《电子商务基础》电子教案 第六章 电子商务安全

第八章电子商务安全

一、电子商务安全的内涵

教学内容

二、电子商务安全技术

【知识目标】

1.了解电子商务面临的威肋、明确电子商务的安全性内涵

2.熟悉保障电子商务安全的方法与技术应用

3.培养及提升电子商务安全意识，熟知电子商务安全管理制度

教学要求

【技能目标】

1.掌握文件的加密保护

2.利用数字证书，实现安全电子支付和安全移动支付

3.掌握电子商务中，商家、客户的日常安全防范措施

教学重点1.电子商务安全性要求

2.电子商务安全的相关技术

教学难点1.电子商务安全的相关技术

教学方法讲授法、探究法、案例法

课时数2课时（讲授2）

第一节电子商务安全的内涵

一、常见的网络安全威胁

（-）个人计算机受到的威胁

1.计算机病毒

2.流氓软件

3.木马程序

4.网络钓鱼

（-）移动端受到的威胁

I.手机病毒

2.手机系统漏洞

3.无线网络钓鱼

二、电子商务面临的安全威胁

电子商务安全的威胁主要有以下几种：

（1）信息的截获和窃取；（2）信息的篡改；（3）信息伪造；（4）交易

抵赖。

三、电子商务的安全性要求

电子商务的安全性包括信息的机密性、完整性、可用性、不可否认性,

交易者身份的真实性和网络环境的可靠性等。

四、电子商务安全防范

（-）电子商务网站的安全防范

1.选择合适的虚拟主机服务

2.不断更新系统应用软件

3.配置安装Web防火墙

4.强制使用强密码

5.不要存储客户的敏感信息

6.定期备份数据

7.加强员工数据安全意识培训

（-）手机用户的安全防范

1.增强安全防护意识

2.安全使用Wi-Fi网络

3.增强手机保密意识

第二节电子商务安全技术及应用

电子商务系统的安全应该建立在网络安全的基础之上，通过信息安全

技术的保障及安全协议的应用才能实现。

一、加密技术w

加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目

的地后再用相同或不同的手段还原（解密）信息。原始信息通常被称为“明

文”，加密后的信息通常被称为“密文”。

加密技术涉及两个元素：算法和密钥。

常用的现代加密体制有对称加密体制和非对称加密体制两种。

1.对称加密体制

对称加密体制是指发送方和接收方使用同样密钥的加密体制，即文件

加密和解密使用相同的密钥。经典的对称加密体制算法为数据加密标准

非对称加密体制使用的是密钥对.，即公钥(PublicKey)和私钥(Private

Key)o在非对称加密体制的算法中，使用最多的是RSA算法。

报收方的|嬴加

发送方公的私例接收方B

图非对称加密体制的工作过程

在实际应用中，通常将对称加密算法和非对称加密算法结合使用。

二、认证技术

常见的信息保护手段除了加密技术以外，还有认证技术。目前，认证

技术有身份认证和消息认证两种方式。

(-)身份认证

身份认证的基本思想是通过验证被认证对象的属性来确保被认证对象

的真实性。

实现身份认证的物理基础主要有以下三种：

(1)用户所知道的；

(2)用户所拥有的；

(3)用户所具有的特征。

(-)消息认证

消息认证是指验证消息的完整性，当接收方收到发送方的消息时，接

收方能够验证收到的消息是真实的和未被篡改的。消息认证常用的方法就

是消息摘要。

1.数字签名

消息摘要能保护收发双方之间的数据交换不被第三方侵犯，但并不能

规避双方之间的相互欺骗。这需要数字签名技术来保记。

2.数字时间戳

在电子商务交易中，需对交易文件的时间信息采取安全措施。数字时

间戳是一个经加密后形成的凭证文档，包括以下三个部分：①附有时间戳

的电子文件。②数字时间戳发送和接收文件的时间。③数字时间戳服务的

数字签名。

三、数字证书

（一）数字证书认证中心

数字证书认证中心也称CA认证中心（CA认证机构），是承担网上安

全电子交易认证服务、签发数字证书并确认用户身份的服务机构。

认证中心的主要功能有以下几项：

（1）数字证书的颁发；（2）数字证书的查询；（3）数字证书的更新；

（4）数字证书的作废；（5）数字证书的归档。

国内的电子商务认证中心主要分为行业性认证中心、区域性认证中心、

商业性认证中心，如中国金融认证中心（CFCA）属于行业认证中心；上

海数字证书认证中心和山西数字证书认证中心等属于区域性认证中心；天

威诚信（ITRUS）、沃通（WOSIGN）等属于商业性认证中心。

（-）数字证书的定义

数字证书又称为数字凭证或数字标识，类似于现实生活中的身份证，

所不同的是数字证书不再是纸质的证照，而是经过电子商务认证中心（CA

认证中心）审核签发的电子数据，可以更加方便灵活地运用在电子商务和

电子政务中。

（三）数字证书的结构

数字证书的详细信息至少包含以下几项：①证书拥有者的姓名；②证

书的版本信息；③证书的序列号；④证书所使用的签名算法；⑤证书发行

机构的名称；@证书的有效期限；⑦证内所有人的公钥；⑧证书发行者对

记书的签名。

（四）数字证书的类型

数字证书依照证书的持有者类型可以分为个人证书、单位证书（包含

商家、银行等企业）、服务器证书等，用来在电子商务中识别各方的身份，

井保证交易过程中信息的机密性、完整性、真实性、不可否认性等。

数字证书根据适用支付的平台来分类有支付宝数字证书、微信支付数

字证书等。

数字证书按照安全协议的不同可以分为SSL证书和SET证书等。

（五）数字证书的应用

（1）用户在需要使用证书的网站上进行操作时，必须准备好装有证书

的存储介质。

（2）用户在使用自己的数字证书之前必须先下载根证书。

（3）操作时，系统会自动提示用户载入数字证书或者插入证书存储介

质。

（4）使用完毕后，取出证书存储介质，并妥善保管。

网站安装了SSL数字证书，就使网站的域名转换为以“https”开头的

方式，浏览器地址栏显示锁形状的标识。

巨/归纳与提高

通过本章的学习，使我们明白在计算机互联网络上实现的电子商务交

易必须具有保密性、完整性、可鉴别性、不可伪造性和不可抵赖性等特性。

一个完善的电子商务系统