第9章-密碼學與網(wǎng)絡(luò)安全-電子商務(wù)的安全技術(shù)及應(yīng)用

第9章電子商務(wù)的安全技術(shù)及應(yīng)用學習目標1.知識點：電子商務(wù)概述、電子商務(wù)的安全技術(shù)要求，電子支付系統(tǒng)的安全技術(shù)2.重點：電子商務(wù)的安全技術(shù)、電子支付系統(tǒng)的安全技術(shù)、電子現(xiàn)金應(yīng)用系統(tǒng)3.難點：電子支付系統(tǒng)安全性、電子現(xiàn)金應(yīng)用系統(tǒng)

從廣義上講，電子商務(wù)是指通過電子數(shù)據(jù)交換來完成某種與商務(wù)或服務(wù)有關(guān)的工作，它可以是各種形式、各種內(nèi)容、各種目的、各種風格、各種程度的電子數(shù)據(jù)的交換，其基礎(chǔ)是以電子化的形式來處理和傳輸商務(wù)數(shù)據(jù)，包括文本、聲音、視頻、圖像等數(shù)據(jù)類型9.1電子商務(wù)概述

直觀地說，電子商務(wù)就是將傳統(tǒng)商務(wù)移植到信息網(wǎng)上。與傳統(tǒng)商務(wù)相似，電子商務(wù)為銷售者和消費者建立交易關(guān)系，使他們能商談交易的商品和交易的條件，如提供何種商品或服務(wù)，適應(yīng)的法律和規(guī)范、價格、付款方式、商品提供方式和保證等簡單地說，電子商務(wù)就是利用計算機網(wǎng)絡(luò)進行產(chǎn)品、服務(wù)和信息的買賣

電子商務(wù)主要包含三個要素：信息、電子數(shù)據(jù)交換和電子資金轉(zhuǎn)帳。電子商務(wù)的交易過程可以描述為三個階段：(1)交易前主要是指交易各方在交易活動前的準備活動，包括網(wǎng)絡(luò)咨詢、廣告、商務(wù)洽談等

(2)交易中包括合同的簽訂，涉及企業(yè)間、公證機關(guān)、銀行、稅務(wù)、海關(guān)等方面的電子憑證交換，即電子數(shù)據(jù)交換和電子支付

(3)交易后包括商品的支付、電子支票等

電子商務(wù)一般包括四個部分

(1)

交易的商流指接受訂單、購買、開具發(fā)票等銷售工作，也包括維修等售后服務(wù)之類的工

(2)配送的物流指商品的配送

(3)轉(zhuǎn)帳支付的結(jié)算交易雙方必然涉及到資金轉(zhuǎn)移的過程，包括付款、與金融機構(gòu)交互等

(4)信息流包括商品信息、信息提供、促銷、直銷等9.1.2電子商務(wù)的分類

1.商業(yè)活動運作方式電子商務(wù)可分為完全電子商務(wù)和不完全電子商務(wù)

(1)完全電子商務(wù)即可以完全通過電子商務(wù)方式實現(xiàn)和完成整個交易過程的交易

(2)不完全電子商務(wù)指無法完全依靠電子商務(wù)方式實現(xiàn)和完成完整交易過程的交易，它需要依靠一些外部要素，如運輸系統(tǒng)等來完成交易2.應(yīng)用服務(wù)的領(lǐng)域范圍可分為四類，即企業(yè)對消費者、企業(yè)對企業(yè)、企業(yè)對政府機構(gòu)、消費者對政府機構(gòu)的電子商務(wù)

(1)

企業(yè)對消費者（B到C）的電子商務(wù)這類電子商務(wù)等同于電子零售商業(yè)。目前，因特網(wǎng)上已遍布各種類型的商業(yè)中心，提供各種商品和服務(wù)，主要有鮮花、書籍、計算機、汽車等商品和服務(wù)(2)企業(yè)對企業(yè)（B到B）的電子商務(wù)商業(yè)機構(gòu)（或企業(yè)、公司）使用因特網(wǎng)或各種商務(wù)網(wǎng)絡(luò)向供應(yīng)商（企業(yè)或公司）訂貨和付款。公司之間可能使用網(wǎng)絡(luò)進行訂貨和接受訂貨、合同等單證和付款

(3)企業(yè)對政府機構(gòu)（B到G）的電子商務(wù)企業(yè)對政府機構(gòu)方面的電子商務(wù)可以覆蓋公司和政府組織間的許多事務(wù)(4)消費者對政府機構(gòu)（C到G）的電子商務(wù)政府將會把電子商務(wù)擴展到福利費發(fā)放和自我估稅的征收方面3.電子商務(wù)的服務(wù)形式主要支持兩種類型的活動：

(1)間接電子商務(wù)在間接電子商務(wù)服務(wù)中，用戶可以聯(lián)機訂購有形貨品、參加商品交易會，購銷雙方在網(wǎng)上簽訂意向購銷合同。但仍需采用傳統(tǒng)的購銷方式，簽訂正式的合同，仍需采用傳統(tǒng)的郵遞或快遞方式來實現(xiàn)交貨(2)直接電子商務(wù)在直接電子商務(wù)服務(wù)中，用戶可以在全球范圍內(nèi)聯(lián)機訂購無形商品，如購買電腦軟件、享受娛樂服務(wù)、使用電子信息服務(wù)、在網(wǎng)上參與股票交易等，而且付款和交貨都可以通過網(wǎng)絡(luò)來完成9.1.3電子商務(wù)系統(tǒng)的支持環(huán)境

1．網(wǎng)絡(luò)環(huán)境網(wǎng)絡(luò)環(huán)境是開展電子商務(wù)的基礎(chǔ)。信息的傳遞、網(wǎng)上資金帳戶的認證、資金的劃轉(zhuǎn)等，都需要數(shù)據(jù)交換的網(wǎng)絡(luò)環(huán)境

2．支付系統(tǒng)網(wǎng)上銀行以及網(wǎng)上支付系統(tǒng)的建立與完善也是電子商務(wù)發(fā)展的重營條件之一

3．安全認證系統(tǒng)電子商務(wù)的主要形式之一就是網(wǎng)上交易，包括合同的處理以及資金的劃轉(zhuǎn)等，所以在網(wǎng)上怎么確定信用、如何保護商業(yè)秘密、如何保證網(wǎng)上帳戶和數(shù)據(jù)傳送的安全，對發(fā)展電子商務(wù)是一個很嚴重的問題

4．配送系統(tǒng)如何解決電子商務(wù)情況下的配送也是發(fā)展電子商務(wù)所必須解決的問題

9.2.2電子商務(wù)面臨的威脅和安全技術(shù)要求

1．對銷售者的威脅

(1)中央系統(tǒng)安全性被破壞入侵者假冒合法用戶來改變用戶數(shù)據(jù)（如商品送達地址）、解除用戶訂單或生成虛假訂單

(2)競爭者檢索商品遞送狀況不誠實的競爭者以他人的名義來訂購商品，從而了解有關(guān)商品的遞送狀況和貨物的庫存情況(3)客戶資料被競爭者獲悉

(4)被他人假冒而損害公司的信譽不誠實的人建立與銷售者服務(wù)器名字相同的另一WWW服務(wù)器來假冒銷售者

(5)消費者提交訂單后不付款

(6)虛假訂單

(7)獲取他人的機密數(shù)據(jù)當某人想要了解另一人在銷售商處的信譽時，他以這個人的名字向銷售商訂購昂貴的商品，然后觀察銷售的行動2013年7月在婺城區(qū)檢察院受理的一起特大電信詐騙案中,犯罪嫌疑人毛X伙同其他人,假扮建設(shè)銀行或建設(shè)銀行下屬信貸公司工作人員,以發(fā)放建設(shè)銀行低息貸款為名,騙取被害人信任,要求被害人開通建設(shè)銀行網(wǎng)銀,并存入貸款金額的30%作為驗資金。之后,將偽裝成貸款申請表格的超級網(wǎng)銀授權(quán)木馬程序發(fā)送給被害人,該木馬程序能在被害人填寫完成表格后授權(quán)毛燦開通超級網(wǎng)銀,并通過網(wǎng)上銀行將被害人的驗資款轉(zhuǎn)走。經(jīng)查,該案被害人遍布廣東、湖南、浙江、上海、陜西、黑龍江等省份,涉案金額高達900多萬元。2．對消費者的威脅

(1)

虛假訂單一個假冒者可能會以客戶的名字來訂購商品，而且有可能收到商品，而此時客戶卻被要求付款或返還商品

(2)付款后不能收到商品在要求客戶付款后，銷售商中的內(nèi)部人員不將訂單和貨款轉(zhuǎn)發(fā)給執(zhí)行部門，因而使客戶不能收到商品

(3)機密性喪失客戶有可能將秘密的個人數(shù)據(jù)或自己的身份數(shù)據(jù)（如PIN、口令等）發(fā)送給冒充銷售商的機構(gòu)，這些信息也可能會在傳遞過程中被竊聽

(4)拒絕服務(wù)攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假訂單來窮竭它的資源，從而使合法用戶不能得到正常的服務(wù)3.銷售者對電子商務(wù)的要求

(1)能鑒別消費者身份的真實性，能確信消費者對商品或服務(wù)的支付能力

(2)知識產(chǎn)權(quán)保護“數(shù)據(jù)商品”易于拷貝和分配，使商品開發(fā)者的知識產(chǎn)權(quán)受到侵害，因此電子商務(wù)系統(tǒng)應(yīng)提供可靠的機制來保護知識產(chǎn)權(quán)

(3)有效的爭議解決機制當消費者收到商品或得到服務(wù)卻說沒有收到商品和服務(wù)時，銷售者能出示有效證據(jù)，使用有效的解決機制來解決爭議，防止銷售者提供的服務(wù)被破壞4.消費者對電子商務(wù)系統(tǒng)的要求

(1)能對銷售者的身份進行鑒別，以保證消費者能確認他要進行交易的對方是他所希望的銀行、銷售商或政府部門，而不是一個欺騙者

(2)

能保證消費者的機密信息和個人隱私不被泄露給非授權(quán)的人

(3)有效的爭議解決機制。當消費者為商品付款后未收到商品，或收到錯誤的商品或收到不能保證的商品時，消費者能出示有效的證據(jù)，利用爭議解決機制來解決爭議5.電子商務(wù)安全技術(shù)要求（1）真實性要求能對信息、實體的真實性進行鑒別（2）機密性要求保證信息不被泄露給非授權(quán)的人或?qū)嶓w（3）完整性要求保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞（4）可用性要求保證合法用戶對信息和資源的使用不會被不正當?shù)鼐芙^（5）不可否認要求建立有效的責任機制，防止實體否認其行為（6）可控性能控制使用資源的人或?qū)嶓w的使用方式9.2.3電子商務(wù)系統(tǒng)所需的安全服務(wù)

(1)鑒別服務(wù)對人或?qū)嶓w的身份進行鑒別，為身份的真實性提供保證

(2)訪問控制服務(wù)訪問控制服務(wù)通過授權(quán)來對使用資源的方式進行控制，防止非授權(quán)使用或控制資源。它有助于達到機密性、完整性、可控性和建立責任機制(3)機密性服務(wù)機密性服務(wù)的目標是為電子商務(wù)參與者的信息在存儲、處理傳輸過程中提供機密性保證,防止信息被泄露給非授權(quán)獲得信息的人或?qū)嶓w

(4)不可否認服務(wù)與其它服務(wù)不同,不可否認服務(wù)針對的是來自合法用戶的威脅,而不是未知攻擊者的威脅9.2.4電子商務(wù)的安全體系結(jié)構(gòu)電子商務(wù)的安全體系包括以下三個層次：

(1)基本加密算法，其中包括單鑰密碼體制、公鑰密碼體制、安全雜湊函數(shù)等算法

(2)以基本加密算法為基礎(chǔ)的CA體系、數(shù)字簽字等基本安全技術(shù)

(3)以基本加密算法、安全技術(shù)、CA體系為基礎(chǔ)的各種安全應(yīng)用協(xié)議，如X.509、SET、SSL、PGP、S/MIME等電子商務(wù)的安全體系結(jié)構(gòu)安全電子交易安全電子交易（SecureElectronicTransaction,SET）是一個通過Internet等開放網(wǎng)絡(luò)進行安全交易的技術(shù)標準，SET協(xié)議圍繞客戶、商家等交易各方相互之間身份的確認，采用了電子證書等技術(shù)，以保障電子交易的安全。SET向基于信用卡進行電子化交易的應(yīng)用，提供了實現(xiàn)安全措施的規(guī)則SET的主要目標信息傳輸?shù)陌踩裕盒畔⒃谝蛱鼐W(wǎng)上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被外部或內(nèi)部竊取。信息的相互隔離：訂單信息和個人賬號信息的隔離，當包含持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息。多方認證的解決：a.要對消費者的信用卡認證；b.要對網(wǎng)上商店進行認證；c.消費者、商店與銀行之間的認證。交易的實時性：所有的支付過程都是在線的.SET的交易成員SET支付系統(tǒng)中的交易成員（組成），主要包括：

1)持卡人——消費者2)網(wǎng)上商家

3)收單銀行4)支付網(wǎng)關(guān)5)發(fā)卡銀行電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行銀行

6)認證中心CA。SET系統(tǒng)的組成SET系統(tǒng)的操作是通過電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認證中心軟件4個軟件來完成的，分別存儲在持卡人、網(wǎng)上商店、銀行以及認證中心的服務(wù)器中，相互運作來完成整個SET交易服務(wù)安全電子交易SET系統(tǒng)的一般模型如圖。SET協(xié)議的安全技術(shù)SETToolkit是SET的一個開放工具，任何電子商務(wù)系統(tǒng)都可以利用它來處理操作過程中的安全和保密