电子商务安全教案

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇电子商务安全教案范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

电子商务安全教案范文第1篇

[关键词]电子商务 安全技术 交易安全

一、引言

电子商务是在Internet开放的网络环境下,实现消费者在线购物、企业之间的在线交易和网上电子支付的一种新型的交易方式。由于电子商务具有低成本、高效益、全球性等特点使其很快遍及全世界。电子商务已成为世界经济最具活力的增长点,它的应用将给社会和经济发展带来巨大的变革。然而,目前世界通过电子商务方式完成的贸易额只占同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的应用还依靠相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全问题是制约电子商务发展的最关键问题。

二、电子商务交易的安全威胁与安全需求

1.安全威胁。电子商务交易中,比较容易受到以下的安全威胁,这些安全威胁经常都会对电子商务造成非常严重的后果:一是交易信息的窃取与篡改,即网络交易中用明文传输的数据被非法入侵者截获并破译之后,进行非法篡改、删除或插入,使信息的完整性遭受破坏。二是信息的假冒,即网络非法攻击者通过假冒合法用户或者模拟虚假信息来实施诈骗行为。

2.安全需求。电子商务交易过程有以下的安全需求,分别是信息的保密性、完整性和不可否认性。电子商务信息的保密性,指的是信息不泄露给非授权用户、实体或过程,或供其利用的特性。电子商务信息的完整性,指的是数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。电子商务信息的不可否认性,指的是避免发生交易中的某一方在进行某种交易行为之后,否认自己曾经进行过该商务行为;或者某一方否认自己曾经接收到对方发出的交易信息。

三、电子商务交易的主要安全技术

1.加密技术是电子商务的最基本的安全技术。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。

(1)对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的最核心环节。目前常用的对称加密算法有DES、PCR、IDEA、3DES等。其中DES使用最常用,被国际标准化组织采用作为数据加密的标准。

(2)非对称密钥加密:非对称加密不同于对称加密,其密钥对被分为公开密钥和私有密钥。密钥对生成后,公开密钥对外公开,而私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被国际标准化组织的数据加密技术分委员会推荐为非对称密钥数据加密标准。

在对称和非对称两类加密方法中,对称加密的优点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截取,而且,若和大量用户进行通信,难以安全管理大量的密钥对,因此对称加密大范围应用存在一定问题。而非对称密钥则相反,其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,也不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称的缺点是加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。

2.身份认证技术。目前电子商务交易中仅有加密技术不足以保证交易安全,身份认证技术是保证电子商务安全的另一重要技术手段。身份认证的实现包括数字签名技术、数字证书技术等。

(1)数字签名技术

对信息加密只解决了信息传输过程中的保密问题,而防止他人对传输的信息进行篡改或破坏,保证信息的完整性,以及保证信息发送者对发送信息的不可抵赖性,需要采用其它的手段,这一手段就是数字签名。数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名,是不可伪造的。接收者能够验证文档确实来自签名者,并且签名后文档没有被修改过,从而保证信息的真实性和完整性。

目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。数字签名与书面文件签名有相同之处,采用数字签名,也能确认以下两点:信息是由签名者发送的;信息自签发后到收到为止未作过任何修改。目前数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。

(2)数字证书技术

在公共密钥体制中,私钥只有信息发送者知道,而与之匹配的公钥是公开的,它能保证传输信息的保密性,但没有解决公钥的分发方式。数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性。因此需要有一种措施来管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。这一措施就是数字证书。数字证书是一般由具有权威性、可信任性的第三方机构即认证机构CA所颁发。数字证书是公共密钥体制中的密钥管理媒介,并将公钥和实体身份信息绑定在一起,并包含认证机构的数字签名。数字证书在电子商务中用于公钥的分发、传递,证明电子商务实体身份与公钥相匹配。

四、总结

加密技术和身份认证技术是电子商务交易安全的基础技术,加密技术用于对信息的加密,保证信息的机密性。数字签名和数字信封技术应用了加密技术,建立在公共密钥体制基础上。数字签名技术对信息进行数字签名,保证信息的完整性和不可抵赖性。数字证书技术是对加密技术和数字签名进行支持的技术,用于管理公钥分发,保证公钥以及与公钥有关的实体身份信息的真实性。因此,电子证书必须由权威的第三方认证中心签发。

参考文献:

[1]赵书瑞 ,魏岳.基于SET的电子商务交易安全模式分析[J].商场现代化,2006,(06).

[2]王茜,杨德礼.电子商务的安全体系结构及技术研究[J].计算机工程,2003,(01).

电子商务安全教案范文第2篇

Abstract： The convenience of mobile e-commerce also brings new security issues， diversity of mobile devices and network environment cause safety of mobile e-commerce transaction more complex. This paper analyzes the mobile e-commerce transaction in the present， finding out the security problems and safety risks， and proposes some feasible solutions.

关键词： 移动电子商务；交易安全；电子商务安全

Key words： mobile e-commerce；transaction security；e-commerce security

中图分类号：F713.36 文献标识码：A 文章编号：1006-4311（2014）10-0196-02

1 移动电子商务发展背景

在基础网络建设上，随着3G移动网络的建设和4G牌照的发放（2013年12月4日），中国移动、中国联通、中国电信建成了较为成熟的3G网络，4G网络也正式商用且发展迅速，为使用者提供了便利、快速的移动上网体验。在网民数量上，截止2013年末中国网民数量6.04亿，手机网民达到4.64亿，手机超越台式电脑成为第一大上网终端，中国互联网已进入移动互联网时代。

据中国电子商务研究中心监测数据显示，截止到2013年12月，中国移动电子商务市场交易规模达到2325亿元，较去年的965亿元同比增141%，依然保持快速增长的趋势。预计到2014年这一数字有望达4124亿元。在庞大的交易规模和使用人群的前提下，移动电子商务交易安全研究有着重要的现实意义。

2 移动电子商务交易主要存在的安全威胁

2.1 无线链路威胁 由于移动通信过程中数据包大都采用明文或安全性较弱的加密传输方式，造成对无线设备进行窃听或破解较为容易，窃听或破解的成本也较低。在移动电子商务交易过程中传输的商品信息、支付信息、支付账号和密码、基于GPS的位置信息等易于被潜在攻击者通过适当的无线设备来窃听，由于无线信号的发散性和移动通信中的移动特征，攻击者的攻击行为也很难被发现。

2.2 通过公共场所WiFi联网造成的威胁 很多公共场所都提供免费的WiFi热点服务，考虑到数据流量费用和上网速度，消费者倾向于使用这类服务。绝大多数的公共WiFi环境缺少甚至毫无安全防护措施，任何人都可以加入，攻击者进入该免费WiFi以后，就会对网络中的其他用户进行嗅探，并截取网络中传输的数据，在这种情况下，移动用户在网络中传输的任何信息都完全暴露在攻击者眼前，攻击者通过专业软件可截获到各种用户名、密码、上网记录、交易记录、聊天记录及邮件内容。同时攻击者可以恶意篡改WiFi路由器的DNS地址，当用户访问正常网站时，浏览器会被指向非法恶意网址，甚至还会遭遇钓鱼网站及病毒的威胁。

2.3 移动硬件设备本身的问题 一方面，移动设备输入信息的效率较低，在使用过程中用户习惯选择记住密码，移动设备为了便携都设计的较为小巧且价值较高，容易丢失和被窃取，一旦设备被他人取得，就很容易在移动商务活动中伪装成真正的用户，并通过交易非法获得别人的财物；另一方面，电源续航时间成为移动设备使用的瓶颈，移动设备不适合进行大量计算，长时间传输大量数据会造成移动网络的拥堵，所以移动设备上不适宜长时间进行加密强度较大的通信。

2.4 移动设备病毒的威胁 目前，不论是笔记本电脑、上网本、Pad还是手机，安全性都受到病毒的威胁，在移动设备中，手机病毒的危害是最大的，手机病毒不仅破坏系统、损坏硬件、诈骗欺诈、恶意传播、流氓行为、远程控制、盗取支付账号、网银密码、游戏或社交网络中的虚拟财产或虚拟货币，甚至会消耗手机资费，窃取用户短信、通讯录、GPS位置数据等隐私信息，给手机用户造成财产或感情上的伤害。手机病毒传播途径主要为：第三方应用商店、手机论坛、ROM内置、手机资源站、网盘传播、二维码

传播。

2.5 信用问题 移动电子商务交易过程中有多个交易主体参与，其信用就转化为参与各方的信用。相对于欧美较为完善的信用体系，我国还未建成方便查询、覆盖全国人口的个人信用数据库。

2.6 法律、法规问题 电子商务给消费者购物带来方便的同时，也带来了消费欺诈、质量低劣等问题，网上侵犯知识产权和制售假冒伪劣商品、恶意欺诈、违法犯罪等问题不断发生，网络交易纠纷处理难度较大，产品、服务质量难以得到保证，没有良好的售后环节，网上购物维权困难等问题，在一定程度上影响了人们对移动电子商务发展的信心。

3 解决方案

3.1 采用WPKI技术 PKI（公钥基础设施）技术是保障有线通信中电子商务交易的重要手段，是一个包括硬件、软件、人员、政策和手续的集合，用来实现基于公钥密码体制的公钥身份证书产生、管理、存储、发行和作废等功能。WPKI（wireless PKI）技术满足移动电子商务交易安全的要求：真实性、完整性、保密性、不可否认性，消除了用户在交易中的风险。WPKI技术主要有：认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统，应用程序接口（API）。

3.2 运用端到端策略 移动电子商务中客户端设备种类较多，如笔记本电脑、上网本、Pad、手机等，各种设备上的操作系统、应用软件也不同，所以移动商务中的客户端环境复杂，造成安全性问题更加复杂，安全控制更加困难。移动电子商务中的端到端意味着保护数据传输中的每个环节，确保数据从发送点到最后目的地之间的传输通道是安全的，包括传输过程中的每个环节。

3.3 移动设备采用生物识别认证技术 生物识别技术就是，通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性（如指纹、脸象、虹膜等）和行为特征来进行个人身份的鉴定。移动设备的特性导致了输入效率较低，如使用安全性较高的强密码会给使用者带来不便，强密码也不易于记忆。现阶段，人脸识别和指纹识别技术已非常成熟并应用到移动设备中。生物识别极大的提高了账户的安全性，同时减少了用户输入密码的次数，减轻了记忆强密码的负担。如果让更多更安全的生物识别功能成为移动设备的标配，将大大提高移动电子商务的安全性。

3.4 完善法律、法规，加大对移动电子商务违法行为的打击力度 要加快对移动商务行业的监管，建立部门间电子商务监管协调配合机制，督促网络经营主体特别是网络交易平台切实履行责任，守法经营，加强自律，维护移动商务市场秩序。加大对利用移动网络平台进行商业欺诈、侵犯个人隐私、侵犯商业机密、虚假违法广告、制造病毒、入侵计算机系统、入侵移动商务平台的打击力度。

3.5 提高员工、用户的安全防范意识 所有系统都是由人设计和操作的，员工和用户对移动系统的安全性影响很大，如操作人员安全配置不当造成的安全漏洞、用户安全意识不强、用户口令选择简单、用户将自己的账号随意转借他人或与别人共享等，都会对移动网络安全带来威胁。

4 结束语

交易的安全性是移动电子商务发展的重要保障，无线通信的安全处在不断地发展和完善之中，应用到移动电子商中时要与其他的安全机制相结合才能满足实际应用的需要。一个安全的、令用户放心的移动电子商务环境需要由商家、用户、国家、移动设备制造商、移动运营商五个方面共同合作建立。

参考文献：

[1]赵江娜.电子商务交易安全的举措探析[J].电子商务，2014（1）.

[2]刘纪元.电子商务发展的新阶段——移动电子商务[J].学园，2013（1）.

电子商务安全教案范文第3篇

关键词 信息安全 能力 教学方法 突出问题

中图分类号：G424 文献标识码：A DOI：10.16400/ki.kjdkz.2015.03.058

E-commerce Security Course Teaching Methods Based on

Enhancing Core Competencies of Information Security

TANG Dequan

（IT （network monitoring） Department， Hu'nan Police Academy， Changsha， Hu'nan 410138）

Abstract In order to improve the information security professional complex， forward-looking and innovative type of ability， this paper from the perspective of curriculum reform in teaching methods， and start from the practical teaching system construction proposed information security professional e-commerce security teaching methods. This method focuses on the basic skills of information security professionals encountered during training， curriculum design and classroom practice three outstanding issues， the teaching method has achieved outstanding results in practical applications， great promotional value.

Key words information security; capacity; teaching methods; outstanding issues

0 引言

目前，电子商务在现代服务业和社会发展领域处于重要地位，而在电子商务体系，安全问题是我们所需考虑的首要条件，因此培养具有电子商务安全技术的人才显得至关重要。怎样建立安全可靠的电子商务应用环境才能保护信息安全，是目前电子商务安全研究的热门话题。①目前企业急需各类跨学科、具有实践经验、全面掌握电子商务安全专业技术人才。

电子商务安全课程是目前新出来综合性课程，综合了网络安全和信息安全知识基础上发展起来的电子商务应用领域的一门课程，是信息安全专业学生的一门必修主干课程。②电子商务安全传统的教学模式主要是基于课堂理论，学生对课堂知识感到抽象枯燥，教学目标很难达到、收效甚微，而且学生对目前电子商务安全课程方法、技术没有完全理解，实践操作不够理想。每次课堂上有实践操作的相关演示，但是到实际上机操作时候不能实际操作或没有达到实验目标。③因此，电子商务安全理论教学和实践教学方法亟需改革，有必要将理论主导教学的教育方式改变成适合电子商务安全课程未来建设的新模式，本文提出基于信息安全核心能力背景下电子商务安全课程教学方法。

1 基于信息安全的电子商务安全课程内容

信息安全和计算机网络安全的安全需求主要包括完整性、保密性、一致性、真实性和不可否认性。在电子商务实际应用中主要包括如何防范商业企业机密泄露及个人信息的泄露等问题。电子商务系统必须基于信息安全基础上并达到电子商务安全的要求的网络商务系统。必须有计算机网络安全，才能保证电子商务最低层的信息服务，计算机网络层是用户将信息传输到上层的基础及用户与计算机网络接入的基本交互式服务手段。网络服务层必须有相关安全机制，如：入侵检测、安全扫描、防火墙等来保证计算机网络的安全。另外，为了在应用层电子商务系统使用安全，必须利用网络加密技术和数字认证技术和电子商务安全协议，即构建安全的电子交易数据体系结构。其中，电子商务安全协议是加密技术和安全认证的综合运用和完善。

电子商务应用系统应具有较高的安全性能指标，用户对所信赖的电子商务安全肯定具有很高的可靠性和可用性。在人才培养是就需考虑建立一个完善的基于信息安全核心能力提升的人才培养模式，形成一个电子商务安全知识体系，在考虑如何达到课程目标的同时也要考虑如何满足电子商务应用人才的实际需求。④在信息安全基础上电子商务的安全内容主要包括计算机网络服务层、技术加密层、身份认证技术层、电子商务安全层、安全应用层。其中，上层主要以下层为基础的服务，同时下层为上层提供技术支持，整个内容之间相互关联的整体，并且在不同的信息安全技术控制下实现电子商务的安全模式。

2 电子商务安全教学方法改革

目前电子商务安全课程在教学过程中，学生对教材的知识缺乏主动理解和接受，学习的兴趣和主动性不高。因此要对现有以教学大纲为主要目标的方法进行改革，能让学生融会贯通理论知识，主动思考问题，具有理解分析解决实际问题能力。⑤本文提出电子商务安全课程在课堂讲授的进行：教师准备阶段，学生准备阶段，小组讨论阶段、集中讨论阶段和总结阶段。主要目的是使老师和学生在课堂上有较大的自我发挥空间。在教学法的五个阶段中，教师准备阶段和学生预备阶段是教学法中最为关键的环节。

教师准备阶段：教师准备是教学的第一环节，也是为明确教学目而准备，是有序进行教学组织与设计的基础。明确教学目标后，就应选择合适教学背景，教学背景应且具有高启发性素材，并且满足教学目标切合实际的教学案例。对选择的教学案例或素材还需要对及进行典型化处理，最后准备在课堂上提出让学生思考的问题，引导介绍学生学习相关资料，如图1所示。

图1 教师准备阶段 图2 学生预备阶段

学生预备阶段：课前让学生阅读典型化处理相关学习资料，老师指导学生查阅相关学习资料，让学生课前主动准备课堂讲授知识的信息，对老师提出的思考问题要求学生独立思考并形成初步的解决方法，学生预备阶段的流程如图2所示。

图3 小组讨论阶段 图4 课堂展示阶段

小组讨论阶段：首先根据学生人数将学生分为3到5人小组，然后在小组范围内自行组织讨论，再确定小组成员的任务分工，最后形成小组在课堂上展示方案，小组讨论阶段的流程如图3所示。课堂展示阶段：在时间控制在半个课时以内前提条件下各小组派代表对问题解决方案进行展示，其他小组对解决方法进行互动式提问和回答，这个过程需要教师加以正确引导，课堂展示流程如图4所示。老师总结阶段：老师总结出意见比较集中的问题，针对重点问题组织大家集中讨论，并提出引导性建议扩展深化学生对有疑虑问题的理解。

3 电子商务安全课程实践

传统的电子商务安全课程教学是以理论知识为中心的教育体系，对实践操作课程和技能的要求不高，很可能会导致学生在毕业后难以适应工作的要求，在现行教育模式中，用人单位也很难选择到合格的专业技术人才。⑥为此，本课题对信息安全专业开设的电子商务安全课程特点及开发合适的教学模式，尤其是如何建立创新性实践教学体系进行了研究，以教学目标为指导、以社会需求为导向，开发以学生就业为宗旨的高技能型人才培养模式，根据电子商务安全课程特点，将信息安全未来发展的创新技术运用到电子商务安全教学方法中，建立较为全面的以人才培养目标为基础的创新环境和教学模式。另外，本课程实践教学内容的要求是让学生对电子商务安全和信息安全的理论和实践联系建立一个全面的知识结构。通过实践环节设置，让学生了解电子商务安全加密技术及使用技能;了解电子商务邮件和数字签名的联系及作用;熟练掌握电子商务安全协议的设置;掌握PKI的应用及数字证书的申请、安装和使用流程;熟悉基本的电子支付工具的使用。本课程的为实现实践培养目标对实验教学进行合理的安排，具体实验项目如表1所示。

表1 电子商务安全实验项目一览表

4 结论

本文充分考虑了信息安全专业人才培养目标、岗位需求和前后续课程的衔接，以必需够用为度，统筹考虑和选取电子商务安全教学内容。以教、学、做相结合，强化学生能力培养，合理设计课堂教学、实训、练习等关键环节。以理论为引导，重点针对“怎么解决问题”为目标，做到深入浅出，让学生能够具有针对性地学习和掌握解决问题的能力。电子商务安全的相关知识涉及信息加密/解密、认证技术、网络安全协议、防火墙的构建、黑客病毒的防治等范围相当广泛的问题，需要我们构建一个合理的课程教学体系结构。

基金项目：湖南警察学院2014年度院级教学改革研究项目（湘警院教（2014）9号）;湖南省教育规划课题阶段性成果（警察信息素质教育理念及实战能力培养研究XJK013CXX012）

注释

① 朱建明，李洋.《电子商务安全》课程建设的体会[J].教育教学论坛，2012（9）：239-240.

② 王志伟.关于信息安全专业《电子商务安全》课程的教学研究[J].教育教学论坛，2012（20）：193-194.

③ 王伟军，甘春梅，刘羹，段钊.电子商务概论课程研究性教学方法的探索[J].高等理科教育，2011（4）.

④ 唐德权.电子商务安全（第1版）[M].武汉：华中科技大学出版社，2011.12.

电子商务安全教案范文第4篇

关键词：计算机安全技术；电子商务贸易；应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）17-0275-02

电子商务主要依托于计算机技术，它以信息网络技术作为有效进行贸易的手段，以商品交换为中心环节的商务活动。所以，充分发挥计算机技术的安全性能对电子商务贸易过程尤为重要，通过本文对计算机安全技术和电子商务的分析，发现电子商务存在的安全隐患，并找出解决办法，促进电子商务可以更好地发展。

1 计算机安全技术

计算机安全技术就是指维护计算机信息系统保持安全性的一种技术，目的就是为了防止外界对对信息系统的破坏和影响，以免造成信息的丢失和损毁，有效提高计算机信息系统的安全性能。

计算机安全技术的研究领域主要有两个方面：其一是防泄漏技术的研究；其二是系统安全技术的研究。防泄漏技术主要是指利用无线电技术将外界不利于计算机的部分与计算机自身的信息系统进行屏蔽和过滤，防止自身的信息系统因为自己的事物而遭到泄露。系统安全技术主要指的是保障系统的安全性能，增强对计算机安全问题的管理力度，采取各种措施创新和完善计算机信息系统的安全配置，对不利于计算机系统的内容时刻保持警惕，并进行有效防治，保障计算机安全技术可以正常工作。

计算机安全技术的主要内容可分为三部分：其一是操作系统安全；其二是数据库安全；其三是网络安全。其中网络安全是重中之重。操作系统安全就是指计算机操作过程中应当保持安全性，避免一些错误操作步骤的出现，时刻提醒操作者进行正确操作。计算机中蕴含的数据库信息有可能会遭到入侵和破坏，计算机安全技术就应当防止这一问题的发生，完善数据库信息的同时还要保证数据库不受到外界不良因素的影响，从而消除数据库存在的安全隐患。网络安全一直是人们最为关注的问题，网络具有多样性、复杂性等多个因素，如今处于一个网络化的社会，大量信息储存在网络之中从而得以传播，但网络领域的不断扩大也随之带来了很多麻烦，阻碍着网络的发展，网络也因此受到很多群众的不信任，计算机安全计算就是要不断减少网络中存在的各种问题，进而增强网络自身的安全度，提高网络的可靠性，推动现代网络朝向一个良性的方向发展。

网络依然存在很多安全隐患，这就需要计算机安全技术对其加以抵制，计算机安全技术已越来越成为促进经济发展、创造良好市场的重要体现。

2 计算机安全技术在电子商务贸易中的应用分析

2.1 电子商务概述

电子商务就是指在互联网（Internet）、企业内部网（Intranet）和增值网（VAN，Value Added Network）中以电子交易的方式进行各种贸易活动。电子商务就是将传统商务贸易活动的各个环节进行电子化、网络化和信息化。

电子商务在全球范围内活动，利用开放式的互联网环境，以浏览器或服务器为主要的应用手段，进行买卖双方的贸易活动，从而实现消费者网上购物、网上交易和在线支付等各种商务活动、交易活动、金融活动以及相关的综合活动。

构成电子商务活动四项基本要素为商城、消费者、产品和物流。四者相互依存、作用，彼此不可分割。电子商务贸易的形成也与交易平台、交易平台的经营者、站内经营者和支付系统有着密切的联系。在进行电子商务交易时，这些往往是买方和卖方普遍会使用到的。

电子商务存在多种分类方式：

1） 按照商务活动的运行方式划分，电子商务分为完全电子商务和非完全电子商务。

2） 按照商务活动的内容划分，电子商务分为间接电子商务和非电子商务。间接电子商务是指有形的电子订货和付款，运用传统方式进行送货；非电子商务是指无形的电子订货和付款，包括计算机软件、付款和交付以及全球性的信息服务等等。

3） 按照开展范围划分，电子商务分为区域化电子商务、远程国内电子商务和全球电子商务。

4） 按照使用网络划分，电子商务分为以专门增值网络（EDI）基础的电子商务、以互联网为基础的电子商务和以Intranet为基础的电子商务。

5） 按照交易对象划分，电子商务分为企业对企业的电子商务（B2B）、企业对消费者的电子商务（B2C）、企业对政府的电子商务（B2G）、消费者对政府的电子商务（C2G）、消费者对消费者的电子商务（C2C）、企业、消费者、商三者相互转化的电子商务（ABC）、以消费者为中心的全新商业模式（C2B2S）以及以供需方为目标的新型电子商务（P2D）。

2.2 电子商务贸易存在的安全问题

电子商务贸易在进行过程中面临着一些安全隐患，这些安全隐患如果不能及时处理，就会阻碍电子商务活动的正常运行，对我国经济发展也会产生一定的小消极影响。

电子商务贸易的安全问题可分为系统安全问题、计算机病毒和其他安全问题三方面内容：

1）系统安全问题：主要包括网络系统的安全问题、操作系统的安全问题以及引用系统的安全问题三部分。网络系统涉及网络信息和消费者信息，确保而这信息不被泄露，保障信息的安全性。操作系统就是指计算机网络资源存在安全隐患，保护电子商务贸易过程中信息的安全性。应用系统的安全隐患包括办公系统、邮件安全传输等相关方面存在的安全问题。

2）计算机病毒：病毒是对计算机的威胁很大，而且种类多样，在不同的形式中存在，有时无法对计算机病毒彻底根除，从而造成计算机设备的损坏。不同类型的计算机病毒造成的危害也是不同的，影响计算机的程度也具有很大的差异。计算机病毒在网络中主要体现在一些不正常数据地植入，造成计算机某个部分遭到破坏，受到病毒数据入侵的一种现象。计算机病毒也会导致计算机内部一部分功能的丧失，使其无法正常运转。计算机病毒具有传染性，通过网络传播传染给其他领域，电子商务贸易的发展依靠计算机技术，那么计算机病毒也会对电子商务产生不利影响。

3） 其他安全问题：计算机安全性薄弱最常见的一种体现就是信息容易遭到窃取。电子商务在贸易过程中没有进行任何加密措施，所以就会导致以明文形式出现的电子商务信息被网络入侵者窃取盗用。网络入侵者利用某种手段将信息截取获得文件的全部内容，从而电子商务贸易在传输过程中出现了泄密的现象。

截取信息之后，网络入侵者还可以对真实信息进行篡改和冒用。修改原始信息容易造成实际接收者对信息的误导，不利于电子商务发展。冒名顶替商务信息的持有者，进行非法活动，给电子商务带来损失。擅自修改商务信息也会引起商务内部出现问题，威胁着电子商务的未来。

2.3 计算机安全技术在电子商务贸易中的应用

1）对身份进行认证和鉴别

通过获取各种相关信息，对对方的实际情况熟悉掌握，并确认其是否会对电子商务贸易带来麻烦。但是，网络是一个开放式的环境，对于这项功能来说，实施起来比较困难，技术要求和成本都很高，所以目前可能无法有效进行。

2） 对机密信息和数据进行加密，防止泄露

计算机安全技术为保障一些机密信息不被入侵者盗取使用，设置了数据加密，对一些不良信息加以打击和防御。计算机安全技术中的加密技术可分为两种形式，一种是对称加密，另一种是不对称加密。电子商务在贸易的过程中设置密钥，并将密钥告诉自己传输的对象，再由接收者接到信息以后进行信息解密，这为信息传输过程提供了安全保障。

3）使用防火墙技术对不安全的信息进行有效防治

有效控制外来的不安全、不可靠信息的进入，主要内容包括对信息进行筛选和过滤、监检测网络状况以及服务推行在内的各种技术问题，将外来信息与内部网络进行隔离，防止外来网络对内部网络的非法访问。防火墙技术具有以的服务形式为基础和以状态条件下的检测方式为基础两种形式。

3 结束语

综上所述，计算机安全技术一直是我国关心的话题之一，发展好计算机安全技术有利于我国各个领域的进步。电子商务交易通过计算机技术进行正常运行，所以提高计算机安全技术对电子商务尤为重要，我们应当充分发挥计算机安全技术的作用，促进电子商务交易的发展，提高我国的综合实力。

参考文献：

[1] 沈国祥.计算机安全技术在电子商务中的应用[J].计算机光盘软件与应用，2012（15）.

电子商务安全教案范文第5篇

关键词：电子商务；交易系统；信息安全；PKI；Java

中图分类号：TP311.52文献标识码：A文章编号：1009-3044(2008)35-2323-04

A Business System of Electronic Commence Based on PKI and the Realization of Information Security

LI Bin1，CHEN Bo2

(1.The People's Bank of China Yinchuan Sub-branch, Yinchuan 750001, China; 2.Nanjing Urban Planning & Research Center, Nanjing 210029, China)

Abstract: This paper established an Electronic Commence system based on PKI and analysed the process of the business. In order to prevent the business via Internet from being cheated and protect the data's security, the paper put forward an idea about information security based on Cryptography Architecture of Java and illustrated the implementation based on Java.

Key words: electronic commence; business system; information security; PKI; Java

1 引言

电子商务活动主要涉及信息的交流、电子数据的交换和电子转帐。其中，电子交易中的安全问题已经成为发展可信赖电子商务环境的瓶颈。要保障电子交易活动中的安全，必须满足以下四个条件：1) 信息的有效性。交易的一方能够对另一方进行有效地身份认证，防止第三方假冒。2) 信息的完整性。防止传输过程中信息被任何非授权篡改。3) 信息的机密性。信息只能为交易双方所阅读，对第三方保密。4）交易双方的不可否认性。使交易双方事后无法否认其参与了此次交易活动。对此，目前最有效的解决方案就是建立在公匙基础设施上的PKI技术。本文提出了一个基于PKI的电子商务交易系统，分析了其交易实现过程。同时对该系统中商务实践的安全问题给出了可行方案。模拟运行表明，切实可行。

2 PKI与PKI协议

PKI是以公钥加密为基础，创建、管理、存储分发和撤销证书所需的一组硬件、软件、人、策略和过程。其主要涉及两个方面：1) 公钥密码技术。该技术使用两个不同的密钥（公开密钥与私有密钥）分别用于对数据的加密与解密。发送信息时用对方的公开密钥加密，收信者用自己的私用密钥进行解密。公开密钥加密算法的核心是运用单向陷门函数，即从一个方向求值是容易的，但其逆向计算却很困难，从而在实际上成为不可行的。所有网上安全服务都是建立在公私钥密码基础之上。2) 可信赖的数字身份。为实现网上交易双方对可信赖身份的需求，颁发给每一个公私钥持有者以证明其身份的数字证书。为此，PKI必须建立一个权威的认证机构CA，在公钥加密技术基础之上完成证书的生成、管理、存储分发和撤销工作。

SSL是最著名最广泛使用的基于PKI的协议，它主要采用公开密钥体制和X.509数字证书技术在客户和服务器之间建立安全的网络，实现两个应用间通信的保密性、完整性和可靠性。SSL有两个子协议：

1) 记录协议：提供分块、压缩、加密和完整。

2) 握手协议：执行客户和服务器之间会话的创建、协商或重新协商参数。

握手协议较记录协议更高层，必须先执行握手协议后才能实现记录协议中的加密和完整性校验等服务。握手协议的工作过程如下（图1）：

① 客户通过向服务器发出客户Hello消息来提出SSL连接请求。

② 服务器用服务器Hello消息响应。

③ 服务器把自己的证书发送给客户，客户验证服务器证书的有效性。

④ 服务器请求客户证书（可选的），发送Hello Done消息给客户，至此服务器初始协商过程结束。

⑤ 客户发送证书，服务器验证证书有效性。客户生成一个次主密钥，用服务器公钥加密，并把密文放在客户密钥交换消息中发送给服务器。

⑥ 服务器用私钥解密次主密钥，双方通过对次主密钥、客户Hello随机数、服务器Hello随机数计算一系列散列值把次主密钥转化为主密钥。主密钥用来生成记录协议中所需的加密算法和MAC算法密钥。

⑦ 双方改变密钥规范协议完成整个握手协议。

3 基于PKI的电子商务交易系统

3.1 系统模型及实现条件

图2为本文构造的电子商务交易系统，主要参与者有：企业客户、电子商务站点、商家、银行与支付网关以及可信的第三方。

系统采用证书的形式实现对客户和服务器身份验证，通过SSL建立浏览器和服务器间的安全传输通道，利用公钥技术和数字签名保证数据的完整性，结合时间戳服务实现订单的不可否认性。最后，采用签名加密的S/MIME电子邮件形式分别发送订单通告和确认信息给生产厂家和消费客户。

3.2 系统实现过程（不包含在线支付部分）

假设在交易之前，企业客户已经申请获得了电子商务站点所颁发的客户消费证书。

1) 客户浏览电子商务站点，初始化请求，客户端认证

客户通过HTTP连接到电子商务站点，为了保证浏览器和Web服务器之间的通信安全，Web服务器通过SSL连接建立过程。在此过程中，客户要求服务器出示服务器证书（此证书只是用于建立浏览器的SSL连接）。同时，站点服务器向客户端发送认证请求，客户从浏览器的证书列表中选择零件仓库客户证书，发送给站点服务器。

服务器检验客户证书的有效性，包括验证用户证书，检查证书是否过期或被撤消，并且确认证书的签名者是否在站点的可信签名列表中。

2) 验证客户身份，确定客户购买权限，返回应答请求，用户进入购买状态。

为确定用户是否被授权消费，电子商务应用程序从客户证书中获取用户身份，检查证书中命名的用户ID (Customer-ID)是否有权访问电子定单应用程序。然后查询站点的用户组成员中央LDAP（轻量级目录访问协议）库找到用户消费权限。

服务器将用户消费权限信息（CR）通过Hash函数得到数字摘要Hs（CR），然后用服务器私钥加密摘要形成数字签名Signature(Hs(CR)),最后用客户端公匙加密客户消费权限信息P（CR），将它们一起发送给客户。

客户收到信息对其进行验证，首先用客户的公钥解密信息，得到信息原文，然后用Hash函数获得原文摘要Hc（CR），比较Hc(CR)与Hs(CR)是否匹配，如果相等，客户进入购买状态。如图3所示。

3) 完成购物，发送定单。

客户选择购买的商品后，通过电子定单应用程序完成订单。发送订单这一过程对安全性要求很高。客户首先对订单作用一个Hash函数，形成订单摘要Hc（OI），保证其传输过程中的完整性。然后通过客户的私钥形成数字签名SIGNc（Hc（OI））。客户还要用对称密钥（DES）加密订单Key（OI），同时用服务器公钥加密对称密钥Ps（Key），将二者合在一起形成数字信封Envilope(Ps（Key），Key（OI）)。客户将数字签名、数字信封，一起发送给电子商务站点。

4) 服务器收到订单，请求获取安全时间戳，记录交易信息

服务器收到订单后，通过客户公钥获得订单摘要，站点服务器用外部时间戳加密摘要，发送给时间戳服务器以获取一个安全时间戳。安全时间戳是一个对定单数据、当前日期和时间的摘要H（OI，Date，Time），通过它确定交易的具体时间，实现交易的不可否认性。时间戳服务器用其私钥对摘要签名，连同证书发送给站点服务器。

站点服务器验证时间戳服务器证书，获得时间戳。在日志文件中对订单及安全时间戳进行记录。接着验证交易签名，即用Hash函数获取订单摘要Hs（OI），验证Hs（OI）与Hc（OI）是否匹配。如果匹配，则在订单数据库中记录交易。至此客户完成了与电子商务网站之间的交易活动。如图4所示。

5) 向商家发送订单通知，确认交易成功信息

电子商务站点生成新的订单通告，以签名并加密的S/MIME电子邮件形式发送订单通告给生产者。接着，站点生成一个带有交易确认信息的经签名并加密的e-Mail，用S/MIME协议把它发送给企业客户，整个网上交易活动结束。

4 系统信息安全的实现

上述电子商务系统基本上是通过浏览器和e-mail实现的。Netscape和Internet Explorer 两种浏览器均支持公钥技术。它们不仅支持密钥和证书的存储，还支持密钥对的生成和证书请求的创建。本文主要讨论基于Java实现本系统的交易信息安全。Java 平台的基本语言和库扩展都提供了用于编写安全应用程序的极佳基础。在JDK 1.4 之前，许多安全必须作为扩展添加到基本Java 代码分发版中。现在，新的宽松法规使安全性特性和基本语言更紧密的集成成为可能。下列软件包（在1.4 发行版之前作为扩展使用）现在集成到了JDK 1.4 中：

JCE（Java 密码术扩展）

JSSE（Java 安全套接字扩展）

JAAS（Java 认证和授权服务）

JDK 1.4 还引入了两种新功能：

JGSS（Java 通用安全(Java General Security Service)）

CertPath API（Java 证书路径API (Java Certification Path API)）

Java安全API数字签名的方法集中在java.security软件包中，在程序开始部分要引入该软件包（import java.security）。以下介绍密钥生成、数据签名及验证的步骤。

4.1 对于一个用户来讲首先要生成他的密钥对,并且分别保存

生成一个KeyPairGenerator实例

java.security.KeyPairGeneratorkeygen=java.security.KeyPairGenerator.getInstance("DSA");

如果设定随机产生器就用如相代码初始化

SecureRandom secrand=new SecureRandom();

secrand.setSeed("tttt".getBytes()); //初始化随机产生器

keygen.initialize(512,secrand); //初始化密钥生成器

否则

keygen.initialize(512);

生成密钥公钥pubkey和私钥prikey

KeyPair keys=keygen.generateKeyPair(); //生成密钥组

PublicKey pubkey=keys.getPublic();

PrivateKey prikey=keys.getPrivate();

//分别保存在myprikey.dat和mypubkey.dat中,以便下次不再生成

生成密钥对的时间比较长

java.io.ObjectOutputStream out=new java.io.ObjectOutputStream(new java.io.FileOutputStream("myprikey.dat"));

out.writeObject(prikey);

out.close();

out=new java.io.ObjectOutputStream(new java.io.FileOutputStream("mypubkey.dat"));

out.writeObject(pubkey);

out.close();

4.2 用他私人密钥(prikey)对他所确认的信息(info)进行数字签名产生一个签名数组

从文件中读入私人密钥(prikey)

java.io.ObjectInputStream in=new java.io.ObjectInputStream(new java.io.FileInputStream("myprikey.dat"));

PrivateKey myprikey=(PrivateKey)in.readObject();

in.close();

初始一个Signature对象,并用私钥对信息签名

java.security.Signature signet=java.security.Signature.getInstance("DSA");

signet.initSign(myprikey);

signet.update(myinfo.getBytes());

byte[] signed=signet.sign();

把信息和签名保存在一个文件中(myinfo.dat)

java.io.ObjectOutputStream out=new java.io.ObjectOutputStream(new java.io.FileOutputStream("myinfo.dat"));

out.writeObject(myinfo);

out.writeObject(signed);

out.close();

把他的公钥的信息及签名发给其它用户

4.3 其他用户用他的公共密钥(pubkey)和签名(signed)和信息(info)进行验证是否由他签名的信息

读入公钥

java.io.ObjectInputStream in=new java.io.ObjectInputStream(new java.io.FileInputStream("mypubkey.dat"));

PublicKey pubkey=(PublicKey)in.readObject();

in.close();

读入签名和信息

in=new java.io.ObjectInputStream(new java.io.FileInputStream("myinfo.dat"));

String info=(String)in.readObject();

byte[] signed=(byte[])in.readObject();

in.close();

初始一个Signature对象,并用公钥和签名进行验证

java.security.Signature signetcheck=java.security.Signature.getInstance("DSA");

signetcheck.initVerify(pubkey);

signetcheck.update(info.getBytes());

if (signetcheck.verify(signed)) { System.out.println("签名正常");}

对于密钥的保存本文是用对象流的方式保存和传送的,也可可以用编码的方式保存.注意

import java.security.spec.*

import java.security.*

具体说明如下

public key是用X.509编码的,例码如下:

byte[] bobEncodedPubKey=mypublic.getEncoded(); //生成编码

//传送二进制编码

//以下代码转换编码为相应key对象

X509EncodedKeySpec bobPubKeySpec = new X509EncodedKeySpec(bobEncodedPubKey);

KeyFactory keyFactory = KeyFactory.getInstance("DSA");

PublicKey bobPubKey = keyFactory.generatePublic(bobPubKeySpec);

对于Private key是用PKCS#8编码,例码如下:

byte[] bPKCS=myprikey.getEncoded();

//传送二进制编码

//以下代码转换编码为相应key对象

PKCS8EncodedKeySpec priPKCS8=new PKCS8EncodedKeySpec(bPKCS);

KeyFactory keyf=KeyFactory.getInstance("DSA");

PrivateKey otherprikey=keyf.generatePrivate(priPKCS8);

4.4 常用API

java.security.KeyPairGenerator 密钥生成器类

public static KeyPairGenerator getInstance(String algorithm) throws NoSuchAlgorithmException

以指定的算法返回一个KeyPairGenerator 对象

参数: algorithm 算法名.如:"DSA","RSA"

public void initialize(int keysize)

以指定的长度初始化KeyPairGenerator对象,如果没有初始化系统以1024长度默认设置

参数:keysize 算法位长.其范围必须在 512 到 1024 之间，且必须为 64 的倍数

public void initialize(int keysize, SecureRandom random)

以指定的长度初始化和随机发生器初始化KeyPairGenerator对象

参数:keysize 算法位长.其范围必须在 512 到 1024 之间，且必须为 64 的倍数

random 一个随机位的来源(对于initialize(int keysize)使用了默认随机器

public abstract KeyPair generateKeyPair()

产生新密钥对

java.security.KeyPair 密钥对类

public PrivateKey getPrivate()

返回私钥

public PublicKey getPublic()

返回公钥

java.security.Signature 签名类

public static Signature getInstance(String algorithm) throws NoSuchAlgorithmException

返回一个指定算法的Signature对象

参数 algorithm 如:"DSA"

public final void initSign(PrivateKey privateKey)

throws InvalidKeyException

用指定的私钥初始化

参数:privateKey 所进行签名时用的私钥

public final void update(byte data)

throws SignatureException

public final void update(byte[] data)

throws SignatureException

public final void update(byte[] data, int off, int len)

throws SignatureException

添加要签名的信息

public final byte[] sign()

throws SignatureException

返回签名的数组,前提是initSign和update

public final void initVerify(PublicKey publicKey)

throws InvalidKeyException

用指定的公钥初始化

参数:publicKey 验证时用的公钥

public final boolean verify(byte[] signature)

throws SignatureException

验证签名是否有效,前提是已经initVerify初始化

参数: signature 签名数组

5 总结

PKI不仅向广大用户提供了在所需范围内实现密钥传递的方法，而且还提供了对公共密钥进行加密操作的简易应用程序，使电子邮件、电子商务和网络系统获得了安全保障。Java安全API提供了加密、信息融合、密钥管理、认证、存取控制和数字签名等功能，允许开发者进行低层和高层的安全应用。

参考文献：

[1] 张勇,冯玉才.XML数字签名技术及其在Java中的实现[J].计算机应用.2003,9.

[2] 王尚平,王育民,张亚玲.基于DSA及RSA的证实数字签名方案[J].软件学报,2003,9.

[3] Andrew Nash.公钥技术设施实现和管理电子安全[M].北京:清华大学出版社,2002,12.

[4] Bruce Schneier.应用密码学[M].北京:机械工业出版社,1999,12.

[5] 黄炜曼,王文东,刘向武.PKI策略及其在PKI系统中的实现[J].计算机工程与应用,2003,32.