電子商務(wù)實務(wù)(第二版)配套課件

電子商務(wù)實務(wù)（第二版）高等教育出版社全國高職高專教育“十二五”規(guī)劃教材第二章電子商務(wù)安全一、學習目標

了解常見的電子商務(wù)安全問題

了解電子商務(wù)安全加密技術(shù)

了解電子商務(wù)安全認證技術(shù)知識目標

了解電子商務(wù)安全認證體系

了解電子商務(wù)信用認證的作用2能根據(jù)業(yè)務(wù)需要選擇合適的安全解決方案掌握CA認證在電子商務(wù)交易過程中的使用能力目標掌握信用認證在電子商務(wù)交易過程中的使用一、學習目標案例標簽：揚州市地稅局；數(shù)字證書；網(wǎng)上報稅系統(tǒng)案例網(wǎng)址：.cn案例導(dǎo)讀：1、揚州市地稅局概況揚州市地稅局準備采用網(wǎng)上報稅的方式，由納稅人在互聯(lián)網(wǎng)上完成申報和繳稅。納稅人通過IE瀏覽器登錄到稅務(wù)局電子申報的WEB服務(wù)器上，輸入網(wǎng)上報稅系統(tǒng)為納稅人創(chuàng)建的用戶名和密碼（密碼登錄后可修改）進入系統(tǒng)進行報表填寫。納稅人再將報表填寫完后進行申報（系統(tǒng)將納稅人提交的數(shù)據(jù)寫到稅務(wù)局的數(shù)據(jù)庫中）和網(wǎng)上銀行繳稅，完成整個申報過程。二、案例導(dǎo)入揚州市地稅局使用數(shù)字證書來解決網(wǎng)上報稅的安全問題——天威誠信2、網(wǎng)上報稅系統(tǒng)天威誠信根據(jù)揚州市地稅局網(wǎng)上報稅系統(tǒng)的應(yīng)用需求，采用天威誠信的安證通（OnSite）產(chǎn)品和服務(wù)，采用基于服務(wù)的建設(shè)模式，為揚州地稅建設(shè)一套CA認證系統(tǒng)，CA系統(tǒng)的核心——CA中心托管建設(shè)在天威誠信安全數(shù)據(jù)中心，在揚州市本地建設(shè)CA系統(tǒng)提供給納稅人申請和管理證書的前臺——RA中心，并在揚州市本地建設(shè)對整個CA系統(tǒng)進行全權(quán)管理的前臺——CA管理（模塊），由它們共同為揚州地稅納稅人提供證書認證服務(wù)。建設(shè)的揚州地稅CA認證系統(tǒng)采用揚州地稅自有的證書信任體系，頒發(fā)企業(yè)證書。天威誠信為揚州地稅網(wǎng)上報稅系統(tǒng)提供了解決方案，并協(xié)助開發(fā)商對應(yīng)用系統(tǒng)進行了集成，增加數(shù)字證書應(yīng)用的安全功能。二、案例導(dǎo)入通過建設(shè)的CA認證系統(tǒng)，納稅人將采用如下流程進行網(wǎng)上申報：（1）納稅人首先到稅務(wù)局進行網(wǎng)上申報的申請；（2）稅務(wù)局審核通過后，通知納稅人進行網(wǎng)上申報的培訓(xùn)；（3）培訓(xùn)同時將發(fā)給納稅人一個信封，里邊寫有納稅人的用戶名和密碼及要登錄的網(wǎng)站地址和納稅人的證書；（4）納稅人回去后，在自己的計算機上安裝自己的證書；（5）納稅人登錄稅務(wù)局Web申報網(wǎng)站，提交納稅人的證書和Web申報網(wǎng)站建立SSL鏈接，Web申報網(wǎng)站驗證納稅人提交的數(shù)字證書來認證納稅人的身份，通過SSL鏈接來保證數(shù)據(jù)傳輸?shù)臋C密性；（6）納稅人輸入用戶名和密碼完成網(wǎng)上申報流程。揚州市地稅局CA系統(tǒng)及網(wǎng)上報稅系統(tǒng)安全集成已經(jīng)完成，如圖2-1所示。目前已經(jīng)正式使用，到現(xiàn)在為止，揚州地稅CA系統(tǒng)已經(jīng)發(fā)放了大約1,000張證書，整個系統(tǒng)運行穩(wěn)定，并且發(fā)放的數(shù)字證書已經(jīng)被納稅人在網(wǎng)上報稅系統(tǒng)中應(yīng)用，進行安全的網(wǎng)上報稅。二、案例導(dǎo)入

二、案例導(dǎo)入圖2-1揚州市地稅局網(wǎng)上報稅系統(tǒng)1、電子商務(wù)安全概述

（1）電子商務(wù)安全的重要性電子商務(wù)安全是電子商務(wù)的生存保障。它是市場游戲規(guī)則順利實施的前提，因為市場競爭規(guī)則強調(diào)的是公平、公正和公開，如果無法保證市場交易的安全，可能導(dǎo)致非法交易或者損害合法交易的利益。它是保證電子虛擬市場交易順利發(fā)展的前提，因為網(wǎng)上交易雖然可以降低交易費用，但如果網(wǎng)上交易安全性無法得到保證，造成合法交易雙方利益的損失，可能導(dǎo)致交易雙方為規(guī)避風險選擇傳統(tǒng)的、更安全的交易方式。電子商務(wù)涉及國家經(jīng)濟安全，作為國家基本經(jīng)濟活動的商務(wù)活動如果受到破壞、攻擊，產(chǎn)生混亂，社會生活就不得安寧。三、知識學習（2）電子商務(wù)的安全要素①有效性。②保密性。③完整性。④可靠性、不可抵賴性和可鑒別性。三、知識學習（3）電子商務(wù)中的安全問題①商家（商品或服務(wù)的提供者）面臨的安全威脅（1）中央系統(tǒng)的安全性受到破壞。（2）競爭者檢索商品的銷售情況。（3）客戶的資料被競爭者獲取，為其所用。（4）被他人假冒而損害公司的信譽，這種安全威脅主要有三種方式。（5）消費者提交訂單后不付款。（6）虛假訂單。

三、知識學習②客戶（商品或服務(wù)的購買者）所面臨的安全威脅

（1）虛假訂單。（2）信用的威脅。（3）機密性喪失。（4）拒絕服務(wù)。三、知識學習（4）電子商務(wù)安全中的加密技術(shù)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行數(shù)據(jù)加密保障安全性。加密技術(shù)能避免各種存儲介質(zhì)上的或通過Internet傳送的敏感數(shù)據(jù)被侵襲者竊取，也適用于檢查信息的真實性與完整性。這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。三、知識學習圖2-2數(shù)據(jù)加密的一般模型

三、知識學習2、電子商務(wù)認證（1）電子商務(wù)中的認證技術(shù)①數(shù)字簽名數(shù)字簽名是公開密鑰加密技術(shù)的一類應(yīng)用。數(shù)字簽名的加密解密過程和一般秘密密鑰的加密解密過程雖然都使用公開密鑰系統(tǒng)，但實現(xiàn)的過程正好相反，使用的密鑰對也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對，發(fā)送方用自己的私有密鑰進行加密，接收方用發(fā)送方的公開密鑰進行解密。這是一個一對多的關(guān)系，任何擁有發(fā)送方公開密鑰的人都可以驗證數(shù)字簽名的正確性。而一般秘密密鑰的加密解密則使用的是接收方的密鑰對，這是多對一的關(guān)系：任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有擁有接收方私有密鑰的人才能對信息解密。三、知識學習②數(shù)字摘要技術(shù)一般的對稱或非對稱加密算法用于防止信息被篡改。數(shù)字摘要技術(shù)用于證明信息的完整性和準確性，主要用于防止原文被篡改。數(shù)字摘要是采用單向Hash(分散排列)函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼，并在傳輸信息時將之加入文件一同送給接收方。接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改。而數(shù)字簽名一般來說是用來處理短消息的，處理較長消息則有些吃力。當然，可以將長的消息分成若干小段，然后再分別簽名。不過這樣做非常麻煩，而且會帶來數(shù)據(jù)完整性的問題。比較合理的做法是在數(shù)字簽名前對消息先進行數(shù)字摘要。三、知識學習③數(shù)字時間戳在電子商務(wù)交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項目，由專門的機構(gòu)提供。時間戳是一個經(jīng)加密后形成的憑證文件，包括三個部分：需加時間戳的文件摘要；DTS收到文件的日期和時間；DTS的數(shù)字簽名。時間戳產(chǎn)生的過程為，用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后在對該文件加密，然后送回用戶。三、知識學習④身份認證技術(shù)身份認證是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜和聲音等生理特征。身份認證可分為兩類：用戶與主機間的認證和主機與主機之間的認證。用戶與主機之間的認證可以基于如下一個或幾個因素:①用戶所知道的東西,例如口令,密碼等；②用戶擁有的東西,例如印章,智能卡(如信用卡等)；③用戶所具有的生物特征,例如指紋,聲音,視網(wǎng)膜,簽字,筆跡等。下面對這些方法的優(yōu)劣進行比較。三、知識學習⑤報文認證技術(shù)報文是網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元，報文的認證方式有傳統(tǒng)加密方式的認證、沒有報方加密的報文認證、使用密鑰額報文認證碼方式、使用單項散列函數(shù)的認證。⑥信息完整性信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，數(shù)據(jù)具有一致性。保證信息完整性需要防止數(shù)據(jù)的丟失、重復(fù)及保證傳送秩序的一致。保證各種數(shù)據(jù)的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，數(shù)據(jù)的完整性被破壞可能導(dǎo)致貿(mào)易雙方信息的差異，將影響交易的交易順利完成，甚至造成糾紛。三、知識學習（2）電子商務(wù)安全認證體系①數(shù)字證書

數(shù)字證書也稱公開密鑰證書，是在網(wǎng)絡(luò)通信中標志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實生活中的身份證。它主要包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名等數(shù)據(jù)。三、知識學習（2）電子商務(wù)安全認證體系②CA認證中心

認證中心是檢驗密鑰是否真實性的第三方，它是一個權(quán)威機構(gòu)，專門驗證交易雙方的身份。驗證的方法是接受個人、商家、銀行等涉及交易的實體申請數(shù)字證書，核實情況，批準或拒絕申請，頒發(fā)數(shù)字證書。認證中心除了檢驗外，還具有管理、搜索和驗證證書等職能。三、知識學習圖2-3典型CA系統(tǒng)三、知識學習（2）電子商務(wù)安全認證體系③PKI安全體系

簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺提供的服務(wù)進行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動。

三、知識學習（2）電子商務(wù)安全認證體系④SSL安全體系

安全套接層（SecuresocketsLayer，SSL）是一種傳輸層技術(shù)，由網(wǎng)景通訊公司開發(fā)，可以實現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。三、知識學習

SSL工作過程：

三、知識學習AB（1）要求進行身份認證（2）同意進行認證（3）互相確認身份（4）核查身份確認無誤（2）電子商務(wù)安全認證體系

⑤SET安全體系

1996年，有重大實用價值和深遠影響的安全電子交易SET（SecureElectronicTransaction）安全體系產(chǎn)生了。SET在保留對客戶信用卡認證的前提下，又增加了對商家身份的認證，這對于需要支付貨幣的交易來講是事關(guān)重大的。由于設(shè)計合理，SET協(xié)議得到了IBM、Microsoft等許多大公司的支持，已成為事實上的工業(yè)標準。三、知識學習

⑤SET安全體系

SET安全協(xié)議要達到的目標主要有五個：

①信息傳輸?shù)陌踩?。②信息的相互隔離。③多方認證的解決。④效仿EDI貿(mào)易形式。⑤交易的實時性。三、知識學習SET的交易成員①持卡人—消費者②網(wǎng)上商家③收單銀行④支付網(wǎng)關(guān)⑤發(fā)卡銀行——電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行⑥認證中心CA——可信賴、公正的組織三、知識學習SET軟件系統(tǒng)的組成三、知識學習三、知識學習SET的認證過程①注冊登記②動態(tài)認證③商業(yè)機構(gòu)處理三、知識學習SET協(xié)議的安全技術(shù)①將所有消息文本用雙鑰密碼體制加密；②將上述密鑰的公鑰和私鑰的字長增加到512B—2048B；③采用聯(lián)機動態(tài)的授權(quán)（Authority和認證檢查（Certificate），以確保交易過程的安全可靠。（3）信用認證我國電子商務(wù)的信用模式主要采取四種典型的信用模式：①中介人模式。

②擔保人模式。③網(wǎng)站經(jīng)營模式。④委托授權(quán)經(jīng)營模式。三、知識學習四、實踐訓(xùn)練情景與數(shù)據(jù)

近年來，電子商務(wù)因其便捷性、低成本性被各界看好而迅速發(fā)展，與此同時，電子商務(wù)安全隱患卻在網(wǎng)絡(luò)交易的過程中也不斷凸顯，如購物網(wǎng)站被黑、用戶密碼被盜、賬戶消失、網(wǎng)站被攻擊等。這導(dǎo)致用戶網(wǎng)購日益謹慎，網(wǎng)絡(luò)銷售受到很大影響。光明商城就曾有黑客的光臨，給商城造成了不小的損失。為此光明服裝股份有限公司為加強光明商城銷售平臺的安全運作，一方面加強了公司內(nèi)部軟硬件安全的防范，另一方面主動到天信電子商務(wù)認證中心平臺申請通過了CA認證和信用認證，并在簽訂合同時使用了電子簽章技術(shù)。

光明商城申請CA認證，并在全搜咨詢公司的平臺上建立企業(yè)的信用認證檔案，同時，兩家公司在簽訂合同時都使用電子簽章技術(shù)，以保證合同的安全性，這一系列活動在電子商務(wù)活動中稱為電子商務(wù)安全。2/1/2023四、實踐訓(xùn)練任務(wù)實踐完成上述學習情景，包括以下三項任務(wù)：①CA證書申請與安裝；②企業(yè)信用認證申請；③電子簽章。情景分析

在電子商務(wù)安全中共涉及光明商城股份有限公司和全搜咨詢有限公司兩個角色，需要經(jīng)過以下幾個環(huán)節(jié)：①光明商城股份有限公司申請CA證書并安裝；②光明商城股份有限公司申請企業(yè)信用認證；③光明商城股份有限公司和全搜咨詢有限公司簽訂合同，并使用電子簽章技術(shù)。2/1/2023五、學習小結(jié)2/1/2023六、同步測試一、選擇題

1、電子商務(wù)的安全性不包括（）。

A、保密性B、及時性C、完整性D、不可否認性和匿名性

2、（）用于