第五章电子商务安全技术

第五章电子商务安全技术

高职教育系列教材

　　　　　　主编：缪启军立信会计出版社

ISBN： 7-5429-1515-0/F.1364网络支持： www.zgcjzx.comE-mail:[email protected]

WELCOME TO INTRODUCTION OF ELECTRONIC

BUSINESS

http://www.zgcjzx.com/

第 2 章电子商务的物流配送

《电子商务概论》　立信会计出版社网络支持：中国财经在线 www.zgcjzx.com

第五章电子商务安全技术

5.1 电子商务的安全概述 5.2 安全认证 5.3 数字签名及数字证书 5.4 防火墙



【本章主要内容】网络安全的种类、威胁、信息传输安全的问题通信安全涉及的范围及电子商务系统的安全技术安全认证的作用及认证机构的地位、体系、 SSL和

SET 协议数字签名数字证书防火墙



【本章重点难点】了解网络安全的种类、威胁、信息传输安全的问题了解通信安全涉及的范围及电子商务系统的安全技

术掌握安全认证的作用及认证机构的地位、体系、了解 SSL和 SET 协议掌握数字签名原理、数字证书应用技术了解防火墙原理



【本章计划课时】理论：２学时实践与讨论：２学时



5.1 电子商务的安全概述 5.1.1 网络安全的种类 5.1.2 网络的安全威胁 5.1.3 信息传输安全的问题 5.1.4 通信安全涉及的范围 5.1.5 电子商务系统的安全技术



5.1.1 网络安全的种类物理层安全

• 主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击 ( 干扰 ) 等。

链路层安全• 需要保证通过网络链路传送的数据不被窃听。主要采用

划分电子商务概论 VAN 、加密通信 ( 远程网 ) 等手段。网络层安全

• 需要保证网络只给授权客户使用授权的服务，保证网络路由正确，避免被拦截或监听。



操作系统安全• 保证操作系统访问控制的安全、客户资料的安全，同时

能够对该操作系统上的应用进行审计。应用平台安全

• 应用平台指建立在网络系统之上的应用软件服务器，如电子邮件服务器、数据库服务器、 Web 服务器等。通常采用多种技术来增强应用平台的安全系统。

应用系统安全• 使用应用平台提供的安全服务来保证基本安全，如通过

通信双方的认证、审计等手段。



5.1.2 网络的安全威胁网络的外部威胁

• 信息间谍的恶意闯入• 怀有恶意用户的闯入• 闲散用户的好奇闯入• 用户的恶性破坏。

网络的内部威胁 • 内部用户有意的安全威胁• 无意用户的安全威胁



5.1.3 信息传输安全的问题对网上信息的监听对用户身份的仿冒对网络上信息的篡改对发出信息予以否认对信息进行重发



5.1.4 通信安全涉及的范围数据完整性

• 通信过程必须保证数据完整。数据一致性

• 保证数据传输过程中不会被篡改。即使发生了数据篡改，接收方也应能够及时检测出。

数据保密性• 通信内容只有特定方才能够了解。

数据可鉴别性• 指通信双方能够识别对方的真实身份，而不会被假冒和欺骗。

数据不可否认性• 指数据的发送方无法否认数据传输行为



5.1.5 电子商务系统的安全技术加密技术设置虚拟专用网路由选择机制保护传输线路安全采用端口保护设备使用安全访问设备防火墙数据完整性机制访问控制鉴别机制审计追踪机制入侵检测机制



加密技术 1 ．密钥的概念将明文数据进行某种变换，使其成为不可理

解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。

加密和解密必须依赖两个要素，这两个要素就是算法和密钥。算法是加密和解密的计算方法；密钥是加密和加密所需的一串数字。



2 ．对称加密技术 1）在首次通信前，双方必须通过除网络以

外的另外途径传递统一的密钥。 2）当通信对象增多时，需要相应数量的密

钥。 3）对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。



3 ．非对称加密技术（公—私钥加密技术）非对称加密技术采用 RSA 算法，加密

和解密使用两把密钥，一把称公钥，另一把称私钥，两把密钥实际上是两个很大的质数，用其中的一个质数与明文相乘，可以加密得到密文；用另一个质数与密文相乘可以解密，但不能用一个质数求得另一个质数。



例如：采用移位加密法，使移动 3 位后的英文字母表示原来的英文字母，对应关系如下：

返回本节



5.2 安全认证 5.2.1 认证的作用及认证机构的地位 5.2.2 SSL和 SET 协议 5.2.3 CA 认证体系



5.2.1 认证的作用及认证机构的地位 1. 可以保证信息的来源是可信的

• 即信息接收者能够确认所获得的信息不是由冒充者所发出的。

2. 可以保证信息在传输过程中的完整性• 即信息接收者能够确认所获得的信息在传输过程中没有

被修改、延迟和替换。 3. 可以保证信息的发送方不能否认自己所发出的信

息，同样，信息的接收方不能否认已收到了信息。 4. 可以实现访问控制

• 认证可以拒绝非法用户访问系统资源，同时使合法用户只能访问系统授权和指定的资源。



5.2.2 SSL和 SET 协议 1. 安全套接层协议 (SSL) 2. 安全电子交易协议 (SET 协议 )



电子商务安全交易标准 1 ．安全套接层协议 SSL （ Secure Sockets

Layer ）（ 1 ） SSL 协议的通信过程（ 2 ）电子商务网站的 Web 服务器安装 SSL协议步骤



2 ．安全电子交易协议SET （ Secure Electronic Transaction ）

（ 1 ） SET 协议提供的安全保障（ 2 ）参与 SET 协议的交易对象（各参与对象的关系见图 3-51）

（ 3 ） SET 协议的工作程序



SET 协议的参与对象



3 ．其他安全协议（ 1 ）安全超文本传输协议（ S-HTTP ）（ 2 ）安全多媒体 Internet 邮件扩展协议

（ S/MIME ）

返回本节



5.2.3 CA 认证体系 1. CA 的含义 2. CA 的主要职能 3. CA 的基本构架



1. CA 的含义认证中心 (Certificate Authority ，简称 CA)

• 是电子商务中的一个核心环节，是在电子交易中承担网上安全电子交易认证服务、签发数字证书、确认用户身份等工作的具有权威性和公正性的第三方 (third party) 服务机构，

它是实现网上交易和网上支付的重要安全保障。认证中心通常是企业性的服务机构，

主要任务是受理数字证书的申请、签发以及对数字证书的管理。



在电子交易中为了保证交易的安全性、公正性，身份认证等工作都不是靠交易的双方自己完成的，而是由一个第三方机构来完成，认证中心就是这样一个服务机构。

认证中心机构主要包括三个组成部分：注册服务器 (RS) 、注册管理机构 (RA) 和证书管理机构 (CA)



2. CA 的主要职能 (1) 证书的颁发 (2) 证书的更新 (3) 证书的查询 (4) 证书的作废 (5) 证书的归档



3. CA 的基本构架技术方案基础设施运作管理



国内外 CA 中心简介国外常见的 CA有 VeriSign、 GTE Cyber

Trust、 Thawte 等。国内常见的 CA有中国商务在线中中中中中中中（ www.ca365.com），数字认

证，数字签名， CA 认证， CA 证书，数字证书，安全电子商务。

中中中中中中中中中中（ www.bjca.org.cn ），为网上电子政务和电子商务活动提供数字证书服务。



5.4 数字签名及数字证书 5.4.1 数宇签名 5.4.2 数字证书



5.4.1 数宇签名 1. 数字签名的原理 2. 数宇签名的种类



1. 数字签名的原理数字签名，也叫电子签名，在信息安全 (包括身份认证、数据完整性、不可否认性以及匿名性等 ) 方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。



信息摘要

信息摘要过程返回本节



数字签名

Hash 算法

原文

摘要摘要

对比？

原文摘要

Internet

发送方接收方

Hash算法

数字签名

发送者私钥加密数字

签名

发送者公钥解密

数字签名的原理

返回本节



数字时间戳

获得数字时间戳的过程

返回本节



2. 数宇签名的种类一种是对整体消息的签名

• 它是消息经过密码变换的被签名消息整体。一种是对压缩消息的签名

• 它是附加在被签名消息之后或某一特定位置上的一段签名图样。

若按明、密文的对应关系划分，每一种中又可分为两个子类



5.4.2 数字证书 1. 数字证书的作用 2. 数字凭证的分类



1. 数字证书的作用数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。



数字证书的作用证实在电子商务或信息交换中参加者的身份；授权交易，如信用卡支付；授权接人重要信息库，代替口令或其他传统

的进入方式；提供经过互联网发送信息的不可抵赖性的证

据；验证通过互联网交换的信息的完整性。



2. 数字凭证的分类个人凭证 (Personal Digital ID) 企业 ( 服务器 )凭证 (Server ID) 软件 (开发者 )凭证 (Developer ID)



数字证书的内容数字证书包括以下内容如图 3-30~3-32 所示：证书拥有者的姓名；证书拥有者的公钥；公钥的有限期；颁发数字证书的单位；颁发数字证书单位的数字签名；数字证书的序列号等。



查看证书内容（ 1 ）



数字证书的申请（ 1 ）下载并安装根证书（）（ 2 ）申请证书（）（ 3 ）将个人身份信息连同证书序列号一并邮寄到中国数字认证网



下载根 CA

下载根证书（ 1 ）



下载根证书（ 2 ）



安装根证书（ 1 ）



安装根证书（ 2 ）



查看根证书



申请个人免费证书



下载个人证书



查看个人证书



数字证书应用操作实例（个人证书在安全电子邮件中的应用）

（ 1 ）在 Outlook Express 5 发送签名邮件 : 1 ）在 Outlook Express 5 中设置证书、 2）发送签名邮件。

（ 2 ）用 Outlook Express 5 发送加密电子邮件： 1 ）获取收件人数字证书、 2）发送加密邮件。



在 Outlook Express 中设置证书（ 1 ）



发送签名邮件



收到签名邮件的提示信息



将收件人证书添加到通信簿



查询和下载收件人数字证书



发送加密邮件



收到加密邮件的提示信息

返回本节



5.4 防火墙 5.4.1 防火墙概述 5.4.2 防火墙的特点 5.4.3 防火墙分类 5.4.4 防火墙原理 5.4.5 使用防火墙需要注意的问题



5.4.1 防火墙概述防火墙是指一个由软件和硬件设备组合而

成，是指一种隔离技术，它是在两个网络通信时执行的一种访问控制尺度，它能允许被“同意”的人和数据进入网络，同时将“不同意’’的人和数据拒之门外，阻止网络中的黑客来访问网络，防止他们更改、复制、毁坏重要信息。



在 Intranet和 Internet 之间构筑的一道屏障，用于加强内部网络和公共网络之间安全防范的系统。

目前使用的防火墙主要可分为包过滤型和应用网关型两种类型。



防火墙



防火墙的安全策略有两种：（ 1）凡是没有被列为允许访问的服务都是被禁止的。

（ 2）凡是没有被列为禁止访问的服务都是被允许的。

返回本节



5.4.2 防火墙的特点 1.广泛的服务支持

• 通过将动态的、应用层的过滤能力和认证相结合，可实现 WWW浏览、 HTTP 服务、 FTP 服务等。

2. 通过对专用数据的加密支持，保证通过 Internet 进行的虚拟专用网商务活动不受破坏。

3. 客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分。

4.反欺骗。• 欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网

络内部。防火墙就能监视这样的数据包并能扔掉它们。



5.4.3 防火墙分类一类被称为标准防火墙一类叫双家网关。



5.4.4 防火墙原理 1. 网络级防火墙 2. 应用级网关 3. 电路级网关 4. 规则检查防火墙



5.4.5 使用防火墙需要注意的问题首先明确目的要达到什么级别的监测和控制费用问题防火墙是把公共数据和服务置于防火墙外，

使其对防火墙内部资源的访问受到限制



【思考题】

1．网络的安全有哪些威胁？ 2．什么是 CA 认证？为什么需要ＣＡ认证？

有哪些功能？ 3．什么是数字签名，什么是数字证书？如何实现？

4．防火墙有何作用？分成哪几类？５．试比较 SSL和 SET 协议的异同。



【实验与讨论】访问我国各ＣＡ认证机构网站，浏览ＣＡ的相关介绍，选择一家ＣＡ中心，参考网站说明，申请个人数字证书。



THANK YOU VERY MUCH ！

本章到此结束，

•谢谢您的光临！返回本章首页结束放映

第五章 电子商务安全技术

Documents

第五章电子商务安全技术