第五章

電子商務(wù)安全

第五章電電子商商務(wù)安全全熟悉電子子商務(wù)安安全的含含義了解目前前常見的的電子商商務(wù)安全全威脅掌握電子子商務(wù)安安全的需需求了解電子子商務(wù)安安全常見見的技術(shù)術(shù)了解電子子商務(wù)安安全協(xié)議議2020-03-012學(xué)習(xí)目標(biāo)5.1電子商務(wù)務(wù)安全概概述電子商務(wù)務(wù)的一個(gè)個(gè)重要技技術(shù)特征征是利用用IT技術(shù)來傳傳輸和處處理商業(yè)業(yè)信息。。因此，，電子商商務(wù)安全全從整體體上可分分為兩大大部分：：計(jì)算機(jī)機(jī)網(wǎng)絡(luò)安安全和商商務(wù)交易易安全。。計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全全的內(nèi)容容包括：：計(jì)算機(jī)機(jī)網(wǎng)絡(luò)設(shè)設(shè)備安全全、計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)系統(tǒng)安安全和數(shù)數(shù)據(jù)庫安安全等。。其特征征是針對對計(jì)算機(jī)機(jī)網(wǎng)絡(luò)本本身可能能存在的的安全問問題，實(shí)實(shí)施網(wǎng)絡(luò)絡(luò)安全增增強(qiáng)方案案，以保保證計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)自身的的安全性性。2020-03-0135.1電子商務(wù)務(wù)安全概概述5.1..1電子商務(wù)務(wù)安全要要素由于電子子商務(wù)是是在互聯(lián)聯(lián)網(wǎng)環(huán)境境下進(jìn)行行的商務(wù)務(wù)活動(dòng)，，交易的的安全性性、可靠靠性和匿匿名性一一直是人人們在交交易活動(dòng)動(dòng)中最為為關(guān)注的的問題。。因此，，為了保保證電子子商務(wù)整整個(gè)交易易活動(dòng)的的順利進(jìn)進(jìn)行，電電子商務(wù)務(wù)系統(tǒng)必必須具備備以下幾幾個(gè)安全全要素：：有效性和和真實(shí)性性機(jī)密性和和隱私權(quán)權(quán)數(shù)據(jù)的完完整性可靠性和和不可抵抵賴性審查能力力2020-03-0145.1電子商務(wù)務(wù)安全概概述5.1..2電子商務(wù)務(wù)的安全全威脅及及主要的的安全技技術(shù)

電子商務(wù)務(wù)的安全全威脅包包括：信信息在網(wǎng)網(wǎng)絡(luò)的傳傳輸過程程中被截截獲、傳傳輸?shù)奈奈募淮鄞鄹摹⒓偌倜八巳松矸?、、不承認(rèn)認(rèn)已經(jīng)做做過的交交易、抵抵賴、非非法訪問問和計(jì)算算機(jī)病毒毒等。電子商務(wù)務(wù)的主要要安全技技術(shù)包括括：加密密技術(shù)、、認(rèn)證技技術(shù)、數(shù)數(shù)字簽名名、安全全套接字字協(xié)議（（SSL）和安全全電子交交易規(guī)范范（SET）。2020-03-015【案例】開發(fā)理財(cái)財(cái)軟件留留“后門門”2009年7月，某金金融機(jī)構(gòu)構(gòu)委托某某公司開開發(fā)一個(gè)個(gè)銀行理理財(cái)產(chǎn)品品的計(jì)算算機(jī)程序序，該公公司便讓讓其員工工鄒某負(fù)負(fù)責(zé)研發(fā)發(fā)。鄒某在未未告知公公司和該該金融機(jī)機(jī)構(gòu)的情情況下私私自在程程序中加加入了一一個(gè)后門門程序。。之后程程序研發(fā)發(fā)順利完完成并交交付至該該金融機(jī)機(jī)構(gòu)投入入運(yùn)行。。自2009年11月至今年年6月期間，，鄒某又又先后多多次通過過后門程程序進(jìn)入入上述系系統(tǒng)，并并采用技技術(shù)手段段非法獲獲取了70多名客戶戶的客戶戶資料、、密碼，，非法查查詢了多多名客戶戶的賬戶戶余額，，同時(shí)將將23名客戶的的賬戶資資金在不不同的客客戶賬戶戶上相互互轉(zhuǎn)入轉(zhuǎn)轉(zhuǎn)出，涉涉及金額額共計(jì)1萬余元。。自2009年9月起，該該金融機(jī)機(jī)構(gòu)就陸陸續(xù)接到到客戶投投訴，于于是于2010年6月聯(lián)系上上述研發(fā)發(fā)公司進(jìn)進(jìn)行檢測測，終于于發(fā)現(xiàn)了了這個(gè)秘秘密的““后門程程序”，，立即向向公安機(jī)機(jī)關(guān)報(bào)案案。公安安機(jī)關(guān)于于當(dāng)月將將犯罪嫌嫌疑人鄒鄒某抓獲獲歸案。。5.2信息加密密技術(shù)為保證數(shù)數(shù)據(jù)和交交易的安安全、防防止欺騙騙，確認(rèn)認(rèn)交易雙雙方的真真實(shí)身份份，電子子商務(wù)必必須采用用加密技技術(shù)，加加密技術(shù)術(shù)是指通通過使用用代碼或或密碼來來保障數(shù)數(shù)據(jù)的安安全性。。欲加密密的數(shù)據(jù)據(jù)稱為明文，明文經(jīng)經(jīng)過某種種加密算算法作用用后，轉(zhuǎn)轉(zhuǎn)換成密文，我們將將明文轉(zhuǎn)轉(zhuǎn)換為密密文的這這一過程程稱為加密，將密文文經(jīng)解密密算法作作用后形形成明文文輸出的的這一過過程稱為為解密。加密算法法中使用的的參數(shù)稱稱為密鑰，密鑰長長度越長長，密鑰鑰的空間間就越大大，遍歷歷密鑰空空間所花花的時(shí)間間就越多多，破譯譯的可能能性就越越小。以以密鑰類類型劃分分，可將將密鑰系系統(tǒng)分為為對稱密鑰鑰系統(tǒng)和非對稱密密鑰系統(tǒng)統(tǒng)。5.2信息加密密技術(shù)5.2..1密碼學(xué)概概述一般的數(shù)數(shù)據(jù)加密密模型如如圖5-1所示，它它是采用用數(shù)學(xué)方方法對原原始信息息（明文文）進(jìn)行行再組織織，使得得加密后后在網(wǎng)絡(luò)絡(luò)上公開開傳輸?shù)牡膬?nèi)容對對于非法法者來說說成為無無意義的的文字（（密文）），而對對于合法法的接收收者，由由于掌握握正確的的密鑰，，可以通通過訪問問解密過過程得到到原始數(shù)數(shù)據(jù)。密碼學(xué)分分為兩類類：密碼碼編碼學(xué)學(xué)和密碼碼分析學(xué)學(xué)。5.2信息加密密技術(shù)5.2..1密碼學(xué)概概述圖5-1數(shù)據(jù)加密密模型5.2信息加密密技術(shù)5.2..2對稱密鑰鑰系統(tǒng)對稱密鑰鑰系統(tǒng)，，又稱單單鑰密鑰鑰系統(tǒng)或或密鑰系系統(tǒng)，是是指在對對信息的的加密和和解密過過程中使使用相同同的密鑰鑰。也就就是說，，私鑰密密鑰就是是將加密密密鑰和和解密密密鑰作為為一把密密鑰。對對稱加密密、解密密的過程程如圖5-2所示。圖5-2對稱加密密、解密密過程5.2信息加密密技術(shù)5.2..2對稱密鑰鑰系統(tǒng)對稱密鑰鑰系統(tǒng)的的安全性性依賴于于兩個(gè)因因素：第第一，加加密算法法必須是是足夠強(qiáng)強(qiáng)的，僅僅僅基于于密文本本身去解解密信息息在實(shí)踐踐上是不不可能的的；第二二，加密密方法的的安全性性依賴于于密鑰的的秘密性性，而不不是算法法的秘密密性。密密碼學(xué)的的一個(gè)原原則是““一切秘秘密寓于于密鑰之之中”，，算法可可以公開開，因此此，我們們沒有必必要確保保算法的的秘密性性，而需需要保證證密鑰的的秘密性性。對稱稱密鑰系系統(tǒng)的這這些特點(diǎn)點(diǎn)使其有有著廣泛泛的應(yīng)用用。5.2信息加密密技術(shù)5.2..2對稱密鑰鑰系統(tǒng)DES算法大致致可以分分成四個(gè)個(gè)部分：：初始置置換、迭迭代過程程、逆置置換和子子密鑰生生成。圖5-4DES加密算法法過程5.2信息加密密技術(shù)5.2..3非對稱密密鑰系統(tǒng)統(tǒng)圖5-5非對稱加加密、解解密過程程5.2信息加密密技術(shù)5.2信息加密密技術(shù)5.2信息加密密技術(shù)兩種加密密方法各各有優(yōu)缺缺點(diǎn)，對對稱加密密體制的的編碼效效率高，，但在密密鑰分發(fā)發(fā)與管理理上存在在困難，，而非對對稱密碼碼體制可可以很好好地解決決這個(gè)問問題。因因此，可可以組合合使用這這兩種加加密方法法，如圖圖5-6所示。。圖5-6兩種加密密組合使使用5.3信息認(rèn)證證技術(shù)在電子商商務(wù)中，，由于參參與的各各方往往往是素未未謀面的的，身份份認(rèn)證成成了必須須解決的的問題，，即在電電子商務(wù)務(wù)中，必必須解決決不可抵抵賴性問問題。交交易抵賴賴包括多多個(gè)方面面，如發(fā)發(fā)言者事事后否認(rèn)認(rèn)曾經(jīng)發(fā)發(fā)送過某某條信息息或內(nèi)容容，收信信者事后后否認(rèn)曾曾經(jīng)收到到過某條條消息或或內(nèi)容，，購買者者做了訂訂貨單不不承認(rèn)，，商家賣賣出的商商品因價(jià)價(jià)格差而而不承認(rèn)認(rèn)原有的的交易等等。電子子商務(wù)關(guān)關(guān)系到貿(mào)貿(mào)易雙方方的商業(yè)業(yè)交易，，如何確確定要進(jìn)進(jìn)行交易易的貿(mào)易易方正是是所期望望的貿(mào)易易伙伴這這一問題題則是保保證電子子商務(wù)順順利進(jìn)行行的關(guān)鍵鍵。5.3信息認(rèn)證證技術(shù)5.3..1身份認(rèn)證證

身份認(rèn)證證是指計(jì)計(jì)算機(jī)及及網(wǎng)絡(luò)系系統(tǒng)確認(rèn)認(rèn)操作者者身份的的過程。。計(jì)算機(jī)機(jī)和計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)組成了了一個(gè)虛虛擬的數(shù)數(shù)字世界界。在數(shù)數(shù)字世界界中，一一切信息息（包括括用戶的的身份信信息）都都是由一一組特定定的數(shù)據(jù)據(jù)表示的的，計(jì)算算機(jī)只能能識別用用戶的數(shù)數(shù)字身份份，給用用戶的授授權(quán)也是是針對用用戶數(shù)字字身份進(jìn)進(jìn)行的。。而我們們的生活活從現(xiàn)實(shí)實(shí)世界到到一個(gè)真真實(shí)的物物理世界界，每個(gè)個(gè)人都擁擁有獨(dú)一一無二的的物理身身份。5.3信息認(rèn)證證技術(shù)5.3..1身份認(rèn)證證1.密碼方式式密碼方式式是最簡簡單也是是最常用用的身份份認(rèn)證方方法，是是基于““whatyouknow”的驗(yàn)證手手段。每每個(gè)用戶戶的密碼碼是由用用戶自己己設(shè)定的的，只有有用戶自自己才知知道。只只要能夠夠正確輸輸入密碼碼，計(jì)算算機(jī)就認(rèn)認(rèn)為操作作者是合合法用戶戶。由于于密碼是是靜態(tài)的的數(shù)據(jù)，，在驗(yàn)證證過程中中需要在在計(jì)算機(jī)機(jī)內(nèi)存中中和網(wǎng)絡(luò)絡(luò)中傳輸輸，而每每次驗(yàn)證證使用的的驗(yàn)證信信息都是是相同的的，很容容易被駐駐留在計(jì)計(jì)算機(jī)內(nèi)內(nèi)存中的的木馬程程序或網(wǎng)網(wǎng)絡(luò)中的的監(jiān)聽設(shè)設(shè)備截獲獲。因此此密碼方方式是一一種不安安全的身身份認(rèn)證證方式。。5.3信息認(rèn)證證技術(shù)5.3..1身份認(rèn)證證2.生物物學(xué)特征征生物學(xué)特特征認(rèn)證證是指采采用每個(gè)個(gè)人獨(dú)一一無二的的生物學(xué)學(xué)特征來來驗(yàn)證用用戶身份份的技術(shù)術(shù)。常見見的有指指紋識別別、虹膜膜識別等等。從理理論上說說，生物物學(xué)特征征認(rèn)證是是最可靠靠的身份份認(rèn)證方方式，因因?yàn)樗敝苯邮褂糜萌说纳硖卣髡鱽肀硎臼久總€(gè)人人的數(shù)字字身份，，不同的的人具有有不同的的生物學(xué)學(xué)特征，，因此幾幾乎不可可能被仿仿冒。5.3信息認(rèn)證證技術(shù)5.3..1身份認(rèn)證證3.動(dòng)動(dòng)態(tài)口令令動(dòng)態(tài)口令令技術(shù)是是一種讓讓用戶密密碼按照照時(shí)間或或使用次次數(shù)不斷斷變化、、每個(gè)密密碼只能能使用一一次的技技術(shù)。用用戶使用用時(shí)只需需要將動(dòng)動(dòng)態(tài)令牌牌上顯示示的當(dāng)前前密碼輸輸入客戶戶端計(jì)算算機(jī)，即即可實(shí)現(xiàn)現(xiàn)身份認(rèn)認(rèn)證。由由于每次次使用的的密碼必必須由動(dòng)動(dòng)態(tài)令牌牌來產(chǎn)生生，只有有合法用用戶才持持有該硬硬件，所所以只要要通過密密碼驗(yàn)證證就可以以認(rèn)為該該用戶的的身份是是可靠的的。而用用戶每次次使用的的密碼都都不同，，即使黑黑客截獲獲了一次次密碼，，也無法法利用這這個(gè)密碼碼來仿冒冒合法用用戶的身身份。5.3信息認(rèn)證證技術(shù)5.3..1身份認(rèn)證證4.USBKey認(rèn)認(rèn)證基于USBKey的身份認(rèn)認(rèn)證方式式是近幾幾年發(fā)展展起來的的一種方方便、安安全的身身份認(rèn)證證技術(shù)。。它采用用軟硬件件相結(jié)合合、一次次一密的的強(qiáng)雙因因子認(rèn)證證模式，，很好地地解決了了安全性性與易用用性之間間的矛盾盾。USBKey是一種USB接口的硬硬件設(shè)備備，它內(nèi)內(nèi)置單片片機(jī)或智智能卡芯芯片，可可以存儲(chǔ)儲(chǔ)用戶的的密鑰或或數(shù)字證證書，利利用USBKey內(nèi)置的密密碼算法法實(shí)現(xiàn)對對用戶身身份的認(rèn)認(rèn)證。USBKey的硬件和和PIN碼構(gòu)成了了可以使使用證書書的兩個(gè)個(gè)必要因因素。如如果用戶戶PIN碼被泄漏漏，只要要USBKey本身不被被盜用即即安全。。黑客如如果想要要通過破破解加密密狗的方方法破解解USBKey，那么需需要先偷偷到用戶戶USBKey的物理硬硬件，而而這幾乎乎是不可可能的。。5.3信息認(rèn)證證技術(shù)5.3..2數(shù)字摘要要與數(shù)字字簽名1.數(shù)字字摘要數(shù)字摘要要簡要地地描述了了一份較較長的信信息或文文件，它它可以被被看作一一份長文文件的““數(shù)字指指紋”。。信息摘摘要用于于創(chuàng)建數(shù)數(shù)字簽名名，對于于特定的的文件而而言，信信息摘要要是唯一一的。信信息摘要要可以被被公開，，它不會(huì)會(huì)透露相相應(yīng)文件件的任何何內(nèi)容。。數(shù)字摘要要就是采采用單向向散列函函數(shù)將需需要加密密的明文文“摘要要”成一一串固定定長度（（128位）的密密文，這這一串密密文又稱稱為數(shù)字字指紋，，它有固固定的長長度，而而且不同同的明文文摘要成成密文，，其結(jié)果果總是不不同的，，而同樣樣的明文文其摘要要必定一一致。5.3信息認(rèn)證證技術(shù)5.3..2數(shù)字摘要要與數(shù)字字簽名

2.數(shù)字字簽名在傳統(tǒng)的的交易中中，我們們是用書書面簽名名來確定定身份的的。在書書面文件件上簽名名的作用用有兩點(diǎn)點(diǎn)，一是是確定為為自己所所簽署難難以否認(rèn)認(rèn)；二是是因?yàn)楹灪灻灰滓追旅?，，從而判判斷文件件是否為為非偽造造簽署文文件。隨隨著電子子商務(wù)的的應(yīng)用，，人們希希望通過過數(shù)字通通信網(wǎng)絡(luò)絡(luò)迅速傳傳遞貿(mào)易易合同，，這就出出現(xiàn)了合合同真實(shí)實(shí)性認(rèn)證證的問題題，數(shù)字字簽名就就應(yīng)運(yùn)而而生了。。5.3信息認(rèn)證證技術(shù)5.3..2數(shù)字摘要要與數(shù)字字簽名圖5-7生成數(shù)字字簽名流流程5.3信息認(rèn)證證技術(shù)5.3..2數(shù)字摘要要與數(shù)字字簽名圖5-8數(shù)字簽名名的過程程示意5.3信息認(rèn)證證技術(shù)5.3..3數(shù)字信封封與數(shù)字字時(shí)間戳戳1.數(shù)數(shù)字信封封數(shù)字信封封是用加加密技術(shù)術(shù)來保證證只有特特定的收收信人才才能閱讀讀信的內(nèi)內(nèi)容。在在數(shù)字信信封中，，信息發(fā)發(fā)送方采采用對稱稱密鑰來來加密信信息，為為了能安安全地傳傳輸對稱稱密鑰，，將對稱稱密鑰使使用接收收方的公公開密鑰鑰來加密密（這部部分稱為為“數(shù)字字信封””）之后后，將它它和對稱稱加密信信息一起起發(fā)送給給接收方方，接收收方先用用相應(yīng)的的私有密密鑰打開開數(shù)字信信封，得得到對稱稱密鑰，，然后使使用對稱稱密鑰解解開信息息。采用用數(shù)字信信封技術(shù)術(shù)后，即即使加密密文件被被他人非非法截獲獲，截獲獲者由于于無法得得到發(fā)送送方的通通信密鑰鑰，也不不可能對對文件進(jìn)進(jìn)行解密密。5.3信息認(rèn)證證技術(shù)5.3..3數(shù)字信封封與數(shù)字字時(shí)間戳戳圖5-9數(shù)字信封封的生成成5.3信息認(rèn)證證技術(shù)5.3..3數(shù)字信封封與數(shù)字字時(shí)間戳戳5-10數(shù)字信封封的解除除5.3信息認(rèn)證證技術(shù)5.3..3數(shù)字信封封與數(shù)字字時(shí)間戳戳2.數(shù)字字時(shí)間戳戳在電子交交易中，，需對交交易文件件的日期期和時(shí)間間采取安安全措施施，而數(shù)數(shù)字時(shí)間間戳就能能提供電電子文件件發(fā)表時(shí)時(shí)間的安安全保護(hù)護(hù)。數(shù)字字時(shí)間戳戳服務(wù)（（DTS）是網(wǎng)絡(luò)絡(luò)安全服服務(wù)項(xiàng)目目，由專專門的機(jī)機(jī)構(gòu)提供供。時(shí)間間戳是一一個(gè)經(jīng)加加密后形形成的憑憑證文檔檔，它包包括3個(gè)部分：：需加時(shí)時(shí)間戳的的文件的的摘要、、DTS收到文件件的日期期和時(shí)間間、DTS的數(shù)字簽簽名。DTS的過程為為：用戶戶將需要要加上時(shí)時(shí)間的文文件生成成文件摘摘要，然然后將摘摘要傳給給DTS服務(wù)機(jī)構(gòu)構(gòu)；DTS將收到的的摘要加加上時(shí)間間，再用用自己的的私鑰進(jìn)進(jìn)行加密密；最后后將加有有時(shí)間和和數(shù)字簽簽名的文文件發(fā)回回給客戶戶，完成成數(shù)字時(shí)時(shí)間戳的的服務(wù)過過程。5.3信息認(rèn)證證技術(shù)5.3..3數(shù)字信封封與數(shù)字字時(shí)間戳戳圖5-11數(shù)字時(shí)間間戳的使使用5.3信息認(rèn)證證技術(shù)5.3..4數(shù)字證書書1.數(shù)數(shù)字證書書的含義義數(shù)字證書書就是網(wǎng)網(wǎng)絡(luò)通信信中標(biāo)志志各通信信方身份份信息的的一系列列數(shù)據(jù)，，其作用用類似于于現(xiàn)實(shí)生生活中的的身份證證。它是是由權(quán)威威機(jī)構(gòu)發(fā)發(fā)行的，，人們可可以在交交往中用用它來識識別對方方的身份份。數(shù)字證書書的內(nèi)容容由6個(gè)部分組組成：用用戶的公公鑰、用用戶名、、公鑰的的有效期期、CA頒發(fā)者（（頒發(fā)數(shù)數(shù)字證書書的CA）、數(shù)字字證書的的序列號號、頒發(fā)發(fā)者的數(shù)數(shù)字簽名名。5.3信息認(rèn)證證技術(shù)5.3..4數(shù)字證書書2.數(shù)字字證書的的應(yīng)用數(shù)字證書書由CA頒發(fā)，并并利用CA的私鑰簽簽名。CA中心所發(fā)發(fā)放的數(shù)數(shù)字安全全證書可可以應(yīng)用用于公眾眾網(wǎng)絡(luò)上上的商務(wù)務(wù)和行政政作業(yè)活活動(dòng)，包包括支付付型和非非支付型型電子商商務(wù)活動(dòng)動(dòng)，其應(yīng)應(yīng)用范圍圍涉及需需要身份份認(rèn)證及及數(shù)據(jù)安安全的各各個(gè)行業(yè)業(yè)，包括括傳統(tǒng)的的商業(yè)、、制造業(yè)業(yè)、流通通業(yè)的網(wǎng)網(wǎng)上交易易，以及及公共事事業(yè)、金金融服務(wù)務(wù)業(yè)、科科研單位位和醫(yī)療療等網(wǎng)上上作業(yè)系系統(tǒng)。它它主要應(yīng)應(yīng)用于網(wǎng)網(wǎng)上購物物、企業(yè)業(yè)與企業(yè)業(yè)的電子子貿(mào)易、、網(wǎng)上證證券交易易和網(wǎng)上上銀行等等方面。。CA中心還可可以與企企業(yè)代碼碼中心合合作，將將企業(yè)代代碼證和和企業(yè)數(shù)數(shù)字安全全證書一一體化，，為企業(yè)業(yè)網(wǎng)上交交易、網(wǎng)網(wǎng)上報(bào)稅稅和網(wǎng)上上作業(yè)奠奠定基礎(chǔ)礎(chǔ)。數(shù)字字證書廣廣泛應(yīng)用用，對網(wǎng)網(wǎng)絡(luò)經(jīng)濟(jì)濟(jì)活動(dòng)有有非常重重要的意意義。5.3信息認(rèn)證證技術(shù)5.3..5認(rèn)證中心心

CA（CertificationAuthority）是認(rèn)證證機(jī)構(gòu)的的國際通通稱，主主要對數(shù)數(shù)字證書書進(jìn)行管管理，負(fù)負(fù)責(zé)證書書的申請請、審批批、發(fā)放放、歸檔檔、撤銷銷、更新新和廢止止等。CA的作用是是檢查證證書持有有者身份份的合法法性，并并簽發(fā)證證書（在在證書上上簽字）），以防防證書被被偽造或或篡改。。CA是權(quán)威的的、公正正的提供供交易雙雙方身份份認(rèn)證的的第三方方機(jī)構(gòu)，，在電子子商務(wù)體體系中起起著舉足足輕重的的作用。。數(shù)字證證書實(shí)際際上是存存放在計(jì)計(jì)算機(jī)上上的一個(gè)個(gè)記錄，，是由CA簽發(fā)的一一個(gè)聲明明，證明明證書主主體（““證書申申請者””被發(fā)放放證書后后即成為為“證書書主體””）與證證書中所所包含的的公鑰的的唯一對對應(yīng)關(guān)系系。證書書包括證證書申請請者的名名稱及相相關(guān)信息息、申請請者的公公鑰、簽簽發(fā)證書書的CA的數(shù)字簽簽名及證證書的有有效期限限等內(nèi)容容。數(shù)字字證書的的作用是是使網(wǎng)上上交易的的雙方互互相驗(yàn)證證身份，，保證電電子商務(wù)務(wù)的正常常進(jìn)行。。5.3信息認(rèn)證證技術(shù)5.3..5認(rèn)證中心心一個(gè)CA系統(tǒng)主要要包括以以下幾大大組成部部分：證書服務(wù)務(wù)器證書注冊冊中心系系統(tǒng)證書客戶戶端RA服務(wù)器密鑰管理理服務(wù)器器證書目錄錄服務(wù)器器和證書書/密鑰數(shù)據(jù)據(jù)庫5.3信息認(rèn)證證技術(shù)5.3..5認(rèn)證中心心圖5-12CA2000系統(tǒng)的組組成【案例5】廣東省電電子商務(wù)務(wù)認(rèn)證中中心5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..1SSL協(xié)議

SSL（（SecureSocketLayer，安安全套接接層）協(xié)協(xié)議是由由Netscape公公司研究究制定的的安全協(xié)協(xié)議，該該協(xié)議向向基于TCP//IP的的客戶端端/服務(wù)務(wù)器應(yīng)用用程序提提供客戶戶端和服服務(wù)器的的鑒別、、數(shù)據(jù)完完整性及及信息機(jī)機(jī)密性等等安全措措施。該該協(xié)議通通過在應(yīng)應(yīng)用程序序進(jìn)行數(shù)數(shù)據(jù)交換換前交換換SSL初始握握手信息息來實(shí)現(xiàn)現(xiàn)有關(guān)安安全特性性的審查查。在SSL握握手信息息中采用用DES、MDS等加加密技術(shù)術(shù)來實(shí)現(xiàn)現(xiàn)機(jī)密性性和數(shù)據(jù)據(jù)完整性性，該協(xié)協(xié)議已成成為事實(shí)實(shí)上的工工業(yè)標(biāo)準(zhǔn)準(zhǔn)，并被被廣泛應(yīng)應(yīng)用于互互聯(lián)網(wǎng)和和內(nèi)聯(lián)網(wǎng)網(wǎng)的服務(wù)務(wù)器產(chǎn)品品和客戶戶端產(chǎn)品品中，SSL是是人們最最信賴的的協(xié)議。5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..1SSL協(xié)議圖5-14SSL協(xié)議的工工作層次次5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..1SSL協(xié)議5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..1SSL協(xié)議圖5-15SSL握手協(xié)議議5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..1SSL協(xié)議SSL協(xié)議在電電子商務(wù)務(wù)中也應(yīng)應(yīng)用廣泛泛。為了了支付的的安全性性，客戶戶、商家家、銀行行與支付付平臺(tái)都都必須具具有數(shù)字字證書。。其支付付流程如如下：當(dāng)客戶購購物時(shí)，，可先登登錄商家家網(wǎng)站，，通過SSL建立點(diǎn)對對點(diǎn)的連連接，客客戶瀏覽覽商品并并下訂單單；商家將支支付信息息轉(zhuǎn)發(fā)至至第三方方支付平平臺(tái)，經(jīng)經(jīng)平臺(tái)識識別后，，轉(zhuǎn)發(fā)至至相應(yīng)客客戶的開開戶銀行行，這其其中也是是通過SSL建立起端端對端的的連接；；銀行的網(wǎng)網(wǎng)關(guān)在接接受平臺(tái)臺(tái)轉(zhuǎn)來的的客戶付付款信息息后，進(jìn)進(jìn)行通信信格式轉(zhuǎn)轉(zhuǎn)換，傳傳向銀行行后臺(tái)核核心業(yè)務(wù)務(wù)系統(tǒng)進(jìn)進(jìn)行授權(quán)權(quán)；當(dāng)授權(quán)成成功后，，即銀行行將客戶戶買東西西的金額額，從客客戶的賬賬號劃入入商家的的賬號，，并回答答平臺(tái)授授權(quán)完成成，平臺(tái)臺(tái)同時(shí)回回答商家家扣款成成功的信信息，商商家回答答客戶交交易成功功。5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..2SET協(xié)協(xié)議

SET（SecureElectronicTransaction）協(xié)議，，即安全全電子交交易協(xié)議議，是由由MasterCard和Visa聯(lián)合Netscape、Microsoft等公司，，于1997年6月1日推出的的一種電電子支付付模型。。它采用用公鑰密密碼體制制和X.509數(shù)字證書書標(biāo)準(zhǔn)，，主要應(yīng)應(yīng)用于保保障網(wǎng)上上購物信信息的安安全性。。SET協(xié)議是B2C上基于信信用卡支支付模式式而設(shè)計(jì)計(jì)的，它它保證了了在開放放網(wǎng)絡(luò)上上使用信信用卡進(jìn)進(jìn)行在線線購物的的安全。。SET主要是為為了解決決用戶、、商家、、銀行之之間通過過信用卡卡的交易易而設(shè)計(jì)計(jì)的，它它具有保保證交易易數(shù)據(jù)的的完整性性、交易易的不可可抵賴性性等種種種優(yōu)點(diǎn)，，因此它它成為目目前公認(rèn)認(rèn)的信用用卡網(wǎng)上上交易的的國際標(biāo)標(biāo)準(zhǔn)。5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..2SET協(xié)議SET交易流程程客戶在網(wǎng)網(wǎng)上商店店看中商商品后，，和商家家進(jìn)行磋磋商，然然后發(fā)出出請求購購買信息息；商家要求求客戶用用電子錢錢包付款款；電子錢包包提示客客戶輸入入口令后后與商家家交換握握手信息息，確認(rèn)認(rèn)商家和和客戶兩兩端均合合法；客戶的電電子錢包包形成一一個(gè)包含含訂購信信息與支支付指令令的報(bào)文文發(fā)送給給商家；；商家將含含有客戶戶支付指指令的信信息發(fā)送送給支付付網(wǎng)關(guān)；；支付網(wǎng)關(guān)關(guān)在確認(rèn)認(rèn)客戶信信用卡信信息之后后，向商商家發(fā)送送一個(gè)授授權(quán)響應(yīng)應(yīng)的報(bào)文文；商家向客客戶的電電子錢包包發(fā)送一一個(gè)確認(rèn)認(rèn)信息；；將款項(xiàng)從從客戶賬賬號轉(zhuǎn)到到商家賬賬號，然然后向顧顧客送貨貨，交易易結(jié)束。。5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4..2SET協(xié)協(xié)議圖5-16SET協(xié)議交易易的流程程5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.4電子商務(wù)務(wù)安全協(xié)協(xié)議5.5其他電子子商務(wù)安安全5.5..1防火墻技技術(shù)防火墻指指的是一一個(gè)由軟軟件和硬硬件設(shè)備備組合而而成、在在內(nèi)部網(wǎng)網(wǎng)和外部部網(wǎng)之間間、專用用網(wǎng)與公公共網(wǎng)之之間的界界面上構(gòu)構(gòu)造的保保護(hù)屏障障。是一一種獲取取安全性性方法的的形象說說法，它它是一種種計(jì)算機(jī)機(jī)硬件和和軟件的的結(jié)合，，使互聯(lián)聯(lián)網(wǎng)與內(nèi)內(nèi)聯(lián)網(wǎng)之之間建立立起一個(gè)個(gè)安全網(wǎng)網(wǎng)關(guān)（SecurityGateway），從從而保護(hù)護(hù)內(nèi)部網(wǎng)網(wǎng)免受非非法用戶戶的侵入入。防火火墻主要要由服務(wù)務(wù)訪問規(guī)規(guī)則、驗(yàn)驗(yàn)證工具具、包過過濾和應(yīng)應(yīng)用網(wǎng)關(guān)關(guān)四個(gè)部部分組成成，防火火墻就是是一個(gè)位位于計(jì)算算機(jī)和它它所連接接的網(wǎng)絡(luò)絡(luò)之間的的軟件或或硬件。。該計(jì)算算機(jī)流入入流出的的所有網(wǎng)網(wǎng)絡(luò)通信信和數(shù)據(jù)據(jù)包均要要經(jīng)過此此防火墻墻。5.5其他電子子商務(wù)安安全5.5..1防火墻技技術(shù)圖5-17防火墻系系統(tǒng)模型型5.5其他電子子商務(wù)安安全5.5..1防火墻技技術(shù)按軟硬件件形式分分類：：軟件防火火墻硬件防火火墻按技術(shù)分分類：包過濾防防火墻應(yīng)用層防防火墻按結(jié)構(gòu)形形式分類類：單一主機(jī)機(jī)防火墻墻路由器集集成式防防火墻分布式防防火墻5.5其他電子子商務(wù)安安全5.5..2VPN技術(shù)VPN（（VirtualPrivateNetwork，，虛擬擬專用網(wǎng)網(wǎng)絡(luò)）指指的是在在公用網(wǎng)網(wǎng)絡(luò)上建建立專用用網(wǎng)絡(luò)的的技術(shù)。。之所以以稱其為為虛擬網(wǎng)網(wǎng)，主要要是因?yàn)闉檎麄€(gè)VPN的的任意兩兩個(gè)節(jié)點(diǎn)點(diǎn)之間的的連接并并沒有傳傳統(tǒng)專網(wǎng)網(wǎng)所需的的端到端端的物理理鏈路，，而是架架構(gòu)在公公用網(wǎng)絡(luò)絡(luò)服務(wù)商商所提供供的網(wǎng)絡(luò)絡(luò)平臺(tái)，，如互聯(lián)聯(lián)網(wǎng)、ATM（（異步傳傳輸模式式）、幀幀中繼（（FrameRelay））等之上上的邏輯輯網(wǎng)絡(luò)，，用戶數(shù)數(shù)據(jù)在邏邏輯鏈路路中傳輸輸。它涵涵蓋了跨跨共享網(wǎng)網(wǎng)絡(luò)或公公共網(wǎng)絡(luò)絡(luò)的封裝裝、加密密和身份份驗(yàn)證鏈鏈接的專專用網(wǎng)絡(luò)絡(luò)的擴(kuò)展展。5.5其他電子子商務(wù)安安全5.5..2VPN技術(shù)圖5-18VPN的使用背背景5.5其他電子子商務(wù)安安全