收藏
下载资源

电子商务安全实验报告

上传人:平*** 文档编号:10594808 上传时间:2017-10-09 格式:DOC 页数:6 大小:53.40KB
返回 下载 相关 举报
电子商务安全实验报告_第1页
第1页 / 共6页
电子商务安全实验报告_第2页
第2页 / 共6页
电子商务安全实验报告_第3页
第3页 / 共6页
电子商务安全实验报告_第4页
第4页 / 共6页
电子商务安全实验报告_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《电子商务安全实验报告》由会员分享,可在线阅读,更多相关《电子商务安全实验报告(6页珍藏版)》请在金锄头文库上搜索。

1、实验名称:电子商务安全技术2010081126 吕吕一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于 3 个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有:PKI 协议:PKI 是 Public Key Infrastructure 的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI 的基础

2、技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团 CommerceNet 协会提出的安全传输协议,主要利用密钥对加密的方法来保障 W eb 站点上的信息安全。S-HTTP 被设计为作为请求 /响应的传输协议 HTTP 的一种安全扩展版本,正是这一特点使得 S-HTTP 与 SSL 有了本质上的区别,因为 SSL 是一种会话保护协议。S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。安

3、全套接层协议(SSL): SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在 TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采

4、用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。电子商务安全的措施有:加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密性。数字签名: 数字签名如同手写签名,在电子商务中有如下优点:(1) 发送者事后不能否认自己发送的报文签名。 (2) 接受者能够核实发送者发送的报文签名。 (3)接受者不能伪造发送者的报文签名。 (4) 接受者不能对发送者的报文进行篡改。 (5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生

5、成一个 128 位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出 128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。数字时间戳:数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机

6、构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS 收到文件的日期和时间以及DTS 的数字签名数字证书:数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS 收到文件的日期和时间以及 DTS的数字签名安全协议技术:目前常用的安全协议主要有两种:SSL

7、协议(安全套接层协议)和 SET 协议(安全电子交易协议) 。SSL 协议是由 Netscape 公司提出的安全交易协议,该协议主要目的是解决 T C P /I P 协议不能确认用户身份的问题,在 Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。4SET 是由 Visa 和MasterCard 两大信用卡公司联合 IBM, Microsoft, GTE ,Verisign , SA IC 等公司与1996 年 6 月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和 X . 5 0 9

8、 数字证书标准,主要应用于保障网上购物信息的安全性。(2)访问不同类型的电子商务站点,上网搜集相关资料,了解国内网上支付在安全方面的解决方案。 答:目前中国所有电子支付服务提供商都还是使用简单的用户名 / 密码认证机制,虽然某些电子支付服务提供商增加了一个安全控件,但还是存在以下两大严重安全问题:(1)用户的身份认证问题:由于涉及到资金问题,越来越多的黑客和木马软件就盯上了电子支付服务,而电子支付服务提供商现有的用户登录系统是简单的用户名 / 密码单一认证机制,可以说毫无安全性可言,非常容易被非法窃取而导致用户的资金被盗。(2)电子邮件泄密问题:由于电子支付服务提供商的电子支付服务的原理是通过

9、电子邮件通知来收款和付款的,而电子邮件在互联网上是明文传输的,非常容易被非法窃取,而一旦用户的电子邮件内容被非法窃取,则此笔交易款就极有可能也非常容易被非法盗走。由于以上两大问题,就开始采用“双重认证 (two-factor authentication) ”技术来解决电子支付的在线身份盗窃问题,其实就是使用用户的个人数字证书来实现安全的身份认证和电子邮件加密。具体解决方案是:(1)电子支付服务提供商为每个用户颁发一个全球通用的个人数字,证书用于登录电子支付服务系统的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。(2)由于每个用户都有全球通用的

10、个人数字证书,不仅可以用于身份认证快速安全登录电子支付服务系统,还可以用于电子邮件数字签名和电子邮件内容加密,所有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的,只有用户本人使用其个人数字证书才能阅读,而其他人即使在电子邮件服务器端或电子邮件传输过程中非法窃取电子邮件支付内容。数字证书是由权威公正的第三方机构即 CA 中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行

11、加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。(3)进入阿里巴巴电子商务站点,浏览,查阅,体验站点的安全机制和支付功能。 总结阿里巴巴电子商务站点的安全机制和支付机制。答:阿里巴巴电子商务安全机制:1. 数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措施其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。(1)对称密钥加密 (SecretKeyE

12、ncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。(2) 非对称密钥加密(PublicKeyEncryption) 。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥( 简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。(3)复杂

13、加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。3. 认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障

14、电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由 VISA 和MasterCard 两大信用卡组织指定的标准。SET 用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET 协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。阿里巴巴支付机制:阿里巴巴,作为家喻户晓的电子商务网站,

15、它的支付方式也同样的令人耳熟能详:支付宝,就是旗下提供的第三方支付平台,它保证了买卖双方交易的安全性与便捷性。尽管现在支付宝已经得到普及,但是相对那些有在网上购物的欲望但无法使用支付宝的人来说,邮局汇款、银行转账信用卡支付和网上银行支付无非是最好的选择。(4)网上阅读资料,查看电子商务安全交易协议中 SET 中用到的双重签名技术的过程是如何的。答:双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术,用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。双重数字签名的实现步骤如下: (1)信息发送者 A 对发给 B 的信息 1 生成信息摘要 1。 (2)信息发送者 A 对发给 C 的

16、信息 2 生成信息摘要 2。 (3)信息发送者 A 把信息摘要 1 和信息摘要 2 合在一起,对其生成信息摘要 3,并使用自己的私钥签名信息摘要 3。 (4)信息发送者 A 把信息 1、信息摘要 2 和信息摘要 3 的签名发给 B,B 不能得到信息 2。 (5)信息发送者 A 把信息 2、信息摘要 1 和信息摘要 3 的签名发给 C,C 不能得到信息 1。 (6)B 接收信息后,对信息 1 生成信息摘要,把这信息摘要和收到的信息摘要 2 合在一起,并对其生成新的信息摘要,同时使用信息发送者 A 的公钥对信息摘要 3 的签名进行验证,以确认信息发送者 A 的身份和信息是否被修改过。 (7)C 接收信息后,对信息 2 生成信息摘要,把这信息摘要和收到的信息摘要 1 合在一起,并对其生成新的信息摘要,同时使用信息发送者 A 的公钥对信息摘要 3 的签名进行验证,以确认信息发送者 A 的身份和信息是否被修改过。 (5)以中国工商银行网上银行为例,描述在网银上操作,是如何保障安全的?包括从一登录到交易成功的整

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 其它文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号