Ch11 電子商務(wù)安全

“十三五”國家重點(diǎn)出版規(guī)劃項(xiàng)目,上海市高校優(yōu)秀教材獎(jiǎng)上海市高校精品課程特色教材上海市高校優(yōu)質(zhì)在線課程教材第11章電子商務(wù)安全網(wǎng)絡(luò)安全技術(shù)及應(yīng)用“十三五”國家重點(diǎn)出版規(guī)劃國家自然科學(xué)基金項(xiàng)目資助上海市普通高校優(yōu)秀教材獎(jiǎng)上海高校精品/優(yōu)質(zhì)在線課程網(wǎng)絡(luò)安全技術(shù)及應(yīng)用（第5版.慕課微課版.新形態(tài)）第11章電子商務(wù)安全11.2電子商務(wù)的安全技術(shù)和交易211.3構(gòu)建基于SSL的Web安全站點(diǎn)311.4電子商務(wù)安全解決方案4

11.1電子商務(wù)安全基礎(chǔ)1

11.5

AI技術(shù)在電子商務(wù)中的安全511.6

物聯(lián)網(wǎng)設(shè)備安全問題與防范67第11章目錄“十三五”國家重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)11.7本章小結(jié)8*11.8實(shí)驗(yàn)11應(yīng)用工具軟件分析網(wǎng)站日志

教學(xué)目標(biāo)第11章電子商務(wù)安全“十三五”國家重點(diǎn)出版規(guī)劃項(xiàng)目上海高校精品課程/優(yōu)秀教材獎(jiǎng)●理解電子商務(wù)安全的相關(guān)概念和內(nèi)容●掌握電子商務(wù)常用的SSL、SET安全協(xié)議●了解基于SSL協(xié)議Web服務(wù)器的構(gòu)建方法●學(xué)會(huì)Android應(yīng)用漏洞的具體檢測(cè)方法重點(diǎn)

電子商務(wù)是政府、企業(yè)和個(gè)人利用計(jì)算機(jī)、平板電腦或手機(jī)等智能電子設(shè)備，依賴網(wǎng)絡(luò)通信技術(shù)完成商業(yè)活動(dòng)的全過程，是一種基于互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)，以參與交易的各方為主體，以金融機(jī)構(gòu)電子支付和非現(xiàn)金結(jié)算為手段，以客戶數(shù)據(jù)為依托的商務(wù)模式。電子商務(wù)是集企業(yè)管理信息化、金融電子化、商貿(mào)信息網(wǎng)絡(luò)化和物流全球化為一體，旨在實(shí)現(xiàn)信息流、現(xiàn)金流和實(shí)物流的流動(dòng)成本最小化，效率和效益最大化的現(xiàn)代貿(mào)易方式。11.1.1電子商務(wù)及安全風(fēng)險(xiǎn)

【引導(dǎo)案例】商務(wù)數(shù)據(jù)泄露：2021年6月3日，商丘市睢陽區(qū)人民法院在裁判文書網(wǎng)，公開了一份刑事判決書，顯示一名住在河南商丘市的本科畢業(yè)的大學(xué)生逯某自2019年11月起，對(duì)淘寶實(shí)施了長達(dá)八個(gè)月的數(shù)據(jù)爬取并盜走大量用戶數(shù)據(jù)。在阿里巴巴注意到這一問題前，已經(jīng)有超過11億8千多萬條用戶信息泄露。11.1

電子商務(wù)安全基礎(chǔ)案例11－1

電子商務(wù)作為新興的商業(yè)運(yùn)作模式，幫助全球企業(yè)和個(gè)人用戶突破時(shí)間和空間的制約，提供了多樣化的資訊，縮短了交易流程，并降低了交易成本。但如果不能保證電子商務(wù)的交易安全，就會(huì)違背公平、公正和公開的交易原則，損害合法交易人的利益，增加交易成本，甚至給交易各方帶來無法估量的經(jīng)濟(jì)損失。11.1.1電子商務(wù)及安全風(fēng)險(xiǎn)11.1

電子商務(wù)安全基礎(chǔ)電子商務(wù)的安全問題是電子商務(wù)發(fā)展過程中始終關(guān)注的重要課題。電子商務(wù)的安全實(shí)用技術(shù)，就是通過綜合的技術(shù)手段和管理手段借助安全保密技術(shù)和法律法規(guī)體系，防范化解交易過程中的各種風(fēng)險(xiǎn)，保證網(wǎng)上交易的順利實(shí)施。

電子商務(wù)安全是指通過采取各種安全技術(shù)措施，建立有效的技術(shù)防御體系和管理機(jī)制，保障電子商務(wù)活動(dòng)中網(wǎng)絡(luò)系統(tǒng)傳輸、交易流程、支付過程和相關(guān)數(shù)據(jù)的安全。保證交易數(shù)據(jù)的安全是電子商務(wù)安全的關(guān)鍵。電子商務(wù)安全涉及很多方面，不僅與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和監(jiān)控管理有關(guān)，而且與電子商務(wù)具體應(yīng)用的軟硬件環(huán)境、人員素質(zhì)、法制法規(guī)和管理等因素有關(guān)。11.1.2電子商務(wù)安全的概念和內(nèi)容

全球經(jīng)濟(jì)復(fù)蘇，電子商務(wù)增長回暖：2021年，全球經(jīng)濟(jì)開始從新冠疫情的早期影響中復(fù)蘇，全球電子商務(wù)同比增長14%，交易額超過5.3萬億美元。預(yù)計(jì)到2025年，全球電子商務(wù)復(fù)合年均增長率將達(dá)到12%，屆時(shí)總額將超過8.3萬億美元。在新冠疫情的持續(xù)影響以及市場(chǎng)趨向成熟的綜合作用下，預(yù)計(jì)亞太地區(qū)的電子商務(wù)增長將放緩，但拉丁美洲地區(qū)以及中東和非洲地區(qū)仍將持續(xù)大幅增長，到2025年，復(fù)合年均增長率分別為19%和20%。11.1

電子商務(wù)安全基礎(chǔ)案例11－2

1.電子商務(wù)安全的概念

1）連接訪問控制:指保證只有授權(quán)方才能與網(wǎng)絡(luò)設(shè)備建立關(guān)聯(lián)，訪問服務(wù)器端資源；訪問控制也同時(shí)使合法用戶具有訪問特定資源的權(quán)限。連接訪問控制是安全技術(shù)的第一道防線，可以阻止非授權(quán)用戶建立連接，并阻止所有消息從非授權(quán)源到達(dá)目的地。2）數(shù)據(jù)來源認(rèn)證:是指授權(quán)方成功建立安全關(guān)聯(lián)后，入侵者可能通過在有關(guān)通信的任意一個(gè)源頭插入偽造消息的方式來進(jìn)行滲透和劫持。數(shù)據(jù)來源認(rèn)證通過確認(rèn)接收的消息確定來源于發(fā)送方，從而阻止這種攻擊，這種技術(shù)可以用于所有關(guān)聯(lián)交易的消息交換過程。11.1.2電子商務(wù)安全的概念和內(nèi)容11.1

電子商務(wù)安全基礎(chǔ)

2.電子商務(wù)安全的主要內(nèi)容

電子商務(wù)的安全技術(shù)，主要涵蓋五方面內(nèi)容。

4）內(nèi)容機(jī)密性認(rèn)證，有時(shí)入侵者不是為了篡改消息，而是為了提前或非法獲取機(jī)密消息，并且隱藏自己已經(jīng)提前獲知該消息的事實(shí)。數(shù)據(jù)完整性認(rèn)證可以保證數(shù)據(jù)原封不動(dòng)傳送到目的端，但無法保證在傳送過程中沒有被第三方窺視或揭封。內(nèi)容機(jī)密性認(rèn)證需要保證消息發(fā)送的時(shí)間、長度以及消息的內(nèi)容均處于機(jī)密狀態(tài)。11.1.2電子商務(wù)安全的概念和內(nèi)容3）數(shù)據(jù)完整確認(rèn)，數(shù)據(jù)來源認(rèn)證保證了所接收的消息來源于合法的發(fā)送方，但是不能保證數(shù)據(jù)在傳送過程中沒有遭到篡改。入侵者可能通過物理接入傳送線路的方法竊聽消息并篡改部分或全部消息。數(shù)據(jù)完整確認(rèn)的目的是檢測(cè)消息是否被篡改，其中包括消息內(nèi)容的部分或全部，消息內(nèi)容的前后順序以及消息發(fā)送的時(shí)間是否被提前或拖后等。11.1

電子商務(wù)安全基礎(chǔ)

2.電子商務(wù)安全的主要內(nèi)容

電子商務(wù)的安全技術(shù)，主要涵蓋五方面內(nèi)容。

5）安全預(yù)警和審計(jì)稽核。當(dāng)電子商務(wù)的安全潛在或正在遭受威脅時(shí)，安全系統(tǒng)模塊需要預(yù)先或及時(shí)發(fā)出警報(bào)指示。而安全日志記錄和跟蹤電子商務(wù)整個(gè)流轉(zhuǎn)過程中的操作痕跡，通過完善的審計(jì)稽核制度來檢測(cè)是否有入侵者獲取或纂改交易數(shù)據(jù)，提供證據(jù)化解糾紛，預(yù)警、阻止和判斷網(wǎng)絡(luò)犯罪。11.1.2電子商務(wù)安全的概念和內(nèi)容11.1

電子商務(wù)安全基礎(chǔ)

2.電子商務(wù)安全的主要內(nèi)容

電子商務(wù)的安全技術(shù)，主要涵蓋以下五方面的內(nèi)容。

11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。（1）商業(yè)信息的機(jī)密性電子商務(wù)作為一種貿(mào)易的手段，其交易信息直接涉及用戶個(gè)人、企事業(yè)機(jī)構(gòu)或國家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過郵寄封裝的信件或通過可靠的通信渠道發(fā)送商業(yè)報(bào)文達(dá)到保守機(jī)密的目的。電子商務(wù)建立在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，必須預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。真實(shí)性網(wǎng)上交易雙方身份和交易信息真實(shí)有效;保密性信息傳輸過程或存儲(chǔ).密碼技術(shù);完整性防止非法篡改和破壞;存儲(chǔ)安全及不可否認(rèn)性。其他要素：可靠性：防止服務(wù)器出錯(cuò)，硬件，軟件。有效性：服務(wù)器能為用戶提供穩(wěn)定的服務(wù)。及時(shí)性：服務(wù)器能提供給用戶所需的服務(wù)性能。

（2）交易數(shù)據(jù)的完整性主要防范對(duì)業(yè)務(wù)數(shù)據(jù)信息的隨意生成、篡改或刪除，同時(shí)要防止數(shù)據(jù)傳輸過程中信息的丟失和重復(fù)。電子商務(wù)簡(jiǎn)化了貿(mào)易過程，減少人為的干預(yù)，同時(shí)也帶來維護(hù)貿(mào)易各方商業(yè)信息的完整和一致的問題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過程中信息丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過程中重要信息的丟失和重復(fù)并保證信息傳輸次序的一致。11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。

11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。（3）商務(wù)系統(tǒng)的可靠性商務(wù)系統(tǒng)的可靠性主要指交易者身份的確定。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方，這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來鑒別貿(mào)易伙伴，確定合同、契約和單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。在無紙化的電子商務(wù)方式中，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已不可能，因此，要在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。

（4）交易數(shù)據(jù)的有效性

保證貿(mào)易數(shù)據(jù)在確定的時(shí)間、指定的地點(diǎn)為有效的。電子商務(wù)以電子形式取代了紙張，如何保證這種電子形式貿(mào)易信息的有效性則是進(jìn)行電子商務(wù)的前提條件。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽(yù)。因此，必須對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、指定的地點(diǎn)是有效的。11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。

11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。（5）商業(yè)交易的不可否認(rèn)性電子交易的不可否認(rèn)性也稱不可抵賴性或可審查性，以確定電子合同、交易和信息的可靠性與可審查性，并預(yù)防可能的否認(rèn)行為的發(fā)生，不可抵賴性包括：1）源點(diǎn)防抵賴，使信息發(fā)送者事后無法否認(rèn)發(fā)送了信息。2）接收防抵賴，使信息接收方無法抵賴接收到了信息。3）回執(zhí)防抵賴，發(fā)送責(zé)任回執(zhí)的各環(huán)節(jié)均無法推卸其應(yīng)負(fù)責(zé)任。為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為其活動(dòng)參與者提供可靠的安全服務(wù)，主要包括：鑒別服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、不可否認(rèn)服務(wù)等。鑒別服務(wù)是對(duì)貿(mào)易方的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證；訪問控制服務(wù)通過授權(quán)對(duì)使用資源的方式進(jìn)行控制，防止非授權(quán)使用資源或控制資源，有助于貿(mào)易信息的機(jī)密性、完整性和可控性；機(jī)密性服務(wù)的目標(biāo)為電子商務(wù)參與者信息在存儲(chǔ)、處理和傳輸過程中提供機(jī)密性保證，防止信息被泄露給非授權(quán)信息獲取者；不可否認(rèn)服務(wù)針對(duì)合法用戶的威脅，為交易的雙方提供不可否認(rèn)的證據(jù)，來解決因否認(rèn)而產(chǎn)生的爭(zhēng)議提供支持。

（6）隱私性在交易流在電子交易的過程中會(huì)產(chǎn)生各種各樣的個(gè)人信息安全問題，商家和用戶的個(gè)人信息和隱私應(yīng)該得到保護(hù)。電子商務(wù)系統(tǒng)必須在確保交易對(duì)象的真實(shí)性和安全性的同時(shí)，提供交易平臺(tái)的隱私性。11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

1.電子商務(wù)的安全要素

電子商務(wù)安全的要素概括六方面的內(nèi)容。

2）安全套接層協(xié)議SSL（SecureSocketsLayer）由Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報(bào)文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，以完成安全交易操作。11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

2.電子商務(wù)應(yīng)用中的安全協(xié)議及規(guī)范

電子商務(wù)應(yīng)用中的安全協(xié)議和規(guī)范主要有四種。1）安全超文本傳輸協(xié)議（S-HTTP）依靠密鑰對(duì)加密，可以保障Web站點(diǎn)間的交易信息傳輸?shù)陌踩浴?/p>

4）安全電子交易SET協(xié)議（SecureElectronicTransaction）協(xié)議、UN/EDIFACT的安全等。11.1.3電子商務(wù)的安全要素11.1

電子商務(wù)安全基礎(chǔ)

2.電子商務(wù)應(yīng)用中的安全協(xié)議及規(guī)范

電子商務(wù)應(yīng)用中的安全無協(xié)議和規(guī)范主要有四種。3）安全交易技術(shù)協(xié)議STT（SecureTransactionTechnology）微軟公司在IE瀏覽器中采用的技術(shù)，STT將認(rèn)證和解密在瀏覽器中分離，用以提高安全控制能力。

一個(gè)相對(duì)完整的電子商務(wù)安全體系由由網(wǎng)絡(luò)基礎(chǔ)設(shè)施層、PKI體系結(jié)構(gòu)層、安全協(xié)議層、安全應(yīng)用技術(shù)層、行為控制管理層和安全立法層6部分組成。通過此體系，有效組織和實(shí)施電子商務(wù)安全系統(tǒng)的管理規(guī)劃、設(shè)計(jì)、監(jiān)控和決策，并保證在最佳安全狀態(tài)下正常高效運(yùn)轉(zhuǎn)。11.1.4電子商務(wù)的安全體系11.1

電子商務(wù)安全基礎(chǔ)電子商務(wù)安全體系是一龐大而復(fù)雜結(jié)構(gòu)不僅包括安全基礎(chǔ)設(shè)備、安全和加密技術(shù)、交易技術(shù)協(xié)議、安全支付機(jī)制等技術(shù)領(lǐng)域的體系基礎(chǔ)，而且涉及行業(yè)自律、政府監(jiān)管、意識(shí)形態(tài)、法律法規(guī)等管理領(lǐng)域的上層建筑。電子商務(wù)安全體系結(jié)構(gòu)拓展電子商務(wù)安全技術(shù)

[拓展]電子商務(wù)安全體系包括5部分：服務(wù)器端、銀行端、客戶端、認(rèn)證機(jī)構(gòu)和商家。認(rèn)證機(jī)構(gòu)是安全關(guān)鍵.

11.1.4電子商務(wù)的安全體系11.1

電子商務(wù)安全基礎(chǔ)通過建立完善的電子商務(wù)安全體系，可以有效組織和實(shí)施電子商務(wù)安全系統(tǒng)的管理規(guī)劃、設(shè)計(jì)、監(jiān)控和決策，同時(shí)又是保證電子商務(wù)系統(tǒng)在最佳安全狀態(tài)下正常高效運(yùn)轉(zhuǎn)的關(guān)鍵一環(huán)。PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。其中，下層是上層的基礎(chǔ)，為上層提供相應(yīng)的技術(shù)支持。上層是下層的擴(kuò)展與遞進(jìn)，各層次之間相互依賴、相互關(guān)聯(lián)構(gòu)成統(tǒng)一整體。通過不同的安全控制技術(shù)，實(shí)現(xiàn)各層的安全策略，保證電子商務(wù)系統(tǒng)的安全。

討論思考：1）舉例說明電子商務(wù)遭受安全威脅的實(shí)例？2）電子商務(wù)的安全主要與哪些因素有關(guān)？3）電子商務(wù)的安全體系主要包括哪些方面？

常用的網(wǎng)絡(luò)安全技術(shù)包括：電子安全交易技術(shù)、硬件隔離技術(shù)、數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)、安全技術(shù)協(xié)議、安全檢測(cè)與審計(jì)、數(shù)據(jù)安全技術(shù)、防火墻技術(shù)、計(jì)算機(jī)病毒防范技術(shù)以及網(wǎng)絡(luò)商務(wù)安全管理技術(shù)等。11.2.1電子商務(wù)的安全技術(shù)

一個(gè)全方位的網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、用戶安全、信息加密、安全傳輸和管理安全等。在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，可以極大提高惡意攻擊的難度，并通過審核信息量，對(duì)入侵者進(jìn)行跟蹤。11.2

電子商務(wù)的安全技術(shù)和交易網(wǎng)絡(luò)安全核心系統(tǒng)在實(shí)現(xiàn)一個(gè)完整或較完整的安全體系的同時(shí)也能與傳統(tǒng)網(wǎng)絡(luò)協(xié)議保持一致，它以密碼核心系統(tǒng)為基礎(chǔ)，支持不同類型的安全硬件產(chǎn)品，屏蔽安全硬件的變化對(duì)上層應(yīng)用的影響，實(shí)現(xiàn)多種網(wǎng)絡(luò)安全協(xié)議，并以此為基礎(chǔ)提供各種安全的商務(wù)業(yè)務(wù)和應(yīng)用。

其實(shí)SSL就是在和對(duì)方通信前預(yù)先協(xié)商好的一套方法，這套方法能夠在雙方之間建立一個(gè)電子商務(wù)的安全性秘密信道，確保電子商務(wù)的安全性，凡是不希望被別人看到的機(jī)密數(shù)據(jù)，都可通過這個(gè)秘密信道傳送給對(duì)方，即使通過公共線路傳輸，也不必?fù)?dān)心別人的偷窺。SSL為快速架設(shè)商業(yè)網(wǎng)站提供比較可靠的安全保障，并且成本低廉，容易架設(shè)。11.2.2網(wǎng)上交易安全協(xié)議

安全套接層協(xié)議(SecureSocketsLayer，SSL)為一種傳輸層技術(shù)，主要用于實(shí)現(xiàn)兼容瀏覽器和Web服務(wù)器之間的安全通信。SSL協(xié)議是目前網(wǎng)上購物網(wǎng)站中經(jīng)常使用的一種安全協(xié)議。使用它在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性，讓瀏覽器和Web服務(wù)器能夠安全地進(jìn)行溝通。11.2

電子商務(wù)的安全技術(shù)和交易

1.安全套接層協(xié)議SSL

（1）數(shù)據(jù)加密服務(wù)。SSL標(biāo)準(zhǔn)采用的是對(duì)稱加密技術(shù)與公開密鑰加密技術(shù)。SSL客戶機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換之前，首先需要交換SSL初始握手信息，在SSL握手時(shí)采用加密技術(shù)加密，保證數(shù)據(jù)在傳輸過程中不被截獲與篡改。（2）用戶身份認(rèn)證服務(wù)。SSL客戶機(jī)與服務(wù)器都有各自的識(shí)別號(hào)，這些識(shí)別號(hào)使用公開密鑰進(jìn)行加密。在客戶機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換時(shí)，SSL握手需要交換各自的識(shí)別號(hào)，以保證數(shù)據(jù)被發(fā)送到正確的客戶機(jī)或服務(wù)器上。（3）數(shù)據(jù)完整性服務(wù)。它采用哈希函數(shù)和機(jī)密共享的方法提供完整信息性的服務(wù)，在客戶機(jī)與服務(wù)器之間建立安全通道，以保證數(shù)據(jù)在傳輸中完整到達(dá)目的地。11.2.2網(wǎng)上交易安全協(xié)議SSL標(biāo)準(zhǔn)主要提供3種服務(wù)：數(shù)據(jù)加密服務(wù)、認(rèn)證服務(wù)與數(shù)據(jù)完整性服務(wù)。11.2

電子商務(wù)的安全技術(shù)和交易

2.

SSL提供的服務(wù)

11.2.2網(wǎng)上交易安全協(xié)議SSL標(biāo)準(zhǔn)的工作流程主要包括：SSL客戶機(jī)向SSL服務(wù)器發(fā)出連接建立請(qǐng)求，SSL服務(wù)器響應(yīng)SSL客戶機(jī)的請(qǐng)求；SSL客戶機(jī)與SSL服務(wù)器交換雙方認(rèn)可的密碼，一般采用的加密算法是RSA算法；檢驗(yàn)SSL服務(wù)器得到的密碼是否正確，并驗(yàn)證SSL客戶機(jī)的可信程度；SSL客戶機(jī)與SSL服務(wù)器交換結(jié)束的信息。圖11-2所示是SSL標(biāo)準(zhǔn)的工作流程。11.2

電子商務(wù)的安全技術(shù)和交易

3.

SSL工作流程及原理圖11-2SSL工作流圖

SSL安全協(xié)議缺點(diǎn)，主要包括：不能自動(dòng)更新證書；認(rèn)證機(jī)構(gòu)編碼困難；瀏覽器的口令具有隨意性；不能自動(dòng)檢測(cè)證書撤銷表；用戶的密鑰信息在服務(wù)器上是以明文方式存儲(chǔ)的。另外，SSL雖然提供了信息傳遞過程中的安全性保障，但是信用卡的相關(guān)數(shù)據(jù)應(yīng)該是銀行才能看到，然而這些數(shù)據(jù)到了商家端都被解密，客戶的數(shù)據(jù)都完全暴露在商家的面前。SSL安全協(xié)議雖然存在弱點(diǎn)，但由于它操作容易，成本低，而且又在不斷改進(jìn)，所以在歐美等地的商業(yè)網(wǎng)站的應(yīng)用是非常廣泛。11.2.2網(wǎng)上交易安全協(xié)議

在完成以上交互過程后，SSL客戶機(jī)與SSL服務(wù)器之間傳送的信息都是加密的，收信方解密而無法了解信息的內(nèi)容。在電子商務(wù)交易過程中，由于有銀行參與交易過程，客戶購買的信息首先發(fā)往商家，商家再將這些信息轉(zhuǎn)發(fā)給銀行，銀行驗(yàn)證客戶信息的合法性后，通知商家付款成功，商家再通知客戶購買成功，然后將商品送到客戶手中。11.2

電子商務(wù)的安全技術(shù)和交易

3.

SSL工作流程及原理

11.2.3網(wǎng)絡(luò)安全電子交易網(wǎng)絡(luò)安全電子交易（SecureElectronicTransaction，SET）是一個(gè)通過Internet等開放網(wǎng)絡(luò)進(jìn)行安全交易的技術(shù)標(biāo)準(zhǔn)，1996年由兩大信用卡國際組織VISA和MasterCard共同發(fā)起制定并聯(lián)合推出。11.2

電子商務(wù)的安全技術(shù)和交易SET主要由3個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。

11.2.3網(wǎng)絡(luò)安全電子交易1)信息傳輸?shù)陌踩?)信息的相互隔離3)需要多方認(rèn)證：

①要對(duì)消費(fèi)者的信用卡認(rèn)證；

②要對(duì)網(wǎng)上商店進(jìn)行認(rèn)證；

③消費(fèi)者、商店與銀行之間的認(rèn)證。4)效仿EDI貿(mào)易形式，要求軟件遵循相同協(xié)議和報(bào)文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。5)交易的實(shí)時(shí)性11.2

電子商務(wù)的安全技術(shù)和交易

1.SET的主要目標(biāo)

11.2.3網(wǎng)絡(luò)安全電子交易1)持卡人2)網(wǎng)上商家3)收單銀行4)支付網(wǎng)關(guān)5)發(fā)卡銀行

電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行6)認(rèn)證中心CA——可信賴、公正的組織SET支付系統(tǒng)中的交易成員如圖11-3所示。11.2

電子商務(wù)的安全技術(shù)和交易

2.SET的交易成員

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

2.SET支付系統(tǒng)中的交易成員圖11-3SET支付系統(tǒng)中的交易成員

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

3.SET的技術(shù)范圍SET的技術(shù)范圍包括以下幾方面：加密算法、證書信息和對(duì)象格式、購買信息和對(duì)象格式、認(rèn)可信息和對(duì)象格式、劃賬信息和對(duì)象格式、對(duì)話實(shí)體之間消息的傳輸協(xié)議。

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

4.SET系統(tǒng)的組成SET系統(tǒng)的操作通過4個(gè)軟件完成，包括電子錢包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件，這4個(gè)軟件分別存儲(chǔ)在持卡人、網(wǎng)上商店、銀行以及認(rèn)證中心的服務(wù)器中，相互運(yùn)作完成整個(gè)SET交易服務(wù)。

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

4.SET系統(tǒng)的組成安全電子交易SET系統(tǒng)的一般模型如圖11-4所示所示。圖11-4安全電子商務(wù)組成

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

5.SET的認(rèn)證過程

基于SET協(xié)議電子商務(wù)系統(tǒng)的業(yè)務(wù)過程可分為注冊(cè)登記、申請(qǐng)數(shù)字證書、動(dòng)態(tài)認(rèn)證和商業(yè)機(jī)構(gòu)的處理。具體主要業(yè)務(wù)認(rèn)證過程有4個(gè)步驟：

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

5.SET系統(tǒng)的認(rèn)證過程（1）注冊(cè)登記當(dāng)一個(gè)機(jī)構(gòu)希望加入到基于SET協(xié)議的安全電子商務(wù)系統(tǒng)中時(shí)，必須先上網(wǎng)申請(qǐng)注冊(cè)登記，申請(qǐng)數(shù)字證書。每個(gè)在認(rèn)證中心進(jìn)行注冊(cè)登記的用戶都會(huì)得到雙鑰密碼體制的一對(duì)密鑰：一個(gè)公鑰和一個(gè)私鑰。公鑰用于提供對(duì)方解密和加密回饋的信息內(nèi)容，私鑰用于解密對(duì)方的信息和加密發(fā)出的信息。

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

5.SET系統(tǒng)的認(rèn)證過程

密鑰在加解密處理過程的作用包括:①對(duì)持卡人購買者的作用：用私鑰解密回函；用商家公鑰填發(fā)訂單；用銀行公鑰填發(fā)付款單和數(shù)字簽名等。②對(duì)銀行的作用：用私鑰解密付款及金融數(shù)據(jù)；用商家公鑰加密購買者付款通知。③對(duì)商家供應(yīng)商的作用：用私鑰解密訂單和付款通知；用購買者公鑰發(fā)出付款通知和代理銀行公鑰。

11.2

電子商務(wù)的安全技術(shù)和交易（2）申請(qǐng)數(shù)字證書SET數(shù)字證書申請(qǐng)工作的具體步驟如圖11-5所示。圖11-5SET數(shù)字證書申請(qǐng)工作具體步驟

11.2

電子商務(wù)的安全技術(shù)和交易（3）動(dòng)態(tài)認(rèn)證

注冊(cè)成功后，便可以在網(wǎng)絡(luò)上進(jìn)行電子商務(wù)活動(dòng)。在從事電子商務(wù)交易時(shí)，SET系統(tǒng)的動(dòng)態(tài)認(rèn)證工作過程如圖11-6所示。圖11-6SET系統(tǒng)的動(dòng)態(tài)認(rèn)證工作步驟

11.2

電子商務(wù)的安全技術(shù)和交易（4）商業(yè)機(jī)構(gòu)處理商業(yè)機(jī)構(gòu)處理流程商業(yè)機(jī)構(gòu)的處理工作步驟如圖11-7所示。圖11-7SET系統(tǒng)的商業(yè)機(jī)構(gòu)工作步驟

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

6.SET協(xié)議的安全技術(shù)

SET在不斷地完善和發(fā)展變化。SET有一個(gè)開放工具SETToolkit，任何電子商務(wù)系統(tǒng)都可以利用它處理操作過程中的安全和保密問題。其中支付和認(rèn)證是SETToolkit向系統(tǒng)開發(fā)者提供的兩大主要功能。

11.2.3網(wǎng)絡(luò)安全電子交易11.2

電子商務(wù)的安全技術(shù)和交易

6.SET協(xié)議的安全技術(shù)主要安全保障有以下3個(gè)方面：1)用雙鑰密碼體制加密文件；2)增加密鑰的公鑰和私鑰的字長；3)采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)和認(rèn)證檢查，以確保交易過程的安全可靠。安全保障措施的技術(shù)基礎(chǔ)有4個(gè)：1)利用加密方式確保信息機(jī)密性。2)以數(shù)字化簽名確保數(shù)據(jù)的完整性。3)使用數(shù)字化簽名和商家認(rèn)證確保交易各方身份的真實(shí)性。4)通過特殊的協(xié)議和消息形式確保動(dòng)態(tài)交互式系統(tǒng)可操作性。

討論思考：1）電子商務(wù)安全技術(shù)具體有哪些？2）怎樣理解網(wǎng)上交易安全協(xié)議的重要性？3）什么是網(wǎng)絡(luò)安全電子交易？

11.3.1基于Web安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)

安全套接層協(xié)議SSL是一種在兩臺(tái)主機(jī)之間提供安全通道的協(xié)議，具有保護(hù)傳輸數(shù)據(jù)以及識(shí)別通訊機(jī)器的功能.在協(xié)議棧中，SSL協(xié)議位于應(yīng)用層下TCP層之上，并且整個(gè)SSL協(xié)議API和微軟提供的套接字層的API極為相似。目前，SSL之上的協(xié)議有http、nntp、smtp、telnet和FTP，另外,國內(nèi)開始用SSL保護(hù)專有協(xié)議。最常用的是Openssl開發(fā)工具包，用戶可以調(diào)用其中API實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用芙饷芤约吧矸葑R(shí)別。Microsoft的IIS服務(wù)器也提供了對(duì)SSL協(xié)議的支持。

11.3.1基于WEB安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)1.配置DNS、ActiveDirectory及CA服務(wù)

建立一個(gè)CA認(rèn)證服務(wù)器需要WindowsServer上有DNS和ActiveDirectory服務(wù)，并需要進(jìn)行配置。用戶只要按照“管理工具”中的“配置服務(wù)器”向?qū)Р僮骷纯?。另外，為了操作方便，CA認(rèn)證中心的頒發(fā)策略要設(shè)置成“始終頒發(fā)”。1)獲取WEB站點(diǎn)數(shù)字證書。2)安裝WEB站點(diǎn)數(shù)字證書。3)設(shè)置“安全通信”屬性。2.服務(wù)器端證書的獲取與安裝

11.3.1基于WEB安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)3.客戶端證書的獲取與安裝申請(qǐng)客戶端證書步驟：1)申請(qǐng)客戶端證書。2)安裝證書鏈或CRLC。

在瀏覽器中輸入網(wǎng)址https://WEB服務(wù)器地址：SSL端口/index.htm，其中https表示瀏覽器要通過安全信息通道（即SSL,安全套接層）訪問web站點(diǎn)，并且如果服務(wù)器的SSL端口不是默認(rèn)的443端口，那么在訪問的時(shí)候要指明SSL端口。在連接剛建立時(shí)，瀏覽器會(huì)彈出一個(gè)安全警報(bào)對(duì)話框，是瀏覽器在建立SSL通道之前對(duì)服務(wù)器端證書進(jìn)行分析，用戶單擊“確定”后，瀏覽器把客戶端已有的用戶證書全部顯示，供用戶選擇，選擇正確的證書后單擊“確定”。4.通過安全通道訪問需要認(rèn)證的WEB網(wǎng)站

11.3.1基于WEB安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)5.通過安全通道訪問Internet

在Internet上的數(shù)據(jù)信息基本是明文傳送，各種敏感信息遇到如嗅探等專業(yè)軟件就很容易泄密，網(wǎng)絡(luò)用戶沒有辦法保護(hù)各自的合法權(quán)益，網(wǎng)絡(luò)無法充分發(fā)揮其方便快捷安全高效的效能，會(huì)嚴(yán)重影響我國電子商務(wù)和電子政務(wù)的建設(shè)與發(fā)展，阻礙B/S系統(tǒng)軟件的推廣。通過研究國外的各種網(wǎng)絡(luò)安全解決方案，認(rèn)為采用最新的SSL（安全套接層）技術(shù)，構(gòu)建安全信息通道是一種在安全性，穩(wěn)定性，可靠性方面都很優(yōu)秀的解決方案。

11.3.1基于WEB安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)案例11－3

零售和高科技行業(yè)是最熱門的網(wǎng)絡(luò)攻擊目標(biāo)：在2022年的前六個(gè)月，針對(duì)在線應(yīng)用程序的惡意交易有所增加，主要是可預(yù)測(cè)的資源定位和注入攻擊。與2021年前六個(gè)月相比，惡意Web應(yīng)用程序交易數(shù)量增長了38%，超過了2020年記錄的惡意交易總數(shù)?？深A(yù)測(cè)的資源定位攻擊占所有攻擊的48%，其次是代碼注入(17%)和SQL注入(10%)。受攻擊最多的行業(yè)是零售和批發(fā)貿(mào)易（27%）和高科技（26%）。運(yùn)營商和SaaS提供商排名第三和第四，分別承受了14%和7%的攻擊。

11.3.1基于WEB安全通道的構(gòu)建11.3構(gòu)建基于SSL的Web安全站點(diǎn)5.通過安全通道訪問Internet需要注意：基于安全通道的通信并不能保證傳輸過程中所有的信息都加密。例如通信目的地的IP地址是非加密，其主要原因在于DNS是非加密的。非加密的DNS會(huì)導(dǎo)致如下問題：1）網(wǎng)絡(luò)中間路由等都可嗅探通信內(nèi)容并可能篡改,造成釣魚詐騙和網(wǎng)絡(luò)攻擊；2）解析服務(wù)器不可信，污染DNS大量存在，造成用戶隱私大面積泄露，

各種定向廣告轟炸隨之而來；3）通過解析容易被防火墻識(shí)別，從而被對(duì)方加以各種限流和屏蔽。解決這些問題常用的是DNSoverhttps(DoH)，主要特點(diǎn)如下：1）DNS的解析請(qǐng)求和解析結(jié)果經(jīng)由中間路由時(shí)都不可被解密，實(shí)現(xiàn)了用戶端和解析服務(wù)器之間端到端的加密，隱私不在中途泄露；2）雙向請(qǐng)求和結(jié)果數(shù)據(jù)因?yàn)榧用芩惴ǖ拇嬖诒ＷC不可被篡改，阻止了借用DNS的釣魚攻擊和拒絕服務(wù)攻擊；3）無法通過判定用戶訪問域名的行為來觸發(fā)防火墻規(guī)則，有效保障上網(wǎng)體驗(yàn)和聯(lián)通性。

11.3.2證書服務(wù)的安裝與管理11.3構(gòu)建基于SSL的Web安全站點(diǎn)SSL所提供的安全業(yè)務(wù)有實(shí)體認(rèn)證、完整性和保密性，還可通過數(shù)字簽名提供不可否認(rèn)性。案例11－4

中華人民共和國電子簽名法：為保證電子商務(wù)的安全，國家2004年8月28日頒布了《中華人民共和國電子簽名法》，大力推進(jìn)電子簽名、電子認(rèn)證和數(shù)字證書等安全技術(shù)手段的廣泛應(yīng)用。目前版本是2019年4月23日第二次修正。

11.3.2證書服務(wù)的安裝與管理11.3構(gòu)建基于SSL的Web安全站點(diǎn)數(shù)字證書服務(wù)的安裝與管理可以通過以下方式進(jìn)行操作。1)打開Windows控制面板,單擊“添加/刪除程序”按鈕,再單擊“添加/刪除Windows組件”按鈕,彈出“Windows組件向?qū)А睂?duì)話框,選中“證書服務(wù)”復(fù)選框。圖11-8“Windows組件向?qū)А睂?duì)話框

11.3.2證書服務(wù)的安裝與管理11.3構(gòu)建基于SSL的Web安全站點(diǎn)

在WindowsServer控制面板，單擊“更改安全設(shè)置”，出現(xiàn)“Internet屬性對(duì)話框”（或在IE瀏覽器中選擇“工具”中的“Internet選項(xiàng)”），可以通過選擇“內(nèi)容”選項(xiàng)卡中“證書”按鈕，進(jìn)行數(shù)字證書對(duì)話框，如圖11-9所示對(duì)話框。圖11-9Windows控制面板對(duì)話框

11.3.2證書服務(wù)的安裝與管理11.3構(gòu)建基于SSL的Web安全站點(diǎn)

單擊“內(nèi)容”選項(xiàng)卡中“證書”按鈕，出現(xiàn)“證書”對(duì)話框。單擊“高級(jí)選項(xiàng)”可以出現(xiàn)如圖11-10所示的“高級(jí)選項(xiàng)”對(duì)話框。圖11-10Windows“證書”及“高級(jí)選項(xiàng)”對(duì)話框

11.3.2證書服務(wù)的安裝與管理11.3構(gòu)建基于SSL的Web安全站點(diǎn)

在“Windows組件向?qū)А睂?duì)話框中單擊“下一步”，彈出提示信息對(duì)話框，見到如圖11-11所示的提示安裝證書服務(wù)后，計(jì)算機(jī)名稱和域成員身份將不可再改變，單擊“是”按鈕。圖11-11安裝證書服務(wù)的提示信息對(duì)話框

討論思考：1）如何進(jìn)行基于WEB信息安全通道的構(gòu)建？2）證書服務(wù)的安裝與管理過程主要有哪些？

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案1.網(wǎng)絡(luò)銀行系統(tǒng)數(shù)字證書解決方案案例11－5

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(1)方案在技術(shù)上的優(yōu)勢(shì)

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(1)方案在技術(shù)上的優(yōu)勢(shì)

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(2)系統(tǒng)結(jié)構(gòu)框架銀行RA和其他RA的主要職能：1)審核用戶提交的證書申請(qǐng)信息。2)審核用戶提交的證書廢除信息。3)進(jìn)行數(shù)字證書代理申請(qǐng)。4)完成證書代理更新功能。5)批量申請(qǐng)信息導(dǎo)入功能。

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(3)RA體系

本方案中網(wǎng)銀系統(tǒng)下屬的柜面終端在接受用戶申請(qǐng)輸入信息時(shí)將數(shù)據(jù)上傳給網(wǎng)銀系統(tǒng)，網(wǎng)銀整合RA系統(tǒng)直接通過Internet網(wǎng)絡(luò)連接CA系統(tǒng)，由CA系統(tǒng)簽發(fā)證書給網(wǎng)銀整合RA系統(tǒng)，該系統(tǒng)一方面將證書發(fā)放給柜面，使用戶獲取，一方面將證書信息存儲(chǔ)進(jìn)證書存儲(chǔ)服務(wù)器。同時(shí)該系統(tǒng)還提供證書的查詢、更新廢除等功能。

RA證書申請(qǐng)、更新與廢除過程：1)RA證書申請(qǐng)。由銀行的柜面系統(tǒng)錄入用戶信息，上傳至網(wǎng)銀系統(tǒng)和RA系統(tǒng)，在由其將信息傳送用戶管理系統(tǒng)保存及傳送上海CA，由CA簽發(fā)證書，證書信息回送網(wǎng)銀系統(tǒng)和RA系統(tǒng)，由其將證書信息存儲(chǔ)用戶管理系統(tǒng)并將其發(fā)送柜面系統(tǒng)，發(fā)放給實(shí)際用戶。網(wǎng)銀系統(tǒng)和RA系統(tǒng)證書申請(qǐng)，如圖11-12所示。

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(3)RA體系圖11-12網(wǎng)銀系統(tǒng)和RA系統(tǒng)證書申請(qǐng)

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案(3)RA體系

2)RA證書更新。證書更新時(shí)，由用戶提交柜面系統(tǒng)，柜面系統(tǒng)將更新請(qǐng)求傳送網(wǎng)銀系統(tǒng)和RA系統(tǒng)，由其在用戶管理系統(tǒng)中查詢到其信息，然后上送上海CA，由CA重新簽發(fā)證書，回送網(wǎng)銀系統(tǒng)和RA系統(tǒng)，再由其將證書信息保存用戶管理及發(fā)放。

3)RA證書廢除。證書廢除時(shí)，由用戶向柜面提起請(qǐng)求或網(wǎng)銀系統(tǒng)和RA系統(tǒng)處查詢到證書過期，將該證書廢除，然后由網(wǎng)銀系統(tǒng)和RA系統(tǒng)將信息保存用戶管理系統(tǒng)。

11.4.1數(shù)字證書解決方案11.4電子商務(wù)安全解決方案2.移動(dòng)電子商務(wù)安全解決方案隨著國內(nèi)外現(xiàn)代移動(dòng)通信技術(shù)的迅速發(fā)展，人們可以借助移動(dòng)電腦和手機(jī)等終端設(shè)備隨時(shí)隨地接入網(wǎng)絡(luò)進(jìn)行交易和數(shù)據(jù)交換，如股票及證券交易、網(wǎng)上瀏覽及購物、電子轉(zhuǎn)帳等，極大地促進(jìn)了移動(dòng)電子商務(wù)的廣泛發(fā)展。移動(dòng)電子商務(wù)作為移動(dòng)通信應(yīng)用的一個(gè)主要發(fā)展方向，與Internet上的在線交易相比有著許多優(yōu)點(diǎn)，因此倍受關(guān)注，而移動(dòng)交易系統(tǒng)的安全是推廣移動(dòng)電子商務(wù)必須解決的關(guān)鍵問題。

數(shù)字證書是帶有用戶信息和密鑰的一個(gè)數(shù)據(jù)文件，保護(hù)數(shù)字證書本身是PKI體系中最重要的的環(huán)節(jié)之一。數(shù)字證書可以保存在諸如光盤、移動(dòng)硬盤等各種存儲(chǔ)介質(zhì)上，同時(shí)滿足容易攜帶、不易損壞和難以被非法復(fù)制這些特性，USBKey是數(shù)字證書載體是不錯(cuò)的載體。

USBKey作為移動(dòng)數(shù)字證書，它存放著用戶的個(gè)人私鑰信息，并不可讀取。而服務(wù)提供者（銀行、券商等）端記錄著用戶的公鑰信息。當(dāng)用戶嘗試進(jìn)行網(wǎng)上交易時(shí)，服務(wù)器會(huì)向其發(fā)送由時(shí)間字串、地址字串、交易信息字串和防重放攻擊字串組合在一起進(jìn)行加密后得到的字串，USBKey利用用戶的私鑰對(duì)字串進(jìn)行不可逆運(yùn)算得到新的字串，并將字串發(fā)送給服務(wù)器，服務(wù)器端也同時(shí)進(jìn)行該不可逆運(yùn)算，如果兩方運(yùn)算結(jié)果一致便認(rèn)為用戶合法，交易便可以完成。

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案1.USBKey技術(shù)概述

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案2.USBKey的安全保障機(jī)制

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案2.USBKey的安全保障機(jī)制

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案2.USBKey的安全保障機(jī)制

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案2.USBKey的安全保障機(jī)制

USBKey內(nèi)置CPU或智能卡芯片，可以實(shí)現(xiàn)數(shù)據(jù)摘要、數(shù)據(jù)加解密和簽名的各種算法，加解密運(yùn)算在USBKey內(nèi)進(jìn)行，保證了用戶密鑰不會(huì)出現(xiàn)在計(jì)算機(jī)內(nèi)存中。

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案3.USBKey身份認(rèn)證的系統(tǒng)流程

11.4.2USBKey技術(shù)在安全網(wǎng)絡(luò)支付中的應(yīng)用11.4電子商務(wù)安全解決方案3.USBKey身份認(rèn)證的系統(tǒng)流程

討論思考：1）USBKey是如何保證用戶認(rèn)證過程的真實(shí)性？2）簡(jiǎn)述服務(wù)器端驗(yàn)證用戶身份并傳輸數(shù)據(jù)通信流程。人工智能技術(shù)正在給電子商務(wù)帶來顛覆性的變革，諸如視覺搜索與圖像識(shí)別、產(chǎn)品推薦、美工美圖和智能助手等領(lǐng)域已經(jīng)在電子商務(wù)中得到了廣泛的應(yīng)用。與此同時(shí)，用來守護(hù)系統(tǒng)安全的AI和用來攻擊系統(tǒng)安全的AI也都相繼出現(xiàn)。從利用AI強(qiáng)化系統(tǒng)安全為出發(fā)點(diǎn)，結(jié)合利用AI強(qiáng)化系統(tǒng)安全和AI可能被惡意攻擊的一些特征來綜合分析AI在電子商務(wù)安全中的應(yīng)用。

*11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用

*11.5.1AI在防范網(wǎng)絡(luò)攻擊中的應(yīng)用11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用1.檢測(cè)病毒和惡意軟件

11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用2.日志的監(jiān)視和解析*11.5.1AI在防范網(wǎng)絡(luò)攻擊中的應(yīng)用

11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用3.對(duì)用戶的持續(xù)認(rèn)證*11.5.1AI在防范網(wǎng)絡(luò)攻擊中的應(yīng)用隨著AI技術(shù)的進(jìn)步，在不同領(lǐng)域突破圖靈測(cè)試的AI已經(jīng)不是幻想，GoogleI/O2018大會(huì)最后一日，Alphabet新任董事長JohnHennessy表示：在預(yù)約領(lǐng)域，他們開發(fā)的AI已經(jīng)通過了圖靈測(cè)試。也就是說網(wǎng)絡(luò)或電話的另一端是人還是AI已經(jīng)難于區(qū)分。生活中最常見的一個(gè)例子就是成千上萬的騷擾電話就是通過AI撥打的。另外通過圖像識(shí)別、聲音識(shí)別突破網(wǎng)絡(luò)認(rèn)證，實(shí)施網(wǎng)絡(luò)攻擊的其他例子也比比皆是。防范這類危險(xiǎn)的有效方法是通過大數(shù)據(jù)標(biāo)記這些有可能包含詐騙行為的電話號(hào)碼、網(wǎng)絡(luò)機(jī)器人和非法IP地址等，運(yùn)營商、用戶和第三方安全廠商三位一體，共同抵御防范這類安全風(fēng)險(xiǎn)。

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用1.防范模仿人類行為的AI攻擊

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用2.防范AIF攻擊（AIFuzzing）

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用3.防范Deepfake攻擊

Deepfake

是深度學(xué)習(xí)和贗品（fake）的合成詞，是指利用AI合成高度逼真的畫像、音聲和影像技術(shù)。這其中有一種被稱為GAN（生成對(duì)抗網(wǎng)絡(luò)）的新興技術(shù)被廣泛應(yīng)用，通過將兩個(gè)神經(jīng)網(wǎng)絡(luò)的對(duì)抗作為訓(xùn)練準(zhǔn)則，可以自動(dòng)生成圖像，包括自動(dòng)篡改圖像。早在2015年，GAN就被用于制作教皇表演“抽桌布”戲法的假視頻，由于過于逼真，很快就火遍網(wǎng)絡(luò)。利用這種技術(shù)合成的聲音或圖形往往能夠以假亂真，詐騙組織或犯罪分子通常用來行騙或散布謠言、左右輿論，最終得逞的可能性極大。而在電子商務(wù)中，購物網(wǎng)站上的機(jī)器人水軍已經(jīng)很成規(guī)模，很多商品評(píng)價(jià)已經(jīng)由機(jī)器自動(dòng)生成，不再需要雇人“灌水”。大量虛假評(píng)價(jià)的涌入，甚至不需要做到以假亂真，就能將真實(shí)評(píng)價(jià)淹沒。

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用3.防范Deepfake攻擊針對(duì)這種攻擊，專家正在探索的基于深度學(xué)習(xí)的抗編輯視頻水印技術(shù)是一種有效的防范技術(shù)。這種技術(shù)要求水印在視頻中是隱藏著的，不能夠被編輯，人工智能的深度學(xué)習(xí)技術(shù)被用來嵌入這些數(shù)字水印。一旦有了這種水印，圖像聲音等是否被非法修改就可以通過水印的完整性來簡(jiǎn)單確認(rèn)。除了技術(shù)手段外，廣泛宣傳、強(qiáng)化認(rèn)知、多渠道確認(rèn)和不盲目傳播等素質(zhì)教育手段也是防止這種攻擊的有效手段。

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用4.防范數(shù)據(jù)投毒攻擊

*11.5.2防范利用AI及面向AI的安全攻擊11.5AI技術(shù)在電子商務(wù)中的安全應(yīng)用5.防范模型提取攻擊模型提取攻擊是另一種針對(duì)機(jī)器學(xué)習(xí)的攻擊手法，在此攻擊中，具有黑盒訪問但沒有ML模型的參數(shù)或訓(xùn)練數(shù)據(jù)的先驗(yàn)知識(shí)的對(duì)手旨在竊取模型的功能。模型提取攻擊示意圖如圖11-13。圖11-13模型提取攻擊示意圖

討論思考：1）AI在防范網(wǎng)絡(luò)攻擊中的應(yīng)用方式有哪些？2）Deepfake攻擊的主要基本原理是什么？3）人類應(yīng)如何從認(rèn)知的層面緩解AI威脅？

11.6.1物聯(lián)網(wǎng)的發(fā)展?fàn)顩r11.6電子商務(wù)中物聯(lián)網(wǎng)設(shè)備的安全問題與防范案例11－7

物聯(lián)網(wǎng)的攻擊：根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù)，自2022年06月1日至30日，共捕獲物聯(lián)網(wǎng)惡意樣本486,620個(gè)，發(fā)現(xiàn)活躍的僵尸網(wǎng)絡(luò)服務(wù)器地址4,083個(gè)，其地址位置主要分布在美國38.8%、中國8.5%、俄羅斯7.5%等國家。針對(duì)物聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊主要使用密碼爆破、漏洞利用等方式進(jìn)行感染和控制設(shè)備，根據(jù)CNCERT監(jiān)測(cè)分析，本月發(fā)現(xiàn)607類活躍的物聯(lián)網(wǎng)在野漏洞攻擊，發(fā)現(xiàn)針對(duì)的物聯(lián)網(wǎng)設(shè)備在野漏洞攻擊行為14億307萬次，發(fā)現(xiàn)活躍的被感染僵尸節(jié)點(diǎn)IP有1,703,631個(gè)。

11.6.1物聯(lián)網(wǎng)的發(fā)展?fàn)顩r11.6電子商務(wù)中物聯(lián)網(wǎng)設(shè)備的安全問題與防范

11.6.2IOT設(shè)備面