阿里巴巴电子商务系统中信息安全问题的研究.docx

1、阿里巴巴电子商务系统中信息安全问题的研究阿里巴巴电子商务系统中信息安全问题的研究摘要近年来,随着因特网的普及日渐迅速，电子商务已经开始融入人们的日常生活中，网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式，越来越多的人开始使用电子商务来传递各种信息，并进行各种交易。电子商务传递各种商务信息依靠的是互联网，而互联网是一个完全开放的网络，任何一台计算机、任何一个网络都可以与之相连。因此，网上的安全风险就构成了对电子商务的安全威胁。本文以阿里巴巴电子商务系统中信息安全问题为实例，重点在电子商务安全系统中的信息技术和策略方面作了较为深入的研究，并结合电子商务的流程设计开发了一个小型的

2、电子商务平台。通过对系统的实际调查，明确其业务流程，在分析网上购物系统的具体情况后，确定此系统具有管理和购买商品、购物车管理、订单管理等功能。较全面满足了网上购物的各项工作。系统开发采用了JSP技术和SQLServer数据库管理系统，实现过程中适当的应用了安全措施，提高系统的可靠性。最后，文章就电子商务平台中的不确定问题和保障安全的环境措施进行了分析，有效的保证电子商务系统实施的安全行。文中实现的电子商务平台经过测试基本上满足安全购物的流程，经过适当的扩充可以进一步推广使用。摘 要. 第一章 绪论. 1.1 研究背景.1.2 研究现状.1.3 研究内容. 1.4 研究目的和意义. 第二章 信息

3、安全研究.2.2 信息安全的需求. 2.3 主要安全技术. 2.4 交易安全的解决. 第三章电子商务中加密技术的概论与应用.3.2 加密技术的两种加密方法. 3.3 摘要函数. 3.4RSA 算法. 3.5PKI 技术.3.6 数据加密技术的应用. 第四章 电子商务安全系统的实现.4.1 电子商务安全系统的五个主题.4.1.1 用户安全系统. 4.1.2 银行安全系统. 4.1.3 商家安全系统. 4.1.4 配送公司安全系统. 4.1.5 生产厂家安全系统. 4.2 子系统的实现.4.2.1 在线购物子系统. 4.2.2 物品管理子系统. 4.2.3 银行子系统. 4.2.4 物品管理子系统

4、. 4.3 主要界面实现. 4.3.1 前台管理系统. 4.3.2 后台管理系统. 4.4 基于子集合的查询. 第五章 系统测试及其他安全措施. 5.1 系统的测试. 5.2 系统的维护. 5.2.1 网络的维护. 5.2.2 数据库的维护. 5.2.3 硬件的维护. 5.3 不确定性安全问题. 5.4 保障安全的环境性措施. 第六章 总结与展望.6.1 课题总结. 6.2 下一步研究方向. 参考文献.致 谢.第一章绪论1.1 研究背景电子商务（Electronic Commerce）是上世纪 90 年代初期在西方发达国家首先兴起的一种崭新的利用国际互联网络Internet 这种先进通讯工具的

5、企业经营方式。它是通过网络技术的应用，快速而且有效的进行各种商务活动的全新方法。近年来,随着因特网的普及日渐迅速, 电子商务已经开始融入人们的日常生活中，网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式，越来越多的人开始使用电子商务来传递各种信息，并进行各种交易。电子商务无疑是近几年来使用频率最高的词汇之一。电子商务的发展有三个阶段：即电子零售阶段、电子贸易阶段与网上交易市场阶段。在电子零售阶段中，看重的是网络技术降低其经营成本，比如被称作电子商务时代标志的亚马逊公司。之后，买家即向购方开始积极介入，他们通过信息比较、反向拍卖等形式追求选购成本的降低与优化。这一时期中各类行业

6、性的电子贸易社区开始引领潮流，这其中以美国的VerticalNet 最为著名。电子商务的第三次浪潮是以CommerceOne、Ariba 为代表所发起的网上交易市场，即E-Marketplace。据GartnerGroup 的预测，未来5 年内全球网上交易市场的交易总额可高达7 万亿美元。中国在1999 年，网上消费额达到5500 万元，今年，中国9000 多万网民，就大约有5000 万在网上购物。特别是阿里巴巴公司旗下的淘宝网，淘宝网目前业务跨越C2C（Consumer to Consumer，消费者对消费者）、B2C（Business-to-Consumer商家对消费者）两大部分。经过6年

7、的发展，截至2009年底，淘宝拥有注册会员1.7亿，注册用户还在不断增长！据统计，淘宝网2009年的交易额为2083亿人民币，2010年则高达4000亿元人民币，是亚洲最大的网络零售商圈。所以，对于阿里巴巴在电子商务系统中的安全要求更高。电子商务传递各种商务信息依靠的是互联网，而互联网是一个完全开放的网络，任何一台计算机、任何一个网络都可以与之相连。它又是无国界的，没有管理权威，“是世界唯一的无政府领地”。电子商务在公开的网上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理等等。从发展趋势来看，电子商务正在形成全球性的发展潮流。近几年美国引发

8、的全球性的金融危机对中国市场造成了很大的冲击。08 年下半年以来，由于金融危机波及，中国出口快速下降，许多企业纷纷转向求助互联网，开辟拓展内销市场。由于内外需求的收紧，处于流通环节的诸多物流企业经历前所未有的寒冬。中国领导人迅速做出决策。要大力发展电子信息化产业，并大力扶持物流产业的发展。在这种大背景下，电子商务产业得到很好的发展，但同时也存在着一系列的问题，可谓机遇与挑战并存。随着电子商务的兴起，网上的安全风险就构成了对电子商务的安全威胁，它的信息安全问题也日益引人注目。如果不能很好地解决信息安全问题，电子商务的发展肯定会受到影响。因此，电子商务系统中的安全问题已经是迫在眉睫。因为电子商务适

9、合于各种大、小型企业，所以应充分考虑如何保证电子商务系统中信息的安全问题。根据以上情况，本文课题主要研究了电子商务系统中的安全问题和相关技术策略等，最终把研究相关内容应用到某企业的电子商务平台中并加以实现。1.2 研究现状回顾电子商务系统中信息安全问题发展走过的道路，大体可分为三个方面：(一)系统安全对于电子商务系统来说，信息的安全尤为重要，这种安全首先取决于系统的安全。系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。(二)数据安全数据安全牵涉到数据库的安全和数据本身安全

10、，两者分别有相应的安全保障措施。数据库安全方面来说，一般采用有一定安全级别的大型分布式数据库，在此基础上开发一些安全措施，增加相应控件，对数据库分级管理并提供可靠的故障恢复机制，实现数据库的访问、存取、加密控制。具体实现方法包括安全数据库系统、数据库保密系统、数据库扫描系统等。数据安全方面指存储在数据库中数据本身的安全，相应的保护措施有安装反病毒软件，建立可靠的数据备份与恢复系统，某些重要数据可以采取加密保护。(三)网络交易平台的安全网上交易安全位于系统安全风险之上，在数据安全风险之下。只有提供一定的安全保证，在线交易的网民才会具有安全感，电子商务网站才会具有发展的空间。目前在电子商务中主要的

11、安全标准有两种：应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA 及MasterCard 提出的针对电子钱包/商场/认证中心的安全标准，主要用于银行等金融机构；后者由NETSCAPE 公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议，事实上已成为WWW 应用安全标准。交易安全基础是现代密码技术，依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关身份证明，同时在SSL 协议体系下完成交

12、易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。电子商务网上交易时每项服务都需要用户证明身份，保障身份安全的最有效的技术就是PKI 技术。目前国内外比较成型的安全性能较好的电子商务平台比比皆是，例如：美国的纽约第五大道购物在线、美国最大的网络超市亚马逊，国内的淘宝、当当等等，都是技术成熟，安全性能好。在国内，我国的电子商务系统安全问题受到政府、专家学者的极大关注，例如：阿里巴巴集团开展了电子商务系统安全问题研究，阿里巴巴集团成功的把电子商务系统安全问题运用在互联网的服务上，安全性服务是其制胜的“杀手锏”，该公司建立了具有安全性服务的电子商务网站，更重要的是通过网站来满足

13、客户个性化的电子商务需求。目前阿里巴巴集团的电子商务网站有冰箱、空调、洗衣机等 58 个门类的 9200 多个电子商务产品类型和 90万多个电子商务用户，经销商和消费者可以在阿里巴巴集团提供的电子商务平台上，有针对性地将各种产品进行交易，并安全的完成全部的电子商务过程。如果电子商务平台其安全性能过硬，则会拥有大量的网络客户，当然其销售额也会与日俱增。1.3 研究内容在阿里巴巴的电子商务中，在安全上一般应包括以下两个方面：信息保密的安全：交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款 的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均

14、有加密的要求。交易者身份的安全：网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会考虑网上的商店是否是黑店。因此能方便而可靠地确认对方身份是交易的前提。基于以上两个关键安全问题，本文将对其进行深入的研究和探讨，并提出可用的解决方案。除此之外，本文工作还要研究电子商务平台的具体安全需求、功能需求和业务流程等等，来开发一个带有网络购物关键流程的电子商务平台，并部署基本的安全策略从而得到一个具有安全特征的电子商务实验平台。1.4 研究目的和意义电子商务介入世界经济活动并成为其中主角是必然的发展趋势。据统计全球电子商务交易额约占世界贸

15、易总额的1/4。由于大量的信息在网上传递，大量的资金在网上划拨流动，这就要求网上信息必须具有高度的可靠性和绝对的保密性。但是出于各种目的的网络入侵和攻击也越来越频繁，脆弱的网络和不成熟的电子商务增强了人们的防范心理。从这点上来看, 电子商务系统中信息安全问题是保障电子商务的生命线。电子商务这中信息安全的保障就是电子商务实施的前提。本文针对电子商务活动中存在的信息安全问题进行深入研究，并研究保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施，加强电子商务发展的安全环境，如果将这些技术有效的利用到具体的电子商务平台中，势必给网络购物用户带来保证，给电子商务提供商也带来丰厚的利

16、润。由此，本文的研究是具有很好的实用价值和商业价值，将来值得被推广使用。研究方向。第二章信息安全研究2.1 信息安全问题的概述目前，电子商务系统中安全问题是一个非常流行的概念。电子商务系统中安全问题，是指针对电子商务系统的不同用户提供不同的服务策略和服务内容的安全服务模式。电子商务系统中客户端安全的问题是指电子商务服务商向客户提供个性化的安全服务。主要包括三方面的内容：一是电子商务系统中安全问题的个性化定制。由于安全条件的不同，客户对商品和服务的安全需求也不尽相同，因此如何及时了解客户的安全需求问题是首要任务。二是信息安全的个性化定制。互联网为个性化定制信息安全提供了可能，也预示着巨大的商机。

17、微软公司很早推出的个人电子商务安全系统就是一例。互联网最大的特点是实时、互动，随着网络互动视频电子商务的发展，消费者不仅可以实现视频电子商务，而且还会促使个人参与到视频电子商务的创意、制作过程。三是对个性化商品安全的需要。特别是技术含量高的安全系统，用户不再只是被动地接受，商家也不仅仅是提供多样化的安全系统选择范围了事。用户将把个人的偏好参与到安全系统的设计和制造过程中去。此外，安全性也是电子商务本身的价值所在。电子商务的价值就在于能够主动、快速、比较准确地对客户的需求做出反应，并通过 EDI、电子渠道等方式来满足客户需求。在这个交易过程中，其实质是企业对客户安全需求的满足。电子商务的技术基础

18、也为掌握用户的安全需求提供了技术上的可能性，如可以通过视频电子商务的方式直接了解用户的安全需求，然后设法去满足。要真正做到电子商务的完全安全是不容易的，对于一个网站来说，要实现电子商务的完全安全必须做到：第一，掌握最新的发布信息、搜索信息、掌控全局的各种安全技术手段；同时还要了解用户安全需求的一般情况，如基本类型、安全取向、热点问题等。这是提供电子商务的完全安全的必要基础。第二，要以稳定的数据源进行深入的分析，要了解这些网络的特点、使用方式，并且了解这些安全特点的基本框架。第三，要掌握把以上两方面结合起来的方法。只有这样，才能让用户感到“电子商务是完全安全的”，才能提供真正的安全性服务。2.2 信息安全的需求1、对电子商务活动安全性的需求：（1）服务的有效性需求：电子商务系统应能防止服务失败情况的发生，预防由于网络故障和病毒发作等因素产生的系统停止服务等情况，保证交易数据能准确快速的传送。（2）交易信息的保密性需求：电子商务系统应对用户所传送的信息进行有效的加密，防止因信息被截取破译，同时要防止信息被