電子商務(wù)實(shí)務(wù)(第二版)配套課件

電子商務(wù)實(shí)務(wù)（第二版）高等教育出版社全國(guó)高職高專(zhuān)教育“十二五”規(guī)劃教材第二章電子商務(wù)安全一、學(xué)習(xí)目標(biāo)

了解常見(jiàn)的電子商務(wù)安全問(wèn)題

了解電子商務(wù)安全加密技術(shù)

了解電子商務(wù)安全認(rèn)證技術(shù)知識(shí)目標(biāo)

了解電子商務(wù)安全認(rèn)證體系

了解電子商務(wù)信用認(rèn)證的作用2能根據(jù)業(yè)務(wù)需要選擇合適的安全解決方案掌握CA認(rèn)證在電子商務(wù)交易過(guò)程中的使用能力目標(biāo)掌握信用認(rèn)證在電子商務(wù)交易過(guò)程中的使用一、學(xué)習(xí)目標(biāo)案例標(biāo)簽：揚(yáng)州市地稅局；數(shù)字證書(shū)；網(wǎng)上報(bào)稅系統(tǒng)案例網(wǎng)址：.cn案例導(dǎo)讀：1、揚(yáng)州市地稅局概況揚(yáng)州市地稅局準(zhǔn)備采用網(wǎng)上報(bào)稅的方式，由納稅人在互聯(lián)網(wǎng)上完成申報(bào)和繳稅。納稅人通過(guò)IE瀏覽器登錄到稅務(wù)局電子申報(bào)的WEB服務(wù)器上，輸入網(wǎng)上報(bào)稅系統(tǒng)為納稅人創(chuàng)建的用戶(hù)名和密碼（密碼登錄后可修改）進(jìn)入系統(tǒng)進(jìn)行報(bào)表填寫(xiě)。納稅人再將報(bào)表填寫(xiě)完后進(jìn)行申報(bào)（系統(tǒng)將納稅人提交的數(shù)據(jù)寫(xiě)到稅務(wù)局的數(shù)據(jù)庫(kù)中）和網(wǎng)上銀行繳稅，完成整個(gè)申報(bào)過(guò)程。二、案例導(dǎo)入揚(yáng)州市地稅局使用數(shù)字證書(shū)來(lái)解決網(wǎng)上報(bào)稅的安全問(wèn)題——天威誠(chéng)信2、網(wǎng)上報(bào)稅系統(tǒng)天威誠(chéng)信根據(jù)揚(yáng)州市地稅局網(wǎng)上報(bào)稅系統(tǒng)的應(yīng)用需求，采用天威誠(chéng)信的安證通（OnSite）產(chǎn)品和服務(wù)，采用基于服務(wù)的建設(shè)模式，為揚(yáng)州地稅建設(shè)一套CA認(rèn)證系統(tǒng)，CA系統(tǒng)的核心——CA中心托管建設(shè)在天威誠(chéng)信安全數(shù)據(jù)中心，在揚(yáng)州市本地建設(shè)CA系統(tǒng)提供給納稅人申請(qǐng)和管理證書(shū)的前臺(tái)——RA中心，并在揚(yáng)州市本地建設(shè)對(duì)整個(gè)CA系統(tǒng)進(jìn)行全權(quán)管理的前臺(tái)——CA管理（模塊），由它們共同為揚(yáng)州地稅納稅人提供證書(shū)認(rèn)證服務(wù)。建設(shè)的揚(yáng)州地稅CA認(rèn)證系統(tǒng)采用揚(yáng)州地稅自有的證書(shū)信任體系，頒發(fā)企業(yè)證書(shū)。天威誠(chéng)信為揚(yáng)州地稅網(wǎng)上報(bào)稅系統(tǒng)提供了解決方案，并協(xié)助開(kāi)發(fā)商對(duì)應(yīng)用系統(tǒng)進(jìn)行了集成，增加數(shù)字證書(shū)應(yīng)用的安全功能。二、案例導(dǎo)入通過(guò)建設(shè)的CA認(rèn)證系統(tǒng)，納稅人將采用如下流程進(jìn)行網(wǎng)上申報(bào)：（1）納稅人首先到稅務(wù)局進(jìn)行網(wǎng)上申報(bào)的申請(qǐng)；（2）稅務(wù)局審核通過(guò)后，通知納稅人進(jìn)行網(wǎng)上申報(bào)的培訓(xùn)；（3）培訓(xùn)同時(shí)將發(fā)給納稅人一個(gè)信封，里邊寫(xiě)有納稅人的用戶(hù)名和密碼及要登錄的網(wǎng)站地址和納稅人的證書(shū)；（4）納稅人回去后，在自己的計(jì)算機(jī)上安裝自己的證書(shū)；（5）納稅人登錄稅務(wù)局Web申報(bào)網(wǎng)站，提交納稅人的證書(shū)和Web申報(bào)網(wǎng)站建立SSL鏈接，Web申報(bào)網(wǎng)站驗(yàn)證納稅人提交的數(shù)字證書(shū)來(lái)認(rèn)證納稅人的身份，通過(guò)SSL鏈接來(lái)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性；（6）納稅人輸入用戶(hù)名和密碼完成網(wǎng)上申報(bào)流程。揚(yáng)州市地稅局CA系統(tǒng)及網(wǎng)上報(bào)稅系統(tǒng)安全集成已經(jīng)完成，如圖2-1所示。目前已經(jīng)正式使用，到現(xiàn)在為止，揚(yáng)州地稅CA系統(tǒng)已經(jīng)發(fā)放了大約1,000張證書(shū)，整個(gè)系統(tǒng)運(yùn)行穩(wěn)定，并且發(fā)放的數(shù)字證書(shū)已經(jīng)被納稅人在網(wǎng)上報(bào)稅系統(tǒng)中應(yīng)用，進(jìn)行安全的網(wǎng)上報(bào)稅。二、案例導(dǎo)入

二、案例導(dǎo)入圖2-1揚(yáng)州市地稅局網(wǎng)上報(bào)稅系統(tǒng)1、電子商務(wù)安全概述

（1）電子商務(wù)安全的重要性電子商務(wù)安全是電子商務(wù)的生存保障。它是市場(chǎng)游戲規(guī)則順利實(shí)施的前提，因?yàn)槭袌?chǎng)競(jìng)爭(zhēng)規(guī)則強(qiáng)調(diào)的是公平、公正和公開(kāi)，如果無(wú)法保證市場(chǎng)交易的安全，可能導(dǎo)致非法交易或者損害合法交易的利益。它是保證電子虛擬市場(chǎng)交易順利發(fā)展的前提，因?yàn)榫W(wǎng)上交易雖然可以降低交易費(fèi)用，但如果網(wǎng)上交易安全性無(wú)法得到保證，造成合法交易雙方利益的損失，可能導(dǎo)致交易雙方為規(guī)避風(fēng)險(xiǎn)選擇傳統(tǒng)的、更安全的交易方式。電子商務(wù)涉及國(guó)家經(jīng)濟(jì)安全，作為國(guó)家基本經(jīng)濟(jì)活動(dòng)的商務(wù)活動(dòng)如果受到破壞、攻擊，產(chǎn)生混亂，社會(huì)生活就不得安寧。三、知識(shí)學(xué)習(xí)（2）電子商務(wù)的安全要素①有效性。②保密性。③完整性。④可靠性、不可抵賴(lài)性和可鑒別性。三、知識(shí)學(xué)習(xí)（3）電子商務(wù)中的安全問(wèn)題①商家（商品或服務(wù)的提供者）面臨的安全威脅（1）中央系統(tǒng)的安全性受到破壞。（2）競(jìng)爭(zhēng)者檢索商品的銷(xiāo)售情況。（3）客戶(hù)的資料被競(jìng)爭(zhēng)者獲取，為其所用。（4）被他人假冒而損害公司的信譽(yù)，這種安全威脅主要有三種方式。（5）消費(fèi)者提交訂單后不付款。（6）虛假訂單。

三、知識(shí)學(xué)習(xí)②客戶(hù)（商品或服務(wù)的購(gòu)買(mǎi)者）所面臨的安全威脅

（1）虛假訂單。（2）信用的威脅。（3）機(jī)密性喪失。（4）拒絕服務(wù)。三、知識(shí)學(xué)習(xí)（4）電子商務(wù)安全中的加密技術(shù)數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最基本的安全技術(shù)，主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密保障安全性。加密技術(shù)能避免各種存儲(chǔ)介質(zhì)上的或通過(guò)Internet傳送的敏感數(shù)據(jù)被侵襲者竊取，也適用于檢查信息的真實(shí)性與完整性。這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。三、知識(shí)學(xué)習(xí)圖2-2數(shù)據(jù)加密的一般模型

三、知識(shí)學(xué)習(xí)2、電子商務(wù)認(rèn)證（1）電子商務(wù)中的認(rèn)證技術(shù)①數(shù)字簽名數(shù)字簽名是公開(kāi)密鑰加密技術(shù)的一類(lèi)應(yīng)用。數(shù)字簽名的加密解密過(guò)程和一般秘密密鑰的加密解密過(guò)程雖然都使用公開(kāi)密鑰系統(tǒng)，但實(shí)現(xiàn)的過(guò)程正好相反，使用的密鑰對(duì)也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對(duì)，發(fā)送方用自己的私有密鑰進(jìn)行加密，接收方用發(fā)送方的公開(kāi)密鑰進(jìn)行解密。這是一個(gè)一對(duì)多的關(guān)系，任何擁有發(fā)送方公開(kāi)密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。而一般秘密密鑰的加密解密則使用的是接收方的密鑰對(duì)，這是多對(duì)一的關(guān)系：任何知道接收方公開(kāi)密鑰的人都可以向接收方發(fā)送加密信息，只有擁有接收方私有密鑰的人才能對(duì)信息解密。三、知識(shí)學(xué)習(xí)②數(shù)字摘要技術(shù)一般的對(duì)稱(chēng)或非對(duì)稱(chēng)加密算法用于防止信息被篡改。數(shù)字摘要技術(shù)用于證明信息的完整性和準(zhǔn)確性，主要用于防止原文被篡改。數(shù)字摘要是采用單向Hash(分散排列)函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼，并在傳輸信息時(shí)將之加入文件一同送給接收方。接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改。而數(shù)字簽名一般來(lái)說(shuō)是用來(lái)處理短消息的，處理較長(zhǎng)消息則有些吃力。當(dāng)然，可以將長(zhǎng)的消息分成若干小段，然后再分別簽名。不過(guò)這樣做非常麻煩，而且會(huì)帶來(lái)數(shù)據(jù)完整性的問(wèn)題。比較合理的做法是在數(shù)字簽名前對(duì)消息先進(jìn)行數(shù)字摘要。三、知識(shí)學(xué)習(xí)③數(shù)字時(shí)間戳在電子商務(wù)交易文件中，時(shí)間是十分重要的信息。在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性?xún)?nèi)容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。數(shù)字時(shí)間戳服務(wù)（DTS）是網(wǎng)上安全服務(wù)項(xiàng)目，由專(zhuān)門(mén)的機(jī)構(gòu)提供。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文件，包括三個(gè)部分：需加時(shí)間戳的文件摘要；DTS收到文件的日期和時(shí)間；DTS的數(shù)字簽名。時(shí)間戳產(chǎn)生的過(guò)程為，用戶(hù)首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后在對(duì)該文件加密，然后送回用戶(hù)。三、知識(shí)學(xué)習(xí)④身份認(rèn)證技術(shù)身份認(rèn)證是指用戶(hù)向系統(tǒng)出示自己身份證明的過(guò)程，主要使用約定口令、智能卡和用戶(hù)指紋、視網(wǎng)膜和聲音等生理特征。身份認(rèn)證可分為兩類(lèi)：用戶(hù)與主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證。用戶(hù)與主機(jī)之間的認(rèn)證可以基于如下一個(gè)或幾個(gè)因素:①用戶(hù)所知道的東西,例如口令,密碼等；②用戶(hù)擁有的東西,例如印章,智能卡(如信用卡等)；③用戶(hù)所具有的生物特征,例如指紋,聲音,視網(wǎng)膜,簽字,筆跡等。下面對(duì)這些方法的優(yōu)劣進(jìn)行比較。三、知識(shí)學(xué)習(xí)⑤報(bào)文認(rèn)證技術(shù)報(bào)文是網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元，報(bào)文的認(rèn)證方式有傳統(tǒng)加密方式的認(rèn)證、沒(méi)有報(bào)方加密的報(bào)文認(rèn)證、使用密鑰額報(bào)文認(rèn)證碼方式、使用單項(xiàng)散列函數(shù)的認(rèn)證。⑥信息完整性信息完整性是指信息在輸入和傳輸?shù)倪^(guò)程中，不被非法授權(quán)修改和破壞，數(shù)據(jù)具有一致性。保證信息完整性需要防止數(shù)據(jù)的丟失、重復(fù)及保證傳送秩序的一致。保證各種數(shù)據(jù)的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)，數(shù)據(jù)的完整性被破壞可能導(dǎo)致貿(mào)易雙方信息的差異，將影響交易的交易順利完成，甚至造成糾紛。三、知識(shí)學(xué)習(xí)（2）電子商務(wù)安全認(rèn)證體系①數(shù)字證書(shū)

數(shù)字證書(shū)也稱(chēng)公開(kāi)密鑰證書(shū)，是在網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，其作用類(lèi)似于現(xiàn)實(shí)生活中的身份證。它主要包含用戶(hù)身份信息、用戶(hù)公鑰信息以及身份驗(yàn)證機(jī)構(gòu)數(shù)字簽名等數(shù)據(jù)。三、知識(shí)學(xué)習(xí)（2）電子商務(wù)安全認(rèn)證體系②CA認(rèn)證中心

認(rèn)證中心是檢驗(yàn)密鑰是否真實(shí)性的第三方，它是一個(gè)權(quán)威機(jī)構(gòu)，專(zhuān)門(mén)驗(yàn)證交易雙方的身份。驗(yàn)證的方法是接受個(gè)人、商家、銀行等涉及交易的實(shí)體申請(qǐng)數(shù)字證書(shū)，核實(shí)情況，批準(zhǔn)或拒絕申請(qǐng)，頒發(fā)數(shù)字證書(shū)。認(rèn)證中心除了檢驗(yàn)外，還具有管理、搜索和驗(yàn)證證書(shū)等職能。三、知識(shí)學(xué)習(xí)圖2-3典型CA系統(tǒng)三、知識(shí)學(xué)習(xí)（2）電子商務(wù)安全認(rèn)證體系③PKI安全體系

簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。用戶(hù)可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的電子交易、通信和互聯(lián)網(wǎng)上的各種活動(dòng)。

三、知識(shí)學(xué)習(xí)（2）電子商務(wù)安全認(rèn)證體系④SSL安全體系

安全套接層（SecuresocketsLayer，SSL）是一種傳輸層技術(shù)，由網(wǎng)景通訊公司開(kāi)發(fā)，可以實(shí)現(xiàn)瀏覽器和服務(wù)器（通常是Web服務(wù)器）之間的安全通信。三、知識(shí)學(xué)習(xí)

SSL工作過(guò)程：

三、知識(shí)學(xué)習(xí)AB（1）要求進(jìn)行身份認(rèn)證（2）同意進(jìn)行認(rèn)證（3）互相確認(rèn)身份（4）核查身份確認(rèn)無(wú)誤（2）電子商務(wù)安全認(rèn)證體系

⑤SET安全體系

1996年，有重大實(shí)用價(jià)值和深遠(yuǎn)影響的安全電子交易SET（SecureElectronicTransaction）安全體系產(chǎn)生了。SET在保留對(duì)客戶(hù)信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來(lái)講是事關(guān)重大的。由于設(shè)計(jì)合理，SET協(xié)議得到了IBM、Microsoft等許多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。三、知識(shí)學(xué)習(xí)

⑤SET安全體系

SET安全協(xié)議要達(dá)到的目標(biāo)主要有五個(gè)：

①信息傳輸?shù)陌踩?。②信息的相互隔離。③多方認(rèn)證的解決。④效仿EDI貿(mào)易形式。⑤交易的實(shí)時(shí)性。三、知識(shí)學(xué)習(xí)SET的交易成員①持卡人—消費(fèi)者②網(wǎng)上商家③收單銀行④支付網(wǎng)關(guān)⑤發(fā)卡銀行——電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行⑥認(rèn)證中心CA——可信賴(lài)、公正的組織三、知識(shí)學(xué)習(xí)SET軟件系統(tǒng)的組成三、知識(shí)學(xué)習(xí)三、知識(shí)學(xué)習(xí)SET的認(rèn)證過(guò)程①注冊(cè)登記②動(dòng)態(tài)認(rèn)證③商業(yè)機(jī)構(gòu)處理三、知識(shí)學(xué)習(xí)SET協(xié)議的安全技術(shù)①將所有消息文本用雙鑰密碼體制加密；②將上述密鑰的公鑰和私鑰的字長(zhǎng)增加到512B—2048B；③采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)（Authority和認(rèn)證檢查（Certificate），以確保交易過(guò)程的安全可靠。（3）信用認(rèn)證我國(guó)電子商務(wù)的信用模式主要采取四種典型的信用模式：①中介人模式。

②擔(dān)保人模式。③網(wǎng)站經(jīng)營(yíng)模式。④委托授權(quán)經(jīng)營(yíng)模式。三、知識(shí)學(xué)習(xí)四、實(shí)踐訓(xùn)練情景與數(shù)據(jù)

近年來(lái)，電子商務(wù)因其便捷性、低成本性被各界看好而迅速發(fā)展，與此同時(shí)，電子商務(wù)安全隱患卻在網(wǎng)絡(luò)交易的過(guò)程中也不斷凸顯，如購(gòu)物網(wǎng)站被黑、用戶(hù)密碼被盜、賬戶(hù)消失、網(wǎng)站被攻擊等。這導(dǎo)致用戶(hù)網(wǎng)購(gòu)日益謹(jǐn)慎，網(wǎng)絡(luò)銷(xiāo)售受到很大影響。光明商城就曾有黑客的光臨，給商城造成了不小的損失。為此光明服裝股份有限公司為加強(qiáng)光明商城銷(xiāo)售平臺(tái)的安全運(yùn)作，一方面加強(qiáng)了公司內(nèi)部軟硬件安全的防范，另一方面主動(dòng)到天信電子商務(wù)認(rèn)證中心平臺(tái)申請(qǐng)通過(guò)了CA認(rèn)證和信用認(rèn)證，并在簽訂合同時(shí)使用了電子簽章技術(shù)。

光明商城申請(qǐng)CA認(rèn)證，并在全搜咨詢(xún)公司的平臺(tái)上建立企業(yè)的信用認(rèn)證檔案，同時(shí)，兩家公司在簽訂合同時(shí)都使用電子簽章技術(shù)，以保證合同的安全性，這一系列活動(dòng)在電子商務(wù)活動(dòng)中稱(chēng)為電子商務(wù)安全。2/1/2023四、實(shí)踐訓(xùn)練任務(wù)實(shí)踐完成上述學(xué)習(xí)情景，包括以下三項(xiàng)任務(wù)：①CA證書(shū)申請(qǐng)與安裝；②企業(yè)信用認(rèn)證申請(qǐng)；③電子簽章。情景分析

在電子商務(wù)安全中共涉及光明商城股份有限公司和全搜咨詢(xún)有限公司兩個(gè)角色，需要經(jīng)過(guò)以下幾個(gè)環(huán)節(jié)：①光明商城股份有限公司申請(qǐng)CA證書(shū)并安裝；②光明商城股份有限公司申請(qǐng)企業(yè)信用認(rèn)證；③光明商城股份有限公司和全搜咨詢(xún)有限公司簽訂合同，并使用電子簽章技術(shù)。2/1/2023五、學(xué)習(xí)小結(jié)2/1/2023六、同步測(cè)試一、選擇題

1、電子商務(wù)的安全性不包括（）。

A、保密性B、及時(shí)性C、完整性D、不可否認(rèn)性和匿名性

2、（）用于