参数有3个：Key、Data、Mode。其中，Key为8个字节共64位，是DES算法的工作密钥。Data也是8个字节64位，是需被加密或解密的数据。Mode为DES的工作方式，分为加密或解密两种。DES算法的步骤为：如Mode为加密，则用Key去对数据进行加密，生成Data的密码形式(64位)作为DES输出结果。如Mode为解密，则用Key去把密码形式的数据Data解密，还原为Data的明码形式(64位)作为DES的输出结果。DES是一种世界公认的较好的加密算法，具有较高的安全性，到目前为止除了用穷举搜索法对DES算法进行攻击外，尚未发现更有效的方法。

(2)非对称加密。非对称加密的最大特点是采用两个密钥将加密和解密能力分开。一个公开作为加密密钥；一个为用户专用，作为解密密钥，通信双方无需事先交换密钥就可进行保密通信。而要从公开的公钥或密文分析出明文或密钥，在计算上是不可行的。若以公开钥作为加密密钥，以用户专用钥作为解密密钥，则可实现多个用户加密的信息只能由一个用户解读。反之，以用户专用钥作为加密密钥而以公开钥作为解密密钥，则可实现由一个用户加密的消息而使多个用户解读，前者可用于保密通信，后者可用于数字签字。非对称加密体制的出现是密码学史上划时代的事件，为解决计算机信息网中的安全提供了新的理论技术基础。其优点是很好地解决了对称加密中密钥数量过多难以管理的不足，且保密性能优于对称加密算法；缺点是算法复杂，加密速度不是很理想。

目前，RSA算法是最著名且应用最广泛的公钥算法，其安全性基于模运算的整数因子分解的困难性。

算法内容简要描述如下：①独立选取两大素数p和q，计算n=p×q；其欧拉函数值z=(p－1)×(q－1)。②随机选一整数e，1≤e

由于RSA涉及大数计算，无论是硬件或软件实现的效率都比较低，不适用对长的明文加密，常用来对密钥加密，即与对称密码体制结合使用。

(三)网上交易身份认证机制

网上交易身份认证对于建立电子商务业界的信用机制起着重要作用，因此如何确认网上交易者的身份便成为诸多电子商务网站迫切希望解决的问题。

(1)在目前网络法律制度还不健全的时代，自律机制非常重要，网络交易的有效性和真实性在一定程度上能够反映这个国家的信用机制的完善程度。相对而言，国外的电子商务信用体系相对较高，其交易身份认证多与信用卡等银行信用记录挂钩，而我国则更多的是通过手机和身份证等方式进行。

(2)一些网上交易平台为了帮助交易双方打消顾虑，顺利进行交易，提供第三方介入的支付方式，以保护双方的合法利益，这种机制对于维护网上交易的诚信起到了很好的作用。

(3)电子邮件在电子商务交易中对子商务交易者的身份认证机制起着重要作用。电子邮件一旦重复则易造成无法注册，甚至很多网站要求用户两次输入有效的电子邮件以进行确认，以确保之后的所有信息能够顺利进行，所有的网站均将用户的电子邮件作为联系用户和确认用户诸多信息的重要联系方式，其便捷性毋庸置疑。但是，在电子邮件收费的模式基本上发展前景不甚明朗的今天其有效性和真实性还值得商榷。

(4)用户注册中所提交的资料即身份认证过程中会涉及到很多可以列为用户隐私权保护的信息，因此，在进行身份认证时还需要考虑隐私权保护问题。现在几乎所有的电子商务网站上都有隐私权法律声明，或者在用户填写过程中就通过链接的形式弹出窗口声明用户的这些资料将被用于那些用途。尽管如此，由于网络上没有绝对的安全，如果由于技术上的原因导致用户的身份认证资料泄露给他人，甚至被他人用于牟利或者其他非法目的，网站是否应该承担责任、应该承担什么样的责任，也是身份认证机制应该考虑的问题。

电子商务的安全问题是利害攸关的，安全遭到破坏会使他人信息泄露或导致信息滥用。电子商务安全策略必须明确保密、完整、不可否认的要求。总之，如何建立电子商务安全策略，并逐步完善这个策略，需要政府、电子商务企业、学者等的共同努力，任重而道远。

责任编辑：熊一坚

作者：王　玲　吁元卿

电子商务安全研究论文 篇2：

基于ＷＰＫＩ的移动电子商务安全研究

[摘要] WPKI是在有线PKI基础上进行优化拓展，在移动电子商务安全中具有重要作用。介绍了WPKI的安全机制与结构，提出了采用VA的WPKI移动电子商务安全框架，并详细阐述了WPKI在移动电子商务中的实现。

[关键词] 移动电子商务WPKIWAP

作者：先　强

电子商务安全研究论文 篇3：

电子商务安全现状及对策研究

摘要：随着网络技术的广泛应用,网上购物的日益普及我国电子商务安全的问题日益严重。首先，分析了电子商务安全的现状，其次，着重对电子商务存在的问题及其原因进行深入地探索并指出了电子商务安全的需求，最后给出相应的解决方案。

关键词：信息窃取；信息篡改；加密技术；防火墙

随着网络技术的广泛应用，我国电子商务的安全问题也日益突出。根据“2010年上半年，计算机病毒和互联网安全报告疫情”的数据表明，2010年上半年，计算机病毒，木马的数量依然保持快速增长，新病毒不断出现，一些“老”的病毒推出了众多变种。2010年上半年计算机病毒，木马数量迅速增加，超出了近五年病毒数量的总和。在日益增多的电子商务安全问题面前，需要我们采取新措施来进行防范。

一、电子商务的安全现状

目前电子商务的安全问题比较严重，最突出的表现在计算机网络安全和商业诚信问题上。因为篇幅问题，本文只侧重于计算机网络安全问题的描述和解决对于其他方面的问题不作详细的分析。与以往相比电子商务安全呈现出以下特点：

（一）木马病毒爆炸性增长，变种数量的快速增加

据统计，仅2009年上半年挂载木马网页数量累计达2.9亿个，共有11.2亿人次网民访问挂载木马，2010年元旦三天就新增电脑病毒50万。病毒的数量不仅增速变快，智能型，病毒变种更新速度快是本年度病毒的又一个特征。总体而言，目前的新木马不多，更多的是它的变种，因为目前反病毒软件的升级速度越来越快，病毒存活时间越来越短，因此，今天的病毒投放者不再投放单一的病毒，而是通过病毒下载器来进行病毒投放，可以自动从指定的网址上下载新病毒，并进行自动更新，永远也无法斩尽杀绝所有的病毒。同时病毒制造、传播者利用病毒木马技术进行网络盗窃、诈骗活动，通过网络贩卖病毒、木马，教授病毒编制技术和网络攻击技术等形式的网络犯罪活动明显增多，电子商务网络犯罪也逐渐开始呈公开化、大众化的趋势。

（二）网络病毒传播方式的变化

过去，传播病毒通过网络进行。目前，通过移动存储介质传播的案例显著增加，存储介质已经成为电子商务网络病毒感染率上升的主要原因。由于U盘和移动存储介质广泛使用，病毒、木马通过autorun.inf文件自动调用执行U盘中的病毒、木马等程序，然后感染用户的计算机系统，进而感染其他U盘。与往年相比，今年通过网络浏览或下载该病毒的比例在下降。不过，从网络监测和用户寻求帮助的情况来看，大量的网络犯罪通过“挂马”方式来实现。“挂马”是指在网页中嵌入恶意代码，当存在安全漏洞的用户访问这些网页时，木马会侵入用户系统，然后盗取用户敏感信息或者进行攻击、破坏。通过浏览网页方式进行攻击的方法具有较强的隐蔽性，用户更难于发现，潜在的危害性也更大。

（三）网络病毒给电子商务造成的损失继续增加

调查显示，浏览器配置被修改，损坏或丢失数据，系统的使用受限，网络无法使用，密码被盗造成都给电子商务造成严重的破坏后果。2006年“熊猫烧香”病毒利用蠕虫病毒的传播能力和多种传播渠道帮助木马传播，攫取非法经济利益，给被感染的用户带来重大损失。继“熊猫烧香”之后，复合型病毒大量出现，如：仇英、艾妮等病毒。同时，网上贩卖病毒、木马和僵尸网络的活动不断增多，利用病毒、木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

二、电子商务的安全问题及存在原因

1.对合法用户的身份冒充。以不法手段盗用合法用户的身份资料，仿冒合法用户的身份与他人进行交易，从而获得非法利益。

2.对信息的窃取。攻击者在网络的传输信道上。通过物理或逻辑的手段，对数据进行非法的截获与监听，从而得到通信中敏感的信息。如典型的“虚拟盗窃”能从因特网上窃取那些粗心用户的信用卡账号，还能以欺骗的手法进行产品交易，甚至能洗黑钱。

3.对信息的篡改。攻击者有可能对网络上的信息进行截获后篡改其内容，如修改消息次序、时间，注人伪造消息等，从而使信息失去真实性和完整性。

4.拒绝服务。攻击者使合法接入的信息、业务或其他资源受阻。

5.对发出的信息予以否认．某些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

6.信用威胁。交易者否认参加过交易，如买方提交订单后不付款，或者输人虚假银行资料使卖方不能提款I用户付款后，卖方没有把商品发送到客户手中，使客户蒙受损失。

7.电脑病毒。电脑病毒问世十几年来，各种新型病毒及其变种迅速增加，互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径，还有众多病毒借助于网络传播得更快，动辄造成数百亿美元的经济损失。如，CIH病毒的爆发几乎在瞬间给网络上数以万计的计算机以沉重打击。

三、电子商务的安全需求

电子商务威胁的出现导致了对电子商务安全的需求，主要包括有效性、完整性、不可抵赖性、匿名性。

1.有效性。保证信息的有效性是开展电子商务的前提，一旦签订交易，这项交易就应得到保护以防止被篡改或伪造。

2.完整性。贸易双方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易双方信息的完整性是电子商务的基础。

3.不可抵赖性。交易一旦达成，原发送方在发送数据后就不能抵赖，接收方接到数据后也不能抵赖。

4.匿名性。电子商务系统应确保交易的匿名性，防止交易过程被跟踪，保证交易过程中不把用户的个人信息泄露给未知的或不可信的个体。

四、电子商务安全防治措施及安全举措

防范电子商务网络犯罪是一个系统工程，不仅需要人们提高防范电子商务网络犯罪的意识，加强防范电子商务网络犯罪的制度建设，而且．还需要技术上不断更新和完善，为此，需要做好以下几方面的工作。

1.加强教育和宣传，提高公众电子商务的安全意识。信息安全意识是指人们在上网的过程中，对信息安全重要性的认识水平，发现影响网络安全行为的敏锐性，维护网络安全的主动性。强化上网人员的信息安全意识，就是要让上网人员认识到，网络信息安全是电子商务正常而高效运转的基础，是保障企业、公民和国家利益的重要前提，从而牢同树立网上交易，安全第一的思想。主要采取以下措施：一是通过大众媒体，普及电子商务的安全知识，提高用户的认识。二是积极组织研讨会和培训课程，培养电子商务网络营销安全管理人才。

2.采用多重网络技术，保证网络信息安全。目前，常用的电子商务安全技术，主要包括：防火墙，物理隔离，VPN（虚拟专用网）。防火墙是实现内部网与外部网安全代理和入侵隔离的常规技术。使用防火墙，一方面是抵御来自外界的攻击。另一方面是为了防止在服务器内部部分未经授权的用户攻击。因此，电子商务内外网与互联网之间要设置防火墙。网管人员要经常到有关网站上下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，发现任何安全隐患及时更改，做到有备无患。企业上网必须实行内外网划分和内外网的物理隔离。要运用VPN新技术，为使用者提了一种通过公用网络，安全地对食业网络进行远程访问，同时又能保证企业的系统安全。包括操作系统、数据库和服务器(如Web服务器、E-MAII。服务器)的安全。

3.运用密码技术，强化通信安全。应围绕数字证书应用，为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。目前要加强身份认证、数据完整性、数据加密、数字签名等工作。对于电子商务中的各种敏感数据进行数据加密处理，并且在数据传输中采用加密传输，以防止攻击者窃密。电子商务信息交换中的各种信息，必须通过身份认证来确认其合法性，然后确定这个用户的个人数据和特定权限。“在涉及多个对等实体间的交互认征时，应采用基于PKI技术，借助第三方(CA)颁发的数字证书数字签名来确认彼此身份。”为了从根本上保证我国网络的安全，我同安全产品的应用应建立在国内自主研发的产品基础上,国外的先进技术可以参考，但不能完全照搬。政府应该鼓励和扶植一批企业加快数字安全技术的研究，以提高我国信息企业的技术和管理水平，促进我同电子商务安全建设。

4.加强技术管理，努力做到使用安全。首先是在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中，除有特殊需要不要轻易开放共享目录，对有经常交换信息要求的用户，在共享时应该加密，即只有通过密码的认证才允许访问数据。二是对涉及秘密信息的用户主机，使用者在应用过程中应该做到尽可能少开放一些不常用的网络服务，同时封闭一些不用的端口。并对服务器中的数据库进行安全备份。三是切实保证媒体安全。包括媒体数据的安全及媒体本身的安全。要防止系统信息在物理空间上的扩散。为了防止系统中的信息在物理空间上的扩散，应在物理上采取一定的防护措施，如进行一定的电磁屏蔽，减少或干扰扩散出去的空间信号。这样做，对确保企业电子商务安全将发挥重要作用。

5.健全法律，严格执法。目前我国在电子商务法律法规方面还有很多缺失，不能有效地保护公众的合法权益，给一些犯罪分子带来了可乘之机。我国立法部门应加快立法进程，吸取和借鉴国外网络信息安全立法的先进经验，尽快制定和颁布《个人隐私保护法》、《商业秘密保护法》、《数据库振兴法》、《信息网络安全法》、《电子凭证(票据)法》、《网上知识产权法》等一系列法律，使电子商务安全管理走上法制化轨道。使网络控制、信息控制、信息资源管理和防止泄密有法可依，并得到技术上的支撑。健全电子商务安全标准认证和质量检测机制，由国家主管部门组织制定有关电子商务安全条例规定，并发挥职能部门的监管作用。通过建立电子商务安全法规体系，规范和维持网络的正常运行。

参考文献：

[1]许宁宁.电子商务安全的现状与趋势[J].中国电子商务，2010，（1）.

[2]濮小金.电子商务安全的政策选择[J].全国商情经济理论研究，2009，（3）.

[3]王建宏.电子商务安全技术研究[J].中国商贸，2009，（15）.

[4]张建兵.电子商务安全问题解析[J].现代商贸工业，2009，（21）.

作者：李岩,宋朝