第5章 电子商务网络安全.ppt

1、2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第第5章章 电子商务网络安全电子商务网络安全 主讲教师：XXXXXX 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第第5章章 电子商务网络安全电子商务网络安全 学习要点 电子商务对安全的基本要求 防火墙的功能和原理 电子商务加密技术 电子商务安全认证体系 SSL和SET的流程和工作原理 计算机病毒和黑客的防范技术 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第第5章章 电子商务网络安全电子商务网络安全 第一节 电子商务的安全问题 第二节 防火墙技术 第三节 加密技术 第五节 电子商务交

2、易过程 第六节 病毒与黑客的防范 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第一节第一节 电子商务的安全问题电子商务的安全问题 一、电子商务的网络安全问题 二、电子商务的信息安全要求 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、电子商务的网络安全问题一、电子商务的网络安全问题 1信息泄漏 在电子交易中商业机密被泄漏，主要包括两个方面：交 易双方进行交易的内容被第三方窃取；交易一方提供给另一 方使用的文件被第三方非法使用。 2篡改 电子的交易中信息在网络上传输，可能被他人非法修改、 删除或重做，这样就使信息失去了真实性和完整性。 3身份识别问题

3、如果不进行身份识别，第三方就有可能假冒交易一方的 身份，以破坏交易。破坏被假冒一方的信誉或盗取被假冒一 方的交易成果等。进行身份识别后，交易双方就可防止“相 互猜疑”。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、电子商务的网络安全问题一、电子商务的网络安全问题 4病毒问题 病毒问世十几年来，各种新型病毒及其变种迅 速增加，互联网的出现又为病毒的传播提供了最好 的媒介。不少新病毒利用网络作为自己的传播途径， 很多病毒借助于网络传播变得更快，破坏性更大， 造成经济损失动辄造成数百亿美元的。 5黑客问题 随着各种应用工具的传播，黑客已经大众化了， 不像过去那样非计算机高手

4、不能成为黑客。曾经大 闹雅虎网站的“黑手党男孩”就没有受过专门训练， 只是向网友下载了几个攻击软件并学会了如何使用， 就在互联网上大干了一场。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、电子商务的信息安全要求二、电子商务的信息安全要求 1信息的保密性 信息的保密性是指信息在传输或存储过程中不被他人窃取。 交易中的商务信息均有保密的需求。如信用卡的账号、用户名 和密码被人知晓，就可能被盗用，订货和付款的信息被竞争对 手获悉，就可能丧失商机。因此，在电子商务的信息传播均须 要保密。 2信息的完整性 信息的完整性是从信息传输和存储两个方面看。在存储时， 网站上的信息要防止

5、非法篡改和破坏。在传输过程中，如果收 到的信息与发送的信息一样的话，说明在传输过程中信息没有 遭到破坏。尽管信息在传输过程中被加了密，能保证第三方看 不到真正的信息，但并不能保证信息在传输过程中不被修改。 3身份的确定性 网上交易的双方很可能素昧平生，相隔千里。要使交易成 功，首先要能确认对方的身份，对商家来说，要考虑客户是不 是骗子，而客户也会担心网上的商店是不是一个黑店。因此， 能方便而可靠的确认对方身份是交易的前提。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、电子商务的信息安全要求二、电子商务的信息安全要求 4不可否认性 信息的不可否认性是指信息的发送方不能否

6、认已发送的信 息，接受方不能否认已收到的信息。由于商情的千变万化，交 易一旦达成是不能否认，否则，必然会损害一方的利益。例如， 在定购商品的时候，商品价较低，但收到订单后，商品涨价了， 如供货方否认发送订单的实际时间，甚至还否认发送订单的事 实，则订货方将会蒙受巨大的损失。因此，电子交易通信过程 的各个环节都必须是不可被否认的。 5不可修改性 交易的文件是不能被随意修改的，例如，上例所举的例子， 如果供货单位在收到订单后，修改订货价，或者改动文件内容， 将定购数目改变，则可以大幅收益，而订货单位却会蒙受损失。 因此，电子交易的文件必须做到不可修改，以保障交易的严肃 和公正。 6系统的可靠性 电

7、子商务使用的是计算机系统，其可靠性是指防止计算机 失效、程序错误、传输错误等而引起的计算机信息丢失或出错。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第二节第二节 防火墙技术防火墙技术 防火墙是由软件系统和硬件系统组成的， 在内部网与外部网之间构造保护屏障。所有 内外部网之间的连接都必须经过保护屏障， 并在此进行检查和连接，只有被授权的信息 才能通过此保护屏障，从而使内部网与外部 网形成一定的隔离，防止非法入侵、非法盗 用系统资源，执行安全管制机制，记录可疑 事件等。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期

8、四 电子商务概论电子商务概论 第二节第二节 防火墙技术防火墙技术 一一、包过滤型防火墙包过滤型防火墙 二二、代理服务型防火墙代理服务型防火墙 三三、应用网关型防火墙应用网关型防火墙 四四、电路网关型防火墙电路网关型防火墙 五五、复合型防火墙复合型防火墙 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、包过滤型防火墙一、包过滤型防火墙 包过滤型防火墙实质上是一个过滤网关，它决 定接收到的数据包的取舍。该防火墙逐一审查每个 数据包以判断它是否与其过滤规则相匹配。如果找 到一个匹配，且规则允许这个包通过，这个包将根 据路由表中的信息继续前进。如果找不到一个匹配， 则规则拒绝此包

9、，也就是把这个包过滤掉了。 包过滤一般是在OSI七层协议的网络层下实现 的，用户一般不会察觉到防火墙的存在。此防火墙 由较高的网络性能，对应用程序具有较好的透明性， 缺点是无法有效的区分同一IP地址下不同的用户， 所以安全性相对较低些。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、代理服务型防火墙二、代理服务型防火墙 代理服务型防火墙也是在OSI七层协议 的应用层下实现的。代理使用一个客户程序 与特定的中间节点连接，然后中间节点与期 望的服务器进行实际连接。使用此防火墙时， 外部网络与内部网络之间不存在直接连接， 因此，即使防火墙发生了问题，外部网络也 无法与被保护的

10、网络连接。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 三、应用网关型防火墙三、应用网关型防火墙 应用网关防火墙的物理位置与包过滤防火墙一 样，但它却工作在OSI七层协议的应用层上。应用 网关防火墙执行比包过滤防火墙更严格的安全策略。 对于所转发的每种应用，应用层网关都需要使用专 用的程序代码。每当一个新的需保护的应用加入网 络中时，必须为其编制专用的程序代码，如果网络 过滤人员不对一种特别应用程序编制出相应的专用 程序代码，这种应用程序就不能通过防火墙。虽然 编制程序比较复杂，但是，网络的安全性得到了提 高。 2020年年4月月16日星期四日星期四 电子商务概论电子商务

11、概论 四、电路网关型防火墙四、电路网关型防火墙 电路网关的物理位置在内部与外部网之 间，工作在OSI七层协议的网络层，不过， 电路网关在作为外部主机代理方面类似应用 网关，但电路网关是在传输控制协议（TCP） 这一级来完成控制的。它通过防火墙开了一 个通孔，既根据用户的要求，开通或封闭 TCP/IP 的连接。电路网关型防火墙向最终用 户提供较好的透明性，但它的代价是损失了 某些安全性，即不能实施强制的验证和协议 过滤。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 五、复合型防火墙五、复合型防火墙 出于高安全性的需要，出现了把基于包 过滤和基于代理访问技术相结合的防火墙，

12、即复合型防火墙。在复合型防火墙中，内部 网络和外部网络都可以访问主机，称为堡垒 主机，它是一个被特别包装的、用来防范各 类攻击的特殊系统。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第三节第三节 加密技术加密技术 一一、密钥加密算法密钥加密算法 二二、数字摘要数字摘要 三三、数字签名数字签名 四四、数字时间戳数字时间戳 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 1对称密钥体制 （1）基本原理 对称密钥体制又称常规密钥密码体制、 私钥密码体制和单钥密码，就是加密和解密 使用的是同一个密钥和算法，如果不相同， 也可以

13、由一个密钥来推导出另一个密钥来。 当A发送数据给B时，A用加密密钥将明文进 行加密后成为密文，而B在接收到密文后， 必须用A的密钥进行解密，还原成明文。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 （2）DES算法 数据加密标准（data Encryption Standard，DES），是 1977年美国国家标准局宣布用于非国家保密机关的数据保护。 DES算法原是IBM公司于1971年至1972年研制成功的，ISO也已 将DES作为数据加密标准。 DES对64位二进制数据

14、加密，产生64位密文数据。使用的密 钥也64位，实际密钥长度为56位（8为用于奇偶校验）。解密时 的过程与加密时相似，但密钥的顺序正好相反。现在DES可由软 件和硬件实现。美国AT&T首先用LSI芯片实现了DES的全部过程， 该产品称为数据加密处理机DEP。 DES采用64位长的密钥，能将原文的若干个64位块变换成加 密的若干个64位代码块。原文经过一系列的排列与置换所产生的 结果再与原文异或合并（X/OR）。该加密过程重复16次，每次 所用的密钥位排列不同。据说运行DES加密文件通过256种可能 的密钥，一个百万次的系统也需7个小时。三倍编码使DES更加 安全，等价于具有112位长的代码，同

15、时，编码与解码时间也延 长了三倍。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 （3）IDEA算法 IDEA（International Data Encryption Algorithm）是一种国际信息加密算法。它是 1991年在瑞士ETH Zurich由中国学者来学嘉 和James Massey发明，于1992年正式公开， 是一个分组为64位，密钥128位。迭代八轮 的密码体制。此算法使用长达128位的密钥， 有效地消除了试图用穷举法搜索密码的可能 性。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算

16、法一、密钥加密算法 （4）对称密钥体制加密技术的优缺点 对称加密技术具有加密速度快，保密度高等优 点。缺点是： 密钥是保密安全的关键，发送方必须安全、 可靠地把密钥护送到接收方，一旦密钥在网上被窃 取，密文就会被解密，所以，对称加密技术密钥发 送十分复杂，所花代价也十分高昂。 多人通信时使用的密钥数会大幅度增加，n 个人两两通信，需要的密钥数为n（n-1）/2。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 2非对称密码体制 （1）基本原理 非对称密码体制又称公钥密码体制和双钥密码等， 为了改进对称加密的密钥传递的缺陷，于是出现了非对 称加

17、密技术。这种密钥技术中的密钥都是成双的，即有 一对互补的钥匙，一个称为公钥（Public Key），另一 个称为私钥（Private Key），其中公钥是公开的，这个 公钥可以放在服务器上供任何人下载，另一个私钥必须 自己保留。由于这两个密钥之间存在一定的数学关系， 因此这两个密钥中的一个密钥加密，只能被另一个密钥 解开。使用的时候，A用B的公钥将明文加密成为密文， 然后通过网络传送给B，B用自己的私钥将密文解密， 还原成明文。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法

18、（2）RSK算法 非对称密码体制中最具代表性的，便是RSK算法。已被 ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加 密标准。该算法以发明者Ronald Rivest、Adi Shamir 及Leonard Adleman三人名字的首字母命名。具体算法是： 用户选择2个足够大的秘密的素数p和q（一般位100位以上的 十进制数）。令n=pq，n是公开的。实际上，从n分解除因子p和q 是极其困难的。 定义n的欧拉函数 （n）=（p-1）（q-1），（n）及小于 等于n并于n互素的数的个数。 选择一个相对较大的整数e作为加密指数，（n）互素。 解同余方程ed=lmod。 若用整数

19、X、Y分别表示明文、密文， 则以下二式可用于加密和解密（X、Y均小于n）： 加密：Y=X mod n 解密：X=Y mod n 每个用户都有一组密钥（e，d、n）。对这种体制，只有（e， n）是出现在公共手册上的（即PK），d则是需要用户保密的（即 SK）。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 （3）公开密钥的优缺点 公开密钥的优点： 密钥少便于管理，网络中用户只需可 靠保存自己的解密密钥，则n个用户只需保存 好n个解密密钥即可。 加密密钥分配简单，用户可以在服务 器上下载。 缺点是加密、解密速度慢，不易对数据 块大的数据进行加密

20、。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 3组合加密算法 组合加密算法（Pretty Good Privacy，PGP）是由 美国的Phil Zimmermann创造的，它结合了RSA公钥的 安全和对称DES/IDEA加密的快速的优点，即对网络中 传递的明文用DES/IDEA加密，而加密的密钥则用RSA 加密传递，对方收到密文和加密的密钥后，先用RSA解 开密钥，再用密钥解开密文。因此，PGP成为了世界上 最流行的加密软件包。 PGP目前有运行于MS-DOS、Unix、Windows 2000、Windows XP、Windows

21、2003等各种不同操作 系统上的版本，可以用它来对文件进行加密，或者使用 它来在文件上进行数字签名。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、密钥加密算法一、密钥加密算法 PGP加密不仅速度快，而且强度足够大。如果 想用穷举法来破解PGP密码，并使用10亿台每秒钟 能试探10亿个密钥的计算机（目前还不存在每秒能 试探10亿个密码的计算机，计算机总量也没有10亿 台），那么做完所有的试探所需要的时间至少要 100亿年。 目前能得到的PGP是PGPi 2.6.3i，PGPi 是 PGP的国际版，它是在PGP的基础上修改而成的， 因为PGP是功能强大的加密系统，而美国对

22、加密系 统的出口是有限制的，这就是你无法在正常的渠道 中获得PGP的原因。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、数字摘要二、数字摘要 数字摘要又称为安全Hash编码法或MDS编码 法，是Ron Rivest 在70年代设计的。该编码采用了 单向Hash函数，它将明文直接“摘要”成一串 128Bit的密文，这一串密文就称为数字摘要。它具 有固定的长度，不同的明文的摘要，其结果是决对 不会相同的，而同样的明文其摘要却必定是一致的。 因此，这串摘要便成为了验证明文是否是“真身” 的依据，明文好像被附上了的数字“指纹”，所以， 数字摘要又称为数字指纹（Finger P

23、rint）。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 三、数字签名三、数字签名 数字签名（digital signatures）是公开密钥加 密技术的一种应用。使用方式是：报文的发送方从 报文文本中生成一个128Bit的数字摘要，发送方再 用自己的密钥对数字摘要进行加密形成发送方的数 字签名。然后，这个数字签名将作为报文的附件和 报文一起发送给接收方。收方首先从接收到的报文 中计算出128Bit的数字摘要，再用发送方的公开密 钥来对报文附加的数字签名进行解密。如果这两个 数字摘要相同，那么接收方就能确认

24、该数字签名是 发送方的，而且还可以确定此报文没有被第三方修 改过。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 三、数字签名三、数字签名 但采用公开密钥算法更容易实现。发送者A用 自己的私钥SKA对数字摘要X进行运算，将结果 DSKA（X）传送给接收者B。B用A的公钥得出 EPKA（DSKA（X）=X。因为除A外没有别人能 具有A的私钥SKA，所以除A外没有别人能产生密文 DSKA（X）。这样，数字摘要X就被签名了。假若 A要抵赖曾发送给B。B可将X及DSKA（X）出示给 第三者。第三者很容易用PKA去证实

25、A确实发送消 息X给B。反之，如果是B将X伪造成X，则B不能再 第三者面前出示DSKA（X）。这样就证明B伪造了 数字摘要。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 三、数字签名三、数字签名 要说明的是，数字签名不同于手写签字， 数字签名会随文本的变化而变化，而手写签 名只是反映了某个人的个性特征，是不变的； 数字签名与文本信息是不可分割的，而数字 签名是附加在文本之后的，与文本信息是分 离的。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字时间戳四、数字时间戳 在电子交易中，同样需对交易文件的日期和时间信息 采取安全措施，而数字时间戳服务

26、（Digital Time-Stamp Service，DTS）就能提供电子文件发表时间的安全保护。 数字时间戳服务是网上安全服务项目，由专门机构提供， 数字时间戳是一个经加密后形成的证书文件，它包含三个 部分： 需要加数字时间戳的文件的摘要； 数字时间戳服务机构收到文件的日期和时间； 数字时间戳服务机构的数字签名。 数字时间戳产生的过程为：用户首先将需要加数字时 间戳的文件用Hash形成摘要，然后将摘要发送到数字时 间戳服务机构，该机构在加入了收到文件摘要的日期和时 间信息后再对该文件进行数字签名，然后送回用户。要注 意的是，书面签署文件的时间是由签署人自己写上的，而 数字时间戳则不然，它是

27、由数字时间戳服务机构来加的， 以其收到文件的时间为依据。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第四节第四节 数字证书数字证书 一一、数字证书数字证书 二二、CA认证中心认证中心 三三、数字证书类型数字证书类型 四四、数字证书的申请数字证书的申请、获取和使用获取和使用 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、数字证书一、数字证书 数字证书又称为数字凭证（Digital Certificate，Digital ID），是用电子手段来证实一个用户的身份。在网上进行电 子交易时，如果双方都出示了数字证书，并用它来进行交易 操作，那么双方就不必

28、为对方身份的真伪而担心了。 数字证书可广泛用于电子邮件、电子商务、电子基金转 移等。 数字证书的内部格式是由CCITT X.509国际标准所规定 的，它包含了以下几点： 证书拥有者的姓名； 证书拥有者的公共密钥； 公共密钥的有效期； 颁发数字证书的单位； 数字证书的序列号； 颁发数字证书单位的数字签名。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、二、CA认证中心认证中心 在电子交易中，无论是数字时间戳服务还是数字证书的 发放，都需要有一个具有权威性和公正性的第三方来完成。 认证中心（CA）就是承担网上安全电子交易认证服务、签 发数字证书、并确认用户身份的服务机构。认

29、证中心统称是 奇特性的服务机构，主要任务是受理数字凭证的申请、签发 及对数字凭证的管理。 使用者在生成自己的密钥后，直接把公共密钥和身份信 息送到认证中心去认证，通过后，认证中心就会将签核过的 凭证放到凭证数据库，供其他人查询及下载，所以，交易双 方都能在认证中心取得对方的凭证，以证明公共密钥和身份 的相关性。除了签发凭证的业务外，认证中心也要负责维护 凭证的安全性与完整性，万一交易过程发生纠纷，认证中心 按照和用户之间的协议，应负举证的责任，将双方的注册信 息和凭证送交司法单位。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、二、CA认证中心认证中心 当前，Inter

30、net上提供认证服务的国外公 司有Verisign、IBM、AT&T、BBN 等。上海 电子商务安全证书管理中心有限公司 （ ），是国内提供认 证服务较早的机构，也是上海市从事电子商 务安全证书制作、颁发和管理业务的权威性 机构。参加电子商务的主体，必须获得 SHECA颁发的数字证书。SHECA提供电子 商务服务的安全平台，为网上安全交易保驾 护航。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 三、数字证书类型三、数字证书类型 个人证书（Personal Digital ID）：仅仅为某一个 用户提供证书，以帮助个人在网上进行安全交易操作。个 人身份的数字证书通常是安装在

31、客户端的Web浏览器内， 并收发安全的电子邮件等。 企业（服务器）证书（Server ID）：为网上的某 个Web服务器提供的证书，拥有Web服务器的企业就可 以对具有证书能力的网站来进行安全的电子交易。有证书 的Web服务器会自动地与客户端Web浏览器通信的信息 进行加密。 软件（开发者）证书（Developer ID）：为 Internet中被下载的软件提供证书，该证书用于和微软公 司Authenticode技术相结合的软件，以使用户在下载软件 时能获得相应的信息。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使

32、用 1个人数字证书的申请、获得和使用 个人数字证书的申请可以在用户浏览器 上进行，个人数字证书分为两个级别，第一 级数字证书仅仅提供个人电子邮件地址的认 证。当个人获得一级数字证书后，认证中心 会将邮件地址证书列于公共目录。第二级数 字证书提供对个人姓名、身份等信息的认证。 当获得二级数字证书后，认证中心也会将认 证信息列入公共目录。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使用 当个人数字证书申请后，认证中心对申 请者的电子邮件地址、个人身份及信用卡号 等信息进行核实，通常需要3-5天，核实后即 可颁发数字证书

33、。数字证书的颁发时由认证 中心发回给用户一个确认邮件，在邮件中通 知用户有关证书中的信息，同时将该证书安 装在用户所用的WWW浏览器或电子邮件系 统中。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使用 个人使用获得的数字证书，也就是说在他所用 的WWW浏览器上安装了数字证书后，当他要发送 一个邮件的时候，在WWW浏览器中就可设置以下 三种状态： 普通发送，不使用数字证书； 签发文件，在发送信息的同时，系统会自动 将信息和发送者的数字签名一起发送给对方，但用 此方法发送的信息本身并未被加密； 加密文件，除了拥有上面签

34、发文件功能外， 在发送时还会自动用接收者的公共密钥加密信息， 并会注明此信息是加密的。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使用 2服务器数字证书的申请、获得和使用 服务器数字证书帮助企业建立一个虚拟交 易环境中的信任度。在现实生活中，一个大超 市或大商场能给人们产生一种可信度。而在网 上交易的虚拟环境中，人们无法和商家面对面 的接触，而需要依靠数字证书来增强信任度。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使用 服务器数字证书

35、的申请验证要比个人身 份的验证复杂，需要把调查表文件填写后用 电传或电子邮件发送到认证中心，调查文件 的内容包括： 企业或组织的情况介绍； 合作伙伴的情况； 营业执照； 纳税证明。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 四、数字证书的申请、获取和使用四、数字证书的申请、获取和使用 当一个服务器证书生效后，它就能以被验证的 身份与外界通信，数字证书依靠与之绑定的一对密 钥来表示自己的确定性。用该对密钥来加密，从而 保证该服务器身份。当一个认证的客户与一个认证 的服务器进行通讯的时候，客户端的软件会自动的 验证服务器端的数字证书，而服务器绑定的这对密 钥又被用来加密一个

36、会话密钥。会话密钥是用来对 服务器和客户机的会话进行加密的。每个服务器和 客户机的会话均会使用不同的会话密钥。每个会话 密钥只有12-24小时的有效期，所以，要在被认证 的服务器和客户机通信时进行信息窃听是十分困难 的。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第五节第五节 电子商务交易过程电子商务交易过程 一一、安全套接层安全套接层SLL协议协议 二二、安全电子交易安全电子交易SET协议协议 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、安全套接层一、安全套接层SLL协议协议 SSL 安全协议最初是由Netscape Communicatio

37、n公司设计开发的，又叫安全 套接层（Secure Sockets Layer，SSL）协 议，主要用于提高应用数据的安全。SSL 协 议的概念可以被认为：一个保证任何安装了 安全套接层的客户和服务器间事务安全的协 议，它涉及所有的TCP/IP应用程序。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、安全套接层一、安全套接层SLL协议协议 SSL 安全协议主要提供三方面的服务： 认证用户和服务器，使得数据将被发 送到正确的客户机和服务器上； 加密数据以隐藏被传送的数据； 维护数据的完整性，确保数据在传输 过程中不能被改变。 2020年年4月月16日星期四日星期四 电子商务

38、概论电子商务概论 一、安全套接层一、安全套接层SLL协议协议 SSL 安全协议的运行步骤包括六步： 接通：客户通过网络向服务商连接，服务商 回应； 密码交换：客户与服务商之间交换双方认可 的密码，一般选用RSA密码算法； 会谈密码：客户与服务商间产生彼此交谈的 会谈密码； 验证：检验服务商取得的密码； 客户认证：验证客户的可信度； 结束：客户与服务商之间相互交换结束的信 息。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、安全套接层一、安全套接层SLL协议协议 当上述动作结束后，两者间的资料传送就会被 加密，等到另外一端接收到资料后，再将资料还原。 即使盗窃者在网络上取

39、得的加密资料，如果没有密 钥和算法，就不能获得可读的原文资料。 SSL安全协议是国际上最早应用于电子商务的 一种网络安全协议，它运行的基本点是商家对客户 信息保密的承诺，如全球最大的网上书店亚马逊 （Amazon），它在给用户的购买说明中明确表示： “当你在亚马逊公司购书时，受到亚马逊公司安 全购买保证保护，所以，你永远不用为你的信用 卡安全担心”。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、安全套接层一、安全套接层SLL协议协议 SSL安全协议利于了商家却不利于客户，客户 的信息首先被传到商家，商家阅读后再传到银行， 这样，客户资料的安全性就受到了威胁。商家认证

40、客户是必要的，但整个过程中缺少了客户对商家的 认证。由于在电子商务的开始阶段，参与电子商务 的公司大都是一些大公司，信誉度较高，这个问题 没有引起人们足够的重视。随着电子商务参与的厂 商迅速增加，对厂商的认证问题越来越突出，SSL 协议的缺点完全暴露出来，所以 SSL 协议正在逐 渐的被SET协议取代。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、安全电子交易二、安全电子交易SET协议协议 为了克服SSL安全协议的缺点，两大信用卡组 织Visa和MasterCard，联合开发了安全电子交易协 议（Secure Electronic Transaction，SET）。这

41、是 一个为了在Internet上进行在线交易而设立的一个开 放的以电子货币为基础的电子付款系统。SET在保 留对客户信用卡认证的前提下，又增加了对商家身 份的认证，这对于需要支付货币的交易来讲是至关 重要的。由于设计合理，SET协议得到了IBM、HP、 Microsoft、Netscape、GTE等许多大公司的支持， 已成为工业标准。目前，它已经获得了IETF标准的 认可。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、安全电子交易二、安全电子交易SET协议协议 SET是一种以信用卡为基础的、在 Internet上交易的付款协议，是授权业务信息 传输的安全标准，它采用R

42、SA密码算法，利 用公钥体系对通信双方进行认证，用DES等 标准加密算法对信息加密传输，并用Hash算 法来鉴别信息有无被篡改。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、安全电子交易二、安全电子交易SET协议协议 1SET安全协议运行的目标 保证信息在Internet上安全传输，防止数据被黑客或 被内部人员窃取； 保证电子商务参与者信息的相互隔离。客户的资料 会加密打包后通过商家传输到银行，但是商家却不能直接看 到客户的账户和密码； 解决多方认证的问题，不仅要对消费者的信用卡认 证，而且要对在线商店的信誉程度认证，同时还有消费者、 在线商店与银行之间的认证； 保证

43、网上交易的实时性，使所有的支付过程都是在 线的； 效仿EDI贸易形式，规范协议和消息格式，促使不同 厂家开发的软件具有兼容性和互操作性，并且可以运行在不 同的硬件和操作系统平台上。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、安全电子交易二、安全电子交易SET协议协议 2SET安全协议涉及的范围 消费者：包括个人消费者和团体消费者，按照在线 商店的要求填写订货单，通过发卡银行发行的信用卡进行付 费； 在线商店：提供商品或服务，具备相应电子货币使 用的条件； 收单银行：通过支付网关处理消费者和在线商店之 间的交易付款问题； 电子货币公司和兼有电子货币发行的银行：负责处

44、理电子货币的审核和支付工作； 认证中心：负责对交易双方的身份确认，对厂商的信 誉度和消费者的支付手段和支付能力进行认证。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 二、安全电子交易二、安全电子交易SET协议协议 3SET安全协议的缺陷 协议没有说明收单银行给在线商店付款前，是否必 须收到消费者的货物接受证书，否则的话，在线商店提供的 货物不符合质量标准，消费者提出疑义或要求退货，那责任 由谁来承担； 协议没有担保“非拒绝行为”，这意味着在线商店 没有办法证明定购是不是由签署证书的消费者发出的； SET技术

45、规范没有提及在事务处理完成后，如何安全 的保存或销毁此类证据，是否应当将数据保存在消费者、在 线商店或收单银行的计算机里。这种漏洞可能使这些数据以 后受到潜在的攻击； SET安全协议大部分操作依赖CA认证中心的认证， 但SET无法确认认证中心是否被攻击、被假冒，也无法确认 认证中心的密钥是否已经泄漏或被修改。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第六节第六节 病毒与黑客的防范病毒与黑客的防范 计算机病毒（computer virus）是带有一段恶意指令的程 序，一旦用户运行了被病毒感染的程序，它就会隐藏在系统中 不断感染内存或硬盘上的程序，只要满足病毒设计者预定的

46、条 件，病毒就会发作，其后果轻则只是和用户开个玩笑，在屏幕 上显示几行文字或图片；重则会破坏硬盘数据，甚至擦除主板 BIOS芯片内容，使机器不能继续使用。 黑客程序（hacker program）实际上也是人们编写的程序， 它能够控制和操纵远程计算机，一般由本地和远程两部分程序 组成。黑客（hacker）通过E-mail或冒充可供下载的文件把程 序暗中发送到远程机器上，如果该程序被远程机器不经意运行， 该用户机器中的启动文件或注册表就会被自动修改，以后只要 这台机器上了Internet，黑客就可以通过网络找到它，并对它 进行远程控制，随意拷贝、修改、删除远程机器上的文件，甚 至能自动关闭或重新

47、启动机器。 考虑到黑客程序的危害性，不妨把黑客程序也归于计算机 病毒类，如果按传播方式划分，可以把病毒分为单机病毒和网 络病毒。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 第六节第六节 病毒与黑客的防范病毒与黑客的防范 一一、单机病毒单机病毒 二、网络病毒及其防范 三三、网上炸弹及其防范网上炸弹及其防范 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、单机病毒一、单机病毒 1单机病毒的种类 单机病毒包括DOS病毒、Windows病毒和能在多操作系 统下运行的宏病毒。 DOS病毒是在MS-DOS及其兼容操作系统上编写的病毒 程序，例如 “黑色星期五”

48、、“DIR”等病毒，它们运行在 DOS平台上，由于Win3.x/Win9x依然采用或含有DOS内核， 所以这类病毒仍然能够攻击Windows系统，在Windows平台 上发作，感染硬盘上的文件。 Windows病毒是在 Win3.x/Win9x上编写的纯32位病毒 程序，例如4月26号危害全球的CIH病毒等，这类病毒运行 于Windows平台，发作时破坏硬盘引导区、感染系统文件和 可执行文件、破坏用户资料，甚至擦除主板BIOS，造成主 板损坏。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、单机病毒一、单机病毒 宏病毒是利用Office特有的“宏” （Macro）编写的

49、病毒，它专门攻击微软 Office系列Word和Excel文件。这种病毒不仅 能运行在Windows环境，还能运行在OS/2或 MAC OS上的微软Office软件中，因为Office 软件有Windows、OS/2或MAC OS的多种版 本，而所有版本中“宏”的定义都相同，所 以只要在这些操作系统上打开Office文档，宏 病毒就开始发作，感染其他Office文档、改变 文件属性，甚至删除文件。 2020年年4月月16日星期四日星期四 电子商务概论电子商务概论 一、单机病毒一、单机病毒 2单机病毒的防范 考虑到每种杀毒产品都有局限性，所以最好准备几套杀 毒软件，用它们来交叉杀毒，杀毒软件还要及时升级；定期 用杀毒软件检查硬盘，如果用的是Win9x（CIH病毒对 WinNT和Win2000不起作用），每月的26号前一定要检查是 否有CIH病毒，或者将系统日期跳过26号；在系统中最好安 装病毒实时监控软件（一般杀毒软件都带）；所有准备上机 的光盘和软盘都要先