第11章電子商務(wù)安全技術(shù)

1、第第1111章章 電子商務(wù)安全電子商務(wù)安全 11.2 11.2 電子商務(wù)電子商務(wù)的安全技術(shù)和標準的安全技術(shù)和標準211.3 11.3 構(gòu)建基于構(gòu)建基于SSLSSL和和WebWeb安全安全站點站點 311.4 11.4 電子商務(wù)安全解決方案電子商務(wù)安全解決方案4 11.1 11.1 電子商務(wù)安全概述電子商務(wù)安全概述 1 11.5 11.5 數(shù)字證書獲取與管理實驗數(shù)字證書獲取與管理實驗 5 11.6 11.6 本章小結(jié)本章小結(jié) 6目目 錄錄n 11.1.1 11.1.1 電子商務(wù)安全的概念電子商務(wù)安全的概念 電子商務(wù)的核心電子商務(wù)的核心是通過信息網(wǎng)絡(luò)技術(shù)來傳輸商業(yè)信息和進是通過信息網(wǎng)絡(luò)技術(shù)來傳輸商

2、業(yè)信息和進行網(wǎng)絡(luò)交易，電子商務(wù)系統(tǒng)是一個計算機系統(tǒng)，行網(wǎng)絡(luò)交易，電子商務(wù)系統(tǒng)是一個計算機系統(tǒng)，電子商務(wù)安全電子商務(wù)安全性性是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子是一個系統(tǒng)的概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。商務(wù)應(yīng)用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。 電子商務(wù)對安全的基本要求電子商務(wù)對安全的基本要求： 1) 授權(quán)的合法性授權(quán)的合法性 2) 不可抵賴性不可抵賴性3) 信息的保密性信息的保密性4) 交易者身份的真實性交易者身份的真實性5) 信息的完整性信息的完整性6) 存儲信息的安全性（機密性、完整性、可用性、可控性存儲信息的安全性（機密性、

3、完整性、可用性、可控性和可審查性）和可審查性）11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 計算機網(wǎng)絡(luò)安全的內(nèi)容計算機網(wǎng)絡(luò)安全的內(nèi)容包括：計算機網(wǎng)絡(luò)實體安全、計算機網(wǎng)絡(luò)包括：計算機網(wǎng)絡(luò)實體安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全和運行安全等。在前幾章曾經(jīng)介紹過計算機網(wǎng)系統(tǒng)安全、數(shù)據(jù)庫安全和運行安全等。在前幾章曾經(jīng)介紹過計算機網(wǎng)絡(luò)安全的內(nèi)容，其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，絡(luò)安全的內(nèi)容，其特征是針對計算機網(wǎng)絡(luò)本身可能存在的安全問題，實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標、保實施網(wǎng)絡(luò)安全增強方案，以保證計算機網(wǎng)絡(luò)自身的安全性為目標、保證信息安全為證信息安全為核心核心。

4、 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性利進行。即實現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。和不可抵賴性。 電子商務(wù)安全電子商務(wù)安全具體具體涉及涉及五個方面：五個方面： 1) 電子商務(wù)系統(tǒng)硬件電子商務(wù)系統(tǒng)硬件(物理物理)安全。安全。 2) 電子商務(wù)系統(tǒng)軟件安全。電子商務(wù)系統(tǒng)軟件安全。 3) 電子商務(wù)系統(tǒng)運行安全。電子商

5、務(wù)系統(tǒng)運行安全。 4) 電子商務(wù)交易安全。電子商務(wù)交易安全。 5) 電子商務(wù)安全立法。電子商務(wù)安全立法。11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 n 11.1.1 11.1.1 電子商務(wù)安全的概念電子商務(wù)安全的概念 電子商務(wù)的電子商務(wù)的交易雙方都面臨著安全威脅交易雙方都面臨著安全威脅。主要包括。主要包括以下幾個方面：以下幾個方面： 1. 1. 銷售企業(yè)面臨的威脅銷售企業(yè)面臨的威脅 （1 1）中央系統(tǒng)安全性被破壞）中央系統(tǒng)安全性被破壞 （2 2）競爭者檢索商品遞送狀況）競爭者檢索商品遞送狀況 （3 3）客戶資料被競爭者獲?。┛蛻糍Y料被競爭者獲取 （4 4）被他人假冒而損害公司的信譽）被他人

6、假冒而損害公司的信譽 （5 5）消費者提交訂單后不付款）消費者提交訂單后不付款 （6 6）虛假訂單）虛假訂單 （7 7）獲取他人的機密數(shù)據(jù)）獲取他人的機密數(shù)據(jù)n 11.1.2 11.1.2 電子商務(wù)的安全威脅電子商務(wù)的安全威脅 11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 消費者面臨的安全威脅消費者面臨的安全威脅主要包括：主要包括： （1 1）虛假訂單）虛假訂單 （2 2）付款后不能收到商品）付款后不能收到商品 （3 3）機密性喪失）機密性喪失 （4 4）拒絕服務(wù)）拒絕服務(wù) 2013年年7月在婺城區(qū)檢察院受理的月在婺城區(qū)檢察院受理的一起特大電信詐騙案一起特大電信詐騙案中中,犯罪嫌疑人毛犯罪嫌

7、疑人毛X伙同其他人伙同其他人,假扮建設(shè)銀行或建設(shè)銀行下屬信貸公司工作假扮建設(shè)銀行或建設(shè)銀行下屬信貸公司工作人員人員,以發(fā)放建設(shè)銀行低息貸款為名以發(fā)放建設(shè)銀行低息貸款為名,騙取被害人信任騙取被害人信任,要求被害人開通建設(shè)要求被害人開通建設(shè)銀行網(wǎng)銀銀行網(wǎng)銀,并存入貸款金額的并存入貸款金額的30%作為驗資金。之后作為驗資金。之后,將偽裝成貸款申請表將偽裝成貸款申請表格的超級網(wǎng)銀授權(quán)木馬程序發(fā)送給被害人格的超級網(wǎng)銀授權(quán)木馬程序發(fā)送給被害人,該木馬程序能在被害人填寫完成該木馬程序能在被害人填寫完成表格后授權(quán)毛燦開通超級網(wǎng)銀表格后授權(quán)毛燦開通超級網(wǎng)銀,并通過網(wǎng)上銀行將被害人的驗資款轉(zhuǎn)走。經(jīng)并通過網(wǎng)上銀行將

8、被害人的驗資款轉(zhuǎn)走。經(jīng)查查,該案被害人遍布廣東、湖南、浙江、上海、陜西、黑龍江等省份該案被害人遍布廣東、湖南、浙江、上海、陜西、黑龍江等省份,涉案涉案金額高達金額高達900多萬元。多萬元。 2. 消費者面臨的安全威脅消費者面臨的安全威脅案例案例11-111-111.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 3. 3. 電子商務(wù)風(fēng)險及安全問題電子商務(wù)風(fēng)險及安全問題 從整個電子商務(wù)系統(tǒng)著手分析，可以將從整個電子商務(wù)系統(tǒng)著手分析，可以將電子商務(wù)的電子商務(wù)的安全安全問題歸結(jié)問題歸結(jié)四類風(fēng)險四類風(fēng)險：數(shù)據(jù)傳輸風(fēng)險、信用風(fēng)險、管數(shù)據(jù)傳輸風(fēng)險、信用風(fēng)險、管理風(fēng)險和法律方面風(fēng)險。理風(fēng)險和法律方面風(fēng)險。 電子商

9、務(wù)的安全性電子商務(wù)的安全性主要包括五個方面：主要包括五個方面：系統(tǒng)的可靠系統(tǒng)的可靠性、交易的真實性、數(shù)據(jù)的安全性、數(shù)據(jù)的完整性、交性、交易的真實性、數(shù)據(jù)的安全性、數(shù)據(jù)的完整性、交易的不可抵賴性。易的不可抵賴性。 商務(wù)安全中普遍存在著以下幾種商務(wù)安全中普遍存在著以下幾種安全風(fēng)險和隱患安全風(fēng)險和隱患： （1 1）竊取信息）竊取信息 （2 2）篡改信息）篡改信息 （3 3）假冒）假冒 （4 4）惡意破壞）惡意破壞 電子商務(wù)的安全交易電子商務(wù)的安全交易主要主要保證保證四個方面：四個方面： （1 1）信息保密性）信息保密性 （2 2）交易者身份的確定性）交易者身份的確定性 （3 3）不可否認性）不可否認

10、性 （4 4）不可修改性）不可修改性 11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 1. 1. 電子商務(wù)的安全素電子商務(wù)的安全素 （1 1）交易數(shù)據(jù)的有效性）交易數(shù)據(jù)的有效性 （2 2）商業(yè)信息的機密性）商業(yè)信息的機密性 （3 3）交易數(shù)據(jù)的完整性）交易數(shù)據(jù)的完整性 （4 4）商務(wù)系統(tǒng)的可靠性）商務(wù)系統(tǒng)的可靠性 （5 5）交易的不可否認性）交易的不可否認性 EC EC系統(tǒng)提供系統(tǒng)提供可靠的安全服務(wù)可靠的安全服務(wù)包括：包括：鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)、不可否認服鑒別服務(wù)、訪問控制服務(wù)、機密性服務(wù)、不可否認服務(wù)等。務(wù)等。11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 2 2電子商務(wù)的安全

11、內(nèi)容電子商務(wù)的安全內(nèi)容 電子商務(wù)的安全內(nèi)容電子商務(wù)的安全內(nèi)容主要包括主要包括4 4個方面。個方面。 （1 1）網(wǎng)絡(luò)安全技術(shù)；）網(wǎng)絡(luò)安全技術(shù)； （2 2）安全協(xié)議及相關(guān)標準規(guī)范；）安全協(xié)議及相關(guān)標準規(guī)范； 1 1）安全超文本傳輸協(xié)議）安全超文本傳輸協(xié)議 2 2）安全套接層協(xié)議）安全套接層協(xié)議SSL SSL 3 3）安全交易技術(shù)協(xié)議）安全交易技術(shù)協(xié)議STTSTT 4 4）安全電子交易）安全電子交易SETSET協(xié)議、協(xié)議、UN/ EDIFACTUN/ EDIFACT安全等安全等 （3 3）大力加強安全交易監(jiān)督檢查，建立健全各項規(guī)）大力加強安全交易監(jiān)督檢查，建立健全各項規(guī)章制度和機制；章制度和機制；

12、（4 4）強化社會的法律政策與法律保障機制，健全法）強化社會的法律政策與法律保障機制，健全法律制度和完善法律體系。律制度和完善法律體系。 11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 電子商務(wù)安全體系電子商務(wù)安全體系包括包括4 4 個部分：服務(wù)器端、銀個部分：服務(wù)器端、銀行端、客戶端與認證機構(gòu)。行端、客戶端與認證機構(gòu)。 認證機構(gòu)是電子商務(wù)中的認證機構(gòu)是電子商務(wù)中的關(guān)鍵關(guān)鍵，認證機構(gòu)的服務(wù)認證機構(gòu)的服務(wù)通常包括通常包括5 5 個部分：個部分： 1 1）用戶注冊機構(gòu)）用戶注冊機構(gòu) 2 2）證書管理機構(gòu)）證書管理機構(gòu) 3 3）數(shù)據(jù)庫系統(tǒng)）數(shù)據(jù)庫系統(tǒng) 4 4）證書管理中心）證書管理中心 5 5）密鑰

13、恢復(fù)中心）密鑰恢復(fù)中心11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 根據(jù)電子商務(wù)的安全要求，可以構(gòu)建電子商務(wù)的安全體系，根據(jù)電子商務(wù)的安全要求，可以構(gòu)建電子商務(wù)的安全體系，如圖如圖11-111-1所示。所示。 一個完整的一個完整的電子商務(wù)安全體系電子商務(wù)安全體系由網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)層、由網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)層、PKIPKI體體系結(jié)構(gòu)層、安全協(xié)議層、應(yīng)用系統(tǒng)層系結(jié)構(gòu)層、安全協(xié)議層、應(yīng)用系統(tǒng)層4 4部分部分組成組成。 11.1 電子商務(wù)的安全概述電子商務(wù)的安全概述 圖圖11-1 電子商務(wù)安全體系電子商務(wù)安全體系 常用的網(wǎng)絡(luò)安全技術(shù)常用的網(wǎng)絡(luò)安全技術(shù)包括：電子安全交易技術(shù)、包括：電子安全交易技術(shù)、防火墻技術(shù)、硬

14、件隔離技術(shù)、數(shù)據(jù)加密技術(shù)、認證技防火墻技術(shù)、硬件隔離技術(shù)、數(shù)據(jù)加密技術(shù)、認證技術(shù)、安全技術(shù)協(xié)議、安全檢測與審計、數(shù)據(jù)安全技術(shù)、術(shù)、安全技術(shù)協(xié)議、安全檢測與審計、數(shù)據(jù)安全技術(shù)、計算機病毒防范技術(shù)以及網(wǎng)絡(luò)商務(wù)安全管理技術(shù)等。計算機病毒防范技術(shù)以及網(wǎng)絡(luò)商務(wù)安全管理技術(shù)等。 其中，涉及網(wǎng)絡(luò)安全技術(shù)方面的內(nèi)容，前面已經(jīng)進行其中，涉及網(wǎng)絡(luò)安全技術(shù)方面的內(nèi)容，前面已經(jīng)進行了介紹，下面了介紹，下面重點介紹重點介紹一下網(wǎng)上交易安全協(xié)議和安全電子一下網(wǎng)上交易安全協(xié)議和安全電子交易交易SETSET等電子商務(wù)安全技術(shù)。等電子商務(wù)安全技術(shù)。 11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 1. 1. 安全套

15、接層協(xié)議安全套接層協(xié)議SSLSSL 安全套接層協(xié)議安全套接層協(xié)議(Secure Sockets Layer,SSL)(Secure Sockets Layer,SSL)為為一種傳輸層技術(shù)，主要用于實現(xiàn)兼容瀏覽器和一種傳輸層技術(shù)，主要用于實現(xiàn)兼容瀏覽器和Web Web 服服務(wù)器之間的安全通信。務(wù)器之間的安全通信。 SSL SSL 協(xié)議協(xié)議是目前網(wǎng)上購物網(wǎng)站中是目前網(wǎng)上購物網(wǎng)站中經(jīng)常使用的一種經(jīng)常使用的一種安全協(xié)議安全協(xié)議。使用它在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的。使用它在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性，讓瀏覽器和安全性，讓瀏覽器和Web Web 服務(wù)器能夠安全地進行溝通服務(wù)器能夠安全地進行溝通。

16、Microsoft Microsoft 和和Netscape Netscape 的瀏覽器都支持的瀏覽器都支持SSLSSL，很多，很多Web Web 服務(wù)器也支持服務(wù)器也支持SSLSSL。11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 2. SSL2. SSL提供的服務(wù)提供的服務(wù) SSL SSL標準標準主要提供了主要提供了3 3種服務(wù)種服務(wù)： 1 1）數(shù)據(jù)加密服務(wù)）數(shù)據(jù)加密服務(wù) 2 2）認證服務(wù)）認證服務(wù) 3 3）數(shù)據(jù)完整性服務(wù)）數(shù)據(jù)完整性服務(wù) 11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 3. SSL3. SSL工作流程及原理工作流程及原理 SSL SSL 標準的工作

17、流程標準的工作流程主要包括主要包括4 4步：步： 1 1）SSLSSL客戶機向客戶機向SSL SSL 服務(wù)器發(fā)出連接建立請求，服務(wù)器發(fā)出連接建立請求，SSL SSL 服服務(wù)器響應(yīng)務(wù)器響應(yīng)SSLSSL客戶機的請求；客戶機的請求； 2 2）SSLSSL客戶機與客戶機與SSLSSL服務(wù)器交換雙方認可的密碼，一般采服務(wù)器交換雙方認可的密碼，一般采用的加密算法是用的加密算法是RSA RSA 算法；算法； 3 3）檢驗）檢驗SSLSSL服務(wù)器得到的密碼是否服務(wù)器得到的密碼是否正確，并驗證正確，并驗證SSLSSL客戶機的可信程度；客戶機的可信程度； 4 4）SSLSSL客戶機與客戶機與SSLSSL服務(wù)器交換

18、結(jié)束信息。服務(wù)器交換結(jié)束信息。 圖圖11-2 11-2 所示是所示是SSL SSL 標準的工作原理。標準的工作原理。 11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 圖圖11-2 SSL 工作過程工作過程 安全電子交易安全電子交易（Secure Electronic Transaction, SET）是一個通過）是一個通過Internet等開放網(wǎng)絡(luò)進行安全交易的等開放網(wǎng)絡(luò)進行安全交易的技術(shù)標準，技術(shù)標準，SET協(xié)議圍繞客戶、商家等交易各方相互協(xié)議圍繞客戶、商家等交易各方相互之間身份的確認，采用了電子證書等技術(shù)，以保障電之間身份的確認，采用了電子證書等技術(shù)，以保障電子交易的安全。子交

19、易的安全。 SET向基于信用卡進行電子化交易的應(yīng)用，提供向基于信用卡進行電子化交易的應(yīng)用，提供了實現(xiàn)安全措施的規(guī)則。了實現(xiàn)安全措施的規(guī)則。SET主要由主要由3個文件個文件組成組成，分，分別是別是SET業(yè)務(wù)描述、業(yè)務(wù)描述、SET程序員指南和程序員指南和SET協(xié)議描述。協(xié)議描述。 11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 1. SET1. SET的主要目標的主要目標 （1 1）信息傳輸?shù)陌踩裕盒畔⒃谝蛱鼐W(wǎng)上安全傳輸，）信息傳輸?shù)陌踩裕盒畔⒃谝蛱鼐W(wǎng)上安全傳輸，保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被外部或內(nèi)部竊取。保證網(wǎng)上傳輸?shù)臄?shù)據(jù)不被外部或內(nèi)部竊取。 （2 2）信息的相互隔離：訂單信息和個人賬

20、號信息的隔）信息的相互隔離：訂單信息和個人賬號信息的隔離，當包含持卡人賬號信息的訂單送到商家時，商家只能離，當包含持卡人賬號信息的訂單送到商家時，商家只能看到訂貨信息，而看不到持卡人的賬戶信息。看到訂貨信息，而看不到持卡人的賬戶信息。 （3 3）多方認證的解決：要對消費者的信用卡認證；）多方認證的解決：要對消費者的信用卡認證；要對網(wǎng)上商店進行認證；消費者、商店與銀行之間的要對網(wǎng)上商店進行認證；消費者、商店與銀行之間的認證。認證。 （4 4）效仿）效仿EDI EDI 貿(mào)易形式，要求軟件遵循相同協(xié)議和報貿(mào)易形式，要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，文格式，使不

21、同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。并且可以運行在不同的硬件和操作系統(tǒng)平臺上。 （5 5）交易的實時性：所有的支付過程都是在線的）交易的實時性：所有的支付過程都是在線的. .11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 2. SET2. SET的交易成員的交易成員SETSET支付系統(tǒng)中的交易成員（組成），支付系統(tǒng)中的交易成員（組成），主要包括：主要包括： 1) 1) 持卡人持卡人消費者消費者 2) 2) 網(wǎng)上商家網(wǎng)上商家 3) 3) 收單銀行收單銀行 4) 4) 支付網(wǎng)關(guān)支付網(wǎng)關(guān) 5) 5) 發(fā)卡銀行發(fā)卡銀行 電子貨幣發(fā)行公司或電子貨幣

22、發(fā)行公司或 兼有電子貨幣發(fā)行銀行兼有電子貨幣發(fā)行銀行 6) 6) 認證中心認證中心CACA。11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 圖圖11-3 SET支付系統(tǒng)中的交易成員支付系統(tǒng)中的交易成員 3. SET3. SET的技術(shù)范圍的技術(shù)范圍 SET SET 的技術(shù)范圍的技術(shù)范圍包括以下幾方面：包括以下幾方面： （1 1）加密算法；）加密算法； （2 2）證書信息和對象格式；）證書信息和對象格式； （3 3）購買信息和對象格式；）購買信息和對象格式； （4 4）認可信息和對象格式；）認可信息和對象格式； （5 5）劃賬信息和對象格式；）劃賬信息和對象格式； （6 6）對話實體之

23、間消息的傳輸協(xié)議。）對話實體之間消息的傳輸協(xié)議。11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 4. SET4. SET系統(tǒng)的組成系統(tǒng)的組成 SET SET 系統(tǒng)的操作是通過電子錢包、商店服務(wù)器、支付系統(tǒng)的操作是通過電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認證中心軟件網(wǎng)關(guān)和認證中心軟件 4 4 個軟件來完成的，分別存儲在持卡個軟件來完成的，分別存儲在持卡人、網(wǎng)上商店、銀行以及認證中心的服務(wù)器中，相互運作人、網(wǎng)上商店、銀行以及認證中心的服務(wù)器中，相互運作來完成整個來完成整個SET SET 交易服務(wù)。交易服務(wù)。 安全電子交易安全電子交易SETSET系統(tǒng)的系統(tǒng)的一般模型一般模型如圖。如圖。11.

24、2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 圖圖11-4 安全電子商務(wù)組成安全電子商務(wù)組成 案例案例11-111-15. SET5. SET的認證過程的認證過程 基于基于SET SET 協(xié)議電子商務(wù)系統(tǒng)的業(yè)務(wù)過程可分為協(xié)議電子商務(wù)系統(tǒng)的業(yè)務(wù)過程可分為注冊登記、申請數(shù)字證書、動態(tài)認證和商業(yè)機構(gòu)的處理。注冊登記、申請數(shù)字證書、動態(tài)認證和商業(yè)機構(gòu)的處理。具體主要有具體主要有4 4 個業(yè)務(wù)認證過程：個業(yè)務(wù)認證過程： （1 1）注冊登記。）注冊登記。 （2 2）申請數(shù)字證書）申請數(shù)字證書( (圖圖11-5)11-5)。 （3 3）動態(tài)認證）動態(tài)認證( (后圖后圖11-6)11-6)（4 4）

25、商業(yè)機構(gòu)處理商業(yè)機構(gòu)處理( (圖圖11-7)11-7)11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 案例案例11-311-3圖圖11-5 SET 數(shù)字證書申請工作具體步驟數(shù)字證書申請工作具體步驟 （3 3）動態(tài)認證。）動態(tài)認證。 注冊成功以后，便可以在網(wǎng)絡(luò)上進行電子商務(wù)活動。注冊成功以后，便可以在網(wǎng)絡(luò)上進行電子商務(wù)活動。在從事電子商務(wù)交易時，在從事電子商務(wù)交易時，SET SET 系統(tǒng)的動態(tài)認證工作過程如系統(tǒng)的動態(tài)認證工作過程如圖圖11-611-6所示。所示。11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 圖圖11-6 SET 系統(tǒng)的動態(tài)認證工作步驟系統(tǒng)的動態(tài)認證工作步

26、驟（4 4）商業(yè)機構(gòu)處理。）商業(yè)機構(gòu)處理。 商業(yè)機構(gòu)處理流程商業(yè)機構(gòu)的處理工作步驟如圖商業(yè)機構(gòu)處理流程商業(yè)機構(gòu)的處理工作步驟如圖11-711-7所示。所示。11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 圖圖11-7 SET 系統(tǒng)的商業(yè)機構(gòu)工作步驟系統(tǒng)的商業(yè)機構(gòu)工作步驟6. SET6. SET協(xié)議的安全技術(shù)協(xié)議的安全技術(shù) SET Toolkit SET Toolkit是是SET SET 的一個開放工具，任何電子商務(wù)系統(tǒng)都可的一個開放工具，任何電子商務(wù)系統(tǒng)都可以利用它來處理操作過程中的安全和保密問題。其中支付和認證是以利用它來處理操作過程中的安全和保密問題。其中支付和認證是其向系統(tǒng)提

27、供的兩大主要功能。其向系統(tǒng)提供的兩大主要功能。 主要安全保障主要安全保障有有3 3 個方面：個方面： （1 1）用雙鑰密碼體制加密文件；）用雙鑰密碼體制加密文件； （2 2）增加密鑰的公鑰和私鑰的字長；）增加密鑰的公鑰和私鑰的字長； （3 3）采用聯(lián)機動態(tài)的授權(quán)和認證檢查）采用聯(lián)機動態(tài)的授權(quán)和認證檢查, ,確保交易過程安全可靠確保交易過程安全可靠. . 安全保障措施的技術(shù)基礎(chǔ)安全保障措施的技術(shù)基礎(chǔ)有有4 4個：個： （1 1）利用加密方式確保信息機密性。）利用加密方式確保信息機密性。 （2 2）以數(shù)字化簽名確保數(shù)據(jù)的完整性。）以數(shù)字化簽名確保數(shù)據(jù)的完整性。 （3 3）使用數(shù)字化簽名和商家認證確

28、保交易各方身份的真實性。）使用數(shù)字化簽名和商家認證確保交易各方身份的真實性。 （4 4）通過特殊協(xié)議和消息形式確保動態(tài)交互式系統(tǒng)可操作性）通過特殊協(xié)議和消息形式確保動態(tài)交互式系統(tǒng)可操作性. . 11.2 電子商務(wù)的安全技術(shù)和交易電子商務(wù)的安全技術(shù)和交易 1. 1. 配置配置DNSDNS、Active DirectoryActive Directory及及CACA服務(wù)服務(wù) 在在Windows ServerWindows Server上建立一個獨立根的上建立一個獨立根的CACA認證服務(wù)器需要認證服務(wù)器需要有有DNSDNS和和Active DirectoryActive Directory服務(wù)，并需

29、要進行配置。再按照服務(wù)，并需要進行配置。再按照”管管理工具理工具”中的中的”配置服務(wù)器配置服務(wù)器”向?qū)Р僮?。為了操作方便，向?qū)Р僮鳌榱瞬僮鞣奖?，CACA認認證中心的頒發(fā)策略要設(shè)置成證中心的頒發(fā)策略要設(shè)置成“始終頒發(fā)始終頒發(fā)”。2. 2. 服務(wù)器端證書的獲得與安裝服務(wù)器端證書的獲得與安裝 （1 1）獲得）獲得WEBWEB站點數(shù)字證書站點數(shù)字證書 啟動啟動WebWeb服務(wù)器的服務(wù)器的“InternetInternet信息服務(wù)信息服務(wù)”; ;在在“InternetInternet信息信息服務(wù)服務(wù)”界面中右擊要申請數(shù)字證書的站點界面中右擊要申請數(shù)字證書的站點, ,在彈出快捷菜單中選在彈出快捷菜單中選

30、擇擇“屬性屬性”, ,出現(xiàn)站點屬性對話框。出現(xiàn)站點屬性對話框。 打開打開IEIE瀏覽器瀏覽器, ,在地址欄中輸入在地址欄中輸入http:/CAhttp:/CA認證服務(wù)器名稱認證服務(wù)器名稱 / / CertSrv; CertSrv; 選擇選擇“申請證書申請證書”。 （2 2）安裝）安裝WEBWEB站點數(shù)字證書站點數(shù)字證書 （3 3）設(shè)置）設(shè)置“安全通信安全通信” ” 屬性屬性3. 3. 客戶端證書的獲得與安裝客戶端證書的獲得與安裝 客戶端如果想通過信息安全通道訪問需要安全認證的網(wǎng)站，必客戶端如果想通過信息安全通道訪問需要安全認證的網(wǎng)站，必須具有此網(wǎng)站信任的須具有此網(wǎng)站信任的CACA機構(gòu)頒發(fā)的客戶

31、端證書以及機構(gòu)頒發(fā)的客戶端證書以及CACA認證機構(gòu)的證認證機構(gòu)的證書鏈。書鏈。 （1 1）申請客戶端證書）申請客戶端證書 （2 2）安裝證書鏈或）安裝證書鏈或CRLCRL4. 4. 通過安全通道訪問通過安全通道訪問WEBWEB網(wǎng)站網(wǎng)站5.5. 通過安全通道訪問通過安全通道訪問WEBWEB站點站點 我國我國第一個安全電子商務(wù)系統(tǒng)第一個安全電子商務(wù)系統(tǒng)“東方航空公司東方航空公司網(wǎng)上訂票與支付系統(tǒng)網(wǎng)上訂票與支付系統(tǒng)”經(jīng)過半年試運行后，于經(jīng)過半年試運行后，于1999年年8月月8日日投入正式運行投入正式運行,其發(fā)起單位由上海市政府商業(yè)委員會、上海市其發(fā)起單位由上海市政府商業(yè)委員會、上海市郵電管理局、中國

32、東方航空股份有限公司、中國工商銀行上郵電管理局、中國東方航空股份有限公司、中國工商銀行上海市分行、上海市電子商務(wù)安全證書管理中心有限公司等共海市分行、上海市電子商務(wù)安全證書管理中心有限公司等共同發(fā)起、投資與開發(fā)。同發(fā)起、投資與開發(fā)。 案例案例11-411-4 實現(xiàn)電子商務(wù)安全的重要內(nèi)容是電子商務(wù)的交易安實現(xiàn)電子商務(wù)安全的重要內(nèi)容是電子商務(wù)的交易安全。只有使用具有全。只有使用具有SSL SSL 及及SET SET 的網(wǎng)站，才能真正實現(xiàn)網(wǎng)的網(wǎng)站，才能真正實現(xiàn)網(wǎng)上安全交易。上安全交易。SSL SSL 是對會話的保護，是對會話的保護，SSLSSL最為普遍的應(yīng)最為普遍的應(yīng)用是實現(xiàn)瀏覽器和用是實現(xiàn)瀏覽器和

33、WWWWWW服務(wù)器之間的安全服務(wù)器之間的安全HTTPHTTP通信。通信。SSL SSL 所提供的安全業(yè)務(wù)有實體認證、完整性、保密性，還可所提供的安全業(yè)務(wù)有實體認證、完整性、保密性，還可通過數(shù)字簽名提供不可否認性。通過數(shù)字簽名提供不可否認性。 為保證電子商務(wù)的安全，國家制定頒布了為保證電子商務(wù)的安全，國家制定頒布了中中華人民共和國電子簽名法華人民共和國電子簽名法，大力推進電子簽名、電子認證、，大力推進電子簽名、電子認證、數(shù)字證書等安全技術(shù)手段的廣泛應(yīng)用。對于一些電子商務(wù)的數(shù)字證書等安全技術(shù)手段的廣泛應(yīng)用。對于一些電子商務(wù)的安全問題?？梢酝ㄟ^安全問題?？梢酝ㄟ^“中國金融數(shù)字證書體驗中心網(wǎng)中國金融數(shù)

34、字證書體驗中心網(wǎng)http:/ ”進行數(shù)字證書安全保護。數(shù)字證書服進行數(shù)字證書安全保護。數(shù)字證書服務(wù)的安裝與管理可以通過以下方式進行操作。務(wù)的安裝與管理可以通過以下方式進行操作。 案例案例11-511-51. 1. 網(wǎng)絡(luò)銀行系統(tǒng)數(shù)字證書解決方案網(wǎng)絡(luò)銀行系統(tǒng)數(shù)字證書解決方案2. 2. 移動電子商務(wù)安全解決方案移動電子商務(wù)安全解決方案 鑒于網(wǎng)絡(luò)銀行的需求與實際情況，上海市鑒于網(wǎng)絡(luò)銀行的需求與實際情況，上海市CA中心推薦在網(wǎng)銀系統(tǒng)中采用中心推薦在網(wǎng)銀系統(tǒng)中采用網(wǎng)銀系統(tǒng)和證書申請網(wǎng)銀系統(tǒng)和證書申請RA功能整功能整合的方案合的方案，該方案由上海，該方案由上海CA中心向網(wǎng)絡(luò)銀行提供中心向網(wǎng)絡(luò)銀行提供CA證書

35、的證書的簽發(fā)業(yè)務(wù)，并提供相應(yīng)的簽發(fā)業(yè)務(wù)，并提供相應(yīng)的RA功能接口，網(wǎng)銀系統(tǒng)結(jié)合自身功能接口，網(wǎng)銀系統(tǒng)結(jié)合自身的具體業(yè)務(wù)流程通過調(diào)用這些接口將的具體業(yè)務(wù)流程通過調(diào)用這些接口將RA的功能結(jié)合到網(wǎng)銀的功能結(jié)合到網(wǎng)銀系統(tǒng)中去。網(wǎng)銀系統(tǒng)和系統(tǒng)中去。網(wǎng)銀系統(tǒng)和RA系統(tǒng)證書申請，如圖系統(tǒng)證書申請，如圖11-12所示。所示。 案例案例11-611-6圖圖11-12網(wǎng)銀系統(tǒng)和網(wǎng)銀系統(tǒng)和RA系統(tǒng)證書申請系統(tǒng)證書申請 1. WPKI1. WPKI的基本結(jié)構(gòu)的基本結(jié)構(gòu) 為了滿足無線通信安全需求而研發(fā)的無線公鑰的安全為了滿足無線通信安全需求而研發(fā)的無線公鑰的安全體系體系WPKIWPKI（Wireless PKIWire

36、less PKI），可以應(yīng)用于手機、個人數(shù)字），可以應(yīng)用于手機、個人數(shù)字助理助理PDAPDA等無線裝置，為用戶提供身份認證、訪問控制和等無線裝置，為用戶提供身份認證、訪問控制和授權(quán)、傳輸保密、資料完整性、不可否認性等安全服務(wù)。授權(quán)、傳輸保密、資料完整性、不可否認性等安全服務(wù)。 智能卡擁有優(yōu)秀的安全性，可以作為智能卡擁有優(yōu)秀的安全性，可以作為WPKIWPKI體系當中網(wǎng)體系當中網(wǎng)絡(luò)安全客戶端很好的接入載體。智能卡有處理器，因而能絡(luò)安全客戶端很好的接入載體。智能卡有處理器，因而能夠在卡內(nèi)實現(xiàn)密碼算法和數(shù)字簽名，并且能夠安全地存儲夠在卡內(nèi)實現(xiàn)密碼算法和數(shù)字簽名，并且能夠安全地存儲私鑰。私鑰。 WPKI

37、 WPKI由終端、由終端、PKIPKI門戶、門戶、CACA、PKIPKI目錄服務(wù)器等部分組成密鑰目錄服務(wù)器等部分組成密鑰管理體系。在管理體系。在WPKIWPKI的應(yīng)用中，還的應(yīng)用中，還可以設(shè)計可以設(shè)計WAPWAP網(wǎng)關(guān)和數(shù)據(jù)提供服務(wù)網(wǎng)關(guān)和數(shù)據(jù)提供服務(wù)器等服務(wù)設(shè)備器等服務(wù)設(shè)備.WPKI.WPKI的基本結(jié)構(gòu)如圖。的基本結(jié)構(gòu)如圖。 圖圖11-13 WPKI的基本結(jié)構(gòu)的基本結(jié)構(gòu) 2. 2. 智能卡在智能卡在WPKIWPKI中的應(yīng)用中的應(yīng)用 在智能卡應(yīng)用系統(tǒng)中，終端可以支持多個應(yīng)用系統(tǒng)在智能卡應(yīng)用系統(tǒng)中，終端可以支持多個應(yīng)用系統(tǒng)，終端上的智能卡需要保存所有被其支持的應(yīng)用系統(tǒng)，終端上的智能卡需要保存所有被其

38、支持的應(yīng)用系統(tǒng)CACA公鑰，產(chǎn)生密鑰并進行加解密運算、數(shù)字簽名、存儲數(shù)公鑰，產(chǎn)生密鑰并進行加解密運算、數(shù)字簽名、存儲數(shù)字證書等，因此智能卡上的密鑰的安全存儲是要解決的字證書等，因此智能卡上的密鑰的安全存儲是要解決的重要問題。重要問題。 （1 1）智能卡密鑰管理策略）智能卡密鑰管理策略 （2 2）證書存儲）證書存儲 （3 3）智能卡安全）智能卡安全 未來電子商務(wù)安全技術(shù)的發(fā)展趨勢主要體現(xiàn)在以下未來電子商務(wù)安全技術(shù)的發(fā)展趨勢主要體現(xiàn)在以下6 6個方面：個方面： （1 1）構(gòu)建電子商務(wù)信用服務(wù)體系）構(gòu)建電子商務(wù)信用服務(wù)體系 （2 2）健全電子商務(wù)安全保障體系）健全電子商務(wù)安全保障體系 （3 3）加強

39、電子商務(wù)市場監(jiān)管）加強電子商務(wù)市場監(jiān)管 （4 4）加強電子商務(wù)政策法規(guī)的配套完善）加強電子商務(wù)政策法規(guī)的配套完善 （5 5）加大電子商務(wù)標準體系建設(shè)）加大電子商務(wù)標準體系建設(shè) （6 6）安全技術(shù)體系完善與發(fā)展）安全技術(shù)體系完善與發(fā)展11.5.1 11.5.1 實驗?zāi)康膶嶒災(zāi)康?1.5 數(shù)字證書的獲取與管理實驗數(shù)字證書的獲取與管理實驗n 本節(jié)就在理解證書的生成過程的同時，自己動手建立一本節(jié)就在理解證書的生成過程的同時，自己動手建立一個個CACA認證中心，通過這個認證中心，通過這個CACA發(fā)放證書。本試驗的發(fā)放證書。本試驗的主要目的主要目的有以有以下三個：下三個：n 利用開源軟件建立自我認證中心、

40、發(fā)行客戶端證書和發(fā)利用開源軟件建立自我認證中心、發(fā)行客戶端證書和發(fā)行服務(wù)器端證書的過程。行服務(wù)器端證書的過程。n 了解了解Win32 OpenSSL-1.0.1eWin32 OpenSSL-1.0.1e、ActivePerl-5.16.3ActivePerl-5.16.3等開源等開源或免費軟件安裝和使用?；蛎赓M軟件安裝和使用。n 掌握電子商務(wù)網(wǎng)站中使用證書認證時的配置方式。掌握電子商務(wù)網(wǎng)站中使用證書認證時的配置方式。11.5.2 11.5.2 實驗要求及方法實驗要求及方法11.5 數(shù)字證書的獲取與管理實驗數(shù)字證書的獲取與管理實驗1. 1. 實驗設(shè)備實驗設(shè)備 本試驗使用一臺安裝有本試驗使用一臺安

41、裝有Windows 7Windows 7操作系統(tǒng)的計算機，在網(wǎng)上操作系統(tǒng)的計算機，在網(wǎng)上下載并事先安裝下列軟件，下載并事先安裝下列軟件，WEBWEB服務(wù)器服務(wù)器tomcat8.0.0tomcat8.0.0，JDK7, JDK7, 發(fā)行發(fā)行證書用的證書用的Win32OpenSSL-1.0.1eWin32OpenSSL-1.0.1e，另外為了在，另外為了在win32win32下運行下運行PerlPerl腳腳本，還需要安裝本，還需要安裝ActivePerl-5.16.3ActivePerl-5.16.3。2. 2. 注意事項注意事項(1) (1) 預(yù)習(xí)準備預(yù)習(xí)準備 由于本實驗中使用的一些軟件大家可能不太熟悉，可以提前對由于本實驗中使用的一些軟件大家可能不太熟悉，可以提前對這些軟件的功能和使用方式做一些了解，以利于對于試驗內(nèi)容的這