本书全面、系统地分析了电子商务面临的安全问题，以及问题产生的根源。在此基础上，本书从技术和管理两个方面，深入阐述了实现电子商务安全的思想、技术、方法和策略。本书共13章，主要内容有电子商务及安全体系、密码学基础、密钥管理、公钥基础设施与应用、身份认证技术、访问控制技术、互联网安全技术、电子商务安全协议、移动电子商务安全、数据高可用技术、区块链技术、电子商务安全评估与管理和电子商务安全解决方案。通过本书的学习，读者可具备确保电子商务安全的能力。本书既可作为电子商务及IT等相关专业本科生、研究生的参考书，又可供专业科研人员、管理人员参考使用。

作为国家的战略性新兴产业，电子商务在引领商业模式变革、优化产业转型升级、提升信息消费需求、促进现代服务业和信息经济发展等方面发挥了重要的作用，成为经济发展新的原动力，并为“大众创业、万众创新”提供了新空间。 如今，电子商务已经成为一个学科，正不断发展、不断丰富。目前，电子商务学科下设三个专业，分别为电子商务、电子商务与法律、跨境电子商务。 虽然专业不同，但是安全问题是电子商务必须解决的关键问题。因此，电子商务安全课程被列为电子商务类专业教学质量国家标准核心课程之一。本书第1版出版于2010年，作为一部专业性较强的教材，其在各高等院校得到了广泛应用。但是，随着电子商务的发展、应用的普及，以及信息和通信技术的飞速发展，与电子商务相关的安全技术不断推陈出新，为了进一步满足广大读者的需求，本书对第1版的内容予以修订和补充，并重新组织了教材结构，使读者阅读和理解更方便，同时补充了一些广泛应用的安全技术。例如：补充了对国产密码算法SM2、SM3、SM4的介绍，以及ELGamal加密算法、RSA数字签名算法和消息认证码原理的详细介绍；将身份认证与访问控制分成两章进行讲解，使其内容更清晰；在电子商务安全协议中增加了广泛应用的HTTPS协议的内容，以及移动电子商务安全和区块链技术；在电子商务安全解决方案中增加了阿里云和Windows Azure安全解决方案；对“电子商务安全评估与管理”一章进行了重新组织，使内容更系统。 本书从技术和管理的视角组织相关内容，同时纳入我国自主创新的技术，以增强学生的自信。 参加本书编写的有西北工业大学的王丽芳、刘志强、戚明平、陈进朝、蒋泽军、邓磊和胡伟。本书由王丽芳任主编，刘志强任副主编，具体分工如下。王丽芳负责第1、7、8、12、13章的编写及全书统稿工作；刘志强负责第8、10章的编写工作；戚明平负责第2、3、4章的编写工作。陈进朝负责第11章的编写工作；蒋泽军负责第4、5、6、9章的编写工作；邓磊负责第12、13章的编写工作；胡伟负责第2章的编写工作。在编写过程中，西北工业大学计算机学院博士研究生王思奥、李宽同学给予了很大的帮助，在此表示衷心的感谢！ 本书在编写过程中，参阅了大量的著作和教材、著名IT企业的理念和解决方案、互联网上相关的文献资料，在此向参考文献的作者表示最诚挚的感谢！ 本书包含配套教学资源，读者可登录华信教育资源网（www.hxedu.com.cn）注册后免费下载。 电子商务安全涉及众多学科，各种理念、技术和方案在实践中不断推陈出新。由于作者水平有限，书中不足之处在所难免，恳请读者批评指正。 编 者

第1章 电子商务及安全体系 1 1.1 电子商务的产生和发展 1 1.1.1 电子商务的产生 1 1.1.2 电子商务的概念 2 1.1.3 电子商务的蓬勃发展 2 1.2 电子商务的类型、环境和基础设施 4 1.2.1 电子商务的类型 4 1.2.2 电子商务的环境 4 1.2.3 电子商务基础设施 5 1.3 电子商务安全 6 1.3.1 电子商务的风险和威胁 7 1.3.2 电子商务安全的要素 8 1.3.3 电子商务安全体系 11 1.4 电子交易中的常见问题及解决方法 11 本章小结 12 思考题 13 第2章 密码学基础 14 2.1 密码学基础 14 2.1.1 密码学的基本概念 14 2.1.2 传统加密技术 15 2.2 对称密码技术 16 2.2.1 对称密码技术概论 16 2.2.2 数据加密标准 17 2.2.3 高级加密标准 19 2.2.4 SM4算法 20 2.2.5 流密码与RC4 20 2.3 单向散列函数 23 2.3.1 MD5算法 24 2.3.2 SHA家族 25 2.3.3 SM3密码Hash算法 26 2.3.4 MAC算法 29 2.4 非对称密码技术 31 2.4.1 公钥密码体制的原理 31 2.4.2 RSA密码 32 2.4.3 ELGamal密码 33 2.4.4 椭圆曲线密码体制 34 2.4.5 数字签名 38 本章小结 42 思考题 42 第3章 密钥管理 43 3.1 密钥管理的目标和内容 43 3.2 密钥的组织 43 3.3 密钥的产生 44 3.3.1 密钥的随机性要求 44 3.3.2 噪声源产生密钥 44 3.4 密钥分配 45 3.5 密钥保护 46 本章小结 48 思考题 48 第4章 公钥基础设施与应用 49 4.1 公钥基础设施基础 49 4.1.1 安全基础设施的概念 49 4.1.2 公钥基础设施的概念 50 4.1.3 PKI的意义 51 4.2 数字证书 52 4.2.1 数字证书的概念 52 4.2.2 数字证书的格式 53 4.2.3 证书撤销列表 54 4.2.4 数字证书的存放 55 4.3 PKI的内容 55 4.3.1 CA 55 4.3.2 证书库 58 4.3.3 密钥备份及恢复 58 4.3.4 证书撤销 59 4.3.5 密钥更新 60 4.3.6 应用接口系统 60 4.4 PKI信任模型 61 4.4.1 什么是信任模型 61 4.4.2 交叉认证 63 4.4.3 常用的信任模型 63 4.5 PKI的服务和实现 66 4.6 PKI应用 70 4.6.1 PKI相关标准 70 4.6.2 基于PKI的应用领域 73 4.6.3 PKI技术的发展 75 本章小结 77 思考题 78 第5章 身份认证技术 79 5.1 身份认证技术概述 79 5.1.1 身份认证的含义及其重要性 79 5.1.2 身份认证的原理 80 5.1.3 身份认证的方法 80 5.2 认证口令 81 5.2.1 关键问题 81 5.2.2 挑战/响应认证机制 82 5.3 认证令牌 83 5.3.1 术语 83 5.3.2 时间令牌 83 5.4 生物特征认证 84 本章小结 87 思考题 87 第6章 访问控制技术 88 6.1 访问控制的概念与原理 88 6.1.1 访问控制的概念 88 6.1.2 访问控制的原理 89 6.2 访问控制的结构 89 6.2.1 访问控制矩阵 89 6.2.2 访问能力表 90 6.2.3 访问控制表 91 6.2.4 授权关系表 91 6.3 访问控制策略 92 6.3.1 基于身份的策略 92 6.3.2 基于规则的策略 93 6.4 访问控制模型 94 6.4.1 自主访问控制模型 94 6.4.2 强制访问控制模型 95 6.4.3 基于角色的访问控制模型 96 本章小结 98 思考题 98 第7章 互联网安全技术 99 7.1 网络安全概述 99 7.1.1 网络安全的概念 99 7.1.2 网络系统面临的威胁 100 7.1.3 网络安全的基本原则 101 7.1.4 网络安全关键技术 101 7.2 防火墙 102 7.2.1 防火墙概述 102 7.2.2 防火墙实现技术 103 7.2.3 防火墙结构 108 7.3 入侵检测系统 110 7.3.1 入侵检测系统概述 110 7.3.2 入侵检测系统的数据源 112 7.3.3 入侵检测技术 113 7.3.4 入侵检测系统结构 116 7.4 虚拟专用网络 118 7.4.1 虚拟专用网络概述 118 7.4.2 VPN的分类 120 7.4.3 隧道技术 121 7.4.4 常用的隧道协议 123 7.5 计算机病毒及其防护 126 7.5.1 计算机病毒的产生和发展 126 7.5.2 计算机病毒及其类型 127 7.5.3 计算机病毒防护 130 本章小结 131 思考题 132 第8章 电子商务安全协议 133 8.1 电子商务安全协议概述 133 8.2 SET协议 134 8.2.1 SET协议概述 134 8.2.2 SET协议交易的参与者 135 8.2.3 SET协议的相关技术 135 8.2.4 SET协议的交易流程 138 8.3 SSL协议 139 8.3.1 SSL协议概述 139 8.3.2 SSL握手协议 140 8.3.3 SSL记录协议 141 8.3.4 SSL协议与SET协议的比较 142 8.4 HTTPS协议 143 8.4.1 HTTPS协议概述 143 8.4.2 HTTPS协议结构 144 8.4.3 HTTPS协议的工作原理 144 8.4.4 HTTPS协议的安全性分析 145 本章小结 147 思考题 147 第9章 移动电子商务安全 148 9.1 移动电子商务 148 9.2 移动电子商务的安全威胁 149 9.2.1 移动通信系统威胁 149 9.2.2 移动设备自身隐患 149 9.2.3 外部因素的威胁 150 9.3 IEEE 802.11协议及其安全机制 151 9.3.1 IEEE 802.11协议 151 9.3.2 无线局域网的组网方式 152 9.3.3 IEEE 802.11协议的安全机制 153 本章小结 155 思考题 155 第10章 数据高可用技术 156 10.1 数据备份和恢复技术 156 10.1.1 数据备份 156 10.1.2 数据恢复 157 10.2 网络备份系统 158 10.2.1 单机备份和网络备份 158 10.2.2 网络备份系统的组成 159 10.2.3 网络备份系统方案 160 10.3 数据容灾 162 10.3.1 数据容灾概述 162 10.3.2 数据容灾技术 162 本章小结 164 思考题 164 第11章 区块链技术 165 11.1 区块链的产生与发展 165 11.1.1 区块链的产生 165 11.1.2 比特币的关键要素 166 11.1.3 区块链与比特币交易 168 11.2 区块与区块链 170 11.2.1 区块的数据结构 170 11.2.2 区块链的特点 171 11.2.3 区块链的应用 172 11.2.4 区块链的类型 173 11.2.5 区块链平台 173 11.3 区块链的核心技术 174 11.3.1 公钥密码学 174 11.3.2 分布式交互 175 11.3.3 共识机制 176 11.3.4 加密Hash函数 176 11.3.5 计算机体系结构 177 11.4 区块链安全问题与防御技术 177 11.4.1 区块链现存安全隐患 177 11.4.2 区块链安全攻击的主要方式 180 11.4.3 区块链安全目标 182 11.4.4 传统的区块链防御技术 185 11.4.5 新型区块链防御技术 186 11.5 新兴区块链技术 186 11.5.1 公链解决方案 186 11.5.2 联盟链解决方案 189 11.5.3 跨链技术 190 11.6 典型区块链解决方案 191 11.6.1 腾讯区块链方案 191 11.6.2 京东区块链方案 193 本章小结 196 思考题 196 第12章 电子商务安全评估与管理 197 12.1 电子商务安全评估与管理的基本概念 197 12.2 电子商务安全风险评估 197 12.2.1 安全风险分析 197 12.2.2 安全风险评估 203 12.3 电子商务安全风险评估方法 204 12.3.1 层次分析法 205 12.3.2 模糊综合评价法 206 12.3.3 贝叶斯网络方法 208 12.3.4 故障树分析法 209 12.4 电子商务安全管理 210 12.4.1 安全管理的目标 211 12.4.2 安全意识和培训 212 12.4.3 创建安全域 213 12.4.4 应急预案 213 本章小结 214 思考题 214 第13章 电子商务安全解决方案 215 13.1 IBM电子商务安全解决方案 215 13.1.1 身份管理 215 13.1.2 单点登录 217 13.1.3 IBM预防性安全方案ISS 217 13.2 阿里云安全解决方案 220 13.2.1 数据安全 220 13.2.2 访问控制 221 13.2.3 云安全服务 222 13.2.4 系统安全及开发维护 223 13.2.5 其他安全措施 223 13.3 Microsoft Azure安全解决方案 224 13.3.1 计算、存储和服务管理 224 13.3.2 Microsoft Azure的视角：Fabric 226 13.3.3 云安全设计 226 13.3.4 安全开发生命周期 231 本章小结 231 思考题 232 附录Ａ 233 参考文献 238