项目二电子商务安全应用与法律法规

《项目二电子商务安全应用与法律法规》由会员分享，可在线阅读，更多相关《项目二电子商务安全应用与法律法规（91页珍藏版）》请在装配图网上搜索。

1、 任务三任务三 个人电子商务安全与防范个人电子商务安全与防范任务四任务四 企业电子商务安全与防范企业电子商务安全与防范任务五任务五 电子商务与法律案例分析电子商务与法律案例分析任务驱动任务驱动任务五 电子商务与法律案例分析任务五 电子商务与法律案例分析任务五 电子商务与法律案例分析任务五 电子商务与法律案例分析 一一 电子商务安全问题和安全需求电子商务安全问题和安全需求 二二 电子商务安全技术电子商务安全技术 三三电子商务安全案例分析电子商务安全案例分析任务目标任务目标 一一.电子商务安全问题和安全需求电子商务安全问题和安全需求1.电子商务面临的安全问题电子商务面临的安全问题2电子商务的安全需

2、求电子商务的安全需求 3电子商务安全体系电子商务安全体系 1.电子商务面临的安全问题v（1 1）信息传输风险）信息传输风险：网上交易时，因传输的信息失真或者信息被非法窃取、篡改、或丢失，而导致交易的损失。主要来自几个方面：一、信息的篡改 二、信息的截获和窃取 三、信息假冒 四、信息中断v（2）信用风险信用风险：由于买卖双方在电子交易中信用缺失，导致的损失。一、买方信用风险：如恶意透支、伪造证书、拖延付款时间等；二、卖方信用风险：如拖延发货、不在约定地点交易、产品质量问题等。三、买卖双方都存在抵赖现象：如否认订单信息、改变商品价格等。v（3）管理风险：主要体现在交易流程管理风险、人员管理风险、交

3、易技术管理风险等方面。v（4）法律风险：由于电子商务相关法律法规的不完善或滞后而无法保证合法交易的权益，产生交易损失。2 电子商务的安全需求v电子商务面临的威胁和风险，导致了对电子商务的安全需求。在从事电子商务的活动中，在国际和国内现有法规的约束下和现有电子商务管理人员的操作下，在一定时期、一定范围内，电子商务安全关系到网络中的系统安全和交易数据、电子支付的完整性。这决定了从事电子商务的几个安全要求：v（1）机密性。电子商务的信息直接代表着个人、企业或者国家的商业或政治机密，要预防信息在传输过程中被非法窃取。机密性主要通过加密技术来实现。v（2）完整性。预防交易信息随意生成、修改和删除，预防数

4、据在传输过程中丢失。完整性一般通过数字摘要技术来v（3）认证性。电子商务以电子形式取代了纸张，在交易过程中必须对交易者的身份加以确认，以保证交易主体的合法性，保证交易数据在确定的时间、确定的地点是有效的。认证性主要是通过数字证书来实现的。v（4）不可抵赖性。在无纸化的电子交易中，由于网络的开放性和虚拟性，必须对交易的个体或组织进行身份确认，防止交易双方的抵赖。不可抵赖性一般通过数字签名技术来实现3 电子商务安全体系v通过对电子商务面临的安全风险和电子商务的安全需求两个问题进行的分析，我们可以明确对电子商务的安全管理，应当采用综合防范的思路，从网络技术、认证技术、管理、法律等多个方面去思考。建立

5、一个完整的电子商务安全体系二二 电子商务安全技术电子商务安全技术v1.防火墙技术v2.数据加密技术v3.数字签名v4.数字证书和CA认证中心v5安全交易协议：SSL,SET1.1.防火墙技术防火墙技术v案例案例 某法院网络安全案例某法院网络安全案例【案例背景案例背景】随着某市中级法院电子政务广域网络平台的搭建，网络安全日益成为影响网络效能的重要问题，由于广域网络自身所具有的开放性和自由性等特点，在增加应用自由度的同时，对安全提出了更高的要求。如何使网络信息系统不受黑客和病毒的入侵，已成为政府部门信息化健康发展所要考虑的重要问题。为了加强网站和内部网络的安全性，某市中院决定制定一整套网络安全策略

6、，应用相应的网络安全产品，真正做到有备无患。该市中级人民法院广域网系统，主要包括市中级法院广域网络中心节点（1个）、个区级法院，并实现了其他相关安全防御系统和相应6个本地网络的接入，最终构成一个安全、可靠、高效的分布式广域网络的法院电子政务系统支持平台。v 该市中级法院广域网络系统以市中级法院为核心、个区级法院本地子网为节点，整个广域网络拓扑是一个典型的“星形”结构。广域网的核心是中级法院局域网的Cisco7505路由器。该市中级法院广域网络系统是基于计算机、网络通信、信息处理技术、网络安全管理技术，并融入已建成的市中级人民法院信息系统，组成了一个高性能、大容量、高带宽的信息处理系统平台。广域

7、网信息平台上传输的信息包括数据库信息、监控系统信息、图形信息、文本信息以及将来可扩展的语音、视频信息等等各种信息。问题：针对该法院的基本情况和业务需求，为了保障其网络安全，应采用哪些方法可以解决该法院的网络安全问题呢？【案例分析案例分析】（1）首先调整原有的网络结构，在广域网各个单位之间出口处安装了防火墙，并对中级人民法院核心节点对外提供服务的服务器群用RJ-iTop型联动式网络隐患扫描系统定期进行扫描，通过RJ-iTop型联动式扫描服务器及时对服务器群进行重点保护，并通过RJ-iTop型联动式手持扫描仪对各个分散的系统和设备进行扫描。（2）安装入侵检测系统，在防火墙的后面增加另一道安全防线，

8、辅助防火墙进行入侵检测，进一步加强对服务器的保护，一旦有黑客透过防火墙对系统发起攻击，及时报警并切断攻击行为。（3）加装防病毒系统防止病毒通过电子邮件、HTTP、FTP等方式进入该市中级法院广域网络中，通过适当配置，病毒过滤网关在完成对进出网流的病毒检测之后，对带毒文件进行杀毒或其他处理。这种工作模式极大程度地控制了病毒的传染途径，因此保证了系统的安全。（4）除安装以上软硬件产品外，企业充分考虑了在安全防范中人的因素，通过提供详细的安装和使用说明，与网站管理员共同协商制定安全制度，实施定期的巡视服务，避免由于人员疏忽造成安全隐患。v防火墙防火墙：防火墙是指隔离在本地网络与外界网防火墙是指隔离在

9、本地网络与外界网络之间的一道防御系统，通过它可以隔离风险络之间的一道防御系统，通过它可以隔离风险区域，即区域，即(Internet或有一定风险的网络或有一定风险的网络)与安与安全区域全区域(局域网局域网)的连接，同时不会妨碍人们对的连接，同时不会妨碍人们对风险区域的访问。风险区域的访问。ServerInternet内部网防火墙防火墙防火墙的主要功能防火墙的主要功能 能做什么？能做什么？l 安全把关安全把关l 集中化安全管理集中化安全管理l 对网络访问进行记对网络访问进行记录和统计录和统计l 控制对特殊站点的控制对特殊站点的访问访问不能做什么？不能做什么？l不能防范内部入侵不能防范内部入侵l不能

10、防范新的威胁不能防范新的威胁l控制不够精确控制不够精确防火墙的技术分类防火墙的技术分类v1包过滤防火墙v2代理防火墙2.2.数据加密技术数据加密技术v加密的基本概念 加密与解密所谓加密就是通过密码算术对数据（明文）进行转化，使之成为没有正确密钥任何人都无法读懂的报文。而这些以无法读懂的形式出现的数据一般被称为密文。解密是加密的逆过程。v最常见的方法：私有密钥加密方法和私有密钥加密方法和公开密钥加密方法公开密钥加密方法A A私有密钥加密方法私有密钥加密方法 va.原理：v信息发送方用一个密钥对要发送的数据进行加密，信息的接收方能用同样的密钥解密，而且只能用这一密钥解密。v由于这对密钥不能被第三方

11、知道，所以叫做私有密钥加密方法。v由于双方所用加密和解密的密钥相同，所以又叫做对称密钥加密法。v私有密钥加密示意图明文密文锁明文密钥加密过程解密过程v由于对称密钥加密法需要在通信双方之间约定密钥，一方生成密钥后，要通过独立的安全的通信送给另一方，然后才能开始进行通信。v这种加密方法在专用网络中使用效果很好，速度快，因为通讯各方相对固定，可以预先约定好密钥。具体在电子商务网络支付时的应用具体在电子商务网络支付时的应用v银行内部专用网络传送数据一般都采用DES算法加密，比如传送某网络支付方式用的密码。军事指挥网络上一般也常用这种密钥加密法。v缺点：与多人通讯的时候需要太多密钥。2.2.公开密钥密码

12、体制公开密钥密码体制v典型的公钥加密的算法：RSAv1RSA算法的原理v 这种算法的要点在于，它可以产生一对密钥，一个人可以用密钥对中的一个加密消息，另一个人则可以用密钥对中的另一个解密消息。同时，任何人都无法通过公钥确定私钥，也没有人能使用加密消息的密钥解密。只有密钥对中的另一把可以解密消息。v公开密钥加密算法是完全公开的，加密的关键是密钥，用户只要保存好自己的私人密钥，就不怕泄露。v商家采用这种算法生成这两个密钥后，将其中的一个保存好，叫做私人密钥，将另外一个密钥公开散发出去，叫做公开密钥，任何一个收到公开密钥的客户，都可以用此公开密钥加密信息，发送给商家,这些信息只能被这个商家的私人密钥

13、解密。只要商家没有将私人密钥泄露给别人，就能保证发送的信息只能被这位商家收到。v非对称加密的作用：两位用户之间要相互交换信息，需要各自生成一对密钥，将其中的私人密钥保存好，将公开密钥发给对方。交换信息时，发送方用接收方的公开密钥对信息加密，只能用接收方的私人密钥解密，他们之间可以在无保障的公开网络中传送信息，而不用担心信息被窃取密文公开密钥加密技术示意图明文密钥对明文密文传输发送方加密解密接收方公钥接收方私钥接收方三三 数字签名数字签名vRSA用于身份验证和数字签名v 数字签名必须保证以下3点：l 接收者能够核实发送者对报文的签名。l 发送者事后不能抵赖对报文的签名。l 接收者不能伪造对报文的

14、签名。现在已有多种实现各种数字方法，但签名的采用公开密钥算法要比常规算法更容易实现。v数字签名技术是数字签名技术是将摘要用发送者的私钥加密，与将摘要用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。公钥才能解密被加密的摘要。v其实就是指利用数字加密技术实现在网络传送信其实就是指利用数字加密技术实现在网络传送信息文件时，附加个人标记，完成传统上手工签名息文件时，附加个人标记，完成传统上手工签名或印章的作用或印章的作用相关知识1：数字摘要v发送者对被传送的一个信息报文根据某种数学算法算出一个信息报文的摘要值，并将此摘

15、要值与原始信息报文一起通过网络传送给传送者，接收者应用此摘要值检验信息报文在网络传送过程中有没有发生改变，以此判断信息报文的真实与否数字签名与验证过程数字签名与验证过程发送方私钥签名过程 Hash 算 法 原 文 摘 要 摘 要 对 比？原 文 摘 要 Internet 发 送 方 接 收 方 Hash算 法 数 字 签 名 发 送 者 私 钥 加 密 数 字 签 名 发 送 者 公 钥 解 密 验证过程 数字签名的过程数字签名的过程v1）签名阶段v发送方将原文通过HASH函数运算生成数字摘要，再对生成的数字摘要用其签名的私钥对其进行非对称加密得到数字签名，发送方将原文与数字签名一起发送给接收

16、方。v（2）验证v接收方验证签名，即用发送方的公钥解密数字签名，得出数字摘要；接收方将原文采用同样的HASH算法又得到一新的数字摘要，将两个数字摘要进行比较，同样则签名得到验证。否则无效。数字签名的作用数字签名的作用v第一，身份的真实性v第二，数据的完整性v第三，不可否认性相关知识相关知识2：数字时间戳：数字时间戳v在电子商务交易中，时间和签名同等重要。数字时间戳（DTS）是由专门机构提供的电子商务安全服务项目，用于证明信息的发送时间。获得数字时间戳的过程示意图获得数字时间戳的过程示意图原文摘要摘要摘要+时间加了时间后的新摘要数字时间戳数字时间戳发送方DTS机构HASH算法HASH算法用DTS

17、机构的私钥加密internet加时间案例：电子签名法首次用于庭审案例：电子签名法首次用于庭审v 北京市民杨某状告韩某借钱不还，并将自己的手机交给法庭，以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据？2005年6月3日，海淀法院3名法官合议审理了这起电子签名法出台后的第一案。v 2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后

18、，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。v 为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166XXXX”的飞利浦移动电话一部，其中记载了部分短信息内容。如：2004年8月27日15：05，“那就借点资金援助吧”。2004年8月27日15：13，“你怎么这么实在！我需要五千，这个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法

19、见，你要是资助就得汇到我卡里！”等韩某发来的18条短信内容。v 韩某的代理人在听完短信内容后，否认发送短信的手机号码属于韩某，并质疑短信的真实。法官提醒他，在前次开庭时，法官曾当着双方拨打了该手机号码，接听者正是韩某本人。韩某也承认，自己从去年七八月份开始使用这个手机号码。v 法院经审理认为，依据最高人民法院关于民事诉讼证据的若干规定中的关于承认的相关规定，1391173XXXX”的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，故法院确认该号码系韩女士使用。v 依据2005年4月1日起施行的中华人民共和国电子签名法中的规定，“电子签名是指数据电文中以电子形式所含、所附用于识别

20、签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”v 移动电话短信息即符合电子签名、数据电文的形式。v 经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。v 电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。从韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2

21、004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元；2004年9月7日韩女士提出借款6000元的请求，2004年8月29日韩女士向杨先生询问款项是否汇入。2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。v 杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先

22、生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。v 在本案中，针对主要证据手机短信息，法官根据电子签名法第八条的规定及相关规定审查了该证据的真实性，在确定能够确认信息来源、发送时间以及传输系统基本可靠的情况、文件内容基本完整的情况下，同时又没有相反的证据足以否定这些证据的证明力的情况下，认可了这些手机短信息的证据力。v 在电子签名法出台之前，可以说有很多类似的案例，主要是针对电子邮件能否作为证据的，由于缺乏直接的法律规定，为此上海高院还专门出台了相关的解释，这种情况随着电子签名法的出台得到了根本的改变。v 本案是我国电

23、子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味着我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。四四 数字证书与数字证书与CACA认证认证v数字证书数字证书v 数字证书（数字证书（Digital CertificateDigital Certificate）是一种数是一种数字标识，字标识，提供的是网络上的身份证明提供的是网络上的身份证明,可以说是因可以说是因特网上的安全护照。特网上的安全护照。数字证书拥有者可以将其证书数字证书拥有者可以将其证

24、书提供给其他人，提供给其他人，WebWeb站点以及网络，以证实他的合站点以及网络，以证实他的合法身份，并且与对方建立加密的可信的通信。法身份，并且与对方建立加密的可信的通信。v 数字证书数字证书是由权威的、可信赖的、公正的第三是由权威的、可信赖的、公正的第三方机构方机构认证中心（认证中心（CACA）颁发给网上用户的，其）颁发给网上用户的，其包含的信息可建立使用者在网络上进行交易或从事包含的信息可建立使用者在网络上进行交易或从事活动时的身份识别功能，所以常常把它比喻为电子活动时的身份识别功能，所以常常把它比喻为电子身份证。身份证。基本原理基本原理v 数字证书利用一对互相匹配的密钥进行加密解密。每

25、个用户自己设定一把特定的仅为本人所知道的私钥，用它进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接受方的公钥对数据加密，而接受方则使用自己的密钥解密，这样信息就可以安全无误的到达目的地，即时被第三方截获。由于没有相应的私钥，也无法解密。拓展知识：拓展知识：正确使用和保管你的数字证书正确使用和保管你的数字证书 数字证书用来保证网银交易安全。靠数字证书数字证书用来保证网银交易安全。靠数字证书/电子签名电子签名来阻止黑客的诈骗行为。来阻止黑客的诈骗行为。数字证书数字证书/电子签名机制是利用先进的公钥密码技术，解电子签名机制是利用先

26、进的公钥密码技术，解决网上信息传递中的真实性、保密性、完整性和不可否认性决网上信息传递中的真实性、保密性、完整性和不可否认性的问题。黑客在没有掌握数字证书的问题。黑客在没有掌握数字证书/私钥的情况下，一是无法私钥的情况下，一是无法和银行网站服务器完成加密通信，二是无法实施电子签名，和银行网站服务器完成加密通信，二是无法实施电子签名，对交易信息进行确认。由于缺少了交易的必要条件，银行也对交易信息进行确认。由于缺少了交易的必要条件，银行也就拒绝进行网银交易。就拒绝进行网银交易。数字证书可以存储在硬盘里，但这种存储方式不太保数字证书可以存储在硬盘里，但这种存储方式不太保险，因为硬盘中的数字证书险，因

27、为硬盘中的数字证书/私钥可能被木马盗取。安全的私钥可能被木马盗取。安全的方式是把数字证书方式是把数字证书/私钥存储在私钥存储在USB KeyUSB Key里，里，USB KeyUSB Key客户客户可以随身携带，只有可以随身携带，只有在做网银交易时，把在做网银交易时，把USB KeyUSB Key才才插到电脑的插到电脑的USBUSB插口上，用完后就拔走。现在各家插口上，用完后就拔走。现在各家银行都在发行银行都在发行USB KeyUSB Key数字证书，要求客户在做网数字证书，要求客户在做网银交易时选择使用这种数字证书。银交易时选择使用这种数字证书。USB KeyUSB Key证书的安全性证书的

28、安全性 USB KeyUSB Key具有一定的计算机的功能，具有一定的计算机的功能，USB KeyUSB Key芯片中的芯片中的CPUCPU就是一台小小的计算机。产生公私密钥对的程序是就是一台小小的计算机。产生公私密钥对的程序是USB USB KeyKey生产者烧制在芯片中的只读存储器生产者烧制在芯片中的只读存储器ROMROM中的，密码算法中的，密码算法程序也是烧制在程序也是烧制在ROMROM中。公私密钥对在中。公私密钥对在USB KeyUSB Key中生成后，中生成后，公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不公钥可以导出到卡外，而私钥则存储于芯片中的密钥区，不允许外部访问。木马也

29、就窃取不到。允许外部访问。木马也就窃取不到。从物理上讲，对从物理上讲，对USB KeyUSB Key芯片中的内容作整体拷贝也是几芯片中的内容作整体拷贝也是几乎不可能的。现在业界对乎不可能的。现在业界对USB KeyUSB Key生产商的技术要求很高，国生产商的技术要求很高，国际上能够生产智能卡的公司只有少数几家，他们都采用了种际上能够生产智能卡的公司只有少数几家，他们都采用了种种安全措施，确保智能卡内部的数据不能用物理方法从外部种安全措施，确保智能卡内部的数据不能用物理方法从外部拷贝。拷贝。有些不合格的有些不合格的USB KeyUSB Key产品实际上只是不含产品实际上只是不含CPUCPU的存

30、的存储型储型USB KeyUSB Key，它仅仅具有存储功能，和，它仅仅具有存储功能，和U U盘一样。这种盘一样。这种USB KeyUSB Key安全性较差，因为芯片内不含安全性较差，因为芯片内不含CPUCPU，数据的加密、，数据的加密、签名要送到用户电脑主机去做，这样，被加密的明文数据签名要送到用户电脑主机去做，这样，被加密的明文数据就会出现在就会出现在USB KeyUSB Key接口上，可能遭到黑客的截获。接口上，可能遭到黑客的截获。因此，各家银行在推出自己的因此，各家银行在推出自己的USB KeyUSB Key证书前，都会证书前，都会到权威的检测机构去进行到权威的检测机构去进行USB K

31、eyUSB Key安全性检测，取得合格安全性检测，取得合格后方可推行。用户不必对此顾虑。后方可推行。用户不必对此顾虑。从以上的分析中，我们可以得出结论：数字证书从以上的分析中，我们可以得出结论：数字证书/电电子签名是保证网银交易安全的可靠措施。而子签名是保证网银交易安全的可靠措施。而USB KeyUSB Key证书证书更是您的安全守护者，请注意使用和保管。更是您的安全守护者，请注意使用和保管。正确使用和保管你的数字证书正确使用和保管你的数字证书 有几条措施我们应牢记：有几条措施我们应牢记：首先，开展网银交易一定要向银行申领数字证书，这一首先，开展网银交易一定要向银行申领数字证书，这一点是毋庸置

32、疑的。一些银行在开展网银业务之初，曾经推出点是毋庸置疑的。一些银行在开展网银业务之初，曾经推出过所谓过所谓“大众版大众版”或或“普及版普及版”的业务，只是使用的业务，只是使用“用户名用户名+口令密码口令密码”的认证方式，但随着网银欺诈案件的增加，这种的认证方式，但随着网银欺诈案件的增加，这种容易被黑客攻破，安全强度很低的认证方式已经逐渐被淘汰。容易被黑客攻破，安全强度很低的认证方式已经逐渐被淘汰。现在，几乎所有银行都会建议你使用数字证书。现在，几乎所有银行都会建议你使用数字证书。硬盘证书使用方便，不需要随身携带，而且银行一般对此不收费。但在硬盘证书使用方便，不需要随身携带，而且银行一般对此不收

33、费。但在安全性上有其弱点；而安全性上有其弱点；而USB KeyUSB Key证书的优点是安全性高，不会被木马盗取，但证书的优点是安全性高，不会被木马盗取，但需要随身携带，银行还要收取一定的费用。需要随身携带，银行还要收取一定的费用。建议根据用户网银交易的重要程度来选取证书的介质。如果你的帐户存款建议根据用户网银交易的重要程度来选取证书的介质。如果你的帐户存款和网银交易都是小额，可以选择硬盘证书。但如果网银交易金额比较大，达到和网银交易都是小额，可以选择硬盘证书。但如果网银交易金额比较大，达到数万、数十万元或更多，最好是申领数万、数十万元或更多，最好是申领USB KeyUSB Key证书。证书。

34、USB KeyUSB Key证书在不同银行有着不同的商品名，价格大致在证书在不同银行有着不同的商品名，价格大致在5050元至元至8080元之元之间不等，主要是间不等，主要是USB KeyUSB Key的硬件成本。的硬件成本。第二，使用第二，使用USB KeyUSB Key证书要养成良好的习惯，网银交易时插上证书要养成良好的习惯，网银交易时插上USB KeyUSB Key证书，用完后随手拔掉证书，用完后随手拔掉USB KeyUSB Key，以免被他人冒用。，以免被他人冒用。第三，妥善保管你的第三，妥善保管你的USB KeyUSB Key证书，防止遗失。万一不幸遗失证书，防止遗失。万一不幸遗失或被

35、盗，要立即到银行挂失。这时银行会为你重发一张证书，并把或被盗，要立即到银行挂失。这时银行会为你重发一张证书，并把原来的证书作废。新证书中的公私密钥对是重新生成的，别人即使原来的证书作废。新证书中的公私密钥对是重新生成的，别人即使捡到原有的证书也没有用，密钥换了，网银交易便无法完成。捡到原有的证书也没有用，密钥换了，网银交易便无法完成。v 登录后，点击证书申请，选择试用型个人数字证书申请。登录后，点击证书申请，选择试用型个人数字证书申请。需要强调的是，只有安装了根证书的计算机，才能完成后面需要强调的是，只有安装了根证书的计算机，才能完成后面的申请步骤和正常使用其在的申请步骤和正常使用其在CA中心

36、申请的数字证书。中心申请的数字证书。数字证书流程v申请地址 http:/ 第一步 网证通数字证书申请v v 按照提示，通过地址https:/ 选择“安装试用CA证书链”。安装成功可以看到一个表单。v 按照表单上的提示，输入完整的个人资料。选择加密服务提供程序 CSP 负责创建密钥、吊销密钥，以及使用密钥执行各种加、解密操作。当读者使用特别的数字证书存储介质（如：智能 IC 卡或 USB 电子令牌）存储数字证书及其相应的私有密钥时，请在“加密服务提供程序（CSP）”下拉框中选择该存储介质生产厂商提供的CSP。我们可以选择：“Microsoft Enhanced Cryptographic Pro

37、vider V1.0”进行上述步骤以后，系统将发一封申请成功的信件到申请时使用进行上述步骤以后，系统将发一封申请成功的信件到申请时使用的邮箱内，其中包括业务受理号的邮箱内，其中包括业务受理号 密码密码 数字证书下载的地址。数字证书下载的地址。v 点击数字证书下载地址，填写业务受理号和密码。提交后，点击数字证书下载地址，填写业务受理号和密码。提交后，可以得到如下图所示的信息可以得到如下图所示的信息v数字证书在哪里呢？其实微软数字证书在哪里呢？其实微软IEIE浏览器自带一个浏览器自带一个数字证书管理器，通过这个管理器我们可以查看数字证书管理器，通过这个管理器我们可以查看数字证书。数字证书。v 首先

38、在打开首先在打开Internet Explorer,Internet Explorer,在在Internet ExplorerInternet Explorer的菜单上，单的菜单上，单击工具菜单中的击工具菜单中的internetinternet选项。选取内容选项卡。点击证书按选项。选取内容选项卡。点击证书按钮来查看当前证书的列表。点击个人选项卡可以查看已经申钮来查看当前证书的列表。点击个人选项卡可以查看已经申请的个人数字证书。下面是申请的免费证书，可以参考请的个人数字证书。下面是申请的免费证书，可以参考。v选定要查看的个人数选定要查看的个人数字证书，然后单击字证书，然后单击“查看查看”按钮，可

39、以按钮，可以查看证书的详细信息查看证书的详细信息v下面就是一个数字证下面就是一个数字证书的详细信息列表书的详细信息列表支付宝数字证书的申请支付宝数字证书的申请（1）登陆支付宝网站（），登陆支付宝账户，依次选择“安全中心”“安全产品”。（2）选择安装数字证书助手的ActiveX控件。（3）输入身份证号码、使用地点和验证码。（4）输入收到的短信验证码。（5）提示“数字证书已经安装成功”。试一试：试一试：认证中心认证中心(CA)(CA)v认证中心（认证中心（CA）v 在电子商务的安全系统中，如何在电子商务的安全系统中，如何证明数字证书证明数字证书的真实性呢？这就要靠权威公正的第三方来证实该的真实性呢

40、？这就要靠权威公正的第三方来证实该证书确属于真正的信息发送者。证书确属于真正的信息发送者。CA认证中心就是认证中心就是这样的一个第三方，他是一个权威的机构，专门验这样的一个第三方，他是一个权威的机构，专门验证通讯双方的身份，可以确保用户的身份及他所持证通讯双方的身份，可以确保用户的身份及他所持有密钥的正确匹配，用来确认公钥拥有人的真正身有密钥的正确匹配，用来确认公钥拥有人的真正身份份。CA认证体系结构 v 认证是采用层级式的架构，而无论付款人，收款人或收单银行都需要经过认证才能参与交易。如果甲想和乙通信，他首先必须从数据库中取得乙的证书，然后对它进行验证。如果他们使用相同的CA，事情就简单了。

41、甲只需要验证乙证书上得CA签名；如果他们使用的是不同的CA，甲必须从CA的树形结构底部开始。从底部CA往上层CA查询，一直追踪到同一个CA为止，找出共同信任CA。五电子支付协议五电子支付协议v SET协议是英文协议是英文Secure Electronic Transaction的缩写，被译为安全电子交易协议，是的缩写，被译为安全电子交易协议，是由世界上两大信用卡公司由世界上两大信用卡公司VISA和和Mater Card联合推联合推出的网上信用卡交易的模型和规范。出的网上信用卡交易的模型和规范。SET是开放的，是开放的，是一个为在线交易而开发的，是一个为在线交易而开发的，SET主要是为了解决主要

42、是为了解决用户、商家和银行之间通过信用卡支付的交易而设用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份，以及可操作性。商户及持卡人的合法身份，以及可操作性。SET协议的应用流程示意图vSET协议的特点：在SET开始介入后的处理中，对通信协议，请求信息的格式，数据类型的定义等，SET都有明确的规定。v以SET协议为基础的支付流程每一步都有严格的规范，并大量利用密钥加密法，私有密钥加密法，数字证书，数字摘要，数字签名，双重数字加密等安全技术，同时在每一步，消费者，商家，支付网关都需要通过CA来

43、验证交易各方身份，以确保通信的对方不是冒名顶替。v不足：协议复杂，使用成本较高，客户端必须安装“电子钱包”软件才能使用。v同时在SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名，4次对称加密和4次非对称加密。整个交易花费时间1.5到2分钟，交易效率低。v SSL协议（协议（Secure Socket Layer，安全套接层）是，安全套接层）是由网景（由网景（Netscape）公司）公司1994年设计开发推出的一种年设计开发推出的一种安全通信协议，主要用于提高应用程序之间的数据的安全通信协议，主要用于提高应用程序之间的数据的安全系数，此协议对应于计算机网络安全系

44、数，此协议对应于计算机网络OSI体系结构中体系结构中的会话层，的会话层，他是对计算机间整个会话进行加密的协议，他是对计算机间整个会话进行加密的协议，SSL广泛应用于互联网上敏感信息的安全传输。广泛应用于互联网上敏感信息的安全传输。vSSL可以分为两层：v握手层v记录层v（1）SSL握手协议 是客户机和服务器之间交换消息强化安全性的协议，它支持通信双方的身份验证，会话密钥的确定以及加密算法等。握手协议是在任何应用程序数据传输之前使用的。v（2）SSL记录协议 定义了数据传送的格式，上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送的。SSL层（SSL握手协议/

45、SSL记录协议）TCP/IP协议网络接口层（各种局域网和广域网）应用层协议（http,smtp,ftp,telnet,imap等）应用层网络层SSL协议的协议层次图v 使用SSL安全机制时候，首先客户端要与服务器建立连接，服务器把他的数字证书与公共密钥一并发送给客户端，客户端随即生成会话密钥，用从服务器中得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递服务器，而会话密钥只要在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个唯一的安全通道。vSSL的特点：vSSL协议实现简单，独立与应用层协议，而且大部分的web浏览器以及主要的服务器都支持SSL协议，以便于在电子交易中应

46、用，国际著名的信用卡支付系统就是支持这种简单加密模式。v缺点：v第一 因为他是一个面向连接的协议，是针对点对点通信设计的，只能提供交易中客户与服务器间双方认证。而电子商务的支付系统是涉及多方面的，SSL协议不能对电子商务中支付各方提供信任关系，只能确保数据传输安全，不能实现多方认证v第二 SSL只能保证资料传递过程的安全，而传递是否有人截取就无法保证了。v第三 系统的安全性差，SSL协议的数据安全性其实就是建立在非对称加密支持的算法的安全性之上的，因此，从本质上说，攻破了RSA算法等同于攻破了此协议。付款人收款人支付网关收单行发卡行认证中心交易支付授权转账请求认证认证信用卡在线支付SSL模式工

47、作流程三三 电子商务安全案例分析电子商务安全案例分析v 案例案例1：电子商务网络诈骗：电子商务网络诈骗v 某天，雅宝竞价交易网的客户服务中心收到了一封email。一位山东泰安的王先生反映：他在网上通过竞价的方式购买了一部nokia8810手机，他汇款给卖主之后，就和这位名叫kiss590069的物主失去了联系。雅宝客户服务中心根据王先生提供的线索，查找之后发现：网名kiss590069的物主的所有注册信息的真实性都值得怀疑，并且该物主同时有4个物品在网上拍卖，都是手机，竞标的人非常多，物主的留言也很有吸引力。于是，雅宝初步认定这是网上欺诈，建议受骗的王先生向公安局报案。v 没过几天，客户服务中

48、心又通过各种方式找到了与王先生遭遇相同的肖先生、白先生等其他4位受害者。客户服务中心工作人员通过各种证据发现：进行这起诈骗的是同一个人，张家口市宣化区的刘福全。于是，在雅宝的积极配合下，张家口地区警方迅速将骗子捉拿归案。v 思考问题：v 1如何建立网络信用体系以防止诈骗？v 2分析网名为kiss590069的物主能够实施诈骗的原因。v 3从技术上你认为雅宝网站可以采用怎样的措施预防？v案例2：在使用WWW时，你在连续不断的暴露自己的信息，其中包括你的IP地址和所用的浏览器；某人非法进入银行系统将自己账户上的信息由“取”改为“存”，获取非法收入；或者将电子邮件的收件地址添加一个字母，导致邮件传输

49、失败。v 讨论问题：v（1）什么是计算机安全？上述情况分别是对那种类型计算机安全的威胁？v（2）你能够提出解决上述问题的方案吗？v案例3：网络病毒与网络犯罪v 2006年12月初，我国互联网上大规模爆发“熊猫烧香”病毒及其变种。在病毒卡通化的外表下，隐藏着巨大的传染潜力。短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。2007年2月3日，“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代，他曾将“熊猫烧香”病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有“熊猫烧香”病毒的新变种出现。v 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”

50、案情被揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取电脑里的游戏账号密码，取得虚拟货币进行买卖。v 李俊处于链条的上端，其在被抓捕前，不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说，该产业的利润率高于目前国内的房地产业。v 有了大量盗窃来的游戏装备、账号，并不能马上兑换成人民币。只有通过网上交易，这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后，网友们通过网上银行将现金转账，就能获得那些盗来的网络货币。v 通过上述案例可以看出随着互联网和电子商务的快速发展，利用网络犯罪的行为会大量出现，为了保证电子商务的顺利发展，法律保障是必不可少的。目前对我国的网络立法明显滞后，如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外，目前还没有一部完善的法律来约束病毒制造和传播，更无法来保护网络虚拟钱币的安全。v 根据法律，制造传播病毒者，要以后果严重程度来量刑，但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”，就不构成“盗窃罪”，这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。