第5章电子商务交易安全

第5章电子商务交易安全《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编引例：如何避免“网络钓鱼”的攻击电子商务已成为人们经济生活中的重要组成部分，而电子商务安全则是保证电子商务健康、有序发展的关键因素，也是网民十分关注的话题。每个网民只有提升自身免疫力，增强安全防范意识，了解和学习必要的网络安全常识，这样才能避免遇到不必要的麻烦。例如，注意观察下面的网站名“1”与“”、“”与“”是否一致？这就是当前“网络钓鱼”的典型手段之一，诈骗者利用“障眼法”来诱惑和欺骗用户输入自己的账户密码。其中，“”是真正的中国工商银行网站，仅仅是小写字母i和数字1的不同；“”与“”前者是“钓鱼网站”，后者是真正的中国银行网站域名。目前，“钓鱼网站”主要集中在两个方面：一种是模仿中央电视台等设立抽奖网站，以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝网、中国工商银行等在线支付网页，骗取网民银行卡信息或支付宝账户。如何避免或者减少钓鱼攻击所造成的危害呢？电子商务安全概述电子商务安全技术电子商务安全交易协议本章主要内容《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（一）个人电脑面临的威胁在个人上网时，通常会遇到的威胁有以下几种：被他人盗取用户密码、信用卡账号等；计算机系统被木马攻击；用户在浏览网页时，被恶意程序进行攻击；个人计算机受计算机病毒感染；被黑客攻击等。（二）网络安全威胁1．黑客攻击2．搭线窃听3．伪装身份4．信息泄密、篡改、销毁5．间谍软件袭击6．网络钓鱼一、电子商务面临的威胁《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编小贴士:网络钓鱼攻击

网络钓鱼（phishing）是“fishing”和“phone”的综合体，由于黑客始祖起初是以电话作案，所以用“ph”来取代“f”，创造了“phishing”。“钓鱼攻击”是指利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令和社保编号等内容。“钓鱼攻击”技术多种多样，目前三大网络“钓鱼攻击”是木马攻击（利用木马和黑客技术等手段窃取用户信息后实施盗窃活动）、假冒网站（建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃）、邮件诈骗（发送电子邮件，以虚假信息引诱用户中圈套）。“钓鱼攻击”威胁的预防措施如下。（1）尽量不要在网吧等公用计算机上做在线交易或转账。（2）访问所属银行的网站应该通过输入网址的方式进行。（3）对来路不明的电子邮件及文件，一般不要随意开启，更不要随意单击陌生邮件的链接网址或回复邮件。若要核实电子邮件信息，可以通过网站的客服电话咨询。5.1电子商务安全概述电子商务的安全问题1．卖方面临的问题(1)中央系统安全性被破坏(2)竞争对手检索商品递送状况(3)被他人假冒而损害公司的信誉(4)买方提交订单后不付款(5)获取他人的机密数据2．买方面临的问题(1)付款后不能收到商品(2)机密性丧失(3)拒绝服务5.1电子商务安全概述电子商务的安全问题3．信息传输问题(1)冒名偷窃(2)篡改数据(3)信息丢失(4)信息传递过程中的破坏(5)虚假信息4．信用问题(1)来自买方的信用问题(2)来自卖方的信用风险(3)买卖双方都存在抵赖的情况5.1电子商务安全概述电子商务的安全体系1．电子商务系统硬件安全2．电子商务系统软件安全3．电子商务系统运行安全4．电子商务安全立法5.1电子商务安全概述电子商务的安全控制要求信息传输的保密性

信息的保密性是指信息在传输过程或存储中不被他人窃取交易文件的完整性

防止非法窜改和破坏网站上的信息收到的信息与发送的信息完全一样信息的不可否认性

发送方不能否认已发送的信息接收方不能否认已收到的信息交易者身份的真实性

交易者身份的真实性是指交易双方确实是存在的不是假冒的5.1电子商务安全概述电子商务的安全管理1．保密制度绝密级：网址、密码不在因特网上公开，只限高层管理人员掌握机密级：只限公司中层管理人员以上使用秘密级：在因特网上公开，供消费者浏览，但必须防止黑客侵入2．网络系统的日常维护制度（1）硬件的日常管理和维护（2）软件的日常维护和管理（3）数据备份制度。（4）用户管理5.1电子商务安全概述电子商务的安全管理3．病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱3．病毒防范制度（1）给电脑安装防病毒软件（2）不打开陌生电子邮件（3）认真执行病毒定期清理制度（4）控制权限（5）高度警惕网络陷阱5.1电子商务安全概述电子商务的安全管理5．浏览器安全设置（1）管理Cookie的技巧（2）禁用或限制使用Java、Java小程序脚本

ActiveX控件和插件（3）调整自动完成功能的设置5.2电子商务安全技术数据加密技术加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)加密和解密密码系统的构成第5章电子商务安全交易5.2电子商务安全技术数据加密技术通用密钥密码体制通用密钥密码体制就是加密密钥Ke和解密密钥Kd是通用的，即发送方和接收方使用同样密钥的密码体制，也称之为“传统密码体制”恺撒密码第5章电子商务安全交易5.2电子商务安全技术数据加密技术公开密钥密码体制公开密钥密码体制的加密密钥Ke与解密密钥Kd不同，只有解密密钥是保密的，称为私人密钥而加密密钥完全公开，称为公共密钥《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编一、加密技术（一）对称加密体制加密技术是利用技术手段把原始信息变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）信息。原始信息通常称为“明文”，加密后的信息通常称为“密文”。加密技术包括两个元素：算法和密钥。算法是将明文与一串字符（密钥）结合起来，进行加密运算后形成密文。密钥是在明文转换为密文或将密文转换为明文的算法中输入的一串字符，它可以是数字、字母、词汇或语句。由此可见，在加密和解密过程中，都涉及信息（明文、密文）、密钥（加密密钥、解密密钥）和算法（加密算法、解密算法）这3项内容。常用的现代加密体制有两种：对称加密体制和非对称加密体制。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编对称加密体制是指发送方和接收方使用同样密钥的密码体制，即文件加密和解密使用相同的密钥。这类算法要求发送者和接收者在安全通信之前，商定一个密钥。由于对称算法的安全性依赖于密钥，因此，只要通信过程采用了对称加密，密钥就必须保密。非对称加密体制使用的是密钥对，即加密密钥和解密密钥不同。公钥（publickey）是公开的，可以像电话簿一样，存储于文件中，文件保存在密钥中心；私钥（privatekey）是用户自己保存，只有自己才能知道。通常用公钥加密，私钥解密来保证信息的机密性；用私钥加密，公钥解密来保证身份的认证性。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编对称加密体制的工作过程中，主要由5个部分组成：明文、加密算法、密钥、密文、解密算法。发送方用对称密钥K和加密算法E对明文P加密，得到密文C，然后传输密文C。接收方用对称密钥K和解密算法D对密文解密，得到原来的明文P。

1.对称加密体制的工作过程

《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编2.对称加密体制的优点与缺点对称加密体制具有算法简单，系统开销小；加密数据效率高，速度快的优点；适合加密大量数据。但是在发送、接收数据之前，对称加密体制需要产生大量的密钥，所以管理密钥会有一定的难度；第二，在网络通信中，密钥难以共享；即密钥的分发是对称加密体制中最薄弱、风险最大的环节，而且无法实现数字签名和身份验证；3．对称加密体制的算法目前，比较常用的对称密钥算法有DES（dataencryptionstandard，数据加密标准）。DES算法是一个对称的分组加密算法。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（二）非对称加密体制1．非对称加密体制的工作过程非对称加密体制由

6

部分组成：明文、加密算法、公钥、私钥、密文、解密算法。图所示为非对称加密体制的工作过程。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编2.非对称加密体制的优点与缺点

非对称加密体制在网络中容易实现密钥管理，只要管理好自己的私钥就可以；便于进行数字签名和身份认证，从而保证数据的不可抵赖性；不必记忆大量的密钥，发放方只要得到可靠的接收方的公开密钥就可以给接收方发送信息。然而非对称加密算法实现过程较复杂，加密数据的速度和效率较低，对大报文加密困难。3．非对称加密体制的算法目前，非对称加密体制的算法使用最多的是RSA。RSA是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密方法，算法以发明者名字的首字母来命名。它是第一个既可用于加密，也可用于数字签名的算法。一般来说，RSA只用于少量数据加密，在互联网中广泛使用的电子邮件和文件加密软件PGP（prettygoodprivacy）就是将RSA作为传送会话密钥和数字签名的标准算法。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（三）两种加密体系的对比比较项目对称加密体制非对称加密体制代表算法DESRSA密钥数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有，一个公开密钥管理产生简单，管理困难需要数字证书及可靠的第三者相对速度快慢主要用途大量数据加密数字签名或对称密钥的加密《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（四）对称与非对称加密体系的结合在实际应用中，通常将对称加密算法和非对称加密算法结合使用，利用DES对称加密算法来进行大容量数据的加密，而采用RSA非对称加密算法来传递对称加密算法所使用的密钥。这种二者结合的体系，就集成了两类加密算法的优点，既实现了加密速度快，又可以安全、方便地管理密钥。随着硬件和网络技术的发展，目前，常用的加密算法都有可能在短时间内被破解，那么就得使用更长的密钥或更加先进的算法，才能保证数据的安全，因此，加密算法依然需要不断发展和完善，提供更高的安全强度和运算速度，电子商务的实现才能更加快捷和安全。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编用户的特征

用户所拥有的

用户所知道的

二、认证技术指纹虹膜DNA声音用户的行为身份证护照密钥盘

密码口令

（一）身份认证概述第5章电子商务安全交易5.2电子商务安全技术数字摘要

安全Hash编码法(SHA)数字指纹SHA编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文数字签名数字签名技术第5章电子商务安全交易电子商务安全技术数字签名技术数字时间戳是一个经加密后形成的凭证文档，它包括三个部分：一是需加时间戳的文件的摘要；二是DTS收到文件的日期和时间三是DTS的数字签名。数字时间戳第5章电子商务安全交易电子商务安全技术数字证书

数字证书又称为数字凭证，数字标识是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件证书的版本信息；证书的序列号；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。X.509数字证书包含第5章电子商务安全交易电子商务安全技术数字证书

（1）个人身份证书（2）个人Email证书（3）单位证书（4）单位Email证书（5）应用服务器证书（6）代码签名证书数字证书的类型（1）证书的颁发（2）证书的更新（3）证书的查询（4）证书的作废（5）证书的归档认证中心的作用《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（二）数字证书1.数字证书的定义数字证书又称为数字凭证、数字标识。是由CA证书授权中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以用它来证明自己在互联网中的身份或识别对方的身份。证书的格式遵循ITU的X.509国际标准，数字证书包含以下内容。（1）证书拥有者的姓名。（2）证书的版本信息。（3）证书的序列号，同一身份验证机构签发的证书序列号唯一。（4）证书所使用的签名算法。（5）证书发行机构的名称。（6）证书的有效期限。（7）证书所有人的公开密钥。（8）证书发行者对证书的签名。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编2．数字证书的分类从数字证书的应用角度来看，数字证书可以分为服务器证书、电子邮件证书和客户端证书。3．数字证书的应用一般来说，用户要携带有关证件到各地的证书受理点，或者直接到证书发放机构填写申请表并进行身份审核，审核通过后交纳一定费用就可以得到装有证书的相关介质（磁盘或Key）和一个写有密码口令的密码信封。用户在需要使用证书的网上进行操作时，必须准备好装有证书的存储介质。（1）下载根证书（2）申请数字证书（3）安装数字证书（4）应用数字证书《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编小贴士:

根证书根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明用户对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即结束。所以说用户在使用自己的数字证书之前必须先下载根证书。支付宝数字证书支付宝数字证书是使用支付宝账户资金的身份凭证之一，加密用户的信息并确保账户和资金安全。用户申请后，当进行付款、确认收货等资金操作时，就会验证电脑上是否安装了数字证书。即使用户的账号被盗，对方没有相应的数字证书也就动不了用户的资金了。电子商务安全技术信息加密与数字认证的综合应用《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（二）消息认证概述数字签名原理示意图

《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编5.3电子商务安全交易协议（一）传输层安全协议——SSL1.秘密性：使用对称密钥实现数据加密，确保连接安全。2.完整性：使用安全的哈希函数如MD5、SHA等计算校验码，确保了信息的完整性和可靠性连接。3.认证性：通过非对称加密技术实现身份验证。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（一）认证中心在电子交易中，无论是时间戳服务还是数字证书的发放，都不是靠交易双方自己能完成的，而是需要一个具有权威性和公正性的第三方机构来完成。认证中心就是承担网上安全电子交易认证服务、签发数字证书并能确认用户身份的服务机构。1．认证中心的功能（1）证书的颁发。（2）证书的更新。（3）证书的查询。（4）证书的作废（5）证书的归档。2．CA的国内外发展状况我国的CA认证市场到目前为止仍处于市场培育时期，具体体现为签发证书数量少，证书使用场合少等情况。目前，国内CA认证市场主要由行业或地方政府部门建立的认证中心构成。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编（二）应用层安全协议——SET

安全电子交易（secureelectronictransaction，SET）协议，是由MasterCard和Visa联合Netscape、Microsoft等公司，于1997年6月1日推出的，该协议主要是为了实现更加完善的即时电子支付。SET协议是B2C基于信用卡支付模式而设计的，它在保留对客户信用卡认证的前提下，增加了对商家身份的认证；凸显客户、商家、银行之间通过信用卡交易的数据完整性和不可抵赖性等优点，因此，它成为目前公认的信用卡网上交易国际标准。

SET交易过程中要对商家、客户、支付网关等交易各方进行身份认证，因此，其交易过程相对复杂。在SET协议中，参与交易的主要有4种实体：持卡人（消费者）、在线商家、收单银行、发卡银行，如图所示。SET交易流程示意图（三）SSL协议和SET协议的对比

对比项SSL协议SET协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分浏览器和服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包等进行付款，因此在使用前，必须先下载电子钱包等软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄露安全需求高，因此所有参与交易的成员—客户、商家、支付网关、网上银行都必须先申请数字证书来认证身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其购物和支付更加放心《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编法律制度管理

2004年8月28日全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》。签名法是我国推进电子商务发展，扫除电子商务发展障碍的重要步骤。该法被认为是中国首部真正电子商务法意义上的立法。2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过《电子认证服务管理办法》，自2005年4月1日起施行。2009年4月，央行、银监会、公安部和国家工商总局联合发布《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》，国家监管部门开始真正着手加强第三方支付企业的监管。2010年6月1日国家工商总局出台的《网络商品交易及有关服务行为管理暂行办法》明确规定，通过网络从事商品交易及有关服务行为的自然人，应提交其姓名和地址等真实身份信息。2010年6月21日中国人民银行出台了《非金融机构支付服务管理办法》，要求第三方支付公司必须在2011年9月1日前申请取得《支付业务许可证》，且全国性公司注册资本最低为1亿元。该《办法》的出台意在规范当前发展迅猛的第三方支付行业。《电子商务概论》（第2版）人民邮电出版社白东蕊岳云康主编实训案例实训一Office加密方式及文件保护实训二安全电子邮件的发送与接收《电