電子商務(wù)安全技術(shù)論文
電子商務(wù)安全技術(shù)論文
隨著互聯(lián)網(wǎng)相應(yīng)技術(shù)的飛速發(fā)展,電子商務(wù)已成為現(xiàn)代社會(huì)重要的商務(wù)基礎(chǔ)設(shè)施,滲透到社會(huì)的各個(gè)領(lǐng)域。下面是學(xué)習(xí)啦小編為大家整理的電子商務(wù)安全技術(shù)論文,供大家參考。
電子商務(wù)安全技術(shù)論文范文一:電子商務(wù)安全管理軟件系統(tǒng)開發(fā)
一、軟件項(xiàng)目業(yè)務(wù)規(guī)劃
1.1項(xiàng)目規(guī)劃
項(xiàng)目目標(biāo):完成電子商務(wù)安全管理軟件系統(tǒng)的研制和開發(fā),并進(jìn)行市場(chǎng)化運(yùn)作;對(duì)電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行研究。主要功能:電子商務(wù)安全管理軟件系統(tǒng)實(shí)現(xiàn)的主要功能有:(1)提供訪問電子商務(wù)網(wǎng)站用戶的身份認(rèn)證、授權(quán);授權(quán)用戶在線刪除,添加,更新本人信息;實(shí)現(xiàn)了允許一種用戶可以以多種身分訪問電子商務(wù)程序的身份驗(yàn)證和授權(quán)的功能。
(2)過濾當(dāng)前用戶請(qǐng)求中是否含有違反HTTP協(xié)議的數(shù)據(jù)存在,包括參數(shù)缺失、參數(shù)異常、參數(shù)過多;過濾當(dāng)前用戶請(qǐng)求中是否含有違反當(dāng)前請(qǐng)求頁(yè)面的數(shù)據(jù)存在。
(3)對(duì)稱式和非對(duì)稱式的加密解密技術(shù):包括數(shù)字簽名算法、消息摘要技術(shù)、密鑰交換方法、提供基于數(shù)據(jù)庫(kù)的密鑰管理服務(wù)的內(nèi)容。
(4)收集功能模塊的日志信息,然后生成統(tǒng)一的日志信息,并進(jìn)行分類存儲(chǔ)(本課題提供數(shù)據(jù)庫(kù)存儲(chǔ)形式),然后提供查詢、刪除等功能(用戶可以對(duì)日志信息按日期、模塊名進(jìn)行查詢、刪除等操作)。
(5)隨時(shí)對(duì)受保護(hù)的電子商務(wù)應(yīng)用程序進(jìn)行安全監(jiān)控,若發(fā)現(xiàn)惡意代碼的攻擊,即刻發(fā)出報(bào)警信息。
(6)監(jiān)控系統(tǒng)和電子商務(wù)應(yīng)用程序的運(yùn)行情況,若系統(tǒng)或應(yīng)用程序出現(xiàn)異常,即刻發(fā)出報(bào)警信息。約束條件:本系統(tǒng)運(yùn)行時(shí)需要JAVA運(yùn)行環(huán)境人員所需工具所需資源:開發(fā)本項(xiàng)目需要參加人員熟練掌握J(rèn)AVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,開發(fā)工具使用eclipse、editplus、mysql等。
1.2項(xiàng)目組織與進(jìn)度
本項(xiàng)目的開發(fā)共分四個(gè)時(shí)間段進(jìn)行,具體安排如下所示:系統(tǒng)調(diào)研和總體方案設(shè)計(jì)3個(gè)月系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)8個(gè)月系統(tǒng)程序?qū)崿F(xiàn)8個(gè)月α測(cè)試β測(cè)試3個(gè)月
1.3開發(fā)軟件所需要的工具軟件運(yùn)行環(huán)境
A.操作系統(tǒng):Linux系統(tǒng),Window2000Serve系統(tǒng)B.數(shù)據(jù)庫(kù):Oracle8i/9i,SQLServer2000,MysqlC.WEB服務(wù)器:Tomcat/Weblogic/Jboss編程語(yǔ)言:JAVA開發(fā)平臺(tái):eclipse測(cè)試與分析工具:paros
二、軟件開發(fā)設(shè)計(jì)與程序編碼
2.1軟件開發(fā)設(shè)計(jì)
電子商務(wù)安全管理軟件系統(tǒng)采用了模塊化的設(shè)計(jì)理念,遵循J2EE的開發(fā)標(biāo)準(zhǔn),充分利用了J2EE程序開發(fā)過程中所涉及到的開放源代碼的應(yīng)用軟件。整個(gè)軟件系統(tǒng)是在Tomcat5.5.9條件下進(jìn)行的研發(fā),開發(fā)工具選用的是Eclipse3.1,MySQL4.1提供了數(shù)據(jù)庫(kù)支持。此外,還使用了諸如Spring,Hibernate,Struts,Dom4j,Log4j等免費(fèi)軟件和技術(shù)。從軟件設(shè)計(jì)與軟件開發(fā)的角度看,電子商務(wù)安全管理軟件系統(tǒng)的設(shè)計(jì)規(guī)劃遵循了如下設(shè)計(jì)原則:
(1)電子商務(wù)安全管理軟件封裝了許多功能強(qiáng)大、易于使用的軟件功能模塊,對(duì)于統(tǒng)一安全接口標(biāo)準(zhǔn)研究十分必要。
(2)軟件的開發(fā)大量采用組件化、J2EE技術(shù),獨(dú)立于操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)。軟件內(nèi)部的模塊大量采用Bean,進(jìn)行業(yè)務(wù)邏輯的封裝,可以方便利于網(wǎng)絡(luò)層的請(qǐng)求響應(yīng)調(diào)用。
(3)系統(tǒng)采用XML文件格式來響應(yīng)業(yè)務(wù)請(qǐng)求,這樣可以實(shí)現(xiàn)系統(tǒng)邏輯各層之間良好的通訊和接口。
(4)全面考慮電子商務(wù)安全的各種需求,設(shè)計(jì)統(tǒng)一的標(biāo)準(zhǔn)化的軟件結(jié)構(gòu),使各種網(wǎng)絡(luò)安全技術(shù)運(yùn)行在軟件框架之下,共同保護(hù)電子交易安全。
(5)提供開放的API接口,這樣使其他公司的軟件產(chǎn)品可以輕易的集成到這個(gè)軟件系統(tǒng)平臺(tái)上。
2.2程序編碼
安全代理:安全代理模塊就像一個(gè)數(shù)據(jù)采集器;在電子商務(wù)安全控制中心中分析的所有HTTP信息都是通過安全代理模塊采集的。此外,安全代理模塊還負(fù)責(zé)在分析后將反應(yīng)結(jié)果返回給用戶。開發(fā)安全代理模塊所使用技術(shù):ServletFilter。
(1)認(rèn)證授權(quán)模塊。身份驗(yàn)證和授權(quán)認(rèn)證模塊提供一種基于JAAS體系結(jié)構(gòu)的認(rèn)證解決方案。身份認(rèn)證是用戶或計(jì)算設(shè)備用來驗(yàn)證身份的過程,即確定一個(gè)實(shí)體或個(gè)人是否就是它所宣稱的實(shí)體或個(gè)人。授權(quán)確定了已認(rèn)證的用戶是否能夠訪問他們所請(qǐng)求的資源或者執(zhí)行他們所請(qǐng)求執(zhí)行的操作。
(2)數(shù)據(jù)過濾模塊。數(shù)據(jù)過濾模塊實(shí)現(xiàn)兩種分析算法:模式匹配算法和行為建模算法。一種是基于誤用檢測(cè)算法的模式匹配,另一種是基于異常檢測(cè)算法的行為建模。
(3)協(xié)議過濾模塊。根據(jù)電子商務(wù)網(wǎng)站管理員的人工配置和HTTP協(xié)議細(xì)節(jié)執(zhí)行協(xié)議過濾算法,針對(duì)于安全數(shù)據(jù)中出現(xiàn)的冗余信息、檢測(cè)出的缺失信息,以及異常信息分別進(jìn)行安全分析,并且觸發(fā)相應(yīng)的安全動(dòng)作。
(4)安全監(jiān)控模塊根據(jù)安全分析的結(jié)果與事先定義的安全動(dòng)作,模塊采用相應(yīng)的指定動(dòng)作。此外,這個(gè)模塊將向安全代理模塊發(fā)送動(dòng)作指令。如果發(fā)現(xiàn)黑客入侵,就隨時(shí)觸發(fā)“拒絕”動(dòng)作,然后發(fā)送警告給應(yīng)用程序的管理員。同時(shí),將惡意的入侵請(qǐng)求存入到數(shù)據(jù)庫(kù)作為入侵分析的日志文件。因此,攻擊者將會(huì)收到一個(gè)出錯(cuò)頁(yè)面或者請(qǐng)求被禁止的頁(yè)面。
(5)應(yīng)用監(jiān)控。應(yīng)用監(jiān)控模塊主要實(shí)現(xiàn)了對(duì)于訪問電子商務(wù)應(yīng)用程序、安全代理模塊的應(yīng)用配置和應(yīng)用監(jiān)控功能。實(shí)現(xiàn)了應(yīng)用程序和電子商務(wù)安全管理軟件系統(tǒng)的動(dòng)態(tài)配置、實(shí)時(shí)監(jiān)控電子商務(wù)安全管理軟件系統(tǒng)的響應(yīng)速度。
(6)加密解密模塊。加密解密技術(shù)對(duì)于用戶要傳輸?shù)男畔⑦M(jìn)行加密操作,可以有效地保護(hù)信息的安全。加密解密模塊的實(shí)現(xiàn)方案使用平臺(tái)通用開發(fā)包JCE(JavaTMCryptographyExtension),它的加密解密算法的強(qiáng)度較高,算法靈活,適應(yīng)于多種平臺(tái),從而使得用戶的敏感信息可以得到更好的保護(hù)。提供完善的加密解密服務(wù)接口,提供密鑰管理功能,包括密鑰存儲(chǔ)、檢索和密鑰自動(dòng)更新的功能,提高密鑰的安全性和保密措施。
(7)日志管理模塊。日志管理模塊的總體實(shí)現(xiàn)方案基于開放源代碼項(xiàng)目—Log4j,主要實(shí)現(xiàn)了為電子商務(wù)安全管理軟件系統(tǒng)的功能模塊生成統(tǒng)一格式的日志信息,對(duì)產(chǎn)生的運(yùn)行日志、安全日志進(jìn)行統(tǒng)一的日志管理,針對(duì)不同來源的日志將其保存到不同的日志文件。
電子商務(wù)安全技術(shù)論文范文二:概述PKI技術(shù)對(duì)電子商務(wù)安全的作用
1PKI的技術(shù)原理
PKI(PublicKeyInfrastructure)即公鑰基礎(chǔ)設(shè)施,是利用公鑰密碼理論和技術(shù)建立起來的、提供和實(shí)施安全服務(wù)的基礎(chǔ)設(shè)施。它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)CA和關(guān)于公開密鑰的安全策略等基本成分共同組成,包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、多重?cái)?shù)字簽名等基礎(chǔ)技術(shù)。在公鑰密碼技術(shù)中,為每個(gè)用戶生成一對(duì)相關(guān)的密鑰:一個(gè)公開密鑰,通過非保密方式向他人公開;一個(gè)私有密鑰,由用戶自己保存。且公鑰和私鑰不能由一個(gè)推出另一個(gè)。用公鑰加密,私鑰解密,起到信息保密功能;用私鑰加密,公鑰解密,起到數(shù)字簽名功能。
1.1數(shù)字簽名
數(shù)字簽名(DigitalSignature)是電子簽名的一種特定形式,起到與手寫簽名或者蓋章同等的作用。數(shù)字簽名的使用包括簽名和驗(yàn)證簽名兩個(gè)階段。簽名過程:簽名方首先使用Hash函數(shù)根據(jù)需要簽名的原始數(shù)據(jù)(明文)生成一份固定長(zhǎng)度的摘要,決定了生成的摘要是唯一的,且不同的明文散列變換得到的摘要結(jié)果總是不同。然后通過某個(gè)約定的算法用私鑰對(duì)摘要加密,生成數(shù)字簽名,最后將相應(yīng)的數(shù)字簽名附在原始數(shù)據(jù)后。簽名驗(yàn)證過程:接收方收到密文后,使用對(duì)方的公鑰對(duì)附在原始數(shù)據(jù)后的數(shù)字簽名進(jìn)行解密獲得原摘要,再使用Hash函數(shù)對(duì)數(shù)據(jù)明文進(jìn)行運(yùn)算,得到一份新的摘要,如果兩份摘要完全一致,則驗(yàn)證數(shù)字簽名為真。
1.2數(shù)字證書
數(shù)字證書也叫數(shù)字標(biāo)識(shí)(DigitalCertificate,DigitalID),相當(dāng)于個(gè)人或機(jī)構(gòu)在網(wǎng)絡(luò)環(huán)境中的身份證,用于證明在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的各主體(如人、服務(wù)器等)的身份。數(shù)字證書由一個(gè)權(quán)威機(jī)構(gòu)(CA認(rèn)證中心)發(fā)放的,其中包含了用戶身份的部分信息、用戶所持有的公開密鑰及認(rèn)證機(jī)構(gòu)的數(shù)字簽名。使用數(shù)字證書進(jìn)行數(shù)據(jù)傳輸時(shí),發(fā)送方與接受方首先交換數(shù)字證書,確認(rèn)彼此的身份,同時(shí)雙方都得到了彼此的公開密鑰。隨后,發(fā)送方使用接收方的公鑰對(duì)要傳輸?shù)臄?shù)據(jù)進(jìn)行加密,而接收方收到密文后則使用自己的私鑰解密,這樣信息就可以安全無誤地到達(dá)目的地了。
2PKI技術(shù)的作用分析
2.1保證了信息傳輸?shù)谋C苄?/p>
對(duì)傳輸中的數(shù)據(jù)流加密,防止信息在傳輸過程中被非法竊取是對(duì)交易安全的保證。由于私鑰的唯一性,確保只有接收方才能成功地解密該信息。
2.2保證了數(shù)據(jù)的完整性
數(shù)據(jù)完整性是指數(shù)據(jù)的接收方可以經(jīng)過檢查,確認(rèn)收到的數(shù)據(jù)是否在傳輸、存儲(chǔ)過程中被修改。如果敏感數(shù)據(jù)在傳輸和處理過程中被篡改,接受方就不會(huì)收到完整的數(shù)據(jù)簽名,驗(yàn)證就會(huì)失敗。反之,如果簽名通過了驗(yàn)證,就證明接收方收到的是沒經(jīng)修改的完整性數(shù)據(jù)。
2.3保證了發(fā)送信息的不可否認(rèn)性
在傳統(tǒng)貿(mào)易中,貿(mào)易雙方通過在交易合同、契約等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴,確定合同、契約的可靠性并預(yù)防抵賴行為的發(fā)生。應(yīng)用PKI技術(shù)后,由于只有發(fā)送方擁有私鑰,所以使用私鑰對(duì)消息進(jìn)行簽名,一定是申請(qǐng)者本人的操作,簽名者無法否認(rèn),并對(duì)其發(fā)生的行為不能抵賴,所以數(shù)字簽名完全可以代替現(xiàn)實(shí)過程中的“親筆簽字”,在技術(shù)和法律上有保證。
2.4驗(yàn)證交易者身份
在網(wǎng)絡(luò)支付中,為了避免欺詐的發(fā)生,網(wǎng)上銀行必須證明自己并非虛假網(wǎng)站,而用戶也必須證實(shí)自己是帳號(hào)的合法持有人。PKI安全體系的是確認(rèn)身份的重要技術(shù),有助于在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中檢驗(yàn)個(gè)人或機(jī)構(gòu)的身份,確認(rèn)這些電子數(shù)據(jù)所代表的身份以及這些身份的真實(shí)可信性。PKI安全體系能夠全面支持電子商務(wù)在社會(huì)經(jīng)濟(jì)生活進(jìn)行廣泛應(yīng)用,并起著重要作用,確保交易信息的安全性,從而極大地促進(jìn)了電子商務(wù)的發(fā)展。國(guó)務(wù)院日前印發(fā)了《服務(wù)業(yè)發(fā)展“十二五”規(guī)劃》,提出要促進(jìn)數(shù)字證書在電子商務(wù)全過程、各環(huán)節(jié)的深化應(yīng)用,規(guī)范網(wǎng)上銀行、網(wǎng)上支付平臺(tái)等在線支付服務(wù),相信數(shù)字證書以及相關(guān)安全技術(shù)在未來的電子商務(wù)發(fā)展中會(huì)獲得更廣泛的使用。
電子商務(wù)安全技術(shù)論文相關(guān)文章: