《電子商務(wù)概論（第4版）》白東蕊主編人民郵電出版社出版第八章電子商務(wù)安全【知識框架圖】目錄Contents第一節(jié)電子商務(wù)安全的內(nèi)涵第二節(jié)電子商務(wù)安全技術(shù)第三節(jié)電子商務(wù)安全管理本章學(xué)習(xí)要求【知識目標】1．了解電子商務(wù)面臨的安全威脅，明確電子商務(wù)對安全性的要求。2．熟悉應(yīng)用保障電子商務(wù)安全的方法與技術(shù)，以保證電子商務(wù)活動的順利進行。3．熟知電子商務(wù)安全方面不斷完善的管理政策與法規(guī)制度?！炯寄苣繕恕?．能夠?qū)ffice文檔加密，實現(xiàn)文件保護。2．學(xué)會應(yīng)用計算機端和移動端的日常安全防范措施。二維碼暗藏木馬病毒二維碼時代到來了，用微信掃一掃就可以交友、支付、領(lǐng)取禮品，不少人見二維碼就想掃。殊不知，掃二維碼的過程中存在很多安全隱患。2015年11月17日一大早，南京市公安局雙塘派出所接到了胡女士的報警電話。她稱，自己一大早收到了好多條銀行短信，銀行卡里的37萬元沒了。引例令胡女士奇怪的是：為什么自己的銀行卡和手機都在家里，卻被人轉(zhuǎn)了賬？民警分析后告訴她，是一個第三方機構(gòu)通過植入手機木馬病毒，綁定了銀行卡進行操作，將錢轉(zhuǎn)走的。胡女士這才想起來，前兩天街頭有人向她推廣手機軟件，說是掃描二維碼下載后就送東西。她雖然下載了但是并沒有安裝使用，沒想到這竟然是個木馬病毒。警方通過胡女士銀行卡的發(fā)卡行了解到，胡女士卡里的37萬元被全部轉(zhuǎn)到了一個第三方交易機構(gòu)，而這個第三方交易機構(gòu)實行的是當天交易。也就是說，如果不立即采取行動，這筆錢在24小時之內(nèi)就可能被轉(zhuǎn)走。幸運的是，因為處理及時，胡女士的37萬元被凍結(jié)后通過警方追了回來。引例01電子商務(wù)安全的內(nèi)涵電子商務(wù)面臨的安全威脅01電子商務(wù)的安全性要求02計算機病毒流氓軟件木馬程序網(wǎng)絡(luò)釣魚一、電子商務(wù)面臨的安全威脅（一）個人計算機受到的威脅手機病毒手機系統(tǒng)漏洞無線網(wǎng)釣魚（二）移動端受到的威脅《電子商務(wù)概論》（第3版）人民郵電出版社白東蕊主編(1)中央系統(tǒng)安全性被破壞(2)被他人假冒而損害公司的信譽(3)買方提交訂單后不付款(4)拒絕服務(wù)1.賣方面臨的問題3.信息傳輸問題4.信用問題2.買方面臨的問題(1)冒名偷竊(2)篡改數(shù)據(jù)(3)信息丟失(4)信息傳遞過程中的破壞(5)虛假信息(1)付款后不能收到商品(2)個人資料喪失.(1)來自買方的信用問題(2)來自賣方的信用風險(3)買賣雙方都存在抵賴的情況電子商務(wù)的安全問題消費預(yù)警：免費Wi-Fi很危險（視頻）視野拓展二、電子商務(wù)的安全性要求機密性完整性不可否認性可鑒別性可靠性點擊視頻：支付寶快捷支付安全嗎？推薦讀者課外觀看《中國工商銀行防電信詐騙宣傳片2015》視頻，提高防范意識。視野拓展02電子商務(wù)安全技術(shù)加密技術(shù)認證技術(shù)安全協(xié)議圖8.1電子商務(wù)系統(tǒng)安全示意圖有關(guān)概念：1、加密（E）2、解密（D）3、明文（P）4、密文（C）5、密鑰（K）

《電子商務(wù)概論》（第3版）人民郵電出版社白東蕊主編K1K1=K2（對稱加密、單密鑰、秘密加密K1=K2（非對稱加密、雙密鑰、公開加密）PCK2一、加密技術(shù)加密技術(shù)是利用技術(shù)手段把原始信息變?yōu)閬y碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）信息。原始信息通常被稱為“明文”，加密后的信息通常被稱為“密文”。加密技術(shù)涉及兩個元素：算法和密鑰。算法是將明文與一串字符（密鑰）結(jié)合起來，進行加密運算后形成密文。密鑰是在將明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的一串字符，可以是數(shù)字、字母、詞匯或短語。（一）對稱加密體制

1．對稱加密體制的工作過程圖8.1對稱加密體制的工作過程2．對稱加密體制的算法經(jīng)典的對稱加密體制算法為數(shù)據(jù)加密標準（DataEncryptionStandard，DES）。DES算法是一種對稱的分組加密算法。簡單的DES算法是以64位為分組進行明文輸入，在密鑰的控制下產(chǎn)生64位的密文；反之，輸入64位的密文，則輸出64位的明文。加密過程中，密鑰總長度是64位，由于密鑰表中每個字節(jié)的第8位都用作奇偶校驗，所以實際有效密鑰長度為56位。DES算法可以通過軟件或硬件來實現(xiàn)。（二）非對稱加密體制

1．非對稱加密體制的工作過程圖8.3非對稱加密體制的工作過程2．非對稱加密體制的算法

目前，非對稱加密體制的算法中，使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman設(shè)計的非對稱加密體制的算法，算法以發(fā)明者姓氏的首字母來命名。它是第一種既可用于加密，又可用于數(shù)字簽名的算法。在實際應(yīng)用中，通常將對稱加密算法和非對稱加密算法結(jié)合使用，利用DES算法進行大容量數(shù)據(jù)的加密，而利用RSA算法來傳遞對稱加密算法所使用的密鑰。二者結(jié)合使用集成了兩類加密算法的優(yōu)點，既加快了加密速度，又可以安全、方便地管理密鑰。表8.1所示為對稱加密體制和非對稱加密體制的對比。表8.1對稱加密體制和非對稱加密體制的對比比較項目對稱加密體制非對稱加密體制代表算法DESRSA密鑰數(shù)目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有，一個公開密鑰管理產(chǎn)生簡單，管理困難需要數(shù)字證書及可靠的第三者相對速度快慢主要用途大量數(shù)據(jù)加密數(shù)字簽名或?qū)ΨQ密鑰的加密二、認證技術(shù)

在信息安全領(lǐng)域，常見的信息保護手段除了加密技術(shù)以外，還有認證技術(shù)。目前，認證技術(shù)有身份認證（也叫用戶認證）和消息認證兩種方式。身份認證用于鑒別用戶的身份是否合法；消息認證可用于驗證所收到的消息確實來自真正的發(fā)送方且未被修改（即完整性），也可以用于驗證消息的順序性和及時性。消息認證主要包括數(shù)字簽名和數(shù)字時間戳等技術(shù)。用戶的特征

用戶所擁有的

用戶所知道的

指紋虹膜DNA聲音和臉部特征用戶的行為身份證護照密鑰盤

密碼口令

1．身份認證實現(xiàn)身份認證的物理基礎(chǔ)主要有以下三種：2.消息認證

消息認證是指驗證消息的完整性，當接收方收到發(fā)送方的報文時，接收方能夠驗證收到的報文是真實的和未被篡改的。消息認證常用的方法就是消息摘要，即發(fā)送方在發(fā)送的消息中附加一個鑒別碼，并經(jīng)加密后發(fā)送給接收方。接收方利用約定的算法對解密后的消息進行鑒別運算，將得到的鑒別碼與收到的鑒別碼進行比較，若二者相等，則接收，否則拒絕接收。3．數(shù)字簽名數(shù)字簽名能夠確認兩點：信息是由簽名者發(fā)送的；信息自簽發(fā)后到收到為止未曾做過任何修改。圖8.4數(shù)字簽名原理示意圖4．數(shù)字時間戳在電子商務(wù)交易中，需對交易文件的時間信息采取安全措施。數(shù)字時間戳服務(wù)（DigitalTime-stampService，DTS）是由專門的機構(gòu)提供的對電子文件發(fā)送時間進行安全保護的服務(wù)。需加時間戳的電子文件數(shù)字時間戳發(fā)送和接收文件的時間數(shù)字時間戳服務(wù)的數(shù)字簽名數(shù)字時間戳是一個經(jīng)加密后形成的憑證文檔，包括以下三部分：三、安全協(xié)議（1）安全套接層（SecureSocketLayer，SSL）協(xié)議是指使用公鑰和私鑰技術(shù)相組合的安全網(wǎng)絡(luò)通信協(xié)議，是網(wǎng)景公司（Netscape）推出的基于互聯(lián)網(wǎng)應(yīng)用的安全協(xié)議。安全套接層協(xié)議指定了一種在應(yīng)用層協(xié)議（如HTTP、Telnet和FTP等）和TCP/IP之間提供數(shù)據(jù)安全性分層的機制。SSL協(xié)議

（2）安全電子交易（SecureElectronicTransaction，SET）協(xié)議是由萬事達卡（MasterCard）和維薩（Visa）聯(lián)合網(wǎng)景、微軟等公司，于1997年6月1日推出的。該協(xié)議主要是為了實現(xiàn)更加完善的即時電子支付。安全電子交易協(xié)議是B2C基于信用卡支付模式而設(shè)計的，它在保留對客戶信用卡認證的前提下，增加了對商家身份的認證；凸顯客戶、商家、銀行之間通過信用卡交易的數(shù)據(jù)完整性和不可抵賴性等優(yōu)點，因此，它成為目前公認的信用卡網(wǎng)上交易國際標準。四、防火墻技術(shù)

防火墻是一種將內(nèi)部網(wǎng)和外部網(wǎng)（如互聯(lián)網(wǎng)）相互隔離的技術(shù)。防火墻可以通過過濾不安全的服務(wù)，降低風險，強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控；防止內(nèi)部信息外泄，外部用戶非法訪問或占用內(nèi)部資源。另外，防火墻還支持具有互聯(lián)網(wǎng)服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）。03電子商務(wù)安全管理數(shù)字證書認證中心法律制度管理日常安全防范一、數(shù)字證書認證中心

實現(xiàn)網(wǎng)上安全支付是順利開展電子商務(wù)的前提，建立安全的數(shù)字證書認證中心（CertificateAuthority，CA）是電子商務(wù)的中心環(huán)節(jié)，其目的是加強數(shù)字證書和密鑰的管理，增強網(wǎng)上交易各方的相互信任，提高網(wǎng)上交易的安全性，控制網(wǎng)上交易的風險，從而推動電子商務(wù)的發(fā)展。（一）認證中心

在電子交易中，無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是交易雙方自己能完成的，而是需要具有權(quán)威性和公正性的第三方機構(gòu)來完成。認證中心就是承擔網(wǎng)上安全電子交易認證服務(wù)、簽發(fā)數(shù)字證書并確認用戶身份的服務(wù)機構(gòu)。

國內(nèi)的數(shù)字證書認證中心主要有行業(yè)、地方政府部門或企業(yè)等聯(lián)手合作建立的數(shù)字證書認證中心，如中國金融認證中心（CFCA）、海關(guān)聯(lián)盟認證中心（SCCA）、上海數(shù)字證書認證中心、廣州市電子簽名中心和山西數(shù)字證書認證中心等。認證中心的主要功能如下：證書的頒發(fā)證書的更新證書的查詢證書的作廢證書的歸檔（二）數(shù)字證書

1．數(shù)字證書的定義

數(shù)字證書又稱為數(shù)字憑證或數(shù)字標識，是由認證中心發(fā)行的、能提供在互聯(lián)網(wǎng)上進行身份驗證服務(wù)的電子文檔。人們可以用它來表明自己在互聯(lián)網(wǎng)中的身份或識別對方的身份。數(shù)字證書的格式遵循ITU的X.509國際標準，X.509標準數(shù)字證書包含以下內(nèi)容。圖8.5數(shù)字證書示例（1）證書擁有者的姓名。（2）證書的版本信息。（3）證書的序列號，同一身份驗證機構(gòu)簽發(fā)的證書序列號唯一。（4）證書所使用的簽名算法。（5）證書發(fā)行機構(gòu)的名稱。（6）證書的有效期限。（7）證書所有人的公開密鑰。（8）證書發(fā)行者對證書的簽名。2．數(shù)字證書的分類服務(wù)器證書電子郵件證書客戶端證書

密信MeSince是沃通子公司2018年推出的加密電子郵件客戶端軟件，該軟件支持Windows/安卓手機和蘋果手機，全自動申請和配置電子郵件加密證書，全自動加密每封郵件，全自動為每封發(fā)出的郵件蓋上時間戳。學(xué)而思，思而學(xué)3．數(shù)字證書的應(yīng)用用戶在需要使用證書的網(wǎng)站上進行操作時，必須準備好裝有證書的存儲介質(zhì)如果用戶是在自己的計算機上進行操作，則操作前必須先安裝認證中心的根證書操作時，系統(tǒng)會自動提示用戶出示數(shù)字證書或者插入證書存儲介質(zhì)使用完畢后，用戶應(yīng)記住取出拔除證書存儲介質(zhì)，并妥善保管

根證書是認證中心給自己頒發(fā)的證書，是信任鏈的起始點。根證書是一種特殊的證書，它的簽發(fā)者是它本身，下載根證書就表明用戶對該根證書以下所簽發(fā)的證書都表示信任，在技術(shù)上則是建立起一個驗證證書信息的鏈條，證書的驗證追溯至根證書即結(jié)束。所以，用戶在使用自己的數(shù)字證書之前必須先下載根證書。視野拓展根證書

支付寶數(shù)字證書是使用支付寶賬戶資金時的身份憑證之一，可以加密用戶的信息并確保賬戶和資金安全。用戶申請后，在進行付款和確認收貨等涉及資金的操作時，就會驗證計算機上是否安裝了數(shù)字證書。即使用戶的賬號被盜，對方?jīng)]有相應(yīng)的數(shù)字證書也動用不了賬戶中的資金。視野拓展支付寶數(shù)字證書

在微信內(nèi)按“支付—錢包—安全保障—數(shù)字證書”順序進入數(shù)字證書頁面，根據(jù)提示進行設(shè)置即可啟用微信支付數(shù)字證書。啟用微信支付數(shù)字證書的作用是：提高支付安全性；提高每日零錢支付限額。數(shù)字證書就相當于一個認證的程序。它會使你的微信賬戶更安全。視野拓展微信支付數(shù)字證書二、法律制度管理我國主要的保障電子商務(wù)安全的相關(guān)法律與制度：（1）確立電子簽名的法律效力。2004年8月28日，全國人民代表大會常務(wù)委員會第十一次會議通過了《中華人民共和國電子簽名法》，2005年4月1日起施行。這是我國推進電子商務(wù)發(fā)展，掃除電子商務(wù)發(fā)展障礙的重要步驟。該法被認為是中國首部真正意義上有關(guān)電子商務(wù)的立法。（2）規(guī)范電子認證服務(wù)行為。2005年1月28日，中華人民共和國信息產(chǎn)業(yè)部第十二次部務(wù)會議審議通過了《電子認證服務(wù)管理辦法》，自2005年4月1日起施行。（3）加強電子銀行業(yè)務(wù)的風險管理。2005年11月10日，中國銀行業(yè)監(jiān)督管理委員會第四十次主席會議通過了《電子銀行業(yè)務(wù)管理辦法》，自2006年3月1日起施行。（4）規(guī)范網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為。2010年6月1日，中華人民共和國國家工商行政管理總局出臺的《網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為管理暫行辦法》中明確規(guī)定，通過網(wǎng)絡(luò)開展商品交易及有關(guān)服務(wù)行為的自然人，應(yīng)提交其姓名和地址等真實的信息。（5）規(guī)范非金融機構(gòu)支付服務(wù)行為，防范支付風險。2010年6月21日，中國人民銀行出臺了《非金融機構(gòu)支付服務(wù)管理辦法》，要求第三方支付公司必須在2011年9月1日前申請取得“支付業(yè)務(wù)許可證”，且全國性公司注冊資本最低應(yīng)為1億元。該辦法的出臺意在規(guī)范當前發(fā)展迅猛的第三方支付行業(yè)。（6）保障網(wǎng)絡(luò)安全。2016年11月，第十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡(luò)安全法》，自2017年6月1日起施行。電子商務(wù)安全相關(guān)法律與制度發(fā)展歷程如圖8.6所示。（7）電子商務(wù)綜合性法律。2018年8月31日，十三屆全國人大常委會第五次會議表決通過《中華人民共和國電子商務(wù)法》，自2019年1月1日起施行。圖8.6保障電子商務(wù)安全的相關(guān)法律與制度發(fā)展歷程加強個人計算機安全防護欲擒故縱加強防范意識備份與加密禁止所有磁盤自動運行三、日常安全防范1．計算機用戶日常安全防范謹慎下載安裝手機軟件和App程序不要隨便打開短信中的鏈接和掃描二維碼不要對手機刷機，以獲取超級用戶（Root）權(quán)限，或“越獄”在公共場合，避免隨意連接免費無密碼Wi-Fi，否則可能會被黑客截取個人信息，甚至被植入木馬病毒2．移動端日常安全防范Root和“越獄”

Root是安卓系統(tǒng)中唯一的超級用戶，具有管理系統(tǒng)的所有權(quán)限。“越獄”其實等同于安卓平臺上的Root，是指開放用戶的操作權(quán)限，使得用戶可以隨意改寫任何區(qū)域的運行狀態(tài)，即利用“越獄”軟件解除原有固件對手機系統(tǒng)的限制束縛，使用戶可以自定義安裝非官方或者來自第三方的應(yīng)用程序。視野拓展Office加密方式及文件保護Word、Excel和PowerPoint是我們學(xué)習(xí)和工