教学第七章电子商务安全技术课件

7.1电子商务安全概述7.2网络安全保障技术7.3电子商务的认证技术7.4防火墙技术及应用第7章电子商务安全技术7.1电子商务安全概述第7章电子商务安全技术17.1.1电子商务的安全问题

7.1.2电子商务的安全性需求

7.1.3电子商务安全架构7.1电子商务安全概述7.1.1电子商务的安全问题

7.1.2电子商务的安全2互联网是一个完全开放的网络，任何一台计算机、任何一个网络都可与之相连，并利用互联网发布信息，获取与共享网络资源，或进行各种网上商务活动，直接促成了一个网络经济时代的到来。但是这种开放式的信息交换、资源共享和分布方式增加了网络的脆弱性和易受攻击性。电子商务依赖于互联网，因而互联网所面临的威胁，也同样是电子商务所面临的威胁。如果把网络系统的运转看成是一种信息的流动（如电子商务中的信息流或资金流），则正常情况下，信息从信息源（如网站或文件）流向目标（如用户或文件），这种正常的信息流如图7.1（a）所示。7.1.1电子商务的安全问题7.1.1电子商务的安全问题37.1.1电子商务的安全问题信息源接收方（a）正常信息流（c）截取（d）修改（e）伪造（b）中断图7.1安全威胁的类型7.1.1电子商务的安全问题信息源接收方（a）正常信息流（4（1）系统的中断由于操作错误、应用程序错误、硬件故障、系统软件错误、网络故障以及计算机病毒等恶意攻击导致系统不能正常工作。如图7.1（b）所示。（2）信息的截获和窃取信息在传输过程中被某些非授权实体所截获和窃取。如图7.1（c）所示。这里的实体可以是一个人、一个程序或一个计算机系统。例如，在网络中为得到数据而对程序或数据进行的非法拷贝、电话线上的窃取、以太网上对数据包的嗅探等。（3）信息的篡改如果非授权实体不但截取了资源，而且还对其进行了修改，则这种攻击就是篡改。如图7.1（d）所示。例如，某人可能修改数据库中的数值，修改程序使之完成额外的任务或修改正在传送的数据。7.1.1电子商务的安全问题（1）系统的中断7.1.1电子商务的安全问题5（4）信息的伪造或假冒非授权实体伪造计算机系统中的实体或信息。如图7.1（e）所示。在电子商务中，由于交易非面对面进行，如果安全措施不完善，无法对信息发送者或者接收者的身份进行验证，那么入侵者就有可能潜入企业的内部网络，冒充合法用户发送或者是接收信息，从而给合法用户造成商务损失。主要有两种方式：①信息的伪造②假冒身份（5）交易抵赖交易双方进行了某种通信或交易活动，但当参与一方事后发现交易行为对自己不利时，就有可能不承认获抵赖已经做过的交易。交易抵赖包括多个方面，如发送方事后否认曾经发送过某个信息或内容；收信方事后否认曾经收到过某个信息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。7.1.1电子商务的安全问题（4）信息的伪造或假冒7.1.1电子商务的安全问题6电子商务安全的核心和关键是电子交易的安全性。针对上述在电子商务开展过程中可能发生的问题，为了保证电子商务整个交易过程中的安全性和可靠性，由此提出了相应的安全控制要求。电子商务安全的基本要求主要包括真实性、有效性、机密性、完整性和不可抵赖性。（1）真实性对交易各方身份真实性的确认是电子交易中的首要安全需求。这意味着，在双方进行交易之前，首先要确认对方的身份，确保交易双方的身份不能被假冒或伪装。目前，网上对客户、商家、银行、网关等实体的鉴别，一般都是通过CA认证机构和其发放的数字证书来实现的。（2）有效性对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的，要求电子商务系统能够保证随时提供稳定的网络服务。7.1.2电子商务的安全性需求

电子商务安全的核心和关键是电子交易的安全性。针对上述在电子商7（3）机密性保证信息为授权者使用而不会泄露给非授权的人或实体。

（4）完整性要求能保证只有授权的各方能够修改计算机系统的有价值的内容和传输的数据，防止数据被非授权者建立、修改和破坏。（5）不可抵赖性防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。7.1.2电子商务的安全性需求

（3）机密性7.1.2电子商务的安全性需求8（1）电子商务安全因素电子商务建立在互联网技术的基础上，但又不是孤立的依赖于互联网技术，在电子商务的开展过程中，还需要社会环境、管理环境提供相应的保障。因此，电子商务安全架构应该是一个涵盖技术因素，管理因素等在内的一个综合体系，如图7.2所示。

7.1.3电子商务安全架构

保护protect恢复restore检测detect反应react人过程技术图7.2电子商务安全架构（1）电子商务安全因素7.1.3电子商务安全架构保护恢9电子商务安全涉及人（people）、过程（procedure）及技术（technology）三种因素。①人电子商务不是电子设备之间独立进行的交易行为，电子商务交易的主体仍然是人。人作为一种实体在电子商务交易中存在，则必然对电子商务的安全产生重要的影响。②过程在电子商务的交易过程中，人需要对电子商务系统进行操作，如系统登录，数据库更新等。在这些过程中，应有严格的操作手册和制度来规范各种操作，避免各种不规范的行为的产生。③技术互联网技术是电子商务实现的基础，技术因素对电子商务安全的影响最为直接。电子商务系统不恰当的设计，安全性设计的欠缺，计算机系统自身的漏洞都会成为安全问题的隐患。因此在开展电子商务交易的过程中，首先要从技术上保障系统的安全可靠。7.1.3电子商务安全架构

电子商务安全涉及人（people）、过程（procedure10（2）电子商务安全措施电子商务安全包括保护（protect）、检测（detect）、反应（react）及恢复（restore）四个环节，简称为PDRR。①保护保护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵系统。一般采用一些网络安全产品、工具和技术保护网络系统和数据。这种保护可以称作静态保护，通常是指一些基本防护，不具有实时性。

②检测检测就是实时监控系统的安全状态，是实时保护的一种策略，主要满足一种动态安全的需求。7.1.3电子商务安全架构

（2）电子商务安全措施7.1.3电子商务安全架构11③反应反应是当已知一个攻击（入侵）事件发生之后，能够及时进行处理，如向管理员报告，或者自动阻断连接等，防止攻击进一步发生，将安全事件的影响降低到最小范围。

④恢复恢复是当入侵事件发生后，把系统恢复到原来的正确状态，或者比原来更安全的状态，这对电子商务交易的正常开展是非常重要。恢复是最终措施，因为当攻击已经发生，系统已经受到破坏，这时只有让系统以最快的速度正常运行起来才是最重要的，否则损失会更严重。安全的电子商务环境的构建需要考虑到技术、人、过程三个因素，也需要从保护、检测、反应及恢复四个环节去控制，这样才能保证电子商务的安全，促进电子商务持续健康发展。7.1.3电子商务安全架构

③反应7.1.3电子商务安全架构127.2.1数据加密技术

7.2.2入侵检测技术

7.2.3虚拟专用网

7.2.4防病毒技术7.2网络安全保障技术7.2.1数据加密技术

7.2.2入侵检测技术

713（1）数据加密过程数据加密技术是电子商务采用的最基本的安全技术，是解决诸如信息的窃取、信息的假冒、信息的篡改、信息的抵赖等问题的一种重要手段，同时也是签名技术、认证技术的基础。数据加密技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。攻击者即使窃取到经过加密的信息（密文），也无法辨识原文。这样能够有效地对抗截收、非法访问、窃取信息等威胁。数据加密的过程如图7.3所示。7.2.1数据加密技术（1）数据加密过程7.2.1数据加密技术14根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密密钥推导出解密密钥，可将密码算法分为对称加密算法和非对称加密算法。7.2.1数据加密技术密钥加密明文密文明文密文图7.3数据加密技术互联网密钥解密7.2.1数据加密技术密钥明文密文明文密文图7.3数据15（2）对称密钥加密技术对称密钥加密是指信息发送方对要发送的信息统统一定的算法和密钥进行加密，变为密文，密文通过网络到达接收方后，接收方使用相同的算法和密钥进行解密，还原成明文。它只用一个密钥对信息进行加密和解密。由于加密和解密用的是同一密钥，所以发送者和接收者都必须知道密钥。用对称加密对信息编码和解码的速度很快，效率也很高，但也有比较大的局限性。所有各方都必须相互了解，并且完全信任，而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点，就必须当面或在公共传送系统（电话系统、邮政服务）中无人偷听偷看的情况下交换密钥。在密钥的交换过程中，任何人一旦截获了它，就都可用它来读取所有加密消息。对称密钥加密算法的典型代表是DES算法7.2.1数据加密技术（2）对称密钥加密技术7.2.1数据加密技术16（3）非对称密钥加密技术非对称密钥加密算法采用一对密钥：一个公共密钥和一个专用密钥。公共密钥则可以发布出去，专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。非对称密钥的优点就在于，尽管通信双方不认识，但只要提供密钥的CA可靠，就可以进行安全通信，这正是电子商务所要求的。非对称密钥加密算法的典型代表是RSA算法。

7.2.1数据加密技术（3）非对称密钥加密技术7.2.1数据加密技术17从计算机安全的目标来看，入侵指企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。从入侵策略的角度看，入侵可分为企图进入、冒充合法用户、成功闯入等方面。入侵者一般称为黑客或解密高手。入侵检测指对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也能检测出内部用户的未授权活动，是一种增强系统安全的有效方法。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。7.2.2入侵检测技术

从计算机安全的目标来看，入侵指企图破坏资源的完整性、保密性、18（1）入侵检测技术的分类①异常检测（Anomalydetection）②误用检测（Misusedetection）③特征检测（Signature-baseddetection）7.2.2入侵检测技术

（1）入侵检测技术的分类7.2.2入侵检测技术19（2）入侵检测系统的工作步骤第一步：信息收集①系统和网络日志文件②目录和文件中的不期望的改变③程序执行中的不期望行为④物理形式的入侵信息第二步：信息分析①模式匹配②统计分析③完整性分析7.2.2入侵检测技术

（2）入侵检测系统的工作步骤7.2.2入侵检测技术20VPN是将互联网作为计算机网络主干的一种网络模式，是企业网在互联网等公共网络上的延伸，在公用的或不可信的网络基础结构上提供安全，包括从客户端到网关的安全远程访问和网关到网关的安全连接。“虚拟”的概念是相对传统企业专用网的构建方式而言的，VPN利用服务提供商提供的公共网络来实现远程的广域连接，将远程用户、公司分支机构、商业伙伴及供应商与公司的内部网连接起来，构成一个扩展的企业内联网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处在一个网络之中，公共网络好像只有本网络独占。7.2.3虚拟专用网

VPN是将互联网作为计算机网络主干的一21（1）VPN的功能VPN网络可以利用IP网络、帧中继网络和ATM网络建设，VPN的具体实现是采用隧道技术，将企业内的数据封装在隧道中进行传输。VPN应提供如下的功能：①加密数据以保证通过公网传输的信息即使被他人截获也不会泄密。②信息认证和身份认证保证信息的完整性、合法性，并能鉴别用户的身份。③提供访问控制不同的用户有不同的访问权限。7.2.3虚拟专用网

（1）VPN的功能7.2.3虚拟专用网22计算机病毒伴随着计算机软硬件技术及网络技术的发展而繁衍成一个庞大的家族。计算机病毒已成为了影响电子商务安全的重要因素之一。1994年我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在第二十八条中明确指出“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。7.2.4防病毒技术

计算机病毒伴随着计算机软硬件技术及网络技术的发展而繁衍成一个23（1）计算机病毒的特点计算机病毒是一种特殊的程序，其种类繁多，各自具有不同的特征，从计算机病毒的定义中可以看出传染性和破坏性是其最基本的特征，其次还具有隐蔽性，可触发性等特点，具体可归纳为如下几个方面：①寄生性②传染性③潜伏性④隐蔽性⑤可触发性⑥破坏性7.2.4防病毒技术

（1）计算机病毒的特点7.2.4防病毒技术24（3）计算机病毒的预防为了避免计算机病毒的感染和传播，应该从预防和清除两个方面着手。预防就是通过采取积极稳妥的应对策略，阻止计算机病毒进入网络计算机系统，使其免于病毒感染，做到防患于未然。采取有效的计算机病毒预防措施，是实现电子商务系统病毒防治的重中之重。预防病毒的主要措施有：①安装防病毒软件。②备份重要资料。③小心使用可移动储存介质。④先扫描后使用。⑤使用硬盘恢复工具恢复数据。⑥不要在互联网上随意下载软件。⑦不要轻易打开电子邮件的附件。7.2.4防病毒技术

（3）计算机病毒的预防7.2.4防病毒技术25（4）计算机病毒的清除清除就是通过定期或不定期对网络上计算机系统进行检查，一旦发现存在的计算机病毒，就利用相应地方法将其清除掉。在清除计算机病毒之前，应注意如下的原则：①清除病毒之前，一定要备份所有重要数据以防万一。②清除病毒时，一定要用干净的系统引导机器，保证整个清除病毒过程在无毒的环境下进行，否则病毒会重新感染已除毒的文件。③做好备用的保存磁盘引导扇区的文件，在文件名上要反应出该盘的型号、容量和版本，因不同的磁盘的分区表不同，引导记录的BPB（磁盘基数表）也不同，一但恢复时不对应，被恢复的磁盘将无法读取。④操作中应谨慎处理，对所读取的数据应进行多次检查核对，确认无误后再进行相关操作。7.2.4防病毒技术

（4）计算机病毒的清除7.2.4防病毒技术26清除计算机病毒可采用如下方法：①用保存主引导扇区信息恢复的方法。②程序覆盖方法。③低级格式化或格式化磁盘。④手工清除方法。7.2.4防病毒技术

清除计算机病毒可采用如下方法：7.2.4防病毒技术27清除计算机病毒可采用如下方法：①用保存主引导扇区信息恢复的方法。②程序覆盖方法。③低级格式化或格式化磁盘。④手工清除方法。7.2.4防病毒技术

清除计算机病毒可采用如下方法：7.2.4防病毒技术287.3.1基本认证技术

7.3.2认证中心

7.3电子商务的认证技术

7.3.1基本认证技术

7.3.2认证中心

7.29在电子商务的交易中，认证技术是保证交易安全的一个很重要的技术。因为在互联网上电子商务交易是在虚拟环境中进行的，交易当事人之间互不见面，为了保证双方真式身份都能被唯一识别，交易信息不被第三方修改或伪造以及交易信息不被抵赖，就必须采用认证技术。电子商务认证具体主要包括身份认证和信息认证。前者用于鉴别网上交易参加者的身份，后者用于保证通信双方的不可抵赖性和信息的完整性。7.3.1基本认证技术

在电子商务的交易中，认证技术是保证交易安全的一个很重要的技术30（1）身份认证身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份，用户必须提供他是谁的证明。在网络的在线交易中，面临着病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁，假冒客户、假冒商家和假冒银行等事件层出不穷，这足以说明身份认证的重要性。身份认证具有以下功能：①可信性

②完整性③不可抵赖性④访问控制性7.3.1基本认证技术

（1）身份认证7.3.1基本认证技术31身份认证的方式有：①用户名/密码方式②智能卡认证③动态口令④USBKey认证⑤生物识别技术就目前趋势来看，将生物识别在内的几种安全机制整合应用正在成为新的潮流。其中，较为引人注目的是将生物识别、智能卡、公匙基础设施（PKI）技术相结合的应用，如指纹KEY产品。7.3.1基本认证技术

身份认证的方式有：7.3.1基本认证技术32（2）信息认证在互联网的商务活动中，大量信息需要通过网络进行传输，这需要网络传输中能够保证信息的安全，为用户提供安全的服务。信息认证具有以下的功能：①信息加密②信息完整性③信息验证④信息的过时及重用的验证7.3.1基本认证技术

（2）信息认证7.3.1基本认证技术33信息认证的实现方式如下：①数字签名在书面文字上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确认了文件是真这一事实。数字签名和书面签名有相同之处，采用数字签名也能确认这两点：一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样数字签名就可以用来防止电子信息因易被修改而有人作伪、冒用别人名义发送信息或发送（收到）信息后又加以否认等情况发生。7.3.1基本认证技术

信息认证的实现方式如下：7.3.1基本认证技术34数字签名技术通常是采用非对称密钥加密算法实现的，其实现方式是数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。应用广泛的数字签名方法有三种，即RSA签名、DSS签名和Hash（哈希函数）签名，其中Hash签名是最主要的签名方法。这三种算法可单独使用，也可综合在一起使用。7.3.1基本认证技术

数字签名技术通常是采用非对称密钥加密算法实现的，其实现方式是35Hash签名也称之为数字摘要法（DigitalDigest）、数字指纹法（DigitalFingerprint）。该数字签名方法是将数字签名与要发送的信息紧密联系在一起，更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。数字签名除了具有书面签名的全部功能外，还具有容易转换、难以伪造、可远程传输等优点，是目前实现电子商务数据传输安全保密的主要手段之一。7.3.1基本认证技术

Hash签名也称之为数字摘要法（DigitalDigest36②数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字信封的功能类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据（通信密钥）还原；数字信封拆解是使用私钥将加密过的数据解密的过程。7.3.1基本认证技术

②数字信封7.3.1基本认证技术37③数字时间戳（DTS）在各种政务和商务文件中，时间是十分重要的信息，就如同在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digitaltime-stampservice）就是电子文件发表日期和时间的安全保护措施。数字时间戳服务是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：·需加时间戳的文件的摘要（digest）；·DTS收到文件的日期和时间；·DTS的数字签名。7.3.1基本认证技术

③数字时间戳（DTS）7.3.1基本认证技术38④数字证书数字证书（DigitalCertificate）又称为数字标识（DigitalID）、数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字证书是一种权威性的电子文档，其作用类似于司机的驾驶执照或日常生活中的身份证，是由一个权威机构——CA证书授权（CertificateAuthority）中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书提供了一种在互联网上验证身份的方式，在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必头对方身份的真伪担心。7.3.1基本认证技术

④数字证书7.3.1基本认证技术39数字凭证有三种类型：第一类：个人凭证（PersonalDigitalID）。该证书仅仅为某一个用户提供证书，以帮助其个人在网上进行安全交易操作。第二类：企业（服务器）凭证（ServerID）。该证书通常为网上的某个Web服务器提供凭证，拥有Ｗeb服务器的企业就可以用具有证书的互联网站点（WebSite）来进行安全电子交易。第三类：软件（开发者）凭证（DeveloperID）。该证书通常为Internet中被下载的软件提供证书，该证书用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。7.3.1基本认证技术

数字凭证有三种类型：7.3.1基本认证技术40认证中心（CertificateAuthority,CA），是为了解决电子商务活动中交易参与各方身份、资信的认定、维护交易活动的安全、从根本上保障电子商务交易活动顺利进行而设立的服务机构。（1）认证中心的功能①证书的颁发②证书的更新③证书的查询④证书的验证⑤证书的作废⑥证书的归档7.3.2认证中心

认证中心（CertificateAuthority,CA41（2）认证中心的分级结构证书的验证是采用分级结构来完成的，每一种证书归属于签发它的单位，通过层层认证，可达根CA。CA的分级层次结构由根认证中心、品牌认证中心、地方认证中心，以及客户认证中心、商户认证中心、支付网关认证中心等不同层次结构构成，（3）CA的认证体系电子商务的CA体系包括两大部分：符合SET标准的有SETCA认证体系（又叫“金融CA体系”和基于X.509的PKICA体系（又叫“非金融CA体系”）。①SETCA②PKICA③用户自己认定的CA7.3.2认证中心

（2）认证中心的分级结构7.3.2认证中心427.4.1防火墙概述

7.4.2防火墙的主要技术

7.4.3防火墙的体系结构

7.4.4防火墙的功能

7.4.5防火墙的局限性

7.4防火墙技术及应用7.4.1防火墙概述

7.4.2防火墙的主要技术

7.443在计算机安全里，防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）之间的软件或硬件设备的组合。它是不同网络之间信息的唯一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，而对内部的非法访问却难以有效的控制，因此，防火墙最适合于相对独立、与外部网络互联途径有限的单一网络，例如常见的企业专用网。7.4.1防火墙概述

在计算机安全里，防火墙是指设置在不同网络（如可信任的企业内部44（1）包过滤技术第一代防火墙技术和最基本形式的防火墙，几乎与路由器同时出现，采用了包过滤（Packetfilter）技术。包过滤技术是根据一套规则，检查通过每一个通过的网络数据包，或者放行，或者通过，这种规则又称为访问控制表。这种防火墙通常安装在路由器上。包过滤技术检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合，并将其与设立的规则相比较，以此来确定是否允许该数据包通过。包过滤防火墙逻辑简单，价格较低，性能开销小，处理速度较快，有较强的透明性，易于安装和使用，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。7.4.2防火墙的主要技术

（1）包过滤技术7.4.2防火墙的主要技术45（2）网络地址翻译网络地址翻译（NAT，NetworkAddressTranslation）通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址，实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能，使外部主机无法探测到它们。NAT实质上是一个基本代理：一个主机充当代理，代表内部所有主机发出请求，从而将内部主机的身份从公用网上隐藏起来了。7.4.2防火墙的主要技术

（2）网络地址翻译7.4.2防火墙的主要技术46（3）应用代理开发代理（Proxy）的最初目的是对Web进行缓存，减少冗余访问，但现在主要用于防火墙。代理服务器通过侦听网络内部客户的服务请求，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。对于内部客户而言，代理服务器好像原始的公共服务器，对于公共服务器而言，代理服务器好像原始的客户一样，代理需要为特定的应用程序安装代理程序代码，这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性。应用代理防火墙可以配置成允许来自内部网络的任何连接，也可以配置成要求用户认证后才能建立连接。7.4.2防火墙的主要技术

（3）应用代理7.4.2防火墙的主要技术47防火墙的体系结构主要包括以下类型：（1）包过滤型防火墙（2）双穴主机网关（3）屏蔽主机防火墙（4）屏蔽子网防火墙7.4.3防火墙的体系结构

防火墙的体系结构主要包括以下类型：7.4.3防火墙的体系结48作为网络安全的主要保障，防火墙具有如下的功能：（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄7.4.4防火墙的功能

作为网络安全的主要保障，防火墙具有如下的功能：7.4.4防49防火墙具有较强的抗外界攻击的能力，实但是也存在着局限性，其不能对付的安全威胁有：（1）防火墙不能防止内部网络内部用户对资源的攻击（2）防火墙不能防范不经过它的其他途径的攻击，（3）防火墙不能防范最新的网络安全问题。（4）一般防火墙不对内部网络提供防护外部病毒的侵犯，病毒可以通过FTP或其他工具传至内域网。（5）作为互联网通讯基础的TCP/IP协议，就存在着难以完全根除的安全缺陷，在最初设计时就缺乏对安全的考虑，导致其存在一系列安全缺陷.（6）防火墙采用的过滤技术使网络的性能降低.7.4.5防火墙的局限性

EndofCH07防火墙具有较强的抗外界攻击的能力，实但是也存在着局限性，其507.1电子商务安全概述7.2网络安全保障技术7.3电子商务的认证技术7.4防火墙技术及应用第7章电子商务安全技术7.1电子商务安全概述第7章电子商务安全技术517.1.1电子商务的安全问题

7.1.2电子商务的安全性需求

7.1.3电子商务安全架构7.1电子商务安全概述7.1.1电子商务的安全问题

7.1.2电子商务的安全52互联网是一个完全开放的网络，任何一台计算机、任何一个网络都可与之相连，并利用互联网发布信息，获取与共享网络资源，或进行各种网上商务活动，直接促成了一个网络经济时代的到来。但是这种开放式的信息交换、资源共享和分布方式增加了网络的脆弱性和易受攻击性。电子商务依赖于互联网，因而互联网所面临的威胁，也同样是电子商务所面临的威胁。如果把网络系统的运转看成是一种信息的流动（如电子商务中的信息流或资金流），则正常情况下，信息从信息源（如网站或文件）流向目标（如用户或文件），这种正常的信息流如图7.1（a）所示。7.1.1电子商务的安全问题7.1.1电子商务的安全问题537.1.1电子商务的安全问题信息源接收方（a）正常信息流（c）截取（d）修改（e）伪造（b）中断图7.1安全威胁的类型7.1.1电子商务的安全问题信息源接收方（a）正常信息流（54（1）系统的中断由于操作错误、应用程序错误、硬件故障、系统软件错误、网络故障以及计算机病毒等恶意攻击导致系统不能正常工作。如图7.1（b）所示。（2）信息的截获和窃取信息在传输过程中被某些非授权实体所截获和窃取。如图7.1（c）所示。这里的实体可以是一个人、一个程序或一个计算机系统。例如，在网络中为得到数据而对程序或数据进行的非法拷贝、电话线上的窃取、以太网上对数据包的嗅探等。（3）信息的篡改如果非授权实体不但截取了资源，而且还对其进行了修改，则这种攻击就是篡改。如图7.1（d）所示。例如，某人可能修改数据库中的数值，修改程序使之完成额外的任务或修改正在传送的数据。7.1.1电子商务的安全问题（1）系统的中断7.1.1电子商务的安全问题55（4）信息的伪造或假冒非授权实体伪造计算机系统中的实体或信息。如图7.1（e）所示。在电子商务中，由于交易非面对面进行，如果安全措施不完善，无法对信息发送者或者接收者的身份进行验证，那么入侵者就有可能潜入企业的内部网络，冒充合法用户发送或者是接收信息，从而给合法用户造成商务损失。主要有两种方式：①信息的伪造②假冒身份（5）交易抵赖交易双方进行了某种通信或交易活动，但当参与一方事后发现交易行为对自己不利时，就有可能不承认获抵赖已经做过的交易。交易抵赖包括多个方面，如发送方事后否认曾经发送过某个信息或内容；收信方事后否认曾经收到过某个信息或内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易。7.1.1电子商务的安全问题（4）信息的伪造或假冒7.1.1电子商务的安全问题56电子商务安全的核心和关键是电子交易的安全性。针对上述在电子商务开展过程中可能发生的问题，为了保证电子商务整个交易过程中的安全性和可靠性，由此提出了相应的安全控制要求。电子商务安全的基本要求主要包括真实性、有效性、机密性、完整性和不可抵赖性。（1）真实性对交易各方身份真实性的确认是电子交易中的首要安全需求。这意味着，在双方进行交易之前，首先要确认对方的身份，确保交易双方的身份不能被假冒或伪装。目前，网上对客户、商家、银行、网关等实体的鉴别，一般都是通过CA认证机构和其发放的数字证书来实现的。（2）有效性对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的，要求电子商务系统能够保证随时提供稳定的网络服务。7.1.2电子商务的安全性需求

电子商务安全的核心和关键是电子交易的安全性。针对上述在电子商57（3）机密性保证信息为授权者使用而不会泄露给非授权的人或实体。

（4）完整性要求能保证只有授权的各方能够修改计算机系统的有价值的内容和传输的数据，防止数据被非授权者建立、修改和破坏。（5）不可抵赖性防止参与某次通信交换的任何一方事后否认本次通信或通信的内容。7.1.2电子商务的安全性需求

（3）机密性7.1.2电子商务的安全性需求58（1）电子商务安全因素电子商务建立在互联网技术的基础上，但又不是孤立的依赖于互联网技术，在电子商务的开展过程中，还需要社会环境、管理环境提供相应的保障。因此，电子商务安全架构应该是一个涵盖技术因素，管理因素等在内的一个综合体系，如图7.2所示。

7.1.3电子商务安全架构

保护protect恢复restore检测detect反应react人过程技术图7.2电子商务安全架构（1）电子商务安全因素7.1.3电子商务安全架构保护恢59电子商务安全涉及人（people）、过程（procedure）及技术（technology）三种因素。①人电子商务不是电子设备之间独立进行的交易行为，电子商务交易的主体仍然是人。人作为一种实体在电子商务交易中存在，则必然对电子商务的安全产生重要的影响。②过程在电子商务的交易过程中，人需要对电子商务系统进行操作，如系统登录，数据库更新等。在这些过程中，应有严格的操作手册和制度来规范各种操作，避免各种不规范的行为的产生。③技术互联网技术是电子商务实现的基础，技术因素对电子商务安全的影响最为直接。电子商务系统不恰当的设计，安全性设计的欠缺，计算机系统自身的漏洞都会成为安全问题的隐患。因此在开展电子商务交易的过程中，首先要从技术上保障系统的安全可靠。7.1.3电子商务安全架构

电子商务安全涉及人（people）、过程（procedure60（2）电子商务安全措施电子商务安全包括保护（protect）、检测（detect）、反应（react）及恢复（restore）四个环节，简称为PDRR。①保护保护是预先阻止攻击可以发生的条件产生，让攻击者无法顺利地入侵系统。一般采用一些网络安全产品、工具和技术保护网络系统和数据。这种保护可以称作静态保护，通常是指一些基本防护，不具有实时性。

②检测检测就是实时监控系统的安全状态，是实时保护的一种策略，主要满足一种动态安全的需求。7.1.3电子商务安全架构

（2）电子商务安全措施7.1.3电子商务安全架构61③反应反应是当已知一个攻击（入侵）事件发生之后，能够及时进行处理，如向管理员报告，或者自动阻断连接等，防止攻击进一步发生，将安全事件的影响降低到最小范围。

④恢复恢复是当入侵事件发生后，把系统恢复到原来的正确状态，或者比原来更安全的状态，这对电子商务交易的正常开展是非常重要。恢复是最终措施，因为当攻击已经发生，系统已经受到破坏，这时只有让系统以最快的速度正常运行起来才是最重要的，否则损失会更严重。安全的电子商务环境的构建需要考虑到技术、人、过程三个因素，也需要从保护、检测、反应及恢复四个环节去控制，这样才能保证电子商务的安全，促进电子商务持续健康发展。7.1.3电子商务安全架构

③反应7.1.3电子商务安全架构627.2.1数据加密技术

7.2.2入侵检测技术

7.2.3虚拟专用网

7.2.4防病毒技术7.2网络安全保障技术7.2.1数据加密技术

7.2.2入侵检测技术

763（1）数据加密过程数据加密技术是电子商务采用的最基本的安全技术，是解决诸如信息的窃取、信息的假冒、信息的篡改、信息的抵赖等问题的一种重要手段，同时也是签名技术、认证技术的基础。数据加密技术是指将一个信息（或称明文）经过加密密钥及加密函数转换，变成无意义的密文，而接收方则将此密文经过解密函数、解密密钥还原成明文。攻击者即使窃取到经过加密的信息（密文），也无法辨识原文。这样能够有效地对抗截收、非法访问、窃取信息等威胁。数据加密的过程如图7.3所示。7.2.1数据加密技术（1）数据加密过程7.2.1数据加密技术64根据密码算法所使用的加密密钥和解密密钥是否相同、能否由加密密钥推导出解密密钥，可将密码算法分为对称加密算法和非对称加密算法。7.2.1数据加密技术密钥加密明文密文明文密文图7.3数据加密技术互联网密钥解密7.2.1数据加密技术密钥明文密文明文密文图7.3数据65（2）对称密钥加密技术对称密钥加密是指信息发送方对要发送的信息统统一定的算法和密钥进行加密，变为密文，密文通过网络到达接收方后，接收方使用相同的算法和密钥进行解密，还原成明文。它只用一个密钥对信息进行加密和解密。由于加密和解密用的是同一密钥，所以发送者和接收者都必须知道密钥。用对称加密对信息编码和解码的速度很快，效率也很高，但也有比较大的局限性。所有各方都必须相互了解，并且完全信任，而且每一方都必须妥善保管一份密钥。如果发送者和接收者处在不同地点，就必须当面或在公共传送系统（电话系统、邮政服务）中无人偷听偷看的情况下交换密钥。在密钥的交换过程中，任何人一旦截获了它，就都可用它来读取所有加密消息。对称密钥加密算法的典型代表是DES算法7.2.1数据加密技术（2）对称密钥加密技术7.2.1数据加密技术66（3）非对称密钥加密技术非对称密钥加密算法采用一对密钥：一个公共密钥和一个专用密钥。公共密钥则可以发布出去，专用密钥要保证绝对的安全。用公共密钥加密的信息只能用专用密钥解密，反之亦然。非对称密钥的优点就在于，尽管通信双方不认识，但只要提供密钥的CA可靠，就可以进行安全通信，这正是电子商务所要求的。非对称密钥加密算法的典型代表是RSA算法。

7.2.1数据加密技术（3）非对称密钥加密技术7.2.1数据加密技术67从计算机安全的目标来看，入侵指企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。从入侵策略的角度看，入侵可分为企图进入、冒充合法用户、成功闯入等方面。入侵者一般称为黑客或解密高手。入侵检测指对计算机和网络资源的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也能检测出内部用户的未授权活动，是一种增强系统安全的有效方法。

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。7.2.2入侵检测技术

从计算机安全的目标来看，入侵指企图破坏资源的完整性、保密性、68（1）入侵检测技术的分类①异常检测（Anomalydetection）②误用检测（Misusedetection）③特征检测（Signature-baseddetection）7.2.2入侵检测技术

（1）入侵检测技术的分类7.2.2入侵检测技术69（2）入侵检测系统的工作步骤第一步：信息收集①系统和网络日志文件②目录和文件中的不期望的改变③程序执行中的不期望行为④物理形式的入侵信息第二步：信息分析①模式匹配②统计分析③完整性分析7.2.2入侵检测技术

（2）入侵检测系统的工作步骤7.2.2入侵检测技术70VPN是将互联网作为计算机网络主干的一种网络模式，是企业网在互联网等公共网络上的延伸，在公用的或不可信的网络基础结构上提供安全，包括从客户端到网关的安全远程访问和网关到网关的安全连接。“虚拟”的概念是相对传统企业专用网的构建方式而言的，VPN利用服务提供商提供的公共网络来实现远程的广域连接，将远程用户、公司分支机构、商业伙伴及供应商与公司的内部网连接起来，构成一个扩展的企业内联网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处在一个网络之中，公共网络好像只有本网络独占。7.2.3虚拟专用网

VPN是将互联网作为计算机网络主干的一71（1）VPN的功能VPN网络可以利用IP网络、帧中继网络和ATM网络建设，VPN的具体实现是采用隧道技术，将企业内的数据封装在隧道中进行传输。VPN应提供如下的功能：①加密数据以保证通过公网传输的信息即使被他人截获也不会泄密。②信息认证和身份认证保证信息的完整性、合法性，并能鉴别用户的身份。③提供访问控制不同的用户有不同的访问权限。7.2.3虚拟专用网

（1）VPN的功能7.2.3虚拟专用网72计算机病毒伴随着计算机软硬件技术及网络技术的发展而繁衍成一个庞大的家族。计算机病毒已成为了影响电子商务安全的重要因素之一。1994年我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在第二十八条中明确指出“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。7.2.4防病毒技术

计算机病毒伴随着计算机软硬件技术及网络技术的发展而繁衍成一个73（1）计算机病毒的特点计算机病毒是一种特殊的程序，其种类繁多，各自具有不同的特征，从计算机病毒的定义中可以看出传染性和破坏性是其最基本的特征，其次还具有隐蔽性，可触发性等特点，具体可归纳为如下几个方面：①寄生性②传染性③潜伏性④隐蔽性⑤可触发性⑥破坏性7.2.4防病毒技术

（1）计算机病毒的特点7.2.4防病毒技术74（3）计算机病毒的预防为了避免计算机病毒的感染和传播，应该从预防和清除两个方面着手。预防就是通过采取积极稳妥的应对策略，阻止计算机病毒进入网络计算机系统，使其免于病毒感染，做到防患于未然。采取有效的计算机病毒预防措施，是实现电子商务系统病毒防治的重中之重。预防病毒的主要措施有：①安装防病毒软件。②备份重要资料。③小心使用可移动储存介质。④先扫描后使用。⑤使用硬盘恢复工具恢复数据。⑥不要在互联网上随意下载软件。⑦不要轻易打开电子邮件的附件。7.2.4防病毒技术

（3）计算机病毒的预防7.2.4防病毒技术75（4）计算机病毒的清除清除就是通过定期或不定期对网络上计算机系统进行检查，一旦发现存在的计算机病毒，就利用相应地方法将其清除掉。在清除计算机病毒之前，应注意如下的原则：①清除病毒之前，一定要备份所有重要数据以防万一。②清除病毒时，一定要用干净的系统引导机器，保证整个清除病毒过程在无毒的环境下进行，否则病毒会重新感染已除毒的文件。③做好备用的保存磁盘引导扇区的文件，在文件名上要反应出该盘的型号、容量和版本，因不同的磁盘的分区表不同，引导记录的BPB（磁盘基数表）也不同，一但恢复时不对应，被恢复的磁盘将无法读取。④操作中应谨慎处理，对所读取的数据应进行多次检查核对，确认无误后再进行相关操作。7.2.4防病毒技术

（4）计算机病毒的清除7.2.4防病毒技术76清除计算机病毒可采用如下方法：①用保存主引导扇区信息恢复的方法。②程序覆盖方法。③低级格式化或格式化磁盘。④手工清除方法。7.2.4防病毒技术

清除计算机病毒可采用如下方法：7.2.4防病毒技术77清除计算机病毒可采用如下方法：①用保存主引导扇区信息恢复的方法。②程序覆盖方法。③低级格式化或格式化磁盘。④手工清除方法。7.2.4防病毒技术

清除计算机病毒可采用如下方法：7.2.4防病毒技术787.3.1基本认证技术

7.3.2认证中心

7.3电子商务的认证技术

7.3.1基本认证技术

7.3.2认证中心

7.79在电子商务的交易中，认证技术是保证交易安全的一个很重要的技术。因为在互联网上电子商务交易是在虚拟环境中进行的，交易当事人之间互不见面，为了保证双方真式身份都能被唯一识别，交易信息不被第三方修改或伪造以及交易信息不被抵赖，就必须采用认证技术。电子商务认证具体主要包括身份认证和信息认证。前者用于鉴别网上交易参加者的身份，后者用于保证通信双方的不可抵赖性和信息的完整性。7.3.1基本认证技术

在电子商务的交易中，认证技术是保证交易安全的一个很重要的技术80（1）身份认证身份认证就是在电子商务交易过程中，判明和确认贸易参与者的真实身份，用户必须提供他是谁的证明。在网络的在线交易中，面临着病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁，假冒客户、假冒商家和假冒银行等事件层出不穷，这足以说明身份认证的重要性。身份认证具有以下功能：①可信性

②完整性③不可抵赖性④访问控制性7.3.1基本认证技术

（1）身份认证7.3.1基本认证技术81身份认证的方式有：①用户名/密码方式②智能卡认证③动态口令④USBKey认证⑤生物识别技术就目前趋势来看，将生物识别在内的几种安全机制整合应用正在成为新的潮流。其中，较为引人注目的是将生物识别、智能卡、公匙基础设施（PKI）技术相结合的应用，如指纹KEY产品。7.3.1基本认证技术

身份认证的方式有：7.3.1基本认证技术82（2）信息认证在互联网的商务活动中，大量信息需要通过网络进行传输，这需要网络传输中能够保证信息的安全，为用户提供安全的服务。信息认证具有以下的功能：①信息加密②信息完整性③信息验证④信息的过时及重用的验证7.3.1基本认证技术

（2）信息认证7.3.1基本认证技术83信息认证的实现方式如下：①数字签名在书面文字上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确认了文件是真这一事实。数字签名和书面签名有相同之处，采用数字签名也能确认这两点：一是信息是由签名者发送的，二是信息自签发后到收到为止未曾做过任何修改。这样数字签名就可以用来防止电子信息因易被修改而有人作伪、冒用别人名义发送信息或发送（收到）信息后又加以否认等情况发生。7.3.1基本认证技术

信息认证的实现方式如下：7.3.1基本认证技术84数字签名技术通常是采用非对称密钥加密算法实现的，其实现方式是数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。应用广泛的数字签名方法有三种，即RSA签名、DSS签名和Hash（哈希函数）签名，其中Hash签名是最主要的签名方法。这三种算法可单独使用，也可综合在一起使用。7.3.1基本认证技术

数字签名技术通常是采用非对称密钥加密算法实现的，其实现方式是85Hash签名也称之为数字摘要法（DigitalDigest）、数字指纹法（DigitalFingerprint）。该数字签名方法是将数字签名与要发送的信息紧密联系在一起，更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起，比合同和签名分开传递，更增加了可信度和安全性。数字签名除了具有书面签名的全部功能外，还具有容易转换、难以伪造、可远程传输等优点，是目前实现电子商务数据传输安全保密的主要手段之一。7.3.1基本认证技术

Hash签名也称之为数字摘要法（DigitalDigest86②数字信封数字信封是用加密技术来保证只有规定的特定收信人才能阅读通信的内容。数字信封的功能类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的私钥才能将加密后的数据（通信密钥）还原；数字信封拆解是使用私钥将加密过的数据解密的过程。7.3.1基本认证技术

②数字信封7.3.1基本认证技术87③数字时间戳（DTS）在各种政务和商务文件中，时间是十分重要的信息，就如同在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digitaltime-stampservice）就是电子文件发表日期和时间的安全保护措施。数字时间戳服务是网上安全服务项目，由专门的机构提供。时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：·需加时间戳的文件的摘要（digest）；·DTS收到文件的日期和时间；·DTS的数字签名。7.3.1基本认证技术

③数字时间戳（DTS）7.3.1基本认证技术88④数字证书数字证书（DigitalCertificate）又称为数字标识（DigitalID）、数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。数字证书是一种权威性的电子文档，其作用类似于司机的驾驶执照或日常生活中的身份证，是由一个权威机构——CA证书授权（CertificateAuthority）中心发行的，人们可以在互联网交往中用它来识别对方的身份。当然在数字证书认证的过程中，证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的。数字证书提供了一种在互联网上验证身份的方式，在网上的电子交易中，如双方出示了各自的数字凭证，并用它来进行交易操作，那么双方都可不必头对方身份的真伪担心。7.3.1基本认证技术

④数字证书7.3.1基本认证技术89数字凭证有三种类型：第一类：个人凭证（PersonalDigitalID）。该证书仅仅为某一个用户提供证书，以帮助其个人在网上进行安全交易操作。第二类：企业（服务器）凭证（ServerID）。该证书通常为网上的某个Web服务器提供凭证，拥有Ｗeb服务器的企业就可以用具有证书的互联网站点（WebSite）来进行安全电子交易。第三类：软件（开发者）凭证（DeveloperID）。该证书通常为Internet中被下载的软件提供证书，该证书用于和微软公司Authenticode技术（合法化软件）结合的软件，以使用户在下载软件时能获得所需的信息。7.3.1基本认证技术

数字凭证有三种类型：7.3.1基本认证技术90认证中心（Certif