电子商务安全应用实例

第四节　电子商务安全应用实例

在现代社会里，电子邮件和网络上的文件传输已经成为生活的一部分，邮件的安全问题就日益突出了。大家都知道在互联网上传输的数据是不加密的，如果你自己不保护自己的信息，第三者就会轻易获得你的隐秘。另一个问题就是信息认证，如何让收信人确信邮件没有被第三者篡改，就需要数字签名技术。下面我们以安全电子邮件的收发为例，来介绍一下电子商务安全应用实例。

安全电子邮件必须包括的内容有：①我发送给你的内容必须加密，在邮件的传输过程中不能被别人看到；②必须保证是我发送的邮件，不是别人冒充我发送的。

而数字认证要解决的正是网上互不认识的人之间的信任问题，也就是说，你怎么知道对方的身份是否可靠。为了实现这一点，引入一个第三方认证机构，即CA认证中心。

首先，当事双方都要信任这个认证中心，表示信任的方法就是当事双方都要在自己的计算机上安装表达CA认证中心身份的一个证书，即根证书。CA认证中心有很多，安装了某个CA认证中心的根证书就表示信任这个CA认证中心颁发的所有证书，即认为这些人的身份是可靠的，然后才能进行各种交易和操作。

依次单击浏览器的“工具”—“Internet选项”—“内容”—“证书”—“受信任的根证书颁发机构”按钮，即可以看到用户安装的所有根CA证书，如图6－6所示。

任何使用数字证书的计算机都要安装根证书（除了服务器外，每个客户机都要安装）。中国数字认证网提供三种类型的证书：企业证书、免费证书、测试证书。这三种证书的功能是一样的，测试证书的有效期是3个月，免费证书的有效期是1年，企业证书的有效期可选1年至10年。测试证书和免费证书在用户提交证书申请后立即发放，企业证书需要审核用户资料后才能发放。申请企业证书和免费证书的用户需要先注册，申请测试证书则不需要注册。使用哪种证书，就安装哪个根证书。下面以中国数字认证网为例，讲述安全电子邮件的收发方法。

图6－6　安装根CA证书

1.个人数字证书的安装

（1）打开网址http://www.ca365.com/，在“测试证书”一栏中单击“下载并安装根CA证书”，如图6－7所示。

图6－7　下载并安装根CA证书界面

（2）按图6－8和图6－9所示操作安装根CA证书。

图6－8　进入安装证书界面

图6－9　证书导入向导界面

（3）按图6－10和图6－11所示操作将根CA证书安装到受信任的根证书颁发机构。

图6－10　选择证书存储位置

图6－11　完成证书导入向导

（4）在中国数字认证网首页申请一张测试证书，选择“用表格申请证书”，如图6－12所示。

图6－12　用表格申请测试证书界面

（5）认真填写个人信息，特别是e-mail地址，建议用QQ邮件地址，要和后面操作中的Outlook Express中实际使用的邮件地址保持一致，如图6－13所示。

图6－13　填写个人信息

（6）单击“保存”按钮，出现如图6－14所示的证书下载界面。

图6－14　证书下载界面

（7）单击图6－14中的“申请证书”按钮，申请证书成功后，按图6－15和图6－16所示操作安装证书并将证书导入到“个人”中。

图6－15　开始安装个人证书

图6－16　个人证书安装成功并导入到“个人”中

2.安装其他人的数字证书

（1）进入http://www.ca365.com/，查找同伴的数字证书并下载导入到“其他人”中，如图6－17所示。

图6－17　查询其他人的证书

（2）下载并安装其他人的证书，如图6－18所示。

图6－18　下载并安装其他人的证书

3.发送及接收加密、签名的安全电子邮件

（1）首先配置好Outlook Express使用的邮件地址，然后单击“工具”—“账户”按钮，选择账户属性，进入“安全”选项卡，选择签署证书和加密证书，这是自己的个人证书，如图6－19至图6－21所示。

图6－19　查看账户属性

图6－20　选择签署证书和加密证书界面

图6－21　选择默认账户数字ID界面

（2）打开IE浏览器，依次单击“工具”—“Internet选项”—“内容”—“证书”按钮，切换到“其他人”选项卡，将同伴的证书导出为.CER文件，如图6－22至图6－26所示。

图6－22　导出其他人证书

图6－23　使用证书导出向导界面

图6－24　选择要使用的文件格式

图6－25　选择要导出的文件

图6－26　完成证书导出向导

（3）新建你的同伴为联系人，设置好对方的e-mail地址，一定要和对方申请证书时填写的e-mail地址相同。右键设置其联系人属性，单击“数字标识”选项卡，如图6－27所示。单击右下角的“导入”按钮，将“其他人”中的对方证书.CER文件导入，如图6－28所示，这样就可以继续做下面的安全邮件收发操作了。

图6－27　设置联系人

图6－28　数字标识导入成功

（4）发送安全邮件。有了对方的数字证书就可以发送加密邮件了。撰写好信件后，选取“工具”菜单中的“加密”和“签名”，信的右上角将会出现一个加密和签名的标记，如图6－29所示。写上邮件内容后单击“发送”按钮，发送加密、签名邮件即告完成。

图6－29　加密、签名邮件

（5）接收安全邮件。当收件人收到并打开已加密的邮件时，将看到加密邮件的提示信息，单击“继续”按钮即可阅读该邮件的内容，如图6－30所示。当收到加密邮件时，完全有理由确认邮件没有被其他任何人阅读或篡改过，因为只有在收件人自己的计算机上安装了正确的数字证书，Outlook Express才能自动解密电子邮件；否则，邮件内容将无法显示。也就是说，只有收件人的数字证书中收藏了打开密锁的钥匙。

图6－30　接收安全邮件

案例分析

案例6－1　网络病毒

［案例背景］

2006年12月初，我国互联网上大规模爆发熊猫烧香病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下，隐藏着巨大的传染潜力，短短三四个月，“烧香”潮波及上千万个人用户、网吧及企业局域网用户，造成直接和间接损失超过1亿元。

2007年2月3日，熊猫烧香病毒的制造者李俊落网。李俊向警方交代，他曾将熊猫烧香病毒出售给120余人，而被抓获的主要嫌疑人仅有6人，所以不断会有熊猫烧香病毒的新变种出现。

随着中国首例利用网络病毒盗号牟利的熊猫烧香案情被揭露，一个制“毒”、卖“毒”、传“毒”、盗账号、盗装备、换钱币的全新地下产业链浮出了水面。中了熊猫烧香病毒的计算机内部会生成带有熊猫图案的文件，盗号者追寻这些图案，利用木马等盗号软件，盗取计算机里的游戏账号和密码，取得虚拟货币进行买卖。

李俊处于链条的上端，其在被抓捕前，不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺至被抓捕时已获利数十万元了。一名涉案人员说，该产业的利润率高于目前国内的房地产业。

有了大量盗窃来的游戏装备、账号，并不能马上兑换成人民币，只有通过网上交易，这些虚拟货币才能得以兑现。盗来的游戏装备、账号，QQ账号甚至银行卡号等资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后，网友们通过网上银行转账，就能获得那些盗来的网络货币。

李俊以自己出售和由他人代卖的方式，每次要价500元至1000元不等，将该病毒销售给120余人。经病毒购买者进一步传播，该病毒的各种变种在网络上大面积传播。据估算，被熊猫烧香病毒控制的计算机数以百万计，它们访问按流量付费的网站，一年下来可累计获利上千万元。

有关法律专家称，熊猫烧香病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行的行为。根据刑法规定，犯此罪后果严重的处5年以下有期徒刑或者拘役；后果特别严重的处5年以上有期徒刑。

［要求］

根据提供的背景资料，搜集相关数据和资料，对下面的问题进行分析。

（1）计算机病毒的危害有哪些？计算机中毒后的典型症状有哪些？

（2）计算机病毒一般通过哪些途径传播？我们应当如何防范计算机病毒？

（3）随着互联网和电子商务的快速发展，利用网络犯罪的行为大量出现，请谈谈目前我国有没有专门的立法来约束网络的病毒制造和传播，以及保护网络虚拟财产的安全。

案例6－2　中国煤焦数字交易市场

［案例背景］

中国煤焦数字交易市场是国家863计划、科技部“九五”重大攻关项目，是国家“流通领域信息化”示范工程，是一个面向市场、服务全国、连接世界的大型电子商务应用典范。它通过发挥山西省煤焦产销量大的绝对优势，整合卖方和政府资源，同时联合银行和运输企业，建立网上集政府监管、信息服务、交易功能、物流结算为一体的综合性中国煤焦数字交易平台，创造了“煤炭＋鼠标”的电子商务模式。

煤炭作为一种半市场化的大宗重要能源产品，其订货合同比一般物品购销合同要复杂很多，一份合同除买卖双方签章认可外，还需要煤炭运销总公司、煤炭销售办公室等多级煤炭管理部门和铁路、公路等运输部门签章确认，才能成为一份有效的、可执行的合同。这样一份合同往往需要盖五六个公章。在电子合同的签订中，每个环节都需要对合同进行数字签章，并通过确定上一个角色的数字签章完全成功来实现合同的流转，直至完成最后一个签章生成一份有效的电子合同。

2002年2月应用SXCA数字安全证书作为身份确认和数据安全保证，中国煤焦数字交易市场成功召开了2002年度山西省煤炭网上订货会，会议期间60余家煤炭供销企业通过数字证书签订电子煤炭供销合同。所有煤炭管理部门和运输部门采用数字证书登录相应的虚拟办公区对电子合同进行了审核签章，大大减少了交易时间，大幅降低了交易成本。

［要求］

根据提供的背景资料，搜集相关数据和资料，对下面的问题进行分析。

（1）案例中中国煤焦数字交易市场采用数字签名签署电子合同，请问：什么是数字签名，它有什么作用？

（2）简述数字签名的原理。

实训项目

项目6－1　数字证书与安全电子邮件综合操作

［实训目的］

（1）了解个人证书的申请过程。

（2）了解如何利用个人证书发送和接收安全电子邮件。

［实训要求］

（1）两人为一组进行实验，自由组合。

（2）进入http://www.ca365.com/，申请一张个人测试证书。

（3）在Outlook Express中设置发方及收方的证书。

（4）利用Outlook Express向你的同伴发送加密、签名的电子邮件。

（5）利用Outlook Express接收你的同伴发来的安全电子邮件，验证电子邮件上的数字签名。

（6）将关键步骤截图发送至教师邮箱，写清楚同组人员名单，以便检查。

习　题

一、选择题（单选或多选）

1.使用密钥将密文数据还原成明文数据，称为（　　）。

A.解码　　　　　　B.解密　　　　　　C.编译　　　　　　D.加密

2.电子商务安全技术方面常见的缩写“SET”是指（　　）。

A.某种加密算法　　　　　　B.密钥密码技术的应用

C.公钥密码技术的应用　　　D.安全电子交易

3.一个标准的X.509数字证书包括（　　）。

A.证书的出版信息　　　　　B.证书的序列号

C.证书所使用的签名算法　　D.证书的发行机构名称

4.以下选项中不属于电子支付的安全问题的是（　　）。

A.缺乏相应支付系统的支持　B.黑客入侵

C.内部作案　　　　　　　　D.密码泄露

5.在网络商品直销过程中，为保证交易过程的安全，需要（　　）确认在互联网上交易的买卖双方的真实身份。

A.相关行政部门　　B.认证中心　　　　C.网上银行　　　D.信用卡公司

6.网络安全技术主要有（　　）。

A.加密技术　　　　B.数字签名　　　　C.电子安全交易认证　　D.防火墙技术

7.利用数字签名技术能够解决的问题有（　　）。

A.数据完整性　　　　　　　B.数据保密性

C.发送数据后抵赖　　　　　D.系统可靠性

E.未经授权擅自访问网站

8.目前在电子交易中已经出现了一些较为成熟的支付协议，其中SSL是指（　　）。

A.安全超文本传输协议　　　B.安全套接层协议

C.文件传输协议　　　　　　D.安全电子交易协议

9.公开密钥加密也称（　　）。

A.非对称加密　　B.对称加密　　C.散列编码　　D.私有密钥加密

10.以下关于数字签名的说法，不正确的是（　　）。

A.保证信息是由对方签名发送的，签名者不能否认或难以否认

B.保证信息是由签名者自己签名发送的，签名者不能否认或难以否认

C.保证信息签发后未曾做过任何修改，签发的文件是真实文件

D.保证信息从签发到收到为止没有做任何修改，签发的文件是真实文件

11.CA的中文含义为（　　）。

A.银行中心　　　B.认证中心　　C.金融中心　　D.电子中心

12.目前国内外保障电子商务支付技术安全的协议包括（　　）。

A.SSL　　　　　B.WAP　　　　　C.SET　　　　D.VAN　　　　　E.RSA

13.计算机病毒按其链接方式可分为（　　）。

A.操作系统型病毒　　B.源码型病毒　　C.外壳型病毒　　D.嵌入型病毒

14.用来对两个或多个网络之间的互相访问实行强制性管理的安全系统是（　　）。

A.隔离系统　　B.防火墙　　　C.屏蔽系统　　D.安全网关系统

15.CA认证中心负责为参与商务活动的各方发放（　　），以确认身份，保证电子支付的安全性。

A.数字证书　　B.支付证书　　C.安全证书　　D.确认证书

16.计算机病毒是指能够通过修改程序，把自身复制进去进而“传染”其他程序的（　　）。

A.软件　　　　B.硬件　　　　C.程序　　　　D.资源

17.在电子支付流程中，SET是何时开始介入的？（　　）

A.在线商店接收订单后

B.消费者输入订单后

C.消费者选择支付方式，确定订单并签发付款指令后

D.在线商店发送订单确认信息给消费者后

二、填空题

1.为了保证电子商务在线支付的安全，目前常用的在线支付协议主要有两种：_________和_________。

2.电子商务的安全需求主要包括_________、_________、_________、_________和_________。

3.数据加密的技术分为两类，即_________和_________。

4.防火墙的种类包括防_________火墙_________、防火墙和_________防火墙。

5.根据计算机病毒存在的媒体分类，病毒可以划分为________、________和________。

三、判断题

1.信息安全就是要保证信息不被非法阅读、修改和泄露等。（　　）

2.数据加密就是按照确定的密码算法将敏感的明文数据转换成难以识别的密文数据。（　　）

3.数字签名是电子商务数据实现安全保密传输的主要手段之一。（　　）

4.加密密钥和解密密钥相同的称为公钥加密。（　　）

5.在公有密钥体系中，公有密钥不能用来进行数据的解密，但加密必须用到。（　　）

6.SET支付系统主要由持卡人、收单行和支付网关三个部分组成。（　　）

四、简答题

1.电子商务安全交易协议中的SSL协议与SET协议的区别有哪些？

2.防火墙的主要功能是什么？

3.电子商务中存在哪些安全问题？

4.简述计算机病毒的概念及主要特点。

五、上机题

1.访问支付宝个人帮助中心，了解申请支付宝数字证书的过程。

2.查找可以申请免费数字证书的网站有哪些，并练习申请、安装、导出个人数字证书。

3.在百度上搜索并下载安装电子签名软件ESIGN，了解其使用方法。