毕业设计电子商务文献综述

中国计量学院本科毕业设计（论文）

文献综述

题目：

电子商务安全交易方案的设计与实现

学生姓名：汤卓铭学号：0400307133专业：计算机科学与技术

班级：04计算机(1)班

指导教师：雷凌

二级学院：信息工程学院

2008年3月19日

电子商务安全交易方案的设计与实现

文献综述

摘要本文在阅读相关文献的基础上，总结了电子商务的发展历程，指出电子商务的安全隐患，然后针对电子商务实际应用中常见的三种安全技术展开论述。

关键词电子商务安全交易软键盘验证码 MD5

一、前言

电子商务从产生至今都离不开安全的考虑。在电子商务给越来越多的商家带来巨大利润的同时，它的安全问题也经受越来越大的考验。网上交易给买家带来方便，足不出户便可购买商品，对卖家来说，又有了一个很大的潜在市场，全世界的人都有可能成为客户。与此同时，电子商务也给破坏者可承之机，由于电子商务交易平台的特殊性，网络上本身就充满了木马、蠕虫病毒等安全问题，电子商务网站很自然成为攻击目标。保证电子商务的交易安全无疑是十分重要的，它关系到所有商家客户的切身利益。本文在阅读与电子商务相关的文献的基础上，对电子商务的产生、现状和发展及电子商务的安全技术进行学习、总结与研究。

二、电子商务发展

关于电子商务的产生和发展在《电子商务的信息安全技术研究》一文中有详细的论述。通常我们理解的电子商务是指在互联网上完成的交易。例如网上购物，网上课堂。电子商务至今没有一个统一的概念，比较权威的是1997年在世界电子商务会议上的定义：电子商务（ELECTRONIC COMMERCE），是指对整个贸易活动实现电子化。从涵盖范围方面可以定义为：交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易；从技术方面可以定义为：电子商务是一种多技术的集合体，包括交换数据（如电子数据交换、电子邮件）、获得数据（共享数据库、电子公告牌）以及自动捕获数据（条形码）等。

电子商务是在五个条件下产生的：计算机的高速发展，网络的普及应用，信用卡的广泛应用，电子安全交易协议的制定和政府的有力支持【1】。根据电子商务的定义，要使贸易活动电子化，电子商务必定是建立有相关技术的基础上的。计算机的发展，网络和信用卡（如今在国内更多的是银联卡）的普及和安全交易协议是电子商务发展起来的必要条件，但并不是充份条件。电子商务的发展还与政府的支持，法律的保护，人的道德素质有密切关系。

我国电子商务的发展较西方国家而言是相对较慢。在西方国家给出了电子商务的定义后，1998年我国电子商务才正式进入起步阶段。我国电子商务起步虽晚，但发展确实很快。去年年底，阿里巴巴在香港上市引起我们对电子商务的极大关注。

三、电子商务安全隐患

电子商务的发展前景是如此诱人，电子商务存在的安全隐患同样令人关注。电子商务安

全从整体上可分为两大部分：计算机网络安全和商务交易安全【2】。也就是说，网络与商务过程中都会产生安全隐患。

网络的安全隐患是指互联网本身就存在的安全威胁，例如网络篡改，拒绝服务攻击，木马和网络仿冒【3】。电子商务发展在其基础上，自然也继承了这些缺点。对于在网上交易的人来说，网络不安全就等于交易场地四面埋伏，交易安全失去基本保障，交易风险高，这也是大型企业迟迟不肯接受电子商务的重大原因。要实现网络的完全安全必须达到客户端安全，服务器安全，操作系统安全，数据库安全，中间件安全和网络安全【4】。

综合分析得出，商务过程中的安全隐患是指传统商务在互联网络上应用时，假设计算机网络是安全的情况下所存在的安全隐患问题。例如，传统商务过程存在欺骗问题，在网络上这种欺骗以网络独有的形式呈现，由于买方目前只能通过人为的评分、卖方上传的照片等数据来衡量一次交易的可信度。要实现商务过程安全必须保证电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性【1】。

四、电子商务安全技术

交易的安全性是发展电子商务的核心和关键问题。针对电子商务的安全隐患问题，在实际应用中广泛使用防火墙技术，代理服务器技术等安全技术来保障网络安全。由美国VISA 和Mastercard国际组织等在1997年联合制定的SET(Secure Electronic Transfer Protocol，即电子安全交易协议)保障电子商务交易的安全，它的核心是确保商家和客户的身份认证和交易行为的不可否认性，通过数字证书确保商家和客户的合法性，采用双重性签名技术保证客户交易信息的保密性和完整性。

目前，普遍采用多种安全技术相结合来保障电子商务的安全。据调查显示，五种常用的支付工具（包括快钱、支付宝、财付通、网付通和安付通）在登陆时都设有验证码，以防有人使用特定的程序进行暴力破解【5】。验证码产生至今不超过六年时间，却经历一系列变化，从一开始只是一组随机数，到包含随机数字的图片，如今的验证码在内容、形式上有了更大的改变。如今的验证码不仅仅是包含随机数字，随机字母的图片，还可以是包括随机的汉字的图片。图形验证码的字体一般经过扭曲变形，并且添加许多干扰，以增加破解难度。除了图片形式，还出现了一种录音形式，通过收听一段夹杂噪音的录音来输入验证码。目前有人利用数字图像处理技术来对图形验证码进行反识别，因此验证码的技术也必需不断地改进。有人提出了两种改进方法：针对通过计算很难识别相连字符，因此有人提议将两个字符串叠加在一起以增加程序识别的难度，又不会影响用户识别。另一种是改进是采用非文字型的验证码。通过建立图库，用户通过识别随机出来的图片上内容来再在下拉框中进行选择。无论如何，验证码在防范暴力攻击上确实起了重要作用，它不是因为电子商务而产生，但它在一定程序上保障了电子商务的安全。

另一种解决登陆安全的方法是软键盘。中国农业银行和建设银行都采用软键盘进行密码输入，以防止木马通过捕获键盘事件来获取用户敲击键盘输入的密码。其他一些银行或密码的输入更多是使用安全控件来进行保护，但是ActiveX是安全控件的主要技术，缺点是离开了微软操作系统和Internet Explorer网上银行就不能登陆了。另一方面使用系统自带的软键盘按键顺序不改变，木马同样可以轻易获取输入信息。软键盘使用JavaScript实现，可使按键顺序随机改变，不易被截取，还可以运行在不同的浏览器中。缺点是基于脚本语言是由客户端解释执行的，可能会导致数据不准确。

保障交易安全的技术中关键是使用散列函数对信息进行加密。MD5（Message Digest）是一种常用的散列函数，它可以将任意长度的消息通过转化得到一个128位的摘要。只要消