第章 Web电子商务安全

第12章Web电子商务安全

第12章Web电子商务安全随着互联网的发展，电子商务方兴未艾。也许你使用过网上银行业务，这就是一种电子商务。那么什么是电子商务？电子商务有哪些模式？电子商务是在开放的互联网上进行的，因此特别重要的是如何保障电子商务的安全？这些问题正是本章要讨论的问题。12.1电子商务概述

12.1.1什么是电子商务电子商务源于英文electroniccommerce，简写为EC。顾名思义，其内容包含两个方面，一是电子方式，二是商贸活动。电子商务指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。电子商务可以通过多种电子通讯方式来完成。总的来说，电子商务可以分为企业(Business)对终端客户（Customer）的电子商务（即B2C）和企业对企业的电子商务（即B2B）两种主要模式。B2C是从企业到终端客户（包括个人消费者和组织消费者）的业务模式。

B2B是企业与企业之间的业务模式。电子商务B2B的内涵是企业通过内部信息系统平台和外部网站将上游的供应商的采购业务和下游代理商的销售业务有机地联系在一起，从而降低彼此之间的交易成本，提高满意度。

12.1.2电子商务的安全

从整个电子商务系统着手分析，可以将电子商务的安全问题归类为下面4类风险：信息传输风险、信用风险、管理风险和法律方面风险，其中技术性最强的是信息传输风险。信息传输风险是指进行网上交易时，因传输的信息失真或者信息被非法的窃取、篡改和丢失，而导致网上交易的不必要损失。具体有：（1）冒名偷窥。（2）篡改数据。（3）信息丢失。（4）信息传递过程中的破坏。

电子商务有以下5条要求：1.有效性：保证贸易数据在确定的时间、确定的地点是有效的。2.机密性：作为贸易的一种手段，电子商务的信息直接代表着个人、企业或国家的商业机密。3.完整性：要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复。4.真实性：如何确定要进行交易的贸易方正是进行交易所期望的贸易方，这一问题是保证电子商务顺利进行的关键。5.不可抵赖性：在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已不可能。12.2.1电子商务系统的框架结构

12.2安全电子商务的体系结构

网络平台电子商务基础平台电子商务应用系统InternetCA认证中心、支付网关、客户服务中心

网上投标

网上订票

网上交费

网上银行

网上超市

远程医疗12.2.2电子商务网站的构成电子商务网站硬件构成和实现1.网络服务器：提供基本的电子商务服务。2.应用终端：即工作站，通过通信介质连接到网络服务器上。3.网络连接设备：网卡、集线器（Hub）、交换机（Switcher）和传输介质等设备将各种类型网络连接在一起。4.其他设备：商务网站日常工作还要求有许多其他设备，如扫描仪、复印机、打印机、光盘刻录机、网络检测设备等都不可缺少。

电子商务网站软件构成1.网络操作系统2.Web服务器软件3.数据库平台4.应用程序开发平台：它与网络操作系统和Web服务器软件密切相关。如果是Windows平台，那么应用程序开发平台应该选用VisualStudio系列开发工具。

随着劳电子启商务挽的发闲展其搞安全它问题眯成为吩人们事关注钻的焦父点。匹针对B2止C的模枝式，脱19野96保年2堪月，VI躬SA与MA纯ST启ER醉C裙AR王D两大烘信用豪卡国标际组康织共惑同发厌起制街定保萝障在么因特址网上俩进行肌安全哭电子必交易中的SE绪T(典Se测cu舟re课E钢le哨ct赛ro狸ni养c池Tr累an劫sa粉ct散io指n)协议烘，并河且由需众多仙信息铸产业次公司公，如Mi映cr穿os瓦of美t、防Ne楚ts析ca纸pe机、R荡SA等共炉同协珠作发瓶展而萍成。雾该协姓议围滴绕客编户、浆商家示等交乔易各笋方相错互之盘间身芬份的尝确认碰，采酷用了训电子肥证书扒等技贸术，遮以保抄障交及易安呼全。12援.3安全由电子博交易SE尘TSE晶T支付裤系统猴中的秀相关县成员SE差T协议与消息右传输葵过程SE余T协议减流程(1济)持里卡人崇使用偏浏览亦器在助商家竖的WE学B主页旁上查需看在距线商季品目府录，押浏览视商品世。(2厅)持夸卡人多选择泄要购秀买的寺商品艺。(3网)持诵卡人脾填写狗定单步。(4班)持基卡人犁选择跨付款堤方式音，此呢时SE棍T开始窝介入誉。(5雾)持遣卡人酒发送拼给商演家一秃个完缴整的袜定单插及要沉求付壳款的黑指令吧。在SE核T中，涝定单灶和付脊款指体令由厉持卡借人进此行数窝字签病名，庭同时碌利用目双重澡签名荒技术伶保证定商家抚看不农到持弦卡人疾的帐茂号信绪息。(6盲)商碧家收愈到定纷单后期，向歼持卡毛人的通金融须机构把请求绵支付录认可下。通添过支矿付网小关到牧银行喇，再俯到发株卡机桥构确斑认，户批准坊交易技。然钳后返荡回确应认信分息给纵商家疏。(7椒)商瞒家发肠送定之单确录认信剂息给万顾客拴。顾碎客端明软件翁可记概录交乒易日些志，鄙以备伪将来轮查询哪。(8解)商映家给裙顾客俊装运腾货物部，或夹完成侵订购族的服泰务。张到此冶为止晨，一红个购简买过扭程已茂经结偶束。将商家悉可以牺立即打请求笼银行冰将钱塌从购签物者疗的帐上号转世移到艺商家悟帐号吧，也蓄可以泡等到榴某一予时间茂，请负求成普批划累帐处科理。(9宴)商叛家从脾持卡垄人的岩金融只机构到请求潜支付舒。在坦认证状操作真和支替付操巩作中败间一倒般会嘉有一摆个时荣间间就隔，蔑例如垂在每洒天的菌下班橡前请偿求银舍行结找一天谜的帐疯。双重猛签名12慈.4脸安不全套熄接字轨层SS收L安全泡套接你字层品(Se按cu穴re瞒S瓜oc射ke贪ts谎L而ay悦er肢，S唯SL峰)是由Ne霸ts忌ca四pe公司浪开发专的一较个网谨络安疏全协券议，淋已成难为事肉实上屠的安烈全网纳上交姐易标甜准协朵议，核被各外种应甲用网远络业笨务和演团体居、企业业广难泛接败受。IE类TF发布竖了TL休S确(T属ra周ns故po免rt侍L容ay渔er睁S清ec洒ur竖it扰y)党，即RF杂C想22鸡46回，与SS腿L仅有舞微小紫的不哥同。TL菌S嗽1.使0通常圆被称基作SS佛L杂3.鼠1。SS敞L与SE听T的最姥大不亲同在内于SS兵L是一暑个双跳方协协议，纪仅提尘供通鹅信双搬方的太安全耽保证娇，而SE棕T协议居则提贞供通刊信多尖方的根安全叔保证径。SS钩L比SE翻T简单确得多哑，目捞前在We读b服务袋中已火广泛闻使用偏。SS扁L协议塔体系筒结构SS锄L可以亭作为拿具备安安全旧能力河的标凉准TC煮P/芳IP套接菌字AP篇I，因此剃理论贞上，SS煎L可以廉运行叠于任勉何TC居P/在IP应用泥程序羊之上笛，而列不用均对其直做任拐何修祥改。哨事实森上，SS章L仅被购广泛乖用于HT赛TP连接京。SS览L位于TC旁P和应木用层配协议介(如HT番TP毅)之间弯。SS耐L记录辣协议SS慌L协议穿的底绑层是写记录灰协议拜层。SS纱L记录挎协议牛在客披户机损和服谋务器握之间忙传输洗应用夏数据冰和SS逢L控制呜数据。SS进L记录稻协议羞报文我格式SS匆L记录惭协议娱的有未效负卧载握手文协议SS萌L中最铅复杂封的部绢分就前是握股手协桌议。此该协零议允设许客驳户和让服务接器相辩互验迈证、裁协商咳加密票和MA解C算法丹以及赤密钥榜，用誉来保欲护SS崖L记录捆发送期的数老据。运行丑在SS影L上的羞安全HT椅TP命名秋为HT粒TP度S，服务竟器HT纷TP飞S的默耻认端您口为44及3，不联再是HT普TP的80。在萄浏览搏器地登址栏跳中键公入ht扛tp沃s:艇//ur注l即可纺启用SS顿L，此时稳浏览甜器将浙弹出特如下成图所乐示的甚对话叮框，诱此后起包括锯登录蛋账号充与口持令在高内的郊所有坝数据丧都会脉加密脱传输气，而榜且还跪能抵徐御重呼放攻渣击。做如果犯服务抽器需恢要验庸证用招户的营身份涉，会肺要求滤用户家用私攻钥进红行数弯字签司名，匙并需轧要把支证书沙发送艘给服常务器党验证梳签名别，这浸时会设出现积对话滨框请悬用户勺选择渡证书区及其别对应陆的私欣钥。12葛.5窄数字敌现金科协议12脱.5置.1铺秘密吩分割熔技术源与位锡承诺爹技术秘密千分割皆技术唇把消延息分僚割成胆许多镜碎片户。每当一片割本身骑并不猜代表感什么岩，但野把这屿些碎当片放唤到一袖块，英消息叼就会较重现禽出来隆。在碰两个添人之狱间分收割一良消息司是最见简单外的共压享问蓬题。根下面卷是Tr床en妇t把一靠消息唱分割交给Al帽ic粒e和Bo钓b的一需个协古议：（1醋）Tr久en万t产生农一随振机比衡特串R，和消卖息M一样烂长。（2丙）Tr恳en猾t用R异或M得到S：迁M⊕白R=咏S。（3撇）T南re加nt把R给Al爸ic结e，将S给Bo伙b。为了幼重构贴此消侵息，Al险ic跃e和Bo跌b只需降一起术做下岩一步抖：（4置）Al开ic嘱e和Bo逼b将他创们的铁消息葬异或匙就可抄得到旱原消鼓息：R⊕衰S=着M。当某栽人想厌对别巾人承吉诺一暴个预酸测（蔽即1bi模t或bi塔t序列球），储但直述到某功个时姑间以坛后才枯揭示罗他的籍预测背时，券就要嗽用到忌位承屈诺技区术。腐使用坐单向居函数矮的位轨承诺糟协议迅如下雁：（1骨）Al篇ic吨e产生员两个雪随机疏位串盘：R1和R2。（2匪）A课li耀ce产生站消息衫，该璃消息醉由她凭的随刊机串苗和她缠希望块承诺蜡的位b（实际卸上可尽能是妇几位蚕）组震成：表（R1，R2，b折）。（3豆）A远li藏ce计算垫消息船的单汤向函侵数值预，将洲结果冻以及呀其中侵一个倡随机劝串发芒送给Bo路b：黎H（丛R1，R2，b事），滚R1。这个陡来自Al紫ic跃e的传仿送就惭是承庄诺证序据。香当到形了要Al极ic璃e出示伯她的悉承诺箩位的纱时候祖，协绞议继克续：（4宋）Al珍ic引e将原纤消息土发给Bo神b：上（R1，R2，b坝）。（5吼）B记ob计算坐消息萝的单支向函尝数值难，并落将该芬值及R1与原霞先第躲（3芒）步遇收到疑的值虚及随差机串估比较暮。如本匹配落，则殊位有寒效。12秧.5反.2可一个棚数字旦现金腹协议（1挤）Al腔ic健e对给深定数吹量的侮美元蹄准备n张匿企名汇旧票。每张役汇票让都包错含了播一个怠不同霞的随围机唯挡一字刚符串X，步X有足颂够长散，足弯以使钱得有顺两个疏字符孕串相赌同的间机会蛾微乎债其微栗。在刃每一端张汇籍票上寺也有n对鉴亡别字俭符串I1=（眨I1L，I1R），死I2=（呆I2L，I2R），掏…，问In=（InL，InR）。这些坑对中辨的每拌一个全都是右这样避产生清的：Al喇ic信e创造基一个围给出序她的貌名字量、地匹址以优及任浮何其贷他银翅行希锯望见火到的输鉴别卡信息争的字斑符串予。接而着，违她用垃秘密斜分割齐协议蜓将它携分成涝左右被两部誓分。渐然后宰，她晶使用侧一种估位承此诺协妨议传桂送每茅一部论分。（2辽）Al躲ic搭e用盲伞签名怖协议岸(一裹种使要签名膨者对唇其所乓签内尼容不否可见货的方凳法)宴隐蔽贩所有n张汇戴票。而她把旋它们柔全部宫给银贪行。（3胖）银杂行要值求Al川ic右e恢复社出随盘机的n-球1张汇执票并河确认林它们蛙都是惑合格渡的。误银行膜检查蔑汇票宁的金粮额、通唯一绿字符静串并国要求Al举ic立e恢复手所有抽鉴别谁字符纤串。（4扁）如迁果银娱行对Al家ic敢e没有餐任何绢进行溉欺骗烫的企涝图感奸到满筋意，唇它就藏在余京下的仅一张粮隐蔽充汇票跌上签逢名。顶银行艰把这爽张隐兆蔽汇肉票交萌回Al踏ic镜e，并从众她的垒帐户冲上扣撤除这亚笔钱凑。（5禾）Al颜ic滩e恢复拜这张祖汇票倡，并辆在一要个商匙人那府里花别掉它颈。（6省）商存人验煎证银晒行的去签名吨以确载信这援张汇横票是衣合法蚊的。（7蕉）商哄人要像求Al臭ic尖e随机脚揭示椅汇票陵上每录个鉴灾别字胶符串沸的左概半部茧分或爸右半爹部分凡。实衫际上灯，商浙人给Al杀ic跌e一个相随机脚的n比特绸选择盗字符龟串b1，b2，…社，bn。A恐li屋ce根据bi是0吹还是满1公铜开Ii的左滥半部转分或籍右半封部分恼。（8叙）Al烂ic歼e同意院。（9因）商导人拿侍着这号张汇煤票来悼到银腾行。（1咸0）纤银行些验证缩慧汇票微上的耗银行耽签名组，并套检查扯它的距数据坝以确柜信有碑相同握唯一银字符盛串的泳汇票大先前狸没有设被存咱过。恰如果嘉没有嚼，银孝行把隆这笔拴钱划秒到商库人的吊帐上雀。银饺行在盒它的璃数据路库中垦记下赔这个才唯一闷字符招串和悉所有虽识别躺信息奥。（1抓1）凳如果锐汇票益上的握唯一梅字符剩串在赞数据白库中转，银聚行就胶拒收岸汇票铸。接勇着，粗它把嘴汇票喊上的宅识别自字符艺串同掀它数户据库仁中保帅存的县相比矛较。捧如果滋相同桑，银亩行知揭道是胃商人另复制边了汇挂票。绿如果拼不同驻，银筝行知席道是暴买汇圾票的维人复赛制了爽它。丝式由于肤接收杠这张承汇票蜻的第女二个卡商人炕交给Al设ic泊e一个前和第奶一个捉商人激不同消的选轻择字列符串元，银帐行将摸有极鸭大的尾概率港找出灿一个长比特事位，熟在这咐个比铅特位镰上，阴一个咳商人牺让Al改ic买e公开醒了左渗半部如分，份而另赌一个袋商人蕉让Al增ic拌e公开耽了右狂半部电分。榴银行黑异或搁这两找半以堡揭露Al宣ic挽e的身阔份。12铃.5著.3秩理想产数字桑现金首系统枪的性抓质（1篮）独浴立性骆：数寒字现盏金的隶安全编性不箱依赖痛于任繁何物灯理位纱置。服现金增能通援过计祸算机覆网络邪传送访。（2梯）安行全性肚：数希字现兰金不各能被挺拷贝茫和重陵用。（3盏）隐免私性以（不侍可追萄踪性触）：念用户余的隐核私受拐到保浪护，构没有辫人能救追踪驳发现捐用户岔和他娃们的册所购供物之缴间的丘关系咐。（4虽）脱撇线付得款：悟当一赔个用呈户用殖电子角现金慎为所评购物延付款仁时，素用户舒和商过人之墨间的倾协议泛是脱禁线执暂行的殖。也都就是妙说，四商店侮不必搏与银闯行主状机相槐连以轻处理柜用户腊的付楼款。（5碰）可僻转移冠性：警数字垃现金胀可被活转移禾给其菠他用碌户。（6汁）可薪分性荷：给漏定数离量的讯数字寨现金击能被部分成湾较小泰数额叛的几妹份数梨字现振金。12捆.6既网紧上银秤行网上衣银行妥使用上了SS冤L协议股，保眠证了观数据最在网知络上迷传输歇的安姨全性军。在SS驰L中，印服务论器认捧证客桑户是煤可选派项，禾但在贪网上滔银行虽使用什的SS躁L中，暖这是钳必须顾使用堡的，机银行白必须赤确定柜用户问的合翅法身脂份。倾为此挺，用嗽户需毙要拥邮有证熟书及个其对成应的携私钥镜。为俭安全亡计，辨私钥寒不能嘉保存扰在硬白盘上石，证渠书及岁私钥欧通常势保存票在密思码硬才件US承B嫁ke射y中。US裤B轧ke骂y使用US稳B接口毒，从秀外型键看像U盘，饮可以执直接聋插入素计算携机的US令B口。US腥B贺ke希y有口伍令保四护，残使用割其中浇的私播钥时串，必干须键民入口汉令，悉而且煤口令义多次旋键入尊错误喜后U盾会乓被锁血定。使用誉网上钳银行胞有以绞下安净全注驴意事还项：（1）从贤公开庆渠道节获得成网上翻银行蛋真实魂网址仁，登疤录时角核对喊所登耳录的恐网址脱与真锋实网袋址是六否相慌符，膏谨防稻被骗探。（2）一帖定要臂使用U盾一贵类的庸密码返硬件长，U盾具策有极狐高的越安全抖性。剧在一抬些网洽上银汉行中并，U盾是梦可选缎的，圣千万蚕不要事为了锹省U盾的桐几十席元钱晴而遭伶受巨译大损蓄失。格如果锦不使锈用U盾，桌那就鸟使用逢只能