B2C电子商务用户信息安全问题分析及建议
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信 息安 全 是 指 由于各 种 原 因引起 的信 息泄 露 、 信 息 丢 失 、 息 篡 改 、 息 虚 假 、 息 滞 后 、 息 不 完 善 信 信 信 信 等, 以及 由此 带来 的风 险 。从 上世 纪 9 0开 始 出现 电子 商务 模式 , 国 的电子 商务取 得 了快速 发展 。 电子 商 我 与 务发 展 的同 时 , 息安 全 问题 也一 直存 在 , 信 而且 问题 的 形 式 也在 不 断变化 。 21 0 1年底 , 电子商 务 企业 就发 生 了一 系 列用 户 信 息泄 露 的事件 :
o nf r a i n Se ur t f I o m t o c iy
YANG a f n Xio—e g
( h n iAr h t cu a l g , i u n 0 0 0 ,Ch n S a x c i t r lCol e Ta y a 3 0 6 e e i a)
s c rt . e u iy K e r s: C , — om m e c us r i f r a i y wo d B2 e c r e, e n o m ton, e urt p o e s s c iy, r blm
1 我 国 电子 商 务 用 户 信 息 的 安 全 状 况 介 绍
* * 杨 晓峰 , ,9 9年 生 , 士 , 究方 向 : 男 17 硕 研 电子 商 务 。
第 2 5卷
第 9 期
电 脑 开 发 与 应 用
商 务 网 站 中 , 东 、 当都 属 于大 型 B C 电子 商务 网 京 当 2
库 中 。当用 户 知道 MD5值 的 时候 可 以查 找 数据 库 中
所 以简 单 较短 的密码 做 MD5运算 时起 不 到任 何 保 密 作用 的 ( HA一 算 也是 一样 起 不 到保 密 作用 ) S 1运 。 但是 , 过长 的 密码显 然 又不 利于 用户 记忆 。 何提 高密 如 码 的抗 破解 能 力 , 又方 便用 户不 用记 忆过 长 的密码 呢 ?
站 , 些 网站 的用户信 息真 实可靠 , 这 而且有 的账 户 中可 能还 有 资金 可 以使用 。黑客设 法获 取这些 用户 信息 和
资金 的根本 的原 因就是利 益 。
的 MD5 S ( HA一 ) , 果 MD5 S 1值 如 (HA— ) 存在 , 么 1值 那
就 能获 取相 应 的密码 原 文 。
i f r a i n Th o g h n l ss o u r n s r i f r t n s o a e h s p p r u e a i t f s c rt n o m to . r u h t e a a y i f c r e t u e n o ma i t r g ,t i a e s s a v re y o e u iy o
( )如 果用 户 账户 中有 资金 , 客 破解 用 户 密 码 1 黑
后 , 可轻 易 盗取 ; 便
( )黑 客还 可 以将这 些盗取 的信 息 出卖 给垃圾 邮 2 件、 垃圾 短信 发送 公 司 , 以获得报 酬 ; ( )黑 客 根据 获 取 的用 户 信息 , 测 用户 的密 码 3 猜 编 写 习惯 , 图破 解 用 户 的 QQ 账号 , 戏账 号 , 付 试 游 支
Ab t a t Us r I o ma i n s c rt s a mpo t ntpa t o he B2 e c m me c e u iy. t n s r c : e nf r to e u iy i n i r a r f t C — o r e s c rt At he e d of 2 01 1,t C - omme c usn s s r i f ・ a i e ka e,ld t e o s d r ton ab utt e s c r t fus r he B2 e c r e b i e s u e n a m ton la g r e o r c n i e a i o h e u iy o e
me s e a ur s, am i g t o i n a h w t mpr e he oi ov t B2 C e c m me c u e i f r to s f t nd -o r e s r n o ma i n a e y a put f r r s me s o wa d o pr c ia ol to a tc ls u i ns。usng PHP o a hi v .Hop o be a e t n r a e t e ibiiy oft e u e ’ nf ma i n i t c e e e t bl o i c e s he r la lt h s r S i or to
* 国内著 名 的 电 子商 务 网 站 当 当 网存 在严 重 系 统漏 洞 , 人用 户轻 易就可 以抓 取到 总共 4 0 个 0 0多万 个 当 当用 户 的姓 名 、 系 方 式 、 址 等 个人 详 细 资料 ( 联 地 南
方 日报 ) ;
* 支 付 宝 被 泄 露 的 用 户信 息 总量 达 15 0万 ~ 0 25 0 之多 , 露 的 信 息 只 限支 付 宝用 户 的账 号 , 0 万 泄 没
3 1 加 强用户 密码 的保护 。 .
环 冗 余 校 验 运算
¥sr t2一 md ( t1 ;/执 行 MD5数 据 摘 要 运 算 5 ¥sr ) /
B C 电 子 商务 用 户 信 息 安 全 问 题 分 析 及 建 议 2
文 章 编 号 :0 35 5 (0 2 0 —0 20 10 —8 0 2 1 ) 90 5 —3
B C 电子 商务 用 户 信 息 安全 问题 分 析及 建 议 2
杨 晓峰
( 山西 建 筑 职业 技术 学 院 , 原 太 000) 30 6
以上 ) 实现 如下 :
¥sr tl— C C 2 ¥p s w r ) / R 3 ( a s o d ; /对 密 码 执 行 C C 2循 R 3
本 文 主要 从 B C电子 商 务 网站 程 序 设 计 角度 出 2 发 , 谈 提高 电子 商务 的用户信 息安全 的方法 。 谈 从 21 0 1年底 的 B C电子商 务 网站 泄露用 户 信息 2 事 件 中 , 过分 析 , 客对用 户 的密 码和用 户其 他信息 经 黑 ( 电话 号码 , 号码 , mal都 很感兴 趣 。 了保 护用 QQ E i ) 为 户 信息 , 护 网站的信 誉 , 们必须 对 网站本身 做 出安 维 我 全 修 改 , 高用 户信息 的抗 破解能力 。 提
宝 账 号等 其 他账户 信息 。 如果破解 成 功 , 将获 得更 多 的
收益 ;
下 面 介 绍两 种 提 高密 码 安 全 系数 的几 种 做 法 , 且 使 并
用 P HP语 言 进行 了实 现 。
( )在 MD5运 算 之 前 加 人 S 1 HA一 1安 全 散 列 运 算 。 HA 1散列 运算 的 产生 长度 为 1 0bt S 一 6 i 的散 列值 , 然后 将 S HA一 1运算 的结 果再 进 行 MD5运 算 , 可 以 也 使 用 MD5的变 种 算 法进 行 加 密 [ 。利 用 穷 举 法穷 举 4 ] S HA一 算 结 果 难 度 很 大 , 1运 因此提 高 了 MD5的抗 破 解能 力 。这样 的好 处是 数据 库依 然保 存 的是 MD5值 , 不需 要 修 改数 据 库 中密 码 的字 段 长度 , 又增 加 了 密码 的破 解难 度 。P HP( HP P 4以上 ) 的实 现如 下 源自文库
等 ( 国财经 网 ) 中 ;
* 收稿 日期 :0 20 —8 修 回日期 :0 20— 6 2 1 —51 , 2 1—72
结 果 的关 键 时候 , 然有 人 去 盗取 电子商 务 网站 的 用 突 户信 息? 客利 用 自己掌握 的 网络攻击 技术 , 取 电子 黑 获 商务 网站用 户 的 资料 , 比如 : 户名 、 用 密码 、 邮箱 、 手机 号码 、 号码 , 竟 意欲何 为?此次 受 到攻 击 的 电 子 QQ 究
¥sr =s a ( as r) / tl h l ¥p swod ;/对 密 码 执 行 S HA一 全 散 1安
列 运 算
( )黑 客 也 可 以将 自己获 取 的数 据 库包 转 卖 , 4 从
中牟 利 。 黑 客 攻击 电子商 务 网站 的理 由很 多 , 电子 商 务面 临 巨大 的 挑 战 , 尤其 是 自身涉 及资 金管 理 的 B C电子 2
摘
要 : 户 信 息安 全是 B C电 子 商 务 安 全 中 的一 个 重 要 部 分 。2 1 用 2 0 1年底 , 2 电子 商 务 企 业 用 户 的信 息 泄 露 , BC 引发 了对 用 户
信 息安全的再度思考 。 通过分析现 阶段用户信 息保存方 式 , 综合运用 多种安全手段 , 针对如何提高 B C电子商务用户信息安全提 出 2
有密码 ( 浪财 经 ) 新 。
2 电子 商务 信 息 安全 问题 分 析
电子商 务 的用 户 安 全 问题 爆 发 以前 , 全 隐 患就 安
一
直存在 , 为什么在 电子商务 发展 了多 年 , 即将 开 花 在
* 京东 商 城 在 某些 业 务 上 存 在 用 户权 限控 制 不 当的漏 洞 , 导致 使用 任意 用户 登录 系统后 , 可 以正 常 都 访 问 到所有 用 户 的信 息 , 包括 : 姓名 、 地址 、 电话 、 ma E i l
¥sr 一md ( t1 ;/执 行 MD5数 据 摘 要 运 算 t2 5 ¥sr )/
( )在 MD5运 算 之前 加人 C 3 2 RC 2运算 , 后 将 然 C 3 运 算 的结果 再 进行 MD5运算 。这 样 的好处 是 RC 2 数 据 库 依 然 保 存韵 是 MD5值 , 不需 要 修 改数 据 库 中 密码 的字段 长度 。在 破解 了 MD5运算 的原 文之后 , 也 只能 得 到密 钥 C 3 RC 2运 算 的 结果 , 于 C 3 由 RC 2运 算 的结 果 和原 文之 间没 有很 强 的一 一对 应 关 系 , 以逆 所 推 C C3 R 2的结 果很难 得 到密 码原 文 , 因此增 加 了密码 安全 性 , 而且 运算 强度 要 小于第 1种 方法 。 HP P 4 P ( HP
一
些实际解决方法 , 并且 使用 P HP进行 了实现。希望能够增加用户信息安全 的可靠程度 。
关 键 词 : 2 电子 商 务 , 户 信 息 , 全 , B C, 用 安 问题
中 图 分 类 号 . P 9 . 8TP 0 . T 3 30 , 39 2 文献标识码 : A
Ana y i n c m m e l s s a d Re o nda i ns o C Co m e c e s to f B2 E- m r e Us r
商务 网站 , 安全 问题更 为严重 。
3 提 高 B2 电子 商 务用 户 信 息 安 全 的 C
建 议
B C 电子 商务 面对 的挑 战很 多 , 全 方面 的 挑 战 2 安 更为巨大; 如果 用户 信 息不 安 全 , 户 担心 信 息泄 露 , 用
而 不愿 意 通过 B C 电子 商务 网站进行 交易 。 2
o nf r a i n Se ur t f I o m t o c iy
YANG a f n Xio—e g
( h n iAr h t cu a l g , i u n 0 0 0 ,Ch n S a x c i t r lCol e Ta y a 3 0 6 e e i a)
s c rt . e u iy K e r s: C , — om m e c us r i f r a i y wo d B2 e c r e, e n o m ton, e urt p o e s s c iy, r blm
1 我 国 电子 商 务 用 户 信 息 的 安 全 状 况 介 绍
* * 杨 晓峰 , ,9 9年 生 , 士 , 究方 向 : 男 17 硕 研 电子 商 务 。
第 2 5卷
第 9 期
电 脑 开 发 与 应 用
商 务 网 站 中 , 东 、 当都 属 于大 型 B C 电子 商务 网 京 当 2
库 中 。当用 户 知道 MD5值 的 时候 可 以查 找 数据 库 中
所 以简 单 较短 的密码 做 MD5运算 时起 不 到任 何 保 密 作用 的 ( HA一 算 也是 一样 起 不 到保 密 作用 ) S 1运 。 但是 , 过长 的 密码显 然 又不 利于 用户 记忆 。 何提 高密 如 码 的抗 破解 能 力 , 又方 便用 户不 用记 忆过 长 的密码 呢 ?
站 , 些 网站 的用户信 息真 实可靠 , 这 而且有 的账 户 中可 能还 有 资金 可 以使用 。黑客设 法获 取这些 用户 信息 和
资金 的根本 的原 因就是利 益 。
的 MD5 S ( HA一 ) , 果 MD5 S 1值 如 (HA— ) 存在 , 么 1值 那
就 能获 取相 应 的密码 原 文 。
i f r a i n Th o g h n l ss o u r n s r i f r t n s o a e h s p p r u e a i t f s c rt n o m to . r u h t e a a y i f c r e t u e n o ma i t r g ,t i a e s s a v re y o e u iy o
( )如 果用 户 账户 中有 资金 , 客 破解 用 户 密 码 1 黑
后 , 可轻 易 盗取 ; 便
( )黑 客还 可 以将这 些盗取 的信 息 出卖 给垃圾 邮 2 件、 垃圾 短信 发送 公 司 , 以获得报 酬 ; ( )黑 客 根据 获 取 的用 户 信息 , 测 用户 的密 码 3 猜 编 写 习惯 , 图破 解 用 户 的 QQ 账号 , 戏账 号 , 付 试 游 支
Ab t a t Us r I o ma i n s c rt s a mpo t ntpa t o he B2 e c m me c e u iy. t n s r c : e nf r to e u iy i n i r a r f t C — o r e s c rt At he e d of 2 01 1,t C - omme c usn s s r i f ・ a i e ka e,ld t e o s d r ton ab utt e s c r t fus r he B2 e c r e b i e s u e n a m ton la g r e o r c n i e a i o h e u iy o e
me s e a ur s, am i g t o i n a h w t mpr e he oi ov t B2 C e c m me c u e i f r to s f t nd -o r e s r n o ma i n a e y a put f r r s me s o wa d o pr c ia ol to a tc ls u i ns。usng PHP o a hi v .Hop o be a e t n r a e t e ibiiy oft e u e ’ nf ma i n i t c e e e t bl o i c e s he r la lt h s r S i or to
* 国内著 名 的 电 子商 务 网 站 当 当 网存 在严 重 系 统漏 洞 , 人用 户轻 易就可 以抓 取到 总共 4 0 个 0 0多万 个 当 当用 户 的姓 名 、 系 方 式 、 址 等 个人 详 细 资料 ( 联 地 南
方 日报 ) ;
* 支 付 宝 被 泄 露 的 用 户信 息 总量 达 15 0万 ~ 0 25 0 之多 , 露 的 信 息 只 限支 付 宝用 户 的账 号 , 0 万 泄 没
3 1 加 强用户 密码 的保护 。 .
环 冗 余 校 验 运算
¥sr t2一 md ( t1 ;/执 行 MD5数 据 摘 要 运 算 5 ¥sr ) /
B C 电 子 商务 用 户 信 息 安 全 问 题 分 析 及 建 议 2
文 章 编 号 :0 35 5 (0 2 0 —0 20 10 —8 0 2 1 ) 90 5 —3
B C 电子 商务 用 户 信 息 安全 问题 分 析及 建 议 2
杨 晓峰
( 山西 建 筑 职业 技术 学 院 , 原 太 000) 30 6
以上 ) 实现 如下 :
¥sr tl— C C 2 ¥p s w r ) / R 3 ( a s o d ; /对 密 码 执 行 C C 2循 R 3
本 文 主要 从 B C电子 商 务 网站 程 序 设 计 角度 出 2 发 , 谈 提高 电子 商务 的用户信 息安全 的方法 。 谈 从 21 0 1年底 的 B C电子商 务 网站 泄露用 户 信息 2 事 件 中 , 过分 析 , 客对用 户 的密 码和用 户其 他信息 经 黑 ( 电话 号码 , 号码 , mal都 很感兴 趣 。 了保 护用 QQ E i ) 为 户 信息 , 护 网站的信 誉 , 们必须 对 网站本身 做 出安 维 我 全 修 改 , 高用 户信息 的抗 破解能力 。 提
宝 账 号等 其 他账户 信息 。 如果破解 成 功 , 将获 得更 多 的
收益 ;
下 面 介 绍两 种 提 高密 码 安 全 系数 的几 种 做 法 , 且 使 并
用 P HP语 言 进行 了实 现 。
( )在 MD5运 算 之 前 加 人 S 1 HA一 1安 全 散 列 运 算 。 HA 1散列 运算 的 产生 长度 为 1 0bt S 一 6 i 的散 列值 , 然后 将 S HA一 1运算 的结 果再 进 行 MD5运 算 , 可 以 也 使 用 MD5的变 种 算 法进 行 加 密 [ 。利 用 穷 举 法穷 举 4 ] S HA一 算 结 果 难 度 很 大 , 1运 因此提 高 了 MD5的抗 破 解能 力 。这样 的好 处是 数据 库依 然保 存 的是 MD5值 , 不需 要 修 改数 据 库 中密 码 的字 段 长度 , 又增 加 了 密码 的破 解难 度 。P HP( HP P 4以上 ) 的实 现如 下 源自文库
等 ( 国财经 网 ) 中 ;
* 收稿 日期 :0 20 —8 修 回日期 :0 20— 6 2 1 —51 , 2 1—72
结 果 的关 键 时候 , 然有 人 去 盗取 电子商 务 网站 的 用 突 户信 息? 客利 用 自己掌握 的 网络攻击 技术 , 取 电子 黑 获 商务 网站用 户 的 资料 , 比如 : 户名 、 用 密码 、 邮箱 、 手机 号码 、 号码 , 竟 意欲何 为?此次 受 到攻 击 的 电 子 QQ 究
¥sr =s a ( as r) / tl h l ¥p swod ;/对 密 码 执 行 S HA一 全 散 1安
列 运 算
( )黑 客 也 可 以将 自己获 取 的数 据 库包 转 卖 , 4 从
中牟 利 。 黑 客 攻击 电子商 务 网站 的理 由很 多 , 电子 商 务面 临 巨大 的 挑 战 , 尤其 是 自身涉 及资 金管 理 的 B C电子 2
摘
要 : 户 信 息安 全是 B C电 子 商 务 安 全 中 的一 个 重 要 部 分 。2 1 用 2 0 1年底 , 2 电子 商 务 企 业 用 户 的信 息 泄 露 , BC 引发 了对 用 户
信 息安全的再度思考 。 通过分析现 阶段用户信 息保存方 式 , 综合运用 多种安全手段 , 针对如何提高 B C电子商务用户信息安全提 出 2
有密码 ( 浪财 经 ) 新 。
2 电子 商务 信 息 安全 问题 分 析
电子商 务 的用 户 安 全 问题 爆 发 以前 , 全 隐 患就 安
一
直存在 , 为什么在 电子商务 发展 了多 年 , 即将 开 花 在
* 京东 商 城 在 某些 业 务 上 存 在 用 户权 限控 制 不 当的漏 洞 , 导致 使用 任意 用户 登录 系统后 , 可 以正 常 都 访 问 到所有 用 户 的信 息 , 包括 : 姓名 、 地址 、 电话 、 ma E i l
¥sr 一md ( t1 ;/执 行 MD5数 据 摘 要 运 算 t2 5 ¥sr )/
( )在 MD5运 算 之前 加人 C 3 2 RC 2运算 , 后 将 然 C 3 运 算 的结果 再 进行 MD5运算 。这 样 的好处 是 RC 2 数 据 库 依 然 保 存韵 是 MD5值 , 不需 要 修 改数 据 库 中 密码 的字段 长度 。在 破解 了 MD5运算 的原 文之后 , 也 只能 得 到密 钥 C 3 RC 2运 算 的 结果 , 于 C 3 由 RC 2运 算 的结 果 和原 文之 间没 有很 强 的一 一对 应 关 系 , 以逆 所 推 C C3 R 2的结 果很难 得 到密 码原 文 , 因此增 加 了密码 安全 性 , 而且 运算 强度 要 小于第 1种 方法 。 HP P 4 P ( HP
一
些实际解决方法 , 并且 使用 P HP进行 了实现。希望能够增加用户信息安全 的可靠程度 。
关 键 词 : 2 电子 商 务 , 户 信 息 , 全 , B C, 用 安 问题
中 图 分 类 号 . P 9 . 8TP 0 . T 3 30 , 39 2 文献标识码 : A
Ana y i n c m m e l s s a d Re o nda i ns o C Co m e c e s to f B2 E- m r e Us r
商务 网站 , 安全 问题更 为严重 。
3 提 高 B2 电子 商 务用 户 信 息 安 全 的 C
建 议
B C 电子 商务 面对 的挑 战很 多 , 全 方面 的 挑 战 2 安 更为巨大; 如果 用户 信 息不 安 全 , 户 担心 信 息泄 露 , 用
而 不愿 意 通过 B C 电子 商务 网站进行 交易 。 2