電子商務(wù)通用教程04-安全認(rèn)證

電子商務(wù)通用教程重慶科技學(xué)院管理學(xué)院袁建新

Tel:65023813

E-mail:yuanjx0@163.com

2023/9/241課程內(nèi)容第一部分基礎(chǔ)概論第二部分網(wǎng)絡(luò)應(yīng)用第三部分應(yīng)用類型第四部分應(yīng)用實(shí)務(wù)2023/9/242第四部分應(yīng)用實(shí)務(wù)§1電子金融§2安全認(rèn)證§3電子政務(wù)§4電子商務(wù)物流2023/9/243（SET）協(xié)議與CA認(rèn)證系統(tǒng)安全電子交易2023/9/2441、SET安全協(xié)議SecureElectronicTransaction電子商務(wù)交易安全協(xié)議這是一個(gè)為了在因特網(wǎng)上進(jìn)行在線交易而設(shè)立的一個(gè)開放的、以電子貨幣為基礎(chǔ)的電子付款系統(tǒng)規(guī)范。SET在保留對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來講是至關(guān)重要的。在SET體系中有一個(gè)關(guān)鍵的認(rèn)證機(jī)構(gòu)（CA），CA根據(jù)X.509標(biāo)準(zhǔn)發(fā)布和管理證書。2023/9/245SSL和SET協(xié)議SSL協(xié)議屬于網(wǎng)絡(luò)對話層的標(biāo)準(zhǔn)協(xié)議；SET協(xié)議是在對話層之上的應(yīng)用層的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議。目前這二種安全問題的解決方案同時(shí)在被應(yīng)用。2023/9/246SSL協(xié)議SSL協(xié)議能確保兩個(gè)應(yīng)用程序之間通訊內(nèi)容的保密性和數(shù)據(jù)的完整性。SSL協(xié)議層包括兩個(gè)協(xié)議子層：SSL記錄協(xié)議SSL握手協(xié)議SSL安全技術(shù)在互聯(lián)網(wǎng)服務(wù)器和客戶機(jī)間提供了安全的TCP/IP通道。SSL可用于加密任何基于TCP/IP的應(yīng)用，如HTTP、Telnet、FTP等。SSL記錄協(xié)議基本特點(diǎn)：

連接是專用的

連接是可靠的SSL握手協(xié)議基本特點(diǎn)：

能對通信雙方的身份的認(rèn)證

進(jìn)行協(xié)商的雙方的秘密是安全的

協(xié)商是可靠的2023/9/247SET協(xié)議SET是SecureElectronicTransaction，即安全電子交易的英文縮寫。它是一個(gè)在互聯(lián)網(wǎng)上實(shí)現(xiàn)安全電子交易的協(xié)議標(biāo)準(zhǔn)。它規(guī)定了交易各方進(jìn)行交易結(jié)算時(shí)的具體流程和安全控制策略。SET協(xié)議主要使用的技術(shù)包括：對稱密鑰加密公共密鑰加密哈希（HASH）算法數(shù)字簽名技術(shù)公共密鑰授權(quán)機(jī)制通過使用公共密鑰和對稱密鑰方式加密保證了數(shù)據(jù)的保密性通過使用數(shù)字簽名來確定數(shù)據(jù)是否被篡改、保證數(shù)據(jù)的一致性和完整性，并可以完成交易防抵賴。2023/9/248安全電子交易是基于互聯(lián)網(wǎng)的支付，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)，它采用RSA公開密鑰體系對通信雙方進(jìn)行認(rèn)證，利用DES、RC4或任何標(biāo)準(zhǔn)對稱加密方法進(jìn)行信息的加密傳輸，并用HASH算法來鑒別消息真?zhèn)?，有無涂改。2023/9/249SET協(xié)議運(yùn)行的目標(biāo)主要有五個(gè)：保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。保證電子商務(wù)參與者信息的相互隔離?？蛻舻馁Y料加密或打包后通過商家到達(dá)銀行，但是商家不能看到客戶的帳戶和密碼信息。解決網(wǎng)上認(rèn)證問題不僅要對消費(fèi)者的銀行卡認(rèn)證，而且要對在線商店的信譽(yù)程度認(rèn)證，同時(shí)還有消費(fèi)者、在線商店與銀行間的認(rèn)證。保證網(wǎng)上交易的實(shí)時(shí)性，使所有的支付過程都是在線的。效仿EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。2023/9/2410SET協(xié)議涉及的對象消費(fèi)者在線商店收單銀行電子貨幣發(fā)行機(jī)構(gòu)認(rèn)證中心（CA）

包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照在線商店的要求填寫訂貨單，通過發(fā)卡銀行發(fā)選擇銀行卡進(jìn)行付款。提供商品或服務(wù)，具備相應(yīng)電子貨幣使用的條件。通過支付網(wǎng)關(guān)處理消費(fèi)者和在線商店之間的交易付款問題。負(fù)責(zé)發(fā)行電子貨幣（如智能卡、電子貨幣、電子錢包）銀行或非銀行金融機(jī)構(gòu)，以及某些兼有電子貨幣發(fā)行的企業(yè)。他們負(fù)責(zé)處理智能卡的審核和支付工作。負(fù)責(zé)對交易對方的身份確認(rèn)，對廠商信譽(yù)度和消費(fèi)者的支付手段進(jìn)行認(rèn)證。與SET配套的CA認(rèn)證

1997年2月19日，由MasterCard和Visa發(fā)起成立SETCO公司，著手建設(shè)認(rèn)證體系。其目的是要驗(yàn)證或識別上網(wǎng)各參與交易活動的主體的身份。數(shù)字證書是由具有權(quán)威性、公正性的認(rèn)證機(jī)構(gòu)管理的。在每次交易活動時(shí)還需逐級往上來驗(yàn)證各認(rèn)證機(jī)構(gòu)數(shù)字證書的真?zhèn)巍８骷壵J(rèn)證機(jī)構(gòu)是按根認(rèn)證機(jī)構(gòu)（RootCA），品牌認(rèn)證機(jī)構(gòu)（BrandCA），以及持卡人、商戶或收單機(jī)支付網(wǎng)關(guān)認(rèn)證機(jī)構(gòu)由上而下按層次結(jié)構(gòu)建立的。2023/9/2411SET安全協(xié)議的工作原理消費(fèi)者在線商店支付網(wǎng)關(guān)認(rèn)證中心收單銀行發(fā)卡銀行協(xié)商訂單確認(rèn)審核確認(rèn)審核批準(zhǔn)認(rèn)證認(rèn)證認(rèn)證SET協(xié)議工作流程圖消費(fèi)者選擇付款方式、確認(rèn)定單，簽發(fā)付款指令。此時(shí)SET協(xié)議開始介入。在SET協(xié)議中，消費(fèi)者必須對定單和付款指令進(jìn)行數(shù)字簽名。同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的賬號信息。在線商店接受訂單后，向消費(fèi)者所在銀行請求支付認(rèn)可。信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行機(jī)構(gòu)確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來查詢。在線商店發(fā)送貨物或提供服務(wù)；并通知收單銀行將錢從消費(fèi)者的賬號轉(zhuǎn)移到商店賬號，或通知發(fā)卡銀行請求支付。在處理過程中，通信協(xié)議、請求信息的格式、數(shù)據(jù)類型的定義等，SET都有明確的規(guī)定。在操作的每一步，消費(fèi)者、在線商店、支付網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份，以確保通信的對方不是冒名頂替。SET協(xié)議充分發(fā)揮了認(rèn)證中心的作用，以維護(hù)在任何開放網(wǎng)絡(luò)上的電子商務(wù)參與者提供信息的真實(shí)性和保密性。2023/9/24122.

數(shù)字證書1．什么是數(shù)字證書數(shù)字證書的概念數(shù)字證書的實(shí)質(zhì)數(shù)字證書的內(nèi)容就是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，它是由一個(gè)由權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行的，人們可以在交往中用它來識別對方的身份。是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUTX.509國際標(biāo)準(zhǔn)。一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容：

證書的版本信息；

證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；

證書所使用的簽名算法；

證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；

證書所有人的名稱，命名規(guī)則一般采用X.500格式；

證書所有人的公開密鑰；

證書發(fā)行者對證書的簽名。2023/9/2413數(shù)字證書的作用由于Internet網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了對某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。買方和賣方都必須對于在因特網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對的信心。因而因特網(wǎng)電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說，必須保證網(wǎng)絡(luò)交易安全的四大要素。2023/9/2414保證網(wǎng)絡(luò)交易安全的四大要素交易信息傳輸?shù)谋Ｃ苄越灰渍呱矸莸拇_定性發(fā)送信息的不可否認(rèn)性數(shù)據(jù)交換的完整及不可修改性交易中的商務(wù)信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密要求。網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對方的身份，對商家要考慮客戶端是不是一個(gè)騙子，而客戶也會擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對方身份是交易的前提。對于為顧客或用戶開展服務(wù)的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務(wù)活動，都要進(jìn)行身份認(rèn)證的工作。對有關(guān)的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。例如訂購黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會蒙受損失。因此電子交易通信過程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動文件內(nèi)容，將訂購數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。怎么才能保證交易的公正性和安全性，保證交易方身份的真實(shí)性？那就是建立安全證書體系結(jié)構(gòu)。數(shù)字安全證書提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。我們可以使用數(shù)字證書，通過運(yùn)用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊?。恍畔⒃趥鬏斶^程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對于自己的信息不能抵賴。2023/9/2415數(shù)字證書原理介紹數(shù)字證書采用公私鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。私鑰：公鑰：當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰，并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名2023/9/2416私鑰公鑰公鑰加密算法每個(gè)用戶都有一對鑰匙，一個(gè)用于加密，一個(gè)用于解密。加密算法原文解密算法原文密文發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密接收方使用自己的私鑰解密通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。2023/9/2417數(shù)字證書原理介紹公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。2023/9/2418數(shù)字簽名技術(shù)用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；

(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實(shí)文件。2023/9/2419=？數(shù)字簽名具體做法是：原文Hash算法對Hash碼加密并附在原文Hash碼發(fā)送者的私鑰解密Hash碼計(jì)算Hash碼將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證，只要改動報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會與原先的值不相符。這樣就保證了報(bào)文的不可更改性。將該報(bào)文摘要值用發(fā)送者的私人密鑰加密,然后連同原報(bào)文一起發(fā)送給接收者,而產(chǎn)生的報(bào)文即稱數(shù)字簽名。接收方收到數(shù)字簽名后，用同樣的HASH算法對報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開密鑰進(jìn)行解密解開的報(bào)文摘要值相比較，如相等則說明報(bào)文確實(shí)來自所稱的發(fā)送者。2023/9/2420證書與證書授權(quán)中心什么是CA機(jī)構(gòu)CA中心的作用CA環(huán)節(jié)的重要性CA機(jī)構(gòu)，又稱為證書授證(CertificateAuthority)中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關(guān)發(fā)放證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。由此可見，成立證書授權(quán)中心，是開拓和規(guī)范電子商務(wù)市場必不可少的一步。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書。2023/9/2421數(shù)字證書的用途數(shù)字證書可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動和行政作業(yè)活動，包括支付型和非支付型電子商務(wù)活動，其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。2023/9/2422網(wǎng)上教育認(rèn)證2023/9/2423上海市電子商務(wù)安全證書管理中心有限公司（SHECA）現(xiàn)已完成證書系統(tǒng)的建設(shè)，面向用戶發(fā)放數(shù)字證書。2023/9/2424其中SET證書已應(yīng)用在東方航空公司網(wǎng)上售票，整個(gè)交易流程符合SET協(xié)議，與國際接軌。通用證書（UniversalCertificate）已在網(wǎng)上購物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等應(yīng)用。為了配合社會保障工作，方便百姓，SHECA將根據(jù)用戶的需要，把個(gè)人數(shù)字證書存放在社會保障卡內(nèi)，為個(gè)人網(wǎng)上安全作業(yè)提供便利。SHECA還與上海市企業(yè)代碼證中心合作，將企業(yè)代碼證和企業(yè)數(shù)字證書一體化，為企業(yè)網(wǎng)上交易、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)