项目二 电子商务安全应用与法律法规.ppt

1、电子商务概论,项目二 电子商务安全应用与法律法规,项目二 电子商务安全应用与法律法规,任务三 个人电子商务安全与防范,任务四 企业电子商务安全与防范,任务五 电子商务与法律案例分析,任务驱动,任务五 电子商务与法律案例分析,任务五 电子商务与法律案例分析,任务五 电子商务与法律案例分析,任务五 电子商务与法律案例分析,项目二 电子商务安全应用与法律法规,一 电子商务安全问题和安全需求,二 电子商务安全技术,三电子商务安全案例分析,任务目标,一.电子商务安全问题和安全需求,1.电子商务面临的安全问题,2电子商务的安全需求,3电子商务安全体系,1.电子商务面临的安全问题,（1）信息传输风险：网上交

2、易时，因传输的信息失真或者信息被非法窃取、篡改、或丢失，而导致交易的损失。主要来自几个方面： 一、信息的篡改 二、信息的截获和窃取 三、信息假冒 四、信息中断,（2）信用风险：由于买卖双方在电子交易中信用缺失，导致的损失。 一、买方信用风险：如恶意透支、伪造证书、拖延付款时间等； 二、卖方信用风险：如拖延发货、不在约定地点交易、产品质量问题等。 三、买卖双方都存在抵赖现象：如否认订单信息、改变商品价格等。,（3）管理风险：主要体现在交易流程管理风险、人员管理风险、交易技术管理风险等方面。 （4）法律风险：由于电子商务相关法律法规的不完善或滞后而无法保证合法交易的权益，产生交易损失。,2 电子商

3、务的安全需求,电子商务面临的威胁和风险，导致了对电子商务的安全需求。在从事电子商务的活动中，在国际和国内现有法规的约束下和现有电子商务管理人员的操作下，在一定时期、一定范围内，电子商务安全关系到网络中的系统安全和交易数据、电子支付的完整性。这决定了从事电子商务的几个安全要求：,（1）机密性。电子商务的信息直接代表着个人、企业或者国家的商业或政治机密，要预防信息在传输过程中被非法窃取。机密性主要通过加密技术来实现。 （2）完整性。预防交易信息随意生成、修改和删除，预防数据在传输过程中丢失。完整性一般通过数字摘要技术来,（3）认证性。电子商务以电子形式取代了纸张，在交易过程中必须对交易者的身份加以

4、确认，以保证交易主体的合法性，保证交易数据在确定的时间、确定的地点是有效的。认证性主要是通过数字证书来实现的。 （4）不可抵赖性。在无纸化的电子交易中，由于网络的开放性和虚拟性，必须对交易的个体或组织进行身份确认，防止交易双方的抵赖。不可抵赖性一般通过数字签名技术来实现,3 电子商务安全体系,通过对电子商务面临的安全风险和电子商务的安全需求两个问题进行的分析，我们可以明确对电子商务的安全管理，应当采用综合防范的思路，从网络技术、认证技术、管理、法律等多个方面去思考。建立一个完整的电子商务安全体系,二 电子商务安全技术,1.防火墙技术 2.数据加密技术 3.数字签名 4.数字证书和CA认证中心

5、5安全交易协议：SSL,SET,1.防火墙技术,案例 某法院网络安全案例 【案例背景】 随着某市中级法院电子政务广域网络平台的搭建，网络安全日益成为影响网络效能的重要问题，由于广域网络自身所具有的开放性和自由性等特点，在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和病毒的入侵，已成为政府部门信息化健康发展所要考虑的重要问题。,为了加强网站和内部网络的安全性，某市中院决定制定一整套网络安全策略，应用相应的网络安全产品，真正做到有备无患。 该市中级人民法院广域网系统，主要包括市中级法院广域网络中心节点（1个）、个区级法院，并实现了其他相关安全防御系统和相应6个本地网络的

6、接入，最终构成一个安全、可靠、高效的分布式广域网络的法院电子政务系统支持平台。,该市中级法院广域网络系统以市中级法院为核心、个区级法院本地子网为节点，整个广域网络拓扑是一个典型的“星形”结构。广域网的核心是中级法院局域网的Cisco7505路由器。该市中级法院广域网络系统是基于计算机、网络通信、信息处理技术、网络安全管理技术，并融入已建成的市中级人民法院信息系统，组成了一个高性能、大容量、高带宽的信息处理系统平台。广域网信息平台上传输的信息包括数据库信息、监控系统信息、图形信息、文本信息以及将来可扩展的语音、视频信息等等各种信息。,问题： 针对该法院的基本情况和业务需求，为了保障其网络安全，应

7、采用哪些方法可以解决该法院的网络安全问题呢？,【案例分析】,（1）首先调整原有的网络结构，在广域网各个单位之间出口处安装了防火墙，并对中级人民法院核心节点对外提供服务的服务器群用RJ-iTop型联动式网络隐患扫描系统定期进行扫描，通过RJ-iTop型联动式扫描服务器及时对服务器群进行重点保护，并通过RJ-iTop型联动式手持扫描仪对各个分散的系统和设备进行扫描。 （2）安装入侵检测系统，在防火墙的后面增加另一道安全防线，辅助防火墙进行入侵检测，进一步加强对服务器的保护，一旦有黑客透过防火墙对系统发起攻击，及时报警并切断攻击行为。 （3）加装防病毒系统防止病毒通过电子邮件、HTTP、FTP等方式

8、进入该市中级法院广域网络中，通过适当配置，病毒过滤网关在完成对进出网流的病毒检测之后，对带毒文件进行杀毒或其他处理。这种工作模式极大程度地控制了病毒的传染途径，因此保证了系统的安全。 （4）除安装以上软硬件产品外，企业充分考虑了在安全防范中人的因素，通过提供详细的安装和使用说明，与网站管理员共同协商制定安全制度，实施定期的巡视服务，避免由于人员疏忽造成安全隐患。,防火墙：防火墙是指隔离在本地网络与外界网络之间的一道防御系统，通过它可以隔离风险区域，即(Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。,防火墙,防火墙的主要功能,能做什么？ 安全把

9、关 集中化安全管理 对网络访问进行记录和统计 控制对特殊站点的访问,不能做什么？ 不能防范内部入侵 不能防范新的威胁 控制不够精确,防火墙的技术分类,1包过滤防火墙 2代理防火墙,2.数据加密技术,加密的基本概念 加密与解密 所谓加密就是通过密码算术对数据（明文）进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。 解密是加密的逆过程。 最常见的方法：私有密钥加密方法和公开密钥加密方法,A私有密钥加密方法,a. 原理： 信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。 由于这对密钥不能被第三方

10、知道，所以叫做私有密钥加密方法。 由于双方所用加密和解密的密钥相同，所以又叫做对称密钥加密法。,私有密钥加密示意图,明文,密文,锁,明文,密钥,加密过程,解密过程,由于对称密钥加密法需要在通信双方之间约定密钥，一方生成密钥后，要通过独立的安全的通信送给另一方，然后才能开始进行通信。 这种加密方法在专用网络中使用效果很好，速度快，因为通讯各方相对固定，可以预先约定好密钥。,具体在电子商务网络支付时的应用,银行内部专用网络传送数据一般都采用DES算法加密，比如传送某网络支付方式用的密码。军事指挥网络上一般也常用这种密钥加密法。 缺点：与多人通讯的时候需要太多密钥。,2.公开密钥密码体制,典型的公钥

11、加密的算法：RSA 1RSA算法的原理 这种算法的要点在于，它可以产生一对密钥，一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。同时，任何人都无法通过公钥确定私钥，也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。,公开密钥加密算法是完全公开的，加密的关键是密钥，用户只要保存好自己的私人密钥，就不怕泄露。 商家采用这种算法生成这两个密钥后，将其中的一个保存好，叫做私人密钥，将另外一个密钥公开散发出去，叫做公开密钥，任何一个收到公开密钥的客户，都可以用此公开密钥加密信息，发送给商家,这些信息只能被这个商家的私人密钥解密。只要商家没有将私人密钥泄露给

12、别人，就能保证发送的信息只能被这位商家收到。,非对称加密的作用：两位用户之间要相互交换信息，需要各自生成一对密钥，将其中的私人密钥保存好，将公开密钥发给对方。交换信息时，发送方用接收方的公开密钥对信息加密，只能用接收方的私人密钥解密，他们之间可以在无保障的公开网络中传送信息，而不用担心信息被窃取,三 数字签名,RSA用于身份验证和数字签名 数字签名必须保证以下3点： l接收者能够核实发送者对报文的签名。 l发送者事后不能抵赖对报文的签名。 l接收者不能伪造对报文的签名。 现在已有多种实现各种数字方法，但签名的采用公开密钥算法要比常规算法更容易实现。,数字签名技术是将摘要用发送者的私钥加密，与原

13、文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 其实就是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手工签名或印章的作用,相关知识1：数字摘要,发送者对被传送的一个信息报文根据某种数学算法算出一个信息报文的摘要值，并将此摘要值与原始信息报文一起通过网络传送给传送者，接收者应用此摘要值检验信息报文在网络传送过程中有没有发生改变，以此判断信息报文的真实与否,数字签名与验证过程,数字签名的过程 1）签名阶段 发送方将原文通过HASH函数运算生成数字摘要，再对生成的数字摘要用其签名的私钥对其进行非对称加密得到数字签名，发送方将原文与数字签名一起发送给接收方。

14、 （2）验证 接收方验证签名，即用发送方的公钥解密数字签名，得出数字摘要；接收方将原文采用同样的HASH算法又得到一新的数字摘要，将两个数字摘要进行比较，同样则签名得到验证。否则无效。,数字签名的作用,第一，身份的真实性 第二，数据的完整性 第三，不可否认性,相关知识2：数字时间戳,在电子商务交易中，时间和签名同等重要。数字时间戳（DTS）是由专门机构提供的电子商务安全服务项目，用于证明信息的发送时间。,获得数字时间戳的过程示意图,原文,摘要,摘要,摘要+ 时间,加了时间 后的新摘要,数字时 间戳,数字时 间戳,发送方,DTS机构,HASH 算法,HASH 算法,用DTS机构的私钥加密,int

15、ernet,加时间,案例：电子签名法首次用于庭审,北京市民杨某状告韩某借钱不还，并将自己的手机交给法庭，以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据？2005年6月3日，海淀法院3名法官合议审理了这起电子签名法出台后的第一案。 2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借

16、款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。,为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部，其中记载了部分短信息内容。如：2004年8月27日15：05，“那就借点资金援助吧”。2004年8月27日15：13，“你怎么这么实在！我需要五千，这个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法见，你要是资助就得汇到我卡里！”等韩某发来的18条

17、短信内容。,韩某的代理人在听完短信内容后，否认发送短信的手机号码属于韩某，并质疑短信的真实。法官提醒他，在前次开庭时，法官曾当着双方拨打了该手机号码，接听者正是韩某本人。韩某也承认，自己从去年七八月份开始使用这个手机号码。 法院经审理认为，依据最高人民法院关于民事诉讼证据的若干规定中的关于承认的相关规定，1391173XXXX”的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，故法院确认该号码系韩女士使用。,依据2005年4月1日起施行的中华人民共和国电子签名法中的规定，“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以

18、电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。” 移动电话短信息即符合电子签名、数据电文的形式。 经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。,电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。 从韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女

19、士汇款5000元；2004年9月7日韩女士提出借款6000元的请求，2004年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。,杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本

20、院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。,在本案中，针对主要证据手机短信息，法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性，在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下，同时又没有相反的证据足以否定这些证据的证明力的情况下，认可了这些手机短信息的证据力。 在电子签名法出台之前，可以说有很多类似的案例，主要是针对电子邮件能否作为证据的，由于缺乏直接的法律规定，为此上海高院还专门出台了相关的解释，这种情况随着电子签名法的出台得到了根本的改变。,本案是我国电子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味着

21、我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。,四 数字证书与CA认证,数字证书 数字证书（Digital Certificate）是一种数字标识，提供的是网络上的身份证明,可以说是因特网上的安全护照。数字证书拥有者可以将其证书提供给其他人，Web站点以及网络，以证实他的合法身份，并且与对方建立加密的可信的通信。 数字证书是由权威的、可信赖的、公正的第三方机构认证中心（CA）颁发给网上用户的，其包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，

22、所以常常把它比喻为电子身份证。,基本原理 数字证书利用一对互相匹配的密钥进行加密解密。每个用户自己设定一把特定的仅为本人所知道的私钥，用它进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接受方的公钥对数据加密，而接受方则使用自己的密钥解密，这样信息就可以安全无误的到达目的地，即时被第三方截获。由于没有相应的私钥，也无法解密。,拓展知识： 正确使用和保管你的数字证书,数字证书用来保证网银交易安全。靠数字证书/电子签名来阻止黑客的诈骗行为。 数字证书/电子签名机制是利用先进的公钥密码技术，解决网上信息传递中的真实性、保密性、完整性

23、和不可否认性的问题。黑客在没有掌握数字证书/私钥的情况下，一是无法和银行网站服务器完成加密通信，二是无法实施电子签名，对交易信息进行确认。由于缺少了交易的必要条件，银行也就拒绝进行网银交易。,数字证书可以存储在硬盘里，但这种存储方式不太保险，因为硬盘中的数字证书/私钥可能被木马盗取。安全的方式是把数字证书/私钥存储在USB Key里，USB Key客户可以随身携带，只有在做网银交易时，把USB Key才插到电脑的USB插口上，用完后就拔走。现在各家银行都在发行USB Key数字证书，要求客户在做网银交易时选择使用这种数字证书。,USB Key证书的安全性 USB Key具有一定的计算机的功能，

24、USB Key芯片中的CPU就是一台小小的计算机。产生公私密钥对的程序是USB Key生产者烧制在芯片中的只读存储器ROM中的，密码算法程序也是烧制在ROM中。公私密钥对在USB Key中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。木马也就窃取不到。从物理上讲，对USB Key芯片中的内容作整体拷贝也是几乎不可能的。现在业界对USB Key生产商的技术要求很高，国际上能够生产智能卡的公司只有少数几家，他们都采用了种种安全措施，确保智能卡内部的数据不能用物理方法从外部拷贝。,有些不合格的USB Key产品实际上只是不含CPU的存储型USB Key，它仅仅具有存储功能

25、，和U盘一样。这种USB Key安全性较差，因为芯片内不含CPU，数据的加密、签名要送到用户电脑主机去做，这样，被加密的明文数据就会出现在USB Key接口上，可能遭到黑客的截获。因此，各家银行在推出自己的USB Key证书前，都会到权威的检测机构去进行USB Key安全性检测，取得合格后方可推行。用户不必对此顾虑。从以上的分析中，我们可以得出结论：数字证书/电子签名是保证网银交易安全的可靠措施。而USB Key证书更是您的安全守护者，请注意使用和保管。,正确使用和保管你的数字证书 有几条措施我们应牢记：首先，开展网银交易一定要向银行申领数字证书，这一点是毋庸置疑的。一些银行在开展网银业务之初

26、，曾经推出过所谓“大众版”或“普及版”的业务，只是使用“用户名+口令密码”的认证方式，但随着网银欺诈案件的增加，这种容易被黑客攻破，安全强度很低的认证方式已经逐渐被淘汰。现在，几乎所有银行都会建议你使用数字证书。,硬盘证书使用方便，不需要随身携带，而且银行一般对此不收费。但在安全性上有其弱点；而USB Key证书的优点是安全性高，不会被木马盗取，但需要随身携带，银行还要收取一定的费用。 建议根据用户网银交易的重要程度来选取证书的介质。如果你的帐户存款和网银交易都是小额，可以选择硬盘证书。但如果网银交易金额比较大，达到数万、数十万元或更多，最好是申领USB Key证书。 USB Key证书在不同

27、银行有着不同的商品名，价格大致在50元至80元之间不等，主要是USB Key的硬件成本。,第二，使用USB Key证书要养成良好的习惯，网银交易时插上USB Key证书，用完后随手拔掉USB Key，以免被他人冒用。第三，妥善保管你的USB Key证书，防止遗失。万一不幸遗失或被盗，要立即到银行挂失。这时银行会为你重发一张证书，并把原来的证书作废。新证书中的公私密钥对是重新生成的，别人即使捡到原有的证书也没有用，密钥换了，网银交易便无法完成。,登录后，点击证书申请，选择试用型个人数字证书申请。需要强调的是，只有安装了根证书的计算机，才能完成后面的申请步骤和正常使用其在CA中心申请的数字证书。,

28、数字证书流程,申请地址 第一步 网证通数字证书申请,按照提示，通过地址 选择“安装试用CA证书链”。安装成功可以看到一个表单。 按照表单上的提示，输入完整的个人资料。选择加密服务提供程序 CSP 负责创建密钥、吊销密钥，以及使用密钥执行各种加、解密操作。当读者使用特别的数字证书存储介质（如：智能 IC 卡或 USB 电子令牌）存储数字证书及其相应的私有密钥时，请在“加密服务提供程序（CSP）”下拉框中选择该存储介质生产厂商提供的CSP。 我们可以选择：“Microsoft Enhanced Cryptographic Provider V1.0”,进行上述步骤以后，系统将发一封申请成功的信件到

29、申请时使用的邮箱内，其中包括业务受理号 密码 数字证书下载的地址。,点击数字证书下载地址，填写业务受理号和密码。提交后，可以得到如下图所示的信息,数字证书在哪里呢？其实微软IE浏览器自带一个数字证书管理器，通过这个管理器我们可以查看数字证书。,首先在打开Internet Explorer,在Internet Explorer的菜单上，单击工具菜单中的internet选项。选取内容选项卡。点击证书按钮来查看当前证书的列表。点击个人选项卡可以查看已经申请的个人数字证书。下面是申请的免费证书，可以参考。,选定要查看的个人数字证书，然后单击“查看”按钮，可以查看证书的详细信息 下面就是一个数字证书的详

30、细信息列表,支付宝数字证书的申请 （1）登陆支付宝网站（），登陆支付宝账户，依次选择“安全中心”“安全产品”。 （2）选择安装数字证书助手的ActiveX控件。 （3）输入身份证号码、使用地点和验证码 。 （4）输入收到的短信验证码 。 （5）提示“数字证书已经安装成功”。,试一试：,认证中心(CA),认证中心（CA） 在电子商务的安全系统中，如何证明数字证书的真实性呢？这就要靠权威公正的第三方来证实该证书确属于真正的信息发送者。CA认证中心就是这样的一个第三方，他是一个权威的机构，专门验证通讯双方的身份，可以确保用户的身份及他所持有密钥的正确匹配，用来确认公钥拥有人的真正身份。,CA认证体系

31、结构,认证是采用层级式的架构，而无论付款人，收款人或收单银行都需要经过认证才能参与交易。如果甲想和乙通信，他首先必须从数据库中取得乙的证书，然后对它进行验证。如果他们使用相同的CA，事情就简单了。甲只需要验证乙证书上得CA签名；如果他们使用的是不同的CA，甲必须从CA的树形结构底部开始。从底部CA往上层CA查询，一直追踪到同一个CA为止，找出共同信任CA。,五电子支付协议 SET协议是英文Secure Electronic Transaction的缩写，被译为安全电子交易协议，是由世界上两大信用卡公司VISA和Mater Card联合推出的网上信用卡交易的模型和规范。SET是开放的，是一个为在

32、线交易而开发的，SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。,SET协议的应用流程示意图,SET协议的特点：在SET开始介入后的处理中，对通信协议，请求信息的格式，数据类型的定义等，SET都有明确的规定。 以SET协议为基础的支付流程每一步都有严格的规范，并大量利用密钥加密法，私有密钥加密法，数字证书，数字摘要，数字签名，双重数字加密等安全技术，同时在每一步，消费者，商家，支付网关都需要通过CA来验证交易各方身份，以确保通信的对方不是冒名顶替。,不足：协议复杂，使用成本较高，客户端必须安装“电

33、子钱包”软件才能使用。 同时在SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名，4次对称加密和4次非对称加密。整个交易花费时间1.5到2分钟，交易效率低。,SSL协议（Secure Socket Layer，安全套接层）是由网景（Netscape）公司1994年设计开发推出的一种安全通信协议，主要用于提高应用程序之间的数据的安全系数，此协议对应于计算机网络OSI体系结构中的会话层，他是对计算机间整个会话进行加密的协议，SSL广泛应用于互联网上敏感信息的安全传输。,SSL可以分为两层： 握手层 记录层,（1）SSL握手协议 是客户机和服务器之间交换消息强化安全性

34、的协议，它支持通信双方的身份验证，会话密钥的确定以及加密算法等。握手协议是在任何应用程序数据传输之前使用的。 （2）SSL记录协议 定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送的。,SSL层（SSL握手协议/SSL记录协议）,TCP/IP协议,网络接口层（各种局域网和广域网）,应用层协议（http,smtp,ftp,telnet,imap等）,应用层,网络层,SSL协议的协议层次图,使用SSL安全机制时候，首先客户端要与服务器建立连接，服务器把他的数字证书与公共密钥一并发送给客户端，客户端随即生成会话密钥，用从服务器中得到的公共密

35、钥对会话密钥进行加密，并把会话密钥在网络上传递服务器，而会话密钥只要在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。,SSL的特点： SSL协议实现简单，独立与应用层协议，而且大部分的web浏览器以及主要的服务器都支持SSL协议，以便于在电子交易中应用，国际著名的信用卡支付系统就是支持这种简单加密模式。,缺点： 第一 因为他是一个面向连接的协议，是针对点对点通信设计的，只能提供交易中客户与服务器间双方认证。而电子商务的支付系统是涉及多方面的，SSL协议不能对电子商务中支付各方提供信任关系，只能确保数据传输安全，不能实现多方认证,第二 SSL只能保证资料传递过程的

36、安全，而传递是否有人截取就无法保证了。 第三 系统的安全性差，SSL协议的数据安全性其实就是建立在非对称加密支持的算法的安全性之上的，因此，从本质上说，攻破了RSA算法等同于攻破了此协议。,付款人,收款人,支付 网关,收单行,发卡行,认证中心,交易,支付授权,转账请求,认证,认证,信用卡在线支付SSL模式工作流程,三 电子商务安全案例分析,案例1：电子商务网络诈骗 某天，雅宝竞价交易网的客户服务中心收到了一封email。一位山东泰安的王先生反映：他在网上通过竞价的方式购买了一部nokia8810手机，他汇款给卖主之后，就和这位名叫kiss590069的物主失去了联系。雅宝客户服务中心根据王先生提供的线索，查找之后发现：网名kiss590069的物主的所有注册信息的真实性都值得怀疑，并且该物主同时有4个物品在网上拍卖，都是手机，竞标的人非常多，物主的留言也很有吸引力。于是，雅宝初步认定这是