本教材是工业和信息化部“十二五”规划教材，其内容全面、系统地阐述了电子商务安全涉及的相关技术，包括信息安全、系统安全、网络安全、交易安全、数据安全等技术，紧跟信息时代电子商务技术的发展，介绍了移动电子商务技术、云计算技术和大数据与电子商务。 全书共15章，主要内容有电子商务安全概述、信息加密技术、信息鉴别技术、公钥基础设施、信息隐藏技术、用户身份认证技术、访问控制技术、互联网安全技术、电子商务安全协议、数据高可用技术、电子支付与安全、移动电子商务安全技术、电子商务云安全、大数据与电子商务和电子商务安全解决方案。 本书概念清楚，技术与方法通俗易懂，案例均为著名IT公司成熟的解决方案。本书可作为高等学校计算机科学与技术、软件工程、信息安全、电子商务等专业本科生、研究生的教材，也可以作为相关专业科技人员的参考用书。

前 言 商务活动涉及资金、各种商业机密和个人隐私等重要信息，因此电子商务安全技术是支持电子商务发展的重要技术保障。 电子商务是以Internet为基础的商务活动，其技术基础是信息技术和通信技术。因此，本书以信息安全、系统安全、网络安全、交易安全、数据安全等技术为主线组织教学内容。第1章电子商务安全概述分析了电子商务的安全需求，第2～5章介绍了信息安全技术，第6、7章介绍了系统安全技术，第8章介绍了互联网安全技术，第9、11章介绍了交易安全技术，第10章介绍了数据安全和数据高可用技术。 此外，除了上述基础的电子商务安全技术以外，针对电子商务和信息技术的发展，本书还增加了不少新的内容，具体为第12章：移动电子商务安全技术，第13章：电子商务云安全，第14章：大数据与电子商务。本书最后一章（第15章）列举并分析了著名电子商务公司的电子商务安全解决方案。 本书的目的就是系统、全面地阐述电子商务安全技术。在编写过程中，编者精心组织教材内容，既重视基础知识、基本方法的传授，又紧跟电子商务安全技术的最新发展。本书便于教师根据学生的学科专业背景组织教学内容，使学生既打下坚实的技术基础，又能掌握最新的思维方法和取得技术上的进步。 本教材在编写过程中力求文字简洁、通俗易懂，图示原理清楚明了，既方便阅读又便于自学者学习。本教材既可作为高等学校计算机科学与技术、软件工程、信息安全、电子商务等专业本科生和研究生的教材，也可以作为相关专业科技人员的参考用书。 参加本教材编写的有西北工业大学计算机学院的王丽芳、蒋泽军、褚伟波、刘志强、于会、吴健、邓磊，以及西北工业大学理学院的林伟，全书由王丽芳担任主编，负责全书的内容组织和编写工作。 衷心感谢本书的审稿专家西北工业大学计算机学院朱怡安教授和西安电子科技大学计算机学院姜建国教授，两位教授审阅了全书，并提出了许多宝贵的建议。在教材写作过程中，西北工业大学计算机学院的硕士研究生霍振宇、王宽、李云轩、宋泽辉、李城、雍娜、高翔、郭毅、蒋长鸿、郭朋、王晨晖、王龙、姚云龙、李婷、周婷婷等给予了很大的帮助，感谢你们所做的工作！此外，在教材编写过程中，参阅了大量的学术文献、著名IT公司的解决方案，在此也向参考文献的作者表示最诚挚的感谢！在本书出版之际，感谢国内外从事电子商务安全技术研究的同行！感谢电子工业出版社！ 电子商务安全技术涵盖的内容广泛，各种技术、方法和解决方案在实践中不断地推陈出新。由于作者水平有限，书中不足之处，希望读者谅解，并恳请读者批评指正，以便进一步完善和提高。 编 者 2015年3月

目 录 第1章 电子商务安全概述 1 1.1 电子商务 2 1.1.1 电子商务的产生和发展 2 1.1.2 电子商务的概念 4 1.1.3 电子商务的主要类型 5 1.2 电子商务环境 5 1.2.1 电子商务环境 5 1.2.2 电子商务基础设施 7 1.3 电子商务安全 8 1.3.1 电子商务的风险和威胁 8 1.3.2 电子商务的安全要素 10 1.3.3 电子商务安全体系 13 1.4 电子交易常见问题及解决方法 13 本章小结 14 思考题 15 第2章 信息加密技术 17 2.1 信息加密基本思想 18 2.1.1 密码系统的基本概念 18 2.1.2 密码系统的安全性 19 2.1.3 密码系统的类型 20 2.1.4 传统加密技术 20 2.1.5 对密码系统的攻击 21 2.2 对称密码技术 22 2.2.1 DES加密标准 22 2.2.2 AES加密标准 24 2.2.3 流密码与RC4 25 2.3 非对称密码技术 27 2.3.1 公钥密码体制的原理 27 2.3.2 RSA密码体制 28 2.3.3 椭圆曲线密码体制 29 本章小结 33 思考题 33 第3章 信息鉴别技术 35 3.1 消息摘要 36 3.1.1 消息摘要的概念 36 3.1.2 哈希算法特性 37 3.2 MD5算法 38 3.2.1 MD5算法的目标 38 3.2.2 MD5算法的处理过程 38 3.2.3 MD5安全性 39 3.3 SHA-1算法 39 3.3.1 SHA-1算法描述 39 3.3.2 SHA安全性 40 3.3.3 MAC算法 40 3.4 数字签名 41 3.4.1 数字签名概念 41 3.4.2 数字签名工作过程 42 3.4.3 数字签名算法DSA 42 3.4.4 阈下信道 43 3.5 数字时间戳 44 3.5.1 数字时间戳概念 44 3.5.2 数字时间戳的构成 44 3.5.3 数字时间戳产生过程 45 本章小结 45 思考题 45 第4章 公钥基础设施 47 4.1 公钥基础设施的概念 48 4.2 数字证书 49 4.2.1 数字证书的概念 49 4.2.2 数字证书的格式 50 4.2.3 证书撤销列表（CRL） 51 4.2.4 证书的存放 52 4.3 公钥基础设施的组成 52 4.3.1 认证中心 52 4.3.2 证书库 55 4.3.3 密钥备份及恢复 55 4.3.4 证书撤销 56 4.3.5 密钥更新 57 4.3.6 应用程序接口 57 4.4 公钥基础设施的信任模型 58 4.4.1 什么是信任模型 58 4.4.2 交叉认证 60 4.4.3 常用的信任模型 60 4.5 公钥基础设施的服务和实现 64 4.5.1 身份认证 64 4.5.2 数据完整性 65 4.5.3 数据保密性 66 4.5.4 不可否认性服务 66 4.5.5 公证服务 66 4.5.6 时间戳服务 66 4.6 公钥基础设施的应用 67 4.6.1 PKI相关标准 67 4.6.2 基于PKI的应用领域 71 4.6.3 PKI技术的发展 73 本章小结 75 思考题 76 第5章 信息隐藏技术 77 5.1 信息隐藏技术概述 78 5.1.1 历史渊源 78 5.1.2 技术特点 78 5.1.3 技术分类 79 5.2 信息隐藏技术 80 5.2.1 信息隐藏技术的基本原理 80 5.2.2 信息隐藏技术的典型模型 80 5.2.3 信息隐藏技术的基本要求 81 5.3 信息隐藏算法 82 5.3.1 空间域隐写算法 82 5.3.2 变换域隐写算法 84 5.4 信息隐藏技术应用 87 5.4.1 数字水印 87 5.4.2 其他应用领域与发展前景 89 本章小结 89 思考题 90 第6章 用户身份认证技术 91 6.1 身份认证技术概述 92 6.1.1 什么是身份认证 92 6.1.2 身份认证的原理 92 6.1.3 身份认证的方法 93 6.2 认证口令 94 6.2.1 关键问题 94 6.2.2 挑战/响应认证机制 95 6.3 认证令牌 96 6.3.1 几个术语 96 6.3.2 时间令牌 96 6.4 生物特征认证 97 6.4.1 足够有效 98 6.4.2 生物特征模板 98 6.4.3 认证匹配 99 6.4.4 易用性和安全性 99 6.4.5 存储特征模板 99 6.4.6 存在的问题 100 6.5 Kerberos身份认证协议 100 6.5.1 Kerberos 协议简介 100 6.5.2 Kerberos 的认证过程 101 6.5.3 Kerberos 的工作模式 101 本章小结 103 思考题 104 第7章 访问控制技术 105 7.1 访问控制的概念与原理 106 7.2 访问控制结构 107 7.2.1 访问控制矩阵 107 7.2.2 访问能力表 107 7.2.3 访问控制表 108 7.2.4 授权关系表 109 7.3 访问控制策略 109 7.3.1 基于身份的安全策略 110 7.3.2 基于规则的安全策略 111 7.4 访问控制模型 112 7.4.1 自主访问控制 112 7.4.2 强制访问控制 113 7.4.3 基于角色的访问控制 114 7.5 RBAC 参考模型 116 7.5.1 RBAC0（Core RBAC） 116 7.5.2 RBAC1（Hierarchical RBAC） 118 7.5.3 RBAC2（Constraint RBAC） 120 本章小结 122 思考题 122 第8章 互联网安全技术 123 8.1 网络安全概述 124 8.1.1 网络安全的概念 124 8.1.2 网络系统面临的威胁 125 8.1.3 网络安全的基本原则 125 8.1.4 网络安全关键技术 126 8.2 防火墙 127 8.2.1 防火墙的概述 127 8.2.2 防火墙的实现技术 128 8.2.3 防火墙的系统结构 133 8.3 入侵检测系统 136 8.3.1 入侵检测系统概述 136 8.3.2 入侵检测系统的数据源 138 8.3.3 入侵检测技术 139 8.3.4 入侵检测系统结构 142 8.4 虚拟专用网络（VPN） 144 8.4.1 VPN概述 144 8.4.2 VPN的分类 146 8.4.3 隧道技术 148 8.4.4 常用的隧道协议 149 8.5 病毒及防护 153 8.5.1 计算机病毒的产生和发展 153 8.5.2 计算机病毒及类型 154 8.5.3 计算机病毒防护 157 本章小结 159 思考题 159 第9章 电子商务安全协议 161 9.1 电子商务安全协议概述 162 9.2 安全电子交易协议 162 9.2.1 SET协议概述 162 9.2.2 SET交易的参与者 163 9.2.3 SET协议的安全体系 164 9.2.4 SET的交易流程 164 9.3 安全套接层协议 165 9.3.1 SSL概述 165 9.3.2 SSL 协议结构 166 9.3.3 SSL记录协议 167 9.3.4 SSL握手协议 168 9.3.5 SSL报警协议 170 9.3.6 SSL协议与SET协议的比较 170 9.4 HTTPS协议 171 9.4.1 HTTPS协议概述 171 9.4.2 HTTPS协议结构 172 9.4.3 HTTPS协议的工作原理 173 9.4.4 HTTPS协议的安全性分析 173 本章小结 175 思考题 176 第10章 数据高可用技术 177 10.1 数据备份和恢复 178 10.1.1 数据备份 178 10.1.2 数据恢复 179 10.2 网络备份系统 180 10.2.1 单机备份和网络备份 180 10.2.2 网络备份系统的组成 181 10.2.3 网络备份系统方案 182 10.3 数据容灾 184 10.3.1 数据容灾概述 184 10.3.2 数据容灾技术 185 本章小结 187 思考题 187 第11章 电子支付与安全 189 11.1 电子支付 190 11.1.1 电子支付的产生及发展 190 11.1.2 电子支付的特点 190 11.2 电子货币 191 11.2.1 电子货币的概念 191 11.2.2 电子货币的种类 192 11.2.3 电子货币的运作形态 194 11.3 电子支付技术 195 11.3.1 信用卡 195 11.3.2 电子支票 195 11.3.3 智能卡 196 11.3.4 电子钱包 197 11.4 电子支付的安全威胁 198 11.4.1 电子支付的安全概述 198 11.4.2 网上支付的安全威胁 200 11.4.3 移动支付的安全威胁 201 11.5 电子支付安全解决方案 203 11.5.1 支付宝 203 11.5.2 网上银行 207 11.5.3 信用卡 210 本章小结 215 思考题 215 第12章 移动电子商务安全技术 217 12.1 移动电子商务 218 12.2 移动电子商务的安全威胁 218 12.2.1 移动通信系统威胁 219 12.2.2 移动设备自身隐患 219 12.2.3 外部因素的威胁 220 12.3 IEEE 802.11及其安全机制 221 12.3.1 IEEE 802.11协议 221 12.3.2 无线局域网的组网方式 222 12.3.3 IEEE 802.11协议的安全机制 223 12.4 蓝牙及其安全体系 225 12.4.1 蓝牙技术 225 12.4.2 蓝牙安全机制 228 12.4.3 链路层安全体系 230 12.5 GSM系统及其安全机制 234 12.5.1 GSM系统结构 234 12.5.2 GSM系统的安全机制 235 12.5.3 用户到GSM网络端的单向认证 236 12.5.4 空中接口加密 237 12.5.5 用户身份的保密性和用户位置的隐匿性 238 本章小结 238 思考题 239 第13章 电子商务云安全 241 13.1 云计算 242 13.1.1 云计算的产生与发展 242 13.1.2 理解云计算 244 13.1.3 云计算体系架构 245 13.1.4 云计算分类 247 13.2 云计算与电子商务 248 13.3 云安全 250 13.3.1 云计算的风险 250 13.3.2 什么是云安全 251 13.3.3 云安全技术 253 13.3.4 云安全框架 255 本章小结 256 思考题 257 第14章 大数据与电子商务 259 14.1 大数据 260 14.1.1 理解大数据 260 14.1.2 大数据处理模式 261 14.1.3 大数据处理流程 262 14.2 大数据带来的商机和挑战 263 14.2.1 拥有大数据 263 14.2.2 大数据处理能力 264 14.2.3 大数据处理技术 264 14.3 大数据带来的安全问题 265 14.3.1 隐私保护 265 14.3.2 大数据的可信性 265 14.3.3 大数据的访问控制 266 14.4 大数据安全与隐私保护关键技术 266 14.4.1 数据发布匿名保护技术 267 14.4.2 社交网络匿名保护技术 268 14.4.3 数据溯源技术 268 14.4.4 角色挖掘 269 14.4.5 风险自适应的访问控制 269 14.5 大数据时代的信息安全 269 14.5.1 基于大数据的威胁发现技术 269 14.5.2 基于大数据的认证技术 270 14.5.3 基于大数据的数据真实性分析 271 14.5.4 “安全即服务（Security-as-a-Service）” 271 本章小结 271 思考题 272 第15章 电子商务安全解决方案 273 15.1 阿里云安全解决方案 274 15.1.1 数据安全 274 15.1.2 访问控制 275 15.1.3 云安全服务 276 15.1.4 系统安全及开发维护 277 15.1.5 其他安全措施 278 15.2 Windows Azure安全解决方案 279 15.2.1 计算、存储和服务管理 279 15.2.2 Windows Azure的视角：Fabric 280 15.2.3 云安全设计 281 15.2.4 开发生命周期安全 286 15.3 金山私有云解决方案 286 15.3.1 工作原理 287 15.3.2 安全系统组件 288 15.3.3 安全系统后端云平台 289 15.3.4 安全系统客户端软件 291 本章小结 292 思考题 292 附录A 缩略语表 295 参考文献 299

王丽芳，西北工业大学教授，硕士生导师。主要学术兼职：中国信息经济学会电子商务专业委员会副秘书长，全国高校电子商务与电子政务联合实验室常务理事，陕西省电子商务教育研究会副秘书长，中国计算机学会高级会员，中国信息经济学会高级会员，“陕西省电子商务与电子政务重点实验室”学术委员会委员等。