新编电子商务概论（第4版）课件 情境九电子商务安全

电子商务安全

网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。——习近平学习内容认知电子商务安全电子商务安全问题电子商务安全防范学习目标知识目标认识电子商务安全环境；了解电子商务面临的各种安全问题；掌握电子商务安全架构及体系结构，理解防火墙、加密技术、数字签名、数字证书及SSL协议和SET协议的原理及应用，了解电子商务安全政策法规。技能目标能够针对电子商务安全实际问题进行综合分析，对于不同的安全问题能够选用不同的措施进行防范；能够熟练使用数字签名、加密技术、数字证书、防火墙等技术。任务一、

认知电子商务安全淘宝“错价门”敲响电子商务安全警钟2011年9月1日，丁先生去淘宝网购物，发现部分网店和淘宝商城许多商品以1元秒杀包邮价出售，也有很多原价数百元的商品标价几元或几十元。丁先生认为，互联网上这样的一元秒杀活动或者超低价商品甩卖促销是司空见惯的，可为网店带来大量信誉、流量和人气。所以，丁先生没有多想，花了几个小时按照正常程序买了许多商品，均付款成功并生成订单，但是之后订单被淘宝网取消。9月2日下午，淘宝发布公告称，经初步排查，确认为淘宝网第三方软件服务商——北京智能淘网络技术有限公司开发的软件工具“团购宝”因程序异常所致。淘宝平台本身并未遭受攻击或者发现安全漏洞。在该处理结果中，淘宝排除了自身的责任，10元钱的赔偿也是由涉及到的软件开发者负责。此次“错价门”事件涉及众多商户和消费者，扰乱了正常的网络商品交易秩序，从某种程度上看，已经形成一个被广泛关注的公共网络安全事件，同时，这一事件暴露出我国电子商务安全问题不容小觑。

引例思考:淘宝网“错价门”事件凸显出电子商务的哪些安全问题？电子商务安全问题对电子商务的发展有何影响？任务一、

认知电子商务安全一、电子商务安全环境

减少电子商务的安全风险是一个复杂的过程，既涉及安全技术应用，也涉及组织管理、法律法规和产业标准。图9.1展示了电子商务安全环境的基本形态。营造良好的电子商务安全环境，不仅需要采用周全的安全技术解决方案，还需要完善的安全管理制度来保障安全技术的应用，以及配套的法律法规和行业标准来保障支付机制的实施。任务一、

认知电子商务安全二、电子商务安全需求电子商务安全需求信息的保密性

信息的完整性

交易的不可否认性

系统的可用性

交易者身份的确定性

任务二、

电子商务安全问题

ApacheLog4j2漏洞威胁全球网络安全

2021年12月9日晚，Apachelog4j2被曝出远程代码执行漏洞。由于ApacheLog4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。攻击者通过jndi（Java命名和目录接口）注入攻击的形式可以轻松远程执行任何代码，从而远程控制受害者服务器。Apache开源社区在确认这是一个安全漏洞后，紧急推出了2.15.0和2.15.0-rc1新版本修复，依然未能完全解决问题，目前已经更新到2.16.0。该漏洞被命名为Log4Shell，编号CVE-2021-44228。

ApacheLog4j2远程代码执行漏洞(CVE-2021-44228)可以说是引爆2021年安全行业的重大事件，引起各国高度重视，一时间全球近一半企业与之相关的业务均受到该漏洞的影响。保障关键信息基础设施安全，强化应急响应能力，这是ApacheLog4j漏洞攻击事件给我们带来的启示。引例思考网络安全给电子商务的发展带来哪些影响？电子商务中又存在哪些安全问题呢？

任务二、

电子商务安全问题一、计算机网络安全问题（一）黑客的恶意攻击现在，“黑客”的普遍含义是特指对计算机系统的非法侵入者。黑客攻击是指未授权的人利用操作系统和网络或安全管理的漏洞，通过一定的手段从网络的外部非法侵入系统内部，获取普通用户没有的权利，实现对用户信息的篡改、窃取和非法使用。

黑客攻击手段中断窃听篡改伪造任务二、

电子商务安全问题

一、计算机网络安全问题（二）软件缺陷电子商务的应用基础是开放式的互联网，而互联网依赖于各种硬件设施和软件设备的支撑，因此，软件缺陷是威胁电子商务安全的主要问题之一。由于技术和人为的原因，各种软件不可避免的存在缺陷和漏洞。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。计算机系统中后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

漏洞的存在，很容易导致黑客的侵入及病毒的驻留，会导致数据丢失和篡改、隐私泄露乃至金钱上的损失。例如，网站因漏洞被入侵，网站上的用户数据可能会泄露、网站功能可能遭到破坏而中止，乃至服务器本身被入侵者控制。

任务二、

电子商务安全问题一、计算机网络安全问题（三）恶意代码恶意代码(maliciouscode)又称为恶意软件(malicioussoftware，Malware)，是能够在计算机系统中进行非授权操作，以实施破坏或窃取信息的代码。最常见的恶意代码有计算机病毒、特洛伊木马、蠕虫、后门、逻辑炸弹等。

任务二、

认知电子商务安全一、计算机网络安全问题（三）恶意代码

1.计算机病毒感

染

症状具体现象显示异常屏幕上出现不应有的特殊字符或图像、字符无规则变化或脱落、静止或滚动的雪花、跳动的小球或亮点、莫名其妙的信息提示等。扬声器异常发出尖叫、蜂鸣音或非正常奏乐等。系统异常经常无故死机、随机地发生重新启动或无法正常启动、运行速度明显下降、内存空间变小、磁盘驱动器及其他设备无缘无故地变成无效设备等。存储异常磁盘标号被自动改写，出现异常文件，出现固定的坏扇区，可用磁盘空间变小，文件无故变大、失踪或被改乱，可执行文件变得无法运行等。打印异常打印速度明显降低、不能打印、不能打印汉字与图形或打印时出现乱字符等。与互联网连接异常收到来历不明的电子邮件、自动链接到陌生的网站、自动发送电子邮件等。任务二、

电子商务安全问题一、计算机网络安全问题（三）恶意代码2.特洛伊木马特洛伊木马（Trojanhorse）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击DoS等特殊功能的后门程序。计算机系统中存在特洛伊木马的症状一般表现为以下几种：①文件或文件夹无故消失；②运行应用程序无反应；③电脑启动项含有可疑的启动项；④电脑运行极度缓慢；⑤杀毒软件失效；⑥电脑无故蓝屏、运行程序异常；⑦系统语言被更改为其他语言；⑧浏览器主页被篡改；⑨应用程序图标被篡改。

任务二、

电子商务安全问题一、计算机网络安全问题（三）恶意代码3.蠕虫从病毒的广义定义来说，蠕虫（Worm）也是一种病毒，但它和狭义病毒主要的不同点在于：病毒的自我复制过程需要人为干预，它需要通过感染文件或者通过人为移动病毒文件进行传播。而蠕虫是一种可以自我复制的代码，无需人为干预，它通过网络进行传播。任务二、

电子商务安全问题一、计算机网络安全问题（三）恶意代码

3.蠕虫

蠕虫主要传播途径利用漏洞依赖E-mail传播依赖网络共享弱密码攻击任务二、

电子商务安全问题一、计算机网络安全问题（三）恶意代码4.其他恶意代码其他恶意代码后门逻辑炸弹僵尸网络任务二、

电子商务安全问题一、计算机网络安全问题（四）拒绝服务攻击在拒绝服务（denialofservice,DoS）攻击中，黑客向网站发送大量无用的ping命令或页面请求来淹没网站或使网站的Web服务器瘫痪。越来越多的DoS攻击利用僵尸网络来远程控制成千上万台计算机施展分布式拒绝服务（distributeddenialofservice，DDoS）攻击。拒绝服务攻击会导致网站关闭，使用户无法访问网站。2021年11月25日，暴雪娱乐公司并在Twitter上宣布其旗下战网服务遭到DDoS攻击，此次攻击会导致玩家遇到高延迟或是断线，并表示正在尽全力缓解问题。在宣布遭受攻击后1小时，官方发推文称正在试图缓解的DDoS攻击已经结束，玩家可以再次正常登录战网。在服务器检测网站DownDetector上，动视暴雪的许多服务和产品都出现了服务器断线报告，有数千人报告战网掉线，同时也有数百人表示部分暴雪游戏服务断线。任务二、

电子商务安全问题一、计算机网络安全问题（五）网络钓鱼网络钓鱼攻击是电子商务犯罪的常见形式，主要是以计算机作为犯罪工具，利用伪造的电子邮件与网站作为“诱饵”，目的就是窃取消费者或公司的认证数据或资料。网络钓鱼最常见的伎俩有以下两种：1.利用伪造的电子邮件与网站作为“诱饵”。诈骗者大多会冒充电商网站、第三方支付平台或银行的客服人员，对收件人进行账户验证。只要点击了电子邮件中的链接，收件人就会进入被诈骗者控制的虚假网站，并被提醒输入银行卡号、身份证号等重要个人信息。有时，收件人点击的链接会导致计算机被植入病毒或恶意代码，造成系统损毁或重要信息被窃。2.修改网页程序，更改浏览器网址栏所显示的网址。当用户正在访问真实网站时，即使在浏览器的网址栏输入正确的网址，还是会被移花接木般地转接到伪造网站上，并制造陷阱来窃取个人的机密资料，因此很难被用户所察觉。任务二、

电子商务安全问题一、计算机网络安全问题（五）云安全问题硬件安全问题。数据存储风险。相关法律法规不完善。病毒和黑客的攻击更加隐秘。持久服务的风险。一旦发生云计算服务供应商终止服务或被其他公司收购等情况，用户需要考虑自己的业务和商业数据是否会受到影响，如何拿回自己的数据，现在的系统是否与原先的系统兼容等一系列问题。未知的风险。未知的安全漏洞、软件版本、代码更改等都可能对云计算带来安全威胁。任务二、

电子商务安全问题二、电子商务交易安全问题（一）信息安全问题信息安全问题信息泄密信息篡改信息仿造（二）安全管理问题任务一、

电子商务面临的安全问题安全管理问题交易流程管理的风险人员管理的风险任务二、

电子商务安全问题三、移动电子商务安全问题1.移动终端安全威胁在我们日常生活中使用的移动终端主要有笔记本电脑、手机、平板电脑三大类，移动终端自身的安全和遵循安全流程进行操作是保障移动电子商务安全的重要前提。移动终端的安全硬伤大致有5个方面：设备自身的物理安全；数据信息被破坏；电子标签被解密；SIM

卡被复制；在线终端易受攻击。任务二

电子商务安全问题三、移动电子商务安全威胁（一）移动终端的安全威胁移动终端的安全硬伤大致有5个方面：移动终端的安全硬伤设备自身的物理安全数据信息被破坏电子标签被解密SIM

卡被复制在线终端易受攻击任务二

电子商务安全问题（二）移动网络服务系统安全威胁网络服务系统的安全威胁

非授权数据访问

完整性威胁

拒绝服务

抵赖否认任务二

电子商务安全问题（三）移动数据安全问题

移动电子商务交易大多是通过无线数据通信技术进行的，而无线通信网络相对于有线网络，具有开放性、发散性、移动性、不稳定性、易受攻击性等特征。从这个层面上讲，无线用户在享受其随时随地、灵活快速等优质服务的同时也必将面临个人信息安全问题的威胁。

例如，现在很多商场酒店都有公共Wi-Fi，但是目前的公共Wi-Fi大多缺少安全防护措施，有的根本就没有没置密码，即便设置了，到网上下载一个“万能Wi-Fi钥匙”APP就能轻松破解，准入门槛等同于零，极易被攻击者截取网络中传输的数据信息。在移动电子商务交易过程中传输的支付账号密码、商品支付信息、个人位置信息等易于被攻击者窃听、假冒、重放，保密性备受质疑。情境案例：蠕虫病毒的危害

2021年1月13日晚，深信服、360等安全公司发布了紧急预警，称监测到一种名为incaseformat的计算机蠕虫病毒在国内大范围爆发，同时已经发现多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。incaseformat蠕虫病毒从被发现至今已有十多年历史，一般通过U盘进行传播。它与常见的蠕虫病毒不同，除了具有伪装文件夹图标，隐藏原始文件夹的危害以外，它还设置了定时删除文件的逻辑。一旦满足设定的时间，病毒进程将会遍历除系统盘外的所有磁盘文件，进行删除，对用户造成不可挽回的损失。

在incaseformat蠕虫病毒大范围爆发后，多家网络安全机构已紧急发布了病毒扫描版本，支持检测计算机的病毒，并有专家给出防范该病毒的安全建议：1.不随意下载，安装未知软件，不随便打开共享文件，尽量在官方渠道下载软件。2.尽量关闭不必要的共享，或设置共享目录为只读模式，打开电脑的防火墙，并且在自己的电脑上安装电脑防护软件。3.严格规范U盘等移动介质的使用，使用前先进行查杀。4.保持系统以及软件及时更新，定期排查内部系统漏洞、弱口令等。5.如发现已感染主机，先断开网络，使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。案例思考计算机病毒具有哪些特点？一旦感染将产生什么危害？如何发现和防范？任务二

电子商务安全问题二、电子商务安全体系

情境任务三

电子商务安全防范（一）电子商务安全架构为了电子商务的健康持续发展，需要一套完整的电子商务安全架构，以保障电子商务交易各环节的安全稳定。该架构应该是一个涵盖技术环节、管理等因素在内的综合体系，可概括为一个中心、四个基本点。1.一个中心电子商务安全架构的中心点是安全管理。通过一些管理手段来达到保护电子商务安全的目的。安全管理包含的内容主要有：安全管理制度的制定，实施和监督，安全策略的制定，实施、评估和修改，以及对人员的安全意识的培训教育等。二、电子商务安全体系

情境任务三

电子商务安全防范（一）电子商务安全架构

2.四个基本点

（1）保护。采用一些网络安全产品，工具、技术保护网络系统、数据和用户。这是一种静态保护，通常是指一些基本防护，不具有实时性。

（2）监控与审计。实时监控系统的安全状态，并通过记录通过网络的所有数据包，然后分析这些数据包，来查找可疑的攻击行为，从而达到保护网络的目的。监控与审计是实时保护的一种策略，主要满足系统对动态安全的需求。

（3）响应。当攻击正在发生时，能够做出及时的响应。如向管理员报告或自动阻断连接等，防止攻击进一步发生，将安全事件的影响降低到最小范围。响应是整个安全架构中最重要组成部分。（4）恢复。恢复是最终措施。当系统因为攻击或入侵造成一定的破坏时，必须有一套机制来及时恢复系统正常工作。二、电子商务安全体系

情境任务三

电子商务安全防范假设一个hacker要攻击一个企业内部网，该内部网安全架构如前所述，攻击过程如图所示。该架构如何工作可以抵制hacker的攻击？外层保护屏障（如防火墙）监控审计机制

响应机制恢复机制内部网hacker攻破攻破攻破hacker攻击内部网过程二、电子商务安全体系

情境任务三

电子商务安全防范安全架构抵制网络攻击过程：（1）当hacker开始向内部网发起攻击时，在内部网的最外面有一个保护屏障，如果保护屏障可以制止hacker进入内部网，那么内部网就不可能受到hacker破坏，别的机制就不起作用了，这时网络安全就可以保证。（2）Hacker通过继续努力，可能获得进入内部网的权力，即他可能欺骗了保护机制而进入内部网，这时监控审计机制开始起作了。监控/审计机制能够在线看到网络上的任何事情，它们能够识别这种攻击，如发现可疑人员进入网络，这样它们就会影响机制一些信息，响应机制根据监控/审计结果来采取一些措施，如立即断开这条连接。取消服务，查找hacker通过何种手段进入网络等。来达到保护网络的目的。（3）Hacker通过种种努力，终于进入了内部网，如果一旦hacker对系统进行破坏，这时及时恢复系统可用是最主要的事情，这样恢复机制就是必须的，当系统恢复后，新一轮的安全保护开始了。二、电子商务安全体系

情境任务三

电子商务安全防范（二）电子商务安全体系结构安全管理层（人员管理、安全制度管理、政策法规）系统应用层（支付型业务系统、非支付性业务系统）安全协议层（SSL协议、SET协议、S-HTTP协议等）安全认证层（CA认证、数字证书、数字签名、数字信封等）加密技术层（对称加密技术、非对称加密技术等）网络服务层（防火墙、入侵检测、病毒防范等）二、电子商务安全技术情境任务三

电子商务安全防范电子商务安全技术网络安全技术

信息安全技术

认证协议二、电子商务安全技术（一）计算机网络安全技术1、防火墙技术

情境任务三

电子商务安全防范防火墙的定义防火墙是一个由软件和硬件设备组合而成，在内联网和外联网之间、专用网和公共网之间的界面上构造的保护屏障。它是一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口。防火墙的结构Intranet外部WWW客户

防火墙是由软件系统和硬件设备组合而成、在内外部之间的保护系统。数据库客户机Email服务器Web服务器（一）计算机网络安全技术1、防火墙技术防火墙的特性内部网络和外部网络之间的所有网络数据流都必须经过防火墙。只有符合安全策略的数据流才能通过防火墙。防火墙自身应具有非常强的抗攻击免疫力。防火墙的功能保护那些易受攻击的服务防止内部信息的外泄强化网络安全策略。对网络存取和访问进行监控审计情境任务三

电子商务安全防范（一）计算机网络安全技术1、防火墙技术（4）防火墙的类型情境任务三

电子商务安全防范防火墙类型包过滤防火墙应用网关防火墙屏蔽主机防火墙屏蔽子网防火墙（一）计算机网络安全技术2、入侵检测技术入侵检测是指“通过对行为、安全日志或审计数据、其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。”进行入侵检测的软件与硕件的组合称为入侵检测系统（intrusiondetectionsystem,IDS）。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测。情境任务三

电子商务安全防范（一）计算机网络安全技术3、防病毒技术（1）病毒的预防技术通过一定的技术手段防止病毒对系统进行传染和破坏。

情境任务三

电子商务安全防范病毒的预防技术磁盘引导区保护加密可执行程序读写控制技术系统监控技术（一）计算机网络安全技术3、防病毒技术（2）病毒的检测技术及早发现病毒

情境任务三

电子商务安全防范检测病毒的方法特征代码法校验和法行为监测法（一）计算机网络安全技术3、防病毒技术（3）病毒的清除技术在感染的程序中除去计算机病毒代码并恢复文件的原有结构信息。

情境任务三

电子商务安全防范（一）计算机网络安全技术3、防病毒技术（4）病毒的免疫技术使计算机系统具有对计算机病毒的抵抗力而免遭其害

情境任务三

电子商务安全防范病毒的免疫方法物理免疫逻辑免疫

（二）数据加密技术

加密技术是一种主动的信息安全防范措施，其原理是利用一定的加密算法，将明文转换成无意义的密文，阻止非法用户理解原始数据，从而确保数据的保密性。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数叫作密钥。

情境任务三

电子商务安全防范

（二）数据加密技术

1．基本概念①加密。用某种方法伪装数据以隐藏其原貌的过程称为加密。②解密。将密文转换成明文的过程。③明文。未被加密的消息。也叫原文。④密文。根据一定算法对明文加密后形成的消息。⑤密钥。密钥是一种参数，是在明文转换为密文或将密文转换为明文的算法中输入的数据。密钥一般有加密密钥和解密密钥两种，分别用来完成加密和解密操作。情境任务三

电子商务安全防范

（二）数据加密技术

2、对称加密对称密钥加密体制属于传统密钥加密系统。是指在对信息的加密和解密过程中使用相同的密钥。或者，加密和解密的密钥虽然不同，但可以由其中一个推导出另一个。对称密钥加密算法的代表是数据加密标准DES（USFederalDataEncryptionstandard），DES是由IBM公司在1970年研制的，1977年1月15日美国国家标准局批准为作为非机密机构的加密标准，现在已成为国际标准，由美国国家安全局和国家标准与技术局来管理。另一个系统是国际数据加密算法（IDEA），它比DES的加密性好，而且需要的计算机功能也不那么强。。情境任务三

电子商务安全防范

情境任务三

电子商务安全防范缺点：◆密钥难于安全传递◆密钥量太大，难以进行管理◆无法满足互不相识的人进行私人谈话时的保密性要求。◆难以解决数字签名验证的问题。（二）数据加密技术2、对称加密优点：◆算法比较简便高效◆密钥简短，◆破译极其困难，保密强度高

情境任务三

电子商务安全防范

非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥（公钥）是对外公开的，任何符合条件的人都可以使用；私有密钥（私钥）是保密的，只有持有者才有。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密。（二）数据加密技术2、非对称加密

非对称加密也叫公开加密，用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫作公开密钥算法，是因为加密密钥能够公开，即陌生人可以用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。46接收方加密系统解密系统明文(M)乙方公钥密文(C)发送方明文(M)乙方密钥非对称密钥加密图例

情境任务三

电子商务安全防范（二）数据加密技术3、非对称加密特点

◆密钥分配简单。由于加密密钥与解密密钥不同，且不能由加密密钥推导出解密密钥，因此，加密密钥表可以像电话号码本一样．分发给各用户，而解密密钥则由用户自己掌握。◆密钥的保存量少。网络中的每一密码通信成员只需秘密保存自己的解密密钥，N个通信成员只需产生N对密钥，便于密钥管理。◆可以满足互不相识的人之间进行私人谈话时的保密性要求。

◆可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名，收信人利用公开密钥进行检查，既方便又安全。不足：公钥算法复杂，速度慢

两种加密方式的比较比较项目代表标准密钥关系密钥传递数字签名加密速度主要用途对称密钥加密DES加密密钥与解密密钥相同必要困难快数据加密公开密钥加密RSA加密密钥与解密密钥不同不必要容易慢数字签名、密钥分配加密情境任务三

电子商务安全防范两种方法的混合使用第一步：发送者先产生一个随机数(即对称密钥，每次加密密钥不同)，并用它对要发送的信息进行加密。第二步：发送者用接收者的公共密钥用RSA算法对该随机数（即对称密钥）加密。随后将上两步加密的信通过网络发送。第三步：接收者接收到信息后，首先用自己的私人密钥随机数解密。第四步：接收者再用解密后的随机数对信息进行解密。这种加解密方式，既有RSA体系的保密性，又有DES或IDEA算法的快捷性。

情境任务三

电子商务安全防范图示混合应用发送者接收者RSA加密RSA解密DES解密DES加密明文明文密文DES解密钥DES密钥（通过RSA加密传递）密文DES解密密钥接收者密钥情境任务三

电子商务安全防范（二）数据加密技术

4.数字签名（1）数字签名的概念数字签名（又称电子签名）是指一种类似写在纸上的普通的物理签名，但是采用公钥加密技术实现，用于鉴别数字信息的方法。它一般采用Hash（散列）函数进行运算，只有信息的发送者才能产生别人无法伪造的一段数字串。这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。一套数字签名通常定义两种互补的运算：一个用于签名，另一个用于验证。

情境任务三

电子商务安全防范（二）数据加密技术

4.数字签名

（2）数字签名的过程情境任务三

电子商务安全防范（三）认证体系1．CA认证CA

是认证机构的国际通称，是对数字证书的申请者发放、管理、取消数字证书的机构。CA

的作用是检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改。认证机构相当于一个权威可信的中间人，职责是核实交易各方的身份，负责电子证书的发放和管理。理想化的状态是，上网的每一家企业或个人都要有一个自己的网络身份证作为唯一的标志。这些网络身份证的发放、管理和认证是一个复杂的过程，也就是所谓的CA认证。

情境任务三

电子商务安全防范（三）认证体系2.数字证书

(1)概念数字证书也叫数字标志（DigitalID），是一种应用广泛的信息安全技术，一般由权威公正的第三方机构，即CA签发，主要用于网上安全交易的身份认证。通俗地讲，数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础，采用数字签名、数字信封、时间戳等技术，在因特网上建立安全有效的信任机制。情境任务三

电子商务安全防范（三）认证体系

2.数字证书

数字证书包括的内容

证书的版本信息；

证书的序列号，每个证书都有一个唯一的证书序列号；

证书所使用的签名算法；

证书的发行机构名称，命名规则一般采用X.500格式；

证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；

证书所有人的名称，命名规则一般采用X.500格式；

证书所有人的公开密钥；

证书发行者对证书的数字签名。

情境任务三

电子商务安全防范（三）认证体系

2.数字证书

(2)数字证书的应用

个人身份证书

单位数字证书

E-mail证书

应用服务器证书

代码签名证书

情境任务三

电子商务安全防范（三）认证体系

3.身份认证技术

身份认证即鉴别认证，是指在揭示敏感信息或进行事务处理之前先确定对方身份。互联网上身份认证的方法有很多，如口令认证、智能卡认证、短信密码认证、动态口令牌认证、USB

Key认证及生物特性认证等。

情境任务三

电子商务安全防范（四）安全服务协议1、SSL协议SSL（SecureSocktesLayer）是Netscape公司率先采用的一种网络安全协议，它能把在网页和服务器之间传输的数据加密。这种加密措施能够防止资料在传输过程中被窃取。因此采用SSL协议传输密码和信用卡号等敏感信息以及身份认证信息是一种比较理想的选择。SSL可以被理解成一条受密码保护的通道。通道的安全性取决于协议中采用的加密算法。目前SSL协议标准已经成为网络上保密通信的一种工业标准,在C/S和B/S的构架下都有广泛的应用。情境任务三

电子商务安全防范（四）安全服务协议

情境任务三

电子商务安全防范SSL的工作流程

（四）安全服务协议

2、SET协议安全电子交易协议（应用层）消费者、商户、收单行进行认证。该协议由美国的Visa和MasterCar公司（信用卡公司）联合多家国际科技机构共同制定。它是一个以银行卡进行在线交易的安全标准协议。在BtoC模式中应用尤为广泛。SET提供的服务●

保证交易信息的保密性和完整性●

确保交易的不可否认性●

确保商家和客户的合法性

情境任务三

电子商务安全防范SET工作步骤根据SET协议的工作流程图，可将整个工作程序分为下面几个步骤：◆消费者利用自己的PC机通过Internet选定所要购买的物品，并在计算机上输入定货单，定货单上需包括在线商店。购买物品名称及数量、交货时间及地点等相关信息。◆通过电子商务服务器与有关在线商店联系，在线商店做出应答，告诉消费者所填定货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。◆消费者选择付款方式，确认定单，签发付款指令。此时SET开始介入。◆在SET中，消费者必须对定单和付款指令进行数字签名。同时利用双重签名技术保证商家看不到消费者的账号信息。◆在线商店接受定单后，向消费者所在银行请求支付认同。信息通过支付网关到收单银行，再到电子货币发行公司确认。批准交易后，返回确认信息给在线商店。◆在线商店发送定单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。

◆在线商店发送货物，或提供服务；并通知收单银行将钱从消费者的账号转移到商店账号，或通知发卡银行请求支付。

工作流程金融专网SETINTERNET

SETINTERNETSETINTERNETSETINTERNET发卡单位支付网关CA认证中心商店服务器消费者电子钱包SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心SSL和SET的比较（五）区块链技术情境任务三

电子商务安全防范1．区块链技术的概念

区块链是一种分布式账本。在这个分类账上，所有发生在区块链上的事务都被记录并存储在一个数据块中。一旦一个事务被存储在分类账上，就永远不会被删除，因此每个事务的区块链都会变得更长。

区块链之所以如此安全，是因为它的分布式特性。网络中的每个节点都有完全相同的分类，并且整个网络都在不断地检查分类账。当网络中的一个节点与网络的其余部分有不同的分类时，网络将被通知，而发散的节点将被告知并从网络中删除。（五）区块链技术情境任务三

电子商务安全防范2．区块链技术在电子商务安全中的应用（1）区块链技术能保证交易者身份认证可靠（