电子商务实务(第二版)配套课件

电子商务实务（第二版）高等教育出版社全国高职高专教育“十二五”规划教材第二章电子商务安全一、学习目标

了解常见的电子商务安全问题

了解电子商务安全加密技术

了解电子商务安全认证技术知识目标

了解电子商务安全认证体系

了解电子商务信用认证的作用2能根据业务需要选择合适的安全解决方案掌握CA认证在电子商务交易过程中的使用能力目标掌握信用认证在电子商务交易过程中的使用一、学习目标案例标签：扬州市地税局；数字证书；网上报税系统案例网址：.cn案例导读：1、扬州市地税局概况扬州市地税局准备采用网上报税的方式，由纳税人在互联网上完成申报和缴税。纳税人通过IE浏览器登录到税务局电子申报的WEB服务器上，输入网上报税系统为纳税人创建的用户名和密码（密码登录后可修改）进入系统进行报表填写。纳税人再将报表填写完后进行申报（系统将纳税人提交的数据写到税务局的数据库中）和网上银行缴税，完成整个申报过程。二、案例导入扬州市地税局使用数字证书来解决网上报税的安全问题——天威诚信2、网上报税系统天威诚信根据扬州市地税局网上报税系统的应用需求，采用天威诚信的安证通（OnSite）产品和服务，采用基于服务的建设模式，为扬州地税建设一套CA认证系统，CA系统的核心——CA中心托管建设在天威诚信安全数据中心，在扬州市本地建设CA系统提供给纳税人申请和管理证书的前台——RA中心，并在扬州市本地建设对整个CA系统进行全权管理的前台——CA管理（模块），由它们共同为扬州地税纳税人提供证书认证服务。建设的扬州地税CA认证系统采用扬州地税自有的证书信任体系，颁发企业证书。天威诚信为扬州地税网上报税系统提供了解决方案，并协助开发商对应用系统进行了集成，增加数字证书应用的安全功能。二、案例导入通过建设的CA认证系统，纳税人将采用如下流程进行网上申报：（1）纳税人首先到税务局进行网上申报的申请；（2）税务局审核通过后，通知纳税人进行网上申报的培训；（3）培训同时将发给纳税人一个信封，里边写有纳税人的用户名和密码及要登录的网站地址和纳税人的证书；（4）纳税人回去后，在自己的计算机上安装自己的证书；（5）纳税人登录税务局Web申报网站，提交纳税人的证书和Web申报网站建立SSL链接，Web申报网站验证纳税人提交的数字证书来认证纳税人的身份，通过SSL链接来保证数据传输的机密性；（6）纳税人输入用户名和密码完成网上申报流程。扬州市地税局CA系统及网上报税系统安全集成已经完成，如图2-1所示。目前已经正式使用，到现在为止，扬州地税CA系统已经发放了大约1,000张证书，整个系统运行稳定，并且发放的数字证书已经被纳税人在网上报税系统中应用，进行安全的网上报税。二、案例导入

二、案例导入图2-1扬州市地税局网上报税系统1、电子商务安全概述

（1）电子商务安全的重要性电子商务安全是电子商务的生存保障。它是市场游戏规则顺利实施的前提，因为市场竞争规则强调的是公平、公正和公开，如果无法保证市场交易的安全，可能导致非法交易或者损害合法交易的利益。它是保证电子虚拟市场交易顺利发展的前提，因为网上交易虽然可以降低交易费用，但如果网上交易安全性无法得到保证，造成合法交易双方利益的损失，可能导致交易双方为规避风险选择传统的、更安全的交易方式。电子商务涉及国家经济安全，作为国家基本经济活动的商务活动如果受到破坏、攻击，产生混乱，社会生活就不得安宁。三、知识学习（2）电子商务的安全要素①有效性。②保密性。③完整性。④可靠性、不可抵赖性和可鉴别性。三、知识学习（3）电子商务中的安全问题①商家（商品或服务的提供者）面临的安全威胁（1）中央系统的安全性受到破坏。（2）竞争者检索商品的销售情况。（3）客户的资料被竞争者获取，为其所用。（4）被他人假冒而损害公司的信誉，这种安全威胁主要有三种方式。（5）消费者提交订单后不付款。（6）虚假订单。

三、知识学习②客户（商品或服务的购买者）所面临的安全威胁

（1）虚假订单。（2）信用的威胁。（3）机密性丧失。（4）拒绝服务。三、知识学习（4）电子商务安全中的加密技术数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密保障安全性。加密技术能避免各种存储介质上的或通过Internet传送的敏感数据被侵袭者窃取，也适用于检查信息的真实性与完整性。这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。三、知识学习图2-2数据加密的一般模型

三、知识学习2、电子商务认证（1）电子商务中的认证技术①数字签名数字签名是公开密钥加密技术的一类应用。数字签名的加密解密过程和一般秘密密钥的加密解密过程虽然都使用公开密钥系统，但实现的过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而一般秘密密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有拥有接收方私有密钥的人才能对信息解密。三、知识学习②数字摘要技术一般的对称或非对称加密算法用于防止信息被篡改。数字摘要技术用于证明信息的完整性和准确性，主要用于防止原文被篡改。数字摘要是采用单向Hash(分散排列)函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一同送给接收方。接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改。而数字签名一般来说是用来处理短消息的，处理较长消息则有些吃力。当然，可以将长的消息分成若干小段，然后再分别签名。不过这样做非常麻烦，而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。三、知识学习③数字时间戳在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳是一个经加密后形成的凭证文件，包括三个部分：需加时间戳的文件摘要；DTS收到文件的日期和时间；DTS的数字签名。时间戳产生的过程为，用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后在对该文件加密，然后送回用户。三、知识学习④身份认证技术身份认证是指用户向系统出示自己身份证明的过程，主要使用约定口令、智能卡和用户指纹、视网膜和声音等生理特征。身份认证可分为两类：用户与主机间的认证和主机与主机之间的认证。用户与主机之间的认证可以基于如下一个或几个因素:①用户所知道的东西,例如口令,密码等；②用户拥有的东西,例如印章,智能卡(如信用卡等)；③用户所具有的生物特征,例如指纹,声音,视网膜,签字,笔迹等。下面对这些方法的优劣进行比较。三、知识学习⑤报文认证技术报文是网络中交换与传输的数据单元，报文的认证方式有传统加密方式的认证、没有报方加密的报文认证、使用密钥额报文认证码方式、使用单项散列函数的认证。⑥信息完整性信息完整性是指信息在输入和传输的过程中，不被非法授权修改和破坏，数据具有一致性。保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。保证各种数据的完整性是电子商务应用的基础，数据的完整性被破坏可能导致贸易双方信息的差异，将影响交易的交易顺利完成，甚至造成纠纷。三、知识学习（2）电子商务安全认证体系①数字证书

数字证书也称公开密钥证书，是在网络通信中标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它主要包含用户身份信息、用户公钥信息以及身份验证机构数字签名等数据。三、知识学习（2）电子商务安全认证体系②CA认证中心

认证中心是检验密钥是否真实性的第三方，它是一个权威机构，专门验证交易双方的身份。验证的方法是接受个人、商家、银行等涉及交易的实体申请数字证书，核实情况，批准或拒绝申请，颁发数字证书。认证中心除了检验外，还具有管理、搜索和验证证书等职能。三、知识学习图2-3典型CA系统三、知识学习（2）电子商务安全认证体系③PKI安全体系

简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。

三、知识学习（2）电子商务安全认证体系④SSL安全体系

安全套接层（SecuresocketsLayer，SSL）是一种传输层技术，由网景通讯公司开发，可以实现浏览器和服务器（通常是Web服务器）之间的安全通信。三、知识学习

SSL工作过程：

三、知识学习AB（1）要求进行身份认证（2）同意进行认证（3）互相确认身份（4）核查身份确认无误（2）电子商务安全认证体系

⑤SET安全体系

1996年，有重大实用价值和深远影响的安全电子交易SET（SecureElectronicTransaction）安全体系产生了。SET在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，这对于需要支付货币的交易来讲是事关重大的。由于设计合理，SET协议得到了IBM、Microsoft等许多大公司的支持，已成为事实上的工业标准。三、知识学习

⑤SET安全体系

SET安全协议要达到的目标主要有五个：

①信息传输的安全性。②信息的相互隔离。③多方认证的解决。④效仿EDI贸易形式。⑤交易的实时性。三、知识学习SET的交易成员①持卡人—消费者②网上商家③收单银行④支付网关⑤发卡银行——电子货币发行公司或兼有电子货币发行的银行⑥认证中心CA——可信赖、公正的组织三、知识学习SET软件系统的组成三、知识学习三、知识学习SET的认证过程①注册登记②动态认证③商业机构处理三、知识学习SET协议的安全技术①将所有消息文本用双钥密码体制加密；②将上述密钥的公钥和私钥的字长增加到512B—2048B；③采用联机动态的授权（Authority和认证检查（Certificate），以确保交易过程的安全可靠。（3）信用认证我国电子商务的信用模式主要采取四种典型的信用模式：①中介人模式。

②担保人模式。③网站经营模式。④委托授权经营模式。三、知识学习四、实践训练情景与数据

近年来，电子商务因其便捷性、低成本性被各界看好而迅速发展，与此同时，电子商务安全隐患却在网络交易的过程中也不断凸显，如购物网站被黑、用户密码被盗、账户消失、网站被攻击等。这导致用户网购日益谨慎，网络销售受到很大影响。光明商城就曾有黑客的光临，给商城造成了不小的损失。为此光明服装股份有限公司为加强光明商城销售平台的安全运作，一方面加强了公司内部软硬件安全的防范，另一方面主动到天信电子商务认证中心平台申请通过了CA认证和信用认证，并在签订合同时使用了电子签章技术。

光明商城申请CA认证，并在全搜咨询公司的平台上建立企业的信用认证档案，同时，两家公司在签订合同时都使用电子签章技术，以保证合同的安全性，这一系列活动在电子商务活动中称为电子商务安全。2/1/2023四、实践训练任务实践完成上述学习情景，包括以下三项任务：①CA证书申请与安装；②企业信用认证申请；③电子签章。情景分析

在电子商务安全中共涉及光明商城股份有限公司和全搜咨询有限公司两个角色，需要经过以下几个环节：①光明商城股份有限公司申请CA证书并安装；②光明商城股份有限公司申请企业信用认证；③光明商城股份有限公司和全搜咨询有限公司签订合同，并使用电子签章技术。2/1/2023五、学习小结2/1/2023六、同步测试一、选择题

1、电子商务的安全性不包括（）。

A、保密性B、及时性C、完整性D、不可否认性和匿名性

2、（）用于