电子商务安全技术概论

第6章电子商务安全技术电子商务安全概述网络安全技术加密技术认证技术实训6思考与练习本章小结导航后一页前一页末页退出电子商务安全协议案例：国国富安证证书和iPass系统在国国电物资资公司的的应用通过该案案例，请请思考：：1．以互联联网为核核心的信信息交换换过程中中，常用用到的加加密技术术有哪些些，列举举一二。。2．结合本本案例内内容，谈谈谈你对对信息安安全的理理解。导航后一页前一页末页退出6.1电子商务务安全概概述6.1..1电子商务务安全现现状6.1..2电子商务务安全需需求导航后一页前一页末页退出通过互联联网非法法获取信信息的次次数和数数量在快快速增长长，病毒毒、黑客客等成为为越来越越严重的的威胁和和攻击。。据统计计，网络络数据被被窃取和和破坏造造成的直直接经济济损失每每年至少少有几十十亿美元元。6.1..1电子商务务安全现现状电子商务务中的安安全隐患患：信息的窃窃取：信息没有有采取加加密措施施或加密密强度不不够，攻攻击者在在数据包包经过的的网关或或路由器器上可以以将其截截获。信息的篡篡改：攻击者对对网络传传输的信信息进行行中途修修改后再再发往目目的地。。破坏手手段：篡篡改、删删除、插插入信息的假假冒：攻击者可可以假冒冒合法用用户或发发送假冒冒信息来来欺骗其其他用户户。交易的抵抵赖：包括多个个方面，，如发送送者事后后否认曾曾经发送送过某内内容；接收者者事后否否认曾经经收到过过某内容容；购买买者做了了订货单单不承认认；商家家卖出的的商品因因价格差差而不承承认原有有的交易易等。导航后一页前一页末页退出6.1..2电子商务务安全需需求信息传输输的保密密性：一般通过过加密技技术对传传输的信信息进行行加密处处理来实实现。解决办法法是信息息加密和和防火墙墙技术。。交易文件件的正确确性和完完整性：：从两个方方面考虑虑：一是非人人为因素素，如因因传输介介质损坏坏而引起起的信息息丢失、、错误等等，这类类问题通通常通过过校验来来解决；；另一个个是人为为因素，，指非法法用户对对信息的的恶意篡篡改。其其安全性性是由信信息加密密和提取取信息的的数字摘摘要来保保证的。。交易者身身份的确确定性：：是虚拟网网络环境境中交易易成功的的先决条条件，需需要有身身份鉴别别服务来来验证其其声明的的正确性性。一般通过过数字签名名、证书机机构CA和数字证书书来实现。交易信息息的不可可抵赖性性：在交易信信息的传传输过程程中为交交易主体体提供可可靠的标标识，防防止抵赖赖行为的的发生，，一般都通通过数字签名名来实现。。导航后一页前一页末页退出6.2网络安全全技术网络安全全技术是是在与网网络攻击击的斗争争中不断断发展和和完善的的。6.2..1防火墙技技术6.2..2病毒防范范技术导航后一页前一页末页退出6.2..1防火墙技技术1.防火墙的的概念2.防火墙技技术的优优缺点3.防火墙的的类型导航后一页前一页末页退出1.防火墙的的概念防火墙（（FireWall）指两个个网络之之间执行行访问控制制策略的一一系列部部件的组组合，包含硬件和软软件。目的是是保护网网络不被被他人侵侵扰。导航后一页前一页末页防火墙退出防火墙是是不同网网络之间间信息的的唯一出出口，能能根据企企业网络络安全策策略控制制出入网网络的信信息流且且本身具具有较强强的抗攻攻击能力力。防火墙通通过检测测、限制制、更改改跨越防防火墙的的数据流流，尽可可能地对对外屏蔽蔽内部的的信息、、结构和和运行状状况。1.防火墙的的概念1.防火墙的的概念—访问控制制机制基基本设计计准则

导航后一页前一页末页1.“一切未被被允许的的就是禁禁止的”，即在默默认情况况下禁止止所有服服务拒绝允许2.“一切未被被禁止的的就是允允许的”，即在默默认情况况下允许许所有服服务允许拒绝退出逻辑上，，防火墙墙是一个个分离器器、一个个限制器器、一个个分析器器，有效监控控内部网网络和Internet间的任何何活动，，保证了了内部网络的安安全。2.防火墙技技术的优优缺点——优点

导航后一页前一页末页（1）是网络络安全的的屏障通过过滤滤不安全全的服务务来降低低子网上上主系统统的风险险。可以禁止止某些易易受攻击击的服务务(如NFS---网络文件件系统)进入或离离开受保保护的子子网。可以防护护基于路路由选择择的攻击击，如源源路由选选择和企企图通过过ICMP—控制消息息协议，，改向把把发送路路径转向向遭致损损害的网网点。（2）控制对对主机系系统的访访问可以提供供对系统统的访问问控制。。通过配配置防火火墙，某某些主机机系统可可由外部部网络访访问，而而其他主主机则被被有效封封闭。退出2.防火墙的的优缺点点——优点

导航后一页前一页末页（3）监控和和设计网网络访问问如果所有有的访问问都经过过防火墙墙，那么么防火墙墙就能记记录下这这些访问问并做出出日志记记录，同同时也能能提供网网络使用用情况的的统计数数据。当当发生可可疑动作作时，防防火墙能能进行适适当的报报警，并并提示网网络是否否收到监监测和攻攻击的详详细信息息。（4）防止内内部信息息的外泄泄通过利用用防火墙墙对内部部网络的的划分，，可实现现内部网网重点网网段的隔隔离，从从而限制制了局部部重点或或敏感网网络安全全问题对对全局网网络造成成的影响响。另外外，使用用防火墙墙可以隐隐蔽那些些会泄露露内部细细节的服服务，如如Finger（于查询用用户情况况的实用用程序））、DNS（域名系系统）等等。退出Finger是UNIX系统中用用于查询询用户情情况的实实用程序序(dos系统也包包含此命命令)。UNIX系统保存存了每个个用户的的详细资资料，包包括E-mail地址、帐帐号，在在现实生生活中的的真实姓姓名、登登录时间间、有没没有未阅阅读的信信件，最最后一次次阅读E-mail的时间以以及外出出时的留留言等资资料。当当你用Finger命令查询询时，系系统会将将上述资资料一一一显示在在终端或或计算机机上。DNS存在的安安全问题题1.针对域名名系统的的恶意攻攻击：DDOS（DoS攻击源一一起攻击击某台服服务器就就组成了了DDOS攻击）攻击造成成域名解解析瘫痪痪。2.域名劫持持：修改改注册信信息、劫劫持解析析结果。。3.国家性质质的域名名系统安安全事件件：“.ly””域名瘫痪痪、“.af””域名的域域名管理理权变更更。4.系统上运运行的DNS服务存在在漏洞，，导致被被黑客获获取权限限，从而而篡改DNS信息。5.DNS设置不当当，导致致泄漏一一些敏感感信息。。提供给给黑客进进一步攻攻击提供供有力信信息。2.防火墙的的优缺点点——优点

导航后一页前一页末页（5）部署NAT机制防火墙可可以部署署NAT机制，用用来缓解解地址空空间短缺缺的问题题，也可可以隐藏藏内部网网络的结结构。支持网络络地址转转换(NAT)：指将一一个IP地址域映映射到另另一个IP地址域，，从而为为终端主主机提供供透明路路由的方方法。NAT常用于私私有地址址域与公公有地址址域的转转换以解解决IP地址匮乏乏问题。。在防火火墙上实实现NAT后，可以以隐藏受受保护网网络的内内部结构构，在一一定程度度上提高高了网络络的安全全性。退出2.防火墙的的优缺点点——缺点

导航后一页前一页末页退出（1）限制使使用合乎乎需要的的服务防火墙最最明显的的缺点是是它可能能封锁用用户所需需的某些些服务，，如TELNET（远程登陆陆服务））、FTP（文件传传输）、、NFS（网络文文件系统统）等。。但但这一缺缺点并不不是防火火墙所独独有的。。对主系系统的多多级限制制也会产产生这个个问题。。（2）后门访访问的广广泛可能能性防火墙不不能防护护从后门门进入网网点。例例如，如如果对调调制解调调器不加加限制，，仍然许许可访问问由防火火墙保护护的网点点，那么么攻击者者可以有有效地跳跳过防火火墙。调调制解调调器的速速度现在在快到足足以使SLIP（串行线线IP）和PPP（点对点点协议））切实可可行。在在受保护护子网内内SLIP和PPP连接在本本质上是是另一个个网络连连接点和和潜在的的后门。。2.防火墙的的优缺点点——缺点

导航后一页前一页末页退出（3）几乎不不能防护护来自内内部的攻攻击防火墙可可以禁止止系统用用户经过过网络连连接发送送专有的的信息，，但用户户可以将将数据复复制到磁磁盘、磁磁带上，，放在公公文包中中带出去去。如果果入侵者者已经在在防火墙墙内部，，防火墙墙是无能能为力的的。内部部用户偷偷窃数据据，破坏坏硬件和和软件，，并且巧巧妙地修修改程序序而不接接近防火火墙。对对于来自自知情者者的威胁胁只能要要求加强强内部管管理，如如主机安安全和用用户教育育、管理理、制度度等。（4）其他问问题病毒：防火墙不不能防止止用户从从Internet下载受病病毒感染染的程序序，或把把这些程程序附加加到电子子邮件上上传输出出去。必必须用其其他对策和抗病毒控控制措施施进行处处理。吞吐量：：防火墙是是一种潜潜在的瓶瓶颈，所所有的连连接都必必须通过过防火墙墙，许多多信息都都要经过过检查，，信息的的传递可可能要受受到传输输速率的的影响。。集中性：：防火墙系系统把安安全性集集中在一一点上，，而不是是把它分分布在各各系统间间，防火火墙受损损可能会会对子网网上其他他保护不不力的系系统造成成巨大的的损害。。3.防火墙的的类型

导航后一页前一页末页退出分组过滤滤（Packetfilter，或称为包包过滤）：是一一种简单单有效的的安全控控制技术术，他通通过在网网络间相相互连接接的设备备上加载载允许、、禁止来来自某些些特定的的源地址址、目的的地址和和端口号号等规则则，对通通过设备备的数据据包进行行检查，，限制数数据包进进出内部部网络。。只有满满足过滤滤逻辑的的数据包包才被转转发到相相应的目目的地出出口端，，其余数数据包则则被从数数据流中中丢弃。。3.防火墙的的类型

导航后一页前一页末页退出代理服务务：能够将所所有跨越越防火墙墙的网络络通信链链路分为为两段。。防火墙墙内外计计算机系系统间应应用层的的连接，，由两个个代理服服务器之之间的连连接来实实现，外外部计算算机的网网络链路路只能到到达代理理服务器器，从而而起到隔隔离防火火墙内外外计算机机系统的的作用。。3.防火墙的的类型两种类型型优缺点点。P175目前，防防火墙系系统通常常结合使使用两种种技术。。代理服服务可大大大降低低分组过过滤规则则的复杂杂度，是是分组过过滤技术术的重要要补充。。6.2..2病毒防范范措施1.计算机病病毒的概概念2.计算机病病毒的分分类3.计算机病病毒的防防治导航后一页前一页末页退出1.计算机病病毒的概概念

导航后一页前一页末页退出计算机病病毒起源源P175计算机病病毒是指编制制或者在在计算机机程序中中插入的的破坏计计算机功功能或者者毁坏数数据，影影响计算算机使用用，并能能自我复复制的一一组计算算机指令令或者程程序代码码。计算机病病毒的特征：（1）传染性性（2）隐蔽性性（3）触发性性（4）破坏性性2.计算机病病毒的分分类

导航后一页前一页末页退出按病毒依赖的操操作系统统分类：DOS病毒、Windows病毒、Unix病毒、Linux病毒等。。按病毒特特有的算法分类：伴随型病病毒、“蠕虫”病毒、寄生型型病毒。按病毒的的破环方式式分类：无无害型、、危害型型、危险险型、非非常危险险型。按病毒的的寄生方式式分类：文件型病病毒、引导型病病毒、混合型型病毒。。按病毒的的传染方法法分类：驻留型病病毒、非驻留留型病毒毒。按病毒的的连接方式式分类：源码型病病毒、嵌入型病病毒、外壳病毒毒、操作系系统型病病毒。常见病毒毒举例

导航后一页前一页末页退出Windows系统病毒毒的前缀为为：Win32、PE、Win95、W32、W95等。这些些病毒一一般是感感染windows操作系统统的**.exe和*.dll文件，并并通过这这些文件件进行传传播。如如CIH病毒。蠕虫病毒毒的前缀是是：Worm。这种病病毒通过过网络或或者系统统漏洞进进行传播播，很大大部分的的蠕虫病病毒都有有向外发发送带毒毒邮件，，阻塞网网络的特特性。比比如冲击击波(阻塞网络络)，小邮差差(发带毒邮邮件)等。木马病毒毒其前缀是是：Trojan，木马病病毒通过过网络或或者系统统漏洞进进入用户户的系统统并隐藏藏，然后后向外界界泄露用用户的信信息。黑客病毒毒前缀名一一般为Hack。黑客病病毒有一一个可视视的界面面，能对对用户的的电脑进进行远程程控制。。木马、黑黑客病毒毒往往是是成对出现现的，即木木马病毒毒负责侵侵入用户户的电脑脑，而黑黑客病毒毒则会通通过该木木马病毒毒来进行行控制。。现在这这两种类类型趋向向于整合合了。一一般的木木马如QQ消息尾巴巴木马Trojan..QQ3344，还有比比较多的的针对网网络游戏戏的木马马病毒如如Trojan..LMir.PSW..60。常见病毒毒举例

导航后一页前一页末页退出脚本病毒毒的前缀是是：Script。脚本病病毒是使使用脚本本语言编编写，通通过网页页进行的的传播的的病毒，，如红色色代码(Script.Redlof)。脚本病病毒还会会有如下下前缀：：VBS、JS(表明是何何种脚本本编写的的)，如欢乐乐时光(VBS.Happytime)、十四日日(Js..Fortnight.c..s)等。病毒种植植程序病病毒。这类病病毒运行行时会从从体内释释放出一一个或几几个新的的病毒到到系统目目录下，，由释放放出来的的新病毒毒产生破破坏。如如：冰河河播种者者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性程程序病毒毒的前缀是是：Harm。这类病病毒本身身具有好好看的图图标来诱诱惑用户户点击，，当用户户点击时时，病毒毒便会直直接对用用户计算算机产生生破坏。。如：格格式化C盘(Harm.formatC.f))、杀手命命令(Harm.Command.Killer)等。玩笑病毒毒的前缀是是：Joke。也称恶恶作剧病病毒。这这类病毒毒也具有有好看的的图标诱诱惑用户户点击，，当用户户点击时时，病毒毒会做出出各种破破坏操作作来吓唬唬用户，，但不会会对用户户电脑进进行任何何破坏。。如：女女鬼(Joke.Girlghost))病毒。常见病毒毒举例

导航后一页前一页末页退出捆绑机病病毒的前缀是是：Binder。这类病病毒作者者会使用用特定的的捆绑程程序将病病毒与一一些应用用程序如如QQ、IE捆绑起来来，表面面上看是是一个正正常的文文件，当当用户运运行这些些捆绑病病毒时，，会表面面上运行行这些应应用程序序，然后后隐藏运运行捆绑绑在一起起的病毒毒，从而而给用户户造成危危害。如如：捆绑绑QQ(Binder..QQPass.QQBin)、系统杀杀手(Binder.killsys))等。3.计算机病病毒的防防治

导航后一页前一页末页退出从用户的的角度：计算机机病毒防防治要采采取“预防为主主，防治治结合”的方针，，关键是是做好预预防工作作。根据据病毒传传染途径径，做一一些经常常性的病病毒检测测工作，，降低病病毒入侵侵率，减减少病毒毒造成的的危害。。从技术的角角度：计算机病病毒的防防治技术术分成四四个方面面，即预预防、检检测、清清除和免免疫。病毒防治治技术——预防技术术

导航后一页前一页末页退出病毒预防防技术：：指通过一一定的技技术手段段防止病病毒对系系统进行行传染和和破坏，，它通过过自身常驻系统统内存优优先获得系统统的控制制权，监监视和判判断系统统中是否否有病毒毒存在，，进而阻止计算机病病毒进入入系统内内存或阻阻止计算算机病毒毒对磁盘盘的操作作尤其是是写操作作，以达达到保护护系统的的目的。。计算机病病毒的预预防技术术主要包包括磁盘盘引导区区保护、、加密可可执行程程序、读读写控制制技术和和系统监监控技术术等。病毒防治治技术——检测技术术

导航后一页前一页末页退出病毒检测测技术：：指通过一一定的技技术手段段判定出出病毒的的一种技技术。病毒检测测技术主主要有两种：一种是根根据计算算机病毒毒程序中中的关键键字、特特征程序序段内容容、病毒毒特征及及传染方方式、文文件长度度的变化化，在特特征分类类的基础础上建立立的病毒毒检测技技术；另一种是是不针对对具体病病毒程序序的自身身检验技技术，即即对某个个文件或或数据段段进行检检验和计计算并保保存其结结果，以以后定期期或不定定期地根根据保存存的结果果对该文文件或数数据段进进行检验验，若出出现差异异，即表表示该文文件或数数据段的的完整性性已遭到到破坏，，从而检检测到病病毒的存存在。病毒防治治技术——消除技术术

导航后一页前一页末页退出病毒消除除技术：：病毒的消消除是检检测的延延伸，是是在检测测发现特特定的病病毒基础础上，根根据具体体病毒的的消除方方法从传传染的程程序中除除去计算算机病毒毒代码并并恢复文文件的原原有结构构信息。。现在很多多杀病毒毒软件是是把检测测和杀毒毒同时进进行了，，目前常用的杀杀病毒软软件有：NortonAntiVirus、Kv3000、金山毒毒霸、瑞瑞星等。。病毒防治治技术——免疫技术术

导航后一页前一页末页退出病毒免疫疫技术：：这一技术术目前没没有很大大发展。。针对某某一种病病毒的免免疫方法法已没没有人再再用了，，而目前前还没有有出现通通用的能能对各种种病毒都都有免疫疫作用的的技术，，也许根根本就不不存在这这样一种种技术。。现在，，某些反反病毒程程序使用用给可执执行程序序增加保保护性外外壳的方方法，能能在一定定程度上上起保护护作用。。6.3加密技术术6.3..1密码学基基础知识识6.3..2密码技术术的应用用导航后一页前一页末页退出6.3..1密码学基基础知识识术语：明文：原原始消息息密文：加加密后的的形式加密技术术的两个个要素：：密钥和和算法导航后一页前一页末页退出解密算法解密密钥加密算法加密密钥明文密文明文加密解密例：恺撒撒密码原理：把每个英英文字母母向前推推x位，如x=3明文：a,b,,c,d,e,,f,g,h,,……,w,x,y,,z密文：d,e,,f,g,h,,i,j,k,,……,z,a,b,,c算法:character+x密钥：x=3导航后一页前一页末页退出1.对称密钥钥加密技技术

导航后一页前一页末页退出对信息的的加密、、解密使使用相同同的算法法和密钥钥1.对称密钥钥加密技技术（单单钥）

导航后一页前一页末页退出优点：简简单速速度快问题：密密钥管理理困难代表：DES算法美国IBM公司W.Tuchman和C.Meyer1971-1972年研制成成功。DES算法1975年3月公开发发表，1977年1月15日由美国国国家标标准局颁颁布为数数据加密密标准（（DataEncryptionStandard），于1977年7月15日生效。。DES算法介绍绍（续）

导航后一页前一页末页退出1984年2月，ISO成立的数数据加密密技术委委员会在DES基础上制制定数据据加密的的国际标标准。密钥长度度为64位（实际际为56位，有8位用于奇奇偶校验验）。1997年美国RSA数据安全全公司举举办了密密钥挑战战竞赛，，悬赏一一万美金金破译DES算法。克克罗拉多多州的一一个程序序员用了了96天的时间间，在Internet数万名志志愿者的的协同工工作下，，成功地地找到了了DES的密钥。。2.非对称密钥钥加密技技术（私私钥、公公钥）

导航后一页前一页末页退出每个用户户都有一对密钥钥：一个私钥（PrivateKey）由所有有者秘密密持有，，一个公钥（PublicKey）由所有有者公开开。若以公钥钥作为加加密密钥钥，以用用户私钥钥作为解解密密钥钥，则可可实现多多个用户户加密的的消息只只能由一一个用户户解读。。若以用户户私钥作作为加密密密钥而而以公钥钥作为解解密密钥钥，则可可实现由由一个用用户加密密的消息息使多个个用户解解读。加密明文密文明文2.非对称密钥钥加密技技术

导航后一页前一页末页退出优点：安安全性高高，适合合密钥分分发、数数字签名名等缺点：计计算量大大，速度度慢，不不适合信信息量大大、速度度要求快快的加密密代表：RSA算法RSA算法介绍绍

导航后一页前一页末页退出1976年由美国国的三位位科学家家Rivest,,Shemir和Adelman提出。已被ISO//TC97的数据加加密技术术分委员员会推荐荐为公开开密钥数数据加密密标准。。加密强度度很高，，它的安安全性是是基于分分解大整整数的难难度，即即将两个个大的质质数合成成一个大大数很容容易，而而相反的的过程非非常困难难。6.3..2加密技术术的应用用1．数字签签名2.数字时间间戳导航后一页前一页末页退出1.数字签名名在网络中中传送的的报文如如何签名名盖章？？这是数数字签名名所要解解决的问问题。数字签名名技术是是实现交交易安全全的核心心技术之之一，它它的实现现基础是是公开密钥钥加密技技术。数字签名名必须保保证：接收者能能够核实实发送者者对报文文的签名名；发送者事事后不能能抵赖对对报文的的签名；；接收者不不能伪造造对报文文的签名名。导航后一页前一页末页退出数字签名名原理导航后一页前一页末页退出SHA加密信息数字签名私钥加密摘要数字签名信息公钥解密摘要SHA加密摘要比较如一致信息确认发送方接收方2.数字时间间戳在电子商商务交易易文件中中，时间是十分重重要的信信息。数字时间间戳服务务(DigitalTimeStampService，DTS))是网上安安全服务务项目，，由专门门的机构构提供。。时间戳是是一个经过加密密后形成成的凭证证文档，包括：：需加时时间戳的的文件的的摘要、、DTS收到文件件的日期期和时间间、DTS的数字签签名。时间戳产产生的过过程：用户将需需要加时时间戳的的文件用用HASH编码加密密形成摘摘要；将该摘要要发送到到DTS；DTS加入收到到文件摘摘要的日日期和时时间信息息；DTS用其私钥钥加密形形成DTS的数字签签名；一并送回回用户。。导航后一页前一页末页退出6.4认证技术术6.4..1认证技术术概述6.4..2数字证书书与认证证中心导航后一页前一页末页退出6.4..1认证技术术概述电子商务务交易安安全在技技术上要要解决两两大问题题：安全传输输和身份认证证。安全传输输：数据据加密技技术身份认证证：认证证技术认证：证实被被认证对对象是否否属实与与是否有有效的一一个过程程，其基基本思想想是通过过验证被被认证对对象的属属性，达达到确认认被认证证对象是是否真实实有效的的目的。。身份认证证技术主主要基于于公钥加密密体制。导航后一页前一页末页退出6.4..2数字证书书与认证证中心1.数字证书书：可以证实实一个用用户的身身份2.认证中心心：是承担担网上安安全电子子交易认认证的第第三方服服务机构构，主要要负责产产生、分分配并管管理用户户的数字字证书。。导航后一页前一页末页退出1.数字证书书——概念数字证书书（digitalID）又称为为数字凭凭证、数数字标识识，是一一个经证证书认证证机构数数字签名名的包含含用户身身份信息息以及公公开密钥钥信息的的电子文文件。数字证书书的内部部格式一一般采用用X．509国际标准准，一个标标准的X.509数字证书书包含以以下一些些内容：证书的版版本信息息；证书书的序列列号；证证书所使使用的签签名算法法；证书书的发行行机构；；证书的的有效期期；证书书所有人人的名称称；证书书所有人人的公开开密钥；；证书发发行者对对证书的的签名。。导航后一页前一页末页退出1.数字证书书——类型个人证书书：属于个人人所有，，帮助个个人用户户在网上上进行安安全交易易和安全全的网络络行为。。个人数数字证书书安装在在客户端的的浏览器器中，通过过安全电子子邮件进行操作作。企业（服服务器））证书：：企业如果果拥有Web服务器，，可申请请企业证证书，用用具有证证书的服服务器进进行电子子交易，，而且有有证书的的Web服务器会会自动加加密和客客户端通通信的所所有信息息。软件（开开发者））证书：：是为网络络上下载载的软件件提供凭凭证，用用来和软软件的开开发方进进行信息息交流，，使用户户在下载载软件时时可以获获得所需需的信息息。导航后一页前一页末页退出1.数字证书书——申请导航后一页前一页末页退出1.数字证书书——用途网上办公公电子政务务网上交易易安全电子子邮件网上招标标导航后一页前一页末页退出2.认证中心心认证中心心(CertificationAuthority，CA)提供交易易双方身身份认证证并保证证交易安安全进行行的第三三方服务务机构，，主要负负责产生生、分配配并管理理用户的的数字证证书。CA往往采用用一种多多层次的的分级机构，上上级CA负责签发发和管理理下级CA的证书，，最下一一级的CA直接面向向最终用用户。（（见下图图）导航后一页前一页末页退出认证中心心的层次次结构导航后一页前一页末页退出2.认证中心心——CA的整体框框架导航后一页前一页末页出退出面向普通通用户，，用于提提供证书书申请、浏浏览、证证书撤销销列表以以及证书下载载等安全全服务。。是核心，，负责证证书的签签发。CA先产生自自己的私钥和和公钥，，然后生生成数字字证书，，并传输输给安全服服务器。。还负责责为操作作员、安安全服务务器、注册册机构服服务器生生成数字字证书。。登记中心心服务器器面向登登记中心心操作员员，一方方面向CA转发安全全服务器器传输过过来的证证书申请请求，，另一方方面向LDAP服务器和和安全服服务器转发发CA颁发的数数字证书书和证书书撤销列列表。提供目录录浏览服服务，负负责将注注册机构构服务器传传输过来来的用户户信息以以及数字字证书加入入到服务务器上。。用于认证证机构数数据（秘秘钥和用用户信息息等）、日日志和统统计信息息的存储储和管理理。2.认证中心心——CA的功能①证书的颁颁发。CA接收、验验证用户户的申请请，确定定给用户户颁发何何种类型型的证书书。新证证书用CA的私钥签签名后，，发送到到目录服服务器供供用户下下载和查查询。②证书的的更新。。定期或根根据用户户的请求求更新用用户的证证书。③证书的的查询。。一是证书书申请的的查询，，二是用用户证书书的查询询。导航后一页前一页末页退出2.认证中心心——CA的功能(续)④证书的作作废。一是用户向CA提出证书书作废请请求，CA确定是否否将该证证书作废废。二是证书已已经过了了有效期期，CA自动将该该证书作作废。⑤证书的的归档。。证书过了了有效期期后将作作废，但但是不能能简单地地丢弃，，因为可可能需要要验证以以前的某某个交易易过程中中产生的的数字签签名时就就需要查查询作废废的证书书。基于于此，CA还具备管管理作废废证书和和作废私私钥的功功能。导航后一页前一页末页退出6.5电子商务务安全协协议6.5..1安全套接接层协议议（SecureSocketsLayer,SSL）6.5..2安全电子子交易协协议（SecureElectronicTrade,SET）导航后一页前一页末页退出6.5..1SSL协议由网景(Netscape))公司1994年推出，，主要目目的是解决Web上信息传传输的安安全问题题。SSL协议位于于TCP//IP协议与各各种应用用层协议议之间。SSL协议主要要使用的的技术：数字证证书、数数字签名名，以及及基于RSA的加密算算法和对对称加密密算法。。应用层层协议所所传送的的数据都都会被加加密，从从而保证证通信的的安全性性。导航后一页前一页末页退出SSL协议主要要提供的的服务：：用户和服服务器的的合法性性认证：客户机和和服务器器都是有有各自的的识别号号，由公公开密钥钥进行编编排，为为了验证证用户是是否合法法，SSL要求在握握手交换换数据进进行数字字认证，，以此来来确保用用户的合合法性。。加密数据据以隐藏藏被传送送的数据据：SSL协议所采采用的加加密技术术既有对对称密钥钥技术，，也有公公开密钥钥技术，可以防止止非法用用户进行行破译。。保护数据据的完整整性：SSL协议采用用Hash函数和机机密共享享的方法法来提供供信息的的完整性性服务，，建立客客户机与与服务器器之间的的安全通通道。导航后一页前一页末页退出SSL协议的两两个子协协议SSL协议包括括两个子子协议：：SSL记录协议和SSL握手协议。SSL记录协议议定制了了传输数数据的格格式，所所有的传传输数据据都被封封装在记记录中。。所有的的SSL通信都使使用SSL记录层。。SSL握手协议议在客户户端和服服务器之之间建立立安全传传输通道道。一个SSL传输过程程需要先先握手，，通信双方方协商会会话密钥钥；之后后，两者者间建立立一个SSL对话，使使用协商商好的会会话密钥钥来加密密/解密消息息即传送送消息会会被加密密后再传传输，对对方收到到消息后后再解密密。导航后一页前一页末页退出SSL协议流程程在电子商商务交易易中，由由于有银银行参与与，按照照SSL协议，交交易过程程中，客客户购买买的信息息首先发发往商家家，商家家再将信信息转发发银行，，银行验验证客户户信息的的合法性性后，通通知商家家付款成成功，商商家再通通知客户户购买成成功，将将商品寄寄送客户户。导航后一页前一页末页退出6.5..2SET协议SET协议是一一个在互互联网上上实现安安全电子子交易的的协议标标准。由VISA和MasterCard共同制定定，1997年5月推出。。主要目的的是解决通过过互联网网使用信信用卡付付款结算算的安全全保障性性问题。。SET协议是在在应用层的网络标标准协议议。SET协议主要要使用的的技术：对称密密钥加密密、公共共密钥加加密、HASH算法、数数字签名名以及公公共密钥钥授权机机制等。。导航后一页前一页末页退出SET协议运行行的目标标保证信息息在互联联网上安全传输输。保证交易易参与者者信息的相相互隔离离。客户的的资料加加密或打打包后通通过商家家到达银银行，但但是商家家不能看看到客户户的账户户和密码码信息。。解决网上上认证问题。认认证中心心为消费费者、商商家与支支付网关关等每个个交易参参与方都都生成数数字证书书。保证网上上交易的的实时性。所有的的支付过过程都是是在线的的。仿效EDI规范协议议和消息息格式，使不同同厂家开开发的软软件具有有兼容性性和互操操作功能能，且可可以运行行在不同同的硬件件和操作作系统平平台上。。导航后一页前一页末页退出SET协议工作作流程导航后一页前一页末页退出实训6一、安装装并使用用瑞星杀杀毒软件件查杀病病毒【实验目的的】通过实验验，使学学生掌握握瑞星软软件的安安装，并并能根据据需要设设置软件件，熟练练使用软软件查杀杀病毒。。【实验内容容】1.瑞星杀毒毒软件的的安装2.瑞星杀毒毒软件的的使用

导航后一页前一页末页退出实训6二、数字证书书的申请请和使用用【实验目的的】通过试验验，使学学生掌握握数字证证书的申申请、下下载安装装、查看看、导出出导入的的操作，并并熟练掌掌握数字字证书在在安全电电子邮件件中的使使用。【实验内容容】1.申请数字字证书2.查看数字字证书3.数字证书书的导出出与导入入4.数字证书书的使用用（数字字证书在在安全电电子邮件件中的使使用）

导航后一页前一页末页退出思考与练练习6-1判断题1.病毒程序序大多夹夹在正常常程序之之中，很很容易被被发现。。（（））2.建立认证证体系的的目的是是要验证证或识别别上网参参与交易易活动的的各主体体的身份份。（（））3.ＳＥＴ协协议是一一个在互互联网上上实现安安全电子子交易的的协议。。（（））4.在实际应应用中，，通常将将两种加加密方法法即对称称加密方方法和非非对称加加密方法法结合在在一起使使用。（（））5.只有通过过上网，，计算机机才会感感染上病病毒。（（））想一想?导航后一页前一页末页退出思考与练练习6-2单选题1.使用密钥钥将密文文数据还还原成明明文数据据，称为为（））A）解码B）编译C）加密D）解密2.病毒侵入入后，一一般不立立即活动动，需要要等条件件成熟后后才作用用，这是是计算机机病毒的的哪个特特点（））A）入侵性性B）隐蔽性性C）复制性性D）传染性性3.CA的中文含含义是（（））A）电子中中心B）金融中中心C）银行中中心D）认证中中心4.SET协议又称称为（））A）安全套套接层协协议B）安全电电子交易易协议C）信息传传输安全全协议D）网上购购物协议议5.信息的保保密性是是指())A）信息不不被他人人所接收收B）信息内内容不被被指定以以外的人人所知悉悉C）信息不不被篡改改D）信息在在传递过过程中不不被中转转想一想?导航后一页前一页末页退出思考与练练习6.CA是负责为为参与商商务活动动的各方方发放（（））,以确认身身份，保保证电子子支付的的安全性性。A）数字证证书B）支付证证书C）安全证证书D）确认证证书7.下述哪个个不是常常用的防防病毒软软件？（（））A）Outlook B）金山毒毒霸C）KV3000D）瑞星8.公钥技术术利用（（））互互相匹配配的密钥钥进行加加密、解解密。A）一个B）一对C）三个D）三对9.SSL协议层包包括两个个协议子子层：记记录协议议和（））A）握手协协议B）牵手协协议C）拍手协协议D）拉手协协议10.关于防火火墙的说说法正确确的是（（））A）是指用用于防止止火灾而而修建的的墙B）是用来来对两个个或多个个网