電子商務(wù)安全技術(shù)

工程七電子商務(wù)平安技術(shù)7.1引言7.2電子商務(wù)平安根底知識7.3電子商務(wù)平安技術(shù)7.4計(jì)算機(jī)病毒防范措施本章實(shí)驗(yàn)復(fù)習(xí)思考題7.1引

言

7.1.1六作家狀告網(wǎng)絡(luò)公司著作權(quán)侵權(quán)案1998年4月，世紀(jì)互聯(lián)公司在未取得作家王蒙、張潔、張抗抗、畢淑敏、劉震云、張承志的同意的情況下，將他們創(chuàng)作的文學(xué)作品?堅(jiān)硬的稀粥?、?漫長的路?、?白罌粟?、?預(yù)約死亡?、?一地雞毛?、?黑駿馬?和?北方的河?，通過世紀(jì)互聯(lián)通訊的網(wǎng)站(bol)在國際互聯(lián)網(wǎng)上進(jìn)行傳播。為此，六作家認(rèn)為被告世紀(jì)互聯(lián)通訊作為提供互聯(lián)網(wǎng)絡(luò)內(nèi)容的效勞商，未經(jīng)許可以營利目的使用原告的作品，侵害了原告依法享有的著作權(quán)，請求法院判決被告停止侵權(quán)、公開致歉、賠償經(jīng)濟(jì)損失和精神損失，承擔(dān)訴訟費(fèi)、調(diào)查費(fèi)等合理費(fèi)用。被告那么認(rèn)為，在網(wǎng)站上存儲(chǔ)的原告作品除網(wǎng)友通過E-mail方式提供的以外，其余的均是“靈波小組〞從“亦凡書屋〞、“黃金書屋〞上下載的。對下載的原告作品，作品內(nèi)容完整，署名正確，被告公司未進(jìn)行任何形式的變動(dòng)。北京市海淀區(qū)人民法院經(jīng)審理認(rèn)為，被告未經(jīng)許可將原告的作品在網(wǎng)上傳播，侵害了原告對其作品享有的使用權(quán)和獲得報(bào)酬權(quán)。法院依據(jù)著作權(quán)法第10條第5項(xiàng)，第45條第5項(xiàng)、第8項(xiàng)的規(guī)定，做出判決：判決被告世紀(jì)互聯(lián)通訊技術(shù)停止使用王蒙等的文學(xué)作品；判決被告在其網(wǎng)站分別向原告王蒙等公開致歉，致歉內(nèi)容須經(jīng)法院審核；判決被告向原告賠償經(jīng)濟(jì)損失；駁回原告要求被告世紀(jì)互聯(lián)通訊技術(shù)賠償各自精神損失的訴訟請求。7.1.2百度下載MP3侵權(quán)案百度因MP3下載一事不斷惹禍上身(中國法院網(wǎng)：)。1．上海步升音樂文化傳播訴百度MP3下載侵權(quán)案上海步升音樂文化傳播訴北京百度網(wǎng)訊科技侵犯其錄音制作者權(quán)糾紛一案，2005年9月16日在北京市海淀區(qū)人民法院宣判，被告百度公司敗訴，賠償原告上海步升音樂文化傳播經(jīng)濟(jì)損失6.8萬元人民幣。原告步升公司訴稱，原告于2005年3月30日發(fā)現(xiàn)被告在其經(jīng)營的網(wǎng)站上向公眾提供涉及胡彥斌、黑豹組合、許巍和花兒樂隊(duì)演唱的共計(jì)46首歌曲的MP3下載效勞，如?紅顏?、?漫步?、?我是你的羅密歐?和?加減乘除?等。經(jīng)原告審查確認(rèn)，以上曲目的錄音制作者權(quán)均歸原告所有，原告已經(jīng)出版發(fā)行了包含上述46首歌曲的六張CD，而原告從未許可被告通過互聯(lián)網(wǎng)向公眾傳播上述曲目，被告的行為嚴(yán)重侵犯了原告權(quán)益，并給原告造成重大經(jīng)濟(jì)損失。為此，原告請求法院判令被告立即停止對原告享有錄音制作者權(quán)的歌曲之網(wǎng)絡(luò)傳播權(quán)的侵害，停止提供涉案歌曲的下載效勞；被告在其經(jīng)營的網(wǎng)站主頁及?法制日報(bào)?上發(fā)表聲明，向原告公開賠禮抱歉；被告賠償原告經(jīng)濟(jì)損失46萬元人民幣，以及為調(diào)查被告侵權(quán)行為和起訴被告所支出的合理費(fèi)用3萬元人民幣。被告辯稱，被告是一家中立的搜索引擎效勞提供商，按照技術(shù)規(guī)那么為網(wǎng)絡(luò)用戶提供全面、有針對性的搜索結(jié)果，供用戶查詢和使用；被告沒有提供涉案歌曲的下載效勞；被告的搜索引擎效勞系統(tǒng)依據(jù)技術(shù)規(guī)那么對搜索結(jié)果自動(dòng)生成鏈接列表，被告沒有對任何被鏈接網(wǎng)站(頁)進(jìn)行非技術(shù)性的選擇與控制，被告的行為沒有任何過錯(cuò)，故請求法院判決駁回原告的全部訴訟請求。法院經(jīng)審理認(rèn)為，原告在其提供的五張CD上已注明權(quán)利標(biāo)識，且原告已與相關(guān)表演者訂立了藝員唱片管理協(xié)議書，明確其獨(dú)家享有唱片制作、出版發(fā)行及其他形式的使用權(quán)利和取得報(bào)酬的權(quán)利，而唱片定義為涵蓋卡帶、CD、VCD、DVD、錄像帶及未來新開展的音頻視頻可以用來記錄歌曲及MTV的載體。在被告沒有提出相反證據(jù)的情況下，應(yīng)視為原告依法享有上述歌曲(共計(jì)34首)的錄音制作者權(quán)，有權(quán)限制他人未經(jīng)許可在國際互聯(lián)網(wǎng)上傳播上述錄音制品的MP3文件。被告以其為一家中立的搜索引擎效勞提供商、沒有提供涉案歌曲的下載效勞等辯稱否認(rèn)侵權(quán)，但在本案中，被告的行為已超出其所定義的搜索引擎的效勞范圍，阻礙了原告在國際互聯(lián)網(wǎng)上傳播其錄音制品，應(yīng)屬侵權(quán)，故被告應(yīng)立即停止侵權(quán)并依法承擔(dān)侵權(quán)責(zé)任，賠償原告經(jīng)濟(jì)損失6.8萬元人民幣(按每首歌2000元計(jì)算)。因原告對其余12首歌曲的權(quán)利主張具有瑕疵，且被告侵權(quán)只涉及原告的錄音制作者權(quán)，故法院判決駁回原告的其他訴訟請求。2．香港七大唱片公司訴百度MP3下載侵權(quán)案2005年9月26日上午，百度公司在北京市第一中級人民法院再次坐上了被告席。此次起訴百度的原告是香港七大唱片公司，他們狀告百度公司未經(jīng)允許在其經(jīng)營的網(wǎng)站上對涉案的137首歌曲提供在線播放和下載效勞，并為此向百度公司索賠經(jīng)濟(jì)損失167萬元。這七家香港唱片公司分別為環(huán)球唱片、正東唱片、新藝寶唱片、華納唱片、金牌娛樂事業(yè)、EMIGROUPHONGKONGLIMITED、SONYBMGMUSICENTERTAINMENT(HONGKONG)LIMITED。七大唱片公司訴稱，原告于2005年6月發(fā)現(xiàn)北京百度網(wǎng)訊科技在其經(jīng)營的百度網(wǎng)站上從事歌曲的在線播放和下載效勞，包括陳慧琳演唱的?記事本?、李克勤演唱的?紅日?、張柏芝演唱的?星語心愿?、陳慧嫻演唱的?飄雪?、鄭秀文演唱的?值得?、黎明演唱的?愛天愛地?等137首歌曲。這些歌曲的錄音制作者權(quán)之信息網(wǎng)絡(luò)傳播權(quán)分別為七大唱片公司所有，而七大唱片公司從未許可百度公司通過互聯(lián)網(wǎng)向公眾傳播這些曲目。七大唱片公司認(rèn)為，百度公司的行為嚴(yán)重侵犯了原告的信息網(wǎng)絡(luò)傳播權(quán)，并給其造成了重大經(jīng)濟(jì)損失。七大唱片公司請求法院判令百度公司立即停止侵權(quán)行為，停止提供涉案歌曲的在線播放和下載效勞，在百度網(wǎng)站主頁和?法制日報(bào)?上發(fā)表聲明公開賠禮抱歉，并賠償經(jīng)濟(jì)損失和調(diào)查、起訴費(fèi)用共計(jì)167萬元等。百度公司在法庭上辯稱，百度公司是一家中立的搜索引擎效勞提供商，按照技術(shù)規(guī)那么為網(wǎng)絡(luò)用戶提供全面、有針對性的搜索結(jié)果，供用戶查詢和使用，MP3搜索是百度網(wǎng)站搜索引擎效勞中的一項(xiàng)，和其他搜索引擎效勞沒有實(shí)質(zhì)性的區(qū)別。百度還稱，百度并沒有提供涉案歌曲的在線播放和下載效勞，百度既沒有上載歌曲在百度的效勞器上，也從未向網(wǎng)絡(luò)用戶提供過任何歌曲的在線播放和下載效勞，百度的搜索引擎效勞系統(tǒng)依據(jù)技術(shù)規(guī)那么對搜索結(jié)果自動(dòng)生成鏈接列表，并沒有對任何被鏈接網(wǎng)站(頁)內(nèi)容進(jìn)行非技術(shù)性的選擇和控制。同時(shí)，百度公司認(rèn)為自己的行為沒有任何過錯(cuò)。百度稱，百度非常重視對知識產(chǎn)權(quán)的保護(hù)，并依據(jù)法律法規(guī)等相關(guān)規(guī)定，在搜索引擎效勞網(wǎng)站發(fā)布了具有具體內(nèi)容和實(shí)施步驟的“權(quán)利聲明〞，為權(quán)利人維護(hù)權(quán)利提供了順暢、有效和方便的途徑，根據(jù)該“權(quán)利聲明〞，任何人均可以通過向百度發(fā)送“權(quán)利通知〞的方式，獲得權(quán)利保護(hù)和救濟(jì)。百度還發(fā)布了“免責(zé)聲明〞，提示搜索引擎用戶在獲得著作權(quán)人合法授權(quán)后使用MP3搜索結(jié)果列表的音樂，為權(quán)利人的知識產(chǎn)權(quán)保護(hù)盡到了必要的提示義務(wù)。因此百度公司請求法院依法駁回七大唱片公司的訴訟請求。法庭對此案未當(dāng)庭做出判決，將擇日另行開庭。7.1.3震撼世界的“蠕蟲〞病毒案羅伯特·莫瑞斯(RobertT·Morris,Jr.)是美國康奈爾大學(xué)(CornellUniversity)年僅23歲的學(xué)生，1988年11月2日，他在自己的計(jì)算機(jī)上，用遠(yuǎn)程命令將自己編寫的蠕蟲(Worm)程序送進(jìn)互聯(lián)網(wǎng)，希望這個(gè)“無害〞的蠕蟲程序可以慢慢地滲透到政府與研究機(jī)構(gòu)的網(wǎng)絡(luò)中，然而，由于莫瑞斯在他的程序編制中犯了一個(gè)小錯(cuò)誤，結(jié)果這個(gè)蠕蟲程序瘋狂地不斷復(fù)制自己，并向整個(gè)互聯(lián)網(wǎng)迅速蔓延。在1988年11月2日至11月3日的一夜之間，襲擊了龐大的互聯(lián)網(wǎng)上約6200臺VAX系列小型機(jī)和Sun工作站，300多個(gè)大學(xué)、議院和研究中心都發(fā)布了關(guān)于蠕蟲攻擊的報(bào)告，DCA的一位發(fā)言人宣稱，蠕蟲不僅攻擊了ARPANT系統(tǒng)，而且還攻擊了軍用的MILNET網(wǎng)中的幾臺主機(jī)。大量數(shù)據(jù)被破壞，整個(gè)經(jīng)濟(jì)損失估計(jì)達(dá)9600萬美元。“互聯(lián)網(wǎng)事件〞同樣也極大地震驚了計(jì)算機(jī)平安人員與其他專業(yè)人員。在莫瑞斯的蠕蟲大舉進(jìn)攻之際，許多網(wǎng)絡(luò)管理員、平安專家和研究人員急迫而又灰心，他們甚至不敢相信眼前正在發(fā)生的事情。有一份介紹蠕蟲攻擊情況的報(bào)告是這樣開頭的：“現(xiàn)在是1988年11月3日清晨3點(diǎn)5分。我很累了，所以請不要相信下面描述的任何事情……〞。莫瑞斯于1989年7月被推上美國地方法庭。表6-1可以大致反映蠕蟲侵襲的時(shí)間順序(表中的時(shí)間為美國東部標(biāo)準(zhǔn)時(shí)間)。表7-1蠕蟲侵襲互聯(lián)網(wǎng)時(shí)間表

7.2電子商務(wù)平安根底知識7.2.1電子商務(wù)平安要素1．系統(tǒng)的可靠性是指防止計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、自然災(zāi)害等引起的計(jì)算機(jī)信息失效或失誤。保證存儲(chǔ)在介質(zhì)上的信息的正確性。2．身份的真實(shí)性身份的真實(shí)性是指網(wǎng)上交易雙方身份信息的真實(shí)性。雙方交換信息之前通過各種方法保證身份的精確性，分辨參與者身份的真?zhèn)?，防止偽裝攻擊。

3．機(jī)密性:信息的保密性

信息的保密性是指信息在傳輸過程或存儲(chǔ)中不被他人竊取。4．完整性：信息的完整性

信息的完整性包括信息傳輸和存儲(chǔ)兩個(gè)方面。在存儲(chǔ)時(shí)，要防止非法篡改和破壞網(wǎng)站上的信息。在傳輸過程中，接收端收到的信息與發(fā)送的信息完全一樣，說明在傳輸過程中信息沒有遭到破壞。

5．有效性:有效性要求貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。6．不可抵賴性:信息的不可抵賴性是指信息的發(fā)送方不可否認(rèn)已經(jīng)發(fā)送的信息，接收方也不可否認(rèn)已經(jīng)收到的信息7．內(nèi)部網(wǎng)的嚴(yán)密性:企業(yè)的內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量指令，控制著企業(yè)的業(yè)務(wù)流程。企業(yè)內(nèi)部網(wǎng)一旦被惡意侵入，可能給企業(yè)帶來極大的混亂與損失。7.2.2網(wǎng)絡(luò)攻擊的常用方法1．系統(tǒng)穿透2．違反授權(quán)原那么3．植入4．通信監(jiān)聽5．通信竄擾6．中斷7．拒絕效勞8．電子郵件轟炸9．病毒技術(shù)7.3電子商務(wù)平安技術(shù)7.3.1密碼技術(shù)1．密碼學(xué)密碼學(xué)是一門古老而深?yuàn)W的學(xué)科，早在四千年前，古埃及人就開始使用密碼來保密傳遞信息。兩千多年前，羅馬國王愷撒就開始使用目前成為“愷撒密碼〞的密碼系統(tǒng)。但是密碼技術(shù)直到20世紀(jì)40年代才有重大的突破和開展。特別是20世紀(jì)70年代后期，由于計(jì)算機(jī)和電子通信的廣泛使用，現(xiàn)代密碼學(xué)得到了空前的開展。密碼學(xué)分為密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)研究設(shè)計(jì)出平安的密碼體制，防止被破譯，而密碼分析學(xué)那么研究如何破譯密文。加密包含兩個(gè)元素：加密算法和密鑰。加密算法就是用基于數(shù)學(xué)計(jì)算方法與一串?dāng)?shù)字(密鑰)對普通的文本(信息)進(jìn)行編碼，產(chǎn)生不可理解的密文的一系列步驟。密鑰是用來對文本進(jìn)行編碼和解碼的數(shù)字，將這些文字(稱為明文)轉(zhuǎn)成密文的程序稱作加密程序。2．密碼系統(tǒng)中的幾個(gè)概念

明文：人們將可懂的文本稱為明文。

密文：將明文變換成不可懂的文本稱為密文。

加密：把明文變換成密文的過程叫加密。

解密：把密文變換成明文的過程叫解密。

密碼體制：完成加密和解密的算法稱為密碼體制。在計(jì)算機(jī)上實(shí)現(xiàn)的數(shù)據(jù)加密算法，其加密或解密變換是由一個(gè)密鑰來控制的。

密鑰：是由使用密碼體制的用戶隨機(jī)選取的，密鑰成為唯一能控制明文與密文之間變換的關(guān)鍵，它通常是一隨機(jī)字符串。

密碼體制從原理上可分為兩大類：對稱密鑰密碼體制和非對稱密鑰密碼體制，或稱單鑰密碼體制和雙鑰密碼體制。下面分別介紹這兩種密碼體制。2．加密和解密的示范以一個(gè)簡單實(shí)例來看看加密和解密的過程。一個(gè)簡單的加密方法是把英文字母按字母表的順序編號作為明文，將密鑰定為17，加密算法為將明文加上密鑰17，就得到一個(gè)密碼表，見表6-2。例如，將英文信息“Thisisasecret.〞加密后得到密文。解密算法那么是將密文減去密鑰17，得到明文，再翻譯成對應(yīng)的字母和符號，見表6-3。表7-2一個(gè)簡單的密碼表

表7-3一個(gè)簡單的密碼加密過程

3．加密的分類按密鑰和相關(guān)加密程序類型可把加密分為三類：散列編碼、對稱加密和非對稱加密。(1)散列編碼。即用散列算法求出某個(gè)消息的散列值的過程。散列值相當(dāng)于消息的指紋。(2)對稱加密。又稱私有密鑰加密，它只用一個(gè)密鑰對信息進(jìn)行加密和解密。對稱加密技術(shù)見圖6-1。

圖7-1對稱加密技術(shù)示意圖

對稱加密最主要的算法是：DES對稱加密技術(shù)的優(yōu)缺點(diǎn)：對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。(3)非對稱加密。也叫公開密鑰加密。1977年麻省理工學(xué)院的三位教授(Rivest、Shamir和Adleman)創(chuàng)造了RSA公開密鑰密碼系統(tǒng)，在此系統(tǒng)中有一對密碼，給別人用的就叫公鑰，給自己用的就叫私鑰。這兩個(gè)可以互相并且只有為對方加密或解密，用公鑰加密后的密文只有私鑰能解。比方張三想發(fā)給李四信息，可以從公開渠道取得李四的公鑰，然后用李四的公鑰對自己要發(fā)送的信息加密；由于密鑰對是惟一的，信息加密后，只有李四才能用其私鑰解密信息后閱讀。同樣，李四也可向張三發(fā)一條私人信息，用張三的公鑰對信息加密。張三收到李四的信息后可用自己的私鑰解密信息后閱讀。一旦信息從效勞器下載并解密后，就以明文形式保存在接收者的計(jì)算機(jī)上，這時(shí)接收者就可閱讀了。非對稱加密技術(shù)見圖6-2。圖7-2非對稱加密技術(shù)示意圖

公開密鑰技術(shù)的優(yōu)缺點(diǎn)：公開密鑰技術(shù)解決了密鑰的發(fā)布和管理問題，商戶可以公開其公開密鑰，而保存私有密鑰。相對于對稱密鑰算法來說，公鑰算法計(jì)算速度非常慢。與對稱加密相比，非對稱加密有假設(shè)干優(yōu)點(diǎn)：第一，在多人之間進(jìn)行保密信息傳輸所需的密鑰組合數(shù)量很小。在n個(gè)人之間傳輸保密信息，只需要n對密鑰，遠(yuǎn)遠(yuǎn)小于對稱加密系統(tǒng)需要n(n－1)/2的要求。第二，公鑰沒有特殊的發(fā)布要求，可以在網(wǎng)上公開。第三，非對稱加密可實(shí)現(xiàn)數(shù)字簽名。這就意味著將電子文檔簽名后再發(fā)給別人，而簽名者無法否認(rèn)。也就是說，采用非對稱加密技術(shù)，除簽名者外他人無法以電子方式進(jìn)行簽名，而且簽名者事后也不能否認(rèn)曾以電子方式簽過文檔。信息摘要密鑰加密技術(shù)只能解決信息的保密性問題，對于信息的完整性那么可以用信息摘要技術(shù)來保證。 信息摘要(Messagedigest)又稱Hash算法，是RonRivest創(chuàng)造的一種單向加密算法，其加密結(jié)果是不能解密的。所謂信息摘要，是指從原文中通過Hash算法(一種單向的加密算法)而得到的一個(gè)固定長度(128位)的散列值，不同的原文所產(chǎn)生的信息摘要必不相同，相同原文產(chǎn)生的信息摘要必定相同。因此信息摘要類似于人類的“指紋〞，可以通過信息摘要去鑒別原文的真?zhèn)?。信息摘要的使用過程如圖6-6所示。(1)對原文使用Hash算法得到信息摘要；(2)將信息摘要與原文一起發(fā)送；(3)接收方對接收到的原文應(yīng)用Hash算法產(chǎn)生一個(gè)摘要；(4)用接收方產(chǎn)生的摘要與發(fā)送方發(fā)來的摘要進(jìn)行比照，假設(shè)兩者相同那么說明原文在傳輸過程中沒有被修改，否那么就說明原文被修改正。圖7-6信息摘要過程7.3.2數(shù)字簽名技術(shù)

1．?dāng)?shù)字簽名的含義數(shù)字簽名(Digitalsignature)是密鑰加密和信息摘要相結(jié)合的技術(shù)，用于保證信息的完整性和不可否認(rèn)性電子簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。新加坡?電子交易法案?對“電子簽名〞與“數(shù)字簽名〞作了詳細(xì)的規(guī)定?！半娮雍灻暤亩x為：以數(shù)字形式所附或在邏輯上與電子記錄有聯(lián)系的任何字母、文字?jǐn)?shù)字或其他符號，并且執(zhí)行或采納電子簽名是為了證明或批準(zhǔn)電子記錄?！皵?shù)字簽名〞的定義為：通過使用非對稱加密系統(tǒng)和哈希函數(shù)(HushingFunction)來變換電子記錄的一種電子簽名，使得同時(shí)持有最初未變換電子記錄和簽名人公開密匙的任何人可以準(zhǔn)確地判斷：①該項(xiàng)變換是否是使用與簽名人公開密匙相配的私人密匙作成的；②進(jìn)行變換后，初始電子記錄是否被改動(dòng)過。從上述規(guī)定可以看出，數(shù)字簽名是電子簽名的一種。新加坡?電子交易法案?中明確規(guī)定數(shù)字簽名應(yīng)該采用非對稱系統(tǒng)和哈希函數(shù)技術(shù)。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的。數(shù)字簽名的特點(diǎn)是代表了文件的特征。文件如發(fā)生改變，數(shù)字簽名的值也將隨之而發(fā)生改變；不同的文件得到的是不同的數(shù)字簽名。在傳輸過程中，如有第三人對文件進(jìn)行篡改，但他并不知道發(fā)送方的私人密鑰，因此，解密得到的數(shù)字簽名與經(jīng)過計(jì)算后的數(shù)字簽名必然不同。新加坡1998年?電子交易法案?第17條規(guī)定：通過使用當(dāng)事人同意的某一規(guī)定的平安程序或商業(yè)上合理的平安程序，如在簽署時(shí)能確認(rèn)該電子簽名：①對該使用人而言是獨(dú)一無二的；②能夠鑒別該使用人；③在該使用人的完全控制之下以某種方式生成；④與電子記錄存在這樣的聯(lián)系：如記錄被改動(dòng)，電子簽名也隨之失效；那么該電子簽名可被視為“可靠電子簽名〞。這樣，數(shù)字簽名就能夠具備與親筆簽名相同的功能。2．?dāng)?shù)字簽名技術(shù)數(shù)字簽名(DigitalSignature)技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)平安效勞中的源鑒別、完整性效勞、不可否認(rèn)效勞中都要用到數(shù)字簽名技術(shù)。它的主要方式是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)散列值(或報(bào)文摘要)，發(fā)送方用自己的私鑰對這個(gè)散列值進(jìn)行加密來形成發(fā)送方的電子簽名。然后，這個(gè)電子簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值(或報(bào)文摘要)，接著再用發(fā)送方的公鑰來對報(bào)文附加的電子簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該電子簽名是發(fā)送方的。通過電子簽名能夠?qū)崿F(xiàn)對原始報(bào)文完整性的鑒別和不可抵賴性。圖7-7數(shù)字簽名過程(1)對原文使用Hash算法得到信息摘要；(2)發(fā)送者用自己的私鑰對信息摘要加密；(3)發(fā)送者將加密后的信息摘要與原文一起發(fā)送；(4)接收者用發(fā)送者的公鑰對收到的加密摘要進(jìn)行解密；(5)接收者對收到的原文用Hash算法得到接收方的信息摘要；(6)將解密后的摘要與接收方摘要進(jìn)行比照，相同說明信息完整且發(fā)送者身份是真實(shí)的，否那么說明信息被修改或不是該發(fā)送者發(fā)送的。 由于發(fā)送者的私鑰是自己嚴(yán)密管理的，他人無法仿冒，同時(shí)發(fā)送者也不能否認(rèn)用自己的私鑰加密發(fā)送的信息，所以數(shù)字簽名解決了信息的完整性和不可否認(rèn)性問題。 7.2.5數(shù)字時(shí)間戳 在電子交易中，時(shí)間和簽名同等重要。數(shù)字時(shí)間戳(DTS，DigitalTime-Stamp)是由專門機(jī)構(gòu)提供的電子商務(wù)平安效勞工程，用于證明信息的發(fā)送時(shí)間。數(shù)字時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)局部：時(shí)間戳的文件摘要、DTS收到文件的日期和時(shí)間、DTS的數(shù)字簽名。數(shù)字時(shí)間戳的獲得過程如圖6-8所示。圖7-8獲得數(shù)字時(shí)間戳的過程需要數(shù)字時(shí)間戳的用戶首先將文件用Hash算法加密得到摘要，然后將摘要發(fā)送到提供數(shù)字時(shí)間戳效勞的專門機(jī)構(gòu)，DTS機(jī)構(gòu)對原摘要加上時(shí)間以后，用自己的私鑰加密(即數(shù)字簽名)再發(fā)還給原用戶，獲得數(shù)字時(shí)間戳的用戶就可以將它再發(fā)送給自己的商業(yè)伙伴以證明信息的發(fā)送時(shí)間。7.3.3數(shù)字證書與認(rèn)證中心1．?dāng)?shù)字證書(DigitalCertificate或DigitalID) 1)數(shù)字證書的根本概念 數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)應(yīng)用中識別通信各方的身份，其作用類似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)，即CA中心簽發(fā)的。以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，以此來確保網(wǎng)上傳遞信息的機(jī)密性、完整性，交易主體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的平安性數(shù)字證書采用公—私鑰密碼體制，每個(gè)用戶擁有一把僅為本人所掌握的私鑰，用它進(jìn)行信息解密和數(shù)字簽名；同時(shí)擁有一把公鑰，并可以對外公開，用于信息加密和簽名驗(yàn)證。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對數(shù)據(jù)進(jìn)行加密，而接收方那么使用自己的私鑰進(jìn)行解密，這樣，信息就可以平安無誤地到達(dá)目的地，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。 數(shù)字證書可用于：發(fā)送平安電子郵件、訪問平安站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上采購招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等平安電子事務(wù)處理和平安電子交易活動(dòng)。2)數(shù)字證書的內(nèi)容 數(shù)字證書由以下兩局部組成： (1)證書數(shù)據(jù)。證書里的數(shù)據(jù)包含以下信息： ●版本信息，用來與X.509的將來版本兼容； ●證書序列號，每一個(gè)由CA發(fā)行的證書必須有一個(gè)惟一的序列號； ●CA所使用的簽名算法； ●發(fā)行證書CA的名稱；●證書的有效期限； ●證書主題名稱； ●被證明的公鑰信息，包括公鑰算法、公鑰的位字符串表示(只適用于RSA加密體制)； ●包含額外信息的特別擴(kuò)展。(2)發(fā)行證書的CA簽名。證書第二局部包括發(fā)行證書的CA簽名和用來生成數(shù)字簽名的簽名算法。任何人收到證書后都能使用簽名算法來驗(yàn)證證書是由CA的簽名密鑰簽署的。在InternetExplorer瀏覽器中，可以查看數(shù)字證書的內(nèi)容。其方法是：進(jìn)入IE窗口，依次選擇“工具〞→“Internet〞→“內(nèi)容〞→“證書〞，然后選擇一種證書類別，再在證書列表中選擇一個(gè)證書，單擊“查看〞標(biāo)簽，即可查看所選證書的內(nèi)容。3)數(shù)字證書的類型 不同的CA所頒發(fā)的數(shù)字證書略有不同，下面介紹幾種常見的數(shù)字證書類型： (1)個(gè)人數(shù)字證書：常見的有個(gè)人身份證書和個(gè)人平安電子郵件證書兩種。 ●個(gè)人身份證書：用來說明和驗(yàn)證個(gè)人在網(wǎng)絡(luò)上的身份的證書，它確保了網(wǎng)上交易和作業(yè)的平安性和可靠性?？蓱?yīng)用于網(wǎng)上炒股、網(wǎng)上理財(cái)、網(wǎng)上保險(xiǎn)、網(wǎng)上繳費(fèi)、網(wǎng)上購物、網(wǎng)上辦公等等。個(gè)人身份證書可以存儲(chǔ)在軟盤或IC卡中。 ●個(gè)人平安電子郵件證書：個(gè)人平安電子郵件證書可以確保郵件的真實(shí)性和保密性。申請后一般安裝在用戶的瀏覽器里。用戶可以利用它來發(fā)送簽名或加密的電子郵件。(2)單位證書：常見的有企業(yè)身份證書、企業(yè)平安電子郵件證書和單位數(shù)字證書三種。 ●企業(yè)身份證書：用來說明和驗(yàn)證企業(yè)用戶在網(wǎng)絡(luò)上身份的證書，它確保了企業(yè)網(wǎng)上交易和作業(yè)的平安性和可靠性。可應(yīng)用于網(wǎng)上證券、網(wǎng)上辦公、網(wǎng)上交稅、網(wǎng)上采購、網(wǎng)上資金轉(zhuǎn)帳、網(wǎng)上銀行等。企業(yè)身份證書可以存儲(chǔ)在軟盤和IC卡中。 ●企業(yè)平安電子郵件證書：可以確保郵件的真實(shí)性和保密性。申請后一般是安裝在用戶的瀏覽器里。企業(yè)可以利用它來發(fā)送簽名或加密的電子郵件。

●單位(效勞器)數(shù)字證書：主要用于網(wǎng)站交易效勞器，需要和網(wǎng)站的IP地址、域名綁定，以保證網(wǎng)站的真實(shí)性和不被人仿造。目的是保證客戶機(jī)和效勞器之間交易及支付時(shí)雙方身份的真實(shí)性、平安性和可信任度等。(3)信用卡身份證書：用于平安網(wǎng)上信用卡支付。代表信用卡交易中單位或個(gè)人信用卡持有者的身份，符合SET標(biāo)準(zhǔn)。 (4)CA證書：用于證實(shí)CA身份和CA的簽名密鑰(簽名密鑰被用來簽署它所發(fā)行的證書)，在NetscapeNavigator里，用戶可以看到瀏覽器所接受的CA證書，也可以選擇他們是否信任這些證書。在Netscape效勞器里，管理員可以看到效勞器所接受的CA證書，也可以選擇是否信任這些證書。2．認(rèn)證中心(CA)電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)也稱為電子商務(wù)認(rèn)證中心，它是提供身份證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信任的組織實(shí)體組成。例如，持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開密鑰，但持卡人無法確定商家不是冒充的，于是持卡人要求CA對商家認(rèn)證，CA在對商家進(jìn)行調(diào)查、驗(yàn)證和鑒別后，將包含商家PublicKey的證書傳給持卡人。同樣，商家也可對持卡人進(jìn)行驗(yàn)證。證書一般包含擁有者的標(biāo)識名稱和公鑰，并且由CA進(jìn)行過數(shù)字簽名。在電子商務(wù)交易中，無論是數(shù)字時(shí)間戳效勞(DTS)還是數(shù)字證書(DigitalID)的發(fā)放，都不是靠交易雙方自己完成，而需要有一個(gè)具有權(quán)威性和公正性的第三方來完成。CA就能承擔(dān)網(wǎng)上平安電子交易的認(rèn)證效勞，它能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份。CA通常是一個(gè)效勞性機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及管理數(shù)字證書。在進(jìn)行交易時(shí)，通過出示由某個(gè)CA簽發(fā)的證書來證明自己的身份。例如C的證書是由名稱為B的CA簽發(fā)的，而B的證書又是由名稱為A的CA簽發(fā)的，A是權(quán)威機(jī)構(gòu)，通常稱為根認(rèn)證(RootCA)。驗(yàn)證到了根認(rèn)證處，就可確信C的證書是合法的(見圖9-4)。圖6-4CA體系示意圖

2．認(rèn)證中心的職能認(rèn)證中心的核心職能是發(fā)放和管理用戶的數(shù)字證書。用戶向認(rèn)證中心提出申請證書，并說明自己的身份。認(rèn)證中心在驗(yàn)證用戶身份后，向用戶發(fā)放數(shù)字證書。認(rèn)證中心在發(fā)放證書時(shí)要遵循一定的準(zhǔn)那么。例如，保證所發(fā)證書的序號各不相同；不同實(shí)體所申請的證書的主體內(nèi)容不一致；不同主體內(nèi)容的證書所包含的公開密鑰各不相同。認(rèn)證中心應(yīng)管理其所發(fā)放的所有證書，這些管理功能包括：用戶能夠方便地查找各種證書，以及已經(jīng)撤銷的證書；能夠根據(jù)用戶請示或其他信息撤銷用戶的證書；能夠根據(jù)證書的有效期自動(dòng)地撤銷證書；能夠完成證書數(shù)據(jù)庫的備份工作；有效地保護(hù)證書和密鑰效勞器的平安，特別是認(rèn)證中心的簽名密鑰不被非法使用。因此，認(rèn)證中心的職能可以歸納為以下幾點(diǎn)：

(1)證書發(fā)放。向持卡人發(fā)放簽名的證書，向商戶和支付網(wǎng)關(guān)發(fā)放簽名并加密的證書。

(2)證書更新。對持卡人證書、商戶和支付網(wǎng)關(guān)證書定期更新。(3)證書撤銷。對用戶而言，他需要確認(rèn)他的賬戶信息不會(huì)發(fā)往一個(gè)未被授權(quán)的支付網(wǎng)關(guān)，因此被撤銷的支付網(wǎng)關(guān)證書需包含在撤銷清單中并散發(fā)給用戶；對商家而言，被撤銷的支付網(wǎng)關(guān)證書需散發(fā)給商家。

(4)證書驗(yàn)證。

3．CA根本組成(1)注冊效勞器(SA)。注冊效勞器是一個(gè)通過網(wǎng)絡(luò)面向用戶的系統(tǒng)，它包括計(jì)算機(jī)系統(tǒng)和功能接口局部。(2)注冊中心(RA)。注冊中心負(fù)責(zé)證書申請的審批，它通常是金融機(jī)構(gòu)，如持卡人發(fā)行或商家的收單行。證書的審批需要制定審批的標(biāo)準(zhǔn)。(3)認(rèn)證中心(CA)。認(rèn)證中心負(fù)責(zé)證書的頒發(fā)，是被信任的部門。在證書申請被審批部門批準(zhǔn)后，認(rèn)證注冊效勞器將證書發(fā)放給申請者。4．中國知名的認(rèn)證中心●中國數(shù)字認(rèn)證網(wǎng)(ca365)：支持?jǐn)?shù)字認(rèn)證、數(shù)字簽名、CA認(rèn)證、CA證書、數(shù)字證書、平安電子商務(wù)等應(yīng)用?！裰袊鹑谡J(rèn)證中心(cfca)：支持網(wǎng)上銀行、網(wǎng)上證券交易、網(wǎng)上購物以及平安電子文件傳遞等應(yīng)用?！裰袊娮余]政平安證書管理中心(chinapost/CA/index.htm)：發(fā)放并管理參與網(wǎng)上信息交換的各方所需的平安數(shù)字證書?！癖本?shù)字證書認(rèn)證中心()：為網(wǎng)上電子政務(wù)和電子商務(wù)活動(dòng)提供數(shù)字證書效勞。●廣東省電子商務(wù)認(rèn)證中心(www)：提供電子商務(wù)認(rèn)證、平安產(chǎn)品和解決方案，制作、頒發(fā)、管理數(shù)字證書?！裆虾Ｊ须娮由虅?wù)平安證書管理中心(sheca)：上海CA認(rèn)證中心，從事數(shù)字證書的機(jī)構(gòu)，保證電子商務(wù)和網(wǎng)上作業(yè)平安?！窈Ｄ鲜‰娮由虅?wù)認(rèn)證中心(hn)：電子商務(wù)數(shù)字證書制作、頒發(fā)和管理?！裉旖駽A認(rèn)證中心(/ca/ca-1/ca.htm)：提供網(wǎng)上身份認(rèn)證、數(shù)字簽名、電子公證、平安電子郵件等效勞?！裆綎|省CA認(rèn)證中心()：解決電子商務(wù)業(yè)務(wù)中數(shù)據(jù)傳輸平安問題。7.3.4公開密鑰根底設(shè)施(PKI)公開密鑰根底設(shè)施(PublicKeyInfrastructure)是一種以公鑰加密技術(shù)為根底技術(shù)手段實(shí)現(xiàn)平安性的技術(shù)。它是一個(gè)遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼效勞所必需的密鑰和證書管理，并支持SET、SSL協(xié)議。PKI可以進(jìn)行不同CA的交叉驗(yàn)證，PKI由認(rèn)證機(jī)構(gòu)、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等根本成分組成。PKI體系結(jié)構(gòu)采用證書管理公鑰，通過CA把用戶的公鑰和用戶的其他標(biāo)識信息(如名稱，E-mail，身份證號等)捆綁在一起，用于在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份，PKI體系結(jié)構(gòu)把公鑰密碼和對稱密碼結(jié)合起來，在互聯(lián)網(wǎng)上實(shí)現(xiàn)了密鑰的自動(dòng)管理，保證網(wǎng)上數(shù)據(jù)的保密性和完整性。在電子商務(wù)活動(dòng)中，客戶從公開媒體上(或者CA認(rèn)證中心)獲得商家的公鑰，但無法確定商家的真實(shí)性，于是客戶請求CA對商家認(rèn)證，CA對商家進(jìn)行調(diào)查，驗(yàn)證和鑒別后，將包含商家公鑰的證書傳給持卡人，同樣，商家也可以對客戶進(jìn)行驗(yàn)證，之后再進(jìn)行電子商務(wù)平安交易，如圖9-5所示?；赑KI的CA認(rèn)證體系增加了網(wǎng)上交易各方的信任，也為它們之間的可靠通信創(chuàng)造條件，并為BtoB及BtoC兩種電子商務(wù)模式提供兼容性效勞。圖7-5基于PKI的電子商務(wù)關(guān)系圖

7.3.5電子商務(wù)平安協(xié)議電子商務(wù)開展的核心問題是交易的平安性問題，這也是企業(yè)應(yīng)用電子商務(wù)最擔(dān)憂的問題，因此，如何在開放的公用網(wǎng)上構(gòu)筑平安的交易模式，一直是人們研究的熱點(diǎn)和大家關(guān)注的話題。要構(gòu)筑一個(gè)平安的電子交易模式，必須滿足：(1)數(shù)據(jù)保密。防止信息被截獲或非法存取而泄密。(2)對象認(rèn)證。通信雙方對各自通信對象的合法性、真實(shí)性進(jìn)行確認(rèn)，以防第三者假冒。(3)數(shù)據(jù)完整性。阻止非法實(shí)體對交換數(shù)據(jù)的修改、插入、刪除及防止數(shù)據(jù)喪失。(4)防抗抵賴。用于證實(shí)已發(fā)生過的操作，防止交易雙方對發(fā)生的行為抵賴。(5)訪問控制。防止非授權(quán)用戶非法使用系統(tǒng)資源。迄今為止，國內(nèi)外已經(jīng)出現(xiàn)了多種電子支付協(xié)議，目前有兩種平安在線支付協(xié)議被廣泛采用，即平安套接層SSL協(xié)議和平安電子交易SET協(xié)議。1．平安套接層協(xié)議SSL1)平安套接層協(xié)議的概念平安套接層協(xié)議(SecureSocketsLayer)是由網(wǎng)景公司(NetscapeCommunication)設(shè)計(jì)開發(fā)的，在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web效勞器之間的平安連接技術(shù)，主要用于提高應(yīng)用程序之間的數(shù)據(jù)平安系數(shù)，實(shí)現(xiàn)兼容瀏覽器和效勞器(通常是WWW效勞器)之間平安通信的協(xié)議。SSL是支持兩臺計(jì)算機(jī)間的平安連接，它處于互聯(lián)網(wǎng)多層協(xié)議集的傳輸層，它是國際上最早應(yīng)用于電子商務(wù)的一種由消費(fèi)者和商家雙方參加的信用卡/借記卡支付協(xié)議。SSL是對互聯(lián)網(wǎng)上計(jì)算機(jī)之間對話進(jìn)行加密的協(xié)議，可廣泛用于互聯(lián)網(wǎng)金融信息的保密處理。SSL主要用在網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)效勞器之間的通信中。以“s〞開頭的URL標(biāo)志著SSL連接即將建立。SSL提供了三種重要的功能：隱私、簽證以及報(bào)文完整性。SSL是一個(gè)保證任何安裝了平安套接層的客戶和效勞器間事務(wù)平安的協(xié)議，該協(xié)議向基于TCP/IP的客戶/效勞器應(yīng)用程序提供了客戶端和效勞器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等平安措施，目的是為用戶提供互聯(lián)網(wǎng)和企業(yè)內(nèi)聯(lián)網(wǎng)的平安通信效勞。由于SSL處在互聯(lián)網(wǎng)協(xié)議集中TCP/IP層的上面，除HTTP外，SSL還可對計(jì)算機(jī)之間的各種通信都提供平安保護(hù)。例如，SSL可為FTP會(huì)話提供平安保護(hù)，支持敏感的文檔。Telnet會(huì)話的平安，此會(huì)話中遠(yuǎn)程計(jì)算機(jī)用戶要登錄公司主機(jī)并傳輸口令和用戶名。實(shí)現(xiàn)SSL的協(xié)議是HTTP的平安版，名為HTTPS。在URL前用HTTPS協(xié)議就意味著要和效勞器之間建立一個(gè)平安的連接。例如，輸入s://wwwbchina/，就會(huì)同招商銀行建立平安的連接(見圖9-6)，這時(shí)瀏覽器狀態(tài)欄會(huì)顯示出一個(gè)鎖表示已建立平安連接。圖7-6HTTPS協(xié)議的使用

2)SSL交易過程采用SSL協(xié)議的電子交易過程如圖9-7所示?？蛻糍徶玫男畔⑹紫劝l(fā)往商家，商家再將信息轉(zhuǎn)發(fā)銀行，銀行在驗(yàn)證了客戶信息的合法性后，再通知商家付款成功，商家再通知客戶購置成功。SSL是對計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議，它在互聯(lián)網(wǎng)上廣泛用于處理財(cái)務(wù)上敏感的信息。在SSL中，采用了公開密鑰和專有密鑰兩種加密：在建立連接過程中采用公開密鑰；在會(huì)話過程中使用專有密鑰。在每個(gè)SSL會(huì)話中，要求效勞器完成一次使用效勞器專用密鑰的操作和一次使用客戶機(jī)公開密鑰的操作。圖7-7SSL交易過程

3)SSL協(xié)議的工作原理客戶機(jī)的瀏覽器在登錄效勞器的平安網(wǎng)站時(shí)，效勞器將招呼要求發(fā)給瀏覽器(客戶機(jī))，瀏覽器以客戶機(jī)招呼來響應(yīng)。接著瀏覽器要求效勞器提供數(shù)字證書，如同要求查看有照片的身份證。作為響應(yīng)，效勞器發(fā)給瀏覽器一個(gè)認(rèn)證中心簽名的證書。瀏覽器檢查效勞器證書的數(shù)字簽字與所存儲(chǔ)的認(rèn)證中心的公開密鑰是否一致。一旦認(rèn)證中心的公開密鑰得到驗(yàn)證，簽名也就證實(shí)了。此動(dòng)作完成了對商務(wù)效勞器的認(rèn)證。由于客戶機(jī)和效勞器需要在互聯(lián)網(wǎng)上傳輸信用卡號、發(fā)票和驗(yàn)證代碼等，所以雙方都同意對所交換的信息進(jìn)行平安保護(hù)。4)建立SSL平安連接的過程圖6-8顯示在eCoin上登錄(Login)用戶名時(shí)即進(jìn)入SSL平安連接。這時(shí)瀏覽器發(fā)出平安警報(bào)，開始建立平安連接(見圖6-9)，隨即同時(shí)驗(yàn)證平安證書(見圖6-10)。圖7-8在eCoin上連接交換敏感信息的頁面

圖7-9瀏覽器開始建立平安連接圖7-10瀏覽器驗(yàn)證效勞器平安證書客戶機(jī)沒有證書沒關(guān)系，因?yàn)榭蛻魴C(jī)是發(fā)送敏感信息的一方。而商家的效勞器必須有一個(gè)有效的證書，否那么客戶機(jī)就無法確認(rèn)這個(gè)商務(wù)網(wǎng)站是否與其聲稱的身份相符，用戶單擊“確定〞鍵即進(jìn)入平安連接。圖6-11顯示在eCoin上的平安連接已經(jīng)建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁傳輸?shù)挠脩裘兔艽a都將通過加密方式傳送。當(dāng)加密方式傳送結(jié)束后，瀏覽器會(huì)離開交換敏感信息的頁面，自動(dòng)斷開平安連接(見圖9-12)。圖7-11在eCoin上的平安連接已經(jīng)建立圖7-12離開交換敏感信息的頁面，瀏覽器自動(dòng)斷開平安連接由此，SSL平安協(xié)議主要包括如下六個(gè)運(yùn)行步驟：(1)接通階段：客戶通過網(wǎng)絡(luò)向效勞商打招呼，效勞商回應(yīng)；(2)密碼交換階段：客戶與效勞商之間交換雙方認(rèn)可的密碼，一般選用RSA密碼算法，也有的選用其他密碼算法；(3)會(huì)談密碼階段：客戶與效勞商間產(chǎn)生彼此交談的會(huì)談密碼；(4)檢驗(yàn)階段：檢驗(yàn)效勞商取得的密碼；(5)客戶認(rèn)證階段：驗(yàn)證客戶的可信度；(6)結(jié)束階段：客戶與效勞商之間相互交換結(jié)束的信息。2．平安電子交易協(xié)議SET1)SET協(xié)議的含義在開放的網(wǎng)絡(luò)(如互聯(lián)網(wǎng))上處理交易，如何保證傳輸數(shù)據(jù)的平安已成為電子商務(wù)能否普及的最重要的因素之一。為了克服SSL平安協(xié)議的缺點(diǎn)，滿足電子交易持續(xù)不斷增加的平安要求，更為了到達(dá)交易平安及符合本錢效益之市場要求，VISA和MasterCard聯(lián)合其他國際組織，如Microsoft、IBM、Netscape、GTE、SAIC、Terisa和Verisign等，共同制定了平安電子交易(SecureElectronicTransaction，SET)協(xié)議。SET在保存對客戶信用卡認(rèn)證的前提下，又增加了對商家身份的認(rèn)證，這對于需要支付貨幣的交易來講是至關(guān)重要的。SET協(xié)議完全是一項(xiàng)支付協(xié)議，只是在持卡人向商家發(fā)送支付請求、商家向支付網(wǎng)關(guān)發(fā)授權(quán)或獲取請求，以及支付網(wǎng)關(guān)向商家發(fā)送授權(quán)或獲取回應(yīng)、商家向持卡人發(fā)送支付回應(yīng)時(shí)才起作用，它并不包含挑選物品、價(jià)格協(xié)商、支付方式選擇和信息傳送等方面的協(xié)議。在SET中采用了雙重簽名技術(shù)，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來擔(dān)當(dāng)。SET標(biāo)準(zhǔn)滿足了電子商務(wù)活動(dòng)的具體商業(yè)要求：●提供了可靠傳輸?shù)闹Ц缎畔⒑陀嗀浶畔?；●保證了傳輸數(shù)據(jù)的完整性；●提供對持卡人作用性驗(yàn)證；●提供商家傳輸金融信息的正確性的識別；●應(yīng)用了最好的技術(shù)以保護(hù)合法用戶；●創(chuàng)造了一種可獨(dú)立于傳輸平安機(jī)制又不影響使用的開放性協(xié)議；●提供給用于各種軟件和系統(tǒng)中的互操作性。2)使用SET協(xié)議的好處(1)確保信息在互聯(lián)網(wǎng)上平安的傳輸，保證網(wǎng)上傳輸?shù)男畔⒉槐缓诳透`取。(2)確保訂單信息和個(gè)人賬號的隔離。(3)確保持卡人和商家相互認(rèn)證，以確定雙方的身份。(4)要求軟件遵循相同協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。3)SET協(xié)議中的角色(1)持卡人。在電子商務(wù)環(huán)境中，消費(fèi)者和團(tuán)體購置者通過計(jì)算機(jī)與商家交流，持卡人通過由發(fā)卡機(jī)構(gòu)頒發(fā)的付款卡(例如信用卡、借記卡等)進(jìn)行結(jié)算。在持卡人和商家的會(huì)話中，SET可以保證持卡人的個(gè)人賬號信息不泄露。(2)發(fā)卡機(jī)構(gòu)。這是一個(gè)金融機(jī)構(gòu)，為每一個(gè)建立了賬戶的顧客頒發(fā)付款卡，發(fā)卡機(jī)構(gòu)根據(jù)不同品牌卡的規(guī)定和政策，保證對每一筆認(rèn)證交易的付款。(3)商家。提供商品或效勞，使用SET就可以保證持卡人個(gè)人信息的平安。接受卡支付的商家必須和銀行有關(guān)系。(4)銀行。在線交易的商家在銀行開立賬號，并且處理支付卡的認(rèn)證和支付。(5)支付網(wǎng)關(guān)。這是由銀行操作的將互聯(lián)網(wǎng)上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的設(shè)備或由指派的第三方處理商家支付信息和顧客的支付指令。4)SET協(xié)議的交易模式SET協(xié)議的交易模式如圖9-13。客戶資料雖然要通過商家到達(dá)銀行，但商家不能閱讀這些資料，因此SET解決了客戶資料的平安性問題。SET協(xié)議還解決了網(wǎng)上交易存在的客戶與銀行之間、客戶與商家之間、商家與銀行之間的多方認(rèn)證問題。由于整個(gè)交易過程是建立在Intranet、Extranet和互聯(lián)網(wǎng)的網(wǎng)絡(luò)根底上的，因此SET協(xié)議保證了網(wǎng)上交易的實(shí)時(shí)性。圖7-13SET協(xié)議的交易模式

5)SET平安協(xié)議的工作原理一個(gè)完整的購物流程由九個(gè)步驟組成：(1)持卡人使用瀏覽器在商家的Web主頁上查看在線商品目錄，瀏覽商品。(2)持卡人選擇要購置的商品。(3)持卡人填寫訂單，包括工程列表、價(jià)格、總價(jià)、運(yùn)費(fèi)、搬運(yùn)費(fèi)、稅費(fèi)。訂單可通過電子化方式從商家傳過來，或由持卡人的電子購物軟件建立。有些在線商家可以讓持卡人與商家協(xié)商物品的價(jià)格(如出示自己是老客戶的證明或給出競爭對手的價(jià)格信息等)。圖7-14SET的工作過程

(4)持卡人選擇付款方式，此時(shí)SET開始介入。(5)持卡人發(fā)送給商家一個(gè)完整的訂單及要求付款的指令。在SET中，訂單和付款指令由持卡人進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到持卡人的賬號信息。(6)商家接受訂單后，向持卡的金融機(jī)構(gòu)請求支付認(rèn)可；通過網(wǎng)關(guān)到銀行，再到發(fā)卡機(jī)構(gòu)確認(rèn)，批準(zhǔn)交易；然后返回確認(rèn)信息到商家。(7)商家發(fā)送訂單確認(rèn)信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。

(8)商家給顧客裝運(yùn)貨物，或完成后將訂購貨物者的賬號轉(zhuǎn)移到商家賬號，也可以等到某一時(shí)間，請求成批劃賬處理。(9)商家從持卡人的金融機(jī)構(gòu)請示支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)時(shí)間間隔，例如，在每天的下班前請示銀行結(jié)一天的賬。

6)SSL與SET的比較SSL協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)平安協(xié)議，其運(yùn)行的基點(diǎn)是商家對客戶的認(rèn)證，缺乏客戶對商家的認(rèn)證，SSL位于傳輸層與應(yīng)用層之間，能很好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對用戶是透明的，只需要通過一次“握手〞過程建立客戶與效勞器之間一條平安通信的通道，保證傳輸數(shù)據(jù)的平安。因此它被廣泛地應(yīng)用于電子商務(wù)領(lǐng)域中。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的。它位于應(yīng)用層，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中，消費(fèi)者賬戶信息對商家來說是保密的。但是SET協(xié)議十分復(fù)雜，交易數(shù)據(jù)需進(jìn)行屢次驗(yàn)證，用到多個(gè)密鑰以及屢次加密解密。而且在SET協(xié)議中除消費(fèi)者與商家外，還有發(fā)卡行、收單行、認(rèn)證中心、支付網(wǎng)關(guān)等其他參與者。目前，中國的商業(yè)銀行在其電子支付系統(tǒng)中都普遍選擇了SSL和SET兩種方式，表6-4為SSL協(xié)議與SET協(xié)議比較。表7-4SSL協(xié)議與SET協(xié)議比較3．S-HTTP平安協(xié)議平安HTTP(S-HTTP)是HTTP的擴(kuò)展，它提供了多種平安功能，包括客戶機(jī)與效勞器之間認(rèn)證、加密、請求/響應(yīng)的不可否認(rèn)等。這個(gè)由CommerceNetConsortium所開發(fā)的協(xié)議處于互聯(lián)網(wǎng)協(xié)議集的最頂層——應(yīng)用層。它提供了用于平安通訊的對稱加密、用于客戶機(jī)與效勞器認(rèn)證的公開密鑰加密(RSA公司提供)及用于實(shí)現(xiàn)數(shù)據(jù)完整性的消息摘要。值得一提的是，客戶機(jī)和效勞器能單獨(dú)使用S-HTTP技術(shù)，也就是說客戶機(jī)的瀏覽器可用私有(對稱)密鑰得到平安保證，而效勞器可用公開密鑰技術(shù)來請求對客戶機(jī)的認(rèn)證。S-HTTP平安的細(xì)節(jié)設(shè)置是在客戶機(jī)和效勞器開始的握手會(huì)話中完成的?？蛻魴C(jī)和效勞器都可指定某個(gè)平安功能為必需(Required)、可選(Option)還是拒絕(Refused)。當(dāng)其中一方確定了某個(gè)平安特性為“必需〞時(shí)，只有另一方(客戶機(jī)或效勞器)同意執(zhí)行同樣的平安功能才能開始連接，否那么就不能建立平安通訊。假定客戶機(jī)的瀏覽器要求用加密來實(shí)現(xiàn)所有通訊的保密，這就意味著客戶機(jī)和效勞器間的所有通訊內(nèi)容都是通過加密方式來傳輸?shù)摹?.4計(jì)算機(jī)病毒防范措施

7.4.1計(jì)算機(jī)病毒根底知識1．計(jì)算機(jī)病毒的含義1983年美國科學(xué)家佛雷德·科恩最先證實(shí)電腦病毒的存在。它是一種人為制造的寄生于計(jì)算機(jī)應(yīng)用程序或操作系統(tǒng)中的可執(zhí)行、可自行復(fù)制、具有傳染性和破壞性的惡性程序。從1987年發(fā)現(xiàn)第一類流行電腦病毒起，病毒數(shù)每年正以40%的比率增加。一個(gè)小巧的病毒程序可令一臺微型計(jì)算機(jī)、一個(gè)大型計(jì)算機(jī)系統(tǒng)或一個(gè)網(wǎng)絡(luò)系統(tǒng)處于癱瘓狀態(tài)。計(jì)算機(jī)病毒是一種人為編寫的程序，通過非法授權(quán)入侵并隱藏在執(zhí)行程序和文件中，當(dāng)計(jì)算機(jī)系統(tǒng)運(yùn)行時(shí)，病毒自身復(fù)制或者有修改的復(fù)制到其他程序中，破壞正常程序的運(yùn)行和數(shù)據(jù)平安。廣義的計(jì)算機(jī)病毒還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱入口等等。

2．計(jì)算機(jī)病毒特點(diǎn)1)計(jì)算機(jī)病毒的一般特點(diǎn)計(jì)算機(jī)病毒一般具有如下特點(diǎn)：

(1)自我復(fù)制的能力。它隱藏在合法程序內(nèi)部，隨著人們的操作不斷地進(jìn)行自我復(fù)制。

(2)潛在的破壞力。系統(tǒng)被病毒感染后，病毒一般不馬上發(fā)作，而是潛藏在系統(tǒng)中，等條件成熟后，便會(huì)發(fā)作，給系統(tǒng)帶來嚴(yán)重的破壞。(3)由人為編制而成。計(jì)算機(jī)病毒不可能隨機(jī)自然產(chǎn)生，也不可能由編程失誤造成。(4)破壞系統(tǒng)程序，不可能損壞硬件設(shè)備。(5)傳染性，并借助非法拷貝進(jìn)行這種傳染。計(jì)算機(jī)病毒通常都附著在其他程序上，在病毒發(fā)作時(shí)，有一局部是自己復(fù)制自己，并在一定條件下傳染給其他程序；另一局部那么是在特定條件下執(zhí)行某種行為。2)網(wǎng)絡(luò)計(jì)算機(jī)病毒的特點(diǎn)在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)：(1)感染速度快。在單機(jī)環(huán)境下，病毒只能通過軟盤從一臺計(jì)算機(jī)帶到另一臺，而在網(wǎng)絡(luò)中那么可以通過網(wǎng)絡(luò)通訊機(jī)制進(jìn)行。(2)迅速擴(kuò)散。根據(jù)測定，針對一臺典型的PC網(wǎng)絡(luò)在正常使用情況下，只要有一臺工作站有病毒，就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺計(jì)算機(jī)全部感染。(3)擴(kuò)散面廣。由于病毒在網(wǎng)絡(luò)中擴(kuò)散非?？?，擴(kuò)散范圍很大，不但能迅速傳染局域網(wǎng)內(nèi)所有計(jì)算機(jī)，還能通過遠(yuǎn)程工作站將病毒在一瞬間傳播到千里之外。(4)傳播的形式復(fù)雜多樣。計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站——效勞器——工作站〞的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。(5)難于徹底去除。單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底去除，而網(wǎng)絡(luò)中只要有一臺工作站未能消毒干凈就可使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成去除工作的一臺工作站就有可能被網(wǎng)上另一臺帶毒工作站所感染。因此，僅對工作站進(jìn)行病毒殺除，并不能解決病毒對網(wǎng)絡(luò)的危害。(6)激發(fā)形式多樣?？捎糜诩ぐl(fā)網(wǎng)絡(luò)病毒的條件較多，可以是內(nèi)部時(shí)鐘、系統(tǒng)的日期和用戶名，也可以是網(wǎng)絡(luò)的一次通信等。一個(gè)病毒程序可以按照設(shè)計(jì)者的要求，在某個(gè)工作站上激活并發(fā)出攻擊。(7)破壞性大。網(wǎng)絡(luò)上病毒將直接影響網(wǎng)絡(luò)的工作，輕那么降低速度，影響工作效率；重那么使網(wǎng)絡(luò)崩潰，破壞效勞器信息，使多年工作毀于一旦。

3．計(jì)算機(jī)網(wǎng)絡(luò)病毒類型計(jì)算機(jī)網(wǎng)絡(luò)病毒可分為以下幾種：

(1)蠕蟲。這是一種短小的程序，這個(gè)程序使用未定義過的處理器來自行完成運(yùn)行處理。它通過在網(wǎng)絡(luò)中連續(xù)高速地復(fù)制自己，長時(shí)間地占用系統(tǒng)資源，使系統(tǒng)因負(fù)擔(dān)過重而癱瘓。

(2)邏輯炸彈。這是一個(gè)在滿足某些條件(如時(shí)間、地點(diǎn)、特定名字的出現(xiàn)等)時(shí)受激發(fā)而引起破壞的程序。邏輯炸彈是由編寫程序的人有意設(shè)置的，它有一個(gè)定時(shí)器，由編寫程序的人安裝，不到時(shí)間不爆炸，一旦爆炸，將造成致命性的破壞。

(3)特洛伊木馬。特洛伊木馬(以下簡稱木馬)，英文叫做“Trojanhouse〞，其名稱取自希臘神話的特洛伊木馬記，它是一種基于遠(yuǎn)程控制的黑客工具。在黑客進(jìn)行的各種攻擊行為中，木馬都起到了開路先鋒的作用。它是一種未經(jīng)授權(quán)的程序，提供了一些用戶不知道的功能。這些程序帶有人們喜愛的名字，當(dāng)使用者通過網(wǎng)絡(luò)引入自己的計(jì)算機(jī)后，它能將系統(tǒng)的私有信息泄露給程序的制造者，以便他能夠控制該系統(tǒng)。例如它能將輸入的計(jì)算機(jī)用戶名、口令或編輯文檔復(fù)制存入一個(gè)隱蔽的文件中，供攻擊者檢索。(4)陷阱入口。陷阱入口是由程序開發(fā)者有意安排的。當(dāng)應(yīng)用程序開發(fā)完畢時(shí)，放入計(jì)算機(jī)中，實(shí)際運(yùn)行后只有他自己掌握操作的秘密，使程序能正常完成某種事情，而別人那么往往會(huì)進(jìn)入死循環(huán)或其他歧路。4．計(jì)算機(jī)病毒的組成

(1)引導(dǎo)型病毒。引導(dǎo)型病毒是IBMPC兼容機(jī)上最早出現(xiàn)的病毒。引導(dǎo)型病毒傳染的對象是軟盤的引導(dǎo)扇區(qū)，硬盤的主引導(dǎo)扇區(qū)和引導(dǎo)扇區(qū)。所以在系統(tǒng)啟動(dòng)時(shí)，這類病毒會(huì)優(yōu)先于正常系統(tǒng)的引導(dǎo)將其自身裝入系統(tǒng)中，獲得對系統(tǒng)的控制權(quán)。病毒程序在完成自身安裝后，再將系統(tǒng)的控制權(quán)交給真正的系統(tǒng)程序，完成系統(tǒng)的引導(dǎo)。

(2)文件型病毒。文件型病毒是病毒中的大家族，有廣義和狹義之分。廣義的文件型病毒包括了通常所說的可執(zhí)行文件病毒、源碼病毒和宏病毒。狹義的文件病毒只包括COM型和EXE型等可執(zhí)行文件病毒。文件型病毒主要感染可執(zhí)行文件，可分為寄生病毒、覆蓋病毒和伴隨病毒。寄生病毒在感染時(shí)，將病毒代碼參加正常程序中，原來程序的功能局部或者全部被保存。覆蓋病毒直接用病毒程序替換被感染的程序。早期覆蓋病毒由于破壞了被感染的程序，使被感染的程序立即不能運(yùn)行，容易被發(fā)現(xiàn)。伴隨病毒不改變原來的文件，只是伴隨創(chuàng)立一個(gè)病毒文件。(3)混合型病毒?；旌闲筒《臼羌龑?dǎo)型和文件型病毒為一體的病毒，可以感染可執(zhí)行文件，也可以感染引導(dǎo)區(qū)，使之相互感染，具有很強(qiáng)的感染力。(4)宏病毒。宏病毒是計(jì)算機(jī)病毒歷史上開展最快的病毒，它也是傳播最廣泛的。宏病毒是一類使用宏語言編寫的程序，依賴于微軟Office辦公套件Word、Excel和Powerpoint等應(yīng)用程序來傳播。只要使用這些應(yīng)用程序的計(jì)算機(jī)就有可能傳染宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕那么影響正常工作，重那么破壞硬盤信息，甚至格式化硬盤，危害極大。7.4.2特洛伊木馬1．特洛伊木馬的危害特洛伊木馬(以下簡稱木馬)是一種基于遠(yuǎn)程控制的黑客工具，以簡便、易行、有效而深受廣闊黑客青睞。一臺電腦一旦感染木馬病毒，它就變成了一臺傀儡機(jī)，對方可以在你的電腦上上傳/下載文件，偷窺你的私人文件，偷取你的各種密碼及口令信息……你的一切秘密都將暴露在別人面前。廣闊網(wǎng)民比較熟悉的木馬是國產(chǎn)軟件冰河，冰河是由黃鑫開發(fā)的免費(fèi)軟件，冰河面世后，以它簡單的操作方法和強(qiáng)大的控制能力令人膽寒，可以說是到達(dá)了談“冰〞色變的地步。2．木馬原理特洛伊木馬屬于客戶/效勞模式。它分為兩大局部，即客戶端和效勞端。其原理是一臺主機(jī)提供效勞(效勞器)，另一臺主機(jī)接受效勞(客戶機(jī))，作為效勞器的主機(jī)一般會(huì)翻開一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽。如果有客戶機(jī)向效勞器的這一端口提出連接請求，效勞器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶機(jī)的請求。這個(gè)程序被稱為守護(hù)進(jìn)程。以大名鼎鼎的冰河為例，被控制端可視為一臺效勞器，控制端那么是一臺客戶機(jī)，效勞端程序G_Server.exe是守護(hù)進(jìn)程，G_Client.exe是客戶端應(yīng)用程序。3．木馬的隱藏方式木馬的隱藏方法主要有以下幾種：(1)在任務(wù)欄里隱藏。這是最根本的方式。如果在Windows的任務(wù)欄里出現(xiàn)一個(gè)莫名其妙的圖標(biāo)，就應(yīng)該提高警惕。在VisualBasic中，只要把form的Visible屬性設(shè)置為False，ShowInTaskBar設(shè)為False，程序就不會(huì)出現(xiàn)在任務(wù)欄里了。(2)在任務(wù)管理器里隱藏。查看正在運(yùn)行的進(jìn)程最簡單的方法就是按下Ctrl＋Alt＋Del時(shí)出現(xiàn)的任務(wù)管理器。如果按下Ctrl＋Alt＋Del后可以看見一個(gè)木馬程序在運(yùn)行，那么這肯定不是什么好的木馬。(3)端口。一臺機(jī)器有65536個(gè)端口，大多數(shù)木馬使用的端口在1024以上，而且呈越來越大的趨勢。當(dāng)然也有占用1024以下端口的木馬。但這些端口是常用端口，占用這些端口可能會(huì)造成系統(tǒng)不正常。這樣的話，木馬就會(huì)很容易暴露。(4)木馬的加載方式隱蔽。木馬加載的方式可以說千奇百怪，無奇不有。但殊途同歸，都為了到達(dá)一個(gè)共同的目的，那就是使你運(yùn)行木馬的效勞端程序。隨著網(wǎng)站互動(dòng)化進(jìn)程的不斷進(jìn)步，越來越多的東西可以成為木馬的傳播介質(zhì)，JavaScript、VBScript、ActiveX、XLM……幾乎WWW每一個(gè)新功能都會(huì)導(dǎo)致木馬的快速進(jìn)化。(5)木馬的命名。木馬效勞端程序的命名也有很大的學(xué)問，大多是改為和系統(tǒng)文件名差不多的名字，例如有的木馬把名字改為window.exe，還有的就是更改一些后綴名，比方把dll改為dl等。木馬的最新隱身技術(shù)是修改虛擬設(shè)備驅(qū)動(dòng)程序(vxd)或修改動(dòng)態(tài)連接庫(DLL)，它根本上擺脫了原有的木馬模式——監(jiān)聽端口，而采用替代系統(tǒng)功能的方法(改寫vxd或DLL文件)，木馬會(huì)將修改后的DLL替換系統(tǒng)的DLL，并對所有的函數(shù)調(diào)用進(jìn)行過濾。對于常用的調(diào)用，使用函數(shù)轉(zhuǎn)發(fā)器直接轉(zhuǎn)發(fā)給被替換的系統(tǒng)DLL，對于一些事先約定好的特種情況，DLL會(huì)執(zhí)行一些相應(yīng)的操作。實(shí)際上這樣的木馬大多只是使用DLL進(jìn)行監(jiān)聽，一旦發(fā)現(xiàn)控制端的連接請求就激活自身，綁在一個(gè)進(jìn)程上進(jìn)行正常的木馬操作。這樣做的好處是沒有增加新的文件，不需要翻開新的端口，沒有新的進(jìn)程，使用常規(guī)的方法監(jiān)測不到它，在正常運(yùn)行時(shí)木馬幾乎沒有任何病癥，而一旦木馬的控制端向被控制端發(fā)出特定的信息后，隱藏的程序就立即開始運(yùn)作。4．木馬防范工具防范木馬可以使用防火墻軟件和各種反黑軟件，用它們筑起網(wǎng)上的馬其諾防線，上網(wǎng)會(huì)平安許多。如“天網(wǎng)防火墻個(gè)人版〞。5．木馬的查殺木馬的查殺，可以采用自動(dòng)和手動(dòng)兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟件，現(xiàn)在很多殺毒軟件能刪除網(wǎng)絡(luò)最猖獗的木馬，如金山毒霸、平安之星XP。手工查殺木馬的方法有以下幾種：(1)檢查注冊表。看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以“Run〞開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要?jiǎng)h除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程序。(2)檢查啟動(dòng)組。木馬們?nèi)绻[藏在啟動(dòng)組，雖然不是十分隱蔽，但這里確實(shí)是自動(dòng)加載運(yùn)行的好場所，啟動(dòng)組對應(yīng)的文件夾為C:\windows\startmenu\programs\startup，在注冊表中的位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell，F(xiàn)oldersStartup=“C:\windows\startmenu\programs\startup〞。要注意經(jīng)常檢查這兩個(gè)地方。(3)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所。比方說，Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所，因此也要注意這里。當(dāng)看到它變成Shell=Explorer.exewind0ws.exe形式時(shí)，那么請注意那個(gè)wind0ws.exe很有可能就是木馬效勞端程序。(4)對于C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat文件也要勤加檢查，木馬們也很可能隱藏在其中。(5)如果是EXE文件啟動(dòng)，那么運(yùn)行這個(gè)程序，看木馬是否被裝入內(nèi)存，端口是否翻開。如果是的話，那么說明要么是該文件啟動(dòng)木馬程序，要么是該文件捆綁了木馬程序，只好再找一個(gè)這樣的程序，重新安裝一下即可。木馬啟動(dòng)都有一個(gè)方式，即只是在一個(gè)特定的情況下啟動(dòng)。所以，平時(shí)多注意一下端口，查看一下正在運(yùn)行的程序，用此來監(jiān)測大局部木馬。7.4.3計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害與防范1．計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害(1)病毒對網(wǎng)絡(luò)的主要危害。主要表現(xiàn)為：●病毒程序通過“自我復(fù)制〞傳染正在運(yùn)行的其他程序，并與正常運(yùn)行的程序爭奪計(jì)算機(jī)資源；●病毒程序可沖毀存儲(chǔ)器中的大量數(shù)據(jù)，致使計(jì)算機(jī)其他用戶的數(shù)據(jù)蒙受損失；●病毒不僅侵害所使用的計(jì)算機(jī)系統(tǒng)，而且侵害與該系統(tǒng)聯(lián)網(wǎng)的其他計(jì)算機(jī)系統(tǒng)；●病毒程序可導(dǎo)致以計(jì)算機(jī)為核心的網(wǎng)絡(luò)失靈。(2)病毒對計(jì)算機(jī)的危害。主要表現(xiàn)為：●計(jì)算機(jī)病毒破壞磁盤文件分配表，使用戶在磁盤上的信息喪失；●將非法數(shù)據(jù)置入操作系統(tǒng)(如DOS的內(nèi)存參數(shù)區(qū))，引起系統(tǒng)崩潰；●刪除硬盤或軟盤上特定的可執(zhí)行文件或數(shù)據(jù)文件；●修改或破壞文件的數(shù)據(jù)；●影響內(nèi)存常駐程序的正常執(zhí)行；●在磁盤上產(chǎn)生虛假壞分區(qū)，從而破壞有關(guān)的程序或數(shù)據(jù)文件；●更改或重新寫入磁盤的卷標(biāo)號；●不斷反復(fù)傳染拷貝，造成存儲(chǔ)空間減少，并影響系統(tǒng)運(yùn)行效率；●對整個(gè)磁盤或磁盤上的特定磁道進(jìn)行格式化；●

系統(tǒng)掛起，造成顯示屏幕或鍵盤的封鎖狀態(tài)。

2．計(jì)算機(jī)病毒的防范措施1)預(yù)防病毒的常用措施●給自己的電腦安裝防病毒軟件?！裾J(rèn)真執(zhí)行病毒定期清理制度?！窨刂茩?quán)限?！窬杈W(wǎng)絡(luò)陷阱?！癫环_陌生地址的電子郵件。2)引導(dǎo)型計(jì)算機(jī)病毒的防范●堅(jiān)持從不帶計(jì)算機(jī)病毒的硬盤引導(dǎo)系統(tǒng)?！癜惭b能夠?qū)崟r(shí)監(jiān)控引導(dǎo)扇區(qū)的防殺計(jì)算機(jī)病毒軟件，或經(jīng)常用能夠查殺引導(dǎo)型計(jì)算機(jī)病毒的防殺計(jì)算機(jī)病毒軟件進(jìn)行檢查?！?/p>

經(jīng)常備份系統(tǒng)引導(dǎo)扇區(qū)。

3)文件型計(jì)算機(jī)病毒的防范●安裝最新版本的、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防殺計(jì)算機(jī)病毒軟件?！窦皶r(shí)更新查殺計(jì)算機(jī)病毒引擎。●經(jīng)常使用防殺計(jì)算機(jī)病毒軟件對系統(tǒng)進(jìn)行計(jì)算機(jī)病毒檢查?！駥﹃P(guān)鍵文件，如系統(tǒng)文件、保密的數(shù)據(jù)等等，在沒有病毒的環(huán)境