【文档说明】第5章电子商务安全.pptx，共(57)页，2.188 MB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-332977.html

以下为本文档部分文字说明：

第五章电子商务安全第五章电子商务安全熟悉电子商务安全的含义了解目前常见的电子商务安全威胁掌握电子商务安全的需求了解电子商务安全常见的技术了解电子商务安全协议2023/9/72学习目标5.1电子商务安全概述电子商务的一个重要技术特征是利用IT技术来传输和处理商业

信息。因此，电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全和数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性。

2023/9/735.1电子商务安全概述5.1.1电子商务安全要素由于电子商务是在互联网环境下进行的商务活动，交易的安全性、可靠性和匿名性一直是人们在交易活动中最为关注的问题。因此，为了保证电子商务整个交易活动的顺利进行，电子

商务系统必须具备以下几个安全要素：➢有效性和真实性➢机密性和隐私权➢数据的完整性➢可靠性和不可抵赖性➢审查能力2023/9/745.1电子商务安全概述5.1.2电子商务的安全威胁及主要的安全技术电子商务的安全威胁包括：

信息在网络的传输过程中被截获、传输的文件被篡改、假冒他人身份、不承认已经做过的交易、抵赖、非法访问和计算机病毒等。电子商务的主要安全技术包括：加密技术、认证技术、数字签名、安全套接字协议（SSL）和安全电子交易规范（SET）。2023/9/75【案例】开发

理财软件留“后门”2009年7月，某金融机构委托某公司开发一个银行理财产品的计算机程序，该公司便让其员工邹某负责研发。邹某在未告知公司和该金融机构的情况下私自在程序中加入了一个后门程序。之后程序研发顺利完成并

交付至该金融机构投入运行。自2009年11月至今年6月期间，邹某又先后多次通过后门程序进入上述系统，并采用技术手段非法获取了70多名客户的客户资料、密码，非法查询了多名客户的账户余额，同时将23名客户的账户资金在不同的客户账户上相互转入转出，涉及金额共计1万余元。自2009年9月起，该金融机

构就陆续接到客户投诉，于是于2010年6月联系上述研发公司进行检测，终于发现了这个秘密的“后门程序”，立即向公安机关报案。公安机关于当月将犯罪嫌疑人邹某抓获归案。5.2信息加密技术为保证数据和交易的安全、防止欺骗，

确认交易双方的真实身份，电子商务必须采用加密技术，加密技术是指通过使用代码或密码来保障数据的安全性。欲加密的数据称为明文，明文经过某种加密算法作用后，转换成密文，我们将明文转换为密文的这一过程称为加密，将密文经解密

算法作用后形成明文输出的这一过程称为解密。加密算法中使用的参数称为密钥，密钥长度越长，密钥的空间就越大，遍历密钥空间所花的时间就越多，破译的可能性就越小。以密钥类型划分，可将密钥系统分为对称密钥系统和非对称密钥系统。5.2信

息加密技术5.2.1密码学概述一般的数据加密模型如图5-1所示，它是采用数学方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的内容对于非法者来说成为无意义的文字（密文），而对于合法的接收者，由于掌握正确的密钥，可以通过访问解密过程得到原始数据。密码学分为两类：密码编码学和密码分析学。

5.2信息加密技术5.2.1密码学概述图5-1数据加密模型5.2信息加密技术5.2.2对称密钥系统对称密钥系统，又称单钥密钥系统或密钥系统，是指在对信息的加密和解密过程中使用相同的密钥。也就是说，私钥密钥就是将加密密钥和解密密钥作为一把密钥。对称加密、解密的过程如

图5-2所示。图5-2对称加密、解密过程5.2信息加密技术5.2.2对称密钥系统对称密钥系统的安全性依赖于两个因素：第一，加密算法必须是足够强的，仅仅基于密文本身去解密信息在实践上是不可能的；第二，加密方法的安全性依赖于密钥

的秘密性，而不是算法的秘密性。密码学的一个原则是“一切秘密寓于密钥之中”，算法可以公开，因此，我们没有必要确保算法的秘密性，而需要保证密钥的秘密性。对称密钥系统的这些特点使其有着广泛的应用。5.2信息加密技术5.2.2对称密钥系统DES算法大致可以分成四个部分：初

始置换、迭代过程、逆置换和子密钥生成。图5-4DES加密算法过程64位明文输入密文输出初始置换P初始逆置换P-1L0R0L1=R0R1=L0⊕f（R0，K1）L2=R1L15=R14f+f+f+fR16=L15⊕f（R15，K16）+R2=L1⊕f（R1，K2）R

15=L14⊕f（R14，K15）L16=R15K1K2KnK165.2信息加密技术5.2.3非对称密钥系统公钥密文私钥明文明文加密解密图5-5非对称加密、解密过程5.2信息加密技术5.2信息加密技术5.2信息加密技术两种加密方法各有优缺点，对称加密体制的编码效率高，但在

密钥分发与管理上存在困难，而非对称密码体制可以很好地解决这个问题。因此，可以组合使用这两种加密方法，如图5-6所示。图5-6两种加密组合使用5.3信息认证技术在电子商务中，由于参与的各方往往是素未谋面的，身份认证成了必须解决的问题，即

在电子商务中，必须解决不可抵赖性问题。交易抵赖包括多个方面，如发言者事后否认曾经发送过某条信息或内容，收信者事后否认曾经收到过某条消息或内容，购买者做了订货单不承认，商家卖出的商品因价格差而不承认原有的交易等。电子商务关系到贸易双方的商业交易，如何确定要进行交易的贸易方正是所期望

的贸易伙伴这一问题则是保证电子商务顺利进行的关键。5.3信息认证技术5.3.1身份认证身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中，一切信息（包括用户的身份信息）都是由一组特定的数据表示的，计算机只能识别用户的数字身份，给用户的授权

也是针对用户数字身份进行的。而我们的生活从现实世界到一个真实的物理世界，每个人都拥有独一无二的物理身份。5.3信息认证技术5.3.1身份认证1.密码方式密码方式是最简单也是最常用的身份认证方法，是基于“whatyouknow”的验证手段。每个用户的密码是由

用户自己设定的，只有用户自己才知道。只要能够正确输入密码，计算机就认为操作者是合法用户。由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每次验证使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此密码方式是一种不安全

的身份认证方式。5.3信息认证技术5.3.1身份认证2.生物学特征生物学特征认证是指采用每个人独一无二的生物学特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物学特征认证是最可靠的身份认证方式，

因为它直接使用人的生理特征来表示每个人的数字身份，不同的人具有不同的生物学特征，因此几乎不可能被仿冒。5.3信息认证技术5.3.1身份认证3.动态口令动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只

能使用一次的技术。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法

用户的身份。5.3信息认证技术5.3.1身份认证4.USBKey认证基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。US

BKey是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。USBKey的硬件和PIN码构成了可以使用证书的两个必要因素。如果用户PIN码被泄

漏，只要USBKey本身不被盗用即安全。黑客如果想要通过破解加密狗的方法破解USBKey，那么需要先偷到用户USBKey的物理硬件，而这几乎是不可能的。5.3信息认证技术5.3.2数字摘要与数字签名1.数字摘要数字摘要简要地描述了一份较长的信息或文件，它可

以被看作一份长文件的“数字指纹”。信息摘要用于创建数字签名，对于特定的文件而言，信息摘要是唯一的。信息摘要可以被公开，它不会透露相应文件的任何内容。数字摘要就是采用单向散列函数将需要加密的明文“摘要”成一串固定长度（128位）的密文，这一串密文又称为数字指纹，它

有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。5.3信息认证技术5.3.2数字摘要与数字签名2.数字签名在传统的交易中，我们是用书面签名来确定身份的。在书面文件上签名的作用有两点，一是确定为自己所签署难以否认；二是因为

签名不易仿冒，从而判断文件是否为非伪造签署文件。随着电子商务的应用，人们希望通过数字通信网络迅速传递贸易合同，这就出现了合同真实性认证的问题，数字签名就应运而生了。5.3信息认证技术5.3.2数字摘要与数字签名信息

摘要RSA私钥加密明文发送方的私钥数字签名图5-7生成数字签名流程5.3信息认证技术5.3.2数字摘要与数字签名图5-8数字签名的过程示意5.3信息认证技术5.3.3数字信封与数字时间戳1.数字信封数字信封是用加密技术来保证只有特定的收信人才能阅读信的内容。在数字信封

中，信息发送方采用对称密钥来加密信息，为了能安全地传输对称密钥，将对称密钥使用接收方的公开密钥来加密（这部分称为“数字信封”）之后，将它和对称加密信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。采用数字信封技术后，即使加密文件被他人非法截获，截获

者由于无法得到发送方的通信密钥，也不可能对文件进行解密。5.3信息认证技术5.3.3数字信封与数字时间戳图5-9数字信封的生成5.3信息认证技术5.3.3数字信封与数字时间戳5-10数字信封的解除5.3信息认证技术5.3.3数字信封

与数字时间戳2.数字时间戳在电子交易中，需对交易文件的日期和时间采取安全措施，而数字时间戳就能提供电子文件发表时间的安全保护。数字时间戳服务（DTS）是网络安全服务项目，由专门的机构提供。时间戳是一个经加密后

形成的凭证文档，它包括3个部分：需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。DTS的过程为：用户将需要加上时间的文件生成文件摘要，然后将摘要传给DTS服务机构；DTS将收到的摘要加上时间，再用自己的私钥

进行加密；最后将加有时间和数字签名的文件发回给客户，完成数字时间戳的服务过程。5.3信息认证技术5.3.3数字信封与数字时间戳图5-11数字时间戳的使用5.3信息认证技术5.3.4数字证书1.数字证书的含义数字证书就是网络通信中标志各通信方身份信息的一系列数据，其作用

类似于现实生活中的身份证。它是由权威机构发行的，人们可以在交往中用它来识别对方的身份。数字证书的内容由6个部分组成：用户的公钥、用户名、公钥的有效期、CA颁发者（颁发数字证书的CA）、数字证书的序列号、颁发者的数字签名。

5.3信息认证技术5.3.4数字证书2.数字证书的应用数字证书由CA颁发，并利用CA的私钥签名。CA中心所发放的数字安全证书可以应用于公众网络上的商务和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包

括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、科研单位和医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、网上证券交易和网上银行等方面。CA中心还可以与企业代码中心合作，将企业代码证和企业数字安全证书一体化，为企业网上交易、网上报税和网上作业奠定基础。数

字证书广泛应用，对网络经济活动有非常重要的意义。5.3信息认证技术5.3.5认证中心CA（CertificationAuthority）是认证机构的国际通称，主要对数字证书进行管理，负责证书的申请、审批、发放、归档、撤销、更新和废止等。CA的作用

是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改。CA是权威的、公正的提供交易双方身份认证的第三方机构，在电子商务体系中起着举足轻重的作用。数字证书实际上是存放在计算机上的一个记录，是由CA签发的一个声明，证明证书主体（“证书申请者”被发

放证书后即成为“证书主体”）与证书中所包含的公钥的唯一对应关系。证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期限等内容。数字证书的作用是使网上交易的双方互相验证身份，保证电子商务的正常进行。5.3信

息认证技术5.3.5认证中心一个CA系统主要包括以下几大组成部分：▪证书服务器▪证书注册中心系统▪证书客户端▪RA服务器▪密钥管理服务器▪证书目录服务器和证书/密钥数据库5.3信息认证技术5.3.5认证中心图5-12CA2000系统的组成【案例5】广东省电子商务认

证中心5.4电子商务安全协议5.4.1SSL协议SSL（SecureSocketLayer，安全套接层）协议是由Netscape公司研究制定的安全协议，该协议向基于TCP/IP的客户端/服务器应用程序提供客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。该协议通

过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用DES、MDS等加密技术来实现机密性和数据完整性，该协议已成为事实上的工业标准，并被广泛应用于互联网和内联网的服务器产品和客户端产品中，SSL是人们最信赖的协议。5.

4电子商务安全协议5.4.1SSL协议图5-14SSL协议的工作层次5.4电子商务安全协议5.4.1SSL协议5.4电子商务安全协议5.4.1SSL协议图5-15SSL握手协议5.4电子商务安全协议5.4.1SSL协议SSL协议在电子商务中也应用广泛。为了支付的安全性，客户、商

家、银行与支付平台都必须具有数字证书。其支付流程如下：➢当客户购物时，可先登录商家网站，通过SSL建立点对点的连接，客户浏览商品并下订单；➢商家将支付信息转发至第三方支付平台，经平台识别后，转发至相应客户的开户银行，这其中也是通过SSL建立起端对端的连接；➢银行的网关在接受平台转

来的客户付款信息后，进行通信格式转换，传向银行后台核心业务系统进行授权；➢当授权成功后，即银行将客户买东西的金额，从客户的账号划入商家的账号，并回答平台授权完成，平台同时回答商家扣款成功的信息，商家回答客户交易成功。5.4电子商务安全协议5.4.2SET协议SET（Sec

ureElectronicTransaction）协议，即安全电子交易协议，是由MasterCard和Visa联合Netscape、Microsoft等公司，于1997年6月1日推出的一种电子支付模型。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。

SET协议是B2C上基于信用卡支付模式而设计的，它保证了在开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户、商家、银行之间通过信用卡的交易而设计的，它具有保证交易数据的完整性、交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。5.4电子商务安

全协议5.4.2SET协议SET交易流程➢客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息；➢商家要求客户用电子钱包付款；➢电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法；➢客户的电子钱包形成一个

包含订购信息与支付指令的报文发送给商家；➢商家将含有客户支付指令的信息发送给支付网关；➢支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文；➢商家向客户的电子钱包发送一个确认信息；➢将款项从客户账号转到商家账号，然后向顾客送货，交易结束。5.4

电子商务安全协议5.4.2SET协议图5-16SET协议交易的流程5.4电子商务安全协议5.4电子商务安全协议5.5其他电子商务安全5.5.1防火墙技术防火墙指的是一个由软件和硬件设备组合而成、在内部网

和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使互联网与内联网之间建立起一个安全网关（SecurityGateway），从而保

护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。5.5其他电子商务安全5.5.1防火墙技术图5-17防火墙

系统模型5.5其他电子商务安全5.5.1防火墙技术按软硬件形式分类：➢软件防火墙➢硬件防火墙按技术分类：➢包过滤防火墙➢应用层防火墙按结构形式分类：➢单一主机防火墙➢路由器集成式防火墙➢分布式防火墙5.5

其他电子商务安全5.5.2VPN技术VPN（VirtualPrivateNetwork，虚拟专用网络）指的是在公用网络上建立专用网络的技术。之所以称其为虚拟网，主要是因为整个VPN的任意两个节点之间的连接并没有传统专

网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如互联网、ATM（异步传输模式）、帧中继（FrameRelay）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用

网络的扩展。5.5其他电子商务安全5.5.2VPN技术图5-18VPN的使用背景5.5其他电子商务安全5.5.2VPN技术⚫VPN的优点：➢使用VPN可降低成本➢传输数据安全可靠➢连接方便灵活➢完全控制⚫VPN的特点：➢安全保障➢服务质量保证➢可扩充、灵活性➢可管

理性5.5其他电子商务安全5.5.2VPN技术⚫VPN的分类（1）按VPN的协议分类▪PPTP、L2TP和IPSec（2）按VPN的应用分类▪远程接入VPN▪内联网VPN▪外联网VPN（3）按所用的设备类型分类➢路由器式VPN➢交换机式VPN➢防火墙式VPN【思考题】1.电子商务的

安全性需求主要有哪几个方面？2.面对各种安全性威胁通常可以采用哪些安全策略？3.加密技术中对称加密和非对称加密有哪些异同点？4.数字签名的作用是什么？简述数字签名的实现这程。5.数字证书包括哪些主要内容？作用是什么？如何申请？6.简述CA认证中心在电子商务交易中的必要性。7.目前常用的电

子商务安全交易协议有哪些？其主要区别在哪里？8.什么是防火墙？主要类型有哪些？其安全策略是怎样的？【案例分析】“11•24”跨国网络诈骗案成功告破公安部于2012年11月30日在上海召开跨国网络诈骗案件通报会，向与会

的各国驻华警务联络官、驻沪领馆领事、安全官及部分在沪合资企业、中小企业代表通报了上海公安机关近期侦破的“11·24”跨国网络诈骗案主要情况，并提出了防范建议。2011年8月以来，来自美国、阿联酋、西班牙等多个国家的外贸公司委托其中方代理机构向上海公安机关报案，称其在与中

国境内外贸公司进行商务贸易过程中支付给中国外贸公司的货款被诈骗，被骗金额从数千到数十万美元不等。经调查发现，此类案件中的犯罪嫌疑人均以网络黑客手段侵入有贸易往来的外国和我国外贸公司的电子邮箱，监控双方贸易情况，一旦发现进行货款交易时，通过发送虚假信息邮件，诱骗外国

外贸公司将货款汇入犯罪嫌疑人指定的银行账号中。【案例分析】请根据上述案例材料，回答以下问题：1.上述案例涉及了本章的哪些知识点？2.如何减少和避免网络诈骗？ThankYou!