電子商務(wù)的安全管理

第11章電子商務(wù)的安全管理

教育部高校管理與工程教學(xué)指導(dǎo)委員會(huì)、機(jī)械工業(yè)出版社網(wǎng)絡(luò)安全管理及實(shí)用技術(shù)主編賈鐵軍副主編嵩天常艷編著王雄俞小怡劉雪飛蘇慶剛宋少婷全國(guó)高校管理與工程類學(xué)科系列規(guī)劃教材目錄11.2電子商務(wù)安全管理制度211.3電子商務(wù)安全協(xié)議和證書311.4數(shù)字證書獲取與管理實(shí)驗(yàn)4

11.1電子商務(wù)安全管理概述1

11.5電子商務(wù)安全解決方案511.6本章小結(jié)6目錄本章要點(diǎn)●電子商務(wù)的安全管理制度●電子商務(wù)安全協(xié)議和證書●電子商務(wù)安全管理解決方案教學(xué)目標(biāo)●了解電子商務(wù)安全技術(shù)的概念●理解電子商務(wù)安全管理制度制定的原則●掌握基本安全協(xié)議IPSec、SSL、SET和3-DSECURE●學(xué)會(huì)運(yùn)用安全管理解決方案重點(diǎn)11.1.1電子商務(wù)概述1.電子商務(wù)的概念在對(duì)電子商務(wù)認(rèn)知識(shí)的發(fā)展和完善過(guò)程中，各國(guó)政府，學(xué)者和企業(yè)對(duì)其基本概念給出了不同的詮釋。

全球信息基礎(chǔ)設(shè)施委員會(huì)的定義是：電子商務(wù)是以電子通信為手段的經(jīng)濟(jì)活動(dòng)，通過(guò)這種方式對(duì)帶有經(jīng)濟(jì)價(jià)值的產(chǎn)品和服務(wù)進(jìn)行宣傳，購(gòu)買和結(jié)算。

IBM公司對(duì)電子商務(wù)的解釋是，電子商務(wù)是在Internet的廣泛聯(lián)系與傳統(tǒng)信息技術(shù)系統(tǒng)豐富資源相結(jié)合的背景下產(chǎn)生的一種在互聯(lián)網(wǎng)上展開的互相關(guān)聯(lián)的動(dòng)態(tài)商務(wù)活動(dòng)。

“全球電子商務(wù)綱要”是美國(guó)政府電子商務(wù)發(fā)展政策的綱領(lǐng)性文件，其中把電子商務(wù)定義為“通過(guò)Internet進(jìn)行的各項(xiàng)商務(wù)活動(dòng)，包括廣告、交易、支付和服務(wù)等”。

11.1電子商務(wù)安全管理概述

電子商務(wù)概念的總結(jié)

政府、企業(yè)和個(gè)人利用現(xiàn)代計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)商業(yè)活動(dòng)的全過(guò)程。是一種基于互聯(lián)網(wǎng)，以交易雙方為主體，以銀行電子支付和結(jié)算為手段，以客戶數(shù)據(jù)為依托的商務(wù)模式。電子商務(wù)是集企業(yè)管理信息化、金融電子化和商貿(mào)信息網(wǎng)絡(luò)化為一體，旨在實(shí)現(xiàn)信息流、現(xiàn)金流和物流的流動(dòng)成本最小化，效率和效益最大化的現(xiàn)代貿(mào)易方式。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(1)按照參與交易的對(duì)象劃分

2)企業(yè)對(duì)消費(fèi)者(BusinesstoCustomer，B2C)模式，是指商業(yè)企業(yè)與個(gè)體消費(fèi)者間進(jìn)行的商業(yè)活動(dòng)。以網(wǎng)絡(luò)零售業(yè)為主線，目前有當(dāng)當(dāng)網(wǎng)，卓越網(wǎng)等成功案例。3)消費(fèi)者對(duì)消費(fèi)者(CustomertoCustomer，C2C)模式，也稱網(wǎng)上拍賣模式。其中代表有淘寶網(wǎng)。1)企業(yè)對(duì)企業(yè)(BusinesstoBusiness，B2B)模式，是指商業(yè)企業(yè)之間產(chǎn)生的商業(yè)活動(dòng)。例如，國(guó)內(nèi)著名電子商務(wù)網(wǎng)站“阿里巴巴”。11.1電子商務(wù)安全管理概述11.1.1電子商務(wù)概述2.電子商務(wù)的交易模式(2)按照交易產(chǎn)品的類型劃分

2)無(wú)形商品交易模式，是指以信息載體形式出現(xiàn)的商品，以網(wǎng)上訂閱、付費(fèi)瀏覽、廣告支持和網(wǎng)上贈(zèng)與的方式來(lái)實(shí)現(xiàn)交易。1)實(shí)物商品交易模式，是指?jìng)鹘y(tǒng)的有形商品和勞務(wù)，通過(guò)互聯(lián)網(wǎng)進(jìn)行交易撮合，而交付時(shí)通過(guò)傳統(tǒng)物流來(lái)實(shí)現(xiàn)交易

。11.1電子商務(wù)安全管理概述3.電子商務(wù)的交易流程

消費(fèi)者物流中心商家銀行或金融機(jī)構(gòu)企業(yè)或政府認(rèn)證機(jī)構(gòu)電子商務(wù)交易涉及相關(guān)部門11.1電子商務(wù)安全管理概述電子商務(wù)的交易流程分為五個(gè)環(huán)節(jié)

交易前期準(zhǔn)備

交易商談和簽訂合同

正式交易前的手續(xù)辦理

交易合同的履行

索賠和復(fù)議

買賣雙方和參加交易的各方在互聯(lián)網(wǎng)的平臺(tái)上隨時(shí)隨地進(jìn)行簽約前的準(zhǔn)備活動(dòng)。買賣雙方通過(guò)網(wǎng)絡(luò)平臺(tái)對(duì)相關(guān)交易細(xì)節(jié)進(jìn)行談判，在必要的確認(rèn)和核實(shí)的基礎(chǔ)上，將雙方磋商的結(jié)果確定為電子貿(mào)易合同。買賣雙方簽訂合同后到合同開始履行前辦理各種手續(xù)的過(guò)程。賣方要備貨,組貨,包裝,起運(yùn)和發(fā)貨。雙方通過(guò)物流跟蹤系統(tǒng)掌握貨物的流轉(zhuǎn),金融機(jī)構(gòu)按照合同記錄和保存應(yīng)付款項(xiàng),當(dāng)買方確認(rèn)后,完成放款。受損方向違約方提出索賠和復(fù)議請(qǐng)求，并履行其商定方案。11.1電子商務(wù)安全管理概述

電子商務(wù)安全問(wèn)題的特征

1.電子商務(wù)系統(tǒng)自身的安全問(wèn)題

2.交易傳輸過(guò)程中的信息安全3.電子商務(wù)企業(yè)內(nèi)部安全管理隱患4.電子商務(wù)安全的法律保障5.電子商務(wù)的信用安全問(wèn)題6.電子商務(wù)的支付安全問(wèn)題

11.1電子商務(wù)安全管理概述電子商務(wù)安全全的概念1.物理層的安全管理電子商務(wù)應(yīng)用用系統(tǒng)實(shí)體設(shè)備的安全管理2.軟件層的安全管理電子商務(wù)應(yīng)用用系統(tǒng)和數(shù)據(jù)的安全管理3.人事層的安全管理在電子商務(wù)交交易過(guò)程中涉涉及到人員的安全管理4.信用安全的管理在電子商務(wù)交交易過(guò)程中建建立安全可靠靠的信用管理體制制5.電子商務(wù)安全立法逐步推進(jìn)和制定相關(guān)電子商務(wù)務(wù)的法律法規(guī)11.1電子商務(wù)安全全管理概述電子商務(wù)安全全管理的要素素11.1電子商務(wù)安全全管理概述數(shù)據(jù)有效性管理

數(shù)據(jù)完整性管理

不可否認(rèn)性管理

系統(tǒng)可靠性管理

信息保密性管理

電子商務(wù)安全全管理的體系系結(jié)構(gòu)11.1電子商務(wù)安全全管理概述課堂討論什么是電子商商務(wù)？你應(yīng)用用過(guò)哪些電子子商務(wù)產(chǎn)品？？分析一下電子子商務(wù)安全管管理的幾大要要素。電子商務(wù)的交交易流程一般般分幾個(gè)步驟驟？11.1電子商務(wù)安全全管理概述電子商務(wù)安全全管理的原則則1.安全責(zé)任到人人的管理原則則2.專職安全管理理原則3.減少人為因素素原則4.多人或交叉負(fù)負(fù)責(zé)原則5.人員輪崗原則則6.最小權(quán)限原則則11.2電子商務(wù)的安安全管理制度度電子商務(wù)安全全管理制度的的內(nèi)涵應(yīng)用系統(tǒng)集成成安全管理制制度數(shù)據(jù)存儲(chǔ)和管管理制度網(wǎng)絡(luò)傳輸系統(tǒng)統(tǒng)安全管理制制度人員安全管理理制度11.2電子商務(wù)的安安全管理制度度一些新的IT技術(shù)在電子商商務(wù)系統(tǒng)中的的應(yīng)用，如無(wú)無(wú)線網(wǎng)絡(luò)、移移動(dòng)存儲(chǔ)、遠(yuǎn)遠(yuǎn)程辦公等，，使電子商務(wù)務(wù)網(wǎng)絡(luò)面臨的的風(fēng)險(xiǎn)更加復(fù)復(fù)雜化。威脅脅電子商務(wù)安安全的因素涉涉及電子商務(wù)務(wù)應(yīng)用系統(tǒng)集集成、數(shù)據(jù)存存儲(chǔ)和管理、、網(wǎng)絡(luò)傳輸系系統(tǒng)和人員安安全管理四方方面的內(nèi)容。。因此，電子子商務(wù)安全管管理制度的內(nèi)內(nèi)涵也主要針針對(duì)這四方面面做出具體的的規(guī)范和制約約。1.應(yīng)用系統(tǒng)集成成安全管理制制度11.2電子商務(wù)的安安全管理制度度應(yīng)用系統(tǒng)集成成安全管理制制度是從軟件件開發(fā)過(guò)程就就已經(jīng)滲透的的，對(duì)安全問(wèn)問(wèn)題考慮不周周或缺乏整體體的規(guī)劃會(huì)給給應(yīng)用系統(tǒng)的的使用帶來(lái)無(wú)無(wú)法彌補(bǔ)的硬硬傷，所以必必須在概要設(shè)計(jì)階段段就專題規(guī)劃安安全管理的策略；其次，承載載著應(yīng)用系統(tǒng)統(tǒng)的操作系統(tǒng)的管管理也是不可忽視視的重要組成成部分。操作作系統(tǒng)的動(dòng)態(tài)連接模式式，文件交互功能能，系統(tǒng)進(jìn)程等等待和為系統(tǒng)統(tǒng)開發(fā)人員預(yù)預(yù)留的無(wú)口令登錄，都需要得到到有效的管理理和限制。最最后，應(yīng)用系統(tǒng)本身身的維護(hù)和操操作管理更是重中中之重，直接接關(guān)系到電子子商務(wù)系統(tǒng)的的安全性和可可靠性。2.數(shù)據(jù)存儲(chǔ)和管管理制度11.2電子商務(wù)的安安全管理制度度電子商務(wù)系統(tǒng)統(tǒng)中的數(shù)據(jù)庫(kù)庫(kù)和其它計(jì)算算機(jī)系統(tǒng)一樣樣，是系統(tǒng)的的靈魂和核心所在，，數(shù)據(jù)存存儲(chǔ)和和管理理制度度是保證證數(shù)據(jù)據(jù)庫(kù)在在極端端情況況下也也能維維持正正常功功能，，而且且不被被非法法入侵侵和蓄蓄意破破壞。。比如如當(dāng)數(shù)數(shù)據(jù)庫(kù)庫(kù)中存存在不符合合語(yǔ)義義的數(shù)數(shù)據(jù)和由于于錯(cuò)誤信信息的的輸入入而造成成無(wú)效效操作作和錯(cuò)錯(cuò)誤結(jié)結(jié)果的的情況況。或或者在在多個(gè)個(gè)用戶戶并行地地存取取共享享數(shù)據(jù)據(jù)資源時(shí)時(shí)，就就可能能造成成取出出時(shí)的的數(shù)據(jù)據(jù)和存存入時(shí)時(shí)的數(shù)數(shù)據(jù)不不一致致的結(jié)結(jié)果。。這就就需要要采用用具備備良好好的自身保保護(hù)機(jī)機(jī)制和并發(fā)處處理機(jī)機(jī)制的分布布式數(shù)數(shù)據(jù)庫(kù)庫(kù)管理理系統(tǒng)統(tǒng)來(lái)完完成，，使得得外部部用戶戶無(wú)法法破解解存儲(chǔ)儲(chǔ)在單單元表表中的的信息息。并并利用用系統(tǒng)統(tǒng)自身身的加密功功能防御外外來(lái)程程序的的攻擊擊。3.網(wǎng)絡(luò)傳傳輸系系統(tǒng)安安全管管理制制度11.2電子商商務(wù)的的安全全管理理制度度電子商商務(wù)系系統(tǒng)的的流轉(zhuǎn)轉(zhuǎn)必須須通過(guò)過(guò)網(wǎng)絡(luò)傳傳輸完成，，在信信息中中心沒(méi)沒(méi)有找找到入入侵缺缺口的的攻擊擊者就就會(huì)將將網(wǎng)絡(luò)絡(luò)傳輸輸定為為攻擊擊的下下一個(gè)個(gè)重要要目標(biāo)標(biāo)。國(guó)國(guó)際標(biāo)標(biāo)準(zhǔn)化化（ISO）把網(wǎng)網(wǎng)絡(luò)管管理制制度劃劃分為為五個(gè)個(gè)領(lǐng)域域，分分別是是：故障、、性能能，配配置，，記賬賬和安安全?！肮收瞎芄芾怼必?fù)責(zé)責(zé)檢測(cè)測(cè)或發(fā)發(fā)現(xiàn)異4.人員安安全管管理制制度11.2電子商商務(wù)的的安全全管理理制度度計(jì)算機(jī)機(jī)網(wǎng)絡(luò)絡(luò)犯罪罪，往往往具具備智能型型、隱蔽性性和連續(xù)性性的特點(diǎn)點(diǎn)。一一些所所謂精精英，，抓住住系統(tǒng)統(tǒng)漏洞洞，自自以為為技高高一籌籌，可可以做做到不不露蛛蛛絲馬馬跡，，而鋌鋌而走走險(xiǎn)。。結(jié)果果從企企業(yè)的的骨干干力量量嬗變變成可可悲的的犯罪罪分子子。所所以需需要有有效的的安全全管理理制度度才能能約束和和糾正正人員的的行為為，做做到預(yù)防為為主。安全全制度度的制制定實(shí)實(shí)施，，首先先要增增強(qiáng)人人員的的整體體安全全意識(shí)識(shí)，提提高安全手手段和策略實(shí)實(shí)施的技巧巧，并并區(qū)分分不同同對(duì)象象，制制定針針對(duì)不不同類類型對(duì)對(duì)象的的不同同安全全管理理制度度。電子商商務(wù)系系統(tǒng)的的日常常維護(hù)護(hù)制度度1.執(zhí)行嚴(yán)嚴(yán)格的的出入管管理制度2.網(wǎng)絡(luò)系系統(tǒng)的日常維維護(hù)制度3．對(duì)支撐軟軟件的日常常維護(hù)護(hù)制度度4．嚴(yán)格格執(zhí)行行密碼管管理規(guī)定和和保密制制度5．認(rèn)真真執(zhí)行行病毒防防范制度6．運(yùn)行行中心心和開開發(fā)調(diào)調(diào)試機(jī)機(jī)房隔離制制度7．操作日日志制度8．檢查考考核制度11.2電子商商務(wù)的的安全全管理理制度度備份、、審計(jì)計(jì)和應(yīng)應(yīng)急管管理軟硬件件的備備份管管理網(wǎng)絡(luò)交交易日日志審審計(jì)據(jù)據(jù)存儲(chǔ)儲(chǔ)和管管理制制度應(yīng)急預(yù)預(yù)案與與應(yīng)急急措施施11.2電子商商務(wù)的的安全全管理理制度度備份、、審計(jì)計(jì)和應(yīng)應(yīng)急管管理軟硬件件的備備份管管理網(wǎng)絡(luò)絡(luò)應(yīng)急預(yù)案與應(yīng)急措施

課堂堂討討論論1.如何何減減少少人人為為因因素素對(duì)對(duì)電電子子商商務(wù)務(wù)安安全全的的干干擾擾？？2.結(jié)合合具具體體單單位位，，制制定定本本單單位位的的機(jī)機(jī)房房安安全全管管理理細(xì)細(xì)則則。。3.電子子商商務(wù)務(wù)中中電子子商商務(wù)務(wù)安安全全協(xié)協(xié)議議概概述述表11-1常用用安安全全協(xié)協(xié)議議概概要要協(xié)議名稱

層次

協(xié)

議

概

要

S-HTTP應(yīng)用層EIT公司開發(fā)的基于HTTP協(xié)議的安全協(xié)議，僅適用于HTTP連接，可提供通信保密、身份識(shí)別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等功能。

S/MIME應(yīng)用層應(yīng)用層郵件傳輸協(xié)議MIME上實(shí)現(xiàn)的郵件傳輸安全協(xié)議，可以實(shí)現(xiàn)郵件加密和數(shù)字署名。常見(jiàn)的OutlookExpress和NetscapeMessenger等通信軟件都實(shí)裝此協(xié)議。SET應(yīng)用層Visa和Master信用卡組織共同開發(fā)的在網(wǎng)上利用信用卡進(jìn)行安全支付的協(xié)議。3-DSECURE應(yīng)用層

Visa信用卡組織為克服SET協(xié)議復(fù)雜難用的缺點(diǎn)推出的支付用新的安全協(xié)議。比SET的安全性稍弱，但是大大提高了易用性。SSL/TLS傳輸層SSL是Netscape公司開發(fā)的用于對(duì)互聯(lián)網(wǎng)上數(shù)據(jù)進(jìn)行加密傳輸?shù)囊粋€(gè)協(xié)議。IETF在SSL3.0的基礎(chǔ)上進(jìn)行了標(biāo)準(zhǔn)化，被稱為TLS協(xié)議。IPsec網(wǎng)絡(luò)層IETF制定的一組基于IP網(wǎng)絡(luò)的安全通訊協(xié)議，包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等。

PPTP鏈路層由微軟公司開發(fā)的安全協(xié)議，除了是建立在數(shù)據(jù)鏈路層上之外，功能和IPsec基本相同，這使得它在一些不能使用IPsec的網(wǎng)絡(luò)里也可以用該協(xié)議來(lái)建立VPN。11.3電子子商商務(wù)務(wù)安安全全協(xié)協(xié)議議和和證證書書基于于網(wǎng)網(wǎng)絡(luò)絡(luò)層層的的安安全全協(xié)協(xié)議議-IPSecIPsec是一一系系列列協(xié)協(xié)議議的的總總稱稱，，下下面面介介紹紹其其中中核核心心的的三三個(gè)個(gè)協(xié)協(xié)議議：：IKE（InternetKeyExchange）協(xié)議ESP（EncapsulatingSecurityPayload）協(xié)議AH（AuthenticationHeader）協(xié)議11.3電子商務(wù)務(wù)安全協(xié)協(xié)議和證證書IPsec協(xié)議是由由國(guó)際標(biāo)標(biāo)準(zhǔn)化組組織IETF制定的加加密通信信協(xié)議，，IPsec的特征是是不僅僅僅針對(duì)某某種應(yīng)用用程序提提供加密密功能，，而且是是提供把把主機(jī)間間的所有有通信都都加密的的一種通通信方式式。IPsec并沒(méi)有指指定特定定的加密密算法，，因?yàn)殡S隨著計(jì)算算機(jī)計(jì)算算能力的的增強(qiáng)，，原來(lái)安安全的加加密算法法將變得得不再安安全，可可以靈活活變更加加密算法法的設(shè)計(jì)計(jì)使得IPsec能夠有更更長(zhǎng)久的的生命力力。1.密碼交換換協(xié)議-IKEIKE加密通信信由兩個(gè)個(gè)階段構(gòu)構(gòu)成，第一階段段在決定第第二階段段的加密算法法的同時(shí)，，生成密密鑰。這這時(shí)利用用Diffie-Hellman密鑰交換換方式，，通信雙雙方互送送一個(gè)隨隨機(jī)數(shù)，，并根據(jù)據(jù)這個(gè)隨隨機(jī)數(shù)生生成一個(gè)個(gè)雙方共用的密密鑰，而網(wǎng)絡(luò)絡(luò)竊密者者即使得得到了同同樣的隨隨機(jī)數(shù)，，也不能能在短時(shí)時(shí)間內(nèi)生生成這個(gè)個(gè)密鑰。。在生成成了這個(gè)個(gè)密鑰后后，就進(jìn)進(jìn)入第二階段段，變成IKE密碼通信信。在這這個(gè)階段段雙方交交涉完成成加密算法法確定，密鑰交交換工作作，為以以后的數(shù)數(shù)據(jù)通信信做好準(zhǔn)準(zhǔn)備。在在這個(gè)階階段，SPI（SecurityPointerIndex）也被確確定下來(lái)來(lái)，SPI是一個(gè)32位的整數(shù)數(shù)，包含含有通信信中使用用的加密密算法和和密鑰信信息，在在以后的的數(shù)據(jù)通通信中SPI被插入到到每個(gè)通通信的數(shù)數(shù)據(jù)包中中。11.3電子商務(wù)務(wù)安全協(xié)協(xié)議和證證書2.數(shù)據(jù)傳送送協(xié)議-ESP圖11-2數(shù)據(jù)傳送協(xié)議議ESP構(gòu)造示意圖圖11-2數(shù)據(jù)傳送協(xié)議議ESP構(gòu)造示意圖11.3電子商務(wù)安全全協(xié)議和證書書3.安全性和認(rèn)證證協(xié)議-AHAH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播確保，它能保護(hù)通通信免受篡改改，但不能防防止竊聽(tīng)，適適合用于傳輸非機(jī)密數(shù)數(shù)據(jù)，它可以在一一些不允許使使用加密通信信的場(chǎng)合保證證最低限度的的安全性和認(rèn)認(rèn)證能力。AH的工作原理是是在每一個(gè)數(shù)數(shù)據(jù)包上添加加一個(gè)身份驗(yàn)證報(bào)頭頭。此報(bào)頭包含含一個(gè)帶密鑰鑰的MAC數(shù)據(jù)，和上一一節(jié)講述的一一樣，這個(gè)MAC數(shù)據(jù)根據(jù)整個(gè)數(shù)據(jù)包來(lái)計(jì)算，對(duì)數(shù)數(shù)據(jù)的任何更更改將導(dǎo)致MAC數(shù)據(jù)無(wú)效，這這樣就提供了了完整性保護(hù)。11.3電子商務(wù)安全全協(xié)議和證書書基于傳輸層的的安全協(xié)議-SSLSSL安全協(xié)議的原原理和構(gòu)造SSL(SecureSocketLayer)協(xié)議是加密、、認(rèn)證以及完完整性保證的的協(xié)議。該協(xié)協(xié)議位于OSI模型的第五層層會(huì)話層和第第四層傳輸層層之間，從應(yīng)應(yīng)用層來(lái)看是是完全透明的的，可以方便便地應(yīng)用于HTTP、FTP、TELNET等協(xié)議之下。。11.3電子商務(wù)安全全協(xié)議和證書書11.3電子商務(wù)安全全協(xié)議和證書書11.3電子商務(wù)安全全協(xié)議和證書書基于應(yīng)用層的的安全協(xié)議-SET和3-DSECURESET協(xié)議SET協(xié)議是用于網(wǎng)上信信用卡支付的的協(xié)議，由美美國(guó)Visa組織和Master組織共同開發(fā)發(fā)，微軟、網(wǎng)網(wǎng)景、IBM等公司聯(lián)合進(jìn)進(jìn)行了標(biāo)準(zhǔn)化化的一個(gè)協(xié)議議。它的加密密算法采用DES或RSA，數(shù)字簽名采采用RSA方式。為了能夠進(jìn)進(jìn)行安全的交交易，該協(xié)議議規(guī)定會(huì)員（（消費(fèi)者），，加盟店（網(wǎng)網(wǎng)上商店），，支付金融機(jī)機(jī)關(guān)（信用卡卡公司、銀行行等）這三者者都必須取得得證書，并為他們制制定了嚴(yán)格的的交易流程。利用SET協(xié)議前，首先先要在客戶端端安裝的電子錢包軟件件，另外還要按按照規(guī)定手續(xù)續(xù)，取得數(shù)字字證書。取得得證書后就可可以進(jìn)行交易易。11.3電子商務(wù)安全全協(xié)議和證書書11.3電子商務(wù)安全全協(xié)議和證書書基于應(yīng)用層的的安全協(xié)議-SET和3-DSECURE2.3-DSECURE協(xié)議Visa組織于2001年5月推出了新一一代的互聯(lián)網(wǎng)網(wǎng)的結(jié)算用協(xié)協(xié)議3-DSECURE（3-DomainSecure）。國(guó)際上的的另外兩大信信用卡組織Master和JCB也宣布支持這這個(gè)協(xié)議。和和SET相比，消費(fèi)者者不用事先安安裝證書或其其他軟件，加加盟店也能夠夠以較低廉的的費(fèi)用導(dǎo)入該該系統(tǒng)，因此此近年來(lái)得到到了一定程度度的普及。3-DSecure是把SSL交易分為發(fā)卡行域、收單行域以及它們之間間的互操作域三個(gè)領(lǐng)域、每每次進(jìn)行信用用卡交易都由由發(fā)卡行域和和收單行域獨(dú)獨(dú)立進(jìn)行消費(fèi)費(fèi)者和加盟店店的認(rèn)證，認(rèn)認(rèn)證通過(guò)后，，再進(jìn)行正常常的信用卡授授信過(guò)程。11.3電子商務(wù)安全全協(xié)議和證書書11.3電子商務(wù)安全全協(xié)議和證書書數(shù)字證書的原原理和概念數(shù)字證書就是由具有公公信力的認(rèn)證證機(jī)構(gòu)（CA）發(fā)行的用來(lái)來(lái)證明其中包包含的公開鍵的真實(shí)有效性性的一組數(shù)據(jù)據(jù)。這組數(shù)據(jù)據(jù)中包含有公開鍵、加密算法信息息、所有者的數(shù)據(jù)據(jù)、證明機(jī)關(guān)的數(shù)數(shù)字簽名和證明書的有效期間等等信息。國(guó)內(nèi)首批獲得得信息產(chǎn)業(yè)部部頒發(fā)的電子認(rèn)證服務(wù)務(wù)許可證書，成為取得國(guó)國(guó)家電子認(rèn)證證服務(wù)資格的的8家機(jī)構(gòu)有山東東省數(shù)字證書書認(rèn)證中心、、銀聯(lián)金融認(rèn)認(rèn)證中心、北北京天威誠(chéng)信信電子商務(wù)服服務(wù)和上海市市數(shù)字證書認(rèn)認(rèn)證中心等。。11.3電子商務(wù)安全全協(xié)議和證書書X509證書是最為廣泛使使用的證書，，是ISO組織制定的標(biāo)標(biāo)準(zhǔn)規(guī)格。內(nèi)內(nèi)容包括證書書序列號(hào)、證證書持有者名名稱、證書頒頒發(fā)者名稱、、證書有效期期、公鑰、證證書頒發(fā)者的的數(shù)字簽名等等。這里就以以X509證書為例來(lái)說(shuō)說(shuō)明數(shù)字證書書的構(gòu)造，證證書的每一項(xiàng)項(xiàng)內(nèi)容解釋如如下：Version：版本，該項(xiàng)項(xiàng)是可選項(xiàng)，，默認(rèn)是v1。SerialNumber：認(rèn)證機(jī)構(gòu)發(fā)發(fā)行的唯一的的序列號(hào)，有有了這個(gè)序列列號(hào)，即使給給同一個(gè)被認(rèn)認(rèn)證者發(fā)行過(guò)過(guò)多次證書，，也可以予以以區(qū)別。SignatureAlgorithm：數(shù)字署名用用的算法。Issuer：證書發(fā)行者者的別名。Validity：證書的有效效日期（開始始日，結(jié)束日日）。Subject：證明對(duì)象的的識(shí)別名。SubjectPublicKeyInfo：公開鍵信息息（算法，鍵鍵值）。X509v3extensions：可選項(xiàng)，版版本3的擴(kuò)展內(nèi)容Signature：數(shù)字簽名部部分11.3電子商務(wù)安全全協(xié)議和證書書課堂討論1.總結(jié)Ipsec協(xié)議的功能和和特點(diǎn)。2.試分析SSL協(xié)議的原理和和構(gòu)造？3.嘗試在現(xiàn)有的的系統(tǒng)上加載載客戶證書的的實(shí)驗(yàn)。11.3電子商務(wù)安全全協(xié)議和證書書電子支付的概概念所謂電子支付，是指從事電電子商務(wù)交易易的當(dāng)事人，，包括消費(fèi)者者、商家和金金融機(jī)構(gòu)等，，通過(guò)計(jì)算機(jī)機(jī)信息網(wǎng)絡(luò)，，使用安全的的信息傳輸手手段，采用數(shù)字化方式式進(jìn)行的貨幣支付或資金流轉(zhuǎn)轉(zhuǎn)。與傳統(tǒng)統(tǒng)的支付方方式相比，，電子支付付具有方便便、快捷、、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。只只要能夠連接接到到互互聯(lián)聯(lián)網(wǎng)網(wǎng)，用用戶戶可可以以利利用用電電腦腦、、手手機(jī)機(jī)等等通通信信終終端端設(shè)設(shè)備備，，足足不不出出戶戶，，在在短短時(shí)時(shí)間間內(nèi)內(nèi)完完成成整整個(gè)個(gè)支付付過(guò)過(guò)程程。而而支支付付的的費(fèi)費(fèi)用用和和所所需需的的時(shí)時(shí)間間卻卻要要比比傳傳統(tǒng)統(tǒng)支支付付要要低低得得多多。。11.4電子子商商務(wù)務(wù)安安全全解解決決方方案案第三三方方支支付付概概述述及及解解決決方方案案第三三方方支支付付，是是指指一一些些獨(dú)立立于電電子子商商務(wù)務(wù)中中買方方和和賣賣方方的第第三三方方機(jī)機(jī)構(gòu)構(gòu)設(shè)設(shè)立立的的為為買買方方和和賣賣方方順順利利實(shí)實(shí)現(xiàn)現(xiàn)交交易易提提供供支支付付中中介介服服務(wù)務(wù)的的支支付付方方式式。。第第三三方方機(jī)機(jī)構(gòu)構(gòu)往往往往是是信譽(yù)譽(yù)良良好好的大大企企業(yè)業(yè)或或者者銀行行等。。在在買買方方和和賣賣方方看看來(lái)來(lái)，，通通過(guò)過(guò)第第三三方方獨(dú)獨(dú)立立機(jī)機(jī)構(gòu)構(gòu)提提供供的的交易易支支持持平平臺(tái)臺(tái)，交交易易更更方便便快快捷捷，更更有有安安全全保保障障。。在在交交易易中中，，買買方方選選購(gòu)購(gòu)商商品品后后，，使使用用第第三三方方平平臺(tái)臺(tái)進(jìn)進(jìn)行行貨款款支支付付，這這時(shí)時(shí)貨貨款款并并沒(méi)沒(méi)有有實(shí)實(shí)際際支支付付給給賣賣方方，，而而是是由由第第三三方方予予以以臨時(shí)時(shí)保保管管；此此時(shí)時(shí)第第三三方方通通知知賣賣家家貨貨款款已已到到達(dá)達(dá)，，可可以以進(jìn)進(jìn)行行發(fā)發(fā)貨貨；；買買方方檢檢驗(yàn)驗(yàn)物物品品后后，，就就可可以以通通知知第第三三方方付付款款給給賣賣家家，，第第三三方方再再將將款款項(xiàng)項(xiàng)真真正11.4電子子商商務(wù)務(wù)安安全全解解決決方方案案11.4電子子商商務(wù)務(wù)安安全全解解決決方方案案移動(dòng)動(dòng)支支付付概概述述及及解解決決方方案案移動(dòng)支付付（又稱手手機(jī)支付付）是指指用戶使使用移動(dòng)手持持設(shè)備，通通過(guò)無(wú)線網(wǎng)絡(luò)絡(luò)（包括移移動(dòng)通信信網(wǎng)絡(luò)和和廣域網(wǎng)網(wǎng)）購(gòu)買買實(shí)體或或虛擬物物品以及及各種服服務(wù)的一一種新型型支付方方式。隨隨著手機(jī)機(jī)的普及及和網(wǎng)上上購(gòu)物等等小額支付付的巨大市市場(chǎng)需求求，移動(dòng)支付付的產(chǎn)業(yè)化化初露端端倪，移移動(dòng)支付付正逐漸漸被越來(lái)來(lái)越多的的人接受受。移動(dòng)動(dòng)支付的的方式大大體上可可以分為為兩大類類，一類類是利用手機(jī)機(jī)的移動(dòng)通通信功能能的遠(yuǎn)程支付付方式，另另一類是是在手機(jī)機(jī)中利用用NFC、RFID等技術(shù)實(shí)實(shí)現(xiàn)的非非接觸式式支付方方式。11.4電子商務(wù)務(wù)安全解解決方案案?jìng)浞?、審審?jì)和應(yīng)應(yīng)急管理理軟硬件的的備份管管理網(wǎng)絡(luò)交易易日志審審計(jì)據(jù)存存儲(chǔ)和管管理制度度應(yīng)急預(yù)案案與應(yīng)急急措施11.4電子商務(wù)務(wù)安全解解決方案案電子商務(wù)務(wù)安全技技術(shù)發(fā)展展趨勢(shì)1.生物認(rèn)證證技術(shù)2.量子加密密技術(shù)3.IPV6技術(shù)課堂討論論1.討論關(guān)于于電子支支付的現(xiàn)現(xiàn)在和未未來(lái)。2.試分析日日本的錢錢包手機(jī)機(jī)在中國(guó)國(guó)實(shí)施的的可行性性。3.討論哪一一種生物物認(rèn)證技技術(shù)最有有可能在在未來(lái)五五十年占占有市場(chǎng)場(chǎng)。11.5數(shù)字證書書的獲取取與管理理實(shí)驗(yàn)在上一節(jié)節(jié)了解了了數(shù)字證證書的原原理的基基礎(chǔ)上，，本節(jié)來(lái)來(lái)學(xué)習(xí)如如何獲取取證書和和對(duì)證書書的管理理。為了了更好地地理解證書的生成過(guò)過(guò)程，將將自己動(dòng)手建立立一個(gè)CA認(rèn)證中心心，通過(guò)過(guò)這個(gè)CA來(lái)發(fā)放證證書。11.5.1實(shí)驗(yàn)?zāi)康牡倪M(jìn)行如何何獲取證證書和對(duì)對(duì)證書的的管理實(shí)實(shí)驗(yàn)，，主要具具有3個(gè)目的：學(xué)習(xí)利用用開源軟軟件建立立自我認(rèn)證證中心，發(fā)行客客戶端，，服務(wù)器端端證書的過(guò)程。。(2)學(xué)習(xí)Win32OpenSSL-0.98k，等開源軟件件的安裝和和使用。。(3)學(xué)習(xí)電子子商務(wù)網(wǎng)網(wǎng)站中使使用證書書認(rèn)證時(shí)時(shí)的配置方式式。11.5數(shù)字證書書的獲取取與管理理實(shí)驗(yàn)11.5.2實(shí)驗(yàn)要求求及方法法1.實(shí)驗(yàn)設(shè)備備本試驗(yàn)使使用一臺(tái)臺(tái)安裝有有WindowsXP操作系統(tǒng)統(tǒng)的計(jì)算算機(jī)，在在網(wǎng)上下下載并事事先安裝裝下列軟軟件，WEB服務(wù)器，JDK6,發(fā)行證書書用的Win32OpenSSL-0.98k，另外為為了在win32下運(yùn)行行Perl腳本，，還需需要安安裝。2.注意事事項(xiàng)(1)預(yù)習(xí)準(zhǔn)準(zhǔn)備提前對(duì)對(duì)這些些軟件件的功功能和和使用用方式式做一一些了了解，，以利利于對(duì)對(duì)于試試驗(yàn)內(nèi)內(nèi)容的的更好好理解解。(2)注意弄懂實(shí)實(shí)驗(yàn)原原理、理解解各步步驟的的含義義對(duì)于操操作的的每一一步要要著重重理解解其原原理，，對(duì)于于證書書制作作過(guò)程程中的的各種種中間間文件件、最最終生生成的的證書書、證證書導(dǎo)導(dǎo)入操操作等等要充充分理理解其其作用用和含含義。。實(shí)驗(yàn)用用時(shí)：3學(xué)時(shí)（（120-150分鐘））11.5數(shù)字證證書的的獲取取與管管理實(shí)實(shí)驗(yàn)11.5.3實(shí)驗(yàn)內(nèi)內(nèi)容及及步驟驟證書的的發(fā)行行管理理及使使用需需要如如下幾幾個(gè)步步驟(1)建立CA；(2)發(fā)行服服務(wù)器器端證證書；；(3)發(fā)行客客戶端端證書書；(4)修改Tomcat設(shè)置；；(5)向?yàn)g覽覽器導(dǎo)導(dǎo)入證證書；；(6)使用證證書訪訪問(wèn)網(wǎng)網(wǎng)站。。下面將將分步步進(jìn)行行詳細(xì)細(xì)說(shuō)明明。準(zhǔn)備工工作：首先先在C盤下建建立一一個(gè)C:/web/ssl目錄，，在這這個(gè)目目錄下下建ca,server,client三個(gè)子子目錄錄，分分別用用來(lái)存存放CA信息,服務(wù)器器端證證書信信息，，客戶戶端證證書信信息。。11.5數(shù)字證證書的的獲取取與管管理實(shí)實(shí)驗(yàn)(1)建立CA；首先把把OpenSSL的bin目錄中中的CA.pl、openssl.cfg文件拷拷貝到到C:/web/ssl/ca下，并并把openssl.cfg文件中中[CA_default]下的dir變量作作如下下修改改：dir=c:/web/ssl/ca修改完完成后后，運(yùn)運(yùn)行下下面的的Perl腳本：：CA.pl-newca按照提提示依依次輸輸入國(guó)國(guó)名、、省市市名稱稱、公公司部部門名名稱等等信息息，如如圖11-10所示。。圖11-10CA注冊(cè)信信息11.5數(shù)字證證書的的獲取取與管管理實(shí)實(shí)驗(yàn)上述命命令執(zhí)執(zhí)行完完后會(huì)會(huì)在C:/web/ssl/ca下生成成一系系列文文件和和目錄錄，其其中cacert.pem是CA的證書書，private下的文件是是CA的私鑰。把CA的證書轉(zhuǎn)換換成Tomcat能夠識(shí)別的的二進(jìn)制格格式的證書書opensslx509-incacert.pem-outformDER-outcacert.der(2)發(fā)行服務(wù)器器端證書建立Tomcat用密鑰倉(cāng)庫(kù)庫(kù)(keystore)，使用RSA算法，密鑰鑰倉(cāng)庫(kù)放在在c:\web\ssl\keystore中，執(zhí)行下下述命令：：%JAVA_HOME%\bin\keytool-genkey-aliasserver-keyalgRSA-keystorec:\web\ssl\keystore.如圖11-11所示。11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)圖11-11發(fā)行服務(wù)器器端證書11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)建立證書發(fā)發(fā)行申請(qǐng)，，文件名為為serverreq.csr%JAVA_HOME%\bin\keytool-certreq-keyalgRSA-aliasserver-fileserverreq.csr-keystorec:\web\ssl\keystore利用上面生生成的申請(qǐng)請(qǐng)來(lái)發(fā)行證證書，證書書文件名為為server.pem，隨后把證證書轉(zhuǎn)換成成二進(jìn)制格格式的server.der，這里使用用的openssl_server.cfg是配置文件件，把CA使用的openssl.cfg拷貝到c:\web\ssl\server下，命名為為openssl_client.cfg，去掉nsCertType=server行的注釋，，然后執(zhí)行行下面兩個(gè)個(gè)命令。opensslx509-inserver.pem-outformDER-outserver.der11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)下一步是把把上面生成成的服務(wù)器器端證書導(dǎo)導(dǎo)入Tomcat密鑰倉(cāng)庫(kù)，，首先是CA證書，然后后是服務(wù)器器證書。%JAVA_HOME%\bin\keytool-import-aliasroot-file../ca/cacert.der-keystorec:\web\ssl\keystore顯示類似下下面的畫面面后，詢問(wèn)問(wèn)是否信任任這個(gè)認(rèn)證證，回答““y”后，CA的根證書被被正確加入入到密鑰倉(cāng)倉(cāng)庫(kù)中。如如圖11-12所示。圖11-12證書加載11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)用如下命令令導(dǎo)入服務(wù)務(wù)器證書。。%JAVA_HOME%\bin\keytool-import-aliasserver-fileserver.der-keystorec:\web\ssl\keystore(如圖11-13所示)圖11-13導(dǎo)入服務(wù)器器證書11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)(3)發(fā)行客戶端端證書首先把openssl.cfg拷貝到c:\web\ssl\client下，命名為為openssl_client.cfg，然后去掉掉nsCertType=client,email行的注釋。。生成客戶端端用密鑰，，文件名為為client.key：Opensslgenrsa-des3-outclient.key1024，如圖11-14所示。圖11-14發(fā)行客戶端端證書11.5數(shù)字證書的的獲取與管管理實(shí)驗(yàn)生成客戶端端證書要求求，文件名名為clientreq.pem：opensslreq-new-days365-keyclient.key-outclientreq.pem同上回答答完類似似圖11-9的國(guó)別、、城