第四章 电子商务的安全问题

第四章电子商务的安全问题教学目标：了解电子商务的不安全因素。了解网络安全措施，包括防火墙、ＤＤＮ专线、病毒防治等。了解网上信息传送的加密技术的原理，包括对称加密、非对称加密、混合加密。了解电子商务的认证技术，如数字摘要、数字签名、数字信封、数字时间戳、数字证书、认证机构、安全套接层协议SSL、安全电子交易协议SET等。价值4亿多美元的比特币被盗(图)价值4亿多美元的比特币被盗世界最大比特币交易所申请破产保护85万比特币被黑客偷光

Mt.Gox首席执行官马克·卡尔普勒当天在东京举行的新闻发布会上鞠躬致歉，称“比特币丢失是因为公司系统存在漏洞”。卡尔普勒说，虽然Mt.Gox将就所遭到的黑客攻击提起刑事诉讼，但此举并没有实际意义。

Mt.Gox一名律师称，在该平台交易的比特币几乎全部被盗，包括用户交易账号中约75万比特币，以及Mt.Gox自身账号中约10万比特币。根据28日的交易行情，损失估计约4.67亿美元。

律师称，Mt.Gox目前总资产为38.4亿日元（约合3760万美元），而流动负债为65亿日元（约合6360万美元）。

据日本媒体报道，Mt.Gox交易平台顶峰期间拥有超过100万个账户，以日本以外的客户为主，包括不少1万美元以上数量级交易的用户。

2月7日，因遭到网络攻击，Mt.Gox临时停止比特币提取业务，引发交易混乱和用户不满。2月25日午间起，用户无法登陆Mt.Gox交易平台。网站首页随后贴出“告顾客书”，称为保护用户和交易平台，将暂停所有交易。

日财政大臣呼吁监管

日本财政大臣麻生太郎28日表示，他一直对比特币持怀疑态度，日本政府在Mt.Gox事件后应该采取行动。他说，没有人承认比特币是真正的货币，虽然他预料到比特币会出现崩溃，但没想到这么快。

日本现阶段还没有监管诸如比特币等虚拟货币交易的法规。麻生说，亟需政府各机构联合调查和掌握事态，尽快就比特币交易监管拿出办法。

美国联邦储备委员会主席珍妮特·耶伦27日在美参议院听证会上说，比特币作为一种创新的支付手段，完全独立于银行业，因此，美联储没有监管比特币的权力。耶伦称，美国财政部等其他机构可以监管比特币是否被用于洗钱和其他犯罪活动。但她承认，比特币监管并非易事，因为比特币与传统法币不同，不在银行系统之中，也没有发行的中央机构。

说好的防伪防盗呢？

比特币诞生于2009年，是一种由电脑数学运算“生成”的虚拟货币，“矿工们”可以通过大量复杂的运算获得。它具备总量有限、不受传统金融机构控制、不受政府监管等性质。

这一虚拟货币诞生后获得了媒体广泛关注，但其中不乏投机者介入并导致比特币价格大幅波动。去年12月，1个比特币的价格达到历史最高的1200美元，但在Mt.Gox25日暂停交易后，1个比特币价格已经降至470美元。

美联社认为，此次Mt.Gox事件将严重损害比特币的形象，因为比特币推广者一直声称，比特币凭借加密技术难以被伪造和盗窃。

世界最大规模的比特币交易所运营商Mt.Gox2月28日宣布，因交易平台的85万个比特币被盗一空，公司已经向日本东京地方法院申请破产保护。这一消息对于众多投资者关注的比特币来说，无疑是一枚重磅炸弹。电子商务安全案例2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代，他曾将“熊猫烧香”病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有“熊猫烧香”病毒的新变种出现。随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。李俊处于链条的上端，其在被抓捕前，不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说，该产业的利润率高于目前国内的房地产业。有了大量盗窃来的游戏装备、账号，并不能马上兑换成人民币。只有通过网上交易，这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后，网友们通过网上银行将现金转账，就能获得那些盗来的网络货币。李俊以自己出售和由他人代卖的方式，每次要价500元至1000元不等，将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，该病毒的各种变种在网上大面积传播。据估算，被“熊猫烧香”病毒控制的电脑数以百万计，它们访问按流量付费的网站，一年下来可累计获利上千万元。有关法律专家称，“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行的行为。根据刑法规定，犯此罪后果严重的，处5年以下有期徒刑或者拘役；后果特别严重的，处5年以上有期徒刑。通过上述案例可以看出随着互联网和电子商务的快速发展，利用网络犯罪的行为会大量出现，为了保证电子商务的顺利发展，法律保障是必不可少的。目前对我国的网络立法明显滞后，如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外，目前还没有一部完善的法律来约束病毒制造和传播，更无法来保护网络虚拟钱币的安全。根据法律，制造传播病毒者，要以后果严重程度来量刑，但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”，就不构成“盗窃罪”，这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。电子签名法首次用于庭审北京市民杨某状告韩某借钱不还，并将自己的手机交给法庭，以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据？2005年6月3日，海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部，其中记载了部分短信息内容。如：2004年8月27日15：05，“那就借点资金援助吧”。2004年8月27日15：13，“你怎么这么实在！我需要五千，这个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法见，你要是资助就得汇到我卡里！”等韩某发来的18条短信内容。韩某的代理人在听完短信内容后，否认发送短信的手机号码属于韩某，并质疑短信的真实。法官提醒他，在前次开庭时，法官曾当着双方拨打了该手机号码，接听者正是韩某本人。韩某也承认，自己从去年七八月份开始使用这个手机号码。法院经审理认为，依据《最高人民法院关于民事诉讼证据的若干规定》中的关于承认的相关规定，1391173XXXX”的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，故法院确认该号码系韩女士使用。依据2005年4月1日起施行的《中华人民共和国电子签名法》中的规定，“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用；能够识别数据电文的发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。

通过韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元；2004年9月7日韩女士提出借款6000元的请求，2004年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。本案是我国电子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味着我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。在本案中，针对主要证据—手机短信息，法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性，在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下，同时又没有相反的证据足以否定这些证据的证明力的情况下，认可了这些手机短信息的证据力。在电子签名法出台之前，可以说有很多类似的案例，主要是针对电子邮件能否作为证据的，由于缺乏直接的法律规定，为此上海高院还专门出台了相关的解释，这种情况随着电子签名法的出台得到了根本的改变。第一节电子商务的安全要求和不安全因素一、电子商务的安全要求

1．信息的真实性、有效性。

2．信息机密性。

3．信息完整性。

4．信息可靠性和不可抵赖性。

2023/6/2125常见的信息安全问题网络系统感染计算机病毒，导致存储在计算机中的信息被窃取或破坏，即病毒防护问题网络系统被黑客等恶意入侵，导致存储在计算机中的信息被窃取或破坏，即访问控制问题信息在传输过程中被泄漏、泄密，即信息的机密（保密）性问题2023/6/2126常见的信息安全问题信息在传输过程中被篡改，即信息的完整（完好）性问题信息发送方抵赖，否认发送过信息，即信息的不可否认（抵赖）性问题确认信息收发双方的身份，防止冒名顶替,即交易者身份的真实性问题二、电子商务的不安全因素1．信息有效性、完整性易受破坏2．机密信息外泄3．可靠性和不可抵赖性难以保证（1）货不对板。（2）拖延发货时间。（3）请你柜员机转账划走你的钱（4）以相似的邮件地址冒充公司（5）网站随意取消订单2023/6/2128安全问题安全技术病毒防护、访问控制反病毒技术、防火墙技术保密性加密技术完整性数字摘要、数字签名技术不可否认性数字签名技术身份真实性数字认证技术2023/6/2129

黑客（Hacker）源于英语动词Hack，意为“劈、砍”，引申的意思是“干了一件非常漂亮的事”。黑客则有“恶作剧”之意，尤其是指手法巧妙、技术高明的恶作剧。

今天的黑客可分为两类：一类是骇客，他们想引人注目，千方百计入侵计算机网络系统，轻则做一些无伤大雅的恶作剧，重则删除、修改网页及摧毁网站；

另一类是窃客，他们的行为带有强烈的目的性，这些窃客的目标往往瞄准了银行的漏洞和电子交易的账号，试图盗窃他人的资金和虚拟财产。2023/6/2130网络攻击的常用方法

1）系统穿透

2）中断

3）通信监听

4）植入

5）篡改和伪造

6）轰炸第二节网络安全措施一、防火墙（Firewall）1.Windows防火墙2．局域网防火墙局域网中防火墙通常设置在局域网的控制网关或代理服务器中，又可分为:网络级防火墙应用级防火墙。防火墙技术：(1)包过滤技术：(2)代理服务技术：(3)状态监控技术：2023/6/2132防火墙的基本安全策略一切未被允许的访问服务都是禁止的

基于该准则，防火墙应封锁所有信息流，然后对希望提供的服务逐项开放 优点：安全性高 缺点：方便性低一切未被禁止的访问服务都是允许的 基于该准则，防火墙应转发所有信息流，然后逐项屏蔽可能有害的服务 优点：方便性高 缺点：安全性低FortiGate-3600A防火墙外观传统防火墙的不足之处：无法发现内部网络中的攻击行为不能防范内部用户的误操作产生的威胁不能防范因口令、账号等泄密被外部用户攻击不能防止病毒的传播防火墙难以识别复杂的网络攻击二、入侵检测系统(IDS-IntrusionDetectionSystem）它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。缺点：检测出黑客入侵攻击时，攻击已到达目标造成损失。无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。三、入侵防护系统(IPS-IntrusionPreventionSystem)IPS部署位置在防火墙和WEB服务器群之间，对WEB服务器群的出入流量进行有效监控，提供主动的、实时的防护。自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断。四、ＤＤＮ专线或虚拟专用网ＤＤＮ(DigitalDadaNetwork)专用线路虚拟专用网（VirtualPrivateNetwork，VPN）用加密/解密功能的路由器通过互联网连接一些特定的局域网组成。2023/6/2138计算机网络病毒：（1）蠕虫它是一种短小的程序，这个程序使用未定义过的处理器来自行完成运行处理。它通过在网络中连续高速地复制自己，长时间的占用系统资源，使系统因负担过重而瘫痪。如震荡波、冲击波、尼姆达、恶邮差等。（2）特洛伊木马它是一种未经授权的程序，它提供了一些用户不知道的功能。当使用者通过网络引入自己的计算机后，它能将系统的私有信息泄露给程序的制造者，以便他能够控制该系统。如Ortyc.Trojan木马病毒，木马Backdoor.Palukka，酷狼，IE枭雄，腾讯QQ木马病毒。五、病毒防治金山毒霸、瑞星、360等（1）预防病毒技术（2）检测病毒技术（3）消除病毒技术2023/6/21402）计算机病毒的防范措施

（1）给自己的电脑安装防病毒软件

（2）认真执行病毒定期清理制度

（3）高度警惕网络陷阱（4）不打开陌生地址的电子邮件（5）定期进行系统备份与恢复第三节数据加密技术明文

密文加密包含两个元素：加密算法和密钥。

加密算法就是用基于数学计算方法与一串数字（密钥）对普通的文本（信息）进行编码，产生不可理解的密文的一系列步骤。

密钥是用来对文本进行编码和解码的数字。将这些文字（称为明文）转成密文的程序称作加密程序。

2023/6/2142加密和解密的示例注:把英文字母按字母表顺序编号作为明文字母ABC…Z空格，./：？明文010203…26272829303132字母对照表2023/6/2143加密示例例如，将英文信息“Thisisasecret.”加密后得到密文。密钥：17加密算法：将明文加上密钥，得到密文。2023/6/21441、按照字母对照表，把原始信息转换成数字明文：信息Thisisasecret明文200809192709192701271905031805202023/6/2145以明文为X，密文为Y，则得到密文用于加密的数学函数加密算法Y=X+17用于加密的数字加密密钥17明文20080919270919270127190503180520密文372526364426364418443622203522372023/6/2146解密解密算法 将密文转化为明文所使用的数学函数密钥 用于解密的数字* 密钥是用于加密和解密的数字用于解密的数学函数解密算法X=Y-17用于解密的数字解密密钥172023/6/2147练习：问:将英文信息“ElectronicBusiness”进行加密密钥：3

加密算法：将明文乘以密钥，得到密文。字母ABC…Z空格，./：？明文010203…262728293031322023/6/2148加密的分类按密钥类型划分 对称加密和非对称加密对称加密

信息发送者和接收者用且只用一个密钥对信息进行加密和解密 由于加密和解密使用同一个密钥，所以发送方和接收方都必须知道密钥2023/6/2149对称加密示意图发送方加密接收方解密明文密文密文明文同一密钥2023/6/2150对称加密的优点 加解密的速度快、效率高，适用于数据量大的信息2023/6/2151对称加密的缺点1.密钥规模庞大

进行保密通信的每对用户都需要一个密钥，当n个人进行保密通信时，需要的密钥个数为：n(n-1)/22.密钥分发要求高 如果发送/接收双方处在不同地点，就必须当面或在公共传送系统（电话、邮政）中在无人偷听偷看的情况下交换密钥3.密钥保管要求高 如果发送/接收双方中任一方将密钥泄露，则以前所有的信息都失去保密性，以后进行通信时必须使用新的密钥2023/6/2152非对称加密（公开密钥加密）

发送方加密和接收方解密使用的是两个不同的密钥，俩密钥成对出现 每个用户拥有一对密钥：公开密钥（公钥）和私有密钥（私钥），对外公开，给别人用的叫公钥，由自己严密保管的叫私钥2023/6/2153公钥和私钥的关系公钥加密的信息只能由相对应的私钥解密，不能由其自身解密私钥加密的信息只能由相对应的公钥解密，不能由其自身解密由公钥不能推算出相对应的私钥由私钥不能推算出相对应的公钥2023/6/2154非对称加密示意图发送方加密接收方解密明文密文密文明文接收方公钥接收方私钥2023/6/2155非对称加密的优点1.密钥规模较小 进行保密通信的每个用户只需拥有属于自己的一对密钥，当n个人进行保密通信时，需要的密钥对数为：n2.密钥易于分发 用户只需将自己的公开密钥发布出去，无需任何保密3.密钥易于保管 用户只需保管好自己的私有密钥，而公钥则是对外公开的非对称加密的缺点 由于加/解密使用不同的密钥且算法复杂，速度较慢，效率较低，适用于数据量小的信息2023/6/2156常用非对称加密算法RSA：Rivest、Shamir、AdlemanDSA：DigitalSignatureAlgorithmECC：EllipticCurvesCryptography2023/6/2157RSA的算法如下：①

选取两个足够大的质数P和Q；②

计算P和Q相乘所产生的乘积n

＝

P×Q；③

找出一个小于n的数e

，使其符合与（P－1）×（Q－1）互为质数；另找一个数d，使其满足（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）为相除取余；（n，e）即为公钥；（n，d）为私钥。加密和解密的运算方式为：明文M＝Cd（MODn）密文C＝Me（MODn

）2023/6/2158

举例：假定P

＝3，Q

＝11，则n=P×Q

＝33，计算（P－1）×（Q－1）＝20

选择e=3，因为3和20没有公共因子。（3×d）MOD（20）＝1，得出d＝7。从而得到（33，3）为公钥；（33，7）为私钥。加密过程为将明文M的3次方模33得到密文C，解密过程为将密文C的7次方模33得到明文。2023/6/2159实用的非对称加密法2023/6/2161混合加密（数字信封技术）数字信封技术

数字信封技术结合了对称加密技术和非对称加密技术优点（前者加解密速度快，后者密钥管理容易）的一种加密技术。工作原理

发送方：使用对称密钥来加密信息得到信息密文，然后将此对称密钥用接收者的公钥加密，形成密钥密文，将两个密文一起发送给接收者。

接收者：接收后先用自己的私钥解密密钥密文，得到对称密钥，然后用对称密钥解密信息密文2023/6/2162数字信封技术示意图明文信息密文信息密文明文对称密钥密钥密文密钥密文对称密钥接收方公钥接收方私钥发送方接收方加密1加密2解密1解密2第四节认证技术数字摘要(digitaldigest)发文方用一个称为ＨＡＳＨ的函数对待发文件进行处理，产生一个位数不长（如１２８位）的与所要发送的文件内容相关的“浓缩”了的文件信息，称为“数字摘要”或“文件摘要”。数字签名(DigitalSignature)把文件摘要用私钥加密后称为数字签名（也称电子签名）2023/6/2164电子签名技术1）电子签名的概念

电子签名技术是将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。目前的电子签名建立在公钥加密体制基础上，是非对称加密技术的另一类应用。电子签名主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。

2023/6/2165附：HASH函数的特点一个单向散列函数对于单向函数y=f(x)，当给定一个值x,很容易求出y的值，但是如果给定y，则不可能求出相应的x值对于散列函数y=f(x)，当给定两个不同的x值时，不可能求出相同的y值2023/6/2166Hash签名技术工作原理发送方对原文使用HASH函数（单向散列函数）得到一个长度固定为128位的数字摘要1发送方将数字摘要1与原文一起发送给接收方接收方对接收到的原文应用HASH函数生成数字摘要2将接收方生成的数字摘要2与发送方发来的数字摘要1进行对比，若两者相同则表明原文在传输过程中没有被篡改，否则就说明原文被篡改过注：由数字摘要无法反推出原文，不同的原文得到的摘要不同。当摘要被改动，该摘要会无法读取2023/6/2167数字签名文件在公开网络上的加密传输过程图示解密3解密2解密1加密3加密2数字摘要1信息密文原文数字签名HASH函数对称密钥密钥密文接收方公钥发送方私钥接收方私钥密钥密文信息密文对称密钥原文数字签名摘要2摘要1HASH函数发送方公钥发送方接收方加密12023/6/2168

电子签名与书面文件签名有相同相通之处，它能确认：①信息是由签名者发送的；②信息自签发后到收到为止未曾作过任何修改。

这样电子签名就可用来防止：①电子商务信息作伪；②冒用他人名义发送信息；③发出（收到）信件后又加以否认。电子签名是用数个字符串来代替书写签名或印章，并起到同样的法律效用。数字时间戳（digitaltime-stamp）在经过数字签名的交易文件上打上一个可信赖的时间戳，称为数字时间戳。由权威的第三方来提供可信赖的且不可抵赖的时间戳服务，以证明事件所发生的时间。权威的第三方的数字时间戳服务（DTS－digitaltime-stampservice）提供的数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件的摘要；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。2023/6/21702023/6/21713）数字时间戳的作用（1）数据文件加盖的时间戳与存储数据的物理媒体无关。（2）对已加盖时间戳的文件不可能做丝毫改动（即使仅lbit）。（3）要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。数字证书（DigitalCertification）数字证书又称为数字标识（DigitalID），是用来确证一个网络通信方身份的数字信息文件。数字证书是一个经证书授权中心数字签名的包含私有密钥拥有者基本信息及其公开密钥的文件。数字证书包含的内容有：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称及其用私钥的签名；证书的有效期；证书使用者的名称及其公钥的信息。由权威的认证机构－证书授权（CertificateAuthority－CA）中心发行。例:广东省电子商务认证有限公司的数字证书信息

颁发给：颁发者：NETCAServerClassACA有效起始日期：2007－11－16到2012－11－16详细信息：版本：V3序列号：01

00签名算法：ShalRSA颁发者：NETCAServerClassACA有效起始日期：2007年11月16日0：00：00有效起终止日期：2012年11月16日0：00：00主题：webmaster@,广东省电子商务认证有限公司,广州市天河区广州大道北138号7－8楼公鈅：RSA（1024Bits）颁发机构密鈅标识符：KeyID=baf34a0524e6f824c8e657da788d0c59e44364ca主题密鈅标识符：0f8608c84efba5c1f81150a45c5e9b7e2d15e7d0密鈅用法：DigitalSignature,KeyEncipherment,DataEncipherment(bo)基本限制：SubjectType=EndEntity,PathLengthConstraint=None电子密匙是一外形象U盘的安全存储体，有PIN（PersonalIdentifierNumber）码保护，具有相当强的安全性。用于数字证书保存。网证通的电子密匙外形：数字证书安装数字证书要先正确安装其驱动程序发证机构在签发数字证书时会给你驱动程序和安装指南如何确认您的数字证书已正确安装？有两种方法：方法一：打开IE浏览器，点击工具→Internet选项→内容→证书，双击您的证书，点击“常规”按钮，系统显示证书详细信息，表明您的证书已正确安装。方法二：双击证书的驱动，查看是否显示数字证书的信息。若正常显示，则表示已正确安装。根证书证书颁发机构及其再上级机构－如果有的话－的证书，即“祖先”证书，也称证书链安装了某个CA认证中心的根证书就表示你信任这个CA认证中心颁发的所有证书，即你认为这些人的身份是可靠的，然后才能进行各种交易和操作。通过执行浏览器的“工具”－“Internet选项”－“内容”－“证书”－“受信任的根证书颁发机构”可以看到你的计算机安装了的所有CA根证书。数字证书分类数字证书分为个人证书、机构证书、机构员工证书、设备证书、全球服务器证书和代码签名证书（即软件证书）等（1）个人证书。用户使用此证书向对方表明个人的身份，进行合法的数字签名（2）机构证书。颁发给独立的单位、组织，在网上证明该单位、组织的身份，进行合法的电子签名。（3）机构员工证书。颁发给独立的机构员工，在网上证明机构中个人的身份（4）设备证书。主要颁发给Web站点或其他需要安全鉴别的服务器，证明服务器的身份信息。（5）全球服务器证书。全球服务器证书是发放给全球范围网站的数字证书，支持业界所有主流的浏览器和Web服务器，能够轻松地实现网站服务器的身份认证数字证书颁发过程用户（或在认证中心帮助下）首先产生自己的密钥对，并将公共密钥及用户基本身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由该用户发送而来，并在完成缴费手续后认证中心将发给用户一个数字证书

认证机构（ＣＡ－CertificationAuthority）为了使收方得以保证发方确是客观存在的合法的有法律责任能力的单位，可设立权威的第三方机构负责确认收发双方均是合法存在的法人单位的机构，这第三方权威机构称为认证机构或认证中心。CA自己也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书（含公钥），用以验证它所签发的其它证书的权威性、合法性。CA认证系统组成：1.KMC（KeyManagementCentre，密钥管理中心）：提供加密证书密钥对进行全过程管理的功能，包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等；2.CA（证书签发管理系统）：提供用户数字证书的签发和管理；3.RA（证书注册管理系统）：提供用户数字证书的申请、身份审核、证书下载与证书管理等服务。案例2－1国内电子商务认证机构实例1．广东省电子商务认证有限公司（简称网证通，网址

）受理点一：地址：广州市广州大道中938号1楼名称：广东省电子商务认证有限公司中心营业厅电话：800-830-1330受理点二：地址：深圳市福田区景田东路9号财政大厦附楼一楼大厅名称：深圳政府采购中心营业厅电话15994777520除发放数字证书外，还提供许多其它电子商务安全产品：文件保密柜、密码服务器、电子印章等。2．北京开敏科技有限公司公司地址：北京市海淀区知春路西五道口2号1603网址：（中国数字认证网）电话：01301102279Email：ca365@

有下载并安装根CA证书等，特别是有免费证书、试用的测试证书申请3．北京数字证书认证中心有限公司（简称BJCA）地址：北京市海淀区北四环西路68号双桥大厦15层（左岸工社）邮编：100080电话：(010)58045600网址：提供全面的数字证书申请、审核等服务4．GlobalSignGlobalSignChina环玺信息科技（上海）有限公司：上海市普陀区西康路1255号普陀科技大厦18楼C座.电话：21-60762537网址：电子邮件：marketing-china@能签发SSL数字证书2023/6/2185（4）数字证书的有效性只有下列条件为真时，数字证书才有效。①证书没有过期所有的证书都有一个有效期，只有在有效期限以内证书才有效。②密钥没有修改如果密钥被修改，就不应该再使用。密钥对应的证书就应当收回。③用户有权使用这个密钥例如雇员离开了某家公司，雇员就不能再使用公司的密钥，密钥对应的证书就需要收回。④证书必须不在无效证书清单中

认证中心负责回收证书，发行无效证书清单。

2023/6/2186电子商务安全协议分类1）加密协议2）身份验证协议3）密钥管理协议4）数据验证协议5）安全审计协议6）防护协议第五节安全套接层和安全电子交易协议一、安全套接层协议（SSL-SecureSocketsLayer）是Internet主要的安全协议。主要用于提高应用程序之间传输数据的安全系数保证客户机和服务器间通信安全的协议采用混合加密法：当两台计算机发起安全会话时，一台计算机创建一个对称密钥，并使用对方公钥加密将其发送给对方计算机，然后这两台计算机使用对称密钥加密进行通信。