第6章電子商務(wù)安全

第六章電子商務(wù)安全

（ElectronicCommerceSecurity）桂林電子科技大學計算機控制學院案例1國外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國內(nèi)2000年春天，有人利用普通的技術(shù)，從電子商務(wù)網(wǎng)站竊取到8萬個信用卡號和密碼，標價26萬元出售。桂林電子科技大學計算機控制學院案例22月8日到10日，一伙神通廣大的神秘黑客在三天的時間里接連襲擊了互聯(lián)網(wǎng)上包括雅虎、美國有線新聞等在內(nèi)的五個最熱門的網(wǎng)站，并且造成這些網(wǎng)站癱瘓長達數(shù)個小時。接二連三的大規(guī)模網(wǎng)絡(luò)襲擊行動現(xiàn)在已經(jīng)引起世界各大網(wǎng)絡(luò)公司和網(wǎng)站主持者的高度警覺，就連美國司法部、美國聯(lián)邦調(diào)查局也被驚動了，現(xiàn)已決定介入對這幾起網(wǎng)絡(luò)襲擊事件的調(diào)查。

桂林電子科技大學計算機控制學院網(wǎng)絡(luò)襲擊導致世界五大網(wǎng)站連連癱瘓。美國東部時間2月7日上午9時15分(北京時間2月8日)，全世界各地成千上萬的國際互聯(lián)網(wǎng)用戶跟平常一樣打開電腦，準備登錄雅虎網(wǎng)站。雅虎網(wǎng)站是繼美國在線之后排名第二的大網(wǎng)站，現(xiàn)有注冊用戶1億個，平均每天傳送的資料多達4．65億頁，每月吸引的訪問者多達4200萬人。遭到襲擊后，“雅虎”的技術(shù)人員大驚失色，趕緊采取緊急措施一邊查明黑客的襲擊手段，一邊立即進行緊急補救。技術(shù)人員們知道，現(xiàn)在正是一年中網(wǎng)上購物最活躍的時候，如果不能及時恢復服務(wù)的話，那么就意味著數(shù)百萬美元的交易將落空。桂林電子科技大學計算機控制學院技術(shù)人員很快發(fā)現(xiàn)，黑客使用了一種名為“拒絕服務(wù)”的入侵方式，在不同的計算機上同時用連續(xù)不斷的服務(wù)器電子請求來轟炸雅虎網(wǎng)站。說白了，這種方式類似于某人通過不停撥打某個公司的電話來阻止其他電話打進，從而導致公司通信癱瘓。在襲擊進行最高峰的時候，網(wǎng)站平均每秒鐘要遭受一千兆字節(jié)數(shù)據(jù)的猛烈攻擊，這一數(shù)據(jù)量相當于普通網(wǎng)站一年的數(shù)據(jù)量!面對如此猛烈的攻擊，雅虎的技術(shù)人員卻束手無策，只能眼睜睜地看著泛濫成災(zāi)的電子郵件垃圾死死地堵住了雅虎用戶們上網(wǎng)所需的路由器。

桂林電子科技大學計算機控制學院10時15分，洶涌而來的垃圾郵件堵死了雅虎網(wǎng)站除電子郵件服務(wù)等三個站點所有的路由器，雅虎公司大部分網(wǎng)絡(luò)服務(wù)均陷入癱瘓，公司不得不將網(wǎng)站入口關(guān)閉。此時，美國的雅虎用戶根本無法登錄雅虎的任何站點，而世界各地其他的用戶也只能登錄雅虎59％的站點。13時25分，雅虎公司的技術(shù)人員終于設(shè)法識別出了電子請求的數(shù)據(jù)類型，并且加上新的郵件過濾器將其濾去，這才部分恢復了正常的服務(wù)，有70％的網(wǎng)站重新為用戶提供服務(wù)。桂林電子科技大學計算機控制學院美國東部時間2月8日，也就是雅虎網(wǎng)站遭襲后第二天，盡管世界各著名網(wǎng)站已經(jīng)高度警惕，但還是再次遭到這些神秘黑客的襲擊。世界最著名的網(wǎng)絡(luò)拍賣行eBay因神秘黑客襲擊而癱瘓了整整兩個小時，以致任何的用戶都無法登錄該站點；赫赫有名的美國有線新聞網(wǎng)CNN隨后也因遭神秘黑客的襲擊而癱瘓近兩個小時；風頭最勁的購物網(wǎng)站A也被迫關(guān)閉一個多小時!桂林電子科技大學計算機控制學院eBay網(wǎng)站發(fā)言人羅賓·佐恩在接受記者采訪時透露說，該網(wǎng)站實際上癱瘓了整整3個小時零10分鐘，跟“雅虎”的癱瘓時間一模一樣。當時，神秘的襲擊者以每秒鐘800兆字節(jié)的數(shù)據(jù)猛攻網(wǎng)站，這一數(shù)據(jù)量相當于正常數(shù)據(jù)量的24倍，不堪重負的網(wǎng)站終于在美國東部時間下午5時45分徹底癱瘓。網(wǎng)絡(luò)公司趕緊向其客戶發(fā)了一份緊急通知，坦言網(wǎng)站正在遭受黑客的襲擊，但有關(guān)客戶的機密數(shù)據(jù)卻絲毫未損。桂林電子科技大學計算機控制學院這份緊急通知還給其客戶吃定心丸說：“我們正在采取多種措施反擊黑客們的襲擊，并且與當?shù)睾吐?lián)邦政府有關(guān)部門、互聯(lián)網(wǎng)服務(wù)商以及我們的合作伙伴們緊密協(xié)作。”CNN網(wǎng)站也在長達1小時零45分鐘的時間內(nèi)無法登錄，不過，該網(wǎng)站后來由服務(wù)商提供了一道“防火墻”，之后用戶們才可以重新登錄；而A網(wǎng)站也有一個小時不能為顧客提供購物服務(wù)。桂林電子科技大學計算機控制學院對于這五起襲擊事件造成的損失，各大網(wǎng)絡(luò)公司都諱莫如深。盡管所有遭襲擊的網(wǎng)絡(luò)公司都一再強調(diào)這次襲擊沒有損害用戶的利益，但公司本身的損失卻相當慘重。

雅虎公司發(fā)言人在襲擊事件發(fā)生后一再強調(diào)說，由于雅虎公司使用先進保密技術(shù)，所以數(shù)據(jù)庫沒有受到侵襲，用戶的機密數(shù)據(jù)沒有被破壞或者丟失，公司的損失也不算大。從表面上看，雅虎的損失確實不大，襲擊事件發(fā)生的當天，華爾街股市上雅虎的股值并沒有下跌。然而，網(wǎng)絡(luò)專家卻認為，由于現(xiàn)在正是網(wǎng)上購物的活躍時期，3小時的無法服務(wù)就意味著數(shù)百萬美元的交易落空。此外，對于給廣告用戶造成的損失，雅虎表示會在今后的幾天時間里設(shè)法加排廣告以示補償。桂林電子科技大學計算機控制學院對于eBay公司來說，這次襲擊事件無疑是雪上加霜。1999年6月，eBay網(wǎng)站因遭黑客襲擊而癱瘓了整整22個小時，從而使公司的股值在五天的時間內(nèi)損失了26％!去年11月，該網(wǎng)站在三天的時間內(nèi)因遭黑客襲擊再次癱瘓4個多小時。此后，公司被迫投資1800萬美元用于改善網(wǎng)絡(luò)的安全運作。即便如此，eBay網(wǎng)站在此次襲擊中仍未能逃脫癱瘓的厄運。

桂林電子科技大學計算機控制學院CNNIC調(diào)查結(jié)果（2003年1月）用戶認為目前網(wǎng)上交易存在的最大問題是：

安全性得不到保障：23.4%

付款不方便：10.8%產(chǎn)品質(zhì)量、售后服務(wù)及廠商信用得不到保障：39.3%

送貨不及時：8.6%價格不夠誘人： 10.8%網(wǎng)上提供的信息不可靠：6.4%

其它：0.7%桂林電子科技大學計算機控制學院6.1電子商務(wù)面臨的安全問題●信息泄露●信息篡改●信息破壞：丟失、中斷●信息假造：假冒、抵賴●計算機病毒桂林電子科技大學計算機控制學院電腦犯罪:50個國家有信息恐怖組織,計算機犯罪年增長率152%。每次計算機犯罪損失46萬美元,而每次搶劫平均損失僅24美元。美國每年因電子商務(wù)安全問題所造成的經(jīng)濟損失達75億美元，電子商務(wù)企業(yè)的電腦安全受到侵犯的比例從1997年的49%升到1999年的54%。桂林電子科技大學計算機控制學院網(wǎng)絡(luò)部件的不安全因素●電磁泄漏●搭線竊聽●非法終端●非法入侵●注入非法信息●線路干擾●意外原因●病毒入侵桂林電子科技大學計算機控制學院軟件的不安全因素●安全功能不健全●特洛伊木馬●要害程序非法使用或破壞●用戶未分類標識●處理錯誤●程序變更無記錄桂林電子科技大學計算機控制學院工作人員的不安全因素●保密觀念不強或不懂保密規(guī)則●業(yè)務(wù)不熟練●規(guī)章制度不健全●素質(zhì)差、缺乏責任心●故意非法訪問●超越權(quán)限操作●竊取系統(tǒng)或用戶信息桂林電子科技大學計算機控制學院●自然災(zāi)害：地震、臺風、洪水●人為災(zāi)害：火災(zāi)、盜竊…...環(huán)境的不安全因素桂林電子科技大學計算機控制學院為什么網(wǎng)絡(luò)安全如此重要WebServerTheInternetEncryption線路安全客戶安全連接安全

TheIntranetWebServerWeakness:Externalaccessnowgranted.Areapplicationsandnetworksecure?信息資本EnterpriseNetwork沒有邊界沒有中央管理是開放的、標準的沒有審計記錄INTERNET桂林電子科技大學計算機控制學院網(wǎng)絡(luò)侵襲的主要種類外部與內(nèi)部入侵非授權(quán)訪問、冒充合法用戶等。拒絕服務(wù)部分或徹底地阻止計算機或網(wǎng)絡(luò)正常工作。盜竊信息指無須利用你的計算機就可獲取數(shù)據(jù)信息。桂林電子科技大學計算機控制學院網(wǎng)絡(luò)侵襲者的主要種類間諜（商業(yè)間諜及其他間諜）。盜竊犯。破壞者。尋求刺激者?！坝涗洝弊非笳?。低級失誤和偶然事件。桂林電子科技大學計算機控制學院網(wǎng)絡(luò)安全不單是技術(shù)問題機構(gòu)與管理法律與法規(guī)經(jīng)濟實力技術(shù)與人才桂林電子科技大學計算機控制學院6.2電子商務(wù)安全的對策1、電子商務(wù)的安全要求信息的保密性：電子商務(wù)系統(tǒng)應(yīng)該對主要信息進行保護，阻止非法用戶獲取和理解原始數(shù)據(jù)。

數(shù)據(jù)完整性：電子商務(wù)系統(tǒng)應(yīng)該提供對數(shù)據(jù)進行完整性認證的手段，確保網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過程中沒有被篡改。

桂林電子科技大學計算機控制學院用戶身份驗證：電子商務(wù)系統(tǒng)應(yīng)該提供通訊雙方進行身份鑒別的機制。一般可以通過數(shù)字簽名和數(shù)字證書相結(jié)合的方式實現(xiàn)用戶身份的驗證，證實他就是他所聲稱的那個人。數(shù)字證書應(yīng)該由可靠的證書認證機構(gòu)簽發(fā)，用戶申請數(shù)字證書時應(yīng)提供足夠的身份信息，證書認證機構(gòu)在簽發(fā)證書時應(yīng)對用戶提供的身份信息進行真實性認證。桂林電子科技大學計算機控制學院授權(quán)：電子商務(wù)系統(tǒng)需要控制不同的用戶誰能夠訪問網(wǎng)絡(luò)上的信息并且能夠進行何種操作。數(shù)據(jù)原發(fā)者鑒別：電子商務(wù)系統(tǒng)應(yīng)能提供對數(shù)據(jù)原發(fā)者的鑒別，確保所收到的數(shù)據(jù)確實來自原發(fā)者。這個要求可以通過數(shù)據(jù)完整性及數(shù)字簽名相結(jié)合的方法來實現(xiàn)。桂林電子科技大學計算機控制學院數(shù)據(jù)原發(fā)者的不可抵賴和不可否認性：電子商務(wù)系統(tǒng)應(yīng)能提供數(shù)據(jù)原發(fā)者不能抵賴自己曾做出的行為，也不能否認曾經(jīng)接到對方的信息，這在交易系統(tǒng)中十分重要。合法用戶的安全性：合法用戶的安全性是指合法用戶的安全性不受到危害和侵犯，電子商務(wù)系統(tǒng)和電子商務(wù)的安全管理體系應(yīng)該實現(xiàn)系統(tǒng)對用戶身份的有效確認、對私有密匙和口令的有效保護、對非法攻擊的有效防范等，桂林電子科技大學計算機控制學院網(wǎng)絡(luò)和數(shù)據(jù)的安全性：電子商務(wù)系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)和數(shù)據(jù)的安全，保護硬件資源不被非法占有，軟件資源免受病毒的侵害。

桂林電子科技大學計算機控制學院2、技術(shù)對策：●數(shù)據(jù)加密●CA認證、數(shù)字簽名●防火墻●安全工具包/軟件●訪問控制●數(shù)據(jù)完整性控制●網(wǎng)絡(luò)安全檢測設(shè)備桂林電子科技大學計算機控制學院3、管理對策：●人員管理制度電子商務(wù)安全運作基本原則：雙人負責原則、任期有限原則、最小權(quán)限原則?！癖Ｃ苤贫取窀?、審計、稽核制度●網(wǎng)絡(luò)系統(tǒng)的日常維護制度●病毒防范制度桂林電子科技大學計算機控制學院1、數(shù)據(jù)加密模型2、數(shù)據(jù)加密算法3、數(shù)據(jù)加密的應(yīng)用4.3數(shù)據(jù)加密技術(shù)桂林電子科技大學計算機控制學院什么是加密？加密：加密是指對數(shù)據(jù)進行編碼使其看起來毫無意義，同時仍保持可恢復的形式。桂林電子科技大學計算機控制學院1、數(shù)據(jù)加密模型E加密D解密明文X明文X密文C密文C截取者解密密鑰Kd加密密鑰Ke桂林電子科技大學計算機控制學院

●對稱加密對稱加密，它用且只用一個密鑰對信息進行加密和解密。明文消息密匙A加密加密消息明文消息密匙A解密桂林電子科技大學計算機控制學院●非對稱加密1977年麻省理工學院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。在此系統(tǒng)中有一對密碼，給別人用的就叫公鑰，給自己用的就叫私鑰。用公鑰加密后的密文，只有私鑰能解。桂林電子科技大學計算機控制學院

非對稱加密技術(shù)示意圖

桂林電子科技大學計算機控制學院3、數(shù)據(jù)加密的應(yīng)用●數(shù)據(jù)的保密性與完整性●數(shù)字簽名●數(shù)字認證桂林電子科技大學計算機控制學院4.4數(shù)據(jù)簽名技術(shù)1、數(shù)字簽名的概念

數(shù)字簽名（DigitalSignature）技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數(shù)字簽名主要有3種應(yīng)用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。桂林電子科技大學計算機控制學院Hash簽名是最主要的數(shù)字簽名方法：報文的發(fā)送方從明文中生成一個128比特的散列值（數(shù)字摘要）。發(fā)送方用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名。該數(shù)字簽名將作為附件和報文一起發(fā)送給接收方。報文的接收方從接收到的原始報文中計算出128比特的散列值（數(shù)字摘要），接著用發(fā)送方的公鑰對報文附加的數(shù)字簽名解密。

桂林電子科技大學計算機控制學院

圖9.3.3數(shù)字簽名桂林電子科技大學計算機控制學院2、數(shù)字簽名的使用方法（1）發(fā)送方首先用哈希函數(shù)從明文文件中生成一個數(shù)字摘要，用自己的私鑰對這個數(shù)字摘要進行加密來形成發(fā)送方的數(shù)字簽名。然后選擇一個對稱密鑰對文件加密，通過網(wǎng)絡(luò)傳輸?shù)浇邮辗剑⒃摂?shù)字簽名作為附件和報文密文一起發(fā)送給接收方。用接收方的公鑰將對稱密鑰加密，并通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?。桂林電子科技大學計算機控制學院

（2）接收方首先，使用自己的私鑰對密鑰信息進行解密，得到對稱密鑰。然后，用對稱密鑰對文件進行解密，得到數(shù)字簽名的明文，并得到經(jīng)過加密的數(shù)字簽名。最后，用發(fā)送方的公鑰對數(shù)字簽名進行解密。桂林電子科技大學計算機控制學院接受方公鑰接受方私鑰密約對哈希函數(shù)對稱密鑰密文對稱密鑰密文對稱密鑰哈希函數(shù)對稱密鑰3加密4解密數(shù)字簽名發(fā)送方私鑰1加密密文2加密密文傳輸傳輸發(fā)送方公鑰6解密7對比5解密密約對發(fā)送方接受方原文件簽名密文原文件簽名文件數(shù)字簽名數(shù)字簽名桂林電子科技大學計算機控制學院3、數(shù)字簽名的優(yōu)點●易更換；●難偽造；●不可抵賴；●可進行遠程線路傳遞。桂林電子科技大學計算機控制學院4.5安全認證技術(shù)電子商務(wù)是在網(wǎng)絡(luò)中完成的，交易雙方互不見面。為了保證每個人及機構(gòu)（如銀行、商家）都能唯一而且被無誤地識別，就需要進行身份認證。桂林電子科技大學計算機控制學院認證的目的●真實性，確認身份的真實性●可信性，確認信息來源是可信的●完整性，確認信息沒有被篡改●不可抵賴性，接受方不能否認已收到信息●訪問控制，拒絕非法訪問桂林電子科技大學計算機控制學院

一、CA認證中心（CertificateAuthority）電子商務(wù)認證授權(quán)機構(gòu)也稱為電子商務(wù)認證中心（CA），是一個服務(wù)性機構(gòu)，承擔網(wǎng)上安全電子交易的認證服務(wù)。其任務(wù)是受理數(shù)字證書的申請，簽發(fā)及管理數(shù)字證書，確認用戶身份。桂林電子科技大學計算機控制學院1、認證中心的職能

●證書發(fā)放可有多種方法向申請者發(fā)放證書，可發(fā)放給最終用戶簽名的或加密的證書。

●證書更新持卡人證書、商戶和支付網(wǎng)關(guān)證書應(yīng)定期更新。

●證書撤消若私鑰被泄密，身份信息需更新或終止使用等，可撤消證書。

●證書驗證認證證書是通過信任分級體系來驗證的，每一種證書與簽發(fā)它的單位相聯(lián)系，沿著該信任樹直接到一個認可信賴的組織，就可以確定證書的有效性。桂林電子科技大學計算機控制學院2、認證體系的結(jié)構(gòu)認證體系呈樹型結(jié)構(gòu)，不同等級的認證中心負責發(fā)放不同的證書。圖9.3.5CA體系示意圖桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院二、數(shù)字證書數(shù)字證書是標志網(wǎng)絡(luò)用戶身份信息和密鑰所有權(quán)的電子文檔（一系列數(shù)據(jù)），用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份，在Internet上解決“我是誰”的問題，就如同現(xiàn)實中我們每一個人都要擁有一張身份證一樣，以表明我們的身份或某種資格。

桂林電子科技大學計算機控制學院

數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。桂林電子科技大學計算機控制學院

1、數(shù)字證書的類型●客戶證書證實客戶身份和密鑰所有權(quán)?！穹?wù)器證書證實服務(wù)器的身份和公鑰。●安全郵件證書證實電子郵件用戶的身份和公鑰?！馛A機構(gòu)證書證實認證中心身份和簽名密鑰。桂林電子科技大學計算機控制學院

2、數(shù)字證書的內(nèi)容一個標準的X.509數(shù)字證書包含以下一些內(nèi)容：●證書的版本信息●證書的序列號，每個證書都有一個唯一的證書序列號●證書所使用的簽名算法桂林電子科技大學計算機控制學院●證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式●證書的有效期，現(xiàn)在一般采用UTC格式，計時范圍為1950-2049●證書所有人的名稱，命名規(guī)則一般采用X.500格式●證書所有人的公開密鑰●證書發(fā)行者對證書的簽名桂林電子科技大學計算機控制學院

3、數(shù)字證書的有效性只有下列條件為真時，數(shù)字證書才有效。①證書沒有過期②密鑰沒有修改③用戶有權(quán)使用這個密鑰④證書必須不在無效證書清單中桂林電子科技大學計算機控制學院三、數(shù)字時間戳DTSS（DigitalTime－StampService）1、數(shù)字時間戳的概念數(shù)字時間戳是用來證明消息的收發(fā)時間的。需要一個第三方來提供可信賴的且不可抵賴的時間戳服務(wù)。作為可信賴的第三方，應(yīng)為服務(wù)器端和客戶端應(yīng)用頒發(fā)時間戳。打上時間戳就是將一個可信賴的日期和時間與數(shù)據(jù)綁定在一起的過程。桂林電子科技大學計算機控制學院

用戶首先將需要加時間戳的文件經(jīng)加密后形成文檔，然后將摘要發(fā)送到專門提供數(shù)字時間戳服務(wù)的權(quán)威機構(gòu)，該機構(gòu)對原摘要加上時間后，進行數(shù)字簽名，用私鑰加密，并發(fā)送給原用戶。

桂林電子科技大學計算機控制學院數(shù)字時間戳的應(yīng)用過程桂林電子科技大學計算機控制學院

2、時間戳產(chǎn)生的過程用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTSS認證單位。DTSS認證單位在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由DTSS認證單位來加的，并以收到文件的時間為依據(jù)。桂林電子科技大學計算機控制學院3、數(shù)字時間戳的作用●數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理媒體無關(guān)?！駥σ鸭由w時間戳的文件不可能做絲毫改動（即使僅lbit）?！褚雽δ硞€文件加蓋與當前日期和時間不同的時間戳是不可能的。桂林電子科技大學計算機控制學院

用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。

數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。數(shù)字證書的格式一般采用X.509國際標準。桂林電子科技大學計算機控制學院4.6電子商務(wù)安全應(yīng)用協(xié)議電子商務(wù)安全協(xié)議分類

1）加密協(xié)議2）身份驗證協(xié)議3）密鑰管理協(xié)議4）數(shù)據(jù)驗證協(xié)議5）安全審計協(xié)議6）防護協(xié)議桂林電子科技大學計算機控制學院

一、國際通用電子商務(wù)安全協(xié)議1.安全套接層協(xié)議SSL（SecureSocketsLayer）SSL是由網(wǎng)景公司推出的一種安全通信協(xié)議，主要作用是保證Web站點之間的通信經(jīng)過加密、認證和完整性。它能夠?qū)π庞每ê蛡€人信息提供較強的保護。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。桂林電子科技大學計算機控制學院（2）安全套接層協(xié)議SSL的工作原理網(wǎng)站、網(wǎng)民到CA中心申請數(shù)字證書；網(wǎng)民輸入要訪問的網(wǎng)站域名，到CA中心下載和安裝該網(wǎng)站的數(shù)字證書；網(wǎng)站得到網(wǎng)民的信息包后，隨機產(chǎn)生一個對稱密鑰，并用網(wǎng)站私鑰加密（數(shù)字簽名）后發(fā)送給網(wǎng)民。網(wǎng)民用CA中心提供的網(wǎng)站數(shù)字證書中的網(wǎng)站公鑰解密，得到對稱密鑰。雙方使用該對稱密鑰進行數(shù)據(jù)加密和解密。桂林電子科技大學計算機控制學院（3）實現(xiàn)SSL協(xié)議的HTTP是安全版，稱為HTTPS。

桂林電子科技大學計算機控制學院建立SSL安全連接的過程在eCoin上登陸用戶名時即進入SSL安全連接。在eCoin上連接交換敏感信息的頁面桂林電子科技大學計算機控制學院

這時瀏覽器發(fā)出安全警報，開始建立安全連接，參見左圖。同時驗證安全證書，參見右圖。用戶單擊“確定”鍵即進入安全連接。

瀏覽器開始建立安全連接瀏覽器驗證服務(wù)器安全證書桂林電子科技大學計算機控制學院

該圖顯示在eCoin上的安全連接已經(jīng)建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網(wǎng)頁傳輸?shù)挠脩裘兔艽a都將通過加密方式傳送。桂林電子科技大學計算機控制學院

當加密方式傳送結(jié)束后，瀏覽器會離開交換敏感信息的頁面，自動斷開安全連接。離開交換敏感信息的頁面，瀏覽器自動斷開安全連接

桂林電子科技大學計算機控制學院2、安全電子交易協(xié)議SET（SecureElectronicTransaction）為了克服SSL安全協(xié)議的缺點，達到交易安全及合乎成本效益的市場要求，VISA和MasterCard聯(lián)合其他國際組織，于1997年5月共同制定了安全電子交易SET協(xié)議。桂林電子科技大學計算機控制學院

SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設(shè)計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。桂林電子科技大學計算機控制學院SET安全電子交易標準特點執(zhí)行步驟與常規(guī)的信用卡交易相似；確認持卡者、商家、金融機構(gòu)的身份；保證付款數(shù)據(jù)的機密性和完整性；制定安全措施的算法和協(xié)議；局限于使用信用卡的支付手段，要求安裝電子錢包。桂林電子科技大學計算機控制學院

在SET中采用雙重簽名技術(shù)，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數(shù)據(jù)等信息，這些涉及到與銀行業(yè)務(wù)相關(guān)的保密數(shù)據(jù)對支付網(wǎng)關(guān)是不保密的，因此支付網(wǎng)關(guān)必須由收單銀行或其委托的信用卡組織來擔當。桂林電子科技大學計算機控制學院Sender’sComputerSender’sPrivateSignatureKeySender’sCertificate++Message+DigitalSignature

Receiver’sCertificateEncryptSymmetricKeyEncryptedMessage

Receiver’sKey-ExchangeKeyEncryptDigitalEnvelope

MessageMessageDigest

桂林電子科技大學計算機控制學院Receiver’sComputerDecryptSymmetricKeyEncryptedMessage

Sender’sCertificate++Messagecompare

DigitalEnvelopeReceiver’sPrivateKey-ExchangeKey

DecryptMessageDigestDigitalSignatureSender’sPublicSignatureKey

DecryptMessageDigest

桂林電子科技大學計算機控制學院4、公開密鑰基礎(chǔ)設(shè)施（PKI）（PublicKeyInfrastructure）

公開密鑰基礎(chǔ)設(shè)施是一種以公鑰加密技術(shù)為基礎(chǔ)技術(shù)手段實現(xiàn)安全性的技術(shù)。PKI由認證機構(gòu)、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等基本成分組成。1）認證機構(gòu)2）證書庫3）密鑰生成和管理系統(tǒng)4）證書管理系統(tǒng)5）PKI應(yīng)用接口系統(tǒng)桂林電子科技大學計算機控制學院

公開密鑰基礎(chǔ)設(shè)施的優(yōu)點：①透明性和易用性②可廣展性③可操作性強④支持多應(yīng)用⑤支持多平臺作為網(wǎng)絡(luò)環(huán)境的一種基礎(chǔ)設(shè)施，PKI具有良好的性能，是一個比較完整的安全體系。電子商務(wù)建設(shè)過程中涉及的許多安全問題都可由PKI解決。桂林電子科技大學計算機控制學院4.7防火墻技術(shù)一、防火墻的概念二、防火墻的作用三、防火墻的種類四、防火墻的體系結(jié)構(gòu)五、防火墻的設(shè)計桂林電子科技大學計算機控制學院一、防火墻的概念內(nèi)部網(wǎng)和外部網(wǎng)間的一個保護層，強制所有的連接須經(jīng)過此保護層進行檢查，只有被授權(quán)的通信才能通過此保護層，從而保護內(nèi)部網(wǎng)和外部網(wǎng)的訪問。1、限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問2、限制內(nèi)部網(wǎng)對外部網(wǎng)的訪問桂林電子科技大學計算機控制學院二、防火墻的作用1、保護那些易受攻擊的服務(wù)2、控制對特殊站點的訪問3、集中化的安全管理4、對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計5、網(wǎng)絡(luò)地址翻譯器桂林電子科技大學計算機控制學院三、防火墻的種類1、數(shù)據(jù)包過濾防火墻2、代理服務(wù)器防火墻3、復合型防火墻桂林電子科技大學計算機控制學院1、數(shù)據(jù)包過濾防火墻

數(shù)據(jù)包過濾（PacketFiltering）技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表（AccessControlTable）。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。桂林電子科技大學計算機控制學院2、代理服務(wù)器防火墻

應(yīng)用級網(wǎng)關(guān)（ApplicationLevelGateways）也常常稱為代理服務(wù)器，是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功