1、電子商務實務（第二版）高等教育出版社全國高職高專教育“十二五”規劃教材第二章 電子商務安全 2一、學習目標 了解常見的電子商務安全問題 了解電子商務安全加密技術 了解電子商務安全認證技術知識目標知識目標 了解電子商務安全認證體系 了解電子商務信用認證的作用 能根據業務需要選擇合適的安全解決方案 掌握CA認證在電子商務交易過程中的使用能力目標能力目標 掌握信用認證在電子商務交易過程中的使用一、學習目標案例標簽案例標簽：揚州市地稅局；數字證書；網上報稅系統案例網址案例網址：. cn案例導讀案例導讀：1、揚州市地稅局概況 揚州市地稅局準備采用網上報稅的方式，由納稅人

2、在互聯網上完成申報和繳稅。納稅人通過IE瀏覽器登錄到稅務局電子申報的WEB服務器上，輸入網上報稅系統為納稅人創建的用戶名和密碼（密碼登錄后可修改）進入系統進行報表填寫。納稅人再將報表填寫完后進行申報（系統將納稅人提交的數據寫到稅務局的數據庫中）和網上銀行繳稅，完成整個申報過程。二、案例導入揚州市地稅局使用數字證書來解決網上報稅的安全問題揚州市地稅局使用數字證書來解決網上報稅的安全問題天威誠信天威誠信2、網上報稅系統 天威誠信根據揚州市地稅局網上報稅系統的應用需求，采用天威誠信的安證通（OnSite）產品和服務，采用基于服務的建設模式，為揚州地稅建設一套CA認證系統，CA系統的核心CA中心托管建

3、設在天威誠信安全數據中心，在揚州市本地建設CA系統提供給納稅人申請和管理證書的前臺RA中心，并在揚州市本地建設對整個CA系統進行全權管理的前臺CA管理（模塊），由它們共同為揚州地稅納稅人提供證書認證服務。建設的揚州地稅CA認證系統采用揚州地稅自有的證書信任體系，頒發企業證書。天威誠信為揚州地稅網上報稅系統提供了解決方案，并協助開發商對應用系統進行了集成，增加數字證書應用的安全功能。二、案例導入通過建設的CA認證系統，納稅人將采用如下流程進行網上申報：（1）納稅人首先到稅務局進行網上申報的申請；（2）稅務局審核通過后，通知納稅人進行網上申報的培訓；（3）培訓同時將發給納稅人一個信封，里邊寫有納稅

4、人的用戶名和密碼及要登錄的網站地址和納稅人的證書；（4）納稅人回去后，在自己的計算機上安裝自己的證書； （5）納稅人登錄稅務局Web申報網站，提交納稅人的證書和Web申報網站建立SSL鏈接，Web申報網站驗證納稅人提交的數字證書來認證納稅人的身份，通過SSL鏈接來保證數據傳輸的機密性；（6）納稅人輸入用戶名和密碼完成網上申報流程。揚州市地稅局CA系統及網上報稅系統安全集成已經完成，如圖2-1所示。目前已經正式使用，到現在為止，揚州地稅CA系統已經發放了大約1,000張證書，整個系統運行穩定，并且發放的數字證書已經被納稅人在網上報稅系統中應用，進行安全的網上報稅。二、案例導入 二、案例導入圖2-

5、1揚州市地稅局網上報稅系統1、電子商務安全概述、電子商務安全概述 （1 1）電子商務安全的重要性）電子商務安全的重要性 電子商務安全是電子商務的生存保障。它是市場游戲規則順利實施的前提，因為市場競爭規則強調的是公平、公正和公開，如果無法保證市場交易的安全，可能導致非法交易或者損害合法交易的利益。它是保證電子虛擬市場交易順利發展的前提，因為網上交易雖然可以降低交易費用，但如果網上交易安全性無法得到保證，造成合法交易雙方利益的損失，可能導致交易雙方為規避風險選擇傳統的、更安全的交易方式。電子商務涉及國家經濟安全，作為國家基本經濟活動的商務活動如果受到破壞、攻擊，產生混亂，社會生活就不得安寧。三、知

6、識學習（2 2）電子商務的安全要素）電子商務的安全要素有效性。保密性。完整性。可靠性、不可抵賴性和可鑒別性。三、知識學習（3 3）電子商務中的安全問題）電子商務中的安全問題商家（商品或服務的提供者）面臨的安全威脅商家（商品或服務的提供者）面臨的安全威脅（1）中央系統的安全性受到破壞。（2）競爭者檢索商品的銷售情況。（3）客戶的資料被競爭者獲取，為其所用。（4）被他人假冒而損害公司的信譽，這種安全威脅主要有三種方式。（5）消費者提交訂單后不付款。（6）虛假訂單。三、知識學習客戶（商品或服務的購買者）所面臨的安全威脅客戶（商品或服務的購買者）所面臨的安全威脅（1）虛假訂單。（2）信用的威脅。（3）

7、機密性喪失。（4）拒絕服務。三、知識學習（4 4）電子商務安全中的加密技術）電子商務安全中的加密技術 數據加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸的信息進行數據加密保障安全性。加密技術能避免各種存儲介質上的或通過Internet傳送的敏感數據被侵襲者竊取，也適用于檢查信息的真實性與完整性。這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。三、知識學習圖2-2 數據加密的一般模型 三、知識學習2 2、電子商務認證、電子商務認證（1 1）電子商務中的認證技術）電子商務中的認證技術 數字簽名數字簽名 數字簽名是公開密鑰加密技術的一類應用。數字簽名的加密解密過程和一

8、般秘密密鑰的加密解密過程雖然都使用公開密鑰系統，但實現的過程正好相反，使用的密鑰對也不同。數字簽名使用的是發送方的密鑰對，發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。這是一個一對多的關系，任何擁有發送方公開密鑰的人都可以驗證數字簽名的正確性。而一般秘密密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關系：任何知道接收方公開密鑰的人都可以向接收方發送加密信息，只有擁有接收方私有密鑰的人才能對信息解密。 三、知識學習數字摘要技術數字摘要技術 一般的對稱或非對稱加密算法用于防止信息被篡改。數字摘要技術用于證明信息的完整性和準確性，主要用于防止原文被篡改。數字摘要是采用單向

9、Hash(分散排列) 函數對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方。接收方收到文件后，用相同的方法進行變換運算，若得到的結果與發送來的摘要碼相同，則可斷定文件未被篡改。 而數字簽名一般來說是用來處理短消息的，處理較長消息則有些吃力。當然，可以將長的消息分成若干小段，然后再分別簽名。不過這樣做非常麻煩，而且會帶來數據完整性的問題。比較合理的做法是在數字簽名前對消息先進行數字摘要。三、知識學習 數字時間戳數字時間戳 在電子商務交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內

10、容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數字時間戳服務就能提供電子文件發表時間的安全保護。數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。時間戳是一個經加密后形成的憑證文件，包括三個部分：需加時間戳的文件摘要；DTS收到文件的日期和時間；DTS的數字簽名。時間戳產生的過程為，用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發送到DTS，DTS在加入了收到文件摘要的日期和時間信息后在對該文件加密，然后送回用戶。三、知識學習 身份認證技術身份認證技術 身份認證是指用戶向系統出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網膜

11、和聲音等生理特征。身份認證可分為兩類：用戶與主機間的認證和主機與主機之間的認證。用戶與主機之間的認證可以基于如下一個或幾個因素: 用戶所知道的東西,例如口令,密碼等；用戶擁有的東西,例如印章,智能卡(如信用卡等)；用戶所具有的生物特征,例如指紋,聲音,視網膜,簽字,筆跡等。下面對這些方法的優劣進行比較。三、知識學習報文認證技術報文認證技術 報文是網絡中交換與傳輸的數據單元，報文的認證方式有傳統加密方式的認證、沒有報方加密的報文認證、使用密鑰額報文認證碼方式、使用單項散列函數的認證。信息完整性信息完整性 信息完整性是指信息在輸入和傳輸的過程中，不被非法授權修改和破壞，數據具有一致性。保證信息完整

12、性需要防止數據的丟失、重復及保證傳送秩序的一致。保證各種數據的完整性是電子商務應用的基礎，數據的完整性被破壞可能導致貿易雙方信息的差異，將影響交易的交易順利完成，甚至造成糾紛。三、知識學習（2 2）電子商務安全認證體系電子商務安全認證體系 數字證書數字證書 數字證書也稱公開密鑰證書，是在網絡通信中標志通信各方身份信息的一系列數據，其作用類似于現實生活中的身份證。它主要包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名等數據。三、知識學習（2 2）電子商務安全認證體系電子商務安全認證體系 CACA認證中心認證中心 認證中心是檢驗密鑰是否真實性的第三方，它是一個權威機構，專門驗證交易雙方的身份

13、。驗證的方法是接受個人、商家、銀行等涉及交易的實體申請數字證書，核實情況，批準或拒絕申請，頒發數字證書。認證中心除了檢驗外，還具有管理、搜索和驗證證書等職能。三、知識學習圖2-3 典型CA系統三、知識學習（2 2）電子商務安全認證體系電子商務安全認證體系 PKIPKI安全體系安全體系 簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易、通信和互聯網上的各種活動。 三、知識學習（2 2）電子商務安全認證體系電子商務安全認證體系 SSLSSL安全體系安全體系 安全套接層（Secure sockets Layer，SSL）是一種傳輸層

14、技術，由網景通訊公司開發，可以實現瀏覽器和服務器（通常是Web服務器）之間的安全通信。三、知識學習 SSLSSL工作過程：工作過程： 三、知識學習AB（1）要求進行身份認證（2）同意進行認證（3）互相確認身份（4）核查身份 確認無誤（2 2）電子商務安全認證體系電子商務安全認證體系SETSET安全體系安全體系 1996年，有重大實用價值和深遠影響的安全電子交易SET（Secure Electronic Transaction）安全體系產生了。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是事關重大的。由于設計合理，SET協議得到了IBM、Micro

15、soft等許多大公司的支持，已成為事實上的工業標準。三、知識學習SETSET安全體系安全體系 SET安全協議要達到的目標主要有五個： 信息傳輸的安全性。 信息的相互隔離。 多方認證的解決。 效仿EDI貿易形式。 交易的實時性。 三、知識學習SETSET的交易成員的交易成員持卡人消費者網上商家收單銀行支付網關發卡銀行電子貨幣發行公司或兼有電子貨幣發行的銀行認證中心CA可信賴、公正的組織三、知識學習SET軟件系統的組成三、知識學習三、知識學習SETSET的認證過程的認證過程 注冊登記 動態認證 商業機構處理三、知識學習SETSET協議的安全技術協議的安全技術將所有消息文本用雙鑰密碼體制加密；將上述

16、密鑰的公鑰和私鑰的字長增加到512B2048B；采用聯機動態的授權（Authority和認證檢查（Certificate），以確保交易過程的安全可靠。（3 3） 信用認證信用認證 我國電子商務的信用模式主要采取四種典型的信用模式： 中介人模式。 擔保人模式。 網站經營模式。 委托授權經營模式。三、知識學習6/2/2022四、實踐訓練情景與數據情景與數據 近年來，電子商務因其便捷性、低成本性被各界看好而迅速發展，與此同時，電子商務安全隱患卻在網絡交易的過程中也不斷凸顯，如購物網站被黑、用戶密碼被盜、賬戶消失、網站被攻擊等。這導致用戶網購日益謹慎，網絡銷售受到很大影響。光明商城就曾有黑客的光臨，給

17、商城造成了不小的損失。為此光明服裝股份有限公司為加強光明商城銷售平臺的安全運作，一方面加強了公司內部軟硬件安全的防范，另一方面主動到天信電子商務認證中心平臺申請通過了CA認證和信用認證，并在簽訂合同時使用了電子簽章技術。 光明商城申請CA認證，并在全搜咨詢公司的平臺上建立企業的信用認證檔案，同時，兩家公司在簽訂合同時都使用電子簽章技術，以保證合同的安全性，這一系列活動在電子商務活動中稱為電子商務安全。6/2/2022四、實踐訓練任務實踐任務實踐完成上述學習情景，包括以下三項任務：CA證書申請與安裝；企業信用認證申請；電子簽章。情景分析情景分析 在電子商務安全中共涉及光明商城股份有限公司和全搜咨

18、詢有限公司兩個角色，需要經過以下幾個環節：光明商城股份有限公司申請CA證書并安裝；光明商城股份有限公司申請企業信用認證；光明商城股份有限公司和全搜咨詢有限公司簽訂合同，并使用電子簽章技術。6/2/2022五、學習小結6/2/2022六、同步測試一、選擇題一、選擇題1、電子商務的安全性不包括（ ）。A、 保密性 B、及時性 C、完整性 D、不可否認性和匿名性2、（ ）用于證明信息的完整性和準確性，主要用于防止原文被篡改。A、數字簽名 B、數字摘要技術 C、數字時間戳 D、身份認證技術3、（ ）是最安全的身份認證技術。A、基于口令 B、基于密碼 C、基于智能卡 D、基于生物特征4、下列哪種我國電子商務的信用模式不屬于典型的信用模式。（ ）A、中介人模式 B、擔保人模式 C、網站經營模式 D、自主經營模式5、（ ）是網絡中最基本的安全技術。A、數據加