《电子商务安全与支付》课件(完整版1-10章).pptx

1、第一章第一章 电子商务安全电子商务安全概述概述电子商务安全与支付第一章第一章 电子商务安全概述电子商务安全概述本章导入1998年3月18日北京友谊宾馆，互联网第一位网上交易的支付者是浙江电视台播送中心的王轲平先生；第一笔费用的支付手段是中国银行长城卡；支付金额为100元；交易物品是世纪互联通信技术有限公司的100元上网机时。中国银行开展网上银行服务的最早时间是1996年。1997年年底，王轲平先生发现了这个站点，并填写了申请书。在接到王轲平先生的申请后，世纪互联通信技术有限公司开始着手进行这次交易的准备，耗时约15天。王轲平先生成为第一个在中国互联网上进行电子交易的人。这次交易也是国内企业与消

2、费者在网上的“第一次亲密接触”。思考一下，如果王先生没有中国银行的银行卡，他该如何完成这次交易？如果现在要完成这样的交易，有哪些结算手段？怎样确保世纪互联通信技术有限公司安全收到支付的100元？王先生的信息会被泄露给第三者吗？现在再进行这样的一笔电子商务交易还需要15天的时间吗？解决以上的问题，我们需要了解电子商务安全与支付的相关知识。第三节 认识电子商务网上支付目录第二节 认识电子商务安全CONTENTS第一节 电子商务的发展与应用第一章第一章 电子商务安全概述电子商务安全概述 掌握电子商务的定义、特点和分类。 了解电子商务的发展历程和发展方向。知识目标 能够利用互联网进行购物。 利用网络调

3、研，认知电子商务行业发展的历程和方向。技能目标第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n电子商务（Electronic Commerce，EC)是利用计算机技术和网络通信技术进行的商务活动。n电子商务可划分为广义和狭义的电子商务。广义的电子商务定义为，使用各种电子工具从事的商务活动；狭义电子商务定义为，主要利用互联网从事的商务或活动。无论是广义的还是狭义的电子商务的概念，电子商务都涵盖了两个方面：一是离不开互联网这个平台，没有了网络，就称不上为电子商务；二是通过互联网完成的是一种商务活动。一.电子商务的定义第一章第一章 电子商务安全概述电子商务安全概述第一节

4、电子商务的发展与应用n1.企业与消费者之间的电子商务（Business to Consumer，B2C）二.电子商务的类型第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n2.企业与企业之间的电子商务（Business to Business，B2B）二.电子商务的类型第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n3.消费者与消费者之间的电子商务（Consumer to Consumer ，C2C）二.电子商务的类型第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n4.线下商务与互联网之间的电子商务（Online

5、 To Offline，O2O)二.电子商务的类型第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n5.供应方与采购方之间的电子商务（Business-Operator-Business，B0B）二.电子商务的类型第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用 1.企业业务组织 电子商务是一种基于信息的商业进程，在这一进程中，企业内外的大量业务被重组，使整个企业更有效地运作。 2.信息发布与广告宣传 企业可凭Web服务器来发布Web站点，在互联网上发布各类商业信息和企业信息，以供客户浏览。 3.咨询洽谈 在电子商务活动中，客户可以借助非实时

6、的电子邮件、新闻组和实时的论坛、微博、微信、视频直播等平台来了解市场和商品信息，洽谈交易事务。 4.网上订购 网上订购通常都是在产品介绍的页面上提供十分友好的订购提示信息和订购单。三.电子商务的功能第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用 5.网上支付 对于一个完整的电子商务过程，网上支付是不可缺少的一个重要环节。 6.网上金融与电子账户 网上的支付需要电子金融来支持，即银行或信用卡公司以及保险公司等金融机构为客户提供可在网上操作的金融服务。 7.信息服务传递 交易过程中的信息服务传递，如订货信息、支付信息、物流配送信息等均可通过各种网络服务来实现。 8.意见

7、征询和调查统计 通过网页或者其他即时通信平台进行问卷调查，可收集用户对产品及服务的反馈意见，使企业的市场运营形成一个回路。 9.交易管理 在商务活动中，对整个交易过程的管理将涉及人、财、物多个方面以及企业与企业、企业与客户、企业内部等各方面的协调和管理，因此，交易管理涉及商务活动的全过程。三.电子商务的功能第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n第一个时期，初创期(1997年至2002年)。 互联网虽然是舶来品，但是却受到人们的热切期待。n第二个时期，快速发展期(2003年至2007年)。 在这段时期里，电子商务的发展获得了难得的历史机遇，支撑电子商务发展的

8、一些基础设施和政策也在这期间得以发展起来。n第三个时期，创新发展期(2008年至今)。 2008年以来，我国电子商务仍然以较高的速度增长。四我国电子商务发展历程第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用 其一，我国电子商务仍然保持快速增长态势，潜力巨大。 其二，企业、行业信息化快速发展，为加快电子商务应用提供坚实基础。 其三，电子商务服务业迅猛发展，初步形成功能完善的业态体系。 其四，跨境电子交易获得快速发展。在国际经济形势持续不振的环境下，我国中小外贸企业跨境电子商务仍逆势而为，近年来保持了30%的年均增速。五电子商务发展现状分析第一章第一章 电子商务安全概述

9、电子商务安全概述第一节 电子商务的发展与应用 电子商务发展环境不断改善。全社会电子商务应用意识不断增强，应用技能得到有效提高。相关部门协同推进电子商务发展的工作机制初步建立，围绕电子认证、网络购物等主题，出台了一系列政策、规章和标准规范，为构建良好的电子商务发展环境进行了积极探索。五电子商务发展现状分析第三节 认识电子商务网上支付目录第二节 认识电子商务安全CONTENTS第一节 电子商务的发展与应用第一章第一章 电子商务安全概述电子商务安全概述 1.掌握电子商务安全需求和安全体系结构 2.掌握电子商务安全的层次知识目标 1.熟悉电子商务安全事件 2.能够认知和防范计算机病毒技能目标第一章第一

10、章 电子商务安全概述电子商务安全概述第二节 认识电子商务安全一.电子商务的安全现状一二三木马、病毒种类更新速度快且数量暴涨网络病毒的传播方式发生了变化网络病毒对电子商务造成的影响越来越大第一章第一章 电子商务安全概述电子商务安全概述第二节 认识电子商务安全二. 电子商务的安全要素n电子商务的安全要素有以下四点: 1.有效性、真实性 2.机密性 3.数据的完整性 4.可靠性、不可抵赖性第一章第一章 电子商务安全概述电子商务安全概述第二节 认识电子商务安全三电子商务安全防范措施 n1.广泛开展宣传工作，最大程度地提高公众的安全意识n2.采用多重网络保护技术 n3.加强网络技术管理水平，确保网络环境

11、的安全 n4.合理运用法律的武器保护自己 第三节 认识电子商务网上支付目录第二节 认识电子商务安全CONTENTS第一节 电子商务的发展与应用第一章第一章 电子商务安全概述电子商务安全概述 1.掌握网上支付系统的安全需求 2.熟悉电子商务安全交易的实施方法知识目标 利用网络调研，了解我国当前网上支付的现状、存在问题及发展趋势技能目标第一章第一章 电子商务安全概述电子商务安全概述n 网络支付是指用户以互联网作为媒介，通过计算机、移动终端等通用设备发出指令，由支付服务器通过对指令的解析实现资金转移的过程。从网络支付的定义可以看出，其包括三个核心的内容即通用设备、互联网和资金转移。第三节 认识电子商

12、务网络支付 一、网络支付的含义第一章第一章 电子商务安全概述电子商务安全概述n 网络支付的实现需要特定的组织结构，并且需要各结构之间的密切配合，这构成了网络支付的结构模型。一般而言，网络支付至少能够满足不同的支付需求、实现不同的支付额度及花费不同的时间，这构成了网络支付结构模型的外延。网络支付结构模型内涵一般包括六个组成部分，即参与者的身份标识、实现指令输入的通用终端、传输支付指令的公共网络、识别支付指令的服务器以及完成资金转移的收款账户和付款账户等。第三节 认识电子商务网络支付二、网络支付的结构模型第一章第一章 电子商务安全概述电子商务安全概述n 从网络支付应用的实践来看，其面临的安全威胁主

13、要有：用户的身份标识被窃取、支付交易信息被破坏、指令传输过程中被篡改和支付行为被否认等。从网络支付六个结构要素来看，网络支付的安全问题主要表现形式有以下几个方面。 1.身份标识的安全问题 2.指令终端的安全问题 3.传输网络的安全问题 4.支付服务器的安全问题 5.账户的安全问题第三节 认识电子商务网络支付三.网络支付的安全问题第一章第一章 电子商务安全概述电子商务安全概述 1.数据的私有性和安全性 2.数据的完整性 3.通信、交易和存取要求的合法性 4.不可抵赖性 5.可审查性 6.系统可控性 7.认证性 8.不可拒绝性 9.匿名性 10.原子性第三节 认识电子商务网络支付四网络支付的安全需

14、求第一章第一章 电子商务安全概述电子商务安全概述 所谓电子商务的安全策略，是一个组织机构在从事电子商务事务中关于安全方面的纲要性条例，它一般以书面形式明确描述所需保护的对象、保护职责的分配等。网络支付的安全策略是整个电子商务安全策略最重要的一个子集。一个完整的网络交易安全体系至少应包括三类措施，并且三者缺一不可。一是技术方面的措施，如防火墙技术、网络防毒、信息加密、身份认证、授权等；二是管理方面的措施，包括交易安全的实时监控、改变安全策略的能力、现有安全系统的漏洞自查等 ；三是社会的政策和法律保护。只有从这三方面入手，才可能真正实现电子商务的安全运行。第三节 认识电子商务网络支付五.网络支付的

15、安全策略本章总结 本章介绍了电子商务系统的一些基本知识及电子商务系统的发展，然后提出了电子商务环境的安全问题，探寻了电子商务系统安全问题的根源，按照安全层次分析了电子商务系统的安全需求。交易环境的安全需求是底层的安全需求，在交易环境之上，交易对象和交易过程的安全需求构成了第二层次的安全需求。在网上商务活动中，支付是重点，也是电子商务系统安全问题的核心。思考题1.电子商务的功能包括哪些方面？2.电子商务的安全要素包括哪些方面？3.网络支付的安全需求包括哪些方面？课后训练1. 利用网络及相关资料进行分析，找出我国排名靠前的5家电子商务公司，比较其平台、网站、经营范围及市场规模等。2. 请举出你遇到

16、或了解的电子商务安全问题，总结产生的原因，指出相应的预防措施。3. 阅读中国互联网络信息中心CNNIC最新的中国互联网络发展状况统计报告中关于安全支付的数据及分析，了解中国电子商务发展的现状，撰写分析报告。THANKS第二章第二章 电子商务安全技电子商务安全技术术电子商务安全与支付第一章第一章 电子商务安全概述电子商务安全概述本章导入2018年8月，全国金融标准化技术委员会秘书处发布关于征求聚合支付安全技术规范（征求意见稿）的通知，正式对外宣布，聚合支付标准的推出正在路上。该规范提出了聚合技术平台的基本框架，规定了聚合支付系统实现、安全技术、安全管理、风险控制等要求。适用于从事聚合支付系统建设

17、、服务运营的聚合技术服务商。规范在各个方面对聚合支付进行了较高的要求。值得一提的是，该标准的工作组由商业银行、支付机构、中国银联、检测机构等角色组成。在规范中，聚合技术服务商被定义为经工商行政管理部门批准成立，接受支付服务机构、商户委托，利用自身的技术与服务集成能力，提供商户拓展、支付渠道整合、技术对接、系统运维、集合对账等服务的机构。除了对聚合支付的固态码、动态码、线上业务等业务进行基本定义之外，标准还对聚合支付的数据留存问题有较高的要求。第一章第一章 电子商务安全概述电子商务安全概述本章导入聚和交易安全基本要求是，聚合技术服务商应采取加密存储、访问控制、信息安全审计等措施，可以防范拖库撞库

18、攻击。聚合支付系统应能够通过支付标记化技术，应定期开展敏感信息安全的内部审计。在应用软件的数据安全方面，聚合技术服务商应用宜支持页面回退清除敏感信息的机制。残余信息保护方面，聚合技术服务商应用软件退出时，应清除非业务功能运行所必需留存的业务数据，保证客户信息的安全性；软件卸载后，文件系统中不应残留任何与用户相关的个人信息及敏感数据等。第三节数据安全应用目录第二节网络安全技术应用CONTENTS第一节 计算机系统安全技术应用第一章第一章 电子商务安全概述电子商务安全概述 1.熟悉服务器的安全防范。 2.掌握软件系统的安全维护策略。知识目标 学会对计算机系统的优化设置技能目标第一章第一章 电子商务

19、安全概述电子商务安全概述第一节 计算机系统安全技术应用n国际标准化组织（ISO）对计算机系统安全的定义是“为数据处理系统和采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露”。由此可以将计算机网络的安全理解为通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。n互联网是遍布全球的计算机互联形成的网络，作为节点的计算机是互联网的重要组成部分。计算机包括基本的硬件、系统软件和各种应用程序。硬件平台的安全性主要指防火、

20、防水、防盗等物理危险的防护，系统软件的安全主要指各种操作系统防范攻击、保障工作安全。一、计算机系统安全的定义第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用n硬件平台安全最重要的部分在于服务器硬件安全，因为服务器要长时间高速度运行，承载了海量数据的吞吐工作，所以要尽最大可能保证服务器安全。在服务器硬件方面，可以通过高可用集群、双机热备策略，应对服务器瘫痪、被黑、负载过重给系统带来的影响。（1）高可用集群，英文原文为High Availability Cluster, 简称HA Cluster（2）双机热备n提高服务器的使用效率，也不影响服务器的性能，在工作方式选择上，

21、有如下的选择。 1主/主 (Active/active) 2主/从(Active/passive) 3混合型(Hybrid)二、硬件平台的安全防范第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用在做好硬件防护的同时，软件层面也很重要。一般来说，最小的权限+最少的服务=最大的安全。在软件维护方面，有以下几个策略。1从基本做起，及时安装系统补丁三、软件系统的安全维护策略第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用2安装和设置防火墙 三、软件系统的安全维护策略第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用3安装网络杀

22、毒软件 三、软件系统的安全维护策略第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用4关闭不需要的服务和端口 5定期对服务器进行备份6账号和密码保护三、软件系统的安全维护策略第一章第一章 电子商务安全概述电子商务安全概述第一节 电子商务的发展与应用 一旦系统被黑，需要立即做出处理，包括：（1）立即停止系统服务，避免用户继续受影响，防止继续影响其他站点。 （2）如果同一主机提供商同期内有多个站点被黑，可以联系主机提供商，敦促对方做出应对。 （3）清理已发现的异常，排查出可能的被黑时间，和服务器上的文件修改时间相比对，处理掉黑客上传、修改过的文件;检查服务器中的用户管理设置

23、，确认是否存在异常的变化;更改服务器的用户访问密码。 一般可以从访问日志中，确定可能的被黑时间。不过黑客可能也修改服务器的访问日志。（4）做好安全工作，排查网站存在的漏洞，防止再次被黑。三、软件系统的安全维护策略第三节 数据安全应用目录第二节 网络安全技术应用CONTENTS第一节 计算机系统安全技术应用第一章第一章 电子商务安全概述电子商务安全概述 1.掌握常见的网络入侵方式。 2.熟悉网络的安全策略知识目标 学会防火墙的原理和使用技能目标第一章第一章 电子商务安全概述电子商务安全概述 计算机网络是一个开放和自由的网络，它在大大增强了网络信息服务灵活性的同时，也给黑客攻击和入侵敞开了方便之门

24、。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围，而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术，当成一种新式犯罪工具和手段，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来，网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。第二节 网络安全技术应用第一章第一章 电子商务安全概述电子商务安全概述1.通过伪装发动攻击 2.利用开放端口漏洞发动攻击 3.通过木马程序进行入侵或发动攻

25、击 4.嗅探器和扫描攻击 为了应对不断更新的网络攻击手段，网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术，入侵检测、入侵防御和漏洞扫描属主动检测技术，这些技术领域的研究成果已经成为众多信息安全产品的基础。第二节 网络安全技术应用一、常见的几种网络入侵方法 第一章第一章 电子商务安全概述电子商务安全概述 网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、

26、入侵的目的。主要的网络防护技术包括防火墙、VPN、防毒墙等。 1.防火墙 2.VPN 3.防毒墙第二节 网络安全技术应用二、网络的安全策略分析 第一章第一章 电子商务安全概述电子商务安全概述 仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有以下几种。 n1.入侵检测 n2.入侵防御n3.漏洞扫描 第二节 网络安全技术应用三网络检测技术分析第三节

27、 数据安全应用目录第二节 网络安全技术应用CONTENTS第一节 计算机系统安全技术应用第一章第一章 电子商务安全概述电子商务安全概述 1.了解数据安全的特点、常见风险。 2.掌握数据安全技术知识目标 1.学会数据安全技术的应用。 2.学会网站安全措施技能目标第一章第一章 电子商务安全概述电子商务安全概述 数据安全也称信息安全，有两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全，数据安全是一种主动的包含措

28、施。 数据本身的安全必须基于可靠的加密算法与安全体系，主要是有对称算法与公开密钥密码体系两种。第三节 数据安全应用一、数据安全的概念第一章第一章 电子商务安全概述电子商务安全概述n1. 保密性（secrecy）n2.完整性（Integrity）n3.可用性（Availability） 综上，从数据安全的三个特性上，要实现开放而安全的目标是一个高难度的挑战。人类已进入大数据时代，数据的重要性无须赘言。如何保护数据安全成为企事业单位及社会各界关切的问题。第三节 数据安全应用二、数据安全的特点第一章第一章 电子商务安全概述电子商务安全概述n1.来自操作系统的风险n2.来自管理的风险n3.来自用户的风

29、险 n4.来自数据库系统内部的风险第三节 数据安全应用三、数据安全的风险来源第一章第一章 电子商务安全概述电子商务安全概述n 1.数据加密 第三节 数据安全应用四、数据安全技术第一章第一章 电子商务安全概述电子商务安全概述n 2.存取管理技术 （1）用户认证技术 用户认证技术是系统提供的最外层安全保护措施。通过用户身份验证，可以阻止未授权用户的访问，而通过用户身份识别，可以防止用户的越权访问。 用户身份验证 （2）访问控制 按功能模块对用户授权 每个功能模块对不同用户设置不同权限，如无权进入本模块、仅可查询、可更新可查询、全部功能可使用等。 将数据库系统权限赋予用户 通常为了提高数据库的信息安

30、全访问，用户在进行正常的访问前服务器往往都需要认证用户的身份、确认用户是否被授权。为了加强身份认证和访问控制，适应对大规模用户和海量数据资源的管理，通常DBMS主要使用的是基于角色的访问控制（Role based access control，RBAC）。第三节 数据安全应用四、数据安全技术第一章第一章 电子商务安全概述电子商务安全概述n3.备份与恢复 n4.建立安全的审计机制 (1）建立单独的审计系统和审计员，审计数据需要存放在单独的审计文件中，而不像Oracle那样存在数据库中，只有审计员才能访问这些审计数据。可以把用户大致分为审计员、数据库用户、系统安全员3类，这三者相互牵制，各司其职。

31、分别在3个地方进行审计控制。（2）为了保证数据库系统的安全审计功能，还需要考虑到系统能够对安全侵害事件做出自动响应，提供审计自动报警功能。当系统检测到有危害到系统安全的事件发生并达到预定的阈值时，要给出报警信息，同时还会自动断开用户的连接，终止服务器端的相应线程，并阻止该用户再次登录系统。第三节 数据安全应用四、数据安全技术本章总结 本章介绍了互联网系统的安全层次和安全技术，底层是计算机网络系统安全，解决网络安全要有一个好的安全策略，然后根据策略部署技术设备，防火墙是最重要也是最常用的一种。作为信息载体的数据安全，是一切信息系统安全的基础。应用系统作为电子商务活动开展最直接的实现者，也需要一套

32、完整的安全管理措施。思考题1. 软件系统的安全维护策略有哪些？2.常见的几种网络入侵方法有哪些？3.数据安全的特点包括哪些方面？课后训练1熟悉防火墙基本知识，练习使用防火墙。2学会应用网络的安全策略。3. 走访调研相关电子商务企业，分析企业架设电子商务网站时，会如何选择有效的安全措施，形成分析报告。THANKS第第三三章章 电子商务电子商务加密技术及应用加密技术及应用电子商务安全与支付第四章 电子商务认证技术及应用电子商务安全与支付第一章第一章 电子商务安全概述电子商务安全概述本章导入 为了保证电子商务活动的正常开展，国家自2005年起相继颁布了中华人民共和国电子签名法电子支付指引(第一号)等

33、法令法规。电子支付业务类型按指令发起方式，可分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员交易和其他电子支付。此前颁布的中华人民共和国电子签名法，也明确电子支付中数字签名的法律地位，但是对于银行是否必须采用第三方认证还缺乏硬性规定。中国金融认证中心总经理李晓峰说：“如果银行不通过第三方认证机构，那么就可能存在既当运动员又当裁判员的现象，这将会影响到客户对交易安全的信任。”电子支付指引(第一号)指出：“银行采用数字证书方式时，应当有合法的第三方认证机构提供认证服务，以保证电子支付交易认证的公正性。”第三节 公钥基础设施PKI技术应用目录第二节 数字证书的安装和使用CONTENTS第一

34、节 认识身份认证技术第一章第一章 电子商务安全概述电子商务安全概述 掌握身份认证的概念和类型。 熟悉常用的身份认证方式。 知识目标 能够顺利进行网上身份认证。技能目标第一章第一章 电子商务安全概述电子商务安全概述第一节 认识身份认证技术 认证（Authentication）是指对主客体身份进行确认的过程。身份认证（Identity Authentication）也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证

35、系统和数据的安全，以及授权访问者的合法利益。一.身份认证的概念第一章第一章 电子商务安全概述电子商务安全概述第一节 认识身份认证技术 （1）静态密码认证 静态密码认证是指以用户名及密码认证的方式，是最简单最常用的身份认证方法。 （2）动态口令认证 动态口令是应用最广的一种身份识别方式，基于动态口令认证的方式主要有动态短信密码和动态口令牌（卡）两种方式，口令一次一密。 二.常用的身份认证方式第一章第一章 电子商务安全概述电子商务安全概述（3）USB Key认证 采用软硬件相结合、一次一密的强双因素（两种认证方法）认证模式。其身份认证系统主要有两种认证模式：基于冲击/响应模式和基于PKI体系的认证

36、模式。二.常用的身份认证方式第一节 认识身份认证技术第一章第一章 电子商务安全概述电子商务安全概述（4）生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户区别于其他用户的唯一生理特征或行为方式。生理特征包括声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等，行为特征包括签名、语音、行走步态等。二.常用的身份认证方式第一节 认识身份认证技术第一章第一章 电子商务安全概述电子商务安全概述第一节 认识身份认证技术（5）CA认证 国际认证机构通称为CA，是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份

37、的合法性，并签发证书，以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程，即CA认证过程。二.常用的身份认证方式第一章第一章 电子商务安全概述电子商务安全概述1. Basic认证模式 Basic认证模式是较早被广泛应用的一种HTTP标准提供的认证模式。最常见的形式之一就是在url中直接写上用户名密码向服务器提供身份。 在Basic模式之中，每次向服务器请求受保护资源的时候都要在url中带上明文或仅被Base64编码过的用户名密码。而且在这种模式下，如果我们要实现“记住登录状态”功能，就需要将用户名密码这样的敏感信息直接缓存在浏览器中。这样就形成了它最主要的两个缺点，一是每个请求中都要带有用

38、户名和密码凭据，二是安全性堪忧。第一节 认识身份认证技术三、身份认证技术第一章第一章 电子商务安全概述电子商务安全概述2.基于session的认证模式 为了解决每次请求敏感资源都要带有用户名密码凭证的问题，Web开发者们形成了一套基本的实践模式，就是将用户认证后的身份存储于服务端管理的会话（session）之中，以此来减少使用过程中对凭据的传输。 用户想要请求受保护资源，先要登录，向服务端发送用户名密码。服务端验证用户名密码成功之后将用户的身份验证标识存储在session中，然后将sessionId（一个session的key）存储在cookie中。之后当用户再去请求受保护资源的时候，只要携带

39、好cookie中的sessionId就可以验证其身份，返回受保护资源了。第一节 认识身份认证技术三、身份认证技术第一章第一章 电子商务安全概述电子商务安全概述3.基于cookie的认证模式 既然使用session会产生诸多的问题，需要一种优化方案来解决这种问题，于是出现了将认证信息直接存储在客户端的cookie中。但是存储在客户端还会面临着一系列的安全问题。例如，用户直接在cookie中以用户id存储标识，甚至自己篡改cookie改成别的用户id，就可以切换自己的身份，为了避免这类情况，就要涉及cookie信息加密和解密。第一节 认识身份认证技术三、身份认证技术第三节 公钥基础设施PKI技术应

40、用目录第二节 数字证书的安装和使用CONTENTS第一节 认识身份认证技术第一章第一章 电子商务安全概述电子商务安全概述 掌握数字证书的定义和分类。 了解数字证书的作用。知识目标 能够在网上申请下载安装个人数字证书。技能目标第一章第一章 电子商务安全概述电子商务安全概述一、数字证书的定义 数字证书又称为数字标识，是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在互联网的身份证。第二节 数字证书的安装和使用一、数字证书的定义第一章第一章 电子商务安全概述电子商务安全概述 从数字证书的技术角度

41、分，CA中心发放的证书分为两类：SSL证书和SET证书。 从数字证书使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。第二节 数字证书的安装和使用二、数字证书的分类第一章第一章 电子商务安全概述电子商务安全概述 1.个人身份证书 数字证书的标准有X.509证书、简单PKI证书、PGP证书和属性证书几种，其中X.509格式证书是被广泛使用的数字证书标准，是用于标志通信各方身份信息的一系列数据。 2.企业或机构身份证书 符合 X.509 标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企

42、业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中，可以用于企业在电子商务方面的对外活动。签订、网上证券交易、交易支付信息等方面。第二节 数字证书的安装和使用二、数字证书的分类第一章第一章 电子商务安全概述电子商务安全概述 3.支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(互联网 上各种安全协议与银行现有网络数据格式的转换）。4.服务器证书 符合 X.509 标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通信中用于标识和验证服务器的身份。数字

43、安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 第二节 数字证书的安装和使用二、数字证书的分类第一章第一章 电子商务安全概述电子商务安全概述5.企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 互联网 上，当用户在 互联网 上下载该软件时，将会得到提示，从而可以确信软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 6.安全电子邮件证书 符合 X.509 标准的安全电子邮件证书，通

44、过 IE 或 Netscape 申请，用 IE 申请的证书存储于 Windows 的注册表中，用 Netscape 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 Web 服务器(Https 服务) 表明身份。第二节 数字证书的安装和使用二、数字证书的分类第一章第一章 电子商务安全概述电子商务安全概述7个人代码签名证书 个人代码签名证书是CA签发给软件提供人的数字证书，包含软件提供人的身份信息、公钥及CA的签名。软件提供人使用代码签名证书对软件进行签名后放到互联网上，当用户在互联网上下载该软件时，将会得到提示，从而可以确信软件的来源，以及软件自签名后到下载前，没有遭到修

45、改或破坏。第二节 数字证书的安装和使用二、数字证书的分类第一章第一章 电子商务安全概述电子商务安全概述 第一，安全性。用户申请证书时会有两份不同证书，分别用于工作电脑以及用于验证用户的信息交互，即使他人窃取了证书，也无法获取用户的账户信息，保障了账户信息。 第二，唯一性。数字证书依用户身份不同给予其相应的访问权限，若换电脑进行账户登录，而用户无证书备份，其是无法实施操作的，只能查看账户信息，数字证书就犹如“钥匙”一般，所谓“一把钥匙只能开一把锁”，就是其唯一性的体现。 第三，便利性。用户可即时申请、开通并使用数字证书，且可依用户需求选择相应的数字证书保障技术。用户不需要掌握加密技术或原理，就能

46、够直接通过数字证书来进行安全防护，十分便捷高效。第二节 数字证书的安装和使用三数字证书的特点第一章第一章 电子商务安全概述电子商务安全概述一信息的保密性二交易者身份的确定性三不可否认性四不可修改性第二节 数字证书的安装和使用四数字证书的作用第三节 公钥基础设施PKI技术应用目录第二节 数字证书的安装和使用CONTENTS第一节 认识身份认证技术第一章第一章 电子商务安全概述电子商务安全概述 掌握PKI的概念。 熟悉PKI的体系结构。 熟悉PKI的应用和发展趋势。知识目标 能够通过操作获取私钥和公钥。技能目标第一章第一章 电子商务安全概述电子商务安全概述n PKI是Public Key Infr

47、astructure的缩写，意为“公钥基础设施”。简单地说，PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖性，如图4-5所示。目前，公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。第三节公钥基础设施PKIPKI技术应用一PKI的概念第一章第一章 电子商务安全概述电子商务安全概述第三节公钥基础设施PKIPKI技术应用第一章第一章 电子商务安全概述电子商务安全概

48、述（1）认证 在现实生活中，认证采用的方式通常是两个人事前进行协商，确定一个秘密，然后，依据这个秘密进行相互认证。随着网络的扩大和用户的增加，事前协商秘密会变得非常复杂，特别是在电子政务中，经常会有新聘用和退休的情况。另外，在大规模的网络中，两两进行协商几乎是不可能的。透过一个密钥管理中心来协调也会有很大的困难，而且当网络规模巨大时，密钥管理中心甚至有可能成为网络通信的瓶颈。 第三节公钥基础设施PKIPKI技术应用二PKI技术的信任服务 第一章第一章 电子商务安全概述电子商务安全概述（2）支持密钥管理 通过加密证书，通信双方可以协商一个秘密，而这个秘密可以作为通信加密的密钥。在需要通信时，可以

49、在认证的基础上协商一个密钥。在大规模的网络中，特别是在电子政务中，密钥恢复也是密钥管理的一个重要方面。政府可以通过法定的手续解密其通信内容，保护政府的合法权益。PKI能够通过良好的密钥恢复能力，提供可信的、可管理的密钥恢复机制。PKI的普及应用能够保证在全社会范围内提供全面的密钥恢复与管理能力，保证网上活动的健康有序发展。 第三节公钥基础设施PKIPKI技术应用二PKI技术的信任服务 第一章第一章 电子商务安全概述电子商务安全概述（3）完整性与不可否认 完整性与不可否认是PKI提供的最基本的服务。一般来说，完整性也可以通过双方协商一个秘密来解决，但一方有意抵赖时，这种完整性就无法接受第三方的仲

50、裁。而PKI提供的完整性是可以通过第三方仲裁的，并且这种可以由第三方进行仲裁的完整性是通信双方都不可否认的。 “不可否认”就是通过这样的PKI数字签名机制来提供服务的。当法律许可时，该“不可否认性” 可以作为法律依据。正确使用时，PKI的安全性应该高于目前使用的纸面图章系统。 第三节公钥基础设施PKIPKI技术应用二PKI技术的信任服务 第一章第一章 电子商务安全概述电子商务安全概述 1.通过PKI可以构建一个可管、可控、安全的互联网络 2.通过PKI可以在互联网中构建一个完整的授权服务体系 3.通过PKI可以建设一个普适性好、安全性高的统一平台 第三节公钥基础设施PKIPKI技术应用三PKI