实验名称：电子商务安全技术

2010081126 吕吕

一、实验目的：

通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。

二、实验内容：

（1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。 要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。

答: 电子商务安全的协议有：

PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团 CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障 W eb 站点上的信息安全。S-HTTP 被设计为作为请求 /响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得 S-HTTP 与 SSL 有了本质上的区别，因为 SSL 是一种会话保护协议。S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。

安全套接层协议（SSL）: SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在 TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。

安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\

电子商务安全的措施有：

加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密性。

数字签名： 数字签名如同手写签名,在电子商务中有如下优点:（1) 发送者事后不能否认自己发送的报文签名。（2) 接受者能够核实发送者发送的报文签名。

（3) 接受者不能伪造发送者的报文签名。（4) 接受者不能对发送者的报文进行篡改。

（5) 交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。

数字时间戳：数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名

数字证书：数字时间戳(DTS ,Digital time-stamp) ,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名

安全协议技术：目前常用的安全协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。SSL 协议是由Netscape公司提出的安全交易协议，该协议主要目的是解决T C P /I P 协议不能确认用户身份的问题，在Socket 上使用非对称的加密技术，以保证网络通信服务的安全性。4SET是由Visa 和MasterCard 两大信用卡公司联合IBM, Microsoft, GTE ,Verisign , SA IC等公司与19xx年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X . 5 0 9 数字证

书标准，主要应用于保障网上购物信息的安全性。

（2）访问不同类型的电子商务站点，上网搜集相关资料，了解国内网上支付在安全方面的解决方案。

答：目前中国所有电子支付服务提供商都还是使用简单的用户名 / 密码认证机制，虽然某些电子支付服务提供商增加了一个安全控件，但还是存在以下两大严重安全问题：

(1)用户的身份认证问题：由于涉及到资金问题，越来越多的黑客和木马软件就盯上了电子支付服务，而电子支付服务提供商现有的用户登录系统是简单的用户名 / 密码单一认证机制，可以说毫无安全性可言，非常容易被非法窃取而导致用户的资金被盗。

(2)电子邮件泄密问题：由于电子支付服务提供商的电子支付服务的原理是通过电子邮件通知来收款和付款的，而电子邮件在互联网上是明文传输的，非常容易被非法窃取，而一旦用户的电子邮件内容被非法窃取，则此笔交易款就极有可能也非常容易被非法盗走。

由于以上两大问题，就开始采用“双重认证 (two-factor authentication) ”技术来解决电子支付的在线身份盗窃问题，其实就是使用用户的个人数字证书来实现安全的身份认证和电子邮件加密。 具体解决方案是：

(1)电子支付服务提供商为每个用户颁发一个全球通用的个人数字，证书用于登

录电子支付服务系统的真实身份认证和用于每个交易的数字签名，从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。

(2)由于每个用户都有全球通用的个人数字证书，不仅可以用于身份认证快速安全登录电子支付服务系统，还可以用于电子邮件数字签名和电子邮件内容加密，所有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的，只有用户本人使用其个人数字证书才能阅读，而其他人即使在电子邮件服务器端或电子邮件传输过程中非法窃取电子邮件支付内容。

数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。

（3）进入阿里巴巴电子商务站点，浏览，查阅，体验站点的安全机制和支付功能。 总结阿里巴巴电子商务站点的安全机制和支付机制。

答：阿里巴巴电子商务安全机制：

1. 数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措 施．其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输，从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。

(1)对称密钥加密 (SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快，适合于对大量数据进行加密，能够保证数据的机密性和完整性；缺点是当用户数量大时，分配和管理密钥就相当困难。

(2) 非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密，它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理，缺点是算法复杂，加密速度慢。

(3)复杂加密技术。由于上述两种加密技术各有长短，目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密，生成的密文后再用接收方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接收方，接收方按相反方向解密后得到明文。

2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。

3. 认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行，所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方，用以证实交易双方的身份，数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中，参与方必须利用认证中心签发的数字证书来证明自己的身份。

4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系，给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。

阿里巴巴支付机制： 阿里巴巴，作为家喻户晓的电子商务网站，它的支付方式也同样的令人耳熟能详：支付宝，就是旗下提供的第三方支付平台，它保证了买卖双方交易的安全性与便捷性。尽管现在支付宝已经得到普及，但是相对那些有在网上购物的欲望但无法使用支付宝的人来说，邮局汇款、银行转账信用卡支付和网上银行支付无非是最好的选择。

（4）网上阅读资料，查看电子商务安全交易协议中SET中用到的双重签名技术的过程是如何的。

答：双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术，用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。

双重数字签名的实现步骤如下：

(1)信息发送者A对发给B的信息1生成信息摘要1。

(2)信息发送者A对发给C的信息2生成信息摘要2。

(3)信息发送者A把信息摘要1和信息摘要2合在一起，对其生成信息摘要3，并使用自己的私钥签名信息摘要3。

(4)信息发送者A把信息1、信息摘要2和信息摘要3的签名发给B，B不能得到信息2。

(5)信息发送者A把信息2、信息摘要1和信息摘要3的签名发给C，C不能得到信息1。

(6)B接收信息后，对信息1生成信息摘要，把这信息摘要和收到的信息摘要2合在一起，并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的签名进行验证，以确认信息发送者A的身份和信息是否被修改过。

(7)C接收信息后，对信息2生成信息摘要，把这信息摘要和收到的信息摘要1合在一起，并对其生成新的信息摘要，同时使用信息发送者A的公钥对信息摘要3的签名进行验证，以确认信息发送者A的身份和信息是否被修改过。

（5）以中国工商银行网上银行为例，描述在网银上操作，是如何保障安全的？包括从一登录到交易成功的整个过程。

答：网银登录过程：

客户端首先要安装网银颁发的数字证书，用于身份认证。进入https安全页面，在客户端产生对称密钥，用服务器的公钥进行加密（公钥由网银颁发的数字证书里获取），同时客户端把会话内容用所产生的对称密钥加密，传送时包括的内容为：银行的数字签名、加密的会话内容、加密的对称密钥。每次会话都通过这种方式保障安全。如果转账时，需要插入usbkey，usbkey里面的内容可以认为是客户端的私钥，相当于客户端秘密持有的信息，插入usbkey后，会把转账内容用客户端私钥加密，用于服务器端再次确认此转账信息是由客户端发出的，客户端不可否认。 由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。建设银行等已经采用有效密钥长度128位的高强度加密。

第二篇：电子商务安全实验报告A

安徽理工大学经济与管理学院实验报告

实验课程名称：  电子商务安全          20##年   12月   1日

安徽理工大学经济与管理学院实验报告

实验课程名称： 电子商务安全                   20##年  12 月   1日

安徽理工大学经济与管理学院实验报告

实验课程名称： 电子商务安全                  20##年  12 月   1日