第十一章电子商务安全

Company name

2008-6

电子商务理论与实践第十一章电子商务安全

2008-6 2

电子商务理论与实践内容概要

电子商务安全概述1

电子商务安全技术2

电子商务交易安全4

电子商务安全协议3

2008-6 3

电子商务理论与实践 11.1 电子商务安全概述

11.1.1 电子商务的安全问题现状

11.1.2 电子商务安全的要素

11.1.3 电子商务安全体系

2008-6 4

电子商务理论与实践 11.1.1 电子商务的安全问题现状

在电子商务的发展过程中，企业与社会对网络已经出现了一定程度的依赖性。

随着信息化进程的加快，病毒泛滥、黑客破坏、交易欺诈等电子商务安全问题也日益严重起来。

1997 年以前，计算机犯罪案件主要集中在金融领域， 1997 年以后，网络犯罪活动逐步转向电子商务领域，国内各大网络几乎都不同程度地遭到过黑客的攻击。

我国曾发生过影响较大的“熊猫烧香”病毒事件，制作木马病毒、贩卖病毒、散布木马病毒、利用病毒木马技术进行网络盗窃、诈骗等系列网络犯罪活动已经形成一条产业链，制作、散布病毒的趋利性进一步增强。

2008-6 5

电子商务理论与实践

11.1.2 电子商务安全的需求要素

交易信息保密性。– 信息不会被非授权的人或实体窃取、只为授权用户使用的特性。商

务机密要先加密处理，再送网络中传输。交易信息完整性。

– 一是非人为因素，如因传输介质损坏引起的信息丢失、错误等；另一个是人为因素，指非法用户对信息的恶意篡改。

交易信息的不可抵赖性。– 信息发送方不否认已发送的信息，接收方不可否认已收到的信息。

交易者身份的真实性。– 交易双方确实是存在的，不是假冒的。

可靠性 – 电子商务系统的可靠性，指在自然灾害、计算机病毒、硬件故障等

潜在威胁状态下，仍能确保系统安全、可靠运行。

2008-6 6

电子商务理论与实践 11.1.3 电子商务安全体系

完整电子商务安全体系一般包括 4 个组成部分：

客户端服务器端银行端认证机构

2008-6 7

电子商务理论与实践 11.2 电子商务安全技术

11.2.1 加密技术

11.2.2 CA 认证与数字证书

11.2.3 公开密钥基础设施

2008-6 8

电子商务理论与实践信息加密技术知识点

1 、数据加密基础知识 2 、古典加密技术 3 、对称加密体制和非对称加密体制 4 、数字信封 5 、数字摘要 6 、数字签名

2008-6 9

电子商务理论与实践 1 、数据加密基础知识

原始未经变换的信息称之为明文 (M) 。为了保护明文，将其通过一定的方法转换成使人难以识别的一种编码，即密文 (C) 。

这个变换处理的过程称为加密。密文可以经过相应的逆变换还原成原文，这个变换处理的过程称为解密。对信息进行加密和解密通常是在原文和密文上增加或除去一些附加信息，这些附加信息就是密钥 (K) 。

加密的时候使用一项数据把明文转换成密文，该数据就是加密密钥。解密的时候使用一项数据把密文转换成明文，该数据就是解密密钥。加密密钥和解秘密钥不一定是相同的。

2008-6 10

电子商务理论与实践什么是数据加密

如果把加密解密的变换处理过程抽象成数学函数，这个函数就是加密算法 (E) 。

数据加密就是通过某种函数进行变换，把正常的数据报文（称为明文或明码）转换为密文（也称密码）。

密钥是密码方案中最关键的一项数据。密钥的位数决定着加密系统的安全性，密钥越长，破解密钥需要的计算时间越长，因此也就越安全。

2008-6 11

电子商务理论与实践举例说明上述概念

商人贾某要给他儿子发一份密码电报，电文四个字：“抛售布匹”（原文）。

按照电报码手册，这四个汉字对应： 2141 0786 1580 0572 ，然后把每个四位数都加上 100（加密密钥），四个四位数就变成了： 2241 0886 1680 0672 ，此刻这四个电报码对应变为：“抡噌庙叵”（密文）。

儿子收到电报“抡噌庙叵”后，根据相应的电报码手册得到： 2241 0886 1680 0672 ，按照事先的约定，分别减去 100（解密密钥），就得到“抛售布匹”的信息。

2008-6 12

电子商务理论与实践 2 、古典加密技术

古典加密技术针对的对象是字符。主要有两种基本算法：

恺撒算法——古老而简单的加密技术 (替代算法 )– “恺撒密码”据传是古罗马恺撒大帝用来保护重要军情

的加密系统。（既是今天我们所说的：替代密码）

维吉利亚 (Vigenere) 加密方法—— (置换移位法 )– 它是由 16世纪法国亨利三世王朝的布莱瑟 ·维吉尼亚

发明的，历史上以维吉尼亚密表为基础又演变出很多种加密方法并一直沿用到二战以后的初级电子密码机上。

2008-6 13

电子商务理论与实践替代算法（一）

恺撒密码 (单字母替换 )

由于英文字母为 26 个，因此恺撒密码仅有 26 个可能的密钥，非常不安全。

CHICHINANA

HMNHMNSFSF

每个字符后移每个字符后移 55 位位

明文M 密钥 K 密文 C加密算法 E

加密过程可以表示为：加密过程可以表示为： C=EC=EKK(M)(M)

解密过程可以表示为：解密过程可以表示为： M=DM=DKK(C)(C)

2008-6 14

电子商务理论与实践替代算法（二）

加强安全性，随机生成对照表明文： a b c d e f g h i j k l m n o p q r s t u v w x y z 密文： x n y a h p o g z q w b t s f l r c v m u e k j d i 若明文为 student, 密文则为 vmuahsm 。解密函数是上面这个替代对照表的一个逆置换。

2008-6 15

电子商务理论与实践维吉尼亚密码——置换移位法

以置换移位为基础的周期性替换密码。明文 w e a r e d i s c o v e r e d s a v e y o u r s e l f 密钥 d e c e p t i v e d e c e p t i v e d e c e p t i v e 密文 z i c v t w q n g r z g v t w a v z h c q y g l m g j 密钥 deceptive 被重复使用维吉尼亚密码仍旧能够用统计字母频度技术分析。密钥 d e c e p t i v e d e c e p t i v e d e c e p t i v e a b c d e f g h i j k l m n o p q r s t u v w x y z a b c a bc d e fg h i j k l mn opq r s t uv wx y z

2008-6 16

电子商务理论与实践 1）加密系统

一个数据加密系统包括加密算法、明文、密文以及密钥。加密算法和密钥对保护安全至关重要。加密的另一个特点是，即使有人知道加密的方法，不知道密钥也无法解开加密信息。加密信息的保密性取决于加密所用密钥的长度， 40位的密钥是最低要求，更长的（如 128位）密钥能提供更高程度的加密保障。

一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为 17 ，加密算法为将明文加上密钥17 ，就得到一个密码表。

2008-6 17


字母

A B C … Z 空格 , . / ：？

明文

01

02 03 … 26 27 28

29 30 31 32

密文

18

19 20 … 43 44 45

46 47 48 49信息

T h i s i s a s e c r e t .

明文

20 08 09 19 27 09 19 27 01 27 19 05 03 18 05 20 29

密文

37 25 26 36 44 26 36 44 18 44 36 22 20 35 22 37 46

一个简单的密码表

2008-6 18

电子商务理论与实践 2）数据加密算法

数据加密算法有很多种，密码算法标准化是信息化社会发展的必然趋势，是世界各国保密通信领域的一个重要课题。按照发展进程来分，经历了古典密码、对称密钥密码和公开密钥密码阶段。古典密码算法有替代加密、置换加密；对称加密算法包括 DES和 AES ；非对称加密算法包括 RSA 、背包密码、 McEliece 密码、 Rabin 、椭圆曲线、 EIGamal D_H 等。

目前在数据通信中使用最普遍的算法有 DES 算法和RSA 算法等。

2008-6 19

电子商务理论与实践对称加密体制和非对称加密体制

1）对称式加密体制（ K1=K2) 也称为私钥（ Private Key) 系统

2）非对称式加密体制（ K1<>K2) 也称为公钥（ Public Key) 系统

2008-6 20


使用最广泛的对称加密算法— DES 算法

DES 是由 IBM 公司在 1970 年研制的， 1977 年 1 月 15 日美国国家标准局批准为作为非机密机构的加密标准。

主要用于银行业的电子资金转帐。 DES 是采用传统换位与置换的加密方法的分组密码系统。其基本原理是：密钥 64位的比特串，其中 56位密钥， 8位

是奇偶校验位。 DES 的解密和加密一样，只不过是密钥的顺序相反。其加密和解密需完成的只是简单的算术运算，因此速度快，密钥生成容易。

1997 年美国 RSA 数据安全公司举办了密钥挑战竞赛，悬赏一万美金破译 DES 算法。克罗拉多州的一个程序员用了 96天的时间，在 Internet 数万名志愿者的协同工作下，成功地找到了 DES 的密钥。

2008-6 21

电子商务理论与实践 3）对称加密

对称加密又称为单钥加密或私钥加密，即收发信双方同用一个密钥去加密和解密数据，常见的对称加密算法为DES （ data encrypt standard ）和 IDEA 等算法 , 目前广泛使用的是 3DES 。

图 5-13 对称加密流程示意图

2008-6 22

电子商务理论与实践对称加密体制的工作过程

发送方

明文密文加密

Internet或其他网络

密文明文解密

接受方

密钥

密钥

利用安全途径传输密钥

2008-6 23

电子商务理论与实践 3）对称加密

对称加密方法对信息编码和解码的速度很快，效率也很高，但需要细心保存密钥。

如果发送者和接收者处在不同地点，就必须当面或在公共传送系统（电话系统、邮政服务）中无人偷听偷看的情况下交换密钥。所以对称加密的一个问题就出在密钥的分发上，包括密钥的生成、传输和存放。

在公共网络上进行密钥发布非常麻烦，如果企业有几千个在线顾客，那么密钥的发布就很难满足要求。

n 个人彼此之间进行保密通讯就需要 n（ n-1） /2 个密钥。想用互联网交换保密信息的每对用户都需要一个密钥，这时密钥组合就会是一个天文数字。

对称加密的另一个问题是其规模无法适应互联网这类大环境的要求。

2008-6 24

电子商务理论与实践 4）非对称加密

非对称加密又称为公开密钥加密或双钥加密， 1977 年麻省理工学院的三位教授（ Rivest 、 Shamir和Adleman）发明了 RSA 公开密钥密码系统，它是最常用的一种不对称加密算法。 RSA 公开密钥密码系统使用一对不同的密钥，给别人用的就叫公钥，给自己用的就叫私钥。这两个可以互相并且只有为对方加密或解密，用公钥加密后的密文，只有私钥能解。

2008-6 25

电子商务理论与实践古老的密码学问题

很久以前，分别有两个国家的公主和王子，公主要通过一位信使送给王子一样不愿被别人看见的信物，所以公主用加锁的箱子放信物。这位信使只愿意跑一趟，而且在这段路程中，只要一有机会（钥匙）就会偷看信物。

问题：公主如何才能把信物安全的送到王子的手中？

2008-6 26

电子商务理论与实践数据加密基础知识

1976 年，狄菲和海尔曼提出了密码体制的新概念—公钥密码。

让两个国家的每一个人都具有两副锁和钥匙，每幅各有一把锁和一把钥匙。

每一把锁和它不配套的要是放在一起，这样每个人就有两副不配套的钥匙和锁了。

将其中的一幅秘密留在家里（秘密锁钥）；另一幅拿到锁厂，复制 60亿副，让国家人人都能从市场上买到它（公开锁钥）。

2008-6 27

电子商务理论与实践数据加密基础知识

首先假设公主的秘密锁钥（ Ab ） , 公开锁钥（ Ba ）王子的秘密锁钥（ Cd ） , 公开锁钥（ Dc ）

公主先从市场上买到一幅王子的公开锁钥（ Dc ）并用王子的这把公开锁钥中的锁（ D）把要送的箱子锁上；然后公主又把自己那把秘密锁钥（ Ab）复制了一把，也锁到箱子上。这样，要送的箱子上共锁着两把锁（ DA ）。这样公主才会放心的把箱子交给信使。

王子收到箱子之后，先去市场上买公主的公开锁钥（ Ba ），王子就可以打开其中的一把锁（ A ）。接着，王子用自己的秘密锁钥（ Cd ）中的那把钥匙（ d ），把箱子上的另一把锁（ D）打开（这把锁就是公主从市场上买来的，王子的公开锁钥中的把锁，他与王子自己的钥匙正好匹配）。于是，信物就顺利的到达王子手中了。

2008-6 28


RSA 的算法如下： 1）选取两个足够大的质数 P和Q ； 2）计算 P和Q相乘所产生的乘积 n ＝ P×Q ； 3）找出一个小于 n 的数 e ，使其符合与（ P－ 1） ×（Q－ 1）互为质数；

4）另找一个数 d ，使其满足（ e×d）MOD［（ P－1） ×（Q－ l）］＝ 1其中 MOD（模）为相除取余；（ n ， e）即为公钥；（ n ， d）为私钥。

5）加密和解密的运算方式为：明文M＝ Cd（MOD n）；密文 C＝M e（MOD n ）。这两个质数无论哪一个先与明文

密码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是非常困难的，因此将这一对质数称为密钥对。

2008-6 29


举例来说，假定 P ＝ 3 ， Q ＝ 11 ，则 n = P×Q ＝ 33 ，选择 e =3 ，因为 3和 20没有公共因子。（ 3×d）MOD（ 20）＝ 1 ，得出 d＝ 7 。从而得到（ 33 ， 3）为公钥；（ 33 ， 7）为私钥。加密过程为将明文M 的 3次方模 33得到密文 C ，解密过程为将密文 C 的 7次方模 33得到明文。表显示了非对称加密和解密的过程。

明文 M 密文 C 解密字母序号 M3 M3 （ MOD

33）C7 C7 （ MOD

33）字母

A 01 1 01 1 01 A

E 05 125 26 8031810176

05 E

N 14 2744 05 78125 14 N

S 19 6859 28 13492928512

19 S

Z 26 17576 20 128000000 26 Z

非对称加密和解密的过程

2008-6 30


图 5-14 非对称加密技术示意图

2008-6 31

电子商务理论与实践非对称加密体制的工作流程

发送方明文密文


密文明文接受方

1.首先取得接受方的公开密钥

2. 用接受方的公开密钥加密

3. 用接受方的私有密钥解密

2008-6 32

电子商务理论与实践非对称加密体制的优缺点

缺点：加密算法复杂，加密和解密的速度比较慢。优点： 1. 公钥加密技术与对称加密技术相比，其优势在于不需要共享通用的密钥。

2. 公钥在传递和发布过程中即使被截获，由于没有与公钥相匹配的私钥，截获的公钥对入侵者没有太大意义。

3. 密钥少便于管理， N 个用户通信只需要 N 对密钥，网络中每个用户只需要保存自己的解密密钥。

4. 密钥分配简单，加密密钥分发给用户，而解密密钥由用户自己保留。

2008-6 33


非对称加密系统并不是要取代对称加密系统，恰恰相反，它们是相互补充的。如可用非对称加密在互联网上传输对称加密系统的密钥，而用对称加密方式加密报文，即 DES 用于明文加密， RSA 用于 DES 密钥的加密。由于DES 加密速度快，适合加密较长的报文；而 RSA 可解决DES 密钥分配的问题。

2008-6 34

电子商务理论与实践数字信封

数字信封，结合对称密钥和非对称密钥加密技术的优点，克服了对称加密算法的密钥分发难，以及公钥密码系统中加密所需时间较长的缺点。

在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。

2008-6 35

电子商务理论与实践数字摘要

数据在传输的过程中，有可能被篡改，为保证数据的完整性和真实性，需要采取相应的措施。加密虽然能在一定程度上保障数据安全，但加密本身可能受到比特交换攻击，无法保障数据的真实完整，所以需要结合采用其他完整性机制。

解决数据传输完整性问题：数字摘要

2008-6 36

电子商务理论与实践 4 、数字摘要

数字摘要 (Digital Digest) ：是一个描述文档的数字。数字摘要技术就是利用 hash函数把任意长度的输入映射为固定长度的输出。这个固定长度的输出就叫做消息摘要。

hash函数是把任意长的输入串 x变化成固定长的输出串 y 的一种函数。

HASH函数的数学表述为： y=Hash(x), x 是任意长度明文， y 是固定长度，即每改变 x 的一比特，都将对 y产生明显影响。

消息摘要用来检测消息的完整性。目前常用的 Hash 算法主要有ＳＨＡ１和ＭＤ５

2008-6 37

电子商务理论与实践数字签名

在网络中传送的报文如何签名盖章？这是数字签名所要解决的问题。

数字签名的英文： Digital Signature 基于非对称加密体制基础上，将非对称加密技术和数字摘要

技术结合。利用公开密钥加密算法（ RSA）是进行数字签名的最常用

方法。所以数字签名能够实现以下功能：

– 1）收方能够证实发送方的真实身份；– 2）发送方事后不能否认所发送过的报文；– 3）收方或非法者不能伪造、篡改报文。

2008-6 38

电子商务理论与实践数字签名原理

Hash函数

信息

信息

数字签名

数字签名

私钥加密

摘要

摘要

数字签名

数字签名

信息

信息

公钥解密摘

要摘要

Hash函数摘要

摘要

比较

如一致

信息确认

信息确认

发送方接收方

2008-6 39

电子商务理论与实践数字签名具体工作过程

发送方 : 明文数字摘要1.Hash函数

加密后的数字摘要2. 发送方的私钥

加密


接受方 :

明文

加密后的数字摘要数字摘要 1

3. 发送方的公钥解密

4.Hash函数数字摘要 2一致

不一致

2008-6 40

电子商务理论与实践 11.2.2 CA 认证与数字证书

1） CA 认证 CA (Certification Authority) 是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。

2）数字证书的概念与内容数字证书又称为数字凭证或数字标识 (Digital

Certificate ， Digital ID) ，也被称作 CA 证书，实际是一串很长的数学编码，包含有客户的基本信息及 CA 的签字，通常保存在计算机硬盘或 IC卡中。

2008-6 41


数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名及证书有效期等内容。

一个标准的 X.509 数字证书包含以下一些内容：– 证书的版本信息。– 证书的序列号，每个证书都有一个唯一的证书序列号。证书所使用

的签名算法。– 证书的发行机构名称 (命名规则一般采用 X.500格式 )及其用私钥

的签名。– 证书的有效期。– 证书使用者的名称及其公钥的信息。

X.509标准：它是为了解决 X.500目录中的身份鉴别和访问控制问题而设计的。

2008-6 42


3）数字证书的类型常见的数字证书有三种类型。

– 个人证书– 企业 ( 服务器 ) 证书 (Server ID)– 软件 ( 开发者 ) 证书。

从证书的用途来看可以将数字证书分为– 根证书– 服务器证书– 客户证书

2008-6 43


4）数字证书的安装与使用– CA 认证中心签发证书后，证书的持有者给其他

人、 Web站点提供他的证书来证明他的身份。

– 在银行网上银行系统中，下载客户证书及 CA根证书的过程即是将这些证书安装到浏览器的过程，浏览器会引导你完成安装过程。在用户进入网上银行交易之前，浏览器与服务器之间建立 SSL 安全通道时，会自动使用双方的证书，所以，在进入交易之前，你应保证客户证书及 CA根证书已经安装在浏览器中。

– 在完成证书下载后，建议立即备份客户证书及私钥。私钥是有密码保护的，在导出证书及私钥时，系统将提示提供该密码，应牢记这个密码，并定期更换密码。

2008-6 44

电子商务理论与实践 CA中心简介

国内常见的 CA有中国商务在线中国数字认证网（ www.ca365.com），数字认证，

数字签名， CA 认证， CA 证书，数字证书，安全电子商务。

北京数字证书认证中心（ www.bjca.org.cn ）为网上电子政务和电子商务活动提供数字证书服务。

广东省电子商务认证中心 (testca.netca.net)

wosign

2008-6 45

电子商务理论与实践 11.2.3 公开密钥基础设施 PKI

PKI （ Public Key Infrastructure ）即 " 公钥基础设施" ，

是一种遵循既定标准的密钥管理平台 ,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说， PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。

PKI 的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

CA 是证书的签发机构 ,它是 PKI 的核心。

2008-6 46


将 PKI 在网络信息空间的地位与电力基础设施在工业生活中的地位进行类比可以更好地理解 PKI 。电力基础设施，通过伸到用户的标准插座为用户提供能源，而 PKI通过延伸到用户本地的接口，为各种应用提供安全的服务。有了PKI ，安全应用程序的开发者可以不用再关心那些复杂的数学运算和模型，而直接按照标准使用一种插座（接口）。正如电冰箱的开发者不用关心发电机的原理和构造一样，只要开发出符合电力基础设施接口标准的应用设备，就可以享受基础设施提供的能源。

2008-6 47

电子商务理论与实践 11.3 电子商务安全协议

11.3.1 安全套接层协议

11.3.2 安全电子交易协议

2008-6 48

电子商务理论与实践 11.3.1 安全套接层协议

安全套接层 (Secure Sockets Layer ， SSL) 是一种传输层技术，由 Netscape 开发，可以实现兼容浏览器和服务器之间的安全通信。 SSL 协议是目前购物网站中常使用的一种安全协议。

所谓 SSL就是在和另一方通信前先讲好的一套方法，这个方法能够在它们之间建立一个电子商务的安全性秘密信道，确保电子商务的安全性，凡是不希望被别人看到的机密数据，都可通过这个秘密信道传送给对方，即使通过公共线路传输，也不必担心别人的偷窥。

SSL 使用的是 RSA 电子签名算法，可以支持 X.509 证书和多种保密密钥加密算法。

2008-6 49


SSL 在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号。在开始交换的信息中，双方确定将使用的安全级别并交换数字证书。每个计算机都要正确识别对方。

如果客户机没有证书也没关系，因为客户机是发送敏感信息的一方。

而客户机正与之交易的服务器应有一个有效的证书，否则客户机就无法确认这个商务网站是否与其声称的身份相符。

确认完成后， SSL 对在这两台计算机之间传输的信息进行加密和解密。

由于 SSL 处在互联网协议集中 TCP/IP层的上面，实现SSL 的协议是 HTTP 的安全版，名为 HTTPS 。

2008-6 50


SSL有两种安全级别： 40位和 128位。这是指每个加密交易所生成的私有会话密钥的长度。可根据互联网 Explorer和 Netscape浏览器状态条上锁头的开关来判别浏览器是否进入了 SSL 会话。如果未进入，则锁头处于打开状态。一旦会话结束，会话密钥将被永远抛弃，以后的会话也不再使用。

2008-6 51

电子商务理论与实践 11.3.2 安全电子交易协议

Visa 与 MasterCard两家信用卡组织共同推出，并且与众多 IT 公司，如 Microsoft 、 Netscape 、 RSA 等共同发展而成的安全电子交易协议（ Secure Electronic Transaction ， SET) 应运而生。

SET 在保留对客户信用卡认证的前提下，又增加了对商家身份的认证，由于设计合理， SET 协议得到了IBM 、 Microsoft 等许多大公司的支持，已成为事实上的工业标准。

SET 是一种以信用卡为基础的、在互联网上交易的付款协议书，是授权业务信息传输安全的标准，它采用 RSA 密码算法，利用公钥体系对通信双方进行认证，用 DES 等标准加密算法对信息加密传输，并用散列函数来鉴别信息的完整性。

2008-6 52

电子商务理论与实践 11.3.2 安全电子交易协议

在 SET 的交易中，成员主要有持卡人（消费者）、网上商家、收单银行、支付网关、发卡银行、认证中心CA 。 SET 系统的动作是通过 4 个软件来完成的，包括电子钱包、商店服务器、支付网关和认证中心软件，这 4 个软件分别存储在持卡人、网上商店、银行以及认证中心的计算机中，相互运作来完成整个 SET 交易服务。

2008-6 53

电子商务理论与实践 11.4 电子商务交易安全

11.4.1 电子商务交易风险的识别

11.4.2 电子商务交易风险的防范及应对

11.4.3 遭遇网络诈骗后的应对策略

2008-6 54

电子商务理论与实践 11.4.1 电子商务交易风险的识别

1）从信息内容辨别真伪

如果公司介绍太简单，求购意图不明显，地址也写得很模糊，预留的公司网站是虚假地址或者并非诚信通会员统一的格式，通常情况下，就有可能是虚假的信息。

图 5-17 是可疑信息的样本

2008-6 55


2）查询企业信用记录在阿里巴巴的企业信用

数据库中，可以查询到很多信用不良的企业被投诉的记录。这些记录，可以帮助用户判定信息发布方的诚信程度。

图 5-18 企业被投诉的记录

2008-6 56


3）从论坛搜索相关信息把某个企业的名称输入到阿里巴巴论坛中进行搜索，如果发现有网商发贴子揭露该企业的不诚信行为，那用户与该企业进行商业贸易的风险性就比较大了。

图 5-19揭露网络诈骗分子的贴子

2008-6 57


4）查询诚信指数及评价诚信通档案记录了企业的诚信指数及其他客户的评价，可以借以综合判断与该企业进行贸易时的风险程度。

图 5-20诚信通档案

2008-6 58


5）通过搜索引擎搜索借助于

Yahoo! 、 Google 、百度等著名搜索引擎，用户可以比较方便的查找所需的资料。将某个企业的名称、地址、联系人、手机、电话、传真等信息输入到搜索引擎中，可能会搜索到和其相关的信息。

图 5-21 利用中国雅虎搜索

2008-6 59


6）通过工商管理部门网站查询

要了解交易对方诚信的资讯，可以通过国家权威部门的网站上查询。一个非盈利性网站主页最下方必需有ICP备案号，一个盈利性网站主页最下方必需有红盾标记。点击红盾标记进入工商红盾网的网站，可查看交易对方的企业代码、法人代表、地址、以及联系方式等信息，帮助用户了解对方公司的真实注册情况。

图 5-22 通过工商行政部门查询企业基本信息

如果发现对方提供的信息和工商红盾网上的信息不一致，就需要留心，必要时还可以通过 114查询对方的电话号码，打电话去核实。

2008-6 60


7）专业性测试由于网络诈骗分子们没有真实的采购意图，往往对产品本身并不了解或是了解不多。因此，用户在与其进行沟通的过程中，可以运用自己对产品的知识，设定一些问题，测试对方是否了解采购的产品，进而来判断对方是否有真实的采购意图。

2008-6 61

电子商务理论与实践 11.4.2 电子商务交易风险的防范及应对

1）账户密码安全目前，各大网站密码被盗的现象时有发生，例如在阿里巴巴网站，会员密码被盗会有两种危害：一种情况是诚信通会员密码被盗，会导致网络骗子利用诚信通会员的账号，假借诚信通会员的名义行骗，使公司名誉受损。另一种是支付宝和网上银行密码被盗，导致的直接结果是钱款的损失。

· 密码长度应该在 8 到 20位； · 密码使用不同符号组合，如字母加数字； · 切不可将密码设置成与公开的信息一致． · 定期更改密码； · 企业内掌握密码的人数应尽量少； · 不同的账户设置不同的密码，以免多个账户同时被盗； · 不能将企业重要资料告诉他人，以免他人据此要求阿里巴巴系统管理员更改密码。

2008-6 62



2）养成良好的网络使用习惯养成良好的网络使用习惯也是防范网络贸易风险的措施之一。例如：

不要打开来历不明的邮件、邮件附件和网络链接；尽量不要在网吧里登录阿里巴巴诚信通账户或者支付宝账户；输入密码时尽量使用“复制 +粘贴”的方式，以防止记键木马；在使用贸易通和客户沟通时，一定要注意陌生人发过来的链接，如果对方发过来一个文件，可以使用各类杀毒软件先行检测，确定是否是病毒后再决定是否打开。

利用木马病毒盗取他人密码是网络黑客常用的手段。贸易通中曾经流行这样一个病毒，收到有关产品的询盘信息，当会员怀着期望的心情接收求购定单并打开之后，木马程序便进入会员的计算机中。安装正版杀毒软件与防火墙，经常查杀木马程序也是防止密码被盗的好方法。不要轻易访问不正规的陌生网站，或者轻易下载免费软件，那样极容易将木马程序引入在自己的计算机中。

2008-6 63



3）使用第三方支付平台来支付货款支付宝是阿里巴巴公司针对网上交易而特别推出的

安全付款服务。支付宝的实质是以其为信用中介，在买家确认收到商品前，由支付宝替买卖双方暂时保管货款的一种增值服务。正是由于这一因素，使得从事网络贸易都可以坦然地利用网络进行交易，解除了网络交易者最为担心的支付安全问题。

2008-6 64



4）诚信论坛与防骗专家

诚信的网商在网络贸易中需广交诚信的朋友，互帮互助，共享共赢。阿里巴巴的平台就为网商们提供了交到更多朋友的机会。

图 5-24 商人社区中的诚信社区 -- 商业防骗专题论坛

这个社区三个功能是其它论坛所没有的。第一是企业信用记录查询功能，第二是投诉功能，第三是论坛提供的咨询功能。

2008-6 65

电子商务理论与实践 11.4.3 遭遇网络诈骗后的应对策略

电子商务交易机会与风险并存，一旦用户意识到可能遭遇到网络诈骗，就应及时采取应对措施保留诈骗痕迹、报案与投诉。

（ 1）搜集、保留诈骗证据及时采取措施尽可能保留交易过程中的一切资料，诈骗证据包括合

同、聊天记录、往来邮件、汇款凭证、账号信息、发货凭证、联系方式等。

（ 2）及时报警及时到当地公安局报警，并将公安机关的立案证明 (受理案件回执 )

或者法院的立案通知书签字盖章的复印件提供给相关交易平台（如阿里巴巴）。

（ 3）进行投诉可到相关交易平台进行投诉，例如阿里巴巴网中国站上就设有诚信论坛，受骗客户发贴投诉，写明事情发生经过，网站相关服务人员将会联系对方要求其对此事作出合理解释。如果对方不能合理解释，则可能会被取消账号，在阿里巴巴上永远留下差评，并供其他会员搜索和浏览。

第 十一 章 电子商务安全

Documents

第十一章电子商务安全