【正文】 統(tǒng)有效，這樣只完成了部分商業(yè)運作數(shù)據(jù)的備份 。 電子商務(wù)法律風險 1． 電子商務(wù)交易法律風險 由于電子商務(wù)是在虛擬的網(wǎng)絡(luò)空間進行，電子商務(wù)交易可以看作是無紙貿(mào)易，這樣就容易引發(fā)種種新的法律問題，如電子合同、電子簽名、電子商務(wù)認證、電子數(shù)據(jù)證據(jù)、網(wǎng)上交易與支付、網(wǎng)上知識產(chǎn)權(quán)、電子商務(wù)管轄權(quán)及在線爭議解決等。 2． 隱私風險 電子商務(wù)時代，消費者的隱私受到前所未有的威脅。如何有效制止利用傳輸信息的信息網(wǎng)絡(luò)，公開或者侵犯他人的隱私等，將是電子商務(wù)面臨的重要法律問題之一。 3． 知識產(chǎn)權(quán)風險 在電子商務(wù)時代知識產(chǎn)權(quán)風險主要表現(xiàn)為電子商務(wù)年代信息的新特性與知識產(chǎn)權(quán)具有的特性的強烈沖突。而網(wǎng)絡(luò)上應(yīng)受到知識產(chǎn)權(quán)保護的信息則是公開的、公用的，也很難受到權(quán)利人的控制。正是因為如此，電子商務(wù)活動涉及的知識產(chǎn)權(quán)風險就應(yīng)引起企業(yè)的重視。因此，保護知識產(chǎn)權(quán)與發(fā)展電子商務(wù)有著密切的聯(lián)系。據(jù)國際互聯(lián)網(wǎng)保安公司Symantec2020 年的報告指出，中國已經(jīng)成為全球黑客的第三大來源地，竟然有 6． 9％的攻擊國際互聯(lián)網(wǎng)活動都是由中國發(fā)出的。在 2020 年，我國有 73％的計算機曾感染病毒，到了 2020 年上升到近 84％， 2020 年上半年又增加到 85％。 眾所周知，安全才是網(wǎng)絡(luò)的生存之本。作為信息的載體，網(wǎng)絡(luò)亦然。 而企業(yè)比以往任何時候都更需要知道其合作伙伴的真實身份。 電子商務(wù)的安全管理變的 尤 為重 要。 電子商務(wù)系統(tǒng)安全 Inter 存在的安全隱患給電子商務(wù)帶來了如下安全威脅： 1．信息泄露：表現(xiàn)為商業(yè)機密的泄露，主要包括交易雙方進行交易的內(nèi)容被第三方竊?。唤灰滓环教峁┙o另一方的文件被第三方非法使用。信息在網(wǎng)絡(luò)傳輸過程中，可能被他人非法修改、刪除和重放 （只能使用一次的信息被多次使用）。另一種是假冒他人身份，如冒充領(lǐng)導發(fā)布命令、調(diào)閱密件，冒充他人消費，冒充系統(tǒng)管理員，占用合法用戶資源等。如發(fā)信者事后否認發(fā)送過某條信息；收信者事后否認曾收到過某條信息；購買者下了訂單而不承認；商家確認訂單后因價格上浙 江工業(yè)大學浙西分校信電系畢業(yè)設(shè)計（論文） 13 升而不承認等。由于網(wǎng)絡(luò)硬件和軟件的故障導致信息傳遞的丟失 與謬誤。是計算機網(wǎng)絡(luò)受一些惡意程序的破壞而使電子商務(wù)信息損壞。 電子商務(wù)的安全要素 電子商務(wù)系統(tǒng)是一個計算機系統(tǒng)，其安全性是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。 在利用網(wǎng)絡(luò)進行的交易中，必須保證發(fā)送者和接收者之間交換的信息的保密性。因此，要預(yù)防信息大量傳輸過程中被非法竊取，必須確保只有合法用戶才能看到數(shù)據(jù)，防止信息被竊看。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略。信息接收方可以證實所接收的數(shù)據(jù)是原發(fā)方發(fā)出的，而原發(fā)方也可以證實只有指定的接收方才能接收。因此，要求在交易信息的傳遞過程中為參與交易的個人、企業(yè)或國家提供可靠的標識，使原發(fā)方在發(fā)送數(shù)據(jù)后不能抵賴、接收方在接收數(shù)據(jù)后也不能抵賴。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設(shè)計（論文） 14 網(wǎng)上交易的各方相隔很遠、互不了解，要使交易成功，必須互相信任、 確認對方是真實的，對商家要考慮客戶是不是騙子，對客戶要考慮商店是不是黑店、是否有信譽。 電子商務(wù)安全技術(shù) 無所不在的計算機信息系統(tǒng)在防不勝防的破壞性活動面前有時顯得軟弱無力，誰也無法預(yù)測將會受到什么樣的挑戰(zhàn)。 加密的含義 為了保證信息在網(wǎng)上傳輸過程中不被篡改，必須對所發(fā)送的信息進行加密。加密的目的是使不應(yīng)了解該數(shù)據(jù)信息的人不能夠知道和識別。 1．加密系統(tǒng)基本概念 (1)明文：需要加密的報文 。 (3)加密、解密的算法：算法是加密或解密的一步一步 的過程。 (5)密鑰的長度：密鑰的長度是指密鑰的位數(shù)。 2．加密技術(shù)的關(guān)鍵是密鑰 算法和密鑰在加密和解密中缺一不可的，一般來說，加密算法變化不大，但密鑰是經(jīng)常可以變化的。 密鑰的位數(shù)越長，則破譯越難，加密系統(tǒng)就越牢固。如下圖 。 1．對稱式加密方法 (1)優(yōu)點：可以簡化加密處理，具有很高的保密強度。 (2)缺點：密鑰使用一段時間后就要更換，而在密鑰傳遞過程中要保證不能泄密 。 (3)對稱加密與解密過程。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設(shè)計（論文） 16 圖 對稱加密與解密過程 2． DES 算法介紹 (1)DES 的加密流程： 第一步將原文進行置換，得到 64 位的雜亂無章的明文組 。 第三步用密鑰進行變換，并在給定條件下，進行多達 16 次迭代，最后進行逆初始變換，得到加密密文。 整數(shù) n 的 10 進制位數(shù) 分解的運算次數(shù) 所需時間 (1000000 次 /秒 ) 50 1． 41010 3． 9 小時 100 9． 01012 74 年 200 1． 21023 3． 8109 年 500 1． 31039 4． 21025 年 表 3．非對稱式加密方法 (1)概念 “非對稱式 ”加密方法由美國斯坦福大學赫爾曼教授 1977 年提出，它主要是指每個人都擁有一對唯一對應(yīng)的密鑰：一把公鑰 (Public Key)和一把私鑰 (Private Key)，前者用于加密，后者用于解密。 (2)非對稱密鑰加密解密過程 。 圖 非對稱密鑰加密解密過程 (3)公鑰加密系統(tǒng)的優(yōu)缺點 優(yōu)點：密鑰分配簡單：用戶可以 把用于加密的公鑰，公開地分發(fā)給任何需要的其他用戶?？梢詽M足互不認識的人之間進行私人談話的保密性需求。 數(shù)字信封 1． 含義： “數(shù)字信封 ”(也稱電子信封 )技術(shù)，就是對稱密鑰和公開密鑰的結(jié)合的技術(shù)，從而既 有公開密鑰技術(shù)的靈活性，又有對稱密鑰技術(shù)的高效性。 2． 具體操作方法 ：每當發(fā)信方需要發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸?shù)绞招欧健? 消息摘要 1．消息摘要的 概念 消息摘要 (message digest)方法即數(shù)字指紋，消息摘要方法解決信息的完整性問題。 (2)它由單向 Hash 加密算法對一個消息作用而生成，有固定的長度 (128bit)的密文。 (3)所謂單向是指不能被解密。 因此摘要成為消息的 “指紋 ”，以驗證消息是否是 “真身 ”。 數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，能確認以下兩點 。 (2)信息自簽發(fā)后到收到為止未曾作過任何修改。 (2)數(shù)字簽名可用來防止電子信息因易被修改而有人作偽 。 (4)防止發(fā)出 (收到 )信件后又加以否認等情況發(fā)生。 3．數(shù)字 簽名的功能： (1)接收者能夠核實對報文的簽名 。 (3)接收者不能偽造對報文的簽名。它由專門的網(wǎng)絡(luò)服務(wù)機構(gòu)提供。 2． 數(shù)字時間戳的作用 書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳是由 DTSS 認證單位來加的，并以收到文件的時間為依據(jù)。 (2)要想對某個文件加蓋與當前日期和時間不同的時間戳是不可能的。 (2)認證服務(wù)機構(gòu)收到文件的日期和時間 。 數(shù)字證書 1． 概念 也叫數(shù)字憑證，是網(wǎng)絡(luò)通訊中標志通訊 各方身份信息的一系列數(shù)據(jù)，提供一種在Inter 上驗證身份的方式。 2．數(shù)字證書的三種類型 (1)個人（客戶）證書：又稱瀏覽器證書，是指由 CA 認證中心頒發(fā)的、安裝在客戶瀏覽器端使用的個人或企業(yè)證書。它通常為網(wǎng)上的某個 Web 服務(wù)器提供數(shù)字證書。 3．數(shù)字證書原理 簡介 數(shù)字證書利用一對互相匹配的密鑰進行加密、解密。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。在用戶進入建行網(wǎng)上銀行交易之前，瀏覽器與服務(wù)器之間建立 SSL 安全通道時，會自動使用雙方 的證書，所以，在進入交易之前，應(yīng)保證您的客戶證書及 CA 根證書已經(jīng)安裝在您的瀏覽器中。在完成證書下載后，建議立即備份客戶證書及私鑰。 個人數(shù)字證書分為二個級別：第一級數(shù)字證書，僅僅提供電子郵件的認證，不對個人的真實姓名等信息認證；第二級個人數(shù)字證書提供對個人姓名、身份等信息的認證。 認證中心 1．概念 認證中心，又稱為證書授證 (Certificate Authority)中心，是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。信息的來源是可信的 。信息在傳輸過程中保證其完整性。信息的發(fā)送方不能否認自己所發(fā)出的信息。拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源。它具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。 2． 防火墻的安全策略 (1)沒有被列為允許訪問的服務(wù)都是被禁止的：這意味著需要確定所有可以被提供的服務(wù)以及他們的安全特性，開放這些服務(wù)，并將所有其他末列入的服務(wù)排斥在外，禁止訪問 。 3． 防火墻系統(tǒng)的功能 (1)保護易受攻擊的服務(wù) 。 (3)集中化的安全管理 。 (5)對網(wǎng)絡(luò)訪問進行日志記錄和統(tǒng)計 。 (2)不能防范不通過它的連接（繞過防火墻）或者來自內(nèi)部的攻擊 。 (4)不能防范病毒。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設(shè)計（論文） 22 第四章 電子商務(wù)安全協(xié)議 安全的超文本傳輸協(xié)議 SHTTP 是對 HTTP 擴充安全特性、增加了報文的安全性，它是基于 SSL 技術(shù)的。安全HTTP（ SHTTP）是 HTTP 的擴展，它提供了多種安全功能，包括客戶機與服務(wù)器認證、加密、請求 /響應(yīng)的不可否認等。如果主頁的 URL 為 全超文本傳輸協(xié)議。客戶機和服務(wù)器都可指定某個安全功能為必需（ Required）、可選（ Option）還是拒絕（ Refused）。 SSL 安全協(xié)議 1． SSL 的含義 SSL 安全協(xié)議最初是由網(wǎng)景公司設(shè)計開發(fā)的，又叫安全套接層 (Secure Sockets Layer)協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全 系數(shù)，實現(xiàn)兼容瀏覽器和服務(wù)器（通常是 WWW 服務(wù)器）之間安全通信的協(xié)議。在開始交換的信息中，雙方確定將使用的安全級別并交換數(shù)字證書。 SSL 支持的客戶機和服務(wù)器間的所有通訊都加密了，竊聽者得到的是無法識別的信息。 (2)在會話過程中采用專用密鑰 。 4． SSL 安全協(xié)議的三個的特性 (1)認證用戶和服務(wù)器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務(wù)器上。 (3)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。一般選用 RSA 密碼算法。 (4)檢驗階段，檢驗服務(wù)器取得的密碼 。 (6)結(jié)束階段，客戶與服務(wù)器之間相互交換結(jié)束的信息。 （ 2） 客戶首先尋找商品信息，然后匯款給商家，商家再把商品寄給客戶。 （ 4） 信息對商家是全透明的。目前美國可以使用 128比特的安全套接層加密技術(shù)，但出口的算法的密鑰一般只有 40 比特，它的安全性顯然比 128 位的要差得多。 它是面向 B2C 模式的，完全針對信用卡來制定，對消費者、商戶、收單行進行認證。 2． SET 協(xié)議的作用 (1)個人賬號信息與訂單信息的隔離。 (3)對交易者的身份進行確認和擔保。 (5)統(tǒng)一協(xié)議和報文的格式。 3． SET 安全協(xié)議運行的目標 (1)保證信息在因特網(wǎng)上安全傳輸。客戶的資料加密或打包后通過商家到達銀行，但是商家不能看到客戶的賬戶和密碼信息。 (4)保證了網(wǎng)上交易的實時性，使所有的支付過程都是在線的． (5)效仿 EDI 貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠 家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 (2)將兩類密鑰 (Private Key 和 public Key)的字長增加到 5l2 至 2048 字節(jié) 。 SET 與 SSL 比較 1．相對于 SSL 協(xié)議來說， SET 更為安全。 SSL 則被大部分瀏覽器內(nèi)置，相對較便宜。 浙 江工業(yè)大學浙西分校信電系畢業(yè)設(shè)計（論文） 25 結(jié) 束 語 電子商務(wù)面臨的安全威脅主要有信息泄露、信息篡改、信息假冒、交易抵賴、信息破壞等，從而對電子商務(wù)的安全提出了保密性、完整性、鑒別性、可靠性和不可抵賴性等方面的需求。 為了保證交易過程中數(shù)據(jù)來源的可靠、傳輸安全、不被篡改并且能為交易各方的行為提供均可抵賴的證據(jù)，在實際應(yīng)用中采用了電子商務(wù)安全協(xié)議標準， 以及采用安全技術(shù)是相當重要的?；厥兹甑膶W習生活，浙西分校給我留下了無數(shù)美好的回憶，令我終生難忘 。 本論文是在高級工程師 高潮、助教張瑩的指導下完成的。首先向老師們致以衷心的感謝 。格林斯坦托德 1