电子商务安全实验报告.doc

实验名称：电子商务安全技术

2010081126吕吕

一、实验目的：

通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。

二、实验内容：

（1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。

答:电子商务安全的协议有：

PKI协议：PKI是PublicKeyInfrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障Web站点上的信息安全。S-HTTP被设计为作为请求/响应的传输协议———HTTP的一种安全扩展版本，正是这一特点使得S-HTTP与SSL有了本质上的区别，因为SSL是一种会话保护协议。S-HTTP的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。

安全套接层协议（SSL）:SSL能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL建立在TCP协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。

安全电子交易协议（SET）:SET协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\

电子商务安全的措施有：

加密技术:加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密性。

数字签名：数字签名如同手写签名,在电子商务中有如下优点:（1)?发送者事后不能否认自己发送的报文签名。（2)?接受者能够核实发送者发送的报文签名。（3)?接受者不能伪造发送者的报文签名。（4)?接受者不能对发送者的报文进行篡改。（5)?交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128?位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。

数字时间戳：数字时间戳(DTS?,Digital?time-stamp)?,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS?的数字签名

数字证书：数字时间戳(DTS?,Digital?time-stamp)?,如同传统商务中的日期和时间,在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS?的数字签名

安全协议技术：目前常用的安全协议主要有两种：SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。SSL?协议是由Netscape公司提出的安全交易协议，该协议主要目的是解决T?C?P?/I?P?协议不能确认用户身份的问题，在Socket?上使用非对称的加密技术，以保证网络通信服务的安全性。4SET是由Visa?和MasterCard?两大信用卡公司联合IBM,?Microsoft,?GTE?,Verisign?,?S