電子商務(wù)安全課件

第5章電子商務(wù)安全

5.1電子商務(wù)安全概述第5章電子商務(wù)安全

5.1電子商務(wù)安全概述15.1電子商務(wù)安全概述如何維護(hù)電子商務(wù)交易中數(shù)據(jù)和資金的安全成為交易者需要考慮的首要問題。據(jù)調(diào)查數(shù)據(jù)顯示，人仍不愿意在網(wǎng)上購物成進(jìn)行支付的主要原因之一就是擔(dān)心自己資金的安全。安全向題已經(jīng)成為制約電子商務(wù)進(jìn)一步發(fā)展的瓶頸，引起了人們的普遍關(guān)注，越來越多的人力、資金被投人到對電子商務(wù)安全問題研究上。5.1電子商務(wù)安全概述如何維護(hù)電子商務(wù)交易中數(shù)據(jù)和資金的安25.1.1電子商務(wù)的安全威脅1．電子商務(wù)網(wǎng)絡(luò)系統(tǒng)安全威脅：1)計(jì)算機(jī)軟件系統(tǒng)的潛在安全問題如：操作系統(tǒng)在默認(rèn)安裝的條件下會(huì)存在一些安全問題；網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。2)安全產(chǎn)品用使用不當(dāng)3)缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度5.1.1電子商務(wù)的安全威脅1．電子商務(wù)網(wǎng)絡(luò)系統(tǒng)安全威脅35.1.1電子商務(wù)的安全威脅2.交易安全威脅(1)交易者可能在交易過程中被競爭對手盜取各種資料。(2)交易伙伴有企圖抵賴或欺詐的行為。(3)交易的各方由于不是面對面地進(jìn)行交易，因此存在被冒名頂替的風(fēng)險(xiǎn)。5.1.1電子商務(wù)的安全威脅2.交易安全威脅45.1.2電子商務(wù)的安全要求電子商務(wù)需要安全的電子環(huán)境。安全的電子商務(wù)環(huán)境包括：精心規(guī)劃的管理體系，嚴(yán)密的技術(shù)措施，完善的法律系統(tǒng)。所以，電子商務(wù)的安全不只是技術(shù)問題，還涉及復(fù)雜的管理和法律問題。5.1.2電子商務(wù)的安全要求電子商務(wù)需要安全的電子環(huán)境。5電子商務(wù)的安全要求電子商務(wù)的安全要求劃分為3個(gè)方面：電子商務(wù)交易方自身網(wǎng)絡(luò)安全；電子交易數(shù)據(jù)的傳輸安全；電子商務(wù)的支付安全。電子商務(wù)的安全要求電子商務(wù)的安全要求劃分為3個(gè)方面：61.電子商務(wù)交易方自身網(wǎng)絡(luò)安全(1)要保證硬件資源的安全：系統(tǒng)應(yīng)采取有效措施保證硬件資源的可用性。(2)要保護(hù)軟件和數(shù)據(jù)庫資源的安全：對于重要的軟件系統(tǒng)和數(shù)據(jù)庫，首先應(yīng)建立備份，其次應(yīng)該保證軟件和數(shù)據(jù)資源不被濫用和破壞，不會(huì)受到病毒的侵襲。(3)安保證內(nèi)部系統(tǒng)的門戶安全：內(nèi)部系統(tǒng)必須明確規(guī)定哪些人員可以進(jìn)入和使用,建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等.1.電子商務(wù)交易方自身網(wǎng)絡(luò)安全(1)要保證硬件資源的安全：系72.電子交易數(shù)據(jù)的傳輸安全(1)交易數(shù)據(jù)和信息的保密性要求：必須采取有效的安全措施保證電子交易的數(shù)據(jù)不會(huì)被人非法得到或?yàn)E用。(2)交易數(shù)據(jù)和信息的完整性要求：在數(shù)據(jù)和信息到達(dá)目的地時(shí)，要有一定的技術(shù)手段來保證和檢驗(yàn)所得到的數(shù)據(jù)和信息與原始被發(fā)出信息是一致的。(3)交易各方身份的可認(rèn)證性要求：交易雙方能夠在相互不見面的情況下確認(rèn)對方的身份,鑒別服務(wù)來驗(yàn)證其聲明的正確性.(4)交易本身的不可抵賴性要求：不可抵賴性可通過對發(fā)送的消息進(jìn)行數(shù)字簽名來獲取。2.電子交易數(shù)據(jù)的傳輸安全(1)交易數(shù)據(jù)和信息的保密性要求：83.電子商務(wù)的支付安全電子支付是涉及到用戶與銀行等金融部門的交互利接口，其安全性是整個(gè)電子商務(wù)安全中很重要的一個(gè)方面.電子支付就是資金或與資金有關(guān)的信息通過網(wǎng)絡(luò)進(jìn)行交換的行為，在普通的電子商務(wù)中就表現(xiàn)為消費(fèi)者、商家、企業(yè)、中介機(jī)構(gòu)和銀行等通過Internet或其他類型的網(wǎng)絡(luò)所進(jìn)行的資金流轉(zhuǎn)，主要通過信用卡、電子支票、數(shù)字現(xiàn)金、智能卡等方式來實(shí)現(xiàn)的。3.電子商務(wù)的支付安全電子支付是涉及到用戶與銀行等金融部門的9

5.1.3電子商務(wù)安全保障體系電子商務(wù)的安全要從三個(gè)大的方面來綜合考慮，即管理措施，技術(shù)措施和法律措施。

5.1.3電子商務(wù)安全保障體系電子商務(wù)的安全要從三個(gè)大的101．管理上的安全措施首先,在高層管理要引起對電子商務(wù)安全的足夠重視.其次,在規(guī)劃利標(biāo)堆的指導(dǎo)下要制定詳細(xì)的文全行為規(guī)范.最后,要特別注意安全條例的執(zhí)行保障.1．管理上的安全措施首先,在高層管理要引起對電子商務(wù)安全的足11

2．法律上的安全保障主要涉及的法律要素有：(1)有關(guān)電子商務(wù)交易各方合法身份認(rèn)讓的法律。電子身份認(rèn)證中心是電子商務(wù)中的核心角色，它擔(dān)負(fù)著保證電子商務(wù)公正、安全進(jìn)行的任務(wù)。(2)有關(guān)保護(hù)交易者個(gè)人及交易數(shù)據(jù)的法律。(3)有關(guān)電子商務(wù)中電子合同合法性及如何進(jìn)行認(rèn)證的法律.(4)有關(guān)網(wǎng)絡(luò)知識產(chǎn)權(quán)保護(hù)的法律。

2．法律上的安全保障主要涉及的法律要素有：123．技術(shù)上的安全保障對于維護(hù)企業(yè)內(nèi)部網(wǎng)安全的技術(shù)包括用戶密碼和權(quán)限管理技術(shù)，防火墻技術(shù)．虛擬私人網(wǎng)(VPN)技術(shù)，網(wǎng)絡(luò)殺毒技術(shù)等；維護(hù)交易數(shù)據(jù)在Internet安全傳輸?shù)募夹g(shù)包括數(shù)據(jù)加密，數(shù)字簽名等，其中為了識別用戶在現(xiàn)實(shí)世界中的真實(shí)身份還要涉及到cA認(rèn)證中心；另外為了維護(hù)電子交易中最為關(guān)鍵的資金流動(dòng)特別是信用卡支付的安全，還要涉及到兩個(gè)應(yīng)用廣泛的協(xié)議：SSL和SET協(xié)議.3．技術(shù)上的安全保障對于維護(hù)企業(yè)內(nèi)部網(wǎng)安全的技術(shù)包括用戶密碼135．2電子商務(wù)交易方自身網(wǎng)絡(luò)安全保障技術(shù)5．2電子商務(wù)交易方自身網(wǎng)絡(luò)安全保障技術(shù)145.2.1用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù)1.用戶賬號管理技術(shù)密碼登錄技術(shù)由于比較簡便有效，是最直接的安令防衛(wèi)措施，幾乎在所有的系統(tǒng)里都有應(yīng)用，但也正是出于它的簡單性，使得它比較容易泄露或被人破解.—般建議密碼的長度在8他左右。5.2.1用戶賬號管理和網(wǎng)絡(luò)殺毒技術(shù)1.用戶賬號管理技151、用戶賬號管理技術(shù)在組織內(nèi)部使用密碼鋅錄技術(shù)時(shí)可以采用以下防范措施：不允許使用個(gè)人特征明顯的密碼，定期要求用戶更換密碼，使用數(shù)字和字母及其他符號的混合碼，不要使用自動(dòng)保存密碼的程序，不要把密碼寫在容易被發(fā)現(xiàn)的地方……1、用戶賬號管理技術(shù)在組織內(nèi)部使用密碼鋅錄技術(shù)時(shí)可以采用以下16用戶賬號管理措施：(1)用戶分級管理是很多操作系統(tǒng)都支持的用戶管理方法。(2)單一登錄密碼制度保證用戶在企業(yè)計(jì)算：機(jī)網(wǎng)絡(luò)里任何地方都使用同一個(gè)用戶名稱密碼。(3)用戶身份確認(rèn)方法對用戶登錄方法進(jìn)行限制。用戶賬號管理措施：(1)用戶分級管理是很多操作系統(tǒng)都支持的用17

2．網(wǎng)絡(luò)殺毒技術(shù)網(wǎng)絡(luò)病毒的來源足多方面的，既包括從Internet下載文件帶來的病毒，又包括內(nèi)部用戶在客戶機(jī)或服務(wù)器上使用軟盤等產(chǎn)生的病毒。網(wǎng)絡(luò)防病毒技術(shù)：1）預(yù)防病毒：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制(如防病毒卡)等。2）檢測病毒：病毒防治的支柱。3）消除病毒：殺毒軟件。

2．網(wǎng)絡(luò)殺毒技術(shù)網(wǎng)絡(luò)病毒的來源足多方面的，既包括從Int185.2.2防火墻技術(shù)防火墻是指由軟件和硬件設(shè)備(一般是計(jì)算機(jī)或路由器等)組合而成的，處于企業(yè)內(nèi)部網(wǎng)和外部網(wǎng)則之間，用于加強(qiáng)內(nèi)外之間安全防范的一個(gè)或一組系統(tǒng)。防火墻的實(shí)質(zhì)是一組硬件和軟件的組合、位于企業(yè)內(nèi)部網(wǎng)的門戶處，是數(shù)據(jù)和服務(wù)進(jìn)出內(nèi)部網(wǎng)絡(luò)的惟一通路，通過在防火墻上進(jìn)行規(guī)則的設(shè)置來對進(jìn)出的內(nèi)容進(jìn)行檢查，從而維護(hù)內(nèi)部網(wǎng)的安全。防火墻的設(shè)置有兩條原則：一是凡是術(shù)被難許的就不被通過；另一條原則與它正好相反，它堅(jiān)持凡是未被禁止的就可以通過。5.2.2防火墻技術(shù)防火墻是指由軟件和硬件設(shè)備(一般是計(jì)算192.防火墻的主要作用(1)通過要求登錄賬號和密碼或通過對IP地址的識別等方法限制非法用戶進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)；(2)通過在防火墻上設(shè)置過濾規(guī)則來過濾掉不符合規(guī)定的數(shù)據(jù)或限制提供／接受的服務(wù)類型；(3)通過防問記錄可以對網(wǎng)絡(luò)威脅狀況進(jìn)行分析。2.防火墻的主要作用(1)通過要求登錄賬號和密碼或通過對I20

3.不同類型的防火墻包過濾型防火墻應(yīng)用級網(wǎng)關(guān)代理服務(wù)器

3.不同類型的防火墻包過濾型防火墻211)包過濾型防火墻包過濾型防火墻就被安裝在路由器上，它通過在路由器上設(shè)置過濾邏輯，監(jiān)測通過數(shù)據(jù)包包頭的地址，端口等信息，符合過濾邏輯的就予以放行，否則就拒絕。包過濾型防火墻的工作原理如圖5．2表示.1)包過濾型防火墻包過濾型防火墻就被安裝在路由器上，它通過在221)包過濾型防火墻幾乎所有的商用路由器都提供此項(xiàng)功能，因而該種防火墻的設(shè)置是最簡便易行的．據(jù)統(tǒng)計(jì)數(shù)字表明，全世界80％的網(wǎng)絡(luò)防火墻都是該種類型的。包過濾防火墻的優(yōu)點(diǎn)足簡單易行，但是這種防火墻并木能完全有效地防范非法攻擊，非法入侵者比較容易利用電子欺騙來蒙混過關(guān)，而一旦防火墻被突破，整個(gè)網(wǎng)絡(luò)都會(huì)暴露在Internet上;另外定義完備的過濾規(guī)則也比較則難，即使當(dāng)時(shí)定義了比較完善的規(guī)則，但I(xiàn)nternet每天都在發(fā)生一些新的變化，需要對過濾規(guī)則進(jìn)行動(dòng)態(tài)的維護(hù)和更新。包過濾型網(wǎng)關(guān)還有一個(gè)主要的缺陷是不能對進(jìn)出網(wǎng)絡(luò)的信息留下記錄，從而無法知道是否有人在企圖攻擊你的網(wǎng)絡(luò).1)包過濾型防火墻幾乎所有的商用路由器都提供此項(xiàng)功能，因而該232)應(yīng)用級網(wǎng)關(guān)與包過濾型網(wǎng)關(guān)比較類似的一點(diǎn)是它們都通過設(shè)置過濾條件來限制數(shù)據(jù)和服務(wù)的進(jìn)出，但應(yīng)用級網(wǎng)關(guān)是在網(wǎng)絡(luò)應(yīng)用層上工作，可以完成更為復(fù)雜的任務(wù).應(yīng)用級網(wǎng)關(guān)具備登記和審核功能，可以對通過它的信息和服務(wù)進(jìn)行記錄，形成分析報(bào)告.缺陷：針對不向的協(xié)議和應(yīng)用要設(shè)置不同的代理軟件，實(shí)現(xiàn)起來復(fù)雜,效率也如包過濾型防火墻高。通常安裝在專用工作站系統(tǒng)上，而不是在路由器去上.2)應(yīng)用級網(wǎng)關(guān)與包過濾型網(wǎng)關(guān)比較類似的一點(diǎn)是它們都通過設(shè)置過242)應(yīng)用級網(wǎng)關(guān)包過濾型防火墻和應(yīng)用級網(wǎng)關(guān)的功能對比:都是使用”篩子”的原理進(jìn)行工作，包過濾型防火墻比較粗線條,而月篩孔均勻一致，但“篩過即忘”、沒有記錄；應(yīng)用級網(wǎng)關(guān)則依靠更強(qiáng)的“理解能力”把篩孔做得大小不均，對不同的“過客”采用不同的標(biāo)準(zhǔn)，對癥下藥，且“人過留名”,從而比包過濾型防火墻更安全.2)應(yīng)用級網(wǎng)關(guān)包過濾型防火墻和應(yīng)用級網(wǎng)關(guān)的功能對比:253)代理服務(wù)器數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的缺點(diǎn)，就是它們依靠過濾條件來判定是否允許數(shù)據(jù)和服務(wù)通過，因此滿足條件的數(shù)據(jù)和服務(wù)可以直接在企業(yè)網(wǎng)絡(luò)內(nèi)外來去，這一缺點(diǎn)可能會(huì)造成非法用戶的入侵和攻擊.針對這一缺點(diǎn)，人們開發(fā)了代理服務(wù)器技術(shù).3)代理服務(wù)器數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的缺點(diǎn)，263)代理服務(wù)器3)代理服務(wù)器274.選用和建立適合的防火墻系統(tǒng)目前理想的防火墻應(yīng)該具有高度安全性、高度透明性及良好的網(wǎng)絡(luò)性能，而這些性能本身又是相互制約、相互影響。用戶可根據(jù)實(shí)際情況需要，選擇使用滿足自己網(wǎng)絡(luò)安全需求的防火墻。應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器方式的防火墻大多是基于主機(jī)的，價(jià)格比較貴，但性能好，安裝和使用也比數(shù)據(jù)包過濾的防火墻復(fù)雜．而數(shù)據(jù)包過濾防火墻具有成本低，安裝和使用方便，但安全件不高的特點(diǎn)。企業(yè)必須認(rèn)識到購買和安裝了防火墻以后并不意味著可以一勞永逸，高枕無憂了。防火墻必須與企業(yè)整體安全防護(hù)措施、其他網(wǎng)絡(luò)安全技術(shù)相結(jié)合才能更好地發(fā)揮作用。4.選用和建立適合的防火墻系統(tǒng)目前理想的防火墻應(yīng)該具有高度安28

5.3電子商務(wù)數(shù)據(jù)傳輸安全保障技術(shù)采用數(shù)據(jù)加密技術(shù)來保護(hù)電子商務(wù)交易數(shù)據(jù)傳輸?shù)谋Ｃ苄?，采用?shù)字簽名技術(shù)保證電子商務(wù)交易數(shù)據(jù)傳輸?shù)耐暾浴?/p>

5.3電子商務(wù)數(shù)據(jù)傳輸安全保障技術(shù)采用數(shù)據(jù)加密技術(shù)來295.3.1什么是數(shù)據(jù)加密加密：我們將原始末經(jīng)受換的信息稱之為密文。為了保護(hù)明文，將其通過一定的方法變換成使人難以識別的一種編碼，即密文。這個(gè)變換處理的過程稱為加密。解密：密文可以經(jīng)過相應(yīng)的逆變換還原成明文，這個(gè)變換處理的過程稱為解密。密鑰：對信息進(jìn)行加密和解密通常是在原文和密文上增加或除去一些附加信息，這些附加信息就是密鑰。密鑰是由數(shù)字、字母或特殊符號組成的字符串?？刂萍用茏儞Q的密鑰為加密密鑰，控制解密變換的密鑰稱為解密密鑰，加密密鑰和解密密鑰不一定是相同的。密鑰的位數(shù)決定著加密系統(tǒng)的安全性，密鑰越長，破解密鑰需要的計(jì)算時(shí)間就越長．因此也就越安全。加密算法：如果把加密或解密的變換處理過程抽象成數(shù)學(xué)函數(shù)，這個(gè)函數(shù)便是加密或解密算法，用來實(shí)施加密的為加密函數(shù)，反之為解密函數(shù)。5.3.1什么是數(shù)據(jù)加密加密：我們將原始末經(jīng)受換的信息稱之305.3.2兩種不同的加密算法5.3.2兩種不同的加密算法311．對稱加密體制或秘密密鑰對稱加密體制采用相同的加密密鑰和解密密鑰進(jìn)行工作，這意味著雙方都可以利用該密鑰進(jìn)行加解密。1．對稱加密體制或秘密密鑰對稱加密體制32DES算法DES算法33對稱加密體制存在的問題優(yōu)點(diǎn)是速度快，效率高。缺陷：首先是密鑰數(shù)目問題，有N個(gè)交易者就需要N個(gè)不同的密鑰，如何保存和管理密鑰成為一大難題；其次對稱加密算法需要一條安全的途徑來傳送密鑰，也是一大難題；另外，由于數(shù)據(jù)發(fā)送方和接收方都使用同一密鑰，無法鑒別發(fā)送方和接收方的身份。對稱加密體制存在的問題優(yōu)點(diǎn)是速度快，效率高。342.非對稱加密體制或公開密鑰體制2.非對稱加密體制或公開密鑰體制35工作流程工作流程36非對稱加密與對稱加密在實(shí)際操作中的結(jié)合非對稱加密與對稱加密在實(shí)際操作中的結(jié)合373.如何管理密鑰據(jù)統(tǒng)計(jì)數(shù)字表明，對系統(tǒng)安全的攻擊很多是針對密鑰進(jìn)行的攻擊。非對稱加密機(jī)制只需保存自己的私鑰，把公開密鑰交給公鑰的專門管理機(jī)構(gòu)(CA中心）保存和發(fā)布。貿(mào)易伙伴間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰。對稱密鑰機(jī)制下貿(mào)易方為每次交換的信息(如每次的EDI交換)生成惟一一把對稱密鑰并用公開密鎖對該密鑰進(jìn)行加密，然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給相應(yīng)的貿(mào)易方。3.如何管理密鑰據(jù)統(tǒng)計(jì)數(shù)字表明，對系統(tǒng)安全的攻擊很多是針對密385.3.3解決數(shù)據(jù)傳輸完整性問題：數(shù)字簽名數(shù)字簽名的基礎(chǔ)是加密技術(shù)，但它不是使用密鑰而是使用一種函數(shù)進(jìn)行加密，這個(gè)函數(shù)被稱為哈西函數(shù)。數(shù)字簽名的過程即是把將要簽名的文件輸入哈西函數(shù)，通過函數(shù)的作用輸出一組定長的代碼作為數(shù)字簽名。數(shù)字簽名代表著文件的特征，它的值將隨著文件的變化而變化，不同文件的數(shù)字簽名一定是不同的(即使只改變文件一個(gè)字符也會(huì)得到不同的數(shù)字簽名），可以利用數(shù)字簽名來鑒別文件在傳輸?shù)倪^程中是否遭到破壞或篡改，也可以把數(shù)字簽名與加密技術(shù)相結(jié)合，判斷誰是文件的發(fā)送者。5.3.3解決數(shù)據(jù)傳輸完整性問題：數(shù)字簽名數(shù)字簽名的基礎(chǔ)是加39數(shù)字簽名數(shù)字簽名40數(shù)字簽名的作用：(1)鑒別傳送的信息是否遭到過更改，因?yàn)椴煌奈募a(chǎn)生的數(shù)字簽名是不同的，所以可以通過重新計(jì)算數(shù)字簽名來判斷數(shù)據(jù)傳送的完整性；(2)利用數(shù)字簽名和加密技術(shù)可以識別信息發(fā)送者的身份。數(shù)字簽名的作用：415.3.4虛擬私人網(wǎng)（VPN）5.3.4虛擬私人網(wǎng)（VPN）422.VPN的應(yīng)用平臺2.VPN的應(yīng)用平臺433.VPN的特點(diǎn)3.VPN的特點(diǎn)445.4電子商務(wù)交易用戶身份識別與認(rèn)證技術(shù)公鑰體系存在兩個(gè)明顯的問題：如何保證公鑰持有者的身份是真實(shí)的；大規(guī)模網(wǎng)絡(luò)環(huán)境下公鑰的產(chǎn)生、分發(fā)與管理5.4電子商務(wù)交易用戶身份識別與認(rèn)證技術(shù)公鑰體系存在兩個(gè)明顯455.4.1什么是CA認(rèn)證認(rèn)證中心，又稱為證書授證(CertificateAuthority)中心，是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。證書的格式遵循ITUX.509國際標(biāo)準(zhǔn)。數(shù)宇證書是公開密鑰體制(非對稱加密體制)下的一種權(quán)威性的電子文檔，是電子商務(wù)交易中的一種身份證，用于證明某一參與交易方的身份及其公開密鑰的合法性。認(rèn)證中心是審核，發(fā)放和管理數(shù)字證書的公認(rèn)的機(jī)構(gòu).5.4.1什么是CA認(rèn)證認(rèn)證中心，又稱為證書授證(Cer465.4.2CA認(rèn)證過程5.4.2CA認(rèn)證過程475.4.3數(shù)字證書的內(nèi)容和驗(yàn)證一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容

證書的版本信息；

證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；

證書所使用的簽名算法；

證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；

證書所有人的名稱，命名規(guī)則一般采用X.500格式；

證書所有人的公開密鑰；

證書發(fā)行者對證書的數(shù)字簽名。不同種類的數(shù)字證書包含有不同的內(nèi)容,證書包合的內(nèi)容越多，cA中心需要驗(yàn)證的內(nèi)容就越多，證書對于驗(yàn)證用戶身份的作用就越大。當(dāng)然用戶足需要向c4中心支付費(fèi)用的，證書越復(fù)雜，用戶要付的錢也就越多。5.4.3數(shù)字證書的內(nèi)容和驗(yàn)證一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)48數(shù)字證書的種類顧客支付證書:由金融機(jī)構(gòu)頒發(fā)的存有用戶賬戶信息的數(shù)字證書，當(dāng)商家接到顧客支付證書時(shí)就可以知道該顧客的支付卡是被發(fā)卡的金融機(jī)構(gòu)認(rèn)可的，出此可以放心地接下這單生意。

商家證書:．如果商家與某個(gè)金融機(jī)構(gòu)有協(xié)議(商家持有該金融機(jī)構(gòu)的證書)，可以保證顧客在使用該金融機(jī)構(gòu)頒發(fā)的支付卡付款后，貨款最終會(huì)被劃撥到該商家的賬戶里。其他證書還包括發(fā)卡行證書、收款行證書等。數(shù)字證書的種類顧客支付證書:由金融機(jī)構(gòu)頒發(fā)的存有用戶賬戶信息493.數(shù)字證書的管理和驗(yàn)證認(rèn)證機(jī)構(gòu)具有嚴(yán)格的層次結(jié)構(gòu)，上級機(jī)構(gòu)制定政策，并對下級CA授權(quán)。根CA品牌CA地域政策CA商戶CA（MCA）持卡人CA（CCA）支付網(wǎng)關(guān)CA（MCA）MCAMCACCAMCAMCA3.數(shù)字證書的管理和驗(yàn)證認(rèn)證機(jī)構(gòu)具有嚴(yán)格的層次結(jié)構(gòu)，上級機(jī)構(gòu)505.4.4中國金融認(rèn)證中心5.4.4中國金融認(rèn)證中心515.5電子商務(wù)支付安全在Internet上進(jìn)行欺騙的模式：-采用假的服務(wù)器來欺騙用戶的終端；-采用假的用戶來欺騙服務(wù)器；-在信息的傳輸過程中截取信息；-在Web服務(wù)器及Web用戶之間進(jìn)行雙方欺騙。5.5電子商務(wù)支付安全在Internet上進(jìn)行欺騙的模式525.5.1SSL協(xié)議SSL協(xié)議是NetscapeCommunication公司設(shè)計(jì)開發(fā)的一種安全技術(shù)規(guī)范，它包含在Internet上兩個(gè)節(jié)點(diǎn)之間建立安全的TCP連接的流程及使用的技術(shù)，SSL協(xié)議保證采用它的規(guī)范進(jìn)行的數(shù)據(jù)傳輸是安全的.一個(gè)比較通用的對SSL協(xié)議概念的總結(jié)是：面向任何安裝了SSL協(xié)議的客戶機(jī)和服務(wù)器，保證它們之間的一切事務(wù)安全，涉及所有的TCP／IP應(yīng)用程序.5.5.1SSL協(xié)議SSL協(xié)議是NetscapeCom53SSL協(xié)議工作原理SSL可以提供在Web上兩臺機(jī)器間的安全通道.(1)利用認(rèn)證技術(shù)識別各自的身份;(2)利用加密技術(shù)保證通道的保密性;(3)利用數(shù)字簽名技術(shù)保證信息傳送的完整性.SSL協(xié)議工作原理SSL可以提供在Web上兩臺機(jī)器間的安全通54SSL協(xié)議的安全交易過程SSL協(xié)議的安全交易過程55

SSL協(xié)議的優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)是支持很多加密算法；另外，其實(shí)現(xiàn)過程比較簡單，獨(dú)立于應(yīng)用層協(xié)議;目前被大部分的瀏覽器和服務(wù)器內(nèi)置，實(shí)現(xiàn)方便。缺點(diǎn)是它只能建立兩點(diǎn)之間的安全連線(顧客只能把付款信息先發(fā)送到商家，再由商家轉(zhuǎn)發(fā)到銀行)，它只保證兩點(diǎn)之間數(shù)據(jù)的傳輸安全，而不能保證商家會(huì)私自保留或盜用付款信息.

SSL協(xié)議的優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)是支持很多加密算法；另外，其實(shí)565.5.2SET協(xié)議5.5.2SET協(xié)議57SET協(xié)議的主要目標(biāo)(1)保障付款信息的安全：SET協(xié)議首先要保障付款信息的安全傳輸，保證用戶的交易數(shù)據(jù)不會(huì)被截獲或丟失；(2)保障付款過程的安全：SET協(xié)議的付款過程與SSL協(xié)議不同．顧客雖然把信用卡賬號密碼等情息發(fā)往商家，但可以保障商家看不到賬戶等顧客付款信息，從而保證付款過程的信息安全；同時(shí)SET協(xié)議要求參與付款的各方都要提供數(shù)字證書進(jìn)行身份認(rèn)證，保證付款過程的信用安全。(3)保證付款過程遵守相同的協(xié)議和格式標(biāo)準(zhǔn).SET協(xié)議的主要目標(biāo)(1)保障付款信息的安全：SET協(xié)議首先58基于SET協(xié)議的交易流程(])顧客布網(wǎng)上瀏覽商品；(2)顧客開始購買商品，向商家發(fā)送購買請求及付款賬戶信息，此時(shí)SET協(xié)議開始介入購買流程。(3)商家處理訂購信息.(4)準(zhǔn)備發(fā)送貨物，向時(shí)向?yàn)轭櫩吞峁┬庞每ǖ慕鹑跈C(jī)構(gòu)提出付款請求，完成交易.基于SET協(xié)議的交易流程(])顧客布網(wǎng)上瀏覽商品；59SET協(xié)議的作用

個(gè)人賬號信息與訂單信息的隔離（采用雙簽名機(jī)制）。

商家只能看到定貨信息,而看不到持卡人的帳戶信息。銀行只能看到支付指令和帳戶信息，而看不到持卡人的定單信息。

對交易者的身份進(jìn)行確認(rèn)和擔(dān)保。

持卡人、商家和銀行等交易者通過第三方權(quán)威機(jī)構(gòu)的身份認(rèn)證服務(wù)。

統(tǒng)一協(xié)議和報(bào)文的格式。

使不同廠家開發(fā)的軟件能相互兼容。SET協(xié)議的作用個(gè)人賬號信息與訂單信息的隔離（采用雙簽名機(jī)60SET的優(yōu)點(diǎn)

SET保證了商家的合法性，并且用戶的信用卡號不會(huì)被竊取。

SET對于參與交易的各方定義了互操作接口，一個(gè)系統(tǒng)可以由不同廠商的產(chǎn)品構(gòu)筑。

SET可以用在系統(tǒng)的一部分或者全部。SET的優(yōu)點(diǎn)SET保證了商家的合法性，并且用戶的信用卡號61Internet電子郵件安全協(xié)議PEM（PrivacyEnhancedMail）：增強(qiáng)電子郵件隱秘性的標(biāo)準(zhǔn)草案，在電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，支持多種加密工具。S/MIME：安全的多功能Internet電子郵件擴(kuò)充：添加數(shù)字簽名和加密技術(shù)，可收發(fā)多種類型/格式的數(shù)據(jù)，如多媒體數(shù)據(jù)。PEM-S/MIME：將PEM和S/MIME進(jìn)行結(jié)合。Internet電子郵件安全協(xié)議PEM（