电子商务基础课件07审视电子商务安全

电子商务基础项目七审视电子商务安全目录CONTANTS模块一电子商务安全问题模块二电子商务安全技术模块三电子商务安全协议项目七审视电子商务安全电子商务基础信息技术的飞速发展不仅给人们的生活带来了极大的便利，还促进了社会经济的不断发展。同时，网络犯罪也给人们带来了各种信息安全危机。2017年，“永恒之蓝”蠕虫勒索病毒肆虐全球，百余个国家的近千家企业及公共组织遭到攻击，经济损失不可估量。学习目标了解电子商务安全的隐患及需求掌握防火墙技术和防病毒技术认知加密技术、认证技术和数字签名掌握SSL协议和SET协议的运行原理项目七审视电子商务安全近年来，网上购物成为人们购物的重要选择之一，但随之而来的是大规模的网购诈骗事件。据相关数据显示，某年“双十二”当天，仅钓鱼网站拦截数量相较于前一日的增比就超过了100%。当前，在网络购物中，通过非法渠道获取网友敏感信息，以订单异常、钓鱼网站进行作案已成为不法分子的惯用手段。2016年6月，安徽省安庆市公安局公布了一起网购诈骗警情：宿松县孚玉镇居民胡某在淘宝网上的一家网店订购了一件商品。次日16时许，胡某接到一个陌生手机号码的电话，对方宣称是电商平台客服人员，告知其购买的商品没货，需要办理退款，让其进入一个网站链接退款。随后，胡某按照对方提示访问该网站，并将自己的银行卡号、身份证号等信息填写在网站提供的表格内，最终胡某银行卡内的钱被划走51915元。据警方介绍，受害人胡某登录的购物网站是网络诈骗分子设立的木马网站，诈骗分子利用通过木马网站获取的信息和受害人发送的验证码，通过网上转账的方式盗取受害人卡内存款。项目导入1模块一：电子商务安全问题电子商务安全问题电子商务的安全隐患网络的全球性、开放性、无缝连通性、共享性和动态性的发展，使得任何人都能自由地进入互联网，但这给信息及传输的安全性带来极大威胁。电子商务安全不仅包括狭义上的网络安全，如防病毒、防黑客、入侵检测等，还包括广义上的信息的完整性及交易双方身份的不可抵赖性。因此，电子商务安全的涵盖面比一般的网络安全更加广泛。从整体上看，电子商务安全包括计算机网络安全和商务交易安全。一、电子商务安全隐患电子商务安全问题攻击者在熟悉了网络信息格式后，通过各种技术方法和手段对网络上传输的信息进行中途修改并发往目的地，从而破坏信息的完整性。在电子商务中，篡改信息主要是篡改信息内容，如资金数量、货物数量和送货地址等。隐患1信息的篡改一、电子商务安全隐患攻击者在掌握网络数据规律或解密商务信息后，就能假冒合法用户或发送假冒信息来欺骗合法用户，侵占合法用户的资源。2信息的假冒电子商务安全问题如果用户没有采用加密措施或加密强度不够，攻击者就可能获取传输的机密信息，通过对信息流量和流向、通信频度和长度等参数的分析推算出有用的信息。隐患3信息的截获和窃取一、电子商务安全隐患攻击者能够采取各种手段对网络传输的信息进行中断，使相关信息不发往目的地，破坏信息的正常传输，从而破坏交易的正常进行。4信息的中断交易抵赖包括多个方面，如发送者否认自己曾经发送过某条信息或内容，接收者否认自己曾经收到过某条信息或内容，消费者下订单后不承认，商家卖出商品因出现价格差而不承认之前的交易，等等。5交易抵赖电子商务安全问题二、电子商务安全需求1.有效性电子商务采取无纸化的电子交易形式，因此保证电子交易信息的有效性是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。需求电子商务安全问题二、电子商务安全需求2.可靠性电子商务可能涉及贸易双方的商业交易，确定要进行交易的贸易方为进行交易所期望的贸易方则是保证电子商务顺利进行的关键。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方鉴别的传统方式被取代，因此要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。3.机密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。因电子商务是建立在一个开放的网络环境（如互联网）中的，故维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。需求电子商务安全问题二、电子商务安全需求4.完整性电子商务简化了贸易过程，减少了人为干预，同时也产生了维护贸易各方商业信息完整、统一的问题。数据输入时的意外差错或欺诈行为可能导致贸易各方信息的差异，因此要对信息的随意生成、修改和删除进行预防，同时要防止数据在传送过程中信息的丢失和重复并保证信息传送次序的统一。5.交易者身份的真实性网络的开放性和电子商务交易系统的特殊性使企业或个人的交易通常都在虚拟的网络环境中进行，交易双方一般相隔千里之外、素不相识，因此必须对个人或企业实体进行身份确认，防止交易双方抵赖。需求电子商务安全问题2017年3月，京东、腾讯协助公安部破获了一起窃取和盗卖公民信息多达50亿条的特大案件。其实，网络用户信息泄露的事件并不鲜见：雅虎2亿用户数据泄露、中国铁路购票网站12306漏洞危机、连锁酒店多达2000万条客户开房信息遭泄露……在复杂的网络化、信息化安全环境下，用户个人信息泄露已成互联网/电商行业的“顽疾”和难以言说的痛，更凸显了当前网络环境下每个人都在裸奔的恐惧和无奈。“泄密”事件何以频频出现?电子商务投诉与维权公共服务平台根据近年来接到的用户投诉及监测发现，不少大型互联网公司、平台公司存在重大内部管理漏洞，其内部人员故意泄露、贩卖网站用户个人信息资料，侵犯网络交易用户的信息隐私权。针对频频出现的电商信息泄露事件，中国电子商务研究中心特约研究员、辽宁亚太律师事务所律师董毅智认为，按照现行法律，对于用户信息泄露，企业需要承担一定的赔偿责任，因为企业与用户之间具备合同关系，有保障用户信息安全的义务。知识链接专家：个人信息泄露几乎是当下电商行业通病电子商务安全问题董毅智表示，按照美国的法律，企业发生一次信息泄露事件就可能被罚得倾家荡产。我国法律对用户隐私的侵权行为的约束力有限，用户维权、寻求民事赔偿胜诉率不高，对损失评估难以确定金额，想要对隐私泄露的责任人追究非常困难。董毅智说：“虽然大规模信息泄露、数据安全事件频出，但是从未见到企业负责人被问责。”绝大多数新型的网络骗术都与个人信息的泄露有关，个人信息的非法交易恰恰是造成网络诈骗犯罪泛滥的根本原因，却屡禁不止。中国电子商务研究中心特约研究员、广州金鹏律师事务所合伙人詹朝霞说：“违法成本低，法律监管缺失是‘泄密’事件再三出现的根源。”“信息安全无小事，用户必须增强信息保护意识。”国内知名网购维权专家、中国电子商务研究中心法律与权益部助理分析师姚建芳说，“互联网信息泄露隐性风险重重，除了我们熟悉的购物网站账户被盗、CDSN信息泄露外，日常的手机软件下载、WiFi蹭网、手机支付等也存在一定的风险。”知识链接专家：个人信息泄露几乎是当下电商行业通病电子商务安全问题中国电子商务研究中心此前对1000位用户的在线调查显示，56.8%的用户表示对互联网信息安全担忧，并对需要填写个人信息的互联网游戏、注册等留有一定的戒心;但仍有43.2%的用户认为互联网信息泄露与个人无关，不太关注。中国电子商务研究中心主任曹磊表示，用户信息泄露不是存在于个别几家电商平台，而是当下电商行业的一大“通病”，要在购物过程中避免信息泄露，则需消费者、电商平台和相关部门的共同努力。知识链接专家：个人信息泄露几乎是当下电商行业通病2模块二：电子商务安全技术电子商务安全技术一、防火墙技术（一）防火墙的概念防火墙是指两个网络之间执行访问控制策略（允许、拒绝和检测）的一系列部件的组合，包括计算机硬件和计算机软件。其目的是在安全的企业内部网和不安全的外部互联网之间构筑一道防护屏障，保护网络不受外部侵扰。根据防火墙的定义与目标，防火墙的应用示意如图7-1所示。图7-1

防火墙的应用示意防火墙是不同网络之间信息的唯一出口，能根据企业网络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络信息安全的基础设施。电子商务安全技术一、防火墙技术（二）防火墙的组成一般来说，功能完整的防火墙包括过滤器（外部过滤器、内部过滤器）和网关。防火墙的基本组成如图7-2所示。图7-2

防火墙的基本组成电子商务安全技术1.过滤器过滤器分为内部过滤器和外部过滤器，用于阻断某些类型信息的通过。通常，外部过滤器用于保护网关免受来自互联网的攻击，内部过滤器用于应对网关遭受破坏后的情况。外部过滤器和内部过滤器都可用于保护内部网，防火墙会对内部网和互联网之间传递的每个数据组进行干涉。2.网关网关提供中继服务，以补偿过滤器的影响，辅助过滤器控制业务信息流。网关往往是一台或一组机器。一个暴露在外面的网关计算机通常称为“堡垒机”。组成一、防火墙技术电子商务安全技术（三）防火墙的功能防火墙是一种行之有效的网络安全机制，其具有以下基本功能：（1）作为网络安全的屏障。防火墙可通过过滤不安全的服务来降低风险，极大地提高内部网络的安全性。因只有经过选择并授权允许的应用协议才能通过防火墙，故网络环境变得更安全。（2）强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（口令、加密、身份认证等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。一、防火墙技术电子商务安全技术（3）对网络存取和访问进行监控与审计。因所有的访问都必须经过防火墙，故防火墙不仅能够制作完整的日志记录，还能够提供网络使用情况的统计数据。（4）防止内部信息外泄。利用防火墙对内部网络进行划分，可实现内部网络中重点网段的隔离，限制内部网络中不同部门之间互相访问，保障了网络内部敏感数据的安全。随着互联网基础技术的发展，防火墙技术也在不断更新，而作为互联网的协议IP也面临着巨大的变革。目前，人们正在设计新的IP协议；在将来，IP协议的变化必然对防火墙技术的发展产生深刻影响。一、防火墙技术电子商务安全技术1.病毒来源互联网带来了两种不同的病毒威胁：一种威胁来自文件下载。一些被浏览的或通过FTP下载的文件中可能存在病毒。而共享软件和各种可执行的文件，如格式化的介绍性文件已经成为病毒传播的重要途径。并且，在互联网上还出现了以Java和ActiveX为形式的恶意小程序。另一种威胁来自电子邮件。大多数的电子邮件系统提供了在网络间传送附带格式化文档邮件的功能。只要简单地敲敲键盘，邮件就可以被发给一个或一组收信人。因此，受病毒感染的文档或文件就可能通过网关和邮件服务器涌入企业网络。技术二、防病毒技术电子商务安全技术2.病毒防治办法针对网络环境下病毒感染传播的特点，上传和下载的文件不带有病毒对企业网络是非常重要的，但到目前为止，解决网络病毒的有效办法仍是安装防病毒软件。性能良好的防病毒软件能够同时防杀单机病毒和网络病毒，能够识别病毒的种类和性质，并能够判断病毒的位置，能够根据病毒的变化而不断升级。原则上说，网络中任何存放文件和数据库及有数据通过的地方都需要安装防病毒软件。技术二、防病毒技术电子商务安全技术总之，计算机病毒可以从以下五个方面进行防范：（1）备份。对所有软件（甚至操作系统）备份，并制定应付突发情况的应急方案。（2）预防。提高警惕性，实行安全制度，如使用正版软件等。（3）检测。使用杀病毒软件进行检测、报告并杀死病毒。（4）隔离。确认并隔离携带病毒的部位。（5）恢复。杀毒或清除被病毒感染的文件。技术二、防病毒技术电子商务安全技术在使用计算机的时候，我们如何才能不被病毒侵害呢？（1）开启计算机防火墙，并安装系统安全防护软件，如360卫士。（2）不很熟悉计算机的人一定要安装安全防护软件。有的人总是抱怨自己的计算机运行得慢，开机时间长，总出现卡顿的现象，其实计算机也是需要照顾的。因此，用户需要经常使用安全防护软件对计算机进行体检，系统会提示用户清理垃圾、更新补丁等。（3）养成良好的使用习惯，如不浏览不熟悉的网页、危险网页，安装软件时注意是否存在恶意插件及安装的根目录，在使用U盘之前要查杀病毒，一周进行一次全盘查杀，每隔几天对计算机进行一次体检，这样才能够降低计算机的病毒感染率。知识链接预防计算机病毒的三个要点电子商务安全技术（一）加密技术的基本概念1.加密和解密数据加密是计算机安全的重要组成部分，口令是加密过的，文件也可以加密。口令加密是防止文件中的密码被他人偷看。文件加密主要应用于互联网上的文件传输，防止文件被他人看到或劫持。现在，电子邮件给人们提供了一种快捷、便宜的通信方式，但电子邮件是不安全的，很容易被他人偷看或伪造。为了保证电子邮件的安全，人们采取了数字签名的加密技术，这样可以保证发言人就是邮件上声称的人。数据加密也使互联网上的电子商务成为可能。三、加密技术电子商务安全技术目前有两类不同的加密技术：一类是对称加密，即双方具有共享的密钥，只有在双方都知道密钥的情况下才能使用，通常应用于孤立的环境之中。另一类是非对称加密，也称为公开密钥加密，密钥是由公开密钥（publickey，简称公钥）和私有密钥（privatekey，简称私钥）组成的密钥对，私有密钥用于加密，公开密钥用于解密。公开密钥无法推算出私有密钥，因此公开密钥并不会危及私有密钥的安全。公开密钥无须保密，可以公开传播；而私有密钥必须保密，丢失时需要报告鉴定中心及数据库。三、加密技术电子商务安全技术对称加密与非对称加密的主要区别在于所使用的加密和解密的密码是否相同。对称密钥密码技术要求加密和解密双方拥有相同的密钥；而非对称密钥密码技术是加密和解密双方拥有不相同的密钥，加密密钥和解密密钥在计算上是不能相互推算出来的。利用加密技术可以达到电子商务安全的需求，保证商务交易的机密性、完整性和真实性。三、加密技术电子商务安全技术2.算法和密钥密码算法（algorithm）也称为密码（cipher），是用于加密和解密的数学函数。在通常情况下，密码算法有两个函数：一个用作加密，另一个用作解密。如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的算法。受限制的算法具有历史意义，但按现在的标准，它们的保密性已经远远不够。大的或经常变换的用户组织不能够使用它们，因为如果一个用户离开这个组织，其他用户就必须更换新的算法。如果有人无意中暴露了这个秘密，所有人都必须改变他们的算法。三、加密技术电子商务安全技术现代密码学用密钥解决了算法问题。密钥（key）用K表示。K可以是很多数值里的任意值。密钥K的可能值的范围叫作密钥空间。加密运算和解密运算都使用这个密钥（运算都依赖于密钥），有些算法使用不同的加密密钥和解密密钥，也就是说加密密钥K1与相应的解密密钥K2不同。值得注意的是，所有算法的安全性都基于密钥的安全性，而不是基于算法的细节安全性。这就意味着算法可以完全公开，可以被分析，可以大量生产使用该算法的产品，即使偷窃者知道用户的算法也没关系。如果偷窃者不知道用户使用的具体密钥，就不可能阅读用户的消息。三、加密技术电子商务安全技术三、加密技术（二）加密技术方法的种类1.对称密钥加密体制对称密钥加密体制采用了对称密码编码技术，它的特点是对文件的加密运算和解密运算使用相同的密钥，即加密密钥也可以用作解密密钥。对称密钥加密算法密钥较短，使用起来简单而快捷，且破译困难。对称密钥加密体制也称为单钥密码体制、共享密钥体制和私有密钥体制等。除了数据加密标准（dataencryptionstandard,DES）外，另一个对称密钥加密体制是国际数据加密算法（internationaldataencryptionalgorithm，IDEA），它的加密性更好，而且对计算机性能要求也高。IDEA加密标准由PGP（prettygoodprivacy）系统使用。对称式加密、解密过程如图7-3所示。图7-3

对称式加密、解密过程电子商务安全技术三、加密技术2.非对称密钥加密体制1976年，美国学者威特菲尔德·迪菲（WhitfieldDiffie)和马丁·赫尔曼（MartinHellman)为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许通信双方在不安全的媒体上交换信息，安全地达成一致的密钥，这就是公开密钥系统。相对于对称加密算法而言，该方法称为非对称加密算法。图7-4

非对称式加密、解密过程与对称加密算法不同，非对称加密算法需要两个密钥，即公开密钥和私有密钥。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，那么只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。非对称密钥加密体制也称公开密钥加密技术或双钥加密体制。非对称式加密、解密过程如图7-4所示。电子商务安全技术防止信息被篡改、删除、重放和伪造的有效解决方法是让发送的信息有被验证的可能，使信息接收者或第三者能识别和确认信息的真伪。能够实现这项功能的保密系统称为认证系统。信息的认证和保密是不同的。保密性是使信息截获者在不知密钥的条件下不能解读密文内容；而认证性是使任何不知密钥的人不能构造一个密文，使意定的接收者利用密钥将密文解密成一种可理解的信息（合法信息）。认证理论和技术在近年随着计算机通信的普及应用得到了迅速的发展，成为保密学研究的一个重要领域。四、认证技术电子商务安全技术（一）身份认证1.身份认证的要求身份认证是指判明和确认贸易双方的真实身份。认证机构或信息服务商的认证具有以下要求：（1）完整性。完整性要求信息在传输过程中保持完整，即信息接收者能确认所获信息在传输过程中未被修改、延迟和替换。（2）可信性。可信性要求证明信息的来源是可信的，使信息接收者能确认获取的信息确实是发送者发出的，而不是其他冒充者发出的。（3）不可抵赖性。不可抵赖性要求信息发送者与接收者都不能否认所发出的信息和已收到的信息。（4）访问控制。访问控制是指拒绝非法用户访问系统资源，合法用户只能访问系统授权和指定的资源。四、认证技术电子商务安全技术2.身份认证的基本分类身份认证基本可分为身份证实和身份识别两大类。（1）身份证实。身份证实是指对个人身份进行肯定或否定。身份证实的通常方法是将输入的个人信息（经公式和算法运算所得的结果）与卡上或库存中的信息（经公式和算法运算所得的结果）进行比较，从而得出结论。（2）身份识别。身份识别的一般方法是输入个人信息，经处理后提取成模板信息，试着在存储数据库中搜寻出一个与之匹配的模板，而后得出结论，如确定某犯罪嫌疑人是否有前科的指纹检验系统。身份识别比身份证实困难，这是显而易见的。四、认证技术电子商务安全技术（二）信息认证四、认证技术基于公钥体制的信息认证加入数字签名的验证VS由于基于公钥体制的算法速度很慢，因此其不太适合对文件加密，只适合对少量数据加密。在WindowsNT安全性体系结构中，公开密钥系统主要用于私有密钥的加密过程。每位用户要对数据进行加密，都需要生成一对自己的密钥对（keypair）。密钥对中的公开密钥和非对称加密、解密算法是公开的，只有私有密钥由密钥的主人妥善保管。除对文件加密外，还需要采取另外的手段来防止他人破坏传输的文件，以及确定发信人的身份。因此，要加入数字签名及验证（verification）才能真正实现信息在公开网络上安全传输。电子商务安全技术（三）认证机构认证在电子商务交易中，买卖双方在进行每笔交易时都要鉴别对方是否可信。例如，乙方收到了甲方发来的带有甲方数字签名的信息，这时乙方用甲方的公钥解密，乙方要确定公钥确实属于甲方而不是其他冒充者的。最好的办法是由第三方验证该公钥并确定属于甲方，这个第三方的验证者就称为认证机构。通过认证机构认证买卖双方的身份，是保证网络交易安全的重要措施。认证四、认证技术电子商务安全技术1.数字证书数字证书是在Internet上用于建立人们身份和电子资产的数据文件。数字证书由被称为认证中心（CA）的可信赖的第三方发放。CA认证证书持有者的身份并“签署”证书来证明证书不是伪造的或没有以任何方式被篡改。2.认证机构在电子商务交易中，为了保证交易安全、公正，身份认证等工作不是依靠交易双方完成的，而是由第三方机构完成的，如认证中心。认证中心是电子商务中的一个核心环节，在电子商务交易中承担网上安全电子交易认证服务、签发数字证书、确认用户身份等工作，是具有权威性和公正性的第三方机构。认证中心的存在使网上交易和网上支付的实现有了安全保障。认证四、认证技术电子商务安全技术目前，有许多种技术保证信息的安全不受侵犯，如加密技术、访问控制技术、认证技术及安全审计技术等，但这些技术主要用于预防；如果相关信息被黑客攻破，那么信息的完整性就会遭到破坏。为此，一种新兴的用来保证信息完整性的安全技术得到应用，这就是数字签名技术。在数字签名技术诞生之前，曾经出现过一种“数字化签名”技术。简单地说，这项技术就是在手写板上签名，然后将图像传输到电子文档中，但这种“数字化签名”可以被剪切后粘贴到任意文档上，这就使非法复制变得轻而易举，因此这种签名方式不够安全。数字签名技术与“数字化签名”技术截然不同，数字签名与用户的姓名和手写签名形式毫无关系，它实际使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名是完全不同的。没有私有密钥，任何人都不能完成信息复制。从这个意义上说，数字签名是在通过一个单向函数对要传送的报文进行处理之后得出的，实际上是用以认证报文来源并核实报文是否发生变化的一个字母、数字串。五、数字签名电子商务安全技术在运用数字签名技术时，首先是发送者对信息施以数学变换，使所得的信息与原信息唯一对应；然后接收者进行逆变换，得到原始信息。只要数学变换方法优良，变换后的信息在传输过程中就能被保证安全，信息就难以被破译、篡改。采用数字签名技术，能够确认以下两点：（1）信息是由签名者自己签名后发送的，签名者不能否认或难以否认。（2）信息自签发后到收到止没有进行任何修改，签发的文件是真实的。数字签名的具体做法如下：（1）将报文按双方约定的哈希算法计算，得到一个固定位数的报文摘要。在数学上保证只要改动报文中的任何一位数，重新计算出的报文摘要值会与原来的值不相符。（2）将该报文摘要值用发送者的私有密钥加密，然后连同原报文一起发送给接收者，这样产生的报文就是数字签名。（3）接收者收到数字签名后，用同样的哈希算法计算报文摘要值，然后与用发送者的公开密钥进行解密得到的报文摘要值进行对比，如果相等，则说明报文的确是来自所称的发送者。五、数字签名3模块三：电子商务安全协议电子商务安全协议一、SSL协议1.SSL协议介绍SSL协议是网景公司提出的基于Web应用的安全协议，主要用于提高应用程序之间的数据安全系数，包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。在电子商务活动中，应用SSL协议可保证信息的真实性、完整性和保密性。由于SSL协议没有对应用层的消息进行数字签名，因此无法提供交易的不可否认性，这是SSL协议的最大缺点。鉴于此，网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作“表单签名（formsigning）”的功能。在电子商务活动中，可利用“表单签名”功能对包含购买者的订购信息和付款指令的表单进行数字签名，以保证交易信息的不可否认性。从总体来看，电子商务活动仅靠SSL协议保证交易安全是不够的，采取“SSL+表单签名”模式才能提供更好的安全性保证。协议电子商务安全协议一、SSL协议SSL协议是保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP／IP的客户／服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施，目的是为用户提供与企业内联网相连接的安全通信服务。在传统的交易中，如邮购，客户首先寻找商品信息，然后通过邮局汇款给商家，商家在收到汇款后将商品寄给客户，这种方式确保商家是可以信赖的。在电子商务发展的初期，由于缺乏相关担保，商家担心客户下订单后不付款，或使用过期作废的信用卡，因而他们希望银行予以认证。SSL协议正是在这种背景下应用于电子商务的。协议电子商务安全协议2.SSL协议的运行SSL协议包含两层协议，分别为SSL记录协议和SSL握手协议。SSL记录协议规定了记录头和记录数据格式；SSL握手协议建立和加密通信信道，并对客户认证。SSL协议采用了公开密钥和私有密钥两种加密形式，在建立连接过程中采用公开密钥，在会话过程中使用私有密钥，加密的类型和强度则在两端之间建立连接的过程中加以判断、决定。这种加密保证了客户和服务器间事务的安全性。一、SSL协议电子商务安全协议SSL协议的运行主要包括以下六个阶段：（1）建立连接阶段。客户通过网络向服务商发出信号，服务商回应。（2）交换密码阶段。客户与服务商之间交换双方认可的密码。（3）会谈密码阶段。客户与服务商之间产生彼此交谈的会谈密码。（4）检验阶段。检验服务商取得的密码。（5）客户认证阶段。验证客户的可信度。（6）结束阶段。客户与服务商之间相互交换结束信息。一、SSL协议电子商务安全协议完成上述流程后，客户与服务商之间的资料传输就以对方公钥进行加密后再传输，另一方在收到资料后以私钥解密。即使不法分子在网上取得加密的资料，如果其没有解密密钥，也无法看到可读的资料。在电子商务交易过程中，由于有银行的参与，按照SSL协议，客户购买的信息首先被发往商家，商家将信息转发至银行，银行在验证客户信息的合法性后通知商家付款成功，商家通知客户购买成功并发货。一、SSL协议电子商务安全协议3.SSL协议提供的安全服务SSL协议提供了以下三种基本的安全服务：（1）加密处理。SSL协议所采用的加密技术既有对称密钥技术，又有公开密钥技术。具体的流程是客户端与服务器在交换数据前交换SSL初始握手信息，在SSL初始握手信息中采用各种加密技术对其加密，以保证信息的机密性和数据的完整性，并且用数字证书进行鉴别。（2）保证信息的完整性。SSL协议采用Hash函数和机密共享的方法确保信息的完整性，使客户端与服务器之间建立安全通道，保证所有经过SSL协议处理的业务都准确无误地到达目的地。服务一、SSL协议电子商务安全协议（3）提供较完善的认证服务。客户端和服务器都有各自的识别号，这些识别号由公开密钥进行编号。为了验证客户是否合法，SSL协议要求客户端和服务器在握手交换数据前进行数字认证。从SSL协议的过程中可以看出，该协议有利于商家而不利于客户。客户的信息首先传到商家，经商家阅读后再传到银行，这样就威胁到客户资料的安全性。商家对客户进行认证是无可厚非的，但这个过程缺乏客户对商家的认证。在电子商务交易中，随着参与商家的迅速增加，加之质量参差不齐，对商家的认证问题会更加突出，从而暴露出SSL协议的缺点：只能保证资料传递过程的安全，而无法保证传递过程是否有人截取资料。因此，SSL协议并没有实现电子支付所要求的保密性和完整性，而且多方互相认证也是很困难的。服务一、SSL协议电子商务安全协议二、SET协议随着电子商务的发展，出现了这样的需求：消费者发出的支付指令在由商家送到支付网关之前是在公用网上传送的，这与持卡POS客户有着本质的区别，因为从商家POS到银行使用的是专线。因此，需要考虑公用网上支付信息的安全性。在这种需求的推动下，Visa和MasterCard两家国际上最大的信用卡公司连同IBM、Microsoft等信息产业巨头共同制定了SET协议。SET协议采用公钥密码体制和X.509数字证书标准，主要用于保障网上购物信息的安全性。由于它提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和不可否认性，特别是保证商家看不见消费者的银行卡号，因此成为目前公认的银行卡的网上交易的国际安全标准。协议电子商务安全协议1.SET协议介绍SET协议于1997年6月正式发布，主要是为了解决消费者、商家和银行之间通过信用卡支付的交易而设计的，要保证支付信息的机密性、支付过程的完整性、商家及客户（持卡人）的合法身份和可操作性。SET的核心技术主要有公开密钥加密、数字签名、电子信封、电子安全证书等。SET协议能在电子交易环节提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。它支持B2C电子商务模式，即消费者持卡在网上购物与交易的模式。二、SET协议电子商务安全协议SET协议的交易分为以下三个阶段：（1）购买请求阶段。在购买请求阶段，消费者与商家确定所要支付方式的细节。（2）支付认定阶段。在支付认定阶段，商家会与银行核实，随着交易的进展，他们将得到付款。（3）受款阶段。在受款阶段，商家向银行出示所有的交易细节，然后银行以适当方式转移货款。消费者只涉及第一阶段，银行涉及第二阶段和第三阶段，而商家在三个阶段中都有参与。每个阶段都涉及用RSA对数据加密，以及用RSA进行数字签名。在SET协议下的交易中要完成多次加密与解密操作，因此要求商家的服务器具有较强的处理能力。二、SET协议电子商务安全协议2.SET协议的作用SET协议的主要作用有以下五个方面：（1）保证信息在Internet上安全传输，防止网上传输的数据被黑客和内部人员窃取。（2）保证电子商务参与者的信息相互隔离，使商家看不到消费者的账户和密码。（3）完成多方认证，不仅要进行消费者的信用卡认证，还要进行在线商家认证，以及消费者、商家和银行间的相互认证。（4）保证网上交易的实时性，确保实时在线进行支付。（5）规范协议和消息格式，促进各商家开发出具有兼容性和互操作性，且可运行在不同的硬件和操作系统平台上的软件。二、SET协议电子商务安全协议3.SET协议的运行电子商务的工作流程近似于实际购物，所以电子商务贴近于传统商务，消费者参与进来基本没有障碍。从消费者通过网页进入在线商店开始，一直到所订购的物品送货上门或购买的服务完成，以及账户上的资金转移，这些活动都是在网上完成的。保证网上传输数据的安全及交易双方的身份确认是电子商务得到推广的关键，也是SET协议要解决的最主要问题。SET协议中的参与者如图7-5所示。二、SET协议图7-5

SET协议中的参与者电子商务安全协议基于SET协议的处理流程如图7-6所示。基于SET协议的处理流程可以分为以下九个步骤：（1）消费者向商家发出购买初始化请求，包括消费者的信息和证书。（2）商家在接收到请求后验证消费者的身份，将商家和支付网关的有关信息与证书生成回复消息并发给消费者。（3）消费者在接收到消息后验证商家和支付网关的身份。然后，消费者利用自己的支付信息（包括账户信息）生成购买请求消息并发送给商家。二、SET协议图7-6

基于SET协议的处理流程电子商务安全协议（4）商家在接收到消息后，连同自己的信息生成授权请求消息，发给支付网关，请求支付网关授权该交易。（5）支付网关在接收到消息后取出支付信息，通过银行内部网络连接收单银行和发卡银行，对该交易进行授权。授权完成后，支付网关产生授权响应消息并发给商家。（6）商家在接收到消息后，定期向支付网关发出转账请求消息，请求进行转账。（7）支付网关在接收到消息后，通过银行内部网络连接收单银行和发卡银行，将资金从消费者账户转到商家账户，然后向商家发出消息。（8）商家接收到消息后，知道已经完成转账，然后发送消息给消费者。（9）消费者接收到消息，知道该交易已经完成。SET协议通过证书、认证中心及其数形验证体系结构完成认证过程。二、SET协议电子商务安全协议4.SET协议的优缺点相对而言，SET协议有以下三方面的优点：（1）SET协议为商家提供保护手段，使得商家免受欺诈的困扰。（2）对消费者而言，SET协议保证了商家的合法性，并且消费者的信用卡号不会被窃取，为消费者保护了更多的秘密，从而使消费者在线购物时更加轻松。（3）银行和发卡机构及各种信用卡组织推荐SET协议，因为SET协议帮助他们将业务扩展到Internet这个广阔的空间，从而减少信用卡网上支付的欺骗概率，这使得它比其他支付方式具有更大的竞争优势。SET协议虽然更加完善和严谨，但其缺点是协议过于复杂，开发和使用都比较麻烦，使得运行速度较慢。二、SET协议电子商务安全协议从实际来看，SET协议和SSL协议除了采用相同的公钥算法以外，在其他技术方面都不一样。SET协议是一个多方的消息报文协议，它定义了银行、商家、持卡人之间必需的报文规范；而SSL协议只是简单地在两方之间建立了一个安全连接。SSL协议是面向连接的，而SET协议允许各方之间的报文交换不是实时的。SET报文能够在银行内部网络或者其他网络上传输，而基于SSL协议之上的支付卡系统只能与Web浏览器捆绑在一起。三、SET协议与SSL协议的比较电子商务安全协议此外，SSL协议和SET协议在网络各层的位置与功能并不相同。SSL协议是基于传输层的通用安全协议，它只占电子商务体系中的一部分，可看作用于传输的那部分技术规范，并不具备电子商务的商务性、服务性、协调性和集成性。而SET协议位于应用层，对网络上其他各层也有涉及。SET协议规范了整个商务的活动流程，从信用卡持卡人，到商家，到支付网关，到认证中心及信用卡结算中心之间的信息流向，以及对必须参与的加密、认证都制定了严密的标准，最大限度地保证了电子商务的商务性、服务性、协调性和集成性。三、SET协议与SSL协议的比较项目实训实训一加密技术的应用之发送加密邮件实训背景加密技术保证信息在传输过程中不被修改。加密邮件中含有信件原文和数字签名。采用签名加密的邮件能够安全地被收发，不泄露隐私。本实训通过发送与接收加密邮件来实践电子商务的安全技术。实训要求（1）了解数字加密技术的含义，掌握其在电子邮件中的应用。（2）掌握利用Foxmail收发加密邮件的技术。实训内容一、准备工作安装Foxmail软件，开通两个POP3服务的电子邮箱，163、126、新浪、腾讯等邮箱均可。Foxmail是常用的电子邮件收发工具，在项目三的实训中已使用过。项目实训实训一加密技术的应用之发送加密邮件二、发送加密邮件（1）打开Foxmail客户端，按照项目三中的实训方法编辑邮件，编辑完成后单击右上角的按钮，在下拉菜单中执行“邮件加密…”命令，如图7-7所示。图7-7

加密电子邮件项目实训实训一加密技术的应用之发送加密邮件（2）在弹出的“邮件加密”对话框中输入密码，如图7-8所示。也就是说，这封邮件是添加了密码的，只有在收件人接收后输入正确的密码解密后才能查看。所以，发件人要将此密码告知收件人。（3）设置密码后单击“确认”按钮，然后选择“发送”选项，即可发送加密邮件。图7-8输入邮件的密码项目实训实训一加密技术的应用之发送加密邮件三、接收加密邮件（1）登录邮箱，单击“收取”菜单，可以查看未读的邮件，如图7-9所示。图7-9

收件箱中收到的加密邮件项目实训实训一加密技术的应用之发送加密邮件（2）单击这封加密的邮件，会发现需要输入密码才能查看，如图7-10所示。图7-10待解密邮件项目实训实训一加密技术的应用之发送加密邮件（3）收件人从发件人处获取密码并输入，即可解密邮件，如图7-11所示。图7-11

解密后的邮件项目实训实训二杀毒软件的使用实训背景杀毒软件也称反病毒软件或防毒软件，是用于消除计算机病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描与清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统的重要组成部分。目前常用的杀毒软件主要有360杀毒、瑞星、江民、卡巴斯基、诺顿等。本实训以360杀毒软件为例，讲解杀毒软件的使用。实训要求（1）掌握360杀毒软件的安装和升级。（2）了解360杀毒软件的相关功能，如全盘扫描、实时防护等。实训内容项目实训实训二杀毒软件的使用