網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)第11章電子商務(wù)的安全管理課件

第11章電子商務(wù)的安全管理

教育部高校管理與工程教學(xué)指導(dǎo)委員會(huì)、機(jī)械工業(yè)出版社網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)主編賈鐵軍副主編嵩天常艷編著王雄俞小怡劉雪飛蘇慶剛宋少婷全國高校管理與工程類學(xué)科系列規(guī)劃教材第11章電子商務(wù)的安全管理教育部高校管理與工程教學(xué)指導(dǎo)委目錄11.2電子商務(wù)安全管理制度211.3電子商務(wù)安全協(xié)議和證書311.4數(shù)字證書獲取與管理實(shí)驗(yàn)4

11.1電子商務(wù)安全管理概述1

11.5電子商務(wù)安全解決方案511.6本章小結(jié)6目錄11.2電子商務(wù)安全管理制度211目錄本章要點(diǎn)●電子商務(wù)的安全管理制度●電子商務(wù)安全協(xié)議和證書●電子商務(wù)安全管理解決方案教學(xué)目標(biāo)●了解電子商務(wù)安全技術(shù)的概念●理解電子商務(wù)安全管理制度制定的原則●掌握基本安全協(xié)議IPSec、SSL、SET和3-DSECURE●學(xué)會(huì)運(yùn)用安全管理解決方案重點(diǎn)目錄本章要點(diǎn)重點(diǎn)11.1.1電子商務(wù)概述1.電子商務(wù)的概念在對(duì)電子商務(wù)認(rèn)知識(shí)的發(fā)展和完善過程中，各國政府，學(xué)者和企業(yè)對(duì)其基本概念給出了不同的詮釋。

全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：電子商務(wù)是以電子通信為手段的經(jīng)濟(jì)活動(dòng)，通過這種方式對(duì)帶有經(jīng)濟(jì)價(jià)值的產(chǎn)品和服務(wù)進(jìn)行宣傳，購買和結(jié)算。

IBM公司對(duì)電子商務(wù)的解釋是，電子商務(wù)是在Internet的廣泛聯(lián)系與傳統(tǒng)信息技術(shù)系統(tǒng)豐富資源相結(jié)合的背景下產(chǎn)生的一種在互聯(lián)網(wǎng)上展開的互相關(guān)聯(lián)的動(dòng)態(tài)商務(wù)活動(dòng)。

“全球電子商務(wù)綱要”是美國政府電子商務(wù)發(fā)展政策的綱領(lǐng)性文件，其中把電子商務(wù)定義為“通過Internet進(jìn)行的各項(xiàng)商務(wù)活動(dòng)，包括廣告、交易、支付和服務(wù)等”。

11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：

電子商務(wù)概念的總結(jié)

政府、企業(yè)和個(gè)人利用現(xiàn)代計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)商業(yè)活動(dòng)的全過程。是一種基于互聯(lián)網(wǎng)，以交易雙方為主體，以銀行電子支付和結(jié)算為手段，以客戶數(shù)據(jù)為依托的商務(wù)模式。電子商務(wù)是集企業(yè)管理信息化、金融電子化和商貿(mào)信息網(wǎng)絡(luò)化為一體，旨在實(shí)現(xiàn)信息流、現(xiàn)金流和物流的流動(dòng)成本最小化，效率和效益最大化的現(xiàn)代貿(mào)易方式。11.1電子商務(wù)安全管理概述11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(1)按照參與交易的對(duì)象劃分

2)企業(yè)對(duì)消費(fèi)者(BusinesstoCustomer，B2C)模式，是指商業(yè)企業(yè)與個(gè)體消費(fèi)者間進(jìn)行的商業(yè)活動(dòng)。以網(wǎng)絡(luò)零售業(yè)為主線，目前有當(dāng)當(dāng)網(wǎng)，卓越網(wǎng)等成功案例。3)消費(fèi)者對(duì)消費(fèi)者(CustomertoCustomer，C2C)模式，也稱網(wǎng)上拍賣模式。其中代表有淘寶網(wǎng)。1)企業(yè)對(duì)企業(yè)(BusinesstoBusiness，B2B)模式，是指商業(yè)企業(yè)之間產(chǎn)生的商業(yè)活動(dòng)。例如，國內(nèi)著名電子商務(wù)網(wǎng)站“阿里巴巴”。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2)企業(yè)對(duì)消費(fèi)者(Busine11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(2)按照交易產(chǎn)品的類型劃分

2)無形商品交易模式，是指以信息載體形式出現(xiàn)的商品，以網(wǎng)上訂閱、付費(fèi)瀏覽、廣告支持和網(wǎng)上贈(zèng)與的方式來實(shí)現(xiàn)交易。1)實(shí)物商品交易模式，是指?jìng)鹘y(tǒng)的有形商品和勞務(wù)，通過互聯(lián)網(wǎng)進(jìn)行交易撮合，而交付時(shí)通過傳統(tǒng)物流來實(shí)現(xiàn)交易

。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2)無形商品交易模式，是指以信3.電子商務(wù)的交易流程

消費(fèi)者物流中心商家銀行或金融機(jī)構(gòu)企業(yè)或政府認(rèn)證機(jī)構(gòu)電子商務(wù)交易涉及相關(guān)部門11.1電子商務(wù)安全管理概述3.電子商務(wù)的交易流程消費(fèi)者物流中心商家銀行或企業(yè)或政府認(rèn)電子商務(wù)的交易流程分為五個(gè)環(huán)節(jié)

交易前期準(zhǔn)備

交易商談和簽訂合同

正式交易前的手續(xù)辦理

交易合同的履行

索賠和復(fù)議

買賣雙方和參加交易的各方在互聯(lián)網(wǎng)的平臺(tái)上隨時(shí)隨地進(jìn)行簽約前的準(zhǔn)備活動(dòng)。買賣雙方通過網(wǎng)絡(luò)平臺(tái)對(duì)相關(guān)交易細(xì)節(jié)進(jìn)行談判，在必要的確認(rèn)和核實(shí)的基礎(chǔ)上，將雙方磋商的結(jié)果確定為電子貿(mào)易合同。買賣雙方簽訂合同后到合同開始履行前辦理各種手續(xù)的過程。賣方要備貨,組貨,包裝,起運(yùn)和發(fā)貨。雙方通過物流跟蹤系統(tǒng)掌握貨物的流轉(zhuǎn),金融機(jī)構(gòu)按照合同記錄和保存應(yīng)付款項(xiàng),當(dāng)買方確認(rèn)后,完成放款。受損方向違約方提出索賠和復(fù)議請(qǐng)求，并履行其商定方案。11.1電子商務(wù)安全管理概述電子商務(wù)的交易流程分為五個(gè)環(huán)節(jié)交易前期準(zhǔn)備交易商談和簽訂合11.1.2

電子商務(wù)安全問題的特征

1.電子商務(wù)系統(tǒng)自身的安全問題

2.交易傳輸過程中的信息安全3.電子商務(wù)企業(yè)內(nèi)部安全管理隱患4.電子商務(wù)安全的法律保障5.電子商務(wù)的信用安全問題6.電子商務(wù)的支付安全問題

11.1電子商務(wù)安全管理概述11.1.2電子商務(wù)安全問題的特征11.1電子商務(wù)安全管11.1.3

電子商務(wù)安全的概念

1.物理層的安全管理電子商務(wù)應(yīng)用系統(tǒng)實(shí)體設(shè)備的安全管理

2.軟件層的安全管理電子商務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全管理3.人事層的安全管理在電子商務(wù)交易過程中涉及到人員的安全管理4.信用安全的管理在電子商務(wù)交易過程中建立安全可靠的信用管理體制

5.電子商務(wù)安全立法

逐步推進(jìn)和制定相關(guān)電子商務(wù)的法律法規(guī)

11.1電子商務(wù)安全管理概述11.1.3電子商務(wù)安全的概念11.1電子商務(wù)安全管理概11.1.4

電子商務(wù)安全管理的要素

11.1電子商務(wù)安全管理概述數(shù)據(jù)有效性管理

數(shù)據(jù)完整性管理

不可否認(rèn)性管理

系統(tǒng)可靠性管理

信息保密性管理

11.1.4電子商務(wù)安全管理的要素11.1電子商務(wù)安全管11.1.5

電子商務(wù)安全管理的體系結(jié)構(gòu)

11.1電子商務(wù)安全管理概述11.1.5電子商務(wù)安全管理的體系結(jié)構(gòu)11.1電子商務(wù)安

課堂討論什么是電子商務(wù)？你應(yīng)用過哪些電子商務(wù)產(chǎn)品？分析一下電子商務(wù)安全管理的幾大要素。電子商務(wù)的交易流程一般分幾個(gè)步驟？11.1電子商務(wù)安全管理概述

課堂討論11.1電子商務(wù)安全管理概述11.2.1

電子商務(wù)安全管理的原則

1.安全責(zé)任到人的管理原則2.專職安全管理原則3.減少人為因素原則4.多人或交叉負(fù)責(zé)原則5.人員輪崗原則6.最小權(quán)限原則11.2電子商務(wù)的安全管理制度11.2.1電子商務(wù)安全管理的原則11.2電子商務(wù)的安全11.2.2

電子商務(wù)安全管理制度的內(nèi)涵

應(yīng)用系統(tǒng)集成安全管理制度

數(shù)據(jù)存儲(chǔ)和管理制度

網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度

人員安全管理制度

11.2電子商務(wù)的安全管理制度一些新的IT技術(shù)在電子商務(wù)系統(tǒng)中的應(yīng)用，如無線網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)、遠(yuǎn)程辦公等，使電子商務(wù)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)更加復(fù)雜化。威脅電子商務(wù)安全的因素涉及電子商務(wù)應(yīng)用系統(tǒng)集成、數(shù)據(jù)存儲(chǔ)和管理、網(wǎng)絡(luò)傳輸系統(tǒng)和人員安全管理四方面的內(nèi)容。因此，電子商務(wù)安全管理制度的內(nèi)涵也主要針對(duì)這四方面做出具體的規(guī)范和制約。11.2.2電子商務(wù)安全管理制度的內(nèi)涵11.2電子商務(wù)的1.應(yīng)用系統(tǒng)集成安全管理制度11.2電子商務(wù)的安全管理制度應(yīng)用系統(tǒng)集成安全管理制度是從軟件開發(fā)過程就已經(jīng)滲透的，對(duì)安全問題考慮不周或缺乏整體的規(guī)劃會(huì)給應(yīng)用系統(tǒng)的使用帶來無法彌補(bǔ)的硬傷，所以必須在概要設(shè)計(jì)階段就專題規(guī)劃安全管理的策略；其次，承載著應(yīng)用系統(tǒng)的操作系統(tǒng)的管理也是不可忽視的重要組成部分。操作系統(tǒng)的動(dòng)態(tài)連接模式，文件交互功能，系統(tǒng)進(jìn)程等待和為系統(tǒng)開發(fā)人員預(yù)留的無口令登錄，都需要得到有效的管理和限制。最后，應(yīng)用系統(tǒng)本身的維護(hù)和操作管理更是重中之重，直接關(guān)系到電子商務(wù)系統(tǒng)的安全性和可靠性。1.應(yīng)用系統(tǒng)集成安全管理制度11.2電子商務(wù)的安全管理制度2.數(shù)據(jù)存儲(chǔ)和管理制度

11.2電子商務(wù)的安全管理制度電子商務(wù)系統(tǒng)中的數(shù)據(jù)庫和其它計(jì)算機(jī)系統(tǒng)一樣，是系統(tǒng)的靈魂和核心所在，數(shù)據(jù)存儲(chǔ)和管理制度是保證數(shù)據(jù)庫在極端情況下也能維持正常功能，而且不被非法入侵和蓄意破壞。比如當(dāng)數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)和由于錯(cuò)誤信息的輸入而造成無效操作和錯(cuò)誤結(jié)果的情況?；蛘咴诙鄠€(gè)用戶并行地存取共享數(shù)據(jù)資源時(shí)，就可能造成取出時(shí)的數(shù)據(jù)和存入時(shí)的數(shù)據(jù)不一致的結(jié)果。這就需要采用具備良好的自身保護(hù)機(jī)制和并發(fā)處理機(jī)制的分布式數(shù)據(jù)庫管理系統(tǒng)來完成，使得外部用戶無法破解存儲(chǔ)在單元表中的信息。并利用系統(tǒng)自身的加密功能防御外來程序的攻擊。2.數(shù)據(jù)存儲(chǔ)和管理制度11.2電子商務(wù)的安全管理制度3.網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度

11.2電子商務(wù)的安全管理制度電子商務(wù)系統(tǒng)的流轉(zhuǎn)必須通過網(wǎng)絡(luò)傳輸完成，在信息中心沒有找到入侵缺口的攻擊者就會(huì)將網(wǎng)絡(luò)傳輸定為攻擊的下一個(gè)重要目標(biāo)。國際標(biāo)準(zhǔn)化（ISO）把網(wǎng)絡(luò)管理制度劃分為五個(gè)領(lǐng)域，分別是：故障、性能，配置，記賬和安全?！肮收瞎芾怼必?fù)責(zé)檢測(cè)或發(fā)現(xiàn)異常的網(wǎng)絡(luò)運(yùn)轉(zhuǎn)，隔離并控制網(wǎng)絡(luò)問題?！靶阅芄芾怼必?fù)責(zé)分析網(wǎng)絡(luò)出錯(cuò)率及網(wǎng)絡(luò)吞吐率，以建立合理、優(yōu)化的網(wǎng)絡(luò)運(yùn)行狀態(tài)?！坝涃~管理”負(fù)責(zé)搜集資源、處理資源和利用數(shù)據(jù)?！芭渲霉芾怼必?fù)責(zé)檢測(cè)網(wǎng)絡(luò)的物理和邏輯配置,把握和控制網(wǎng)絡(luò)狀態(tài)。

“安全管理”負(fù)責(zé)控制各種對(duì)網(wǎng)絡(luò)的訪問。通過對(duì)這五個(gè)領(lǐng)域的網(wǎng)絡(luò)管理制度的細(xì)化，可以更有效地防范在網(wǎng)絡(luò)傳輸環(huán)節(jié)上的系統(tǒng)風(fēng)險(xiǎn)。3.網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度11.2電子商務(wù)的安全管理制4.人員安全管理制度

11.2電子商務(wù)的安全管理制度計(jì)算機(jī)網(wǎng)絡(luò)犯罪，往往具備智能型、隱蔽性和連續(xù)性的特點(diǎn)。一些所謂精英，抓住系統(tǒng)漏洞，自以為技高一籌，可以做到不露蛛絲馬跡，而鋌而走險(xiǎn)。結(jié)果從企業(yè)的骨干力量嬗變成可悲的犯罪分子。所以需要有效的安全管理制度才能約束和糾正人員的行為，做到預(yù)防為主。安全制度的制定實(shí)施，首先要增強(qiáng)人員的整體安全意識(shí)，提高安全手段和策略實(shí)施的技巧，并區(qū)分不同對(duì)象，制定針對(duì)不同類型對(duì)象的不同安全管理制度。4.人員安全管理制度11.2電子商務(wù)的安全管理制度11.2.3電子商務(wù)系統(tǒng)的日常維護(hù)制度

1.執(zhí)行嚴(yán)格的出入管理制度2.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度3．對(duì)支撐軟件的日常維護(hù)制度4．嚴(yán)格執(zhí)行密碼管理規(guī)定和保密制度5．認(rèn)真執(zhí)行病毒防范制度6．運(yùn)行中心和開發(fā)調(diào)試機(jī)房隔離制度7．操作日志制度8．檢查考核制度

11.2電子商務(wù)的安全管理制度11.2電子商務(wù)的安全管理制度11.2.5

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

11.2電子商務(wù)的安全管理制度11.2.4

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

課堂討論1.如何減少人為因素對(duì)電子商務(wù)安全的干擾？2.結(jié)合具體單位，制定本單位的機(jī)房安全管理細(xì)則。3.電子商務(wù)中的災(zāi)難事件是指什么？11.2.5備份、審計(jì)和應(yīng)急管理11.2電子商務(wù)的安全管11.3.1

電子商務(wù)安全協(xié)議概述表11-1常用安全協(xié)議概要

協(xié)議名稱

層次

協(xié)

議

概

要

S-HTTP應(yīng)用層EIT公司開發(fā)的基于HTTP協(xié)議的安全協(xié)議，僅適用于HTTP連接，可提供通信保密、身份識(shí)別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等功能。

S/MIME應(yīng)用層應(yīng)用層郵件傳輸協(xié)議MIME上實(shí)現(xiàn)的郵件傳輸安全協(xié)議，可以實(shí)現(xiàn)郵件加密和數(shù)字署名。常見的OutlookExpress和NetscapeMessenger等通信軟件都實(shí)裝此協(xié)議。SET應(yīng)用層Visa和Master信用卡組織共同開發(fā)的在網(wǎng)上利用信用卡進(jìn)行安全支付的協(xié)議。3-DSECURE應(yīng)用層

Visa信用卡組織為克服SET協(xié)議復(fù)雜難用的缺點(diǎn)推出的支付用新的安全協(xié)議。比SET的安全性稍弱，但是大大提高了易用性。SSL/TLS傳輸層SSL是Netscape公司開發(fā)的用于對(duì)互聯(lián)網(wǎng)上數(shù)據(jù)進(jìn)行加密傳輸?shù)囊粋€(gè)協(xié)議。IETF在SSL3.0的基礎(chǔ)上進(jìn)行了標(biāo)準(zhǔn)化，被稱為TLS協(xié)議。IPsec網(wǎng)絡(luò)層IETF制定的一組基于IP網(wǎng)絡(luò)的安全通訊協(xié)議，包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等。

PPTP鏈路層由微軟公司開發(fā)的安全協(xié)議，除了是建立在數(shù)據(jù)鏈路層上之外，功能和IPsec基本相同，這使得它在一些不能使用IPsec的網(wǎng)絡(luò)里也可以用該協(xié)議來建立VPN。11.3電子商務(wù)安全協(xié)議和證書11.3.1電子商務(wù)安全協(xié)議概述協(xié)議名稱層次協(xié)議概11.3.2基于網(wǎng)絡(luò)層的安全協(xié)議-IPSec

IPsec是一系列協(xié)議的總稱，下面介紹其中核心的三個(gè)協(xié)議：IKE（InternetKeyExchange）協(xié)議

ESP（EncapsulatingSecurityPayload）協(xié)議

AH（AuthenticationHeader）協(xié)議11.3電子商務(wù)安全協(xié)議和證書

IPsec協(xié)議是由國際標(biāo)準(zhǔn)化組織IETF制定的加密通信協(xié)議，IPsec的特征是不僅僅針對(duì)某種應(yīng)用程序提供加密功能，而且是提供把主機(jī)間的所有通信都加密的一種通信方式。IPsec并沒有指定特定的加密算法，因?yàn)殡S著計(jì)算機(jī)計(jì)算能力的增強(qiáng)，原來安全的加密算法將變得不再安全，可以靈活變更加密算法的設(shè)計(jì)使得IPsec能夠有更長(zhǎng)久的生命力。11.3.2基于網(wǎng)絡(luò)層的安全協(xié)議-IPSec11.3電子

1.密碼交換協(xié)議-IKE

IKE加密通信由兩個(gè)階段構(gòu)成，第一階段在決定第二階段的加密算法的同時(shí)，生成密鑰。這時(shí)利用Diffie-Hellman密鑰交換方式，通信雙方互送一個(gè)隨機(jī)數(shù)，并根據(jù)這個(gè)隨機(jī)數(shù)生成一個(gè)雙方共用的密鑰，而網(wǎng)絡(luò)竊密者即使得到了同樣的隨機(jī)數(shù)，也不能在短時(shí)間內(nèi)生成這個(gè)密鑰。在生成了這個(gè)密鑰后，就進(jìn)入第二階段，變成IKE密碼通信。在這個(gè)階段雙方交涉完成加密算法確定，密鑰交換工作，為以后的數(shù)據(jù)通信做好準(zhǔn)備。在這個(gè)階段，SPI（SecurityPointerIndex）也被確定下來，SPI是一個(gè)32位的整數(shù)，包含有通信中使用的加密算法和密鑰信息，在以后的數(shù)據(jù)通信中SPI被插入到每個(gè)通信的數(shù)據(jù)包中。11.3電子商務(wù)安全協(xié)議和證書IKE加密通信由兩個(gè)階段構(gòu)成，第一階段

2.數(shù)據(jù)傳送協(xié)議-ESP

圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖11.3電子商務(wù)安全協(xié)議和證書圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖11.3電

3.安全性和認(rèn)證協(xié)議-AH

AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播確保，它能保護(hù)通信免受篡改，但不能防止竊聽，適合用于傳輸非機(jī)密數(shù)據(jù)，它可以在一些不允許使用加密通信的場(chǎng)合保證最低限度的安全性和認(rèn)證能力。AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)頭。此報(bào)頭包含一個(gè)帶密鑰的MAC數(shù)據(jù)，和上一節(jié)講述的一樣，這個(gè)MAC數(shù)據(jù)根據(jù)整個(gè)數(shù)據(jù)包來計(jì)算，對(duì)數(shù)據(jù)的任何更改將導(dǎo)致MAC數(shù)據(jù)無效，這樣就提供了完整性保護(hù)。11.3電子商務(wù)安全協(xié)議和證書AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)11.3.3基于傳輸層的安全協(xié)議-SSL

SSL安全協(xié)議的原理和構(gòu)造SSL(SecureSocketLayer)協(xié)議是加密、認(rèn)證以及完整性保證的協(xié)議。該協(xié)議位于OSI模型的第五層會(huì)話層和第四層傳輸層之間，從應(yīng)用層來看是完全透明的，可以方便地應(yīng)用于HTTP、FTP、TELNET等協(xié)議之下。11.3電子商務(wù)安全協(xié)議和證書11.3.3基于傳輸層的安全協(xié)議-SSL11.311.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECURESET協(xié)議

SET協(xié)議是用于網(wǎng)上信用卡支付的協(xié)議，由美國Visa組織和Master組織共同開發(fā)，微軟、網(wǎng)景、IBM等公司聯(lián)合進(jìn)行了標(biāo)準(zhǔn)化的一個(gè)協(xié)議。它的加密算法采用DES或RSA，數(shù)字簽名采用RSA方式。為了能夠進(jìn)行安全的交易，該協(xié)議規(guī)定會(huì)員（消費(fèi)者），加盟店（網(wǎng)上商店），支付金融機(jī)關(guān)（信用卡公司、銀行等）這三者都必須取得證書，并為他們制定了嚴(yán)格的交易流程。利用SET協(xié)議前，首先要在客戶端安裝的電子錢包軟件，另外還要按照規(guī)定手續(xù)，取得數(shù)字證書。取得證書后就可以進(jìn)行交易。11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECU11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECURE2.3-DSECURE協(xié)議Visa組織于2001年5月推出了新一代的互聯(lián)網(wǎng)的結(jié)算用協(xié)議3-DSECURE（3-DomainSecure）。國際上的另外兩大信用卡組織Master和JCB也宣布支持這個(gè)協(xié)議。和SET相比，消費(fèi)者不用事先安裝證書或其他軟件，加盟店也能夠以較低廉的費(fèi)用導(dǎo)入該系統(tǒng)，因此近年來得到了一定程度的普及。3-DSecure是把SSL交易分為發(fā)卡行域、收單行域以及它們之間的互操作域三個(gè)領(lǐng)域、每次進(jìn)行信用卡交易都由發(fā)卡行域和收單行域獨(dú)立進(jìn)行消費(fèi)者和加盟店的認(rèn)證，認(rèn)證通過后，再進(jìn)行正常的信用卡授信過程。11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECU11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.5數(shù)字證書的原理和概念

數(shù)字證書就是由具有公信力的認(rèn)證機(jī)構(gòu)（CA）發(fā)行的用來證明其中包含的公開鍵的真實(shí)有效性的一組數(shù)據(jù)。這組數(shù)據(jù)中包含有公開鍵、加密算法信息、所有者的數(shù)據(jù)、證明機(jī)關(guān)的數(shù)字簽名和證明書的有效期間等信息。國內(nèi)首批獲得信息產(chǎn)業(yè)部頒發(fā)的電子認(rèn)證服務(wù)許可證書，成為取得國家電子認(rèn)證服務(wù)資格的8家機(jī)構(gòu)有山東省數(shù)字證書認(rèn)證中心、銀聯(lián)金融認(rèn)證中心、北京天威誠信電子商務(wù)服務(wù)和上海市數(shù)字證書認(rèn)證中心等。11.3電子商務(wù)安全協(xié)議和證書11.3.5數(shù)字證書的原理和概念11.3電子商務(wù)安全協(xié)議X509證書是最為廣泛使用的證書，是ISO組織制定的標(biāo)準(zhǔn)規(guī)格。內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。這里就以X509證書為例來說明數(shù)字證書的構(gòu)造，證書的每一項(xiàng)內(nèi)容解釋如下：Version：版本，該項(xiàng)是可選項(xiàng)，默認(rèn)是v1。SerialNumber：認(rèn)證機(jī)構(gòu)發(fā)行的唯一的序列號(hào)，有了這個(gè)序列號(hào)，即使給同一個(gè)被認(rèn)證者發(fā)行過多次證書，也可以予以區(qū)別。SignatureAlgorithm：數(shù)字署名用的算法。Issuer：證書發(fā)行者的別名。Validity：證書的有效日期（開始日，結(jié)束日）。Subject：證明對(duì)象的識(shí)別名。SubjectPublicKeyInfo：公開鍵信息（算法，鍵值）。X509v3extensions：可選項(xiàng)，版本3的擴(kuò)展內(nèi)容Signature：數(shù)字簽名部分11.3電子商務(wù)安全協(xié)議和證書X509證書是最為廣泛使用的證書，是ISO組織制定的標(biāo)準(zhǔn)規(guī)格

課堂討論1.總結(jié)Ipsec協(xié)議的功能和特點(diǎn)。2.試分析SSL協(xié)議的原理和構(gòu)造？3.嘗試在現(xiàn)有的系統(tǒng)上加載客戶證書的實(shí)驗(yàn)。11.3電子商務(wù)安全協(xié)議和證書

課堂討論11.3電子商務(wù)安全協(xié)議和證書11.4.1電子支付的概念

所謂電子支付，是指從事電子商務(wù)交易的當(dāng)事人，包括消費(fèi)者、商家和金融機(jī)構(gòu)等，通過計(jì)算機(jī)信息網(wǎng)絡(luò)，使用安全的信息傳輸手段，采用數(shù)字化方式進(jìn)行的貨幣支付或資金流轉(zhuǎn)。與傳統(tǒng)的支付方式相比，電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。只要能夠連接到互聯(lián)網(wǎng)，用戶可以利用電腦、手機(jī)等通信終端設(shè)備，足不出戶，在短時(shí)間內(nèi)完成整個(gè)支付過程。而支付的費(fèi)用和所需的時(shí)間卻要比傳統(tǒng)支付要低得多。11.4電子商務(wù)安全解決方案11.4.1電子支付的概念所謂電子支付，是指從事電子商務(wù)11.4.2第三方支付概述及解決方案

第三方支付，是指一些獨(dú)立于電子商務(wù)中買方和賣方的第三方機(jī)構(gòu)設(shè)立的為買方和賣方順利實(shí)現(xiàn)交易提供支付中介服務(wù)的支付方式。第三方機(jī)構(gòu)往往是信譽(yù)良好的大企業(yè)或者銀行等。在買方和賣方看來，通過第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)，交易更方便快捷，更有安全保障。在交易中，買方選購商品后，使用第三方平臺(tái)進(jìn)行貨款支付，這時(shí)貨款并沒有實(shí)際支付給賣方，而是由第三方予以臨時(shí)保管；此時(shí)第三方通知賣家貨款已到達(dá)，可以進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知第三方付款給賣家，第三方再將款項(xiàng)真正轉(zhuǎn)至賣家賬戶。11.4電子商務(wù)安全解決方案11.4.2第三方支付概述及解決方案第三方支付，是指一些11.4電子商務(wù)安全解決方案11.4電子商務(wù)安全解決方案11.4.3移動(dòng)支付概述及解決方案

移動(dòng)支付（又稱手機(jī)支付）是指用戶使用移動(dòng)手持設(shè)備，通過無線網(wǎng)絡(luò)（包括移動(dòng)通信網(wǎng)絡(luò)和廣域網(wǎng)）購買實(shí)體或虛擬物品以及各種服務(wù)的一種新型支付方式。隨著手機(jī)的普及和網(wǎng)上購物等小額支付的巨大市場(chǎng)需求，移動(dòng)支付的產(chǎn)業(yè)化初露端倪，移動(dòng)支付正逐漸被越來越多的人接受。移動(dòng)支付的方式大體上可以分為兩大類，一類是利用手機(jī)的移動(dòng)通信功能的遠(yuǎn)程支付方式，另一類是在手機(jī)中利用NFC、RFID等技術(shù)實(shí)現(xiàn)的非接觸式支付方式。11.4電子商務(wù)安全解決方案11.4.3移動(dòng)支付概述及解決方案移動(dòng)支付（又稱手機(jī)支付11.2.5

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

11.4電子商務(wù)安全解決方案11.4.4電子商務(wù)安全技術(shù)發(fā)展趨勢(shì)1.生物認(rèn)證技術(shù)2.量子加密技術(shù)3.IPV6技術(shù)

課堂討論1.討論關(guān)于電子支付的現(xiàn)在和未來。2.試分析日本的錢包手機(jī)在中國實(shí)施的可行性。3.討論哪一種生物認(rèn)證技術(shù)最有可能在未來五十年占有市場(chǎng)。11.2.5備份、審計(jì)和應(yīng)急管理11.4電子商務(wù)安全解決11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)在上一節(jié)了解了數(shù)字證書的原理的基礎(chǔ)上，本節(jié)來學(xué)習(xí)如何獲取證書和對(duì)證書的管理。為了更好地理解證書的生成過程，將自己動(dòng)手建立一個(gè)CA認(rèn)證中心，通過這個(gè)CA來發(fā)放證書。

11.5.1實(shí)驗(yàn)?zāi)康?/p>

進(jìn)行如何獲取證書和對(duì)證書的管理實(shí)驗(yàn)，主要具有3個(gè)目的：學(xué)習(xí)利用開源軟件建立自我認(rèn)證中心，發(fā)行客戶端，

服務(wù)器端證書的過程。(2)學(xué)習(xí)Win32OpenSSL-0.98k，ActivePerl-5.10.1等

開源軟件的安裝和使用。(3)學(xué)習(xí)電子商務(wù)網(wǎng)站中使用證書認(rèn)證時(shí)的配置方式。11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)在上一節(jié)了解11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.2

實(shí)驗(yàn)要求及方法1.實(shí)驗(yàn)設(shè)備本試驗(yàn)使用一臺(tái)安裝有WindowsXP操作系統(tǒng)的計(jì)算機(jī)，在網(wǎng)上下載并事先安裝下列軟件，WEB服務(wù)器tomcat6.0.20，JDK6,發(fā)行證書用的Win32OpenSSL-0.98k，另外為了在win32下運(yùn)行Perl腳本，還需要安裝ActivePerl-5.10.1。2.注意事項(xiàng)(1)預(yù)習(xí)準(zhǔn)備提前對(duì)這些軟件的功能和使用方式做一些了解，以利于對(duì)于試驗(yàn)內(nèi)容的更好理解。(2)注意弄懂實(shí)驗(yàn)原理、理解各步驟的含義對(duì)于操作的每一步要著重理解其原理，對(duì)于證書制作過程中的各種中間文件、最終生成的證書、證書導(dǎo)入操作等要充分理解其作用和含義。實(shí)驗(yàn)用時(shí)：3學(xué)時(shí)（120-150分鐘）11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.2實(shí)驗(yàn)要求及方11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.3實(shí)驗(yàn)內(nèi)容及步驟

證書的發(fā)行管理及使用需要如下幾個(gè)步驟(1)建立CA；(2)發(fā)行服務(wù)器端證書；(3)發(fā)行客戶端證書；(4)修改Tomcat設(shè)置；(5)向?yàn)g覽器導(dǎo)入證書；(6)使用證書訪問網(wǎng)站。下面將分步進(jìn)行詳細(xì)說明。準(zhǔn)備工作：首先在C盤下建立一個(gè)C:/web/ssl目錄，在這個(gè)目錄下建ca,server,client三個(gè)子目錄，分別用來存放CA信息,服務(wù)器端證書信息，客戶端證書信息。11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.3實(shí)驗(yàn)內(nèi)容及步11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(1)建立CA；首先把OpenSSL的bin目錄中的CA.pl、openssl.cfg文件拷貝到C:/web/ssl/ca下，并把openssl.cfg文件中[CA_default]下的dir變量作如下修改：dir=c:/web/ssl/ca 修改完成后，運(yùn)行下面的Perl腳本：CA.pl-newca按照提示依次輸入國名、省市名稱、公司部門名稱等信息，如圖11-10所示。

圖11-10CA注冊(cè)信息11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(1)建立CA；11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)上述命令執(zhí)行完后會(huì)在C:/web/ssl/ca下生成一系列文件和目錄，其中cacert.pem是CA的證書，private下的文件是CA的私鑰。把CA的證書轉(zhuǎn)換成Tomcat能夠識(shí)別的二進(jìn)制格式的證書opensslx509-incacert.pem-outformDER-outcacert.der(2)發(fā)行服務(wù)器端證書建立Tomcat用密鑰倉庫(keystore)，使用RSA算法，密鑰倉庫放在c:\web\ssl\keystore中，執(zhí)行下述命令：%JAVA_HOME%\bin\keytool-genkey-aliasserver-keyalgRSA-keystorec:\web\ssl\keystore.

如圖11-11所示。

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)上述命令執(zhí)行完后會(huì)在C:/11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)圖11-11發(fā)行服務(wù)器端證書11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)建立證書發(fā)行申請(qǐng)，文件名為serverreq.csr%JAVA_HOME%\bin\keytool-certreq-keyalgRSA-aliasserver-fileserverreq.csr-keystorec:\web\ssl\keystore利用上面生成的申請(qǐng)來發(fā)行證書，證書文件名為server.pem，隨后把證書轉(zhuǎn)換成二進(jìn)制格式的server.der，這里使用的openssl_server.cfg是配置文件，把CA使用的openssl.cfg拷貝到c:\web\ssl\server下，命名為openssl_client.cfg，去掉nsCertType=server行的注釋，然后執(zhí)行下面兩個(gè)命令。opensslca-configopenssl_server.cfg-inserverreq.csr-outserver.pemopensslx509-inserver.pem-outformDER-outserver.der

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)建立證書發(fā)行申請(qǐng)，文件名為11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)下一步是把上面生成的服務(wù)器端證書導(dǎo)入Tomcat密鑰倉庫，首先是CA證書，然后是服務(wù)器證書。%JAVA_HOME%\bin\keytool-import-aliasroot-file../ca/cacert.der-keystorec:\web\ssl\keystore顯示類似下面的畫面后，詢問是否信任這個(gè)認(rèn)證，回答“y”后，CA的根證書被正確加入到密鑰倉庫中。如圖11-12所示。圖11-12證書加載

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)下一步是把上面生成的服務(wù)器11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)用如下命令導(dǎo)入服務(wù)器證書。%JAVA_HOME%\bin\keytool-import-aliasserver-fileserver.der-keystorec:\web\ssl\keystore(如圖11-13所示)圖11-13導(dǎo)入服務(wù)器證書

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(3)發(fā)行客戶端證書首先把openssl.cfg拷貝到c:\web\ssl\client下，命名為openssl_client.cfg，然后去掉nsCertType=client,email行的注釋。生成客戶端用密鑰，文件名為client.key：Opensslgenrsa-des3-outclient.key1024，如圖11-14所示。

圖11-14發(fā)行客戶端證書

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(3)發(fā)行客戶端證書11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)生成客戶端證書要求，文件名為clientreq.pem：opensslreq-new-days365-keyclient.key-outclientreq.pem同上回答完類似圖11-9的國別、城市等注冊(cè)信息后，生成客戶端證書請(qǐng)求，然后利用該請(qǐng)求生成證書，文件名為client.pem：opensslca-configopenssl_client.cfg-inclientreq.pem-outclient.pem客戶端證書轉(zhuǎn)換成瀏覽器可用的PKCS12格式，文件名為client.p12opensslpkcs12-export-inclient.pem-inkeyclient.key-certfile../ca/cacert.pem-outclient.p12

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(4)修改Tomcat設(shè)置Tomcat配置文件server.xml中關(guān)于ssl的配置設(shè)置成下文所示的格式：<Connectorport="443"protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"clientAuth="true"sslProtocol="TLS"keystoreFile="c:/web/ssl/keystore"keystorePass="passwd"truststoreFile="c:/web/ssl/keystore"truststorePass="passwd"/>其中clientAuth="true"是指定必須要求客戶端證書，keystoreFile指定密鑰倉庫的文件名，keystorePass是密鑰倉庫的密碼，truststoreFile是指定可信賴的密鑰倉庫的文件名，這里和tomcat密鑰倉庫共用一個(gè)文件。truststorePass是可信賴的密鑰倉庫的密碼。

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(4)修改Tomcat設(shè)11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(5)向?yàn)g覽器中導(dǎo)入證書

選擇瀏覽器的工具→選項(xiàng)→內(nèi)容→證書→受信任的根證書頒發(fā)機(jī)構(gòu)→導(dǎo)入功能導(dǎo)入上面生成的CA的證書cacert.der，這樣這個(gè)CA發(fā)行的所有證書就都被認(rèn)為是安全的。導(dǎo)入后顯示如圖11-15所示：

圖11-15受信任的根證書

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(5)向?yàn)g覽器中導(dǎo)入證書11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(5)向?yàn)g覽器中導(dǎo)入證書選擇IE的工具→選項(xiàng)→內(nèi)容→證書→個(gè)人→導(dǎo)入功能導(dǎo)入客戶端client.p12證書。如圖11-16所示。

圖11-16導(dǎo)入客戶端證書

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(5)向?yàn)g覽器中導(dǎo)入證書11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(6)使用證書訪問服務(wù)器

在完成了上面所有準(zhǔn)備工作后，就可以訪問服務(wù)器了，啟動(dòng)Tomcat后，打開瀏覽器，在瀏覽器的地址欄里輸入https://localhost/,就會(huì)出現(xiàn)大家熟悉的Tomcat初始畫面。如圖11-17所示。

圖11-17啟動(dòng)設(shè)置完成的Tomcat

11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(6)使用證書訪問服務(wù)器11.6本章小結(jié)本章介紹了電子商務(wù)安全管理的概念特征、基本要素以及體系結(jié)構(gòu)，總結(jié)歸納了安全管理制度的原則內(nèi)涵、保密審計(jì)工作核心和應(yīng)急管理制度。在此基礎(chǔ)上講述了IPSec、SSL、SET、3-DSECURE四種重要安全協(xié)議的原理和構(gòu)造，并以實(shí)驗(yàn)的方式探討數(shù)字證書的獲取和管理方法。本章還對(duì)電子商務(wù)支付中很有實(shí)踐價(jià)值的第三方支付、發(fā)展迅速的移動(dòng)支付以及未來的電子商務(wù)技術(shù)發(fā)展趨勢(shì)進(jìn)行了概要論述和分析探討。11.6本章小結(jié)本章介紹了電子商務(wù)安全管理的概念特第11章電子商務(wù)的安全管理

教育部高校管理與工程教學(xué)指導(dǎo)委員會(huì)、機(jī)械工業(yè)出版社網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)主編賈鐵軍副主編嵩天常艷編著王雄俞小怡劉雪飛蘇慶剛宋少婷全國高校管理與工程類學(xué)科系列規(guī)劃教材第11章電子商務(wù)的安全管理教育部高校管理與工程教學(xué)指導(dǎo)委目錄11.2電子商務(wù)安全管理制度211.3電子商務(wù)安全協(xié)議和證書311.4數(shù)字證書獲取與管理實(shí)驗(yàn)4

11.1電子商務(wù)安全管理概述1

11.5電子商務(wù)安全解決方案511.6本章小結(jié)6目錄11.2電子商務(wù)安全管理制度211目錄本章要點(diǎn)●電子商務(wù)的安全管理制度●電子商務(wù)安全協(xié)議和證書●電子商務(wù)安全管理解決方案教學(xué)目標(biāo)●了解電子商務(wù)安全技術(shù)的概念●理解電子商務(wù)安全管理制度制定的原則●掌握基本安全協(xié)議IPSec、SSL、SET和3-DSECURE●學(xué)會(huì)運(yùn)用安全管理解決方案重點(diǎn)目錄本章要點(diǎn)重點(diǎn)11.1.1電子商務(wù)概述1.電子商務(wù)的概念在對(duì)電子商務(wù)認(rèn)知識(shí)的發(fā)展和完善過程中，各國政府，學(xué)者和企業(yè)對(duì)其基本概念給出了不同的詮釋。

全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：電子商務(wù)是以電子通信為手段的經(jīng)濟(jì)活動(dòng)，通過這種方式對(duì)帶有經(jīng)濟(jì)價(jià)值的產(chǎn)品和服務(wù)進(jìn)行宣傳，購買和結(jié)算。

IBM公司對(duì)電子商務(wù)的解釋是，電子商務(wù)是在Internet的廣泛聯(lián)系與傳統(tǒng)信息技術(shù)系統(tǒng)豐富資源相結(jié)合的背景下產(chǎn)生的一種在互聯(lián)網(wǎng)上展開的互相關(guān)聯(lián)的動(dòng)態(tài)商務(wù)活動(dòng)。

“全球電子商務(wù)綱要”是美國政府電子商務(wù)發(fā)展政策的綱領(lǐng)性文件，其中把電子商務(wù)定義為“通過Internet進(jìn)行的各項(xiàng)商務(wù)活動(dòng)，包括廣告、交易、支付和服務(wù)等”。

11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：

電子商務(wù)概念的總結(jié)

政府、企業(yè)和個(gè)人利用現(xiàn)代計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)商業(yè)活動(dòng)的全過程。是一種基于互聯(lián)網(wǎng)，以交易雙方為主體，以銀行電子支付和結(jié)算為手段，以客戶數(shù)據(jù)為依托的商務(wù)模式。電子商務(wù)是集企業(yè)管理信息化、金融電子化和商貿(mào)信息網(wǎng)絡(luò)化為一體，旨在實(shí)現(xiàn)信息流、現(xiàn)金流和物流的流動(dòng)成本最小化，效率和效益最大化的現(xiàn)代貿(mào)易方式。11.1電子商務(wù)安全管理概述11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(1)按照參與交易的對(duì)象劃分

2)企業(yè)對(duì)消費(fèi)者(BusinesstoCustomer，B2C)模式，是指商業(yè)企業(yè)與個(gè)體消費(fèi)者間進(jìn)行的商業(yè)活動(dòng)。以網(wǎng)絡(luò)零售業(yè)為主線，目前有當(dāng)當(dāng)網(wǎng)，卓越網(wǎng)等成功案例。3)消費(fèi)者對(duì)消費(fèi)者(CustomertoCustomer，C2C)模式，也稱網(wǎng)上拍賣模式。其中代表有淘寶網(wǎng)。1)企業(yè)對(duì)企業(yè)(BusinesstoBusiness，B2B)模式，是指商業(yè)企業(yè)之間產(chǎn)生的商業(yè)活動(dòng)。例如，國內(nèi)著名電子商務(wù)網(wǎng)站“阿里巴巴”。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2)企業(yè)對(duì)消費(fèi)者(Busine11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(2)按照交易產(chǎn)品的類型劃分

2)無形商品交易模式，是指以信息載體形式出現(xiàn)的商品，以網(wǎng)上訂閱、付費(fèi)瀏覽、廣告支持和網(wǎng)上贈(zèng)與的方式來實(shí)現(xiàn)交易。1)實(shí)物商品交易模式，是指?jìng)鹘y(tǒng)的有形商品和勞務(wù)，通過互聯(lián)網(wǎng)進(jìn)行交易撮合，而交付時(shí)通過傳統(tǒng)物流來實(shí)現(xiàn)交易

。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2)無形商品交易模式，是指以信3.電子商務(wù)的交易流程

消費(fèi)者物流中心商家銀行或金融機(jī)構(gòu)企業(yè)或政府認(rèn)證機(jī)構(gòu)電子商務(wù)交易涉及相關(guān)部門11.1電子商務(wù)安全管理概述3.電子商務(wù)的交易流程消費(fèi)者物流中心商家銀行或企業(yè)或政府認(rèn)電子商務(wù)的交易流程分為五個(gè)環(huán)節(jié)

交易前期準(zhǔn)備

交易商談和簽訂合同

正式交易前的手續(xù)辦理

交易合同的履行

索賠和復(fù)議

買賣雙方和參加交易的各方在互聯(lián)網(wǎng)的平臺(tái)上隨時(shí)隨地進(jìn)行簽約前的準(zhǔn)備活動(dòng)。買賣雙方通過網(wǎng)絡(luò)平臺(tái)對(duì)相關(guān)交易細(xì)節(jié)進(jìn)行談判，在必要的確認(rèn)和核實(shí)的基礎(chǔ)上，將雙方磋商的結(jié)果確定為電子貿(mào)易合同。買賣雙方簽訂合同后到合同開始履行前辦理各種手續(xù)的過程。賣方要備貨,組貨,包裝,起運(yùn)和發(fā)貨。雙方通過物流跟蹤系統(tǒng)掌握貨物的流轉(zhuǎn),金融機(jī)構(gòu)按照合同記錄和保存應(yīng)付款項(xiàng),當(dāng)買方確認(rèn)后,完成放款。受損方向違約方提出索賠和復(fù)議請(qǐng)求，并履行其商定方案。11.1電子商務(wù)安全管理概述電子商務(wù)的交易流程分為五個(gè)環(huán)節(jié)交易前期準(zhǔn)備交易商談和簽訂合11.1.2

電子商務(wù)安全問題的特征

1.電子商務(wù)系統(tǒng)自身的安全問題

2.交易傳輸過程中的信息安全3.電子商務(wù)企業(yè)內(nèi)部安全管理隱患4.電子商務(wù)安全的法律保障5.電子商務(wù)的信用安全問題6.電子商務(wù)的支付安全問題

11.1電子商務(wù)安全管理概述11.1.2電子商務(wù)安全問題的特征11.1電子商務(wù)安全管11.1.3

電子商務(wù)安全的概念

1.物理層的安全管理電子商務(wù)應(yīng)用系統(tǒng)實(shí)體設(shè)備的安全管理

2.軟件層的安全管理電子商務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的安全管理3.人事層的安全管理在電子商務(wù)交易過程中涉及到人員的安全管理4.信用安全的管理在電子商務(wù)交易過程中建立安全可靠的信用管理體制

5.電子商務(wù)安全立法

逐步推進(jìn)和制定相關(guān)電子商務(wù)的法律法規(guī)

11.1電子商務(wù)安全管理概述11.1.3電子商務(wù)安全的概念11.1電子商務(wù)安全管理概11.1.4

電子商務(wù)安全管理的要素

11.1電子商務(wù)安全管理概述數(shù)據(jù)有效性管理

數(shù)據(jù)完整性管理

不可否認(rèn)性管理

系統(tǒng)可靠性管理

信息保密性管理

11.1.4電子商務(wù)安全管理的要素11.1電子商務(wù)安全管11.1.5

電子商務(wù)安全管理的體系結(jié)構(gòu)

11.1電子商務(wù)安全管理概述11.1.5電子商務(wù)安全管理的體系結(jié)構(gòu)11.1電子商務(wù)安

課堂討論什么是電子商務(wù)？你應(yīng)用過哪些電子商務(wù)產(chǎn)品？分析一下電子商務(wù)安全管理的幾大要素。電子商務(wù)的交易流程一般分幾個(gè)步驟？11.1電子商務(wù)安全管理概述

課堂討論11.1電子商務(wù)安全管理概述11.2.1

電子商務(wù)安全管理的原則

1.安全責(zé)任到人的管理原則2.專職安全管理原則3.減少人為因素原則4.多人或交叉負(fù)責(zé)原則5.人員輪崗原則6.最小權(quán)限原則11.2電子商務(wù)的安全管理制度11.2.1電子商務(wù)安全管理的原則11.2電子商務(wù)的安全11.2.2

電子商務(wù)安全管理制度的內(nèi)涵

應(yīng)用系統(tǒng)集成安全管理制度

數(shù)據(jù)存儲(chǔ)和管理制度

網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度

人員安全管理制度

11.2電子商務(wù)的安全管理制度一些新的IT技術(shù)在電子商務(wù)系統(tǒng)中的應(yīng)用，如無線網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)、遠(yuǎn)程辦公等，使電子商務(wù)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)更加復(fù)雜化。威脅電子商務(wù)安全的因素涉及電子商務(wù)應(yīng)用系統(tǒng)集成、數(shù)據(jù)存儲(chǔ)和管理、網(wǎng)絡(luò)傳輸系統(tǒng)和人員安全管理四方面的內(nèi)容。因此，電子商務(wù)安全管理制度的內(nèi)涵也主要針對(duì)這四方面做出具體的規(guī)范和制約。11.2.2電子商務(wù)安全管理制度的內(nèi)涵11.2電子商務(wù)的1.應(yīng)用系統(tǒng)集成安全管理制度11.2電子商務(wù)的安全管理制度應(yīng)用系統(tǒng)集成安全管理制度是從軟件開發(fā)過程就已經(jīng)滲透的，對(duì)安全問題考慮不周或缺乏整體的規(guī)劃會(huì)給應(yīng)用系統(tǒng)的使用帶來無法彌補(bǔ)的硬傷，所以必須在概要設(shè)計(jì)階段就專題規(guī)劃安全管理的策略；其次，承載著應(yīng)用系統(tǒng)的操作系統(tǒng)的管理也是不可忽視的重要組成部分。操作系統(tǒng)的動(dòng)態(tài)連接模式，文件交互功能，系統(tǒng)進(jìn)程等待和為系統(tǒng)開發(fā)人員預(yù)留的無口令登錄，都需要得到有效的管理和限制。最后，應(yīng)用系統(tǒng)本身的維護(hù)和操作管理更是重中之重，直接關(guān)系到電子商務(wù)系統(tǒng)的安全性和可靠性。1.應(yīng)用系統(tǒng)集成安全管理制度11.2電子商務(wù)的安全管理制度2.數(shù)據(jù)存儲(chǔ)和管理制度

11.2電子商務(wù)的安全管理制度電子商務(wù)系統(tǒng)中的數(shù)據(jù)庫和其它計(jì)算機(jī)系統(tǒng)一樣，是系統(tǒng)的靈魂和核心所在，數(shù)據(jù)存儲(chǔ)和管理制度是保證數(shù)據(jù)庫在極端情況下也能維持正常功能，而且不被非法入侵和蓄意破壞。比如當(dāng)數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)和由于錯(cuò)誤信息的輸入而造成無效操作和錯(cuò)誤結(jié)果的情況?；蛘咴诙鄠€(gè)用戶并行地存取共享數(shù)據(jù)資源時(shí)，就可能造成取出時(shí)的數(shù)據(jù)和存入時(shí)的數(shù)據(jù)不一致的結(jié)果。這就需要采用具備良好的自身保護(hù)機(jī)制和并發(fā)處理機(jī)制的分布式數(shù)據(jù)庫管理系統(tǒng)來完成，使得外部用戶無法破解存儲(chǔ)在單元表中的信息。并利用系統(tǒng)自身的加密功能防御外來程序的攻擊。2.數(shù)據(jù)存儲(chǔ)和管理制度11.2電子商務(wù)的安全管理制度3.網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度

11.2電子商務(wù)的安全管理制度電子商務(wù)系統(tǒng)的流轉(zhuǎn)必須通過網(wǎng)絡(luò)傳輸完成，在信息中心沒有找到入侵缺口的攻擊者就會(huì)將網(wǎng)絡(luò)傳輸定為攻擊的下一個(gè)重要目標(biāo)。國際標(biāo)準(zhǔn)化（ISO）把網(wǎng)絡(luò)管理制度劃分為五個(gè)領(lǐng)域，分別是：故障、性能，配置，記賬和安全。“故障管理”負(fù)責(zé)檢測(cè)或發(fā)現(xiàn)異常的網(wǎng)絡(luò)運(yùn)轉(zhuǎn)，隔離并控制網(wǎng)絡(luò)問題?！靶阅芄芾怼必?fù)責(zé)分析網(wǎng)絡(luò)出錯(cuò)率及網(wǎng)絡(luò)吞吐率，以建立合理、優(yōu)化的網(wǎng)絡(luò)運(yùn)行狀態(tài)。“記賬管理”負(fù)責(zé)搜集資源、處理資源和利用數(shù)據(jù)。“配置管理”負(fù)責(zé)檢測(cè)網(wǎng)絡(luò)的物理和邏輯配置,把握和控制網(wǎng)絡(luò)狀態(tài)。

“安全管理”負(fù)責(zé)控制各種對(duì)網(wǎng)絡(luò)的訪問。通過對(duì)這五個(gè)領(lǐng)域的網(wǎng)絡(luò)管理制度的細(xì)化，可以更有效地防范在網(wǎng)絡(luò)傳輸環(huán)節(jié)上的系統(tǒng)風(fēng)險(xiǎn)。3.網(wǎng)絡(luò)傳輸系統(tǒng)安全管理制度11.2電子商務(wù)的安全管理制4.人員安全管理制度

11.2電子商務(wù)的安全管理制度計(jì)算機(jī)網(wǎng)絡(luò)犯罪，往往具備智能型、隱蔽性和連續(xù)性的特點(diǎn)。一些所謂精英，抓住系統(tǒng)漏洞，自以為技高一籌，可以做到不露蛛絲馬跡，而鋌而走險(xiǎn)。結(jié)果從企業(yè)的骨干力量嬗變成可悲的犯罪分子。所以需要有效的安全管理制度才能約束和糾正人員的行為，做到預(yù)防為主。安全制度的制定實(shí)施，首先要增強(qiáng)人員的整體安全意識(shí)，提高安全手段和策略實(shí)施的技巧，并區(qū)分不同對(duì)象，制定針對(duì)不同類型對(duì)象的不同安全管理制度。4.人員安全管理制度11.2電子商務(wù)的安全管理制度11.2.3電子商務(wù)系統(tǒng)的日常維護(hù)制度

1.執(zhí)行嚴(yán)格的出入管理制度2.網(wǎng)絡(luò)系統(tǒng)的日常維護(hù)制度3．對(duì)支撐軟件的日常維護(hù)制度4．嚴(yán)格執(zhí)行密碼管理規(guī)定和保密制度5．認(rèn)真執(zhí)行病毒防范制度6．運(yùn)行中心和開發(fā)調(diào)試機(jī)房隔離制度7．操作日志制度8．檢查考核制度

11.2電子商務(wù)的安全管理制度11.2電子商務(wù)的安全管理制度11.2.5

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

11.2電子商務(wù)的安全管理制度11.2.4

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

課堂討論1.如何減少人為因素對(duì)電子商務(wù)安全的干擾？2.結(jié)合具體單位，制定本單位的機(jī)房安全管理細(xì)則。3.電子商務(wù)中的災(zāi)難事件是指什么？11.2.5備份、審計(jì)和應(yīng)急管理11.2電子商務(wù)的安全管11.3.1

電子商務(wù)安全協(xié)議概述表11-1常用安全協(xié)議概要

協(xié)議名稱

層次

協(xié)

議

概

要

S-HTTP應(yīng)用層EIT公司開發(fā)的基于HTTP協(xié)議的安全協(xié)議，僅適用于HTTP連接，可提供通信保密、身份識(shí)別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等功能。

S/MIME應(yīng)用層應(yīng)用層郵件傳輸協(xié)議MIME上實(shí)現(xiàn)的郵件傳輸安全協(xié)議，可以實(shí)現(xiàn)郵件加密和數(shù)字署名。常見的OutlookExpress和NetscapeMessenger等通信軟件都實(shí)裝此協(xié)議。SET應(yīng)用層Visa和Master信用卡組織共同開發(fā)的在網(wǎng)上利用信用卡進(jìn)行安全支付的協(xié)議。3-DSECURE應(yīng)用層

Visa信用卡組織為克服SET協(xié)議復(fù)雜難用的缺點(diǎn)推出的支付用新的安全協(xié)議。比SET的安全性稍弱，但是大大提高了易用性。SSL/TLS傳輸層SSL是Netscape公司開發(fā)的用于對(duì)互聯(lián)網(wǎng)上數(shù)據(jù)進(jìn)行加密傳輸?shù)囊粋€(gè)協(xié)議。IETF在SSL3.0的基礎(chǔ)上進(jìn)行了標(biāo)準(zhǔn)化，被稱為TLS協(xié)議。IPsec網(wǎng)絡(luò)層IETF制定的一組基于IP網(wǎng)絡(luò)的安全通訊協(xié)議，包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等。

PPTP鏈路層由微軟公司開發(fā)的安全協(xié)議，除了是建立在數(shù)據(jù)鏈路層上之外，功能和IPsec基本相同，這使得它在一些不能使用IPsec的網(wǎng)絡(luò)里也可以用該協(xié)議來建立VPN。11.3電子商務(wù)安全協(xié)議和證書11.3.1電子商務(wù)安全協(xié)議概述協(xié)議名稱層次協(xié)議概11.3.2基于網(wǎng)絡(luò)層的安全協(xié)議-IPSec

IPsec是一系列協(xié)議的總稱，下面介紹其中核心的三個(gè)協(xié)議：IKE（InternetKeyExchange）協(xié)議

ESP（EncapsulatingSecurityPayload）協(xié)議

AH（AuthenticationHeader）協(xié)議11.3電子商務(wù)安全協(xié)議和證書

IPsec協(xié)議是由國際標(biāo)準(zhǔn)化組織IETF制定的加密通信協(xié)議，IPsec的特征是不僅僅針對(duì)某種應(yīng)用程序提供加密功能，而且是提供把主機(jī)間的所有通信都加密的一種通信方式。IPsec并沒有指定特定的加密算法，因?yàn)殡S著計(jì)算機(jī)計(jì)算能力的增強(qiáng)，原來安全的加密算法將變得不再安全，可以靈活變更加密算法的設(shè)計(jì)使得IPsec能夠有更長(zhǎng)久的生命力。11.3.2基于網(wǎng)絡(luò)層的安全協(xié)議-IPSec11.3電子

1.密碼交換協(xié)議-IKE

IKE加密通信由兩個(gè)階段構(gòu)成，第一階段在決定第二階段的加密算法的同時(shí)，生成密鑰。這時(shí)利用Diffie-Hellman密鑰交換方式，通信雙方互送一個(gè)隨機(jī)數(shù)，并根據(jù)這個(gè)隨機(jī)數(shù)生成一個(gè)雙方共用的密鑰，而網(wǎng)絡(luò)竊密者即使得到了同樣的隨機(jī)數(shù)，也不能在短時(shí)間內(nèi)生成這個(gè)密鑰。在生成了這個(gè)密鑰后，就進(jìn)入第二階段，變成IKE密碼通信。在這個(gè)階段雙方交涉完成加密算法確定，密鑰交換工作，為以后的數(shù)據(jù)通信做好準(zhǔn)備。在這個(gè)階段，SPI（SecurityPointerIndex）也被確定下來，SPI是一個(gè)32位的整數(shù)，包含有通信中使用的加密算法和密鑰信息，在以后的數(shù)據(jù)通信中SPI被插入到每個(gè)通信的數(shù)據(jù)包中。11.3電子商務(wù)安全協(xié)議和證書IKE加密通信由兩個(gè)階段構(gòu)成，第一階段

2.數(shù)據(jù)傳送協(xié)議-ESP

圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖11.3電子商務(wù)安全協(xié)議和證書圖11-2數(shù)據(jù)傳送協(xié)議ESP構(gòu)造示意圖11.3電

3.安全性和認(rèn)證協(xié)議-AH

AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播確保，它能保護(hù)通信免受篡改，但不能防止竊聽，適合用于傳輸非機(jī)密數(shù)據(jù)，它可以在一些不允許使用加密通信的場(chǎng)合保證最低限度的安全性和認(rèn)證能力。AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證報(bào)頭。此報(bào)頭包含一個(gè)帶密鑰的MAC數(shù)據(jù)，和上一節(jié)講述的一樣，這個(gè)MAC數(shù)據(jù)根據(jù)整個(gè)數(shù)據(jù)包來計(jì)算，對(duì)數(shù)據(jù)的任何更改將導(dǎo)致MAC數(shù)據(jù)無效，這樣就提供了完整性保護(hù)。11.3電子商務(wù)安全協(xié)議和證書AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)11.3.3基于傳輸層的安全協(xié)議-SSL

SSL安全協(xié)議的原理和構(gòu)造SSL(SecureSocketLayer)協(xié)議是加密、認(rèn)證以及完整性保證的協(xié)議。該協(xié)議位于OSI模型的第五層會(huì)話層和第四層傳輸層之間，從應(yīng)用層來看是完全透明的，可以方便地應(yīng)用于HTTP、FTP、TELNET等協(xié)議之下。11.3電子商務(wù)安全協(xié)議和證書11.3.3基于傳輸層的安全協(xié)議-SSL11.311.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECURESET協(xié)議

SET協(xié)議是用于網(wǎng)上信用卡支付的協(xié)議，由美國Visa組織和Master組織共同開發(fā)，微軟、網(wǎng)景、IBM等公司聯(lián)合進(jìn)行了標(biāo)準(zhǔn)化的一個(gè)協(xié)議。它的加密算法采用DES或RSA，數(shù)字簽名采用RSA方式。為了能夠進(jìn)行安全的交易，該協(xié)議規(guī)定會(huì)員（消費(fèi)者），加盟店（網(wǎng)上商店），支付金融機(jī)關(guān)（信用卡公司、銀行等）這三者都必須取得證書，并為他們制定了嚴(yán)格的交易流程。利用SET協(xié)議前，首先要在客戶端安裝的電子錢包軟件，另外還要按照規(guī)定手續(xù)，取得數(shù)字證書。取得證書后就可以進(jìn)行交易。11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECU11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECURE2.3-DSECURE協(xié)議Visa組織于2001年5月推出了新一代的互聯(lián)網(wǎng)的結(jié)算用協(xié)議3-DSECURE（3-DomainSecure）。國際上的另外兩大信用卡組織Master和JCB也宣布支持這個(gè)協(xié)議。和SET相比，消費(fèi)者不用事先安裝證書或其他軟件，加盟店也能夠以較低廉的費(fèi)用導(dǎo)入該系統(tǒng)，因此近年來得到了一定程度的普及。3-DSecure是把SSL交易分為發(fā)卡行域、收單行域以及它們之間的互操作域三個(gè)領(lǐng)域、每次進(jìn)行信用卡交易都由發(fā)卡行域和收單行域獨(dú)立進(jìn)行消費(fèi)者和加盟店的認(rèn)證，認(rèn)證通過后，再進(jìn)行正常的信用卡授信過程。11.3電子商務(wù)安全協(xié)議和證書11.3.4基于應(yīng)用層的安全協(xié)議-SET和3-DSECU11.3電子商務(wù)安全協(xié)議和證書11.3電子商務(wù)安全協(xié)議和證書11.3.5數(shù)字證書的原理和概念

數(shù)字證書就是由具有公信力的認(rèn)證機(jī)構(gòu)（CA）發(fā)行的用來證明其中包含的公開鍵的真實(shí)有效性的一組數(shù)據(jù)。這組數(shù)據(jù)中包含有公開鍵、加密算法信息、所有者的數(shù)據(jù)、證明機(jī)關(guān)的數(shù)字簽名和證明書的有效期間等信息。國內(nèi)首批獲得信息產(chǎn)業(yè)部頒發(fā)的電子認(rèn)證服務(wù)許可證書，成為取得國家電子認(rèn)證服務(wù)資格的8家機(jī)構(gòu)有山東省數(shù)字證書認(rèn)證中心、銀聯(lián)金融認(rèn)證中心、北京天威誠信電子商務(wù)服務(wù)和上海市數(shù)字證書認(rèn)證中心等。11.3電子商務(wù)安全協(xié)議和證書11.3.5數(shù)字證書的原理和概念11.3電子商務(wù)安全協(xié)議X509證書是最為廣泛使用的證書，是ISO組織制定的標(biāo)準(zhǔn)規(guī)格。內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等。這里就以X509證書為例來說明數(shù)字證書的構(gòu)造，證書的每一項(xiàng)內(nèi)容解釋如下：Version：版本，該項(xiàng)是可選項(xiàng)，默認(rèn)是v1。SerialNumber：認(rèn)證機(jī)構(gòu)發(fā)行的唯一的序列號(hào)，有了這個(gè)序列號(hào)，即使給同一個(gè)被認(rèn)證者發(fā)行過多次證書，也可以予以區(qū)別。SignatureAlgorithm：數(shù)字署名用的算法。Issuer：證書發(fā)行者的別名。Validity：證書的有效日期（開始日，結(jié)束日）。Subject：證明對(duì)象的識(shí)別名。SubjectPublicKeyInfo：公開鍵信息（算法，鍵值）。X509v3extensions：可選項(xiàng)，版本3的擴(kuò)展內(nèi)容Signature：數(shù)字簽名部分11.3電子商務(wù)安全協(xié)議和證書X509證書是最為廣泛使用的證書，是ISO組織制定的標(biāo)準(zhǔn)規(guī)格

課堂討論1.總結(jié)Ipsec協(xié)議的功能和特點(diǎn)。2.試分析SSL協(xié)議的原理和構(gòu)造？3.嘗試在現(xiàn)有的系統(tǒng)上加載客戶證書的實(shí)驗(yàn)。11.3電子商務(wù)安全協(xié)議和證書

課堂討論11.3電子商務(wù)安全協(xié)議和證書11.4.1電子支付的概念

所謂電子支付，是指從事電子商務(wù)交易的當(dāng)事人，包括消費(fèi)者、商家和金融機(jī)構(gòu)等，通過計(jì)算機(jī)信息網(wǎng)絡(luò)，使用安全的信息傳輸手段，采用數(shù)字化方式進(jìn)行的貨幣支付或資金流轉(zhuǎn)。與傳統(tǒng)的支付方式相比，電子支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。只要能夠連接到互聯(lián)網(wǎng)，用戶可以利用電腦、手機(jī)等通信終端設(shè)備，足不出戶，在短時(shí)間內(nèi)完成整個(gè)支付過程。而支付的費(fèi)用和所需的時(shí)間卻要比傳統(tǒng)支付要低得多。11.4電子商務(wù)安全解決方案11.4.1電子支付的概念所謂電子支付，是指從事電子商務(wù)11.4.2第三方支付概述及解決方案

第三方支付，是指一些獨(dú)立于電子商務(wù)中買方和賣方的第三方機(jī)構(gòu)設(shè)立的為買方和賣方順利實(shí)現(xiàn)交易提供支付中介服務(wù)的支付方式。第三方機(jī)構(gòu)往往是信譽(yù)良好的大企業(yè)或者銀行等。在買方和賣方看來，通過第三方獨(dú)立機(jī)構(gòu)提供的交易支持平臺(tái)，交易更方便快捷，更有安全保障。在交易中，買方選購商品后，使用第三方平臺(tái)進(jìn)行貨款支付，這時(shí)貨款并沒有實(shí)際支付給賣方，而是由第三方予以臨時(shí)保管；此時(shí)第三方通知賣家貨款已到達(dá)，可以進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知第三方付款給賣家，第三方再將款項(xiàng)真正轉(zhuǎn)至賣家賬戶。11.4電子商務(wù)安全解決方案11.4.2第三方支付概述及解決方案第三方支付，是指一些11.4電子商務(wù)安全解決方案11.4電子商務(wù)安全解決方案11.4.3移動(dòng)支付概述及解決方案

移動(dòng)支付（又稱手機(jī)支付）是指用戶使用移動(dòng)手持設(shè)備，通過無線網(wǎng)絡(luò)（包括移動(dòng)通信網(wǎng)絡(luò)和廣域網(wǎng)）購買實(shí)體或虛擬物品以及各種服務(wù)的一種新型支付方式。隨著手機(jī)的普及和網(wǎng)上購物等小額支付的巨大市場(chǎng)需求，移動(dòng)支付的產(chǎn)業(yè)化初露端倪，移動(dòng)支付正逐漸被越來越多的人接受。移動(dòng)支付的方式大體上可以分為兩大類，一類是利用手機(jī)的移動(dòng)通信功能的遠(yuǎn)程支付方式，另一類是在手機(jī)中利用NFC、RFID等技術(shù)實(shí)現(xiàn)的非接觸式支付方式。11.4電子商務(wù)安全解決方案11.4.3移動(dòng)支付概述及解決方案移動(dòng)支付（又稱手機(jī)支付11.2.5

備份、審計(jì)和應(yīng)急管理軟硬件的備份管理

網(wǎng)絡(luò)交易日志審計(jì)據(jù)存儲(chǔ)和管理制度

應(yīng)急預(yù)案與應(yīng)急措施

11.4電子商務(wù)安全解決方案11.4.4電子商務(wù)安全技術(shù)發(fā)展趨勢(shì)1.生物認(rèn)證技術(shù)2.量子加密技術(shù)3.IPV6技術(shù)

課堂討論1.討論關(guān)于電子支付的現(xiàn)在和未來。2.試分析日本的錢包手機(jī)在中國實(shí)施的可行性。3.討論哪一種生物認(rèn)證技術(shù)最有可能在未來五十年占有市場(chǎng)。11.2.5備份、審計(jì)和應(yīng)急管理11.4電子商務(wù)安全解決11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)在上一節(jié)了解了數(shù)字證書的原理的基礎(chǔ)上，本節(jié)來學(xué)習(xí)如何獲取證書和對(duì)證書的管理。為了更好地理解證書的生成過程，將自己動(dòng)手建立一個(gè)CA認(rèn)證中心，通過這個(gè)CA來發(fā)放證書。

11.5.1實(shí)驗(yàn)?zāi)康?/p>

進(jìn)行如何獲取證書和對(duì)證書的管理實(shí)驗(yàn)，主要具有3個(gè)目的：學(xué)習(xí)利用開源軟件建立自我認(rèn)證中心，發(fā)行客戶端，

服務(wù)器端證書的過程。(2)學(xué)習(xí)Win32OpenSSL-0.98k，ActivePerl-5.10.1等

開源軟件的安裝和使用。(3)學(xué)習(xí)電子商務(wù)網(wǎng)站中使用證書認(rèn)證時(shí)的配置方式。11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)在上一節(jié)了解11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.2

實(shí)驗(yàn)要求及方法1.實(shí)驗(yàn)設(shè)備本試驗(yàn)使用一臺(tái)安裝有WindowsXP操作系統(tǒng)的計(jì)算機(jī)，在網(wǎng)上下載并事先安裝下列軟件，WEB服務(wù)器tomcat6.0.20，JDK6,發(fā)行證書用的Win32OpenSSL-0.98k，另外為了在win32下運(yùn)行Perl腳本，還需要安裝ActivePerl-5.10.1。2.注意事項(xiàng)(1)預(yù)習(xí)準(zhǔn)備提前對(duì)這些軟件的功能和使用方式做一些了解，以利于對(duì)于試驗(yàn)內(nèi)容的更好理解。(2)注意弄懂實(shí)驗(yàn)原理、理解各步驟的含義對(duì)于操作的每一步要著重理解其原理，對(duì)于證書制作過程中的各種中間文件、最終生成的證書、證書導(dǎo)入操作等要充分理解其作用和含義。實(shí)驗(yàn)用時(shí)：3學(xué)時(shí)（120-150分鐘）11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.2實(shí)驗(yàn)要求及方11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.3實(shí)驗(yàn)內(nèi)容及步驟

證書的發(fā)行管理及使用需要如下幾個(gè)步驟(1)建立CA；(2)發(fā)行服務(wù)器端證書；(3)發(fā)行客戶端證書；(4)修改Tomcat設(shè)置；(5)向?yàn)g覽器導(dǎo)入證書；(6)使用證書訪問網(wǎng)站。下面將分步進(jìn)行詳細(xì)說明。準(zhǔn)備工作：首先在C盤下建立一個(gè)C:/web/ssl目錄，在這個(gè)目錄下建ca,server,client三個(gè)子目錄，分別用來存放CA信息,服務(wù)器端證書信息，客戶端證書信息。11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)11.5.3實(shí)驗(yàn)內(nèi)容及步11.5數(shù)字證書的獲取與管理實(shí)驗(yàn)(1)建立CA；首先把OpenSSL的bin目錄中的CA.pl、openssl.