5電子商務(wù)安全管理

1、第5章 電子商務(wù)安全電子商務(wù)安全概述 據(jù)權(quán)威機構(gòu)調(diào)查表明，目前國內(nèi)企業(yè)發(fā)展電子商務(wù)的最大顧慮是網(wǎng)上交易的安全問題。 5.1.1電子商務(wù)安全的重要性5.1.2電子商務(wù)安全的內(nèi)容計算機網(wǎng)絡(luò)安全商務(wù)交易安全電子商務(wù)系統(tǒng)安全管理制度5.2 計算機網(wǎng)絡(luò)安全5.2.1網(wǎng)絡(luò)安全威脅的來源：（1）黑客攻擊 （2）病毒攻擊 （3）拒絕服務(wù)攻擊 （4）網(wǎng)絡(luò)內(nèi)部安全威脅 （1）黑客攻擊什么是黑客(HACKER)?P129黑客攻擊的手段有哪些?所謂黑客，是指非法入侵計算機系統(tǒng)的人。 黑客的攻擊手段利用UNIX提供的缺省賬戶進(jìn)行攻擊截取口令尋找系統(tǒng)漏洞偷取特權(quán)清理磁盤（2）病毒攻擊什么是病毒?感染病毒的方式有哪些?計算

2、機病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。”感染病毒的方式從互聯(lián)網(wǎng)上下載軟件運行電子郵件中的附件通過交換磁盤來交換文件將文件在局域網(wǎng)中進(jìn)行復(fù)制（3）拒絕服務(wù)攻擊什么是拒絕服務(wù)攻擊 ?是一種破壞性的攻擊,它是指一個用戶采用某種手段故意占用大量的網(wǎng)絡(luò)資源,使系統(tǒng)沒有剩余資源為其他用戶提供服務(wù)的攻擊.（4）網(wǎng)絡(luò)內(nèi)部安全威脅導(dǎo)致網(wǎng)絡(luò)內(nèi)部安全的有哪幾種情況?內(nèi)部網(wǎng)的用戶防范意識薄弱或計算機操作技能有限.內(nèi)部管理人員有意或無意泄漏系統(tǒng)管理員的用戶名、口令等關(guān)鍵信息內(nèi)部人員為謀取人個私利或?qū)静粷M，編寫程序通過網(wǎng)絡(luò)進(jìn)行傳播

3、.2.網(wǎng)絡(luò)安全威脅的承受對象對客戶機的安全威脅對WWW服務(wù)器的安全威脅對數(shù)據(jù)庫的安全威脅對通訊設(shè)備、線路的安全威脅5.2.2網(wǎng)絡(luò)安全管理的技術(shù)手段防火墻 防火墻的概念: 防火墻是一種硬件和軟件的結(jié)合，通過內(nèi)網(wǎng)和外網(wǎng)之間建立網(wǎng)關(guān)，執(zhí)行指定的安全控制策略，達(dá)到保護(hù)內(nèi)部網(wǎng)免受外部非法用戶侵入的目的。 防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。 防火墻的作用 限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶。允許內(nèi)部網(wǎng)的一部分主機被外部網(wǎng)訪問，另一部分被保護(hù)起來限定內(nèi)部網(wǎng)的用戶對互聯(lián)網(wǎng)上特殊站點的訪問。為監(jiān)視互聯(lián)

4、網(wǎng)安全提供方便 防火墻的分類包過濾型代理服務(wù)型 包過濾類基于網(wǎng)絡(luò)層的防火墻，它象一個開關(guān)電路，通過在網(wǎng)絡(luò)邊界上定義對哪些地址或端口的訪問是允許，哪些訪問是禁止的，從而有效地控制了數(shù)據(jù)的進(jìn)出。達(dá)到保護(hù)網(wǎng)絡(luò)安全的作用。代理服務(wù)型：基于應(yīng)用層的防火墻。防火墻的局限性防火墻限制了有用的網(wǎng)絡(luò)服務(wù)防火墻不能防范不經(jīng)由防火墻的攻擊防火墻不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊。防火墻不能防范新的網(wǎng)絡(luò)安全問題。防火墻的管理 防火墻的管理是指對防火墻具有管理權(quán)限的管理員行為和防火墻運行狀態(tài)的管理本地管理遠(yuǎn)程管理集中管理2病毒防治 計算機病毒的概念 是隱藏在計算機系統(tǒng)中的程序,它不僅能夠破壞計算機系統(tǒng)的正常運行,而且還具有很強

5、的傳染性.常見計算機病毒CIHILOVEYOYMelissaCodeRed2NimdaW32.SircamCIH作者陳盈豪CIH病毒是一種能夠破壞計算機系統(tǒng)硬件的惡性病毒。據(jù)目前掌握的材料來看，這個病毒產(chǎn)自臺灣，最早隨國際兩大盜版集團(tuán)販賣的盜版光盤在歐美等地廣泛傳播，隨后進(jìn)一步通過Internet傳播到全世界各個角落。計算機病毒的特點（2） 破壞性（3） 隱蔽性（4） 潛伏性（1） 傳染性（5） 可觸發(fā)性（6） 針對性計算機病毒的類型 （1） 引導(dǎo)型病毒 （5）網(wǎng)頁病毒 （4） 郵件病毒 （3）宏病毒（2）可執(zhí)行文件型病毒（6）綜合型病毒計算機病毒的傳播途徑軟盤硬盤光盤郵件互聯(lián)網(wǎng)計算機病毒的工

6、作原理引導(dǎo)模塊傳染模塊破壞模塊計算機病毒、蠕蟲與木馬之間的區(qū)別木馬： 從希臘神話“特洛伊木馬” 冰河 灰鴿子蠕蟲 是一種通過網(wǎng)絡(luò)傳播的惡性病毒,它主要利用計算機系統(tǒng)設(shè)計上的漏洞,通過網(wǎng)絡(luò)主動將自己擴(kuò)散出去并進(jìn)行破壞的活動.病毒防范的基本原則管理方面的防范技術(shù)方面的防范管理方面的防范不隨意拷貝和使用未經(jīng)安全檢測的軟件對于系統(tǒng)中的重要數(shù)據(jù),最好不要存儲在系統(tǒng)盤上,并且隨時進(jìn)行備份.最好不要用軟件引導(dǎo)系統(tǒng)不要隨意打開不明來歷的郵件,更不要訪問不知底細(xì)的網(wǎng)站采取必要的病毒檢測,監(jiān)察措施,制定完善的管理準(zhǔn)則.技術(shù)方面的防范在系統(tǒng)開機設(shè)置中將病毒報警一欄設(shè)為Enable,防止病毒感染硬盤引導(dǎo)區(qū)及時升級系統(tǒng)

7、軟件選用合適的防病毒軟件.及時更新防病毒軟件及病毒特征庫.防病毒軟件的選擇技術(shù)支持程度技術(shù)的先進(jìn)性和穩(wěn)定性病毒的響應(yīng)速度用戶的使用條件及應(yīng)用環(huán)境常用防病毒軟件 （一） 瑞星殺毒軟件 （二） 金山毒霸軟件 （三）KV30004.2商務(wù)交易安全問題的提出目前電子商務(wù)中我們關(guān)心的安全問題有哪些?采取什么措施保護(hù)?問題數(shù)據(jù)被非法截獲、讀取或者修改 冒名頂替和否認(rèn)行為 一個網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問了另一個網(wǎng)絡(luò) 計算機病毒 措施數(shù)據(jù)加密 數(shù)字簽名、加密、認(rèn)證等 防火墻計算機病毒防治措施 4.2.1 電子商務(wù)的安全需求（1） 信息的保密性 要對敏感重要的商業(yè)信息進(jìn)行加密，即使別人截獲或竊取了數(shù)據(jù)，也無法識別信

8、息的真實內(nèi)容，這樣就可以使商業(yè)機密信息難以被泄露。（2）信息的完整性 交易各方能夠驗證收到的信息是否完整，即信息是否被人篡改過，或者在數(shù)據(jù)傳輸過程中是否出現(xiàn)信息丟失、信息重復(fù)等差錯。請給丁匯100元乙甲請給丁匯100元請給丙匯100元丙請給丙匯100元（3）通信的不變動性 在電子交易通信過程的各個環(huán)節(jié)中都必須是不可否認(rèn)的，即交易一旦達(dá)成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方則不能否認(rèn)他所收到的信息。（4）交易各方身份的認(rèn)證 在雙方進(jìn)行交易前，首先要能確認(rèn)對方的身份，要求交易雙方的身份不能被假冒或偽裝。 （5） 信息的有效性電子形式的貿(mào)易信息,合同受法律保護(hù)。2.密碼知識P141大家有沒有密碼?怎

9、么理解密碼?怎么設(shè)置密碼?2.密碼知識P141密碼的概念:密碼的要素密碼泄漏的途徑密碼的概念:密碼是隱蔽了真實內(nèi)容的符號序列，就是用公開的、標(biāo)準(zhǔn)的信息編碼表示的信息通過一種變換手段，將其變?yōu)槌ㄐ烹p方以外其他人所不能讀懂的信息編碼，這種獨特的信息編碼主是密碼。C=F(M,KEY)密碼的要素保證至少6字符以上的密碼長度盡量使用英文字母及數(shù)字和標(biāo)點、特殊符號等多種字符組合不要使用安全性過低的密碼定期更改密碼避免使用重復(fù)的密碼密碼泄漏的途徑竊取密碼 網(wǎng)上竊取 終端盜取猜出密碼1、基本加密技術(shù) 什么是“加密”、“解密” ？“加密”就是使用數(shù)學(xué)的方法將原始信息（明文）重新組織與變換成只有授權(quán)用戶才能解讀

10、的密碼形式（密文）。 “解密”而就是將密文重新恢復(fù)成明文。HMNSF這是什么意思?單密鑰單密鑰明文密文發(fā)送者A接收者B加密明文解密單密鑰單密鑰安全通道HMNSF這是什么意思?愷撒算法古老而簡單的加密技術(shù) CHINAHMNSF每個字符后移5位明文M密鑰K密文C加密算法E加密過程可以表示為：C=EK(M)解密過程可以表示為：M=DK(C)完成下列練習(xí)練習(xí)1:求密文CM(明文):miraculously每個字母前移2位求C(密文)是?練習(xí)2:求明文M密文C是guhdp密碼是后移3位求明文M?維吉利亞(Vigenere)加密方法 設(shè)M=data security,k=best,求C？M=data se

11、curityk=best按密鑰的長度將M分解若干節(jié)M=data securityk=best按密鑰的長度將M分解若干節(jié)C=EELT TIUN SMLR完成下列練習(xí)練習(xí)3M=precious k=with求C思考如何進(jìn)行解密？加密體制 對稱加密體制非對稱加密體制(公鑰加密體制)對稱加密體制加密與解密變換是平等的，使用相同的密鑰，而且很容易從一個推導(dǎo)出另一個。例: CHINAHMNSF每個字符后移5位明文M密鑰K密文C加密算法E對稱加密體制一對一的使用.優(yōu)點:簡化加密的處理問題:密鑰的安全交換與管理.對稱加密體制DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）-美國是一種分組加密算法。它對64bit數(shù)據(jù)塊進(jìn)行加密。如果待加

12、密數(shù)據(jù)更長的話，則必須將其劃分成64bit的數(shù)據(jù)塊。最后一個數(shù)據(jù)塊很可能比64bit要短。在這種情況下，通常用0將最后一個數(shù)據(jù)塊填滿（填充）。DES加密的結(jié)果仍然是64bit的數(shù)據(jù)塊。密鑰長度為64bit（其中包含8個校驗比特）。非對稱加密體制(公鑰加密體制)1976年，美國學(xué)者Dime和Henman為解決信息公開傳送和密鑰管理問題非對稱加密體制(公鑰加密體制)密鑰被分解為一對,一個是公開密鑰,一個是私用密鑰.用其中任何一個密鑰對行加密后,都可以用另一個密鑰對其進(jìn)行解密.非對稱加密體制非對稱加密體制過程貿(mào)易方甲生成一對密鑰并將其中的公開密鑰向其他貿(mào)易方公開.得到該公開密鑰的貿(mào)易方乙使用該密鑰對

13、機密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲貿(mào)易方甲用自己保存的另一把私用密鑰對加密后的信息進(jìn)行解密,得到貿(mào)易方乙發(fā)送給自己的明文.非對稱加密體制RSA是最有名也是應(yīng)用最廣的公鑰系統(tǒng)。非對稱加密體制優(yōu)點：不必考慮如何安全的傳輸密鑰缺點：實現(xiàn)速度比DES一般來說是將對稱與非對稱結(jié)合使用.安全認(rèn)證手段數(shù)字信封數(shù)字摘要數(shù)字簽名數(shù)字證書認(rèn)證中心1、數(shù)字信封數(shù)字信封是公鑰密碼體制在實際中的一個應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。數(shù)字信封數(shù)字信封是公鑰密碼體制在實際中的一個應(yīng)用，是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀通信的內(nèi)容。 數(shù)字信封數(shù)字信封（也稱為電子信封）并不是一種新的加

14、密體系，它只是把兩種密鑰體系結(jié)合起來，獲得了非對稱密鑰技術(shù)的靈活和對稱密鑰技術(shù)的高效數(shù)字信封使網(wǎng)上的信息傳輸?shù)谋Ｃ苄缘靡越鉀Q數(shù)字信封步驟貿(mào)易方乙用非對稱加密方法生成一對密鑰并將期中的公開密鑰向其他貿(mào)易方公開.貿(mào)易方用對稱加密方法生成一個會話密鑰,并用得到的貿(mào)易方乙的公開密鑰對會話密鑰進(jìn)行加密,形成數(shù)字信封,再用會話密鑰對需要傳輸?shù)奈募M(jìn)行加密形成密文,然后通過網(wǎng)絡(luò)傳輸給貿(mào)易方乙.貿(mào)易方乙用自己的私有密鑰進(jìn)行解密后得到貿(mào)易方甲發(fā)送的會話密鑰.貿(mào)易方乙用上述已解密的會計密鑰對加密文件進(jìn)行解密得到文件的明文形式.貿(mào)易方乙重復(fù)上述步驟向貿(mào)易方甲傳輸文件,實現(xiàn)相互溝通.2、數(shù)字摘要數(shù)字摘要可于驗證通過網(wǎng)

15、絡(luò)傳輸收到的文件是否是原始的、未被篡改的文件原文。它使用Hash函數(shù)的特性：任意大小不一的信息經(jīng)Hash函數(shù)變換后都能形成固定長度（128bit)的摘要(digest)。也稱數(shù)字指紋。用不同的信息生成的數(shù)字摘要必定不同。同時不可能通過的數(shù)字摘要經(jīng)過逆運算生成源數(shù)據(jù)。消息摘要2、數(shù)字摘要消息驗證2、數(shù)字摘要數(shù)字摘要數(shù)字摘要技術(shù)結(jié)合其他技術(shù)使用可以有效保證信息完整性，防止篡改和錯碼。目前廣泛使用的Hash函數(shù)有MD-5、SHA3、數(shù)字簽名數(shù)字簽名機制的目的是使人們可以對數(shù)字文檔進(jìn)行簽名。數(shù)字簽名在與簽名相關(guān)的同時也與發(fā)送的消息相關(guān)。所以數(shù)字簽名能夠?qū)崿F(xiàn)以下功能：1）收方能夠證實發(fā)送方的真實身份；2

16、）發(fā)送方事后不能否認(rèn)所發(fā)送過的報文；3）收方或非法者不能偽造、篡改報文。3、數(shù)字簽名數(shù)字簽名就是只有信息發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串,這段數(shù)字串同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明。簽名的作用因為簽名難以否認(rèn),從而確定了文件已簽署這一事實因為簽名不易仿冒,從而確定了文件是真實的這一事實數(shù)字簽名與書面文件簽名的相同之處信息確實是由簽名者發(fā)送的,即確認(rèn)對方的身份.防抵賴.信息自簽發(fā)后到收到為止未曾作過任何修改保證信息的完整性、防篡改性。數(shù)字簽名、文件及密碼的傳送過程發(fā)送方將要發(fā)送的信息原文用ash函數(shù)編碼產(chǎn)生一段固定長度的數(shù)字摘要。發(fā)送方用自己的私用密鑰對摘要加密，數(shù)字簽名，并

17、附在要發(fā)送的信息原文后面。發(fā)送方產(chǎn)生一個會話密鑰，并用它對帶有數(shù)字簽名的信息原文進(jìn)行加密后，傳送到接收方。發(fā)送方用接收方的公開密鑰對自己的會話密鑰進(jìn)行加密后，傳送到接收方接收方收到上一步發(fā)送的會話密鑰后，用自己的私用密鑰對其進(jìn)行解密，得到發(fā)送方的會話密鑰。接收方用發(fā)并方的會計密鑰對收到的經(jīng)加密的簽名原文解密，得到數(shù)字簽名和信息原文。接收方用發(fā)送方的公共密鑰對數(shù)字簽名進(jìn)行解密，得到摘要，同時將收到的原諒用ash函數(shù)編碼，產(chǎn)生另一個摘要。接收方將兩個摘要進(jìn)行比較，如果二者一致，則說明收到信息原文在傳送過程中沒有被破壞，或篡改過，從而得到與發(fā)送的完全一致的信息原文。RSA是最常用的數(shù)字簽名機制 簽名

18、算法：S=D(h(M)=h(M)d mod n驗證簽名算法：需要知道M與S，以及簽名者的公鑰(e,n)，以及所使用的hash函數(shù)，然后判斷 h(M)=Se mod n 是否成立？成立，簽名有效；不成立，簽名無效。 3、數(shù)字簽名RSA是最常用的數(shù)字簽名機制 3、數(shù)字簽名4、數(shù)字證書身份認(rèn)證是電子商務(wù)安全需要解決的首要問題，也是其他主要安全業(yè)務(wù)賴以實現(xiàn)的基礎(chǔ)。數(shù)字證書又稱為數(shù)字憑證，是用電子手段來證實一個用戶的身份的方法。4、數(shù)字證書數(shù)字證書是一個經(jīng)證書認(rèn)證中心（CA）數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。數(shù)字證書實質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。 數(shù)字證書由專門的機構(gòu)（

19、CA）負(fù)責(zé)發(fā)放和管理，Q其作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。 4、數(shù)字證書數(shù)字證書包含的內(nèi)容按應(yīng)用對象：數(shù)字證書分類數(shù)字證書分類按業(yè)務(wù)類型分類證書（符合協(xié)議）類證書（符合。標(biāo)準(zhǔn)）數(shù)字證書分類按證書的等級分一級證書二級證書三級證書四級證書、認(rèn)證中心1. 什么是認(rèn)證中心 在網(wǎng)絡(luò)上，什么樣的信息交流才是安全的呢？只有收件實體才能解讀信息，即信息保密性。收件實體看到的信息確實是發(fā)件實體發(fā)送的信息，其內(nèi)容未被篡改或替換，即信息真實完整性。發(fā)件實體日后不能否認(rèn)曾發(fā)送過此信息，即不可抵賴性。 加密！還差什么？建立信任和信任驗證機制數(shù)字

20、證書認(rèn)證中心、認(rèn)證中心認(rèn)證中心（Certificate Authority,CA）是網(wǎng)上各方都信任的機構(gòu)，主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的身份認(rèn)證數(shù)字證書。認(rèn)證中心體系結(jié)構(gòu)根認(rèn)證中心CA最終用戶證書為最終用戶頒發(fā)和管理證書CA區(qū)域認(rèn)證中心GCA品牌或行業(yè)認(rèn)證中心認(rèn)證中心功能認(rèn)證中心的核心功能就是發(fā)放和管理數(shù)字證書。（1）接收驗證最終用戶數(shù)字證書的申請 （2）確定是否接受最終用戶數(shù)字證書的申請 （3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書 （4）接收、處理最終用戶的數(shù)字證書更新請求（5）接收最終用戶的數(shù)字證書查詢 （6）產(chǎn)生和發(fā)布黑名單（7）數(shù)字證書歸檔 （8）密鑰歸檔 （9）歷史數(shù)

21、據(jù)歸檔 （10）CA與RA之間的數(shù)據(jù)交換安全 常用的國內(nèi)外認(rèn)證中心站點1）美國的Verisign公司()：是軟件行業(yè)第一家具有商業(yè)性質(zhì)的證書授權(quán)機構(gòu)，是著名的數(shù)字驗證書產(chǎn)品和服務(wù)的提供商，也是Microsoft和Netscape的首選數(shù)字標(biāo)識的提供商。通過Versign的特別饋贈，用戶可獲得一個免費數(shù)字標(biāo)識，可以在發(fā)送安全電子郵件時，用該數(shù)字標(biāo)識向他人、商業(yè)伙伴證明自己的身份。Versign提供的服務(wù)包括：SSL的客戶和服務(wù)器證書、S/MIME證書以及允許銀行進(jìn)行129位加密的SGC證書。2）首都在線( )：由首都在線和上海格爾軟件合作推出國內(nèi)首家安全電子郵件認(rèn)證站點，主要為個人頒發(fā)數(shù)字證書，

22、幫助個人收發(fā)安全電子郵件。該中心采用先進(jìn)的加密算法，從中心獲得數(shù)字證書的用戶可對電子郵件進(jìn)行數(shù)字簽名和加密，以確保電子郵件的完整性、不可否認(rèn)性、傳輸安全性、身份真實性。3）中國數(shù)字認(rèn)證網(wǎng)（）：是北京三六五科技有限公司為廣大客戶提供數(shù)字認(rèn)證服務(wù)的站點，可用于安全電子郵件，服務(wù)器身份認(rèn)證，客戶身份認(rèn)證，代碼簽名等。 在每個認(rèn)證中心申請證書的步驟不盡相同。下面我們以申請個人證書為例，介紹申請過程。中國數(shù)字認(rèn)證網(wǎng)提供四種類型的數(shù)字證書：“測試證書”、“免費證書”、“標(biāo)準(zhǔn)證書”和“企業(yè)證書”，使用不同的證書需要安裝相應(yīng)的根證書。從中國數(shù)字認(rèn)證網(wǎng)（見圖5-8）申請個人數(shù)字憑證，其步驟如下：證書操作（1）下

23、載根 CA 證書：從中國數(shù)字認(rèn)證網(wǎng)主頁選擇下載相應(yīng)的“根 CA 證書”，然后選“在文件的當(dāng)前位置打開”，鼠標(biāo)單擊“確定”銨鈕（見圖5-9）；選擇“安裝證書”，按照向?qū)崾具M(jìn)行，在“根證書存儲”對窗口選擇“是(Y)”，根證書成功安裝后成為“受信任的根證書頒發(fā)機構(gòu)”。從瀏覽器的“工具”菜單中選擇“Internet選項”，然后選擇“內(nèi)容”標(biāo)簽，鼠標(biāo)單擊“證書”，然后選擇“受信任的根證書頒發(fā)機構(gòu)”標(biāo)簽，列表中應(yīng)該有相應(yīng)的根證書。如圖5-10所示。 證書操作下載根證書證書操作瀏覽根證書證書操作（2）獲取數(shù)字證書：從中國數(shù)字認(rèn)證網(wǎng)主頁申請免費個人證書，在網(wǎng)上填寫完“免費證書申請表”并提交申請。證書成功申請

24、后系統(tǒng)會返回您的證書“序列號” ，如圖5-11所示，用戶在提交真實身份證明材料時，需要提供證書的序列號。證書操作（3）安裝數(shù)字證書：選擇“下載并安裝證書”或“直接安裝證書”，然后按照向?qū)崾疽徊讲竭M(jìn)行即可。如果證書下載后成功安裝，從瀏覽器的“工具”菜單中選擇“Internet選項”，然后選擇“內(nèi)容”標(biāo)簽，鼠標(biāo)單擊“證書”，然后選擇“個人”標(biāo)簽，列表中應(yīng)該有相應(yīng)的根證書（如圖5-12所示）。鼠標(biāo)左鍵雙擊相應(yīng)的證書，也可以打開“證書”窗口，查看“序列號”。證書操作（4）備份數(shù)字證書：數(shù)字憑證的部分信息是存儲在計算機上的不能替代的非公開關(guān)鍵字。如果此非公開關(guān)鍵字丟失，將無法再發(fā)送已簽名注冊的郵件或讀

25、取具有該數(shù)字憑證的加密郵件。應(yīng)該保留數(shù)字憑證的備份，以防包含該數(shù)字憑證的文件的損壞或無法讀取。在圖5-12所示頁面上的“導(dǎo)入”和“導(dǎo)出”按鈕可用來導(dǎo)入（裝入）和導(dǎo)出（備份數(shù)字憑證）。要備份數(shù)字憑證，選擇所要證書，鼠標(biāo)單擊“導(dǎo)出”按鈕?！八借€”為用戶個人所有，不能泄露給其他人，否則別人可以用它以您的名義簽名。如果是為了保留證書備份，選擇“導(dǎo)出私鑰”（如圖5-13所示）。如果為了給其他人您的“公鑰”，為您發(fā)送加密郵件或其他用途，證書操作不要導(dǎo)出私鑰。如果在申請證書時沒有選擇“標(biāo)記密鑰為可導(dǎo)出”，則不能導(dǎo)出私鑰。輸入私鑰保護(hù)密碼，如果在申請證書時沒有選擇“啟用嚴(yán)格密鑰保護(hù)”，則沒有密碼提示；輸入要導(dǎo)

26、出的文件名（見圖5-14），按提示進(jìn)行操作即可。證書操作導(dǎo)出的文件名 安全認(rèn)證手段 2. 認(rèn)證技術(shù) 采用認(rèn)證技術(shù)可以直接滿足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項網(wǎng)上交易的安全需求，較好地避免了網(wǎng)上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。 認(rèn)證的功能1.3 電子商務(wù)基本安全技術(shù) 2. 認(rèn)證技術(shù) 用戶所知道的某種秘密信息用戶持有的某種秘密信息（硬件） 用戶所具有的某些生物學(xué)特征 身份認(rèn)證：用于鑒別用戶身份 報文認(rèn)證：用于保證通信雙方的不可抵賴性和信息完整性 實現(xiàn)方式驗證內(nèi)容 證實報文是由指定的發(fā)送方產(chǎn)生的 證實報文的內(nèi)容沒有被修改過確認(rèn)報文的序號和時間是正確的 1.3 電子商務(wù)基本安

27、全技術(shù) 2. 認(rèn)證技術(shù) 數(shù)字簽名數(shù)字摘要數(shù)字證書CA安全認(rèn)證體系 廣泛使用的認(rèn)證技術(shù) 1.3 電子商務(wù)基本安全技術(shù) 3. 安全電子交易協(xié)議 目前有兩種安全在線支付協(xié)議被廣泛采用SSL(Secure Sockets Layer，安全套接層)協(xié)議SET(Secure Elecronic Transaction，安全電子交易)協(xié)議2、電子商務(wù)安全機制 2.1 數(shù)據(jù)完整性機制 2.2 加密機制 2.3 數(shù)字簽名機制2.4 訪問控制機制 2.1 數(shù)據(jù)完整性機制 數(shù)據(jù)在傳輸?shù)倪^程中，有可能被篡改，為保證數(shù)據(jù)的完整性和真實性，需要采取相應(yīng)的措施。加密雖然能在一定程度上保障數(shù)據(jù)安全，但加密本身可能受到比特交換

28、攻擊，無法保障數(shù)據(jù)的真實完整，所以需要結(jié)合采用其他完整性機制。2.4 訪問控制機制 不是所有的參與方（請求者）都擁有對全部資源（對象）相同的訪問權(quán)限。因此，必須給參與方直接地或隱含地分配訪問對象的權(quán)限。 通常表示成訪問控制矩陣的形式： 3、電子商務(wù)安全認(rèn)證 3.1 數(shù)字證書 數(shù)字證書是各類終端實體和最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方數(shù)字證書的有效性，從而解決相互間的信任問題。 4、電子商務(wù)安全協(xié)議 為了保障電子商務(wù)的安全性，一些公司和機構(gòu)制定了電子商務(wù)的安全協(xié)議，來規(guī)范在Internet上從事商務(wù)活動的流程。 目前，典型的電子商務(wù)安全協(xié)

29、議有：SSL（安全套接層）協(xié)議SET（安全電子交易）協(xié)議4.1 SSL協(xié)議 SSL協(xié)議（Security Socket Layer， 安全套接層協(xié)議）是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，該協(xié)議向基于TCP/IP的C/S應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機密性等安全措施。 1. 協(xié)議簡介 4.1 SSL協(xié)議 SSL采用對稱密碼技術(shù)和公開密碼技術(shù)相結(jié)合，提供了如下三種基本的安全服務(wù)： 秘密性。SSL客戶機和服務(wù)器之間通過密碼算法和密鑰的協(xié)商，建立起一個安全通道。以后在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過了加密處理。完整性。SSL利用密碼算法和hash函數(shù)，通過對傳輸信

30、息特征值的提取來保證信息的完整性。認(rèn)證性。利用證書技術(shù)和可信的第三方CA，可以讓客戶機和服務(wù)器相互識別對方的身份。1. 協(xié)議簡介 4.1 SSL協(xié)議 SSL協(xié)議的關(guān)鍵是要解決以下幾個問題：客戶對服務(wù)器的身份確認(rèn)：容許客戶瀏覽器，使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心（CA）的證書，來確認(rèn)服務(wù)器的合法性。 服務(wù)器對客戶的身份確認(rèn)：容許客戶服務(wù)器的軟件通過公鑰技術(shù)和可信賴的證書，來確認(rèn)客戶的身份。 建立起服務(wù)器和客戶之間安全的數(shù)據(jù)通道：要求客戶和服務(wù)器之間的所有的發(fā)送數(shù)據(jù)都被發(fā)送端加密，所有的接收數(shù)據(jù)都被接收端解密，同時SSL協(xié)議會在傳輸過程中解查數(shù)據(jù)是否被中途修改。2. SSL協(xié)議的作用 4

31、.1 SSL協(xié)議 目前，幾乎所有操作平臺上的WEB瀏覽器（IE、Netscape）以及流行的Web服務(wù)器（IIS、Netscape Enterprise Server等）都支持SSL協(xié)議。 缺點： （1）系統(tǒng)不符合中國國務(wù)院最新頒布的商用密碼管理條例中對商用密碼產(chǎn)品不得使用國外密碼算法的規(guī)定，要通過國家密碼管理委員會的審批會遇到相當(dāng)困難。 （2）系統(tǒng)安全性方面的缺陷：SSL協(xié)議的數(shù)據(jù)安全性其實就是建立在RSA等算法的安全性上，攻破RSA等算法就等同于攻破此協(xié)議。 但是總的來講，SSL協(xié)議的安全性能是好的，而且隨著SSL協(xié)議的不斷改進(jìn)，更多的安全性能好的加密算法被采用，邏輯上的缺陷被彌補。 3. SSL的安全性 4.1 SSL協(xié)議 4. 雙向認(rèn)證SSL協(xié)議的具體過程 雙向認(rèn)證SSL協(xié)議的具體通訊過程，要求服務(wù)器和用戶雙方都有證書。單向認(rèn)證SSL協(xié)議不需要客戶擁有CA證書。 基于SSL協(xié)議，雙方的通訊內(nèi)容是經(jīng)過加密的數(shù)據(jù)，這時候的安全就依賴于密碼方案的安全。 4.2 SET協(xié)議 1. SET概述 SE