电子商务安全技术概论

第6章电子商务安全技术电子商务安全概述网络安全技术加密技术认证技术实训6思考与练习本章小结导航后一页前一页末页退出电子商务安全协议案例：国富安证书和

iPass系统在国电物资公司的应用

通过该案例，请思考：

1．以互联网为核心的信息交换过程中，常用到的加密技术有哪些，列举一二。

2．结合本案例内容，谈谈你对信息安全的理解。导航后一页前一页末页退出6.1电子商务安全概述6.1.1电子商务安全现状6.1.2电子商务安全需求导航后一页前一页末页退出通过互联网非法获取信息的次数和数量在快速增长，病毒、黑客等成为越来越严重的威胁和攻击。据统计，网络数据被窃取和破坏造成的直接经济损失每年至少有几十亿美元。6.1.1电子商务安全现状电子商务中的安全隐患：信息的窃取：信息没有采取加密措施或加密强度不够，攻击者在数据包经过的网关或路由器上可以将其截获。信息的篡改：攻击者对网络传输的信息进行中途修改后再发往目的地。破坏手段：篡改、删除、插入信息的假冒：攻击者可以假冒合法用户或发送假冒信息来欺骗其他用户。交易的抵赖：包括多个方面，如发送者事后否认曾经发送过某内容；接收者事后否认曾经收到过某内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易等。导航后一页前一页末页退出6.1.2电子商务安全需求信息传输的保密性：一般通过加密技术对传输的信息进行加密处理来实现。解决办法是信息加密和防火墙技术。交易文件的正确性和完整性：从两个方面考虑：一是非人为因素，如因传输介质损坏而引起的信息丢失、错误等，这类问题通常通过校验来解决；另一个是人为因素，指非法用户对信息的恶意篡改。其安全性是由信息加密和提取信息的数字摘要来保证的。

交易者身份的确定性：

是虚拟网络环境中交易成功的先决条件，需要有身份鉴别服务来验证其声明的正确性。一般通过数字签名、证书机构CA和数字证书来实现。

交易信息的不可抵赖性：

在交易信息的传输过程中为交易主体提供可靠的标识，防止抵赖行为的发生，一般都通过数字签名来实现。

导航后一页前一页末页退出6.2网络安全技术

网络安全技术是在与网络攻击的斗争中不断发展和完善的。6.2.1防火墙技术6.2.2病毒防范技术导航后一页前一页末页退出

6.2.1防火墙技术

1.防火墙的概念2.防火墙技术的优缺点3.防火墙的类型导航后一页前一页末页退出1.防火墙的概念

防火墙（FireWall）指两个网络之间执行访问控制策略的一系列部件的组合，包含硬件和软件。目的是保护网络不被他人侵扰。导航后一页前一页末页防火墙退出防火墙是不同网络之间信息的唯一出口，能根据企业网络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。防火墙通过检测、限制、更改跨越防火墙的数据流，尽可能地对外屏蔽内部的信息、结构和运行状况。1.防火墙的概念1.防火墙的概念

—访问控制机制基本设计准则

导航后一页前一页末页1.“一切未被允许的就是禁止的”，即在默认情况下禁止所有服务拒绝允许2.“一切未被禁止的就是允许的”，即在默认情况下允许所有服务允许拒绝退出逻辑上，防火墙是一个分离器、一个限制器、一个分析器，有效监控内部网络和Internet间的任何活动，保证了内部网络的安全。2.防火墙技技术的优优缺点——优点导航后一页前一页末页（1）是网络络安全的的屏障通过过滤滤不安全全的服务务来降低低子网上上主系统统的风险险。可以禁止止某些易易受攻击击的服务务(如NFS--网络文件件系统)进入或离离开受保保护的子子网。可以防护护基于路路由选择择的攻击击，如源源路由选选择和企企图通过过ICMP—控制消息息协议，，改向把把发送路路径转向向遭致损损害的网网点。（2）控制对对主机系系统的访访问可以提供供对系统统的访问问控制。。通过配配置防火火墙，某某些主机机系统可可由外部部网络访访问，而而其他主主机则被被有效封封闭。退出2.防火墙的的优缺点点——优点导航后一页前一页末页（3）监控和和设计网网络访问问如果所有有的访问问都经过过防火墙墙，那么么防火墙墙就能记记录下这这些访问问并做出出日志记记录，同同时也能能提供网网络使用用情况的的统计数数据。当当发生可可疑动作作时，防防火墙能能进行适适当的报报警，并并提示网网络是否否收到监监测和攻攻击的详详细信息息。（4）防止内部部信息的外外泄通过利用防防火墙对内内部网络的的划分，可可实现内部部网重点网网段的隔离离，从而限限制了局部部重点或敏敏感网络安安全问题对对全局网络络造成的影影响。另外外，使用防防火墙可以以隐蔽那些些会泄露内内部细节的的服务，如如Finger（于查询用户户情况的实实用程序））、DNS（域名系统统）等。退出Finger是UNIX系统中用于于查询用户户情况的实实用程序(dos系统也包含含此命令)。UNIX系统保存了了每个用户户的详细资资料，包括括E-mail地址、帐号号，在现实实生活中的的真实姓名名、登录时时间、有没没有未阅读读的信件，，最后一次次阅读E-mail的时间以及及外出时的的留言等资资料。当你你用Finger命令查询时时，系统会会将上述资资料一一显显示在终端端或计算机机上。DNS存在的安全全问题1.针对域名系系统的恶意意攻击：DDOS（DoS攻击源一起起攻击某台台服务器就就组成了DDOS攻击）攻击造成域域名解析瘫瘫痪。2.域名劫持：：修改注册册信息、劫劫持解析结结果。3.国家性质的的域名系统统安全事件件：“.ly”域名瘫痪、、“.af”域名的域名名管理权变变更。4.系统上运行行的DNS服务存在漏漏洞，导致致被黑客获获取权限，，从而篡改改DNS信息。5.DNS设置不当，，导致泄漏漏一些敏感感信息。提提供给黑客客进一步攻攻击提供有有力信息。。2.防火墙的优优缺点——优点导航后一页前一页末页（5）部署NAT机制防火墙可以以部署NAT机制，用来来缓解地址址空间短缺缺的问题，，也可以隐隐藏内部网网络的结构构。支持网络地地址转换(NAT)：指将一个个IP地址域映射射到另一个个IP地址域，从从而为终端端主机提供供透明路由由的方法。。NAT常用于私有有地址域与与公有地址址域的转换换以解决IP地址匮乏问问题。在防防火墙上实实现NAT后，可以隐隐藏受保护护网络的内内部结构，，在一定程程度上提高高了网络的的安全性。。退出2.防火墙的优优缺点——缺点导航后一页前一页末页退出（1）限制使用用合乎需要要的服务防火墙最明明显的缺点点是它可能能封锁用户户所需的某某些服务，，如TELNET（远程登陆服服务）、FTP（文件传输输）、NFS（网络文件件系统）等等。但但这一缺点点并不是防防火墙所独独有的。对对主系统的的多级限制制也会产生生这个问题题。（2）后门访问问的广泛可可能性防火墙不能能防护从后后门进入网网点。例如如，如果对对调制解调调器不加限限制，仍然然许可访问问由防火墙墙保护的网网点，那么么攻击者可可以有效地地跳过防火火墙。调制制解调器的的速度现在在快到足以以使SLIP（串行线IP）和PPP（点点对对点点协协议议））切切实实可可行行。。在在受受保保护护子子网网内内SLIP和PPP连接接在在本本质质上上是是另另一一个个网网络络连连接接点点和和潜潜在在的的后后门门。。2.防火火墙墙的的优优缺缺点点———缺点点导航航后一一页页前一一页页末页页退出出（3）几几乎乎不不能能防防护护来来自自内内部部的的攻攻击击防火火墙墙可可以以禁禁止止系系统统用用户户经经过过网网络络连连接接发发送送专专有有的的信信息息，，但但用用户户可可以以将将数数据据复复制制到到磁磁盘盘、、磁磁带带上上，，放放在在公公文文包包中中带带出出去去。。如如果果入入侵侵者者已已经经在在防防火火墙墙内内部部，，防防火火墙墙是是无无能能为为力力的的。。内内部部用用户户偷偷窃窃数数据据，，破破坏坏硬硬件件和和软软件件，，并并且且巧巧妙妙地地修修改改程程序序而而不不接接近近防防火火墙墙。。对对于于来来自自知知情情者者的的威威胁胁只只能能要要求求加加强强内内部部管管理理，，如如主主机机安安全全和和用用户户教教育育、、管管理理、、制制度度等等。。（4）其他问问题病毒：防火墙不不能防止止用户从从Internet下载受病病毒感染染的程序序，或把把这些程程序附加加到电子子邮件上上传输出出去。必必须用其其他对策和抗病毒控控制措施施进行处处理。吞吐量：：防火墙是是一种潜潜在的瓶瓶颈，所所有的连连接都必必须通过过防火墙墙，许多多信息都都要经过过检查，，信息的的传递可可能要受受到传输输速率的的影响。。集中性性：防火墙墙系统统把安安全性性集中中在一一点上上，而而不是是把它它分布布在各各系统统间，，防火火墙受受损可可能会会对子子网上上其他他保护护不力力的系系统造造成巨巨大的的损害害。3.防火墙的类类型导航后一页前一页末页退出分组过滤（Packetfilter，或称为包过过滤）：是一种种简单有效效的安全控控制技术，，他通过在在网络间相相互连接的的设备上加加载允许、、禁止来自自某些特定定的源地址址、目的地地址和端口口号等规则则，对通过过设备的数数据包进行行检查，限限制数据包包进出内部部网络。只只有满足过过滤逻辑的的数据包才才被转发到到相应的目目的地出口口端，其余余数据包则则被从数据据流中丢弃弃。3.防火墙的类类型导航后一页前一页末页退出代理服务：：能够将所有有跨越防火火墙的网络络通信链路路分为两段段。防火墙墙内外计算算机系统间间应用层的的连接，由由两个代理理服务器之之间的连接接来实现，，外部计算算机的网络络链路只能能到达代理理服务器，，从而起到到隔离防火火墙内外计计算机系统统的作用。。3.防火火墙墙的的类类型型两种种类类型型优优缺缺点点。。P175目前前，，防防火火墙墙系系统统通通常常结结合合使使用用两两种种技技术术。。代代理理服服务务可可大大大大降降低低分分组组过过滤滤规规则则的的复复杂杂度度，，是是分分组组过过滤滤技技术术的的重重要要补补充充。。病毒毒防防范范措措施施1.计算算机机病病毒毒的的概概念念2.计算算机机病病毒毒的的分分类类3.计算算机机病病毒毒的的防防治治导航航后一一页页前一一页页末页页退出出1.计算算机机病病毒毒的的概概念念导航航后一一页页前一一页页末页页退出出计算算机机病病毒毒起起源源P175计算算机机病病毒毒是指指编编制制或或者者在在计计算算机机程程序序中中插插入入的的破破坏坏计计算算机机功功能能或或者者毁毁坏坏数数据据，，影影响响计计算算机机使使用用，，并并能能自自我我复复制制的的一一组组计计算算机机指指令令或或者者程程序序代代码码。。计算机机病毒毒的特征：（1）传染染性（（2）隐蔽蔽性（3）触发发性（4）破坏坏性2.计算机机病毒毒的分分类导航后一页页前一页页末页退出按病毒毒依赖的的操作作系统统分类：：DOS病毒、、Windows病毒、、Unix病毒、、Linux病毒等等。按病毒毒特有有的算法分类：伴随型型病毒毒、“蠕虫”病毒、寄生生型病病毒。按病毒毒的破环方方式分类：：无害害型、、危害害型、、危险险型、、非常常危险险型。。按病毒毒的寄生方方式分类：文件型型病毒毒、引导型型病毒毒、混合合型病病毒。。按病毒毒的传染方方法分类：驻留型型病毒毒、非驻驻留型型病毒毒。按病毒毒的连接方方式分类：源码型型病毒毒、嵌入型型病毒毒、外壳病病毒、操作作系统统型病病毒。。常见病病毒举举例导航后一页页前一页页末页退出Windows系统病病毒的前缀缀为：：Win32、PE、Win95、W32、W95等。这这些病病毒一一般是是感染染windows操作系系统的的*.exe和*.dll文件，，并通通过这这些文文件进进行传传播。。如CIH病毒。。蠕虫病病毒的前缀缀是：：Worm。这种种病毒毒通过过网络络或者者系统统漏洞洞进行行传播播，很很大部部分的的蠕虫虫病毒毒都有有向外外发送送带毒毒邮件件，阻阻塞网网络的的特性性。比比如冲冲击波波(阻塞网网络)，小邮邮差(发带毒毒邮件件)等。木马病病毒其前缀缀是：：Trojan，木马马病毒毒通过过网络络或者者系统统漏洞洞进入入用户户的系系统并并隐藏藏，然然后向向外界界泄露露用户户的信信息。。黑客病病毒前缀名名一般般为Hack。黑客客病毒毒有一一个可可视的的界面面，能能对用用户的的电脑脑进行行远程程控制制。木马、、黑客客病毒毒往往往是成对出出现的，即即木马马病毒毒负责责侵入入用户户的电电脑，，而黑黑客病病毒则则会通通过该该木马马病毒毒来进进行控控制。。现在在这两两种类类型趋趋向于于整合合了。。一般般的木木马如如QQ消息息尾尾巴巴木木马马Trojan.QQ3344，还还有有比比较较多多的的针针对对网网络络游游戏戏的的木木马马病病毒毒如如。常见见病病毒毒举举例例导航航后一一页页前一一页页末页页退出出脚本本病病毒毒的前前缀缀是是：：Script。脚脚本本病病毒毒是是使使用用脚脚本本语语言言编编写写，，通通过过网网页页进进行行的的传传播播的的病病毒毒，，如如红红色色代代码码(Script.Redlof)。脚脚本本病病毒毒还还会会有有如如下下前前缀缀：：VBS、JS(表明明是是何何种种脚脚本本编编写写的的)，如如欢欢乐乐时时光光(VBS.Happytime)、十十四四日日(Js.Fortnight.c.s)等。。病毒毒种种植植程程序序病病毒毒。这这类类病病毒毒运运行行时时会会从从体体内内释释放放出出一一个个或或几几个个新新的的病病毒毒到到系系统统目目录录下下，，由由释释放放出出来来的的新新病病毒毒产产生生破破坏坏。。如如：：冰冰河河播播种种者者(Dropper.BingHe2.2C)、MSN射手手(Dropper.Worm.Smibag)等。。破坏坏性性程程序序病病毒毒的前前缀缀是是：：Harm。这这类类病病毒毒本本身身具具有有好好看看的的图图标标来来诱诱惑惑用用户户点点击击，，当当用用户户点点击击时时，，病病毒毒便便会会直直接接对对用用户户计计算算机机产产生生破破坏坏。。如如：：格格式式化化C盘(Harm.formatC.f)、杀手命命令(Harm.Command.Killer)等。玩笑病毒毒的前缀是是：Joke。也称恶恶作剧病病毒。这这类病毒毒也具有有好看的的图标诱诱惑用户户点击，，当用户户点击时时，病毒毒会做出出各种破破坏操作作来吓唬唬用户，，但不会会对用户户电脑进进行任何何破坏。。如：女女鬼(Joke.Girlghost)病毒。常见病毒毒举例导航后一页前一页末页退出捆绑机病病毒的前缀是是：Binder。这类病病毒作者者会使用用特定的的捆绑程程序将病病毒与一一些应用用程序如如QQ、IE捆绑起来来，表面面上看是是一个正正常的文文件，当当用户运运行这些些捆绑病病毒时，，会表面面上运行行这些应应用程序序，然后后隐藏运运行捆绑绑在一起起的病毒毒，从而而给用户户造成危危害。如如：捆绑绑QQ(Binder.QQPass.QQBin)、系统杀杀手(Binder.killsys)等。3.计算机病病毒的防防治导航后一页前一页末页退出从用户的的角度：计算机机病毒防防治要采采取“预防为主主，防治治结合”的方针，，关键是是做好预预防工作作。根据据病毒传传染途径径，做一一些经常常性的病病毒检测测工作，，降低病病毒入侵侵率，减减少病毒毒造成的的危害。。从技术的角角度：计算机病病毒的防防治技术术分成四四个方面面，即预预防、检检测、清清除和免免疫。病毒防治治技术——预防技术术导航后一页前一页末页退出病毒预防防技术：：指通过一一定的技技术手段段防止病病毒对系系统进行行传染和和破坏，，它通过过自身常驻系统统内存优优先获得系统统的控制制权，监监视和判判断系统统中是否否有病毒毒存在，，进而阻止计算机病病毒进入入系统内内存或阻阻止计算算机病毒毒对磁盘盘的操作作尤其是是写操作作，以达达到保护护系统的的目的。。计算机病病毒的预预防技术术主要包包括磁盘盘引导区区保护、、加密可可执行程程序、读读写控制制技术和和系统监监控技术术等。病毒防治技技术——检测技术导航后一页前一页末页退出病毒检测技技术：指通过一定定的技术手手段判定出出病毒的一一种技术。。病毒检测技技术主要有有两种：一种是根据据计算机病病毒程序中中的关键字字、特征程程序段内容容、病毒特特征及传染染方式、文文件长度的的变化，在在特征分类类的基础上上建立的病病毒检测技技术；另一种是不不针对具体体病毒程序序的自身检检验技术，，即对某个个文件或数数据段进行行检验和计计算并保存存其结果，，以后定期期或不定期期地根据保保存的结果果对该文件件或数据段段进行检验验，若出现现差异，即即表示该文文件或数据据段的完整整性已遭到到破坏，从从而检测到到病毒的存存在。病毒防治技技术——消除技术导航后一页前一页末页退出病毒消除技技术：病毒的消除除是检测的的延伸，是是在检测发发现特定的的病毒基础础上，根据据具体病毒毒的消除方方法从传染染的程序中中除去计算算机病毒代代码并恢复复文件的原原有结构信信息。现在很多杀杀病毒软件件是把检测测和杀毒同同时进行了了，目前常用的杀病病毒软件有：NortonAntiVirus、Kv3000、金山毒霸霸、瑞星等等。病毒防治技技术——免疫技术导航后一页前一页末页退出病毒免疫技技术：这一技术目目前没有很很大发展。。针对某一一种病毒的的免疫方法法已没有有人再用了了，而目前前还没有出出现通用的的能对各种种病毒都有有免疫作用用的技术，，也许根本本就不存在在这样一种种技术。现现在，某些些反病毒程程序使用给给可执行程程序增加保保护性外壳壳的方法，，能在一定定程度上起起保护作用用。6.3加密技术密码学基础础知识密码技术的的应用导航后一页前一页末页退出密码学基础础知识术语：明文：原始始消息密文：加密密后的形式式加密技术的的两个要素素：密钥和和算法导航后一页前一页末页退出解密算法解密密钥加密算法加密密钥明文密文明文加密解密例：恺撒密密码原理：把每个英文文字母向前前推x位，如x=3明文：a,b,c,d,e,f,g,h,……,w,x,y,z密文：d,e,f,g,h,i,j,k,……,z,a,b,c算法:character+x密钥：x=3导航后一页前一页末页退出1.对称密钥加加密技术导航后一页前一页末页退出对信息的加加密、解密密使用相同同的算法和和密钥1.对称密钥加加密技术（（单钥）导航后一页前一页末页退出优点：简单单速度快快问题：密钥钥管理困难难代表：DES算法美国IBM公司W.Tuchman和C.Meyer1971-1972年研制成功功。DES算法1975年3月公开发表表，1977年1月15日由美国国国家标准局局颁布为数数据加密标标准（DataEncryptionStandard），于1977年7月15日生效。DES算法介绍（（续）导航后一页前一页末页退出1984年2月，ISO成立的数据据加密技术术委员会在DES基础上制定定数据加密密的国际标标准。密钥长度为为64位（实际为为56位，有8位用于奇偶偶校验）。。1997年美国RSA数据安全公公司举办了了密钥挑战战竞赛，悬悬赏一万美美金破译DES算法。克罗罗拉多州的的一个程序序员用了96天的时间，，在Internet数万名志愿愿者的协同同工作下，，成功地找找到了DES的密钥。2.非对称密钥加加密技术（（私钥、公公钥）导航后一页前一页末页退出每个用户都都有一对密钥：一个私钥（PrivateKey）由所有者者秘密持有有，一个公钥（PublicKey）由所有者者公开。若以公钥作作为加密密密钥，以用用户私钥作作为解密密密钥，则可可实现多个个用户加密密的消息只只能由一个个用户解读读。若以用户私私钥作为加加密密钥而而以公钥作作为解密密密钥，则可可实现由一一个用户加加密的消息息使多个用用户解读。。加密明文密文明文2.非对称密钥加加密技术导航后一页前一页末页退出优点：安全全性高，适适合密钥分分发、数字字签名等缺点：计算算量大，速速度慢，不不适合信息息量大、速速度要求快快的加密代表：RSA算法RSA算法介绍导航后一页前一页末页退出1976年由美国的的三位科学学家Rivest,Shemir和Adelman提出。已被ISO/TC97的数据加密密技术分委委员会推荐荐为公开密密钥数据加加密标准。。加密强度很很高，它的的安全性是是基于分解解大整数的的难度，即即将两个大大的质数合合成一个大大数很容易易，而相反反的过程非非常困难。。加密技术的的应用1．数字签名名2.数字时间戳戳导航后一页前一页末页退出1.数字签名在网络中传传送的报文文如何签名名盖章？这这是数字签签名所要解解决的问题题。数字签名技技术是实现现交易安全全的核心技技术之一，，它的实现现基础是公开密钥加加密技术。数字签名必必须保证：：接收者能够够核实发送送者对报文文的签名；；发送者事后后不能抵赖赖对报文的的签名；接收者不能能伪造对报报文的签名名。导航后一页前一页末页退出数字签名原原理导航后一页前一页末页退出SHA加密信息数字签名私钥加密摘要数字签名信息公钥解密摘要SHA加密摘要比较如一致信息确认发送方接收方2.数字时间戳戳在电子商务务交易文件件中，时间是十分重要的的信息。数字时间戳服服务(DigitalTimeStampService，DTS)是网上安全服服务项目，由由专门的机构构提供。时间戳是一个个经过加密后形形成的凭证文文档，包括：需加加时间戳的文文件的摘要、、DTS收到文件的日日期和时间、、DTS的数字签名。。时间戳产生的的过程：用户将需要加加时间戳的文文件用HASH编码加密形成成摘要；将该摘要发送送到DTS；DTS加入收到文件件摘要的日期期和时间信息息；DTS用其私钥加密密形成DTS的数字签名；；一并送回用户户。导航后一页前一页末页退出6.4认证技术认证技术概述述数字证书与认认证中心导航后一页前一页末页退出认证技术概述述电子商务交易易安全在技术术上要解决两两大问题：安全传输和身份认证。安全传输：数数据加密技术术身份认证：认认证技术认证：证实被认证证对象是否属属实与是否有有效的一个过过程，其基本本思想是通过过验证被认证证对象的属性性，达到确认认被认证对象象是否真实有有效的目的。。身份认证技术术主要基于公钥加密体制制。导航后一页前一页末页退出数字证书与认认证中心1.数字证书：可以证实一个个用户的身份份2.认证中心：是承担网上上安全电子交交易认证的第第三方服务机机构，主要负负责产生、分分配并管理用用户的数字证证书。导航后一页前一页末页退出1.数字证书——概念数字证书（digitalID）又称为数字字凭证、数字字标识，是一一个经证书认认证机构数字字签名的包含含用户身份信信息以及公开开密钥信息的的电子文件。。数字证书的内内部格式一般般采用X．509国际标准，一个标准的的X.509数字证书包含含以下一些内容：证书的版本信信息；证书的的序列号；证证书所使用的的签名算法；；证书的发行行机构；证书书的有效期；；证书所有人人的名称；证证书所有人的的公开密钥；；证书发行者者对证书的签签名。导航后一页前一页末页退出1.数字证证书——类型个人证证书：：属于个个人所所有，，帮助助个人人用户户在网网上进进行安安全交交易和和安全全的网网络行行为。。个人人数字字证书书安装装在客户端端的浏浏览器器中，通通过安全电电子邮邮件进行操操作。。企业（（服务务器））证书书：企业如如果拥拥有Web服务器器，可可申请请企业业证书书，用用具有有证书书的服服务器器进行行电子子交易易，而而且有有证书书的Web服务器器会自自动加加密和和客户户端通通信的的所有有信息息。软件（（开发发者））证书书：是为网网络上上下载载的软软件提提供凭凭证，，用来来和软软件的的开发发方进进行信信息交交流，，使用用户在在下载载软件件时可可以获获得所所需的的信息息。导航后一页页前一页页末页退出1.数字证证书——申请导航后一页页前一页页末页退出1.数字证证书——用途网上办办公电子政政务网上交交易安全电电子邮邮件网上招招标导航后一页页前一页页末页退出2.认证中中心认证中中心(CertificationAuthority，CA)提供交交易双双方身身份认认证并并保证证交易易安全全进行行的第第三方方服务务机构构，主主要负负责产产生、、分配配并管管理用用户的的数字字证书书。CA往往往采采用用一一种种多多层层次次的的分级级机构构，，上上级级CA负责责签签发发和和管管理理下下级级CA的证证书书，，最最下下一一级级的的CA直接接面面向向最最终终用用户户。。（（见见下下图图））导航航后一一页页前一一页页末页页退出出认证证中中心心的的层层次次结结构构导航航后一一页页前一一页页末页页退出出2.认证证中中心心———CA的整整体体框框架架导航航后一一页页前一一页页末页页出退出出面向向普普通通用用户户，，用用于于提提供供证证书书申请请、、浏浏览览、、证证书书撤撤销销列列表表以以及及证书书下下载载等等安安全全服服务务。。是核核心心，，负负责责证证书书的的签签发发。。CA先产产生生自自己己的私私钥钥和和公公钥钥，，然然后后生生成成数数字字证证书书，，并并传传输输给安安全全服服务务器器。。还还负负责责为为操操作作员员、、安安全全服服务务器、、注注册册机机构构服服务务器器生生成成数数字字证证书书。。登记记中中心心服服务务器器面面向向登登记记中中心心操操作作员员，，一一方方面向向CA转发发安安全全服服务务器器传传输输过过来来的的证证书书申申请请请求求，，另另一一方方面面向向LDAP服务务器器和和安安全全服服务器器转转发发CA颁发发的的数数字字证证书书和和证证书书撤撤销销列列表表。。提供供目目录录浏浏览览服服务务，，负负责责将将注注册册机机构构服务务器器传传输输过过来来的的用用户户信信息息以以及及数数字字证书书加加入入到到服服务务器器上上。。用于于认认证证机机构构数数据据（（秘秘钥钥和和用用户户信信息息等））、、日日志志和和统统计计信信息息的的存存储储和和管管理理。。2.认证证中中心心———CA的功功能能①证书书的的颁颁发发。。CA接收收、、验验证证用用户户的的申申请请，，确确定定给给用用户户颁颁发发何何种种类类型型的的证证书书。。新新证证书书用用CA的私私钥钥签签名名后后，，发发送送到到目目录录服服务务器器供供用用户户下下载载和和查查询询。。②证证书书的的更更新新。。定期期或或根根据据用用户户的的请请求求更更新新用用户户的的证证书书。。③证证书书的的查查询询。。一是是证证书书申申请请的的查查询询，，二二是是用用户户证证书书的的查查询询。导航航后一一页页前一一页页末页页退出出2.认证证中中心心———CA的功功能能(续)④证书书的的作作废废。。一是是用户户向向CA提出出证证书书作作废废请请求求，，CA确定定是是否否将将该该证证书书作作废废。。二是证证书书已已经经过过了了有有效效期期，，CA自动动将将该该证证书书作作废废。。⑤证证书书的的归归档档。。证书书过过了了有有效效期期后后将将作作废废，，但但是是不不能能简简单单地地丢丢弃弃，，因因为为可可能能需需要要验验证证以以前前的的某某个个交交易易过过程程中中产产生生的的数数字字签签名名时时就就需需要要查查询询作作废废的的证证书书。。基基于于此此，，CA还具具备备管管理理作作废废证证书书和和作作废废私私钥钥的的功功能能。。导航航后一一页页前一一页页末页页退出出6.5电子子商商务务安安全全协协议议安全全套套接接层层协协议议（（SecureSocketsLayer,SSL）安全全电电子子交交易易协协议议（（SecureElectronicTrade,SET）导航航后一一页页前一一页页末页页退出出协议由网景(Netscape)公司1994年推出，，主要目目的是解决Web上信息传传输的安安全问题题。SSL协议位于于TCP/IP协议与各各种应用用层协议议之间。SSL协议主要要使用的的技术：数字证证书、数数字签名名，以及及基于RSA的加密算算法和对对称加密密算法。。应用层层协议所所传送的的数据都都会被加加密，从从而保证证通信的的安全性性。导航后一页前一页末页退出SSL协议主要要提供的的服务：：用户和服服务器的的合法性性认证：客户机和和服务器器都是有有各自的的识别号号，由公公开密钥钥进行编编排，为为了验证证用户是是否合法法，SSL要求在握握手交换换数据进进行数字字认证，，以此来来确保用用户的合合法性。。加密数据据以隐藏藏被传送送的数据据：SSL协议所采采用的加加密技术术既有对对称密钥钥技术，，也有公公开密钥钥技术，可以防止止非法用用户进行行破译。。保护数据据的完整整性：SSL协议采用用Hash函数和机机密共享享的方法法来提供供信息的的完整性性服务，，建立客客户机与与服务器器之间的的安全通通道。导航后一页前一页末页退出SSL协议的两两个子协协议SSL协议包括括两个子子协议：：SSL记录协议和SSL握手协议。SSL记录协议议定制了了传输数数据的格格式，所所有的传传输数据据都被封封装在记记录中。。所有的的SSL通信都使使用SSL记录层。。SSL握手协议议在客户户端和服服务器之之间建立立安全传传输通道道。一个SSL传输过程程需要先先握手，，通信双方方协商会会话密钥钥；之后后，两者者间建立立一个SSL对话，使使用协商商好的会会话密钥钥来加密密/解密消息息即传送送消息会会被加密密后再传传输，对对方收到到消息后后再解密密。导航后一页前一页末页退出SSL协议流程程在电子商商务交易易中，由由于有银银行参与与，按照照SSL协议，交交易过程程中，客客户购买买的信息息首先发发往商家家，商家家再将信信息转发发银行，，银行验验证客户户信息的的合法性性后，通通知商家家付款成成功，商商家再通通知客户户购买成成功，将将商品寄寄送客户户。导航后一页前一页末页退出协议SET协议是一一个在互互联网上上实现安安全电子子交易的的协议标标准。由VISA和MasterCard共同制制定，，1997年5月推出出。主要目目的是是解决通通过互互联网网使用用信用用卡付付款结结算的的安全全保障障性问问题。。SET协议是是在应用层层的网络络标准准协议议。SET协议主主要使使用的的技术：对称称密钥钥加密密、公公共密密钥加加密、、HASH算法、、数字字签名名以及及公共共密钥钥授权权机制制等。。导航后一页页前一页页末页退出SET协议运运行的的目标标保证信信息在在互联联网上上安全传传输。保证交交易参参与者者信息的的相互互隔离离。客户户的资资料加加密或或打包包后通通过商商家到到达银银行，，但是是商家家不能能看到到客户户的账账户和和密码码信息息。解决网网上认证问题。。认证证中心心为消消费者者、商商家与与支付付网关关等每每个交交易参参与方方都生生成数数字证证书。。保证网网上交交易的的实时性性。所有有的支支付过过程都都是在在线的的。仿效EDI规范协协议和和消息息格式式，使不不同厂厂家开开发的的软件件具有有兼容容性和和互操操作功功能，，且可可以运运行在在不同同的硬硬件和和操作作系统统平台台上。。导航后一页页前一页页末页退出SET协议工作流流程导航后一页前一页末页退出实训6一、安装并并使用瑞星星杀毒软件件查杀病毒毒【实验目的】通过实验，，使学生掌掌握瑞星软软件的安装装，并能根根据需要设设置软件，，熟练使用用软件查杀杀病毒。【实验内容】1.瑞星杀毒软软件的安装装2.瑞星杀毒软软件的使用用导航后一页前一页末页退出实训6二、数字证书的的申请和使使用【实验目的】通过试验，，使学生掌掌握数字证证书的申请请、下载安安装、查看看、导出导导入的操作，并熟熟练掌握数数字证书在在安全电子子邮件中的的使用。【实验内容】1.申请数字证证书2.查看数字证证书3.数字证书的的导出与导导入4.数字证书的的使用（数数字证书在在安全电子子邮件中的的使用）导航后一页前一页末页退出思考与练习习6-1判断题1.病毒毒程程序序大大多多夹夹在在正正常常程程序序之之中中，，很很容容易易被被发发现现。。（（））2.建立立认认证证体体系系的的目目的的是是要要验验证证或或识识别别上上网网参参与与交交易易活活动动的的各各主主体体的的身身份份。。（（））3.ＳＥＥＴＴ协协议议是是一一个个在在互互联联网网上上实实现现安安全全电电子子交交易易的的协协议议。。（（））4.在实实际际应应用用中中，，通通常常将将两两种种加加密密方方法法即即对对称称加加密密方方法法和和非非对对称称加加密密方方法法结结合合在在一一起起使使用用。。（（））5.只有通过上网网，计算机才才会感染上病病毒。（（））想一想?导航后一页前一页末页退出思考与练习6-2单选题1.使用密钥将密密文数据还原原成明文数据据，称为（））A）解码B）编译C）加密D）解密2.病毒侵入后，，一般不立即即活动，需要要等条件成熟熟后才作用，，这是计算机机病毒的哪个个特点（））A）入侵性B）隐蔽性C）复制性D）传染性3.CA的中文含义是是（））A）电子中心B）金融中心C）银行中心D）认证证中心心4.SET协议又又称为为（））A）安全全套接接层协协议B）安全全电子子交易易协议议C）信息息传输输安全全协议议D）网上上购物物协议议5.信息的的保密密性是是指()A）信息息不被被他人人所接接收B）信息息内容容不被被指定定以外外的人人所知知悉C）信息息不被被篡改改D）信息息在传传递过过程中中不被被中转转想一想想?导航后一页页前一页页末页退出思考与与练习习6.CA是负责责为参参与商商务活活动的的各方方发放放（））,以确认认身份份，保保证电电子支支付的的安全全性。。A）数字字证书书B）支付付证书书C）安全全证书书D）确认认证书书7.下述哪哪个不不是常常用的的防病病毒软软件？？（））A）OutlookB）金山山毒霸霸C）KV3000D）瑞星星8.公钥技技术利利用（（））互互相匹匹配的的密钥钥进行行加密密、解解密。。A）一个个B）一对对C）三个个D）三对对9.SSL协议层层包