電子商務(wù)安全的基本

第4章電子商務(wù)平安的根本概念電子商務(wù)系統(tǒng)平安的概念〔1〕電子商務(wù)系統(tǒng)硬件平安：硬件平安是指保護(hù)計(jì)算機(jī)系統(tǒng)硬件(包括外部設(shè)備)的平安，保證其自身的可靠性和為系統(tǒng)提供根本平安機(jī)制?！?〕電子商務(wù)系統(tǒng)軟件平安：軟件平安是指保護(hù)軟件和數(shù)據(jù)不被竄改、破壞和非法復(fù)制。系統(tǒng)軟件平安的目標(biāo)是使計(jì)算機(jī)系統(tǒng)邏輯上平安，主要是使系統(tǒng)中信息的存取、處理和傳輸滿足系統(tǒng)平安策略的要求。根據(jù)計(jì)算機(jī)軟件系統(tǒng)的組成，軟件平安可分為操作系統(tǒng)平安、數(shù)據(jù)庫(kù)平安、網(wǎng)絡(luò)軟件平安和應(yīng)用軟件平安?！?〕電子商務(wù)系統(tǒng)運(yùn)行平安：運(yùn)行平安是指保護(hù)系統(tǒng)能連續(xù)和正常地運(yùn)行,商務(wù)交易平安：實(shí)現(xiàn)電子商務(wù)的保密性、完整性、認(rèn)證性和不可否認(rèn)性?！?〕電子商務(wù)平安立法：電子商務(wù)平安立法是對(duì)電子商務(wù)犯罪的約束，它是利用國(guó)家機(jī)器，通過(guò)平安立法，表達(dá)與犯罪斗爭(zhēng)的國(guó)家意志。精選ppt常見(jiàn)的攻擊手段對(duì)認(rèn)證的攻擊進(jìn)行未授權(quán)的操作植入后門通信監(jiān)視通訊干擾中斷系統(tǒng)工作拒絕效勞否認(rèn)已經(jīng)的操作精選ppt常用計(jì)算機(jī)網(wǎng)絡(luò)平安技術(shù)網(wǎng)絡(luò)平安的措施：(1)做好主機(jī)的平安配置，及時(shí)安裝平安補(bǔ)?。?2)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的平安隱患，并及時(shí)修補(bǔ)；(3)建立完善的訪問(wèn)控制措施，加強(qiáng)授權(quán)管理和認(rèn)證；(4)利用數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；(5)對(duì)敏感的設(shè)備和數(shù)據(jù)建立必要的物理或邏輯隔離措施；(6)對(duì)網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⑦M(jìn)行數(shù)據(jù)加密；(7)安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；(8)建立平安審計(jì)日志，以便檢測(cè)并跟蹤入侵攻擊精選ppt常用計(jì)算機(jī)網(wǎng)絡(luò)平安技術(shù)病毒防范技術(shù)病毒是指在計(jì)算機(jī)程序或文件中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，并自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。特點(diǎn)：

(1)傳染性；

(2)非授權(quán)性；

(3)隱蔽性；

(4)破壞性；

(5)不可預(yù)見(jiàn)性精選ppt病毒防范技術(shù)防范病毒的措施：(1)安裝防病毒軟件，及時(shí)更新病毒庫(kù)；(2)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；(3)對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；(4)不輕易翻開(kāi)不明的電子郵件及其附件；(5)防止在無(wú)防毒軟件的機(jī)器上使用可移動(dòng)存儲(chǔ)介質(zhì)精選ppt常用計(jì)算機(jī)網(wǎng)絡(luò)平安技術(shù)身份識(shí)別技術(shù)身份識(shí)別技術(shù)的根本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)確保被認(rèn)證對(duì)象的真實(shí)性。(1)口令當(dāng)被認(rèn)證對(duì)象要求訪問(wèn)提供效勞的系統(tǒng)時(shí)，提供效勞的認(rèn)證方要求被認(rèn)證對(duì)象提交口令，認(rèn)證方收到口令后，與系統(tǒng)中存儲(chǔ)的用戶口令進(jìn)行比較，以確認(rèn)被認(rèn)證對(duì)象是否為合法訪問(wèn)者。優(yōu)點(diǎn)：一般的系統(tǒng)都提供對(duì)口令的支持。缺乏：①口令容易泄密；②口令在傳輸過(guò)程中可能被截獲；③系統(tǒng)中的口令文件可能被攻擊者獲??；④用戶往往在訪問(wèn)不同平安級(jí)別的系統(tǒng)時(shí)采用相同的口令，而低平安級(jí)別系統(tǒng)的口令更容易被攻擊者獲得，從而用來(lái)對(duì)高平安級(jí)別系統(tǒng)進(jìn)行攻擊；⑤只能進(jìn)行單向認(rèn)證，攻擊者可能偽裝成系統(tǒng)騙取用戶口令。精選ppt常用計(jì)算機(jī)網(wǎng)絡(luò)平安技術(shù)身份識(shí)別技術(shù)(2)標(biāo)記法標(biāo)記(token)是個(gè)人持有物。標(biāo)記上記錄著用于機(jī)器識(shí)別的個(gè)人信息。標(biāo)記介質(zhì)有磁卡和智能卡。(3)生物特征法生物特征法是基于物理特征或行為特征自動(dòng)識(shí)別人員的一種方法，它是身份識(shí)別的理想方法，但目前基于生物特征識(shí)別人員的設(shè)備不是很多。精選ppt網(wǎng)絡(luò)平安的模型①消息的平安傳輸：包括對(duì)消息的加密和認(rèn)證。加密的目的是將消息搞亂以使敵手無(wú)法讀懂，認(rèn)證的目的是檢查發(fā)送者的身分。②通信雙方共享的某些秘密信息，如加密密鑰。為獲得消息的平安傳輸，可能還需要一個(gè)可信的第三方，其作用可能是負(fù)責(zé)向通信雙方分布秘密信息或者在通信雙方有爭(zhēng)議時(shí)進(jìn)行仲裁。①加密算法；②用于加密算法的秘密信息；③秘密信息的分布和共享：④使用加密算法和秘密信息以獲得平安效勞所需的協(xié)議。精選ppt網(wǎng)絡(luò)平安的模型對(duì)未授權(quán)訪問(wèn)的平安機(jī)制可分為兩道防線，第一道稱為守衛(wèi)者，它包括基于通行字的登錄程序和屏蔽邏輯程序，分別用于拒絕非授權(quán)用戶的訪問(wèn)、檢測(cè)和拒絕病毒。第二道防線由一些內(nèi)部控制部件構(gòu)成，用于管理系統(tǒng)內(nèi)部的各項(xiàng)操作和分析所存有的信息，以檢查是否有未授權(quán)的入侵者。精選ppt電子商務(wù)系統(tǒng)的平安威脅電子商務(wù)活動(dòng)平安風(fēng)險(xiǎn)分為人為風(fēng)險(xiǎn)與自然風(fēng)險(xiǎn)。自然風(fēng)險(xiǎn)指來(lái)自于各種自然災(zāi)害、電磁輻射和電磁干擾、通信設(shè)備自然損毀等。但在電子商務(wù)平安方面，一般更注重來(lái)自人為風(fēng)險(xiǎn)。四類根本的人為攻擊方法中斷竊聽(tīng)篡改偽造精選ppt攻擊類型也可分為兩大類：被動(dòng)攻擊與主動(dòng)攻擊。1．被動(dòng)攻擊：主要采用竊聽(tīng)方法。攻擊目的主要是竊取網(wǎng)絡(luò)傳輸中的信息。如攻擊者竊取電子商務(wù)活動(dòng)中貿(mào)易伙伴之間的商業(yè)機(jī)密、非法獲得傳輸中的電子郵件地址或信用卡中的私人隱密信息等等。2．主動(dòng)攻擊：包括對(duì)數(shù)據(jù)流的篡改或產(chǎn)生虛假數(shù)據(jù)流。主動(dòng)攻擊通常通過(guò)以下手段進(jìn)行攻擊：〔1〕假冒：偽裝成合法用戶，以獲得某些權(quán)利。從而對(duì)系統(tǒng)進(jìn)行攻擊。這是進(jìn)行攻擊的最常用方法。〔2〕重放：攻擊者對(duì)截獲的某次合法數(shù)據(jù)進(jìn)行拷貝，以后出于非法的目的而重新發(fā)送。〔3〕消息篡改：改變、刪除或替代傳輸中的數(shù)據(jù)?！?〕業(yè)務(wù)拒絕：對(duì)通信設(shè)備的使用和管理被無(wú)條件拒絕。這種攻擊通常有一個(gè)特定的目標(biāo)。精選ppt4.2電子商務(wù)的平安需求1、信息的保密性2、信息的完整性3、信息的不可否認(rèn)性4、交易者身份的真實(shí)性5、系統(tǒng)的合法性6、系統(tǒng)的防御性信息平安網(wǎng)絡(luò)平安計(jì)算機(jī)平安密碼平安交易環(huán)境的平安交易對(duì)象的平安交易過(guò)程的平安支付的平安精選ppt4.2電子商務(wù)的平安需求交易環(huán)境平安對(duì)客戶機(jī)的平安威脅活動(dòng)內(nèi)容Java、Java小程序和JavaScriptActiveX控件圖形文件、插件和電子郵件的附件對(duì)通信信道的平安威脅對(duì)保密性的平安威脅對(duì)完整性的平安威脅對(duì)即需性的平安威脅對(duì)效勞器的平安威脅對(duì)WWW效勞器的威脅對(duì)數(shù)據(jù)庫(kù)的威脅對(duì)公用網(wǎng)關(guān)接口的威脅對(duì)其他程序的威脅精選ppt交易對(duì)象和交易過(guò)程的平安性電子交易所涉及的對(duì)象客戶或持卡人發(fā)卡機(jī)構(gòu)商家受卡行支付網(wǎng)關(guān)對(duì)銷售者面臨的平安威脅中央系統(tǒng)平安的破壞競(jìng)爭(zhēng)者檢索商品的遞送狀況客戶資料被競(jìng)爭(zhēng)者得悉被他人假冒消費(fèi)者提交訂單后不付款虛假訂單獲取他人的機(jī)密信息4.2電子商務(wù)的平安需求對(duì)消費(fèi)者面臨的平安威脅虛假訂單付款后未能收到商品機(jī)密性喪失拒絕效勞精選ppt網(wǎng)上支付的平安需求使用數(shù)字簽名使用加密算法使用消息摘要算法保證對(duì)業(yè)務(wù)的不可否認(rèn)性處理多邊業(yè)務(wù)的多邊支付問(wèn)題4.2電子商務(wù)的平安需求精選ppt電子商務(wù)的平安體系結(jié)構(gòu)電子商務(wù)的平安體系結(jié)構(gòu)由三個(gè)層次組成：1、根本加密算法，如單鑰密碼體制與公鑰密碼體制等。2、以根本加密算法為根底的認(rèn)證體系、數(shù)字簽名等根本平安技術(shù)。3、以根本加密算法、認(rèn)證體系、平安技術(shù)等為根底的各種平安應(yīng)用協(xié)議，如SET、SSL、S/MIME等。精選ppt電子商務(wù)的支付平安根本功能1、使用數(shù)字簽名實(shí)現(xiàn)對(duì)各方的認(rèn)證如客戶必須向商家和銀行證明自己的身份，商家必須向客戶及銀行證明自己的身份。2、使用加密算法對(duì)業(yè)務(wù)進(jìn)行加密為實(shí)現(xiàn)保密，系統(tǒng)應(yīng)支持某些加密方案。在使用Web瀏覽器和效勞器的同時(shí)，系統(tǒng)可利用平安套接層SSL和平安的超文本傳輸協(xié)議S-HTTP。3、使用消息摘要算法以保證業(yè)務(wù)的完整性根據(jù)需要，加密算法可使用單鑰或公鑰算法，通過(guò)利用加密和消息摘要算法，以獲得數(shù)據(jù)的加密和數(shù)據(jù)的完整性。4、在業(yè)務(wù)出現(xiàn)異議時(shí)，保證對(duì)業(yè)務(wù)的不可否認(rèn)性業(yè)務(wù)不可否認(rèn)性可通過(guò)使用公鑰體制和X.509證書體制來(lái)實(shí)現(xiàn)。5、處理多方貿(mào)易的多支付協(xié)議多支付協(xié)議應(yīng)滿足以下兩個(gè)要求：①商家只能讀取訂單信息，如貨物的類型和銷售價(jià)。當(dāng)接收行對(duì)支付認(rèn)證后，商家不必讀取客戶信用卡的信息；②接收行只需知道支付信息，無(wú)需知道客戶所購(gòu)何物。精選ppt電子商務(wù)的平安措施保護(hù)客戶機(jī)監(jiān)視活動(dòng)內(nèi)容處理cookie使用防病毒軟件聘請(qǐng)防止計(jì)算機(jī)犯罪專家保護(hù)電子商務(wù)的通道加密保證交易的完整保證交易的傳輸保護(hù)電子商務(wù)效勞器精選ppt4.3電子商務(wù)系統(tǒng)平安常用的方法4.3.1防火墻技術(shù)1、Intranet的平安概念〔1〕保護(hù)企業(yè)內(nèi)部資源，防止外部入侵，控制和監(jiān)督外部用戶對(duì)企業(yè)內(nèi)部網(wǎng)的訪問(wèn)；〔2〕控制、監(jiān)督和管理企業(yè)內(nèi)部對(duì)外部Internet的訪問(wèn)。2、防火墻防火墻是指一個(gè)由軟件系統(tǒng)和硬件設(shè)備組合而成的，在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過(guò)此保護(hù)層，在此進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過(guò)此保護(hù)層，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行平安管制措施，記錄所有可疑的事件精選ppt防火墻的功能①可以提供平安決策的集中控制點(diǎn)，使所有進(jìn)出網(wǎng)絡(luò)的信息都通過(guò)這個(gè)檢查點(diǎn)，形成信息進(jìn)出網(wǎng)絡(luò)的一道關(guān)口；②可以針對(duì)不同用戶的不同需求，強(qiáng)制實(shí)施平安策略，起到“交通警察〞的作用；③可以對(duì)用戶的操作和信息進(jìn)行記錄和審計(jì)，分析網(wǎng)絡(luò)侵襲和攻擊；④可以防止機(jī)密信息的擴(kuò)散以及信息間諜的潛入。精選ppt防火墻的平安策略有兩種：〔1〕沒(méi)有被列為允許訪問(wèn)的效勞都是被禁止的：這意味著需要確定所有可以被提供的效勞以及他們的平安特性，開(kāi)放這些效勞，并將所有其他未列入的效勞排斥在外，禁止訪問(wèn)；〔2〕沒(méi)有被列為禁止訪問(wèn)的效勞都是被允許的：這意味著首先確定那些被禁止的、不平安的效勞，以禁止他們被訪問(wèn)，而其他效勞那么被認(rèn)為是平安的，允許訪問(wèn)。防火墻軟件通常是在TCP／IP網(wǎng)絡(luò)軟件的根底上進(jìn)行改造和再開(kāi)發(fā)形成的。目前使用的防火墻產(chǎn)品可分為三種類型：包過(guò)濾型和應(yīng)用網(wǎng)關(guān)型及線路層網(wǎng)關(guān)。精選ppt包過(guò)濾型防火墻利用路由器作為防火墻是常用的方法之一。在路由器中對(duì)收到的每一數(shù)據(jù)包作許可或拒絕通過(guò)的決定就形成了包過(guò)濾防火墻。其工作原理是利用路由器對(duì)通過(guò)的每一數(shù)據(jù)報(bào)文進(jìn)行檢查以決定它是否與包過(guò)濾規(guī)那么中的某一條相匹配，如果匹配那么允許數(shù)據(jù)包通過(guò)；否那么不允許通過(guò)。而包過(guò)濾規(guī)那么利用IP轉(zhuǎn)發(fā)過(guò)程的數(shù)據(jù)包報(bào)頭信息，如IP源地址、IP目標(biāo)地址、封裝協(xié)議、TCP/UDP源端口、TCP/UDP目標(biāo)端口、ICMP消息類型、數(shù)據(jù)包的輸入接口、數(shù)據(jù)包的輸出接口等進(jìn)行定義。精選ppt包過(guò)濾型防火墻類型路由器根據(jù)使用包過(guò)濾規(guī)那么和是否依賴效勞劃分1、依賴于效勞的過(guò)濾(1)僅允許進(jìn)來(lái)的Telnet會(huì)話連接到指定的一些主機(jī)。(2)僅允許進(jìn)來(lái)的FTP會(huì)話連接到指定的一些主機(jī)。(3)允許所有出去的Telnet會(huì)話。(4)允許所有出去的FTP會(huì)話。(5)拒絕從某個(gè)指定的外部網(wǎng)絡(luò)進(jìn)來(lái)的所有業(yè)務(wù)流。2、不依賴于效勞的過(guò)濾(1)IP源地址欺騙攻擊防護(hù)(2)源路由攻擊防護(hù)(3)小分段攻擊防護(hù)精選ppt優(yōu)點(diǎn):標(biāo)準(zhǔn)路由器軟件中都具有包過(guò)濾路由器特性，配置路由器所用的時(shí)間少且費(fèi)用極少；其次，如果過(guò)濾器很少，對(duì)路由器性能就幾乎沒(méi)有影響;第三，由于包過(guò)濾路由器對(duì)用戶和應(yīng)用程序是透明的，所以不需要對(duì)用戶進(jìn)行專門的訓(xùn)練和安裝特定的軟件。缺點(diǎn)：定義包過(guò)濾路由器比較復(fù)雜，要求網(wǎng)絡(luò)管理員對(duì)各種網(wǎng)絡(luò)效勞、數(shù)據(jù)包報(bào)頭格式以及報(bào)頭中每個(gè)字段特定的取值等等非常熟悉。而且沒(méi)有方法對(duì)包過(guò)濾規(guī)那么的正確性進(jìn)行驗(yàn)證，可能會(huì)遺留平安漏洞；其次，路由器執(zhí)行過(guò)濾規(guī)那么，會(huì)消耗大量CPU時(shí)間且影響系統(tǒng)的性能；第三，由于過(guò)濾路由器能允許或拒絕特定的效勞，但不能理解特定效勞的上下文內(nèi)容，可能使包過(guò)濾器無(wú)法對(duì)業(yè)務(wù)流提供完全控制。包過(guò)濾型防火墻的優(yōu)缺點(diǎn)精選ppt應(yīng)用層網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)型防火墻使用代理技術(shù)，在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)置一個(gè)物理屏障。對(duì)于外部網(wǎng)用戶或內(nèi)部網(wǎng)用戶的telnet，F(xiàn)tp等高層網(wǎng)絡(luò)協(xié)議的效勞請(qǐng)求，防火墻的代理效勞機(jī)制對(duì)用戶的真實(shí)身份和請(qǐng)求進(jìn)行合法性檢查，決定接受還是拒絕。對(duì)于合法的用戶效勞請(qǐng)求，代理效勞機(jī)制連接內(nèi)部網(wǎng)和外部網(wǎng)，并作為通信的中介，保護(hù)內(nèi)部網(wǎng)絡(luò)資源不受侵害。代理效勞機(jī)制是應(yīng)用效勞，代理效勞程序是根據(jù)需要編寫的。因此，大局部應(yīng)用網(wǎng)關(guān)型防火墻只能提供有限的根本應(yīng)用效勞。假設(shè)要增加新的應(yīng)用效勞，那么必須編寫新的程序。精選ppt什么是代理效勞器？

代理效勞器是介于瀏覽器和Web效勞器之間的一臺(tái)效勞器，當(dāng)你通過(guò)代理效勞器

上網(wǎng)瀏覽時(shí)，瀏覽器不是直接到Web效勞器去取回網(wǎng)頁(yè)，而是向代理效勞器發(fā)出

請(qǐng)求，由代理效勞器來(lái)取回瀏覽器所需要的信息，并傳送給你的瀏覽器。

什么是免費(fèi)代理效勞器

在使用代理獵手等軟件搜索代理效勞器地址時(shí)，會(huì)在驗(yàn)證狀態(tài)欄中出現(xiàn)類似“要

密碼〞、“Free〞等字樣。如果你把“Free〞的地址設(shè)置為代理效勞器，那你就

會(huì)發(fā)現(xiàn)訪問(wèn)網(wǎng)頁(yè)時(shí)不會(huì)要求你輸入密碼了。這就是“免費(fèi)的代理效勞器〞。為什

么會(huì)出現(xiàn)free的呢？有以下幾種情況：

1.是系統(tǒng)漏洞，一旦被網(wǎng)管發(fā)現(xiàn)就會(huì)被堵上；

2.是善良的網(wǎng)管和其他有時(shí)機(jī)接近主機(jī)的人，將機(jī)器設(shè)成了代理效勞器；

3.是真正的好心人，就是將自己的機(jī)器作為免費(fèi)代理，造福廣闊同仁。這真

值得欽佩！但被查封關(guān)閉得也最快。

4.是ISP商為了提高影響，在一段時(shí)間內(nèi)免費(fèi)開(kāi)放，一般很短。

使用代理效勞器的好處

Proxy

Server(代理效勞器)是Internet鏈路級(jí)網(wǎng)關(guān)所提供的一種重要的平安功能，它

的工作主要在開(kāi)放系統(tǒng)互聯(lián)(OSI)型的對(duì)話層，主要的功能有：

突破自身IP訪問(wèn)限制：

1.訪問(wèn)國(guó)外站點(diǎn)。教育網(wǎng)、169網(wǎng)等網(wǎng)絡(luò)用戶可以通過(guò)代理訪問(wèn)國(guó)外網(wǎng)站。

2.訪問(wèn)一些單位或團(tuán)體內(nèi)部資源，如某大學(xué)FTP(前提是該代理地址在該資源

的允許訪問(wèn)范圍之內(nèi))，使用教育網(wǎng)內(nèi)地址段免費(fèi)代理效勞器，就可以用于對(duì)教育

網(wǎng)開(kāi)放的各類FTP下載上傳，以及各類資料查詢共享等效勞。

3.突破中國(guó)電信的IP封鎖：中國(guó)電信用戶有很多網(wǎng)站是被限制訪問(wèn)的，這種

限制是人為的，不同Serve對(duì)地址的封鎖是不同的。所以不能訪問(wèn)時(shí)可以換一個(gè)國(guó)

外的代理效勞器試試。

4.提高訪問(wèn)速度：通常代理效勞器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)，當(dāng)有外界

的信息通過(guò)時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問(wèn)相同的信息時(shí)，

那么直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問(wèn)速度。

5.隱藏真實(shí)IP：上網(wǎng)者也可以通過(guò)這種方法隱藏自己的IP，免受攻擊。精選ppt應(yīng)用層網(wǎng)關(guān)使用以下設(shè)計(jì)特性來(lái)保證平安(1)在允許用戶訪問(wèn)代理效勞以前，要求用戶進(jìn)一步認(rèn)證。(2)代理僅支持標(biāo)準(zhǔn)應(yīng)用程序命令集中的一個(gè)子集。(3)代理僅允許對(duì)特定主機(jī)系統(tǒng)的訪問(wèn)，這意味著受限制的某些命令、特征只被用于受保護(hù)網(wǎng)絡(luò)中的一局部系統(tǒng)。(4)代理記錄所有業(yè)務(wù)流、連接的時(shí)間，以維護(hù)詳細(xì)的審計(jì)信息。(5)由于代理是專為網(wǎng)絡(luò)平安設(shè)計(jì)的程序，因而可檢查代理是否存在平安漏洞。(6)代理與代理相互獨(dú)立，如任一代理存在運(yùn)行問(wèn)題或平安漏洞，將其卸載而不影響其他代理應(yīng)用。同時(shí)如果用戶要求支持新的效勞，網(wǎng)絡(luò)管理者可在堡壘主機(jī)上很容易地安裝所要求的代理。(7)代理除了讀取自己的初始配置文件外，通常執(zhí)行無(wú)磁盤訪問(wèn)，因此使得攻擊者難以在堡壘主機(jī)上安裝特洛伊木馬或其他危險(xiǎn)文件。(8)每個(gè)代理都是作為一個(gè)無(wú)特權(quán)的用戶在一個(gè)保密的、平安的目錄中運(yùn)行。精選ppt線路層網(wǎng)關(guān)線路層網(wǎng)關(guān)是能被應(yīng)用層執(zhí)行的專門功能組件，它只簡(jiǎn)單地被用作TCP連接的中繼點(diǎn)，而不對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行處理和過(guò)濾。線路層網(wǎng)關(guān)的中繼作用用于在內(nèi)部連接和外部連接之間往復(fù)拷貝字節(jié)，然而由于連接似乎是起源于防火墻系統(tǒng)，因此隱藏了受保護(hù)網(wǎng)絡(luò)的有關(guān)信息。精選ppt防火墻應(yīng)用舉例屏蔽主機(jī)防火墻單連接點(diǎn)堡壘主機(jī)該系統(tǒng)中，堡壘主機(jī)被配置在專用網(wǎng)中，而包過(guò)濾路由器那么配置在Internet和堡壘主機(jī)之間，過(guò)濾規(guī)那么的配置使得外部主機(jī)只能訪問(wèn)堡壘主機(jī)，發(fā)往其他內(nèi)部系統(tǒng)的業(yè)務(wù)流那么全部被阻塞。由于內(nèi)部主機(jī)和堡壘主機(jī)在同一網(wǎng)絡(luò)上，機(jī)構(gòu)的平安策略決定內(nèi)部系統(tǒng)是被允許直接訪問(wèn)Internet，還是要求使用堡壘主機(jī)上的代理效勞。通過(guò)配置路由器的過(guò)濾規(guī)那么，使其僅接收發(fā)自于堡壘主機(jī)的內(nèi)部業(yè)務(wù)流，就可以迫使內(nèi)部用戶使用代理效勞。雙連接點(diǎn)堡壘主機(jī)使用雙連接點(diǎn)堡壘主機(jī)系統(tǒng)能構(gòu)造更為平安的防火墻系統(tǒng)，如下圖。雙連接點(diǎn)堡壘主機(jī)有兩個(gè)網(wǎng)絡(luò)接口，但是該主機(jī)不能將業(yè)務(wù)流繞過(guò)代理效勞而直接在兩個(gè)接口間轉(zhuǎn)發(fā)。如果許可外部用戶能夠直接訪問(wèn)信息效勞器，那么堡壘主機(jī)的拓?fù)浣Y(jié)構(gòu)將迫使外部用戶發(fā)往內(nèi)部網(wǎng)的業(yè)務(wù)流必須經(jīng)過(guò)堡壘主機(jī)，以提供附加的平安性。精選ppt屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)，如下圖。由于它支持網(wǎng)絡(luò)層和應(yīng)用層的平安，而且還定義一個(gè)“非軍事區(qū)〞DMZ(DemilitarizedZone)網(wǎng)絡(luò)，因此它建立的是最平安的防火墻系統(tǒng)。網(wǎng)絡(luò)管理者將堡壘主機(jī)、信息效勞器、公用調(diào)制解調(diào)區(qū)、以及其他一些公用效勞器都放在DMZ網(wǎng)絡(luò)中，DMZ網(wǎng)絡(luò)很小，位于Internet和內(nèi)部網(wǎng)之間，它的配置可使Internet中的系統(tǒng)和內(nèi)部網(wǎng)中的系統(tǒng)只能訪問(wèn)DMZ網(wǎng)絡(luò)中有限數(shù)目的系統(tǒng)，且可禁止業(yè)務(wù)流穿過(guò)DMZ網(wǎng)絡(luò)的直接傳輸。防火墻應(yīng)用舉例精選ppt屏蔽子網(wǎng)防火墻的優(yōu)點(diǎn)(1)入侵者必須闖過(guò)三個(gè)分開(kāi)的設(shè)備才能夠滲透到內(nèi)部網(wǎng)，這三個(gè)設(shè)備是外部路由器、堡壘主機(jī)、內(nèi)部路由器。(2)由于外部路由器是DMZ網(wǎng)與因特網(wǎng)的惟一接口，Internet上的系統(tǒng)沒(méi)有到受保護(hù)的內(nèi)部網(wǎng)的路由，因此可使網(wǎng)絡(luò)管理者保證內(nèi)部網(wǎng)對(duì)Internet來(lái)說(shuō)是“不可見(jiàn)的〞，Internet只有通過(guò)路由表和域名系統(tǒng)DNS信息交換才能知道DMZ中的某些系統(tǒng)。(3)由于內(nèi)部路由器是DMZ網(wǎng)和內(nèi)部網(wǎng)的惟一接口，內(nèi)部網(wǎng)中的系統(tǒng)沒(méi)有直接到Internet的路由，從而保證了內(nèi)部網(wǎng)用戶必須通過(guò)堡壘主機(jī)中的代理效勞才能訪問(wèn)Internet。(4)包過(guò)濾路由器將業(yè)務(wù)流發(fā)送到DMZ網(wǎng)中指定設(shè)備，因此堡壘主機(jī)沒(méi)有必要是雙連接點(diǎn)。(5)當(dāng)內(nèi)部路由器作為專用網(wǎng)和Internet之間最后一道防火墻系統(tǒng)時(shí)，比雙連接點(diǎn)堡壘主機(jī)有更大的業(yè)務(wù)流吞吐量。(6)由于DMZ網(wǎng)是一個(gè)與內(nèi)部網(wǎng)不同的網(wǎng)，所以可在堡壘主機(jī)上安裝網(wǎng)絡(luò)地址轉(zhuǎn)換器NAT(NetworkAddressTranslator)，從而可不必對(duì)內(nèi)部網(wǎng)重新計(jì)數(shù)和重新劃分子集。精選ppt4.4密鑰系統(tǒng)1、加密和解密加密是指將數(shù)據(jù)進(jìn)行編碼，使它成為一種不可理解的形式，這種不可理解的內(nèi)容叫做密文。解密是加密的逆過(guò)程，即將密文復(fù)原成原來(lái)可理解的形式。加密和解密過(guò)程依靠?jī)蓚€(gè)元素，缺一不可，這就是算法和密鑰。算法是加密或解密的一步一步的過(guò)程。在這個(gè)過(guò)程中需要一串?dāng)?shù)字，這個(gè)數(shù)字就是密鑰。下面，我們通過(guò)一個(gè)例子來(lái)理解加密、解密、算法和密鑰。2、密鑰的長(zhǎng)度3、對(duì)稱密鑰算法(單鑰加密算法)DES對(duì)64位的明文分組進(jìn)行操作，通過(guò)一個(gè)初始置換，將明文分組分成左半局部和右半局部，各32位長(zhǎng)。然后進(jìn)行16輪完全相同的運(yùn)算，這些運(yùn)算被稱為函數(shù)f，在運(yùn)算過(guò)程中數(shù)據(jù)與密鑰結(jié)合。經(jīng)過(guò)16輪后，左、右半局部合在一起經(jīng)過(guò)一個(gè)末置換〔初始置換的逆置換〕，這樣該算法就完成了。在每一輪中，密鑰位移位，然后再?gòu)拿荑€的56位中選出48位。通過(guò)一個(gè)擴(kuò)展置換將數(shù)據(jù)的右半局部擴(kuò)展成48位，并通過(guò)一個(gè)異或操作與48位密鑰結(jié)合，通過(guò)8個(gè)轉(zhuǎn)換器將這48位替代成新的32位數(shù)據(jù)，再將其置換一次。這四步運(yùn)算構(gòu)成了函數(shù)f。然后，通過(guò)另一個(gè)異或運(yùn)算，函數(shù)f輸出與左半局部結(jié)合，其結(jié)果即成為新的右半局部，原來(lái)的右半局部成為新的左半局部。將該操作重復(fù)16次，便實(shí)現(xiàn)了DES的16輪運(yùn)算。是指加密密鑰和解密密鑰為同一密鑰的密碼算法精選ppt密鑰密碼體制加密原理發(fā)送信息方將要發(fā)送的消息稱為明文。明文被變換成不可理解的形式，成為密文。加密即是指將明文變換為密文的過(guò)程。解密是加密的逆過(guò)程，即將密文復(fù)原成明文的過(guò)程。通常，對(duì)明文進(jìn)行加密時(shí)所采用的一組規(guī)那么稱為加密算法。加密和解密算法的操作通常在一組密鑰控制下進(jìn)行。由此可知，根本保密通信原理模型中加密和解密過(guò)程依靠?jī)蓚€(gè)元素：算法和密鑰。算法是加密或解密的一步一步的過(guò)程。在這個(gè)過(guò)程中需要一串?dāng)?shù)字，這個(gè)數(shù)字就是密鑰。下面，我們通過(guò)一個(gè)例子來(lái)理解加密、解密、算法和密鑰。優(yōu)點(diǎn)：〔1〕由于設(shè)計(jì)算法很困難，因此基于密鑰的變化就解決了這一難題；〔2〕簡(jiǎn)化了信息發(fā)送方與多個(gè)接收方加密信息的傳送，即發(fā)送方只需使用一個(gè)算法，不同的密鑰向多個(gè)接收方發(fā)送密文；〔3〕如果密文被破譯，換一個(gè)密鑰就能解決問(wèn)題。精選ppt單鑰密碼體制密碼算法的加密密鑰和解密密鑰為同一密鑰，那么這種密碼體制稱為單鑰密碼體制。在對(duì)稱密鑰密碼算法中,加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。信息的發(fā)送者和信息的接收者在進(jìn)行信息的傳輸與處理時(shí)，發(fā)送者和接收者有相同的密鑰,這樣就解決了信息的保密性問(wèn)題，〔稱為對(duì)稱密鑰〕。通常,在單鑰密碼體制使用的加密算法比較簡(jiǎn)便高效,密鑰簡(jiǎn)短,破譯極其困難，但系統(tǒng)的保密性主要取決于密鑰的平安性。密鑰產(chǎn)生、分配、存儲(chǔ)、銷毀等問(wèn)題統(tǒng)稱為密鑰管理。如何平安可靠地分配密鑰給通信雙方是單鑰密碼體制的主要問(wèn)題。單鑰體制對(duì)明文消息的加密一般有兩種方式：一種是將明文消息按字符逐字加密，稱為流密碼；另一種是將明文消息分組，逐組進(jìn)行加密，稱為分組密碼。精選ppt單鑰分組密碼設(shè)計(jì)的算法應(yīng)滿足的要求〔1〕分組長(zhǎng)度n要足夠大，使分組代換字母表中的元素個(gè)數(shù)2n足夠大，防止明文窮舉攻擊法奏效。〔2〕密鑰量要足夠大(即置換子集中的元素足夠多)，盡可能消除弱密鑰并使所有密鑰同等地好，以防止密鑰窮舉攻擊奏效。但密鑰又不能過(guò)長(zhǎng)，以便于密鑰的管理。〔3〕由密鑰確定置換的算法要足夠復(fù)雜，充分實(shí)現(xiàn)明文與密鑰的擴(kuò)散和混淆，沒(méi)有簡(jiǎn)單的關(guān)系可循，能抗擊各種的攻擊。使對(duì)手破譯時(shí)除了用窮舉法外，無(wú)其他捷徑可循?！?〕加密和解密運(yùn)算簡(jiǎn)單，易于軟件和硬件高速實(shí)現(xiàn)。〔5〕數(shù)據(jù)擴(kuò)展。一般無(wú)數(shù)據(jù)擴(kuò)展，在采用同態(tài)置換和隨機(jī)化加密技術(shù)時(shí)可引入數(shù)據(jù)擴(kuò)展。〔6〕過(guò)失傳播盡可能地小。精選ppt公鑰密碼體制公鑰密碼算法〔雙鑰加密碼算法，非對(duì)稱密鑰算法〕：是指加密密鑰和解密密鑰為兩個(gè)不同密鑰的密碼算法。公鑰密碼算法采用兩個(gè)相關(guān)密鑰將加密鑰與解密密鑰分開(kāi)，其中一個(gè)密鑰是公開(kāi)的，稱為公鑰(Publickey)；另一個(gè)密鑰是用戶專用的，稱為私鑰(Privatekey)。兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)對(duì)應(yīng)的密鑰進(jìn)行解密。假設(shè)以公鑰作為加密密鑰，以用戶專用密鑰〔私鑰〕作為解密密鑰，那么可實(shí)現(xiàn)多個(gè)用戶加密的信息只能由一個(gè)用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，那么可實(shí)現(xiàn)由一個(gè)用戶加密的信息而多個(gè)用戶解讀。在電子商務(wù)中，前者可用于數(shù)字加密，后者可用于數(shù)字簽名。精選ppt公鑰密碼體制原理在加密應(yīng)用時(shí)，用戶產(chǎn)生一對(duì)密鑰，將其中的一個(gè)向外界公開(kāi)，稱為公鑰；另一個(gè)那么自己保存，稱為私鑰。獲得公鑰的任何人假設(shè)想向用戶傳送信息，只需用用戶的公鑰對(duì)明文加密，將密文傳送給用戶。而由于公鑰與私鑰之間存在依存關(guān)系，只有用戶私鑰才能解密，任何未受用戶授權(quán)的人包括信息的發(fā)送者都無(wú)法解密。精選ppt公鑰密碼體制原理(1)接收方產(chǎn)生一對(duì)密鑰PKb，SKb，其中PKb為公鑰，SKb為私鑰。(2)接收方將加密密鑰PKb放在公開(kāi)的地方，由加密發(fā)送方自由獲得，而將解密密鑰SKb保藏。(3)發(fā)送方使用公鑰PKb加密明文M，并向接收者發(fā)送密文C。加密過(guò)程用加密算法函數(shù)E表示為：C=EPKb[M](4)接收方使用私鑰SKb解密C。解密過(guò)程用解密算法函數(shù)D表示為：M=DSKb[C]精選ppt認(rèn)證原理(1)發(fā)送方用秘密的私鑰SKa加密明文M，并向接收者發(fā)送密文C。加密過(guò)程用加密算法函數(shù)E表示為：C=ESKa[M](2)接收方使用公鑰PKa解密C。解密過(guò)程用解密算法函數(shù)D表示為：M=DPKa[C]由于使用秘密私鑰SKa對(duì)M加密形成C只有發(fā)送者能夠進(jìn)行。因而C便被認(rèn)為是發(fā)送者對(duì)M的數(shù)字簽名。另一方面，任何人只要得不到發(fā)送者秘密的私鑰SKa就不能篡改M，所以這一過(guò)程同時(shí)完成了對(duì)發(fā)送者身份與信息完整性。精選ppt消息摘要消息摘要(messagedigest)方法也稱平安Hash編碼法或MD5,它是由RonRivest創(chuàng)造。消息摘要是一個(gè)唯一對(duì)應(yīng)一個(gè)消息的值,它由單向Hash加密算法對(duì)一個(gè)消息作用而生成,有固定的長(zhǎng)度。所謂單向是指不能被解密。不同的消息其摘要不同，相同消息其摘要相同，因此摘要成為消息的“指紋〞，以驗(yàn)證消息是否是“真身〞。發(fā)送端將消息和摘要一同發(fā)送，接收端收到后，用Hash函數(shù)對(duì)收到的消息產(chǎn)生一個(gè)摘要，與收到的摘要比照，假設(shè)相同，那么說(shuō)明收到的消息是完整的，在傳輸過(guò)程中沒(méi)有被修改，否那么，就是被修改正，不是原消息。消息摘要方法解決了信息的完整性問(wèn)題。精選ppt消息摘要精選ppt非對(duì)稱密鑰算法非對(duì)稱密鑰算法〔雙鑰加密碼算法，公鑰加密算法〕：是指加密密鑰和解密密鑰為兩個(gè)不同密鑰的密碼算法。公鑰密碼算法不同于單鑰密碼算法，它使用了一對(duì)密鑰：公鑰(publickey)用于加密信息，私鑰(Privatekey)那么用于解密信息，通信雙方無(wú)需事先交換密鑰就可進(jìn)行保密通信。兩個(gè)鑰匙是兩個(gè)很大的質(zhì)數(shù)，用其中的一個(gè)質(zhì)數(shù)與原信息相乘，對(duì)信息加密，可以用其中的另一個(gè)質(zhì)數(shù)與收到的信息相乘來(lái)解密。但不能用其中的一個(gè)質(zhì)數(shù)求出另一個(gè)質(zhì)數(shù)。其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,有關(guān)人員誰(shuí)都可以用；解密密鑰只有解密人自己知道。這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。假設(shè)以公鑰作為加密密鑰，以用戶專用密鑰〔私鑰〕作為解密密鑰，那么可實(shí)現(xiàn)多個(gè)用戶加密的信息只能由一個(gè)用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，那么可實(shí)現(xiàn)由一個(gè)用戶加密的信息而多個(gè)用戶解讀。前者可用于數(shù)字加密，后者可用于數(shù)字簽名。精選ppt公開(kāi)密鑰數(shù)字簽名算法數(shù)字簽名(digitalsignature)技術(shù)是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要，然后用Hash函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要，與解密的摘要比照，假設(shè)相同，那么說(shuō)明收到的信息是完整的，在傳輸過(guò)程中沒(méi)有被修改，否那么，被修改正，不是原信息。同時(shí)，也證明發(fā)送者不能否認(rèn)自己發(fā)送了信息。這樣，數(shù)字簽名就保證了信息的完整性和不可否認(rèn)性。精選ppt數(shù)字簽名與數(shù)字信封數(shù)字簽名是指用戶用自己的私鑰對(duì)原始數(shù)據(jù)的哈希摘要進(jìn)行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對(duì)附在原始信息后的數(shù)字簽名進(jìn)行解密后獲得哈希摘要，并通過(guò)與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希摘要對(duì)照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對(duì)稱密碼加密信息，再利用接收方的公鑰加密對(duì)稱密碼，被公鑰加密后的對(duì)稱密碼被稱之為數(shù)字信封。在傳遞信息時(shí)，信息接收方要解密信息時(shí)，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱密碼，才能利用對(duì)稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性。精選ppt數(shù)字簽名精選ppt數(shù)字證書(digitalID)簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。數(shù)字證書認(rèn)證中心發(fā)放的數(shù)字證書是一個(gè)經(jīng)證書認(rèn)證中心數(shù)字簽名的、包含證書申請(qǐng)者〔公開(kāi)密鑰擁有者〕個(gè)人信息及其公開(kāi)密鑰的文件。證書認(rèn)證中心的數(shù)字簽名可以確保數(shù)字證書信息的真實(shí)性。數(shù)字證書格式及數(shù)字證書內(nèi)容遵循X.509標(biāo)準(zhǔn)。從理論上看，數(shù)字證書機(jī)制的根底是公鑰密碼體制和數(shù)字簽名，數(shù)字證書的用途可將數(shù)字證書分為：簽名證書簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書加密證書主要用于對(duì)用戶傳送信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。精選ppt數(shù)字證書認(rèn)證中心的主要工作(1)證書頒發(fā)中心接收、驗(yàn)證用戶〔包括下級(jí)認(rèn)證中心和最終用戶〕的數(shù)字證書的申請(qǐng)，將申請(qǐng)的內(nèi)容進(jìn)行備案，并根據(jù)申請(qǐng)的內(nèi)容確定是否受理該數(shù)字證書申請(qǐng)。如果中心接受該數(shù)字證書申請(qǐng)，那么進(jìn)一步確定給用戶頒發(fā)何種類型的證書。新證書用認(rèn)證中心的私有密鑰簽名以后，發(fā)送到目錄效勞器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應(yīng)答信息都要使用認(rèn)證中心的簽名。(2)證書的更新認(rèn)證中心可以定期更新所有用戶的證書，或者根據(jù)用戶的請(qǐng)求來(lái)更新用戶的證書。(3)證書的查詢證書的查詢可以分為兩類。一是證書申請(qǐng)的查詢，認(rèn)證中心根據(jù)用戶的查詢請(qǐng)求返回當(dāng)前用戶證書申請(qǐng)的處理過(guò)程；二是用戶證書的查詢，這類查詢由目錄效勞器來(lái)完成，目錄效勞器根據(jù)用戶的請(qǐng)求返回適當(dāng)?shù)淖C書。(4)證書的作廢當(dāng)用戶的私鑰由于泄密等原因造成用戶證書需要申請(qǐng)作廢時(shí)，用戶需要向認(rèn)證中心提出證書作廢的請(qǐng)求，認(rèn)證中心根據(jù)用戶的請(qǐng)求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過(guò)了有效期，認(rèn)證中心自動(dòng)將該證書作廢。認(rèn)證中心通過(guò)維護(hù)證書作廢列表CertificateRevocationList，CRL〕來(lái)完成上述功能。(5)對(duì)簽發(fā)的數(shù)字證書的真實(shí)性進(jìn)行確認(rèn)在雙方通信時(shí)，通過(guò)出示由某個(gè)認(rèn)證中心〔CA〕簽發(fā)的證書來(lái)證明自己的身份，如果對(duì)簽發(fā)證書的CA本身不信任，那么可先向上一級(jí)認(rèn)證機(jī)構(gòu)驗(yàn)證CA的身份，逐級(jí)進(jìn)行，直到公認(rèn)的權(quán)威CA處，便可確信證書的有效性。精選ppt數(shù)字證書的信息處理過(guò)程(1)A方對(duì)明文通過(guò)雜湊函數(shù)運(yùn)算得到明文信息摘要；(2)A用自己的私鑰(SK)對(duì)信息摘要進(jìn)行加密得到A的數(shù)字簽名并將其附在數(shù)字信息上；(3)A隨機(jī)產(chǎn)生一個(gè)加密密鑰(DES密鑰)，并用此密鑰對(duì)發(fā)送的信息進(jìn)行加密，形成密文；(4)A用B的公鑰〔PK〕對(duì)剛剛隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給B；(5)B收到密文和加過(guò)密的DES密鑰，先用自己的私鑰〔SK〕對(duì)加密的DES密鑰進(jìn)行解密，得到DES密鑰；(6)B再用DES密鑰對(duì)收到的密文進(jìn)行解密，得到明文，隨后拋棄DES密鑰；(7)B用A的公鑰〔PK〕對(duì)A的數(shù)字簽名進(jìn)行解密，得到信息摘要；(8)B用相同的雜湊函數(shù)對(duì)收到的明文進(jìn)行運(yùn)算，得到一個(gè)新的信息摘要；(9)B將收到的信息摘要和新產(chǎn)生的信息摘要比較，假設(shè)一致，說(shuō)明收到的信息未被篡改。精選ppt數(shù)字證書的類型〔1〕個(gè)人數(shù)字證書：個(gè)人數(shù)字證書僅僅為某個(gè)用戶提供憑證，一般安裝在客戶瀏覽器上，以幫助其個(gè)人在網(wǎng)上進(jìn)行平安交易操作：訪問(wèn)需要客戶驗(yàn)證平安的因特網(wǎng)站點(diǎn)；用自己的數(shù)字證書發(fā)送帶自己簽名的電子郵件；用對(duì)方的數(shù)字證書向?qū)Ψ桨l(fā)送加密的郵件。〔2〕企業(yè)(效勞器)數(shù)字證書：企業(yè)數(shù)字證書為網(wǎng)上的某個(gè)Web效勞器提供憑證，擁有效勞器的企業(yè)就可以用具有憑證的Web站點(diǎn)進(jìn)行平安電子交易：開(kāi)啟效勞器SSL平安通道，使用戶和效勞器之間的數(shù)據(jù)傳送以加密的形式進(jìn)行；要求客戶出示個(gè)人證書，保證Web效勞器不被未授權(quán)的用戶攻擊。〔3〕軟件(開(kāi)發(fā)者)數(shù)字證書：軟件數(shù)字證書為軟件提供憑證，證明該軟件的合法性。精選ppt國(guó)內(nèi)外認(rèn)證中心1、VeriSign2、國(guó)富安電子商務(wù)平安認(rèn)證中心3、浙江省數(shù)字認(rèn)證中心4、中國(guó)數(shù)字認(rèn)證網(wǎng)〔ca365〕5、北京數(shù)字證書認(rèn)證中心〔〕精選ppt數(shù)字證書應(yīng)用操作實(shí)例〔個(gè)人證書在平安電子郵件中的應(yīng)用〕〔1〕在OutlookExpress5發(fā)送簽名郵件：1〕在OutlookExpress5中設(shè)置證書、2〕發(fā)送簽名郵件?！?〕用OutlookExpress5發(fā)送加密電子郵件：1〕獲取收件人數(shù)字證書、2〕發(fā)送加密郵件。精選ppt電子商務(wù)平安交易標(biāo)準(zhǔn)1、平安超文本傳輸協(xié)議S-HTTP是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。S-HTTP實(shí)際上應(yīng)用了Netscape的完全套接字層〔SSL〕作為HTTP應(yīng)用層的子層。〔S-HTTP使用端口443，而不是象HTTP那樣使用端口80來(lái)和TCP/IP進(jìn)行通信。〕SSL使用40位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是適宜的。假設(shè)用戶使用Netscape瀏覽器訪問(wèn)一個(gè)的站點(diǎn)，并且觀看其商品類目。當(dāng)用戶希望定購(gòu)商品時(shí)，用戶可以通過(guò)URL進(jìn)行，單擊“發(fā)送〞，將相應(yīng)的訂單發(fā)送到供給商那里，瀏覽器的S-HTTP層將對(duì)信息進(jìn)行加密。從效勞器返回的加密信息也是經(jīng)過(guò)加密的，在用戶效勞器的S-HTTP層進(jìn)行解密后顯示。2、平安套接層協(xié)議SSL平安協(xié)議主要提供三方面的效勞：〔1〕認(rèn)證用戶和效勞器，使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和效勞器上；〔2〕加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；〔3〕維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。精選ppt3、平安電子交易協(xié)議SET協(xié)議的工作程序分為下面七個(gè)步驟；〔1〕消費(fèi)者利用自己的PC機(jī)通過(guò)Internet選定所要購(gòu)置的物品，并在計(jì)算機(jī)上輸入訂貨單，訂貨單上需包括在線商店、購(gòu)置物品名稱及數(shù)量、交貨時(shí)間及地點(diǎn)等相關(guān)信息?！?〕通過(guò)電子商務(wù)效勞器與有關(guān)在線商店聯(lián)系在線商店作出應(yīng)答，告訴消費(fèi)者所填訂貨單的貨物單價(jià)、應(yīng)付款數(shù)，交貨方式等信息是否準(zhǔn)確，是否有變化?！?〕消費(fèi)者選擇付款方式，確認(rèn)訂單簽發(fā)付款指令。此時(shí)SET開(kāi)始介入?！?〕在SET中，消費(fèi)者必須對(duì)訂單和付款指令進(jìn)行數(shù)字簽名，同時(shí)利用雙重簽名技術(shù)保證商家看不到消費(fèi)者的帳號(hào)信息。〔5〕在線商店接受訂單后，向消費(fèi)者所在銀行請(qǐng)求支付認(rèn)可。信息通過(guò)支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)。批準(zhǔn)交易后，返回確認(rèn)信息給在線商店。〔6〕在線商店發(fā)送訂單確認(rèn)信息給消費(fèi)者。消費(fèi)者端軟件可記錄交易日志，以備將來(lái)查詢?！?〕在線商店發(fā)送貨物或提供效勞井通知收單銀行將錢從消費(fèi)者的帳號(hào)轉(zhuǎn)移到商店帳號(hào)，或通知發(fā)卡銀行請(qǐng)求支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)