第11章 电子商务安全

11.1 电子商务安全概述
11.1.1 电子商务概述 1. 电子商务的概念(1) 电子商务（Electronic Commerce，简 称EC）指的是利用现代信息技术，进行简单、 快捷、低成本的交易方式，买卖双方不谋面 地进行各种商贸活动。 电子商务通过网络信息系统和其他通讯 方式进行的。内容包括电子交易的方式和商 业及贸易活动两个方面。
11.1.5 电子商务的安全体系(1)
电子商务安全体系包括4 个部分：服务 器端、银行端、客户端与认证机构。 认证机构是电子商务中的关键，认证机 构的服务器通常包括5 个部分： 1）用户注册机构 2）证书管理机构 3）数据库系统 4）证书管理中心 5）密钥恢复中心
11.1.5 电子商务的安全体系(2) 根据电子商务的安全要求，可以构建电 子商务的安全体系，如图所示。
5. SET协议的安全技术(1) SET Toolkit是SET 的一个开放工具，任 何电子商务系统都可以利用它来处理操作过 程中的安全和保密问题。其中支付和认证是 其向系统提供的两大主要功能。 主要安全保障有3 个方面： （1）用双钥密码体制加密文件； （2）增加密钥的公钥和私钥的字长； （3）采用联机动态的授权和认证检查， 以确保交易过程的安全可靠。
4. SET的认证过程(1) 具体主要有4 个业务认证过程： （1）注册登记。 （2）申请数字证书。
4. SET的认证过程(2) （3）动态认证。 注册成功以后，便可以在网络上进行电 子商务活动。在从事电子商务交易时，SET 系统的动态认证工作过程如图 所示。
4. SET的认证过程(3) （4）商业机构处理。 商业机构处理流程商业机构的处理工作 步骤如图所示。
11.3.3 Web服务器数字证书的获取
1. 生成Web服务器数字证书申请文件
2. 申请Web 服务器数字证书
11.3.4 Web服务器所SSL设置
1. 在Web 服务器上设置SSL
2. 浏览器的SSL 配置
11.3.5 浏览器数字证书的获取与管理
1. 浏览器数字证书的申请 2. 颁发浏览器数字证书 3. 获取及安装浏览器数字证书
11.1.3 电子商务的安全问题(4) 3. 电子商务风险及安全问题 一般来说商务安全中普遍存在着以下几 种安全风险和隐患： （1）窃取信息 （2）篡改信息 （3）假冒 （4）恶意破坏 电子商务的安全交易主要保证以下四个 方面： （1）信息保密性 （2）交易者身份的确定性 （3）不可否认性 （4）不可修改性
2. SSL提供的服务
SSL标准主要提供了3 种服务： 1）数据加密服务 2）认证服务
3）数据完整性服务
3. SSL工作流程及原理(1)
SSL 标准的工作流程主要包括4步： 1）SSL 客户机向SSL 服务器发出连接建 立请求，SSL 服务器响应SSL 客户机的请求； 2）SSL 客户机与SSL 服务器交换双方认 可的密码，一般采用的加密算法是RSA 算法； 3）检验SSL 服务器得到的密码是否正确 ，并验证SSL 客户机的可信程度； 4）SSL 客户机与SSL 服务器交换结束的 信息。
2. 服务器端证书的获得与安装 （1）获得WEB站点数字证书 启动Web服务器的“Internet信息服务” ；在“Internet信息服务”界面中右击要申请 数字证书的站点，在弹出的快捷菜单中选择 “属性”，出现站点属性对话框。 打开IE浏览器,在地址栏中输入http://CA认证 服务器名称 / CertSrv; 选择“申请证书”。 （2）安装WEB站点数字证书 （3）设置“安全通信” 属性
2. SET的技术范围 SET 的技术范围包括以下几方面： （1）加密算法； （2）证书信息和对象格式； （3）购买信息和对象格式； （4）认可信息和对象格式； （5）划账信息和对象格式； （6）对话实体之间消息的传输协议。
3. SET系统的组成 SET 系统的操作是通过电子钱包、商店 服务器、支付网关和认证中心软件 4 个软件 来完成的，分别存储在持卡人、网上商店、 银行以及认证中心的服务器中，相互运作来 完成整个SET 交易服务。一般模型如图所示。
3. 客户端证书的获得与安装 客户端如果想通过信息安全通道访问需 要安全认证的网站，必须具有此网站信任的 CA机构颁发的客户端证书以及CA认证机构 的证书链。 （1）申请客户端证书 （2）安装证书链或CRL
4. 通过安全通道访问WEB网站
5. 访问WEB站点
11.3.2 证书服务的安装与管理
实现电子商务安全的重要内容是电子商 务的交易安全。只有使用具有SSL 及SET 的网站，才能真正实现网上安全交易。SSL 是对会话的保护，SSL最为普遍的应用是实 现浏览器和WWW服务器之间的安全HTTP 通信。SSL 所提供的安全业务有实体认证 、完源自文库性、保密性，还可通过数字签名提供 不可否认性。
贾铁军 沈学东 苏庆刚等编著
机械工业出版社
本章要点
● 电子商务的安全需求 ● 电子商务的SSL、SET 协议 ● 基于SSL 协议Web 服务器构建 ● 移动电子商务的安全与WPKI 技术
教学目标
● 了解电子商务的安全需求 ● 理解电子商务的SSL、SET 协议 ● 掌握基于SSL 协议Web 服务器构建 ● 掌握移动电子商务的安全与WPKI 技术
11.2.2 网上交易安全协议
1. 安全套接层协议SSL 安全套接层协议(Secure Sockets Layer ，简称SSL)为一种传输层技术，主要用于实现 兼容浏览器和Web 服务器之间的安全通信。 SSL 协议是目前网上购物网站中经常使用 的一种安全协议。使用它在于确保信息在网际 网络上流通的安全性，让浏览器和Web 服务器 能够安全地进行沟通。Microsoft 和Netscape 的浏览器都支持SSL，很多Web 服务器也支持 SSL。
11.1.3 电子商务的安全问题(1) 电子商务的交易双方都面临着安全威胁。 主要包括以下几个方面： 1. 销售企业面临的威胁 （1）中央系统安全性被破坏 （2）竞争者检索商品递送状况 （3）客户资料被竞争者获取 （4）被他人假冒而损害公司的信誉 （5）消费者提交订单后不付款 （6）虚假订单 （7）获取他人的机密数据
5. SET协议的安全技术(2) 安全保障措施的技术基础有4个： （1）利用加密方式确保信息机密性。 （2）以数字化签名确保数据的完整性。 （3）使用数字化签名和商家认证确保交 易各方身份的真实性。 （4）通过特殊的协议和消息形式确保动 态交互式系统的可操作性。
11.3 构建基于SSL的Web安全站点
11.1.2 电子商务安全的概念(2) 电子商务安全从整体上可分为两大部分： 计算机网络安全和商务交易安全。计算机网络 安全与商务交易安全实际上是密不可分的，两 者相辅相成，缺一不可。 电子商务安全具体涉及以下五个方面： （1）电子商务系统硬件(物理)安全 （2）电子商务系统软件安全 （3）电子商务系统运行安全 （4）电子商务交易安全 （5）电子商务安全立法
11.1.4 电子商务的安全要素(1)
1. 电子商务的安全素 （1）交易数据的有效性 （2）商业信息的机密性 （3）交易数据的完整性 （4）商务系统的可靠性 （5）交易的不可否认性 EC系统提供可靠的安全服务包括：鉴别 服务、访问控制服务、机密性服务、不可否 认服务等。
11.1.4 电子商务的安全要素(2) 2．电子商务的安全内容 电子商务的安全主要包括以下4个方面。 （1） 网络安全技术； （2） 安全协议及相关标准规范； 1）安全超文本传输协议 2）安全套接层协议SSL 3）安全交易技术协议STT 4）安全电子交易SET协议、UN/ EDIFACT 安全等 （3） 大力加强安全交易监督检查，建立健全 各项规章制度和机制； （4）强化社会的法律政策与法律保障机制， 健全法律制度和完善法律体系。
1. SET的主要目标
（1）信息传输的安全性：信息在因特网上安全传 输，保证网上传输的数据不被外部或内部窃取。 （2）信息的相互隔离：订单信息和个人账号信息 的隔离，当包含持卡人账号信息的订单送到商家时， 商家只能看到订货信息，而看不到持卡人的账户信息 。 （3）多方认证的解决：①要对消费者的信用卡认 证；②要对网上商店进行认证；③消费者、商店与银 行之间的认证。 （4）效仿EDI 贸易形式，要求软件遵循相同协议 和报文格式，使不同厂家开发的软件具有兼容和互操 作功能，并且可以运行在不同的硬件和操作系统平台 上。 （5）交易的实时性：所有的支付过程都是在线的
2. 电子商务系统的分类(2)
（3）按开展电子交易的信息网络范围分 类分为：本地电子商务、远程国内电子商务 和全球电子商务三类。 （4）按商贸处理的安全可靠程度分类分 为： 1）普通电子商务系统 2）基于安全数据交换协议和运作机制的 电子商务系统
11.1.2 电子商务安全的概念(1) 电子商务安全性是一个系统的概念，不 仅与计算机系统结构有关，还与电子商务应 用的环境、人员素质和社会因素有关。 电子商务对安全的基本要求： ● 授权的合法性 ● 不可抵赖性 ● 信息的保密性 ● 交易者身份的真实性 ● 信息的完整性 ● 存储信息的安全性。
11.1.3 电子商务的安全问题(2)
2. 消费者面临的安全威胁 消费者面临的安全威胁主要包括： （1）虚假订单 （2）付款后不能收到商品 （3）机密性丧失 （4）拒绝服务
11.1.3 电子商务的安全问题(3)
3. 电子商务风险及安全问题 从整个电子商务系统着手分析，可以将 电子商务的安全问题归结四类风险：数据传 输风险、信用风险、管理风险和法律方面风 险。 电子商务的安全性主要包括五个方面： 系统的可靠性、交易的真实性、数据的安全 性、数据的完整性、交易的不可抵赖性。
3. SSL工作流程及原理(2)
SSL 标准的工作原理如图所示。
11.2.3 安全电子交易 安全电子交易（Secure Electronic Transaction，简称SET）是一个通过Internet 等开放网络进行安全交易的技术标准，SET协 议围绕客户、商家等交易各方相互之间身份的 确认，采用了电子证书等技术，以保障电子交 易的安全。 SET向基于信用卡进行电子化交易的应用 ，提供了实现安全措施的规则。SET主要由3 个文件组成，分别是SET业务描述、SET程序 员指南和SET协议描述。
1. 电子商务的概念(2) 电子商务系统结构和构成分别如图所示。
2. 电子商务系统的分类(1)
（1）按商业活动运作方式分类分为：完 全电子商务和不完全电子商务两类。 （2）按电子商务应用服务的领域范围分 类分为： 1）企业（Business）对终端客户（ Customer）的电子商务（即B2C）； 2）企业对企业的电子商务（即B2B）。
4. 浏览器数字证书的管理
11.3.6 浏览器的SSL设置及访问
1. 在浏览器上设置SSL 2. 访问SSL 站点
11.4 电子商务安全解决方案
11.4.1 数字证书解决方案
1. 网络银行系统数字证书解决方案
2. 网上教育系统数字证书应用方案
3. 移动电子商务安全解决方案
11.4.2 智能卡在WPKI中的应用
一个完整的电子商务安全体系由网络基 础结构层、PKI体系结构层、安全协议层、应 用系统层4部分组成。
11.2 电子商务的安全技术和标准
11.2.1 电子商务的安全技术 常用的安全技术包括：电子安全交易技 术、防火墙技术、硬件隔离技术、数据加密 技术、认证技术、安全技术协议、安全检测 与审计、数据安全技术、计算机病毒防范技 术以及网络商务安全管理技术等。
11.3.1 基于WEB信息安全通道的构建
1. 配置DNS、Active Directory及CA服务 在Windows 2003 Server上建立一个独 立根的CA认证服务器需要有DNS和Active Directory服务，并需要进行配置。再按照” 管理工具”中的”配置服务器”向导操作。 为了操作方便，CA认证中心的颁发策略要设 置成“始终颁发”。