第7章電商務(wù)安全技術(shù)

1、logo1第7章 電子商務(wù)安全技術(shù)前 言通過(guò)本章的學(xué)習(xí)，讓學(xué)生學(xué)習(xí)電子交易的安全需求和安全威脅，以及電子商務(wù)的安全體系角色構(gòu)成。了解電子交易的安全需求和安全威脅；了解防火墻技術(shù)、vpn技術(shù)、病毒防范技術(shù)和安全檢測(cè)技術(shù)；了解密碼學(xué)的相關(guān)知識(shí)，理解加密技術(shù)；理解認(rèn)證技術(shù)，了解認(rèn)證機(jī)構(gòu)（ca）的主要職能，了解數(shù)字證書的格式并嘗試使用數(shù)字證書進(jìn)行網(wǎng)絡(luò)安全通信；理解ssl協(xié)議和set協(xié)議的相關(guān)知識(shí)，了解如何利用這兩個(gè)協(xié)議來(lái)保證交易安全;了解公鑰基礎(chǔ)設(shè)施（pki）。logo2第7章 電子商務(wù)安全技術(shù)案例1：“互聯(lián)網(wǎng)”事件1988年11月2日，美國(guó)康奈爾大學(xué) 學(xué)生羅伯特. 莫瑞斯將自己編寫的蠕蟲程序送進(jìn)互聯(lián)

2、網(wǎng)，蠕蟲病毒程序具有很強(qiáng)的自我復(fù)制功能，快速向整個(gè)互聯(lián)網(wǎng)蔓延。莫瑞斯開始以為無(wú)害的程序，以驚人的速度襲擊了龐大的互聯(lián)網(wǎng)，當(dāng)發(fā)現(xiàn)情況不妙是，他本人對(duì)此已無(wú)法控制。蠕蟲病毒程序造成大量數(shù)據(jù)被破壞，整個(gè)經(jīng)濟(jì)損失估計(jì)達(dá)9600萬(wàn)美元。這次“互聯(lián)網(wǎng)”事件極大震驚了網(wǎng)絡(luò)安全人員和其它專業(yè)人員，為網(wǎng)絡(luò)安全敲響警鐘，使網(wǎng)絡(luò)安全成為最迫切的研究課題。logo3第7章 電子商務(wù)安全技術(shù)案例21999年在西方國(guó)家大爆發(fā)的melissa又稱為“梅麗莎”或者美麗殺手，是一種word97宏病毒，專門針對(duì)微軟的電子郵件服務(wù)器ms exchange和電子郵件收發(fā)系統(tǒng)outlook。該病毒利用outlook全域地址表來(lái)獲取信箱

3、地址信息，并自動(dòng)給表中前50個(gè)信箱發(fā)送電子郵件，并在其后附加一個(gè)被感染的文件list.doc,內(nèi)含大量的色情網(wǎng)址。該病毒會(huì)在每臺(tái)被感染的電腦上重復(fù)這樣的動(dòng)作，造成郵件服務(wù)器嚴(yán)重阻塞以至最后癱瘓。“梅麗莎”當(dāng)年造成了超過(guò)8000萬(wàn)美元的經(jīng)濟(jì)損失。logo4第7章 電子商務(wù)安全技術(shù)案例3“熊貓燒香”2006與2007年歲交替之際，一名為“熊貓燒香”的計(jì)算機(jī)病毒在互聯(lián)網(wǎng)上掀起軒然大波。從去年12月首次出現(xiàn)至今，短短一個(gè)多月，病毒已迅速在全國(guó)蔓延，受害用戶至少上百萬(wàn)，計(jì)算機(jī)反病毒公司的熱線電話關(guān)于該病毒的咨詢和求助一直不斷，互聯(lián)網(wǎng)上到處是受害者無(wú)奈的求助、怨恨、咒罵，電腦里到處是熊貓燒香的圖標(biāo)，重要文

4、件被破壞，局域網(wǎng)徹底癱瘓，病毒造成的損失無(wú)法估量。logo5第7章 電子商務(wù)安全技術(shù)案例4江蘇徐州搗毀涉案千余人特大網(wǎng)絡(luò)傳銷集團(tuán)新華網(wǎng)南京7月30日電 記者日前從江蘇省公安廳了解到，徐州警方近期搗毀一個(gè)涉案1000余人的特大網(wǎng)絡(luò)傳銷集團(tuán)，這個(gè)集團(tuán)租用境外服務(wù)器，以高回報(bào)率為誘餌騙取錢財(cái)，至案發(fā)非法經(jīng)營(yíng)數(shù)額達(dá)200多萬(wàn)元，主要犯罪嫌疑人賈某、顧某、魏某、劉某等被成功抓獲。logo6第7章 電子商務(wù)安全技術(shù)7.1.1 電子商務(wù)的安全威脅1.信息的截獲和竊取2.信息的篡改3.信息假冒4.交易抵賴7.1.2 電子商務(wù)的安全要求1.機(jī)密性2.鑒別性3.完整性4.有效性5.不可抵賴性logo7第7章 電子

5、商務(wù)安全技術(shù)7.1.3 電子商務(wù)的安全體系角色構(gòu)成電子商務(wù)系統(tǒng)把服務(wù)商、客戶和銀行三方通過(guò)internet連接起來(lái)，實(shí)現(xiàn)具體的業(yè)務(wù)操作，電子商務(wù)安全系統(tǒng)除了三方的安全代理服務(wù)器外，還應(yīng)該包含ca認(rèn)證系統(tǒng)。電子商務(wù)的安全體系結(jié)構(gòu)包括下列幾個(gè)角色：1.銀行2.服務(wù)商3.客戶方4.認(rèn)證機(jī)構(gòu)logo8第7章 電子商務(wù)安全技術(shù)7.2.1 操作系統(tǒng)安全1.windows 2000安全性對(duì)安全性要求極高的金融機(jī)構(gòu)和其它公司或部門會(huì)很滿意這個(gè)新的操作系統(tǒng)。但是，全面利用windows 2000的安全性意味著必須使用active directory，并且需要相當(dāng)重視管理并進(jìn)行重要的培訓(xùn)。windows 2000

6、具有公共密鑰加密基礎(chǔ)架構(gòu)。windows 2000可以使用ipsec這種加密的ip協(xié)議來(lái)加密網(wǎng)絡(luò)上的數(shù)據(jù)。logo9第7章 電子商務(wù)安全技術(shù)2.windows 2003安全性（1）ntfs和共享權(quán)限 （2）文件和文件夾的所有權(quán) 現(xiàn)在，你不僅可以擁有文件系統(tǒng)對(duì)象（文件或文件夾）的所有者權(quán)限，而且還可以通過(guò)該文件或文件夾“高級(jí)安全設(shè)置”對(duì)話框的“所有者”選項(xiàng)卡將權(quán)限授予任何人。 （3）身分驗(yàn)證 身分驗(yàn)證方面的增強(qiáng)涵蓋了基于本地系統(tǒng)的身份驗(yàn)證和基于活動(dòng)目錄域的身份驗(yàn)證。logo10第7章 電子商務(wù)安全技術(shù)7.2.2 防火墻技術(shù)防火墻是一種安全有效的防范技術(shù)措施，是在內(nèi)部網(wǎng)和internet之間構(gòu)筑的

7、一道屏障，它控制和防止內(nèi)部網(wǎng)對(duì)外的非允許訪問(wèn)，也控制和防止外部的非法訪問(wèn)。從狹義上來(lái)講，防火墻是指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)；從廣義上看，是整個(gè)網(wǎng)絡(luò)訪問(wèn)控制機(jī)制、安全策略和防入侵措施等安全行為。1.實(shí)現(xiàn)防火墻的主要技術(shù)實(shí)現(xiàn)防火墻的主要技術(shù)有：包過(guò)濾，代理服務(wù)防火墻和應(yīng)用網(wǎng)關(guān)等。logo11第7章 電子商務(wù)安全技術(shù)7.2.2 防火墻技術(shù)包過(guò)濾路由器防火墻示意圖代理服務(wù)用于雙重宿主主機(jī)的原理示意圖logo12第7章 電子商務(wù)安全技術(shù)7.2.2 防火墻技術(shù)2.防火墻的主要類型 (1)基于ip包過(guò)濾器的體系結(jié)構(gòu)(2)雙重宿主主機(jī)體系結(jié)構(gòu)(3)被屏蔽主機(jī)體系結(jié)構(gòu)(4)屏蔽子網(wǎng)體系結(jié)構(gòu)logo13

8、第7章 電子商務(wù)安全技術(shù)7.2.2 防火墻技術(shù)雙重宿主主機(jī)體系結(jié)構(gòu)示意圖屏蔽主機(jī)防火墻體系結(jié)構(gòu)示意圖internetlogo14第7章 電子商務(wù)安全技術(shù)7.2.2 防火墻技術(shù)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)圖logo15第7章 電子商務(wù)安全技術(shù)7.2.3 vpn技術(shù)1.vpn的概念虛擬專用網(wǎng)絡(luò)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是internet）建立一個(gè)臨時(shí)的安全的連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。vpn如何保證接入用戶的合法性、保證網(wǎng)絡(luò)訪問(wèn)的安全性以及系統(tǒng)本身的安全可靠性呢？首先，vpn產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。其次，vpn還應(yīng)當(dāng)為不同網(wǎng)絡(luò)的數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)

9、量保證。其三，對(duì)于帶寬和流量的控制。 logo16第7章 電子商務(wù)安全技術(shù)2.實(shí)現(xiàn)vpn的安全協(xié)議實(shí)現(xiàn)vpn通常用到的安全協(xié)議主要包括socks v5、ipsec和pptp/l2tp。3.如何才能建立vpn (1)各站點(diǎn)必須在網(wǎng)絡(luò)設(shè)備上建立一臺(tái)具有vpn功能的設(shè)備；(2)各站點(diǎn)必須知道對(duì)方站點(diǎn)使用的ip地址；(3)兩站點(diǎn)必須對(duì)使用的授權(quán)檢查和需要采用的數(shù)字證書方式達(dá)成一致；(4)兩站點(diǎn)必須對(duì)需要使用的加密方法和交換密鑰的方法達(dá)成一致。logo17第7章 電子商務(wù)安全技術(shù)7.2.3 vpn技術(shù)兩個(gè)internet站點(diǎn)之間建立的vpn示意圖logo18第7章 電子商務(wù)安全技術(shù)4.vpn應(yīng)用（1）通

10、過(guò)internet實(shí)現(xiàn)安全遠(yuǎn)程用戶訪問(wèn)（2）通過(guò)internet實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)（3）連接企業(yè)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)5.vpn產(chǎn)品選項(xiàng)（1）基于防火墻的vpn（2）基于路由器的vpn（3）專用軟件或硬件logo19第7章 電子商務(wù)安全技術(shù)7.2.4 病毒防范技術(shù)1.病毒的概念計(jì)算機(jī)病毒是一種有很強(qiáng)破壞和感染力的計(jì)算機(jī)程序。這種程序和其他程序不同，當(dāng)把它輸入正常工作的計(jì)算機(jī)以后，會(huì)搞亂或者破壞已有的信息。它具有再生的能力，會(huì)自動(dòng)進(jìn)入有關(guān)的程序進(jìn)行自我復(fù)制，沖亂正在運(yùn)行的程序，破壞程序的正常運(yùn)行。它像微生物一樣，可以繁殖，因此被稱為“計(jì)算機(jī)病毒”。logo20第7章 電子商務(wù)安全技術(shù)2.病毒類型計(jì)算機(jī)病毒的種

11、類很多，分類方法也很多，按工作機(jī)理分類可以把病毒分為以下幾種：(1)引導(dǎo)區(qū)病毒(2)文件型病毒(3)入侵型病毒 (4)外殼型病毒按傳播媒介分類可以把病毒分為以下幾種：(1)單機(jī)病毒。(2)網(wǎng)絡(luò)病毒。logo21第7章 電子商務(wù)安全技術(shù)2.病毒類型病毒種類太多，反病毒公司為了方便管理，他們會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。一般格式為：.。常見(jiàn)的病毒前綴的解釋（針對(duì)windows操作系統(tǒng)）： (1)系統(tǒng)病毒 (2)蠕蟲病毒 (3)木馬病毒、黑客病毒 (4)腳本病毒 (5)宏病毒 (6)后門病毒 logo22第7章 電子商務(wù)安全技術(shù)3.病毒的特性病毒表現(xiàn)的幾種常見(jiàn)特性如下：(1)感染性(2)流行

12、性(3)欺騙性(4)危害性(5)潛伏性(6)隱蔽性4.病毒的預(yù)防計(jì)算機(jī)病毒的防治要從防毒、查毒、解毒三個(gè)方面進(jìn)行。logo23第7章 電子商務(wù)安全技術(shù)7.2.5 安全檢測(cè)技術(shù)1.入侵檢測(cè)技術(shù)(1)入侵檢測(cè)的含義入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用，可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、系統(tǒng)拒絕服務(wù)等危害。入侵檢測(cè)（intrusion detection）定義為“識(shí)別非法用戶未經(jīng)授權(quán)使用計(jì)算機(jī)系統(tǒng)，或合法用戶越權(quán)操作計(jì)算機(jī)系統(tǒng)的行為”，通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)或計(jì)算機(jī)系統(tǒng)資源信息的收集并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。logo24第7章 電子商務(wù)安全技術(shù)

13、1.入侵檢測(cè)技術(shù)(2)入侵檢測(cè)系統(tǒng)的主要任務(wù)入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視和分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別和反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)和跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。logo25第7章 電子商務(wù)安全技術(shù)1.入侵檢測(cè)技術(shù)(3)入侵檢測(cè)系統(tǒng)的分類按數(shù)據(jù)源分類a基于主機(jī)的入侵檢測(cè)系統(tǒng)b基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)按系統(tǒng)結(jié)構(gòu)分類a集中式入侵檢測(cè)系統(tǒng)b分布式入侵檢測(cè)系統(tǒng)按入侵的時(shí)間分類a實(shí)時(shí)入侵檢測(cè)系統(tǒng)b事后入侵檢測(cè)系統(tǒng)logo26第7章 電子商務(wù)安全技術(shù)2.安全評(píng)估技術(shù)安全檢測(cè)和評(píng)估是一項(xiàng)復(fù)雜的系統(tǒng)工

14、程，需要很多不同背景的人員，從各個(gè)不同的方面支認(rèn)真研究分析。一種可行的有效的思路是：首先進(jìn)行各個(gè)單項(xiàng)檢測(cè)與評(píng)估，然后再進(jìn)行綜合檢測(cè)與評(píng)估。為了減少因系統(tǒng)存在的安全漏洞而造成的黑客攻擊，應(yīng)當(dāng)利用現(xiàn)有的網(wǎng)絡(luò)安全分析系統(tǒng)分析網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和配置，同時(shí)利用漏洞掃描技術(shù)進(jìn)行系統(tǒng)安全掃描，掃描操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的安全漏洞與錯(cuò)誤配置，及時(shí)發(fā)現(xiàn)系統(tǒng)中的弱點(diǎn)或漏洞。logo27第7章 電子商務(wù)安全技術(shù)7.3.1 密碼學(xué)概述1.密碼學(xué)的含義密碼學(xué)是研究加密和解密變換的一門科學(xué)。它包含兩個(gè)分支，一是密碼編碼學(xué)；另一個(gè)是密碼分析學(xué)。密碼編碼學(xué)是對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)隱蔽信息的一門學(xué)科。密碼分析學(xué)是研究分析破譯密碼的學(xué)科

15、。即在未知密鑰的情況下，從密文推出明文或密鑰的技術(shù)。密碼學(xué)正是在這種破譯和反破譯的過(guò)程中發(fā)展起來(lái)的，這兩門學(xué)問(wèn)合起來(lái)就稱為密碼學(xué)。logo28第7章 電子商務(wù)安全技術(shù)2.密碼系統(tǒng)中的幾個(gè)概念明文:人們將可懂的文本稱為明文。密文:將明文變換成的不可懂的文本稱為密文。加密:把明文變換成密文的過(guò)程叫加密。解密:把密文變換成明文的過(guò)程叫解密。密碼體制:完成加密和解密的算法稱為密碼體制。在計(jì)算機(jī)上實(shí)現(xiàn)的數(shù)據(jù)加密算法，其加密或解密變換是由一個(gè)密鑰來(lái)控制的。密鑰:是由使用密碼體制的用戶隨機(jī)選取的，密鑰成為唯一能控制明文與密文之間變換的關(guān)鍵，它通常是一隨機(jī)字符串。logo29第7章 電子商務(wù)安全技術(shù)7.3.2

16、 對(duì)稱密鑰密碼體制1.數(shù)據(jù)加密標(biāo)準(zhǔn)desdes（data encrypt standard）是對(duì)稱加密算法中最具代表性的。des算法原是ibm公司為保護(hù)產(chǎn)品的機(jī)密研制成功的，后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和國(guó)家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)，并于1977年頒布使用。對(duì)稱密鑰算法提供了一種保護(hù)信息機(jī)密性的途徑。logo30第7章 電子商務(wù)安全技術(shù)1.數(shù)據(jù)加密標(biāo)準(zhǔn)des對(duì)稱密鑰數(shù)據(jù)加/解密過(guò)程示意圖logo31第7章 電子商務(wù)安全技術(shù)2.對(duì)稱加密技術(shù)（des）的優(yōu)缺點(diǎn)對(duì)稱加密技術(shù)（des）的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。對(duì)稱加密技術(shù)要求通信雙方事先交換密鑰，當(dāng)系統(tǒng)用戶多時(shí)，例如在

17、網(wǎng)上購(gòu)物的環(huán)境中，商戶需要與成千上萬(wàn)的購(gòu)物者進(jìn)行交易，若采用簡(jiǎn)單的對(duì)稱密鑰加密技術(shù)，商戶需要管理成千上萬(wàn)的密鑰與不同的對(duì)象通信，除了存儲(chǔ)開銷以外，密鑰管理是一個(gè)幾乎不可能解決的問(wèn)題。logo32第7章 電子商務(wù)安全技術(shù)7.3.3 非對(duì)稱密鑰密碼體制非對(duì)稱密鑰密碼體制最主要的特點(diǎn)就是加密和解密使用不同的密鑰，每個(gè)用戶保存著一對(duì)密鑰公開密鑰和秘密密鑰。1.rsa算法1977年，rivest、shamir和adleman三人實(shí)現(xiàn)了公開密鑰密碼體制，并以三個(gè)人名字的首字母命名，簡(jiǎn)稱rsa公開密鑰體制。logo33第7章 電子商務(wù)安全技術(shù)1.rsa算法對(duì)稱密鑰數(shù)據(jù)加/解密過(guò)程示意圖logo34第7章 電

18、子商務(wù)安全技術(shù)2.公開密鑰技術(shù)（rsa）的優(yōu)缺點(diǎn)公開密鑰技術(shù)解決了密鑰的發(fā)布和管理問(wèn)題，商戶可以公開其公開密鑰，而保留私有密鑰。購(gòu)物者可以用人人皆知的公開密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給該商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。雖然公鑰體制消除了秘密密鑰共享的問(wèn)題，但并沒(méi)有一個(gè)完整的解決方案，仍然有很多的缺點(diǎn)。相對(duì)于對(duì)稱密鑰算法來(lái)說(shuō)，公鑰算法計(jì)算速度非常慢。另外，公鑰算法也要求一種使公鑰能廣為發(fā)布的方法和體制，所以把公鑰算法和對(duì)稱算法結(jié)合起來(lái)不失為一種最佳的選擇。logo35第7章 電子商務(wù)安全技術(shù)7.3.4 pgp加密技術(shù)pgp（pretty good privacy）是由美國(guó)的ph

19、il zimmermann于20世紀(jì)90年代初開發(fā)的。它是一個(gè)完整的電子郵件安全軟件包，包括加密、認(rèn)證、數(shù)字簽名和壓縮等技術(shù)。1.pgp的功能(1)加密文件 (2)密鑰生成 (3)密鑰管理 (4)收發(fā)電子函件 (5)數(shù)字簽名 (6)認(rèn)證密鑰 2.pgp工作工程 logo36第7章 電子商務(wù)安全技術(shù)7.4.1 認(rèn)證技術(shù)認(rèn)證（authentication）是指核實(shí)真實(shí)身份的過(guò)程，是防止主動(dòng)攻擊的重要技術(shù)。它對(duì)于保證開放環(huán)境中各種信息系統(tǒng)的安全性有重要作用。認(rèn)證主要分為以下兩個(gè)方面:第一是消息認(rèn)證。第二是實(shí)體認(rèn)證。1.消息認(rèn)證消息認(rèn)證是一種過(guò)程，它使得通信的接收方能夠驗(yàn)證所收到的報(bào)文（發(fā)送者、報(bào)文內(nèi)

20、容、發(fā)送時(shí)間和序列等）在傳輸?shù)倪^(guò)程中是否被假冒、偽造和篡改，是否感染上病毒等，即保證信息的完整性和有效性。logo37第7章 電子商務(wù)安全技術(shù)2.實(shí)體認(rèn)證信息系統(tǒng)的安全性還取決于能否驗(yàn)證用戶或終端的個(gè)人身份。一個(gè)身份證明系統(tǒng)一般由三方組成：一方是示證者，由證件的持有人提出某種請(qǐng)求，并出示證件；一方是驗(yàn)證者，檢驗(yàn)示證者出示的證件的正確性和合法性；第三方是認(rèn)證機(jī)構(gòu)，它一般由權(quán)威機(jī)構(gòu)充當(dāng)，我們把此類技術(shù)就稱為身份證明技術(shù)或認(rèn)證技術(shù)。logo38第7章 電子商務(wù)安全技術(shù)7.4.2 證書機(jī)構(gòu)（ca）證書機(jī)構(gòu)(certification authority，即ca) 是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保

21、證用戶的真實(shí)性。證書機(jī)構(gòu)的主要功能有以下幾個(gè)：1.證書的頒發(fā)2.證書的更新3.證書的查詢4.證書的作廢5.證書的歸檔logo39第7章 電子商務(wù)安全技術(shù)7.4.3 數(shù)字證書數(shù)字證書又稱為數(shù)字標(biāo)識(shí)（ digital certificate，digital id）。它提供了一種在internet 上進(jìn)行身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。1.數(shù)字證書的作用(1)除發(fā)送方和接收方外信息不被其他人竊?。?2)信息在傳輸過(guò)程中不被篡改；(3)接收方能夠通過(guò)數(shù)字證書來(lái)確認(rèn)發(fā)送方的身份；(4)發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。logo40第7章

22、 電子商務(wù)安全技術(shù)3.證書的類型(1)個(gè)人證書(2)單位數(shù)字證書(3)服務(wù)器證書(4)安全電子郵件證書4.數(shù)字證書的應(yīng)用(1)通過(guò)s/mime協(xié)議實(shí)現(xiàn)安全的電子函件系統(tǒng)；(2)通過(guò)ssl協(xié)議實(shí)現(xiàn)瀏覽器與web服務(wù)器之間的安全通信；(3)通過(guò)set協(xié)議實(shí)現(xiàn)信用卡網(wǎng)上安全支付。logo41第7章 電子商務(wù)安全技術(shù)7.5.1 ssl協(xié)議ssl協(xié)議最初是由netscape communication公司設(shè)計(jì)開發(fā)的，又叫“安全套接層（secure sockets layer）協(xié)議”。它采用了公開密鑰技術(shù)，其目標(biāo)是保證兩個(gè)應(yīng)用者間通信的保密性和可靠性，可在服務(wù)器和客戶機(jī)兩端同時(shí)實(shí)現(xiàn)支持。1.ssl協(xié)議提供

23、的三種基本的安全服務(wù)(1)秘密性(2)認(rèn)證性(3)完整性logo42第7章 電子商務(wù)安全技術(shù)2.ssl協(xié)議的實(shí)現(xiàn)模型ssl協(xié)議實(shí)現(xiàn)模型示意圖3.ssl的應(yīng)用ssl的典型應(yīng)用主要有兩個(gè)方面：一是客戶端；另一個(gè)是服務(wù)器端。應(yīng)用層協(xié)議（http、telnet、ftp、smtp等） ssl握手協(xié)議(handshake protocol) ssl記錄協(xié)議(record protocol) tcp協(xié)議 ip協(xié)議 網(wǎng)絡(luò)接口層（各種局域網(wǎng)和廣域網(wǎng)） logo43第7章 電子商務(wù)安全技術(shù)7.5.2 set協(xié)議ssl并沒(méi)有實(shí)現(xiàn)電子支付所要求的保密性、完整性和不可抵賴性，而且實(shí)現(xiàn)多方互相認(rèn)證也是很困難的。ssl協(xié)議

24、將逐漸被新的安全電子交易（secure electronic transactions，即set）協(xié)議所取代。1.set協(xié)議中利用的主要技術(shù)在set協(xié)議中利用的主要技術(shù)有：加密技術(shù)如rsa和des算法、數(shù)字拇印或數(shù)字摘要、數(shù)字信封、數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字證書等技術(shù)。logo44第7章 電子商務(wù)安全技術(shù)1.set協(xié)議中利用的主要技術(shù)數(shù)字拇印的形成過(guò)程示意圖數(shù)字簽名的實(shí)現(xiàn)過(guò)程示意圖數(shù)字簽名的實(shí)現(xiàn)過(guò)程示意圖 數(shù)字信封的形成過(guò)程示意圖數(shù)字信封的形成過(guò)程示意圖 logo45第7章 電子商務(wù)安全技術(shù)2.set協(xié)議中所涉及的主要對(duì)象set協(xié)議中所涉及的對(duì)象主要有：消費(fèi)者即持卡人(cardholder)、

25、商家（merchant）、收單銀行(acquiring bank)、發(fā)卡行(issuing bank)、支付網(wǎng)關(guān)(payment gateway)認(rèn)證機(jī)構(gòu)(certificate authority)。logo46第7章 電子商務(wù)安全技術(shù)3.set協(xié)議的支付模型set協(xié)議的模型示意圖logo47第7章 電子商務(wù)安全技術(shù)7.5.3 公鑰基礎(chǔ)設(shè)施（pki）公鑰基礎(chǔ)設(shè)施（public key infrastructure，即pki）是由加拿大的entrust公司開發(fā)的，支持set、ssl協(xié)議、電子證書和數(shù)字簽名等。pki為一組安全服務(wù)的集合，可以在分布式計(jì)算機(jī)系統(tǒng)中使用公鑰加密機(jī)制和證書。1.pki的組成 (1)認(rèn)證機(jī)構(gòu) (2)證書庫(kù) (3)密鑰管理系統(tǒng) (4)證書管理系統(tǒng) (5)pki應(yīng)用接口系統(tǒng)。logo48第7章 電子商務(wù)安全技術(shù)2.