目的要求：通过学习了解电子商务环境中的安全威胁后解决安全威胁的技术手段和方案重点难点：解决安全威胁的技术手段和方案组织教学：点名考勤；复习；引入新课；讲解理论知识；实例演示；指导学生练习；总结总结复习导入新课：。

提问：1、什么是电子商务？教学方式、手段、媒介：讲授、多媒体；媒介：教材教学内容：第一节电子商务一、公钥基础设施公钥基础设施是由公开密钥密码技术、数字证书、证书认证中心和关于公开密钥的安全策略等基本成分共同组成，管理密钥和证书的系统或平台。

用于解决电子商务中安全问题的PKI 技术。

PKI(Public Key Infrastructure）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

PKI 的核心组成部分CA(Certification Authority），即认证中心，它是数字证书的签发机构。

数字证书，有时被称为数字身份证，是一个符合一定格式的电子文件，用来识别电子证书持有者的真实身份。

1、认证中心认证中心（Certificate Authority, 简称CA），也称之为电子认证中心，是电子商务的一个核心环节，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份，与具体交易行为无关权威第三方权威机构。

为安全电子交易中之重要单位，为一公正、公开的代理组织，接受持卡人和特约商店的申请，会同发卡及收单银行核对其申请资料是否一致，并负责电子证书之发放、管理及取消等事宜。

是在线交易的监督者和担保人。

主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份认证等。

CA类似于现实生活中公证人的角色，具有权威性，是一个普遍可信的第三方。

认证中心可官方将某个公钥授权给用户。

如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书，就可能会出现这样一个机构。

Netscape和Xcert提供了用于管理数字证书的证明服务器。

当很多用户共用一个证明权威时，证明权威应该是个受到大家信赖的可靠方。

证明权威甚至可以是个规模更大、公用程度更高的实体，比如GTE、Nortel或Verisign，它们在验证身份和签发数字证书上的严谨态度早已众口皆碑。

兴原认证中心是经国家认监委批准、国家认可委认可的权威认证机构。

从事QMS、EMS、OHSMS认证和核供应商评价。

认证中心承担网上安全电子交易认证服务，能签发数字证书，并确认用户身份的服务机构。

认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发以及对数字凭证的管理。

认证中心通过向电子商务各参与方发放数字证书，来确认各方的身份，保证网上支付的安全性。

认证中心主要包括三个组成部分：注册服务器（RS）、注册管理机构（RA）和证书管理机构（CA）。

注册管理机构（RA）负责证书申请的审批，是持卡人的发卡行或商户的收单行。

因此，认证中心离不开银行的参与。

认证中心所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。

持卡人证书中包括持卡人ID，这其中包含了有关该持卡人所使用的支付卡的数据和相应的账户信息。

商户证书也同样包含了有关其账户的信息。

支付网关一般为收单行或为收单行参加的银行卡组织。

从这里的分析不难看出，RA的角色为什么必须由银行来担当。

当前，在国际上也已有一些CA建设方面的经验值得我们借鉴。

Visa和Mastercard在1997年12月共同成立SETCO公司，被授权作为SET根CA；香港电子商务认证中心JETCO（银行卡联营组织）负责建设；新加坡电子商务认证中心由NETS负责运作和管理。

银行卡组织由会员银行组成，作为认证中心有着固有的优势。

2、证书库LDAPLDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。

它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

3、密钥备份及恢复系统加密文件系统 (EFS) 是 Windows 的一项功能，它允许您将文件夹和文件以加密的形式存储在硬盘上。

加密是 Windows 所提供的保护信息安全的最强的保护措施。

在首次加密计算机上的文件夹或文件时，Windows 将会颁发一个证书，该证书关联一个加密密钥，EFS 使用该密钥来加密和解密数据。

在您加密文件夹或文件后，Windows 会在后台为您处理所有的加密和解密工作。

您可以按照通常的方式使用文件。

在关闭文件时，该文件将被加密；在重新打开该文件时，它将会被解密，以便您能够使用。

4、证书作废处理系统用作证书的作废5、应用接口二、安全套接层协议SSL（Secure Socket Layer）安全套接层是Netscape公司率先采用的网络安全协议。

它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。

SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术。

SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL的体系结构SSL被设计成使用TCP来提供一种可靠的端到端的安全服务，不是单个协议，而是二层协议，低层是SSL记录层，用于封装不同的上层协议，另一层是被封装的协议，即SSL握手协议，它可以让服务器和客户机在传输应用数据之前，协商加密算法和加密密钥，客户机提出自己能够支持的全部加密算法，服务器选择最适合它的算法。

记录协议为不同的更高层协议提供基本的安全服务，其特点是为web客户/服务器的交互提供传输服务的超文本传输协议（HTTP）可在SSL上面运行。

三个更高层协议被定义成SSL的一部分：握手协议、修改密文规约协议和告警协议。

SSL中两个重要的概念是SSL会话和SSL连接，规约如下：（1）连接：连接是提供恰当类型服务的传输，对于SSL这样的连接是点对点的关系。

连接是短暂的，每个连接与一个会话相联系。

（2）会话：SSL的会话是客户和服务器之间的关联，会话通过握手协议来创建。

会话定义了加密安全参数的一个集合，该集合可以被多个连接所共享。

会话可用来避免为每个连接进行昂贵的新安全参数的协商。

SSL握手的过程一次SSL握手将发生以下事件：A）客户机和服务器交换X．509证明以便双方相互确认。

在此过程中可以交换全部的证明链，也可以选择只交换一些底层的证明。

证明的验证包括：检验有效日期和验证证明的签名权限。

B）客户机随机地产生一组密钥，它们用于信息加密和MAC计算。

这些密钥要先通过服务器的公开密钥加密再送往服务器。

总共有四个密钥分别用于服务器到客户机以及客户机到服务器的通信。

C）信息加密算法（用于加密）和Hash函数（用于确保信息完整性）是综合在一起使用的。

Netscape的SSL实现方案是：客户机提供自己支持的所有算法清单，服务器选择它认为最有效的密码。

服务器管理者可以使用或禁止某些特定的密码。

通过SSL握手协议、SSL密文协议、SSL告警协议和SSL记录协议实现了安全套接层的安全，对于web安全我们完全可以采用上述手段，因为它们的安全技术是可靠的。

过程双向证书认证的SSL握手过程。

以下简要介绍SSL协议的工作方式。

客户端要收发几个握手信号：1.发送一个“ClientHello”消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。

2.然后收到一个“ServerHello”消息，包含服务器选择的连接参数，源自客户端初期所提供的“ClientHello”。

3.当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。

这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。

4. 服务器请求客户端公钥。

客户端有证书即双向身份认证，没证书时随机生成公钥。

5.客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。

结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。

所有其他关键数据的加密均使用这个“主密钥”。

数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。

记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。

每个记录层包都有一个Content-Type段用以记录更上层用的协议。

三、安全电子交易协议安全电子交易协议(secure Electronic Transaction简称SET) 由威士(VISA)国际组织、万事达(MasterCard)国际组织创建，结合IBM、Microsoft、Netscope、GTE等公司制定的电子商务中安全电子交易的一个国际标准。

安全电子交易协议SET是一种应用于因特网（Internet）环境下，以信用卡为基础的安全电子交付协议，它给出了一套电子交易的过程规范。

通过SET协议可以实现电子商务交易中的加密、认证、密钥管理机制等，保证了在因特网上使用信用卡进行在线购物的安全。

其主要目的是解决信用卡电子付款的安全保障性问题，这包括：保证信息的机密性，保证信息安全传输，不能被窃听，只有收件人才能得到和解密信息；保证支付信息的完整性，保证传输数据完整接收，在中途不被篡改；认证商家和客户，验证公共网络上进行交易活动包括会计机构的设置、会计人员的配备及其职责权利的履行和会计法规、制度的制定与实施等内容。

合理、有效地组织会计工作，意义重大，它有助于提高会计信息质量，执行国家财经纪律和有关规定；有助于提高经济效益，优化资源配置。

会计工作的组织必须合法合规。

讲求效益，必须建立完善的内部控制制度，必须有强有力的组织保证。

SET系统的组成SET支付系统主要由持卡人（CardHolder）、商家（Merchant）、发卡行（Issuing Bank）、收单行（Acquiring Bank）、支付网关（Payment Gateway）、认证中心（Certificate Authority）等六个部分组成。

对应地，基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。

工作流程1）消费者利用自己的PC机通过因特网选定所要购买的物品，并在计算机上输入订货单、订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。

2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。