第11章电子商务安全技术

1、第第1111章章 电子商务安全电子商务安全 11.2 11.2 电子商务电子商务的安全技术和标准的安全技术和标准211.3 11.3 构建基于构建基于SSLSSL和和WebWeb安全安全站点站点 311.4 11.4 电子商务安全解决方案电子商务安全解决方案4 11.1 11.1 电子商务安全概述电子商务安全概述 1 11.5 11.5 数字证书获取与管理实验数字证书获取与管理实验 5 11.6 11.6 本章小结本章小结 6目目 录录n 11.1.1 11.1.1 电子商务安全的概念电子商务安全的概念 电子商务的核心电子商务的核心是通过信息网络技术来传输商业信息和进是通过信息网络技术来传输商

2、业信息和进行网络交易，电子商务系统是一个计算机系统，行网络交易，电子商务系统是一个计算机系统，电子商务安全电子商务安全性性是一个系统的概念，不仅与计算机系统结构有关，还与电子是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。商务应用的环境、人员素质和社会因素有关。 电子商务对安全的基本要求电子商务对安全的基本要求： 1) 授权的合法性授权的合法性 2) 不可抵赖性不可抵赖性3) 信息的保密性信息的保密性4) 交易者身份的真实性交易者身份的真实性5) 信息的完整性信息的完整性6) 存储信息的安全性（机密性、完整性、可用性、可控性存储信息的安全性（机密性、

3、完整性、可用性、可控性和可审查性）和可审查性）11.1 电子商务的安全概述电子商务的安全概述 计算机网络安全的内容计算机网络安全的内容包括：计算机网络实体安全、计算机网络包括：计算机网络实体安全、计算机网络系统安全、数据库安全和运行安全等。在前几章曾经介绍过计算机网系统安全、数据库安全和运行安全等。在前几章曾经介绍过计算机网络安全的内容，其特征是针对计算机网络本身可能存在的安全问题，络安全的内容，其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标、保实施网络安全增强方案，以保证计算机网络自身的安全性为目标、保证信息安全为证信息安全为核心核心。

4、 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。和不可抵赖性。 电子商务安全电子商务安全具体具体涉及涉及五个方面：五个方面： 1) 电子商务系统硬件电子商务系统硬件(物理物理)安全。安全。 2) 电子商务系统软件安全。电子商务系统软件安全。 3) 电子商务系统运行安全。电子商

5、务系统运行安全。 4) 电子商务交易安全。电子商务交易安全。 5) 电子商务安全立法。电子商务安全立法。11.1 电子商务的安全概述电子商务的安全概述 n 11.1.1 11.1.1 电子商务安全的概念电子商务安全的概念 电子商务的电子商务的交易双方都面临着安全威胁交易双方都面临着安全威胁。主要包括。主要包括以下几个方面：以下几个方面： 1. 1. 销售企业面临的威胁销售企业面临的威胁 （1 1）中央系统安全性被破坏）中央系统安全性被破坏 （2 2）竞争者检索商品递送状况）竞争者检索商品递送状况 （3 3）客户资料被竞争者获取）客户资料被竞争者获取 （4 4）被他人假冒而损害公司的信誉）被他人

6、假冒而损害公司的信誉 （5 5）消费者提交订单后不付款）消费者提交订单后不付款 （6 6）虚假订单）虚假订单 （7 7）获取他人的机密数据）获取他人的机密数据n 11.1.2 11.1.2 电子商务的安全威胁电子商务的安全威胁 11.1 电子商务的安全概述电子商务的安全概述 消费者面临的安全威胁消费者面临的安全威胁主要包括：主要包括： （1 1）虚假订单）虚假订单 （2 2）付款后不能收到商品）付款后不能收到商品 （3 3）机密性丧失）机密性丧失 （4 4）拒绝服务）拒绝服务 2013年年7月在婺城区检察院受理的月在婺城区检察院受理的一起特大电信诈骗案一起特大电信诈骗案中中,犯罪嫌疑人毛犯罪嫌

7、疑人毛X伙同其他人伙同其他人,假扮建设银行或建设银行下属信贷公司工作假扮建设银行或建设银行下属信贷公司工作人员人员,以发放建设银行低息贷款为名以发放建设银行低息贷款为名,骗取被害人信任骗取被害人信任,要求被害人开通建设要求被害人开通建设银行网银银行网银,并存入贷款金额的并存入贷款金额的30%作为验资金。之后作为验资金。之后,将伪装成贷款申请表将伪装成贷款申请表格的超级网银授权木马程序发送给被害人格的超级网银授权木马程序发送给被害人,该木马程序能在被害人填写完成该木马程序能在被害人填写完成表格后授权毛灿开通超级网银表格后授权毛灿开通超级网银,并通过网上银行将被害人的验资款转走。经并通过网上银行将

8、被害人的验资款转走。经查查,该案被害人遍布广东、湖南、浙江、上海、陕西、黑龙江等省份该案被害人遍布广东、湖南、浙江、上海、陕西、黑龙江等省份,涉案涉案金额高达金额高达900多万元。多万元。 2. 消费者面临的安全威胁消费者面临的安全威胁案例案例11-111-111.1 电子商务的安全概述电子商务的安全概述 3. 3. 电子商务风险及安全问题电子商务风险及安全问题 从整个电子商务系统着手分析，可以将从整个电子商务系统着手分析，可以将电子商务的电子商务的安全安全问题归结问题归结四类风险四类风险：数据传输风险、信用风险、管数据传输风险、信用风险、管理风险和法律方面风险。理风险和法律方面风险。 电子商

9、务的安全性电子商务的安全性主要包括五个方面：主要包括五个方面：系统的可靠系统的可靠性、交易的真实性、数据的安全性、数据的完整性、交性、交易的真实性、数据的安全性、数据的完整性、交易的不可抵赖性。易的不可抵赖性。 商务安全中普遍存在着以下几种商务安全中普遍存在着以下几种安全风险和隐患安全风险和隐患： （1 1）窃取信息）窃取信息 （2 2）篡改信息）篡改信息 （3 3）假冒）假冒 （4 4）恶意破坏）恶意破坏 电子商务的安全交易电子商务的安全交易主要主要保证保证四个方面：四个方面： （1 1）信息保密性）信息保密性 （2 2）交易者身份的确定性）交易者身份的确定性 （3 3）不可否认性）不可否认

10、性 （4 4）不可修改性）不可修改性 11.1 电子商务的安全概述电子商务的安全概述 1. 1. 电子商务的安全素电子商务的安全素 （1 1）交易数据的有效性）交易数据的有效性 （2 2）商业信息的机密性）商业信息的机密性 （3 3）交易数据的完整性）交易数据的完整性 （4 4）商务系统的可靠性）商务系统的可靠性 （5 5）交易的不可否认性）交易的不可否认性 EC EC系统提供系统提供可靠的安全服务可靠的安全服务包括：包括：鉴别服务、访问控制服务、机密性服务、不可否认服鉴别服务、访问控制服务、机密性服务、不可否认服务等。务等。11.1 电子商务的安全概述电子商务的安全概述 2 2电子商务的安全

11、内容电子商务的安全内容 电子商务的安全内容电子商务的安全内容主要包括主要包括4 4个方面。个方面。 （1 1）网络安全技术；）网络安全技术； （2 2）安全协议及相关标准规范；）安全协议及相关标准规范； 1 1）安全超文本传输协议）安全超文本传输协议 2 2）安全套接层协议）安全套接层协议SSL SSL 3 3）安全交易技术协议）安全交易技术协议STTSTT 4 4）安全电子交易）安全电子交易SETSET协议、协议、UN/ EDIFACTUN/ EDIFACT安全等安全等 （3 3）大力加强安全交易监督检查，建立健全各项规）大力加强安全交易监督检查，建立健全各项规章制度和机制；章制度和机制；

12、（4 4）强化社会的法律政策与法律保障机制，健全法）强化社会的法律政策与法律保障机制，健全法律制度和完善法律体系。律制度和完善法律体系。 11.1 电子商务的安全概述电子商务的安全概述 电子商务安全体系电子商务安全体系包括包括4 4 个部分：服务器端、银个部分：服务器端、银行端、客户端与认证机构。行端、客户端与认证机构。 认证机构是电子商务中的认证机构是电子商务中的关键关键，认证机构的服务认证机构的服务通常包括通常包括5 5 个部分：个部分： 1 1）用户注册机构）用户注册机构 2 2）证书管理机构）证书管理机构 3 3）数据库系统）数据库系统 4 4）证书管理中心）证书管理中心 5 5）密钥

13、恢复中心）密钥恢复中心11.1 电子商务的安全概述电子商务的安全概述 根据电子商务的安全要求，可以构建电子商务的安全体系，根据电子商务的安全要求，可以构建电子商务的安全体系，如图如图11-111-1所示。所示。 一个完整的一个完整的电子商务安全体系电子商务安全体系由网络基础结构层、由网络基础结构层、PKIPKI体体系结构层、安全协议层、应用系统层系结构层、安全协议层、应用系统层4 4部分部分组成组成。 11.1 电子商务的安全概述电子商务的安全概述 图图11-1 电子商务安全体系电子商务安全体系 常用的网络安全技术常用的网络安全技术包括：电子安全交易技术、包括：电子安全交易技术、防火墙技术、硬

14、件隔离技术、数据加密技术、认证技防火墙技术、硬件隔离技术、数据加密技术、认证技术、安全技术协议、安全检测与审计、数据安全技术、术、安全技术协议、安全检测与审计、数据安全技术、计算机病毒防范技术以及网络商务安全管理技术等。计算机病毒防范技术以及网络商务安全管理技术等。 其中，涉及网络安全技术方面的内容，前面已经进行其中，涉及网络安全技术方面的内容，前面已经进行了介绍，下面了介绍，下面重点介绍重点介绍一下网上交易安全协议和安全电子一下网上交易安全协议和安全电子交易交易SETSET等电子商务安全技术。等电子商务安全技术。 11.2 电子商务的安全技术和交易电子商务的安全技术和交易 1. 1. 安全套

15、接层协议安全套接层协议SSLSSL 安全套接层协议安全套接层协议(Secure Sockets Layer,SSL)(Secure Sockets Layer,SSL)为为一种传输层技术，主要用于实现兼容浏览器和一种传输层技术，主要用于实现兼容浏览器和Web Web 服服务器之间的安全通信。务器之间的安全通信。 SSL SSL 协议协议是目前网上购物网站中是目前网上购物网站中经常使用的一种经常使用的一种安全协议安全协议。使用它在于确保信息在网际网络上流通的。使用它在于确保信息在网际网络上流通的安全性，让浏览器和安全性，让浏览器和Web Web 服务器能够安全地进行沟通服务器能够安全地进行沟通。

16、Microsoft Microsoft 和和Netscape Netscape 的浏览器都支持的浏览器都支持SSLSSL，很多，很多Web Web 服务器也支持服务器也支持SSLSSL。11.2 电子商务的安全技术和交易电子商务的安全技术和交易 2. SSL2. SSL提供的服务提供的服务 SSL SSL标准标准主要提供了主要提供了3 3种服务种服务： 1 1）数据加密服务）数据加密服务 2 2）认证服务）认证服务 3 3）数据完整性服务）数据完整性服务 11.2 电子商务的安全技术和交易电子商务的安全技术和交易 3. SSL3. SSL工作流程及原理工作流程及原理 SSL SSL 标准的工作

17、流程标准的工作流程主要包括主要包括4 4步：步： 1 1）SSLSSL客户机向客户机向SSL SSL 服务器发出连接建立请求，服务器发出连接建立请求，SSL SSL 服服务器响应务器响应SSLSSL客户机的请求；客户机的请求； 2 2）SSLSSL客户机与客户机与SSLSSL服务器交换双方认可的密码，一般采服务器交换双方认可的密码，一般采用的加密算法是用的加密算法是RSA RSA 算法；算法； 3 3）检验）检验SSLSSL服务器得到的密码是否服务器得到的密码是否正确，并验证正确，并验证SSLSSL客户机的可信程度；客户机的可信程度； 4 4）SSLSSL客户机与客户机与SSLSSL服务器交换

18、结束信息。服务器交换结束信息。 图图11-2 11-2 所示是所示是SSL SSL 标准的工作原理。标准的工作原理。 11.2 电子商务的安全技术和交易电子商务的安全技术和交易 图图11-2 SSL 工作过程工作过程 安全电子交易安全电子交易（Secure Electronic Transaction, SET）是一个通过）是一个通过Internet等开放网络进行安全交易的等开放网络进行安全交易的技术标准，技术标准，SET协议围绕客户、商家等交易各方相互协议围绕客户、商家等交易各方相互之间身份的确认，采用了电子证书等技术，以保障电之间身份的确认，采用了电子证书等技术，以保障电子交易的安全。子交

19、易的安全。 SET向基于信用卡进行电子化交易的应用，提供向基于信用卡进行电子化交易的应用，提供了实现安全措施的规则。了实现安全措施的规则。SET主要由主要由3个文件个文件组成组成，分，分别是别是SET业务描述、业务描述、SET程序员指南和程序员指南和SET协议描述。协议描述。 11.2 电子商务的安全技术和交易电子商务的安全技术和交易 1. SET1. SET的主要目标的主要目标 （1 1）信息传输的安全性：信息在因特网上安全传输，）信息传输的安全性：信息在因特网上安全传输，保证网上传输的数据不被外部或内部窃取。保证网上传输的数据不被外部或内部窃取。 （2 2）信息的相互隔离：订单信息和个人账

20、号信息的隔）信息的相互隔离：订单信息和个人账号信息的隔离，当包含持卡人账号信息的订单送到商家时，商家只能离，当包含持卡人账号信息的订单送到商家时，商家只能看到订货信息，而看不到持卡人的账户信息。看到订货信息，而看不到持卡人的账户信息。 （3 3）多方认证的解决：要对消费者的信用卡认证；）多方认证的解决：要对消费者的信用卡认证；要对网上商店进行认证；消费者、商店与银行之间的要对网上商店进行认证；消费者、商店与银行之间的认证。认证。 （4 4）效仿）效仿EDI EDI 贸易形式，要求软件遵循相同协议和报贸易形式，要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，文格式，使不

21、同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。并且可以运行在不同的硬件和操作系统平台上。 （5 5）交易的实时性：所有的支付过程都是在线的）交易的实时性：所有的支付过程都是在线的. .11.2 电子商务的安全技术和交易电子商务的安全技术和交易 2. SET2. SET的交易成员的交易成员SETSET支付系统中的交易成员（组成），支付系统中的交易成员（组成），主要包括：主要包括： 1) 1) 持卡人持卡人消费者消费者 2) 2) 网上商家网上商家 3) 3) 收单银行收单银行 4) 4) 支付网关支付网关 5) 5) 发卡银行发卡银行 电子货币发行公司或电子货币

22、发行公司或 兼有电子货币发行银行兼有电子货币发行银行 6) 6) 认证中心认证中心CACA。11.2 电子商务的安全技术和交易电子商务的安全技术和交易 图图11-3 SET支付系统中的交易成员支付系统中的交易成员 3. SET3. SET的技术范围的技术范围 SET SET 的技术范围的技术范围包括以下几方面：包括以下几方面： （1 1）加密算法；）加密算法； （2 2）证书信息和对象格式；）证书信息和对象格式； （3 3）购买信息和对象格式；）购买信息和对象格式； （4 4）认可信息和对象格式；）认可信息和对象格式； （5 5）划账信息和对象格式；）划账信息和对象格式； （6 6）对话实体之

23、间消息的传输协议。）对话实体之间消息的传输协议。11.2 电子商务的安全技术和交易电子商务的安全技术和交易 4. SET4. SET系统的组成系统的组成 SET SET 系统的操作是通过电子钱包、商店服务器、支付系统的操作是通过电子钱包、商店服务器、支付网关和认证中心软件网关和认证中心软件 4 4 个软件来完成的，分别存储在持卡个软件来完成的，分别存储在持卡人、网上商店、银行以及认证中心的服务器中，相互运作人、网上商店、银行以及认证中心的服务器中，相互运作来完成整个来完成整个SET SET 交易服务。交易服务。 安全电子交易安全电子交易SETSET系统的系统的一般模型一般模型如图。如图。11.

24、2 电子商务的安全技术和交易电子商务的安全技术和交易 图图11-4 安全电子商务组成安全电子商务组成 案例案例11-111-15. SET5. SET的认证过程的认证过程 基于基于SET SET 协议电子商务系统的业务过程可分为协议电子商务系统的业务过程可分为注册登记、申请数字证书、动态认证和商业机构的处理。注册登记、申请数字证书、动态认证和商业机构的处理。具体主要有具体主要有4 4 个业务认证过程：个业务认证过程： （1 1）注册登记。）注册登记。 （2 2）申请数字证书）申请数字证书( (图图11-5)11-5)。 （3 3）动态认证）动态认证( (后图后图11-6)11-6)（4 4）

25、商业机构处理商业机构处理( (图图11-7)11-7)11.2 电子商务的安全技术和交易电子商务的安全技术和交易 案例案例11-311-3图图11-5 SET 数字证书申请工作具体步骤数字证书申请工作具体步骤 （3 3）动态认证。）动态认证。 注册成功以后，便可以在网络上进行电子商务活动。注册成功以后，便可以在网络上进行电子商务活动。在从事电子商务交易时，在从事电子商务交易时，SET SET 系统的动态认证工作过程如系统的动态认证工作过程如图图11-611-6所示。所示。11.2 电子商务的安全技术和交易电子商务的安全技术和交易 图图11-6 SET 系统的动态认证工作步骤系统的动态认证工作步

26、骤（4 4）商业机构处理。）商业机构处理。 商业机构处理流程商业机构的处理工作步骤如图商业机构处理流程商业机构的处理工作步骤如图11-711-7所示。所示。11.2 电子商务的安全技术和交易电子商务的安全技术和交易 图图11-7 SET 系统的商业机构工作步骤系统的商业机构工作步骤6. SET6. SET协议的安全技术协议的安全技术 SET Toolkit SET Toolkit是是SET SET 的一个开放工具，任何电子商务系统都可的一个开放工具，任何电子商务系统都可以利用它来处理操作过程中的安全和保密问题。其中支付和认证是以利用它来处理操作过程中的安全和保密问题。其中支付和认证是其向系统提

27、供的两大主要功能。其向系统提供的两大主要功能。 主要安全保障主要安全保障有有3 3 个方面：个方面： （1 1）用双钥密码体制加密文件；）用双钥密码体制加密文件； （2 2）增加密钥的公钥和私钥的字长；）增加密钥的公钥和私钥的字长； （3 3）采用联机动态的授权和认证检查）采用联机动态的授权和认证检查, ,确保交易过程安全可靠确保交易过程安全可靠. . 安全保障措施的技术基础安全保障措施的技术基础有有4 4个：个： （1 1）利用加密方式确保信息机密性。）利用加密方式确保信息机密性。 （2 2）以数字化签名确保数据的完整性。）以数字化签名确保数据的完整性。 （3 3）使用数字化签名和商家认证确

28、保交易各方身份的真实性。）使用数字化签名和商家认证确保交易各方身份的真实性。 （4 4）通过特殊协议和消息形式确保动态交互式系统可操作性）通过特殊协议和消息形式确保动态交互式系统可操作性. . 11.2 电子商务的安全技术和交易电子商务的安全技术和交易 1. 1. 配置配置DNSDNS、Active DirectoryActive Directory及及CACA服务服务 在在Windows ServerWindows Server上建立一个独立根的上建立一个独立根的CACA认证服务器需要认证服务器需要有有DNSDNS和和Active DirectoryActive Directory服务，并需

29、要进行配置。再按照服务，并需要进行配置。再按照”管管理工具理工具”中的中的”配置服务器配置服务器”向导操作。为了操作方便，向导操作。为了操作方便，CACA认认证中心的颁发策略要设置成证中心的颁发策略要设置成“始终颁发始终颁发”。2. 2. 服务器端证书的获得与安装服务器端证书的获得与安装 （1 1）获得）获得WEBWEB站点数字证书站点数字证书 启动启动WebWeb服务器的服务器的“InternetInternet信息服务信息服务”; ;在在“InternetInternet信息信息服务服务”界面中右击要申请数字证书的站点界面中右击要申请数字证书的站点, ,在弹出快捷菜单中选在弹出快捷菜单中选

30、择择“属性属性”, ,出现站点属性对话框。出现站点属性对话框。 打开打开IEIE浏览器浏览器, ,在地址栏中输入在地址栏中输入http:/CAhttp:/CA认证服务器名称认证服务器名称 / / CertSrv; CertSrv; 选择选择“申请证书申请证书”。 （2 2）安装）安装WEBWEB站点数字证书站点数字证书 （3 3）设置）设置“安全通信安全通信” ” 属性属性3. 3. 客户端证书的获得与安装客户端证书的获得与安装 客户端如果想通过信息安全通道访问需要安全认证的网站，必客户端如果想通过信息安全通道访问需要安全认证的网站，必须具有此网站信任的须具有此网站信任的CACA机构颁发的客户

31、端证书以及机构颁发的客户端证书以及CACA认证机构的证认证机构的证书链。书链。 （1 1）申请客户端证书）申请客户端证书 （2 2）安装证书链或）安装证书链或CRLCRL4. 4. 通过安全通道访问通过安全通道访问WEBWEB网站网站5.5. 通过安全通道访问通过安全通道访问WEBWEB站点站点 我国我国第一个安全电子商务系统第一个安全电子商务系统“东方航空公司东方航空公司网上订票与支付系统网上订票与支付系统”经过半年试运行后，于经过半年试运行后，于1999年年8月月8日日投入正式运行投入正式运行,其发起单位由上海市政府商业委员会、上海市其发起单位由上海市政府商业委员会、上海市邮电管理局、中国

32、东方航空股份有限公司、中国工商银行上邮电管理局、中国东方航空股份有限公司、中国工商银行上海市分行、上海市电子商务安全证书管理中心有限公司等共海市分行、上海市电子商务安全证书管理中心有限公司等共同发起、投资与开发。同发起、投资与开发。 案例案例11-411-4 实现电子商务安全的重要内容是电子商务的交易安实现电子商务安全的重要内容是电子商务的交易安全。只有使用具有全。只有使用具有SSL SSL 及及SET SET 的网站，才能真正实现网的网站，才能真正实现网上安全交易。上安全交易。SSL SSL 是对会话的保护，是对会话的保护，SSLSSL最为普遍的应最为普遍的应用是实现浏览器和用是实现浏览器和

33、WWWWWW服务器之间的安全服务器之间的安全HTTPHTTP通信。通信。SSL SSL 所提供的安全业务有实体认证、完整性、保密性，还可所提供的安全业务有实体认证、完整性、保密性，还可通过数字签名提供不可否认性。通过数字签名提供不可否认性。 为保证电子商务的安全，国家制定颁布了为保证电子商务的安全，国家制定颁布了中中华人民共和国电子签名法华人民共和国电子签名法，大力推进电子签名、电子认证、，大力推进电子签名、电子认证、数字证书等安全技术手段的广泛应用。对于一些电子商务的数字证书等安全技术手段的广泛应用。对于一些电子商务的安全问题。可以通过安全问题。可以通过“中国金融数字证书体验中心网中国金融数

34、字证书体验中心网http:/ ”进行数字证书安全保护。数字证书服进行数字证书安全保护。数字证书服务的安装与管理可以通过以下方式进行操作。务的安装与管理可以通过以下方式进行操作。 案例案例11-511-51. 1. 网络银行系统数字证书解决方案网络银行系统数字证书解决方案2. 2. 移动电子商务安全解决方案移动电子商务安全解决方案 鉴于网络银行的需求与实际情况，上海市鉴于网络银行的需求与实际情况，上海市CA中心推荐在网银系统中采用中心推荐在网银系统中采用网银系统和证书申请网银系统和证书申请RA功能整功能整合的方案合的方案，该方案由上海，该方案由上海CA中心向网络银行提供中心向网络银行提供CA证书

35、的证书的签发业务，并提供相应的签发业务，并提供相应的RA功能接口，网银系统结合自身功能接口，网银系统结合自身的具体业务流程通过调用这些接口将的具体业务流程通过调用这些接口将RA的功能结合到网银的功能结合到网银系统中去。网银系统和系统中去。网银系统和RA系统证书申请，如图系统证书申请，如图11-12所示。所示。 案例案例11-611-6图图11-12网银系统和网银系统和RA系统证书申请系统证书申请 1. WPKI1. WPKI的基本结构的基本结构 为了满足无线通信安全需求而研发的无线公钥的安全为了满足无线通信安全需求而研发的无线公钥的安全体系体系WPKIWPKI（Wireless PKIWire

36、less PKI），可以应用于手机、个人数字），可以应用于手机、个人数字助理助理PDAPDA等无线装置，为用户提供身份认证、访问控制和等无线装置，为用户提供身份认证、访问控制和授权、传输保密、资料完整性、不可否认性等安全服务。授权、传输保密、资料完整性、不可否认性等安全服务。 智能卡拥有优秀的安全性，可以作为智能卡拥有优秀的安全性，可以作为WPKIWPKI体系当中网体系当中网络安全客户端很好的接入载体。智能卡有处理器，因而能络安全客户端很好的接入载体。智能卡有处理器，因而能够在卡内实现密码算法和数字签名，并且能够安全地存储够在卡内实现密码算法和数字签名，并且能够安全地存储私钥。私钥。 WPKI

37、 WPKI由终端、由终端、PKIPKI门户、门户、CACA、PKIPKI目录服务器等部分组成密钥目录服务器等部分组成密钥管理体系。在管理体系。在WPKIWPKI的应用中，还的应用中，还可以设计可以设计WAPWAP网关和数据提供服务网关和数据提供服务器等服务设备器等服务设备.WPKI.WPKI的基本结构如图。的基本结构如图。 图图11-13 WPKI的基本结构的基本结构 2. 2. 智能卡在智能卡在WPKIWPKI中的应用中的应用 在智能卡应用系统中，终端可以支持多个应用系统在智能卡应用系统中，终端可以支持多个应用系统，终端上的智能卡需要保存所有被其支持的应用系统，终端上的智能卡需要保存所有被其

38、支持的应用系统CACA公钥，产生密钥并进行加解密运算、数字签名、存储数公钥，产生密钥并进行加解密运算、数字签名、存储数字证书等，因此智能卡上的密钥的安全存储是要解决的字证书等，因此智能卡上的密钥的安全存储是要解决的重要问题。重要问题。 （1 1）智能卡密钥管理策略）智能卡密钥管理策略 （2 2）证书存储）证书存储 （3 3）智能卡安全）智能卡安全 未来电子商务安全技术的发展趋势主要体现在以下未来电子商务安全技术的发展趋势主要体现在以下6 6个方面：个方面： （1 1）构建电子商务信用服务体系）构建电子商务信用服务体系 （2 2）健全电子商务安全保障体系）健全电子商务安全保障体系 （3 3）加强

39、电子商务市场监管）加强电子商务市场监管 （4 4）加强电子商务政策法规的配套完善）加强电子商务政策法规的配套完善 （5 5）加大电子商务标准体系建设）加大电子商务标准体系建设 （6 6）安全技术体系完善与发展）安全技术体系完善与发展11.5.1 11.5.1 实验目的实验目的11.5 数字证书的获取与管理实验数字证书的获取与管理实验n 本节就在理解证书的生成过程的同时，自己动手建立一本节就在理解证书的生成过程的同时，自己动手建立一个个CACA认证中心，通过这个认证中心，通过这个CACA发放证书。本试验的发放证书。本试验的主要目的主要目的有以有以下三个：下三个：n 利用开源软件建立自我认证中心、

40、发行客户端证书和发利用开源软件建立自我认证中心、发行客户端证书和发行服务器端证书的过程。行服务器端证书的过程。n 了解了解Win32 OpenSSL-1.0.1eWin32 OpenSSL-1.0.1e、ActivePerl-5.16.3ActivePerl-5.16.3等开源等开源或免费软件安装和使用。或免费软件安装和使用。n 掌握电子商务网站中使用证书认证时的配置方式。掌握电子商务网站中使用证书认证时的配置方式。11.5.2 11.5.2 实验要求及方法实验要求及方法11.5 数字证书的获取与管理实验数字证书的获取与管理实验1. 1. 实验设备实验设备 本试验使用一台安装有本试验使用一台安

41、装有Windows 7Windows 7操作系统的计算机，在网上操作系统的计算机，在网上下载并事先安装下列软件，下载并事先安装下列软件，WEBWEB服务器服务器tomcat8.0.0tomcat8.0.0，JDK7, JDK7, 发行发行证书用的证书用的Win32OpenSSL-1.0.1eWin32OpenSSL-1.0.1e，另外为了在，另外为了在win32win32下运行下运行PerlPerl脚脚本，还需要安装本，还需要安装ActivePerl-5.16.3ActivePerl-5.16.3。2. 2. 注意事项注意事项(1) (1) 预习准备预习准备 由于本实验中使用的一些软件大家可能不太熟悉，可以提前对由于本实验中使用的一些软件大家可能不太熟悉，可以提前对这些软件的功能和使用方式做一些了解，以利于对于试验内容的这