電子商務(wù)實(shí)務(wù)(第二版)配套課件

1、電子商務(wù)實(shí)務(wù)（第二版）高等教育出版社全國(guó)高職高專教育“十二五”規(guī)劃教材第二章 電子商務(wù)安全 2一、學(xué)習(xí)目標(biāo) 了解常見的電子商務(wù)安全問題 了解電子商務(wù)安全加密技術(shù) 了解電子商務(wù)安全認(rèn)證技術(shù)知識(shí)目標(biāo)知識(shí)目標(biāo) 了解電子商務(wù)安全認(rèn)證體系 了解電子商務(wù)信用認(rèn)證的作用 能根據(jù)業(yè)務(wù)需要選擇合適的安全解決方案 掌握CA認(rèn)證在電子商務(wù)交易過程中的使用能力目標(biāo)能力目標(biāo) 掌握信用認(rèn)證在電子商務(wù)交易過程中的使用一、學(xué)習(xí)目標(biāo)案例標(biāo)簽案例標(biāo)簽：揚(yáng)州市地稅局；數(shù)字證書；網(wǎng)上報(bào)稅系統(tǒng)案例網(wǎng)址案例網(wǎng)址：. cn案例導(dǎo)讀案例導(dǎo)讀：1、揚(yáng)州市地稅局概況 揚(yáng)州市地稅局準(zhǔn)備采用網(wǎng)上報(bào)稅的方式，由納稅人

2、在互聯(lián)網(wǎng)上完成申報(bào)和繳稅。納稅人通過IE瀏覽器登錄到稅務(wù)局電子申報(bào)的WEB服務(wù)器上，輸入網(wǎng)上報(bào)稅系統(tǒng)為納稅人創(chuàng)建的用戶名和密碼（密碼登錄后可修改）進(jìn)入系統(tǒng)進(jìn)行報(bào)表填寫。納稅人再將報(bào)表填寫完后進(jìn)行申報(bào)（系統(tǒng)將納稅人提交的數(shù)據(jù)寫到稅務(wù)局的數(shù)據(jù)庫中）和網(wǎng)上銀行繳稅，完成整個(gè)申報(bào)過程。二、案例導(dǎo)入揚(yáng)州市地稅局使用數(shù)字證書來解決網(wǎng)上報(bào)稅的安全問題揚(yáng)州市地稅局使用數(shù)字證書來解決網(wǎng)上報(bào)稅的安全問題天威誠(chéng)信天威誠(chéng)信2、網(wǎng)上報(bào)稅系統(tǒng) 天威誠(chéng)信根據(jù)揚(yáng)州市地稅局網(wǎng)上報(bào)稅系統(tǒng)的應(yīng)用需求，采用天威誠(chéng)信的安證通（OnSite）產(chǎn)品和服務(wù)，采用基于服務(wù)的建設(shè)模式，為揚(yáng)州地稅建設(shè)一套CA認(rèn)證系統(tǒng)，CA系統(tǒng)的核心CA中心托管建

3、設(shè)在天威誠(chéng)信安全數(shù)據(jù)中心，在揚(yáng)州市本地建設(shè)CA系統(tǒng)提供給納稅人申請(qǐng)和管理證書的前臺(tái)RA中心，并在揚(yáng)州市本地建設(shè)對(duì)整個(gè)CA系統(tǒng)進(jìn)行全權(quán)管理的前臺(tái)CA管理（模塊），由它們共同為揚(yáng)州地稅納稅人提供證書認(rèn)證服務(wù)。建設(shè)的揚(yáng)州地稅CA認(rèn)證系統(tǒng)采用揚(yáng)州地稅自有的證書信任體系，頒發(fā)企業(yè)證書。天威誠(chéng)信為揚(yáng)州地稅網(wǎng)上報(bào)稅系統(tǒng)提供了解決方案，并協(xié)助開發(fā)商對(duì)應(yīng)用系統(tǒng)進(jìn)行了集成，增加數(shù)字證書應(yīng)用的安全功能。二、案例導(dǎo)入通過建設(shè)的CA認(rèn)證系統(tǒng)，納稅人將采用如下流程進(jìn)行網(wǎng)上申報(bào)：（1）納稅人首先到稅務(wù)局進(jìn)行網(wǎng)上申報(bào)的申請(qǐng)；（2）稅務(wù)局審核通過后，通知納稅人進(jìn)行網(wǎng)上申報(bào)的培訓(xùn)；（3）培訓(xùn)同時(shí)將發(fā)給納稅人一個(gè)信封，里邊寫有納稅

4、人的用戶名和密碼及要登錄的網(wǎng)站地址和納稅人的證書；（4）納稅人回去后，在自己的計(jì)算機(jī)上安裝自己的證書； （5）納稅人登錄稅務(wù)局Web申報(bào)網(wǎng)站，提交納稅人的證書和Web申報(bào)網(wǎng)站建立SSL鏈接，Web申報(bào)網(wǎng)站驗(yàn)證納稅人提交的數(shù)字證書來認(rèn)證納稅人的身份，通過SSL鏈接來保證數(shù)據(jù)傳輸?shù)臋C(jī)密性；（6）納稅人輸入用戶名和密碼完成網(wǎng)上申報(bào)流程。揚(yáng)州市地稅局CA系統(tǒng)及網(wǎng)上報(bào)稅系統(tǒng)安全集成已經(jīng)完成，如圖2-1所示。目前已經(jīng)正式使用，到現(xiàn)在為止，揚(yáng)州地稅CA系統(tǒng)已經(jīng)發(fā)放了大約1,000張證書，整個(gè)系統(tǒng)運(yùn)行穩(wěn)定，并且發(fā)放的數(shù)字證書已經(jīng)被納稅人在網(wǎng)上報(bào)稅系統(tǒng)中應(yīng)用，進(jìn)行安全的網(wǎng)上報(bào)稅。二、案例導(dǎo)入 二、案例導(dǎo)入圖2-

5、1揚(yáng)州市地稅局網(wǎng)上報(bào)稅系統(tǒng)1、電子商務(wù)安全概述、電子商務(wù)安全概述 （1 1）電子商務(wù)安全的重要性）電子商務(wù)安全的重要性 電子商務(wù)安全是電子商務(wù)的生存保障。它是市場(chǎng)游戲規(guī)則順利實(shí)施的前提，因?yàn)槭袌?chǎng)競(jìng)爭(zhēng)規(guī)則強(qiáng)調(diào)的是公平、公正和公開，如果無法保證市場(chǎng)交易的安全，可能導(dǎo)致非法交易或者損害合法交易的利益。它是保證電子虛擬市場(chǎng)交易順利發(fā)展的前提，因?yàn)榫W(wǎng)上交易雖然可以降低交易費(fèi)用，但如果網(wǎng)上交易安全性無法得到保證，造成合法交易雙方利益的損失，可能導(dǎo)致交易雙方為規(guī)避風(fēng)險(xiǎn)選擇傳統(tǒng)的、更安全的交易方式。電子商務(wù)涉及國(guó)家經(jīng)濟(jì)安全，作為國(guó)家基本經(jīng)濟(jì)活動(dòng)的商務(wù)活動(dòng)如果受到破壞、攻擊，產(chǎn)生混亂，社會(huì)生活就不得安寧。三、知

6、識(shí)學(xué)習(xí)（2 2）電子商務(wù)的安全要素）電子商務(wù)的安全要素有效性。保密性。完整性?？煽啃浴⒉豢傻仲囆院涂设b別性。三、知識(shí)學(xué)習(xí)（3 3）電子商務(wù)中的安全問題）電子商務(wù)中的安全問題商家（商品或服務(wù)的提供者）面臨的安全威脅商家（商品或服務(wù)的提供者）面臨的安全威脅（1）中央系統(tǒng)的安全性受到破壞。（2）競(jìng)爭(zhēng)者檢索商品的銷售情況。（3）客戶的資料被競(jìng)爭(zhēng)者獲取，為其所用。（4）被他人假冒而損害公司的信譽(yù)，這種安全威脅主要有三種方式。（5）消費(fèi)者提交訂單后不付款。（6）虛假訂單。三、知識(shí)學(xué)習(xí)客戶（商品或服務(wù)的購買者）所面臨的安全威脅客戶（商品或服務(wù)的購買者）所面臨的安全威脅（1）虛假訂單。（2）信用的威脅。（3）

7、機(jī)密性喪失。（4）拒絕服務(wù)。三、知識(shí)學(xué)習(xí)（4 4）電子商務(wù)安全中的加密技術(shù)）電子商務(wù)安全中的加密技術(shù) 數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密保障安全性。加密技術(shù)能避免各種存儲(chǔ)介質(zhì)上的或通過Internet傳送的敏感數(shù)據(jù)被侵襲者竊取，也適用于檢查信息的真實(shí)性與完整性。這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。三、知識(shí)學(xué)習(xí)圖2-2 數(shù)據(jù)加密的一般模型 三、知識(shí)學(xué)習(xí)2 2、電子商務(wù)認(rèn)證、電子商務(wù)認(rèn)證（1 1）電子商務(wù)中的認(rèn)證技術(shù)）電子商務(wù)中的認(rèn)證技術(shù) 數(shù)字簽名數(shù)字簽名 數(shù)字簽名是公開密鑰加密技術(shù)的一類應(yīng)用。數(shù)字簽名的加密解密過程和一

8、般秘密密鑰的加密解密過程雖然都使用公開密鑰系統(tǒng)，但實(shí)現(xiàn)的過程正好相反，使用的密鑰對(duì)也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對(duì)，發(fā)送方用自己的私有密鑰進(jìn)行加密，接收方用發(fā)送方的公開密鑰進(jìn)行解密。這是一個(gè)一對(duì)多的關(guān)系，任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。而一般秘密密鑰的加密解密則使用的是接收方的密鑰對(duì)，這是多對(duì)一的關(guān)系：任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有擁有接收方私有密鑰的人才能對(duì)信息解密。 三、知識(shí)學(xué)習(xí)數(shù)字摘要技術(shù)數(shù)字摘要技術(shù) 一般的對(duì)稱或非對(duì)稱加密算法用于防止信息被篡改。數(shù)字摘要技術(shù)用于證明信息的完整性和準(zhǔn)確性，主要用于防止原文被篡改。數(shù)字摘要是采用單向

9、Hash(分散排列) 函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼，并在傳輸信息時(shí)將之加入文件一同送給接收方。接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改。 而數(shù)字簽名一般來說是用來處理短消息的，處理較長(zhǎng)消息則有些吃力。當(dāng)然，可以將長(zhǎng)的消息分成若干小段，然后再分別簽名。不過這樣做非常麻煩，而且會(huì)帶來數(shù)據(jù)完整性的問題。比較合理的做法是在數(shù)字簽名前對(duì)消息先進(jìn)行數(shù)字摘要。三、知識(shí)學(xué)習(xí) 數(shù)字時(shí)間戳數(shù)字時(shí)間戳 在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)

10、容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文件，包括三個(gè)部分：需加時(shí)間戳的文件摘要；DTS收到文件的日期和時(shí)間；DTS的數(shù)字簽名。時(shí)間戳產(chǎn)生的過程為，用戶首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后在對(duì)該文件加密，然后送回用戶。三、知識(shí)學(xué)習(xí) 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù) 身份認(rèn)證是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網(wǎng)膜

11、和聲音等生理特征。身份認(rèn)證可分為兩類：用戶與主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證。用戶與主機(jī)之間的認(rèn)證可以基于如下一個(gè)或幾個(gè)因素: 用戶所知道的東西,例如口令,密碼等；用戶擁有的東西,例如印章,智能卡(如信用卡等)；用戶所具有的生物特征,例如指紋,聲音,視網(wǎng)膜,簽字,筆跡等。下面對(duì)這些方法的優(yōu)劣進(jìn)行比較。三、知識(shí)學(xué)習(xí)報(bào)文認(rèn)證技術(shù)報(bào)文認(rèn)證技術(shù) 報(bào)文是網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元，報(bào)文的認(rèn)證方式有傳統(tǒng)加密方式的認(rèn)證、沒有報(bào)方加密的報(bào)文認(rèn)證、使用密鑰額報(bào)文認(rèn)證碼方式、使用單項(xiàng)散列函數(shù)的認(rèn)證。信息完整性信息完整性 信息完整性是指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，數(shù)據(jù)具有一致性。保證信息完整

12、性需要防止數(shù)據(jù)的丟失、重復(fù)及保證傳送秩序的一致。保證各種數(shù)據(jù)的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，數(shù)據(jù)的完整性被破壞可能導(dǎo)致貿(mào)易雙方信息的差異，將影響交易的交易順利完成，甚至造成糾紛。三、知識(shí)學(xué)習(xí)（2 2）電子商務(wù)安全認(rèn)證體系電子商務(wù)安全認(rèn)證體系 數(shù)字證書數(shù)字證書 數(shù)字證書也稱公開密鑰證書，是在網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實(shí)生活中的身份證。它主要包含用戶身份信息、用戶公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名等數(shù)據(jù)。三、知識(shí)學(xué)習(xí)（2 2）電子商務(wù)安全認(rèn)證體系電子商務(wù)安全認(rèn)證體系 CACA認(rèn)證中心認(rèn)證中心 認(rèn)證中心是檢驗(yàn)密鑰是否真實(shí)性的第三方，它是一個(gè)權(quán)威機(jī)構(gòu)，專門驗(yàn)證交易雙方的身份

13、。驗(yàn)證的方法是接受個(gè)人、商家、銀行等涉及交易的實(shí)體申請(qǐng)數(shù)字證書，核實(shí)情況，批準(zhǔn)或拒絕申請(qǐng)，頒發(fā)數(shù)字證書。認(rèn)證中心除了檢驗(yàn)外，還具有管理、搜索和驗(yàn)證證書等職能。三、知識(shí)學(xué)習(xí)圖2-3 典型CA系統(tǒng)三、知識(shí)學(xué)習(xí)（2 2）電子商務(wù)安全認(rèn)證體系電子商務(wù)安全認(rèn)證體系 PKIPKI安全體系安全體系 簡(jiǎn)單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動(dòng)。 三、知識(shí)學(xué)習(xí)（2 2）電子商務(wù)安全認(rèn)證體系電子商務(wù)安全認(rèn)證體系 SSLSSL安全體系安全體系 安全套接層（Secure sockets Layer，SSL）是一種傳輸層

14、技術(shù)，由網(wǎng)景通訊公司開發(fā)，可以實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。三、知識(shí)學(xué)習(xí) SSLSSL工作過程：工作過程： 三、知識(shí)學(xué)習(xí)AB（1）要求進(jìn)行身份認(rèn)證（2）同意進(jìn)行認(rèn)證（3）互相確認(rèn)身份（4）核查身份 確認(rèn)無誤（2 2）電子商務(wù)安全認(rèn)證體系電子商務(wù)安全認(rèn)證體系SETSET安全體系安全體系 1996年，有重大實(shí)用價(jià)值和深遠(yuǎn)影響的安全電子交易SET（Secure Electronic Transaction）安全體系產(chǎn)生了。SET在保留對(duì)客戶信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來講是事關(guān)重大的。由于設(shè)計(jì)合理，SET協(xié)議得到了IBM、Micro

15、soft等許多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。三、知識(shí)學(xué)習(xí)SETSET安全體系安全體系 SET安全協(xié)議要達(dá)到的目標(biāo)主要有五個(gè)： 信息傳輸?shù)陌踩浴?信息的相互隔離。 多方認(rèn)證的解決。 效仿EDI貿(mào)易形式。 交易的實(shí)時(shí)性。 三、知識(shí)學(xué)習(xí)SETSET的交易成員的交易成員持卡人消費(fèi)者網(wǎng)上商家收單銀行支付網(wǎng)關(guān)發(fā)卡銀行電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行認(rèn)證中心CA可信賴、公正的組織三、知識(shí)學(xué)習(xí)SET軟件系統(tǒng)的組成三、知識(shí)學(xué)習(xí)三、知識(shí)學(xué)習(xí)SETSET的認(rèn)證過程的認(rèn)證過程 注冊(cè)登記 動(dòng)態(tài)認(rèn)證 商業(yè)機(jī)構(gòu)處理三、知識(shí)學(xué)習(xí)SETSET協(xié)議的安全技術(shù)協(xié)議的安全技術(shù)將所有消息文本用雙鑰密碼體制加密；將上述

16、密鑰的公鑰和私鑰的字長(zhǎng)增加到512B2048B；采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)（Authority和認(rèn)證檢查（Certificate），以確保交易過程的安全可靠。（3 3） 信用認(rèn)證信用認(rèn)證 我國(guó)電子商務(wù)的信用模式主要采取四種典型的信用模式： 中介人模式。 擔(dān)保人模式。 網(wǎng)站經(jīng)營(yíng)模式。 委托授權(quán)經(jīng)營(yíng)模式。三、知識(shí)學(xué)習(xí)6/2/2022四、實(shí)踐訓(xùn)練情景與數(shù)據(jù)情景與數(shù)據(jù) 近年來，電子商務(wù)因其便捷性、低成本性被各界看好而迅速發(fā)展，與此同時(shí)，電子商務(wù)安全隱患卻在網(wǎng)絡(luò)交易的過程中也不斷凸顯，如購物網(wǎng)站被黑、用戶密碼被盜、賬戶消失、網(wǎng)站被攻擊等。這導(dǎo)致用戶網(wǎng)購日益謹(jǐn)慎，網(wǎng)絡(luò)銷售受到很大影響。光明商城就曾有黑客的光臨，給

17、商城造成了不小的損失。為此光明服裝股份有限公司為加強(qiáng)光明商城銷售平臺(tái)的安全運(yùn)作，一方面加強(qiáng)了公司內(nèi)部軟硬件安全的防范，另一方面主動(dòng)到天信電子商務(wù)認(rèn)證中心平臺(tái)申請(qǐng)通過了CA認(rèn)證和信用認(rèn)證，并在簽訂合同時(shí)使用了電子簽章技術(shù)。 光明商城申請(qǐng)CA認(rèn)證，并在全搜咨詢公司的平臺(tái)上建立企業(yè)的信用認(rèn)證檔案，同時(shí)，兩家公司在簽訂合同時(shí)都使用電子簽章技術(shù)，以保證合同的安全性，這一系列活動(dòng)在電子商務(wù)活動(dòng)中稱為電子商務(wù)安全。6/2/2022四、實(shí)踐訓(xùn)練任務(wù)實(shí)踐任務(wù)實(shí)踐完成上述學(xué)習(xí)情景，包括以下三項(xiàng)任務(wù)：CA證書申請(qǐng)與安裝；企業(yè)信用認(rèn)證申請(qǐng)；電子簽章。情景分析情景分析 在電子商務(wù)安全中共涉及光明商城股份有限公司和全搜咨

18、詢有限公司兩個(gè)角色，需要經(jīng)過以下幾個(gè)環(huán)節(jié)：光明商城股份有限公司申請(qǐng)CA證書并安裝；光明商城股份有限公司申請(qǐng)企業(yè)信用認(rèn)證；光明商城股份有限公司和全搜咨詢有限公司簽訂合同，并使用電子簽章技術(shù)。6/2/2022五、學(xué)習(xí)小結(jié)6/2/2022六、同步測(cè)試一、選擇題一、選擇題1、電子商務(wù)的安全性不包括（ ）。A、 保密性 B、及時(shí)性 C、完整性 D、不可否認(rèn)性和匿名性2、（ ）用于證明信息的完整性和準(zhǔn)確性，主要用于防止原文被篡改。A、數(shù)字簽名 B、數(shù)字摘要技術(shù) C、數(shù)字時(shí)間戳 D、身份認(rèn)證技術(shù)3、（ ）是最安全的身份認(rèn)證技術(shù)。A、基于口令 B、基于密碼 C、基于智能卡 D、基于生物特征4、下列哪種我國(guó)電子商務(wù)的信用模式不屬于典型的信用模式。（ ）A、中介人模式 B、擔(dān)保人模式 C、網(wǎng)站經(jīng)營(yíng)模式 D、自主經(jīng)營(yíng)模式5、（ ）是網(wǎng)絡(luò)中最基本的安全技術(shù)。A、數(shù)據(jù)加