项目八电子商务安全技术

项目八电子商务安全技术第1页/共130页教学目的：通过本章学习，使学生了解电子商务安全技术在专业课程学习中的位置体会电子商务安全的重要性了解常见的计算机安全问题掌握电子商务安全的基本概念，原理，技术及应用教学要求掌握以下概念电子商务系统安全信息的保密性，信息的完整性，信息的不可否认性，交易者身份的真实性，系统的可靠性加密，解密，算法，密钥，密钥长度防火墙，对称密钥，非对称密钥（公钥和私钥），消息摘要，数字时间戳，数字签名，认证中心，数字证书

SSL,SET第2页/共130页理解和掌握以下原理加解密原理各种加密技术工作原理及其实现的信息安全性，包括防火墙，对称密钥，非对称密钥（公钥和私钥），消息摘要，数字时间戳，数字签名，认证中心，数字证书各种安全协议工作原理，包括SSL,SET认证中心的数形结构教学重点和难点各种加密技术工作原理数字证书的应用各种安全协议工作原理第3页/共130页8.1电子商务安全概述8.2电子商务安全技术策略8.3电子商务交易风险的识别与防范目录项目八

电子商务安全第4页/共130页电子商务发展的核心和关键问题是交易的安全性，这是网上交易的基础，也是电子商务技术的难点所在。目前，因特网上影响交易最大的阻力就是交易安全问题。序言第5页/共130页8.1电子商务安全概述8.1.1电子商务系统的安全威胁8.1.2电子商务的安全性要求第6页/共130页案例以“淘宝”为诱饵让买家上当当日正打算给手机充值的陈小姐在淘宝网上搜索时看到卖家“信誉天使5”在卖移动充值卡，面值100元的卖85元。陈小姐马上和“信誉天使5”联系，后者表示自己也是从其他网站上拿货，而且只有在产生交易订单后才能拿货。他让陈小姐登录网站，用他给的用户名和密码进入然后充值1元钱，再把交易订单发给他。陈小姐进入该网站登录后看到页面上有一个网上银行支付系统，于是就填了自己的招商银行信用卡账号和密码进行支付，但结果显示密码错误、交易不成功。陈小姐以为密码输入有误，正当她想第二次输入的时候，却突然收到招行发来的“已网络消费499元”的短信提醒。这时，陈小姐恍然大悟，自己的信用卡账号和密码已被“信誉天使5”盗取了。她马上打银行热线冻结账户，但在短短几分钟内还是又被消费了200元。第7页/共130页黑客拿专用盗号器打劫网银病毒名称：Win32.Hack.Agent.61440

中文名称：网银黑客盗号器61440

病毒类型：盗号木马

病毒目的：盗窃用户的网银账号

本期医生：咖啡猪

第8页/共130页

“掌柜的，你这件商品有么？”+淘宝商品的链接

账号安全警惕网络陷阱识别钓鱼网站第9页/共130页

电子商务究竟面临怎样的安全威胁？第10页/共130页电子商务发展面临的挑战无法真正确认彼此的身份信息在互联网被窃听，导致信息泄漏信息被篡改，导致信息不完整用户对发送信息进行抵赖，没有抗抵赖的依据网上应用系统服务器用户数据库窃听篡改抵赖?假冒的站点?假冒的用户如何打造真正诚信的电子商务环境？第11页/共130页电子商务缺乏诚信的核心问题网络中，我如何能相信你？无法真正代表电子商务参与者的真实身份；从而，也无法保证网上信息的真实性；由于没有可供仲裁或公证的用户签名记录，用户随时都可以抵赖在网上做过的任何事情；从而，也无法实现最终成交时签署电子合同；当然，也无法实现放心的网上支付、签署电子合同。在病毒、木马等黑客技术的肆虐下，“账号+密码”的传统认证模式，弊端凸显：解决身份认证和网上行为抗抵赖已刻不容缓！第12页/共130页买卖双方面临的安全威胁卖方买方系统中心安全性破坏被人假冒竞争者的威胁付款后不能收到商品信用的威胁机密性丧失假冒的威胁拒绝服务网络诈骗第13页/共130页8.1.2电子商务的安全性要求信息的保密性：这是指信息在存储、传输和处理过程中，不被他人窃取。这需要对交换的信息实施加密保护，使得第三者无法读懂电文。信息的完整性：这是指确保收到的信息就是对方发送的信息，信息在存储中不被篡改和破坏，在交换过程中无乱序或篡改，保持与原发送信息的一致性。第14页/共130页信息的不可否认性：这是指信息的发送方不可否认已经发送的信息，接收方也不可否认已经收到的信息。交易者身份的真实性：这是指交易双方的身份是真实的，不是假冒的。防止冒名发送数据。系统的可靠性：这是指计算机及网络系统的硬件和软件工作的可靠性。第15页/共130页第16页/共130页安全认证手段数字摘要、数字签名、数字信封、CA体系…安全应用协议SET、SSL、S/HTTP、S/MIME…基本加密算法非对称密钥加密、对称密钥加密、DES、RSA…电子商务业务系统电子商务支付系统电子商务安全交易体系第17页/共130页8.2电子商务安全技术策略8.2.1加密技术8.2.2数字签名技术

8.2.3认证技术8.2.4主要安全协议8.2.5计算机病毒第18页/共130页

加密技术是保证网络、信息安全的核心技术。加密技术与密码学紧密相连。加密技术是一种主动的信息安全防范措施。第19页/共130页将明文数据进行某种变换，使其成为不可理解的形式，这个过程就是加密，这种不可理解的形式称为密文。解密是加密的逆过程，即将密文还原成明文。加密和解密必须依赖两个要素：算法和密钥。算法是加密和解密的计算方法；密钥是加密所需的一串数字。第20页/共130页一般的数据加密模型:第21页/共130页8.2.1传统的代换密码早在几千年前人类就已有了通信保密的思想和方法。如最古老的铠撒密码(Caesarcipher)。在这种方法中，a变成D，b变成E，c变成F，……z变成C。例如，english变成IRKPMWL。其中明文用小写字母，密文用大写字母。若允许密文字母表移动k个字母而不是总是3个，那么k就成为循环移动字母表通用方法的密钥。第22页/共130页明文:abcdefghijklmnopqrstuvwxyz

密文:TUVWXYZABCDEFGHIJKLMNOPQRS

在这个加密表下，明文与密文的对照关系就变成：

明文：baidu

密文：UTBWN第23页/共130页最迟在公元9世纪，阿拉伯的密码破译专家就已经娴熟地掌握了用统计字母出现频率的方法来击破简单替换密码。第24页/共130页第一次世界大战时期的密码直到第一次世界大战结束为止，所有密码都是使用手工来编码的。解密一方正值春风得意之时，几百年来被认为坚不可破的维吉耐尔(Vigenere)密码和它的变种也被破解。而无线电报的发明，使得截获密文易如反掌。无论是军事方面还是民用商业方面都需要一种可靠而又有效的方法来保证通讯的安全。第25页/共130页复式代换密码给自然语言频率

解密带来的难题1918年，德国发明家亚瑟·谢尔比乌斯

ENIGMA

（读作“英格码”，意为“谜”）他的一个想法就是要用二十世纪的电气技术来取代那种过时的铅笔加纸的加密方法。第26页/共130页谢尔比乌斯发明的加密电子机械名叫ENIGMA，在以后的年代里，它将被证明是有史以来最为可靠的加密系统之一。三个部分：键盘、转子和显示器。一共有26个键，键盘排列接近我们现在使用的计算机键盘。第27页/共130页ENIGMA加密的关键：这不是一种简单替换密码。同一个字母在明文的不同位置时，可以被不同的字母替换，而密文中不同位置的同一个字母，可以代表明文中的不同字母，频率分析法在这里就没有用武之地了。这种加密方式被称为“复式替换密码”。为了使消息尽量地短和更难以破译，空格和标点符号都被省略。第28页/共130页第29页/共130页反射器第30页/共130页发信人首先要调节三个转子的方向，使它们处于17576个方向中的一个（事实上转子的初始方向就是密匙，这是收发双方必须预先约定好的），然后依次键入明文，并把闪亮的字母依次记下来，然后就可以把加密后的消息用电报的方式发送出去。工作原理第31页/共130页三个转子不同的方向组成了26*26*26=17576种不同可能性；三个转子间不同的相对位置为6种可能性；连接板上两两交换6对字母的可能性数目非常巨大，有100391791500种；于是一共有17576*6*100391791500，大约为10000000000000000，即一亿亿种可能性。破解的艰难性第32页/共130页“一战”解密文件刺激德国德国方面在一战结束十年之后才知道真相：1923年出版的温斯顿·丘吉尔的著作《世界危机》，提到了英国和俄国在军事方面的合作，指出俄国人在第一次世界大战中曾经成功地破译了某些德军密码，而使用这些成果，英国能够系统性地取得德军的加密情报。1923年由皇家海军发表的关于第一次世界大战的官方报告，其中讲述了在战时盟军方面截获（并且破译）德军通讯所带来的决定性的优势。第33页/共130页二战前英格码的生产装备情况从1925年开始，谢尔比乌斯的工厂开始系列化生产ENIGMA，1926年德军开始使用这些机器。到1936年，德国军队大约装备了30000台ENIGMA。谢尔比乌斯的发明使德国具有了最可靠的加密系统。第34页/共130页一次大战后英国仍旧保持着对德国通讯的监听，并保持着很高的破译率。但是从1926年开始，他们开始收到一些不知所云的信息——ENIGMA开始投入使用。英法密码学家对破解英格码失去信心。第35页/共130页第36页/共130页英格码破解大师阿兰·图灵(AlanTuring)第37页/共130页一台图灵“炸弹”高2米，长2米，宽1米。图灵的研究于1940年初完成，机器由英国塔布拉丁机械厂制造。神奇的图灵炸弹第38页/共130页

对称密钥加密对称加密算法是指文件加密和解密使用一个相同秘密密钥，也叫会话密钥。第39页/共130页对称加密算法明文密文Alice明文BobEncryptDecrypt对称密钥(A&B共享)HiBobAliceHiBobAliceC=E(M,K)M=D(C,K)C=密文M=明文K=密钥E=加密算法D=解密算法!!??乱码信息偷听者aN!3q*nB5+第40页/共130页1〉在首次通信前，双方必须通过除网络以外的另外途径传递统一的密钥。2〉当通信对象增多时，需要相应数量的密钥，这就使密钥管理和使用的难度增大。3〉对称加密是建立在共同保守秘密的基础之上的，在管理和分发密钥过程中，任何一方的泄密都会造成密钥的失效，存在着潜在的危险和复杂的管理难度。对称加密技术存在的问题第41页/共130页

非对称密钥加密与RSA算法为了克服对称加密技术存在的密钥管理和分发上的问题，1976年产生了密钥管理更为简化的非对称密钥密码体系，也称公钥密码体系，对近代密码学的发展具有重要影响。第42页/共130页非对称加密算法的基本过程接受方生成一段密钥，将其中一个作为公用密钥向其他贸易方公开；发送方得到该密钥后对机密信息进行加密后发送给接受方；接受方再用自己保存的另一把专用密钥对加密后的信息进行解密。第43页/共130页最著名的算法--RSA现在公钥密码体系用的最多是RSA算法，它是以三位发明者（Rivest、Shamir、Adleman）姓名的第一个字母组合而成的。第44页/共130页LenAdlemanRonRivestAdiShamir第45页/共130页(LefttoRight:RonRivest,AdiShamir,LenAdleman)2002年图灵奖获得者--RSA-2002第46页/共130页RonaldL.RivestRivest博士现任美国麻省理工学院电子工程和计算机科学系教授。第47页/共130页AdiShamirShamir是以色列Weizmann科学学院应用数学系的教授。第48页/共130页LenAdlemanAdleman现在是美国南加州大学的计算机科学以及分子生物学教授。第49页/共130页它最重要的特点是加密和解密使用不同的密钥。每个用户保存着两个密钥：一个公开密钥(PublicKey)，简称公钥，一个私人密钥(IndividualKey)，简称私钥。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间！！！。第50页/共130页公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，私钥由用户自己严密保管。通信时，发送方用接收者的公钥对明文加密后发送，接收方用自己的私钥进行解密，别人即使截取了也无法解开。这样既解决了信息保密问题，又克服了对称加密中密钥管理与分发传递的问题。第51页/共130页RSA和DES相结合的综合保密系统—数字信封在实践中，为了保证电子商务系统的安全、可靠以及使用效率，一般可以采用由RSA和DES相结合实现的综合保密系统。在该系统中，用DES算法作为数据的加密算法对数据进行加密，用RSA算法作为DES密钥的加密算法，对DES密钥进行加密。这样的系统既能发挥DES算法加密速度快、安全性好的优点，又能发挥RSA算法密钥管理方便的优点，扬长避短。第52页/共130页数字信封发送方采用对称密钥加密信息，然后将此对称密钥用接收方的公开密钥加密之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。安全性能高，保证只有规定的接收方才能阅读信的内容。发送端接收端原信息密文对称密钥加密internetinternet密文数字信封原信息对称密钥解密接收者公钥加密数字信封对称密钥接收者私钥解密对称密钥第53页/共130页8.2.2数字签名技术1数字摘要2数字签名3数字时间戳第54页/共130页第55页/共130页数字摘要散列函数与指纹相象比原物（本人）信息量小与本人一一对应无法找到相同指纹的两个人知道了指纹，无法重建一个人第56页/共130页数字摘要数字摘要是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数，也就是Hash函数。

一般来说，安全Hash标准的输出长度为160位，这样才能保证它足够的安全。第57页/共130页数字签名技术

数字签名技术即进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名，是不可伪造的。接收者能够验证文档确实来自签名者，并且签名后文档没有被修改过，从而保证信息的真实性和完整性。第58页/共130页发送端接收端原信息数字签名用发送方的私有密钥对数字摘要进行加密得的数字签名，因此数字签名是只有信息的发送者才能产生而别人无法伪造的一段数字串，有确认对方的身份，防抵赖的作用；接收方用发送方的公开密钥对数字签名进行解密，用数字摘要原理保证信息的完整和防篡改性。摘要Hash函数加密数字签名发送者私钥加密internetinternet原信息数字签名摘要摘要Hash函数加密发送者公钥解密对比第59页/共130页数字时间戳digitaltime-stamp对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。第60页/共130页发送端第三方原信息数字时间戳数字时间戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术。它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。摘要Hash函数加密新摘要Hash函数加密第三方私钥加密数字时间戳internet摘要摘要时间加时间internet数字时间戳摘要时间第61页/共130页在电子文件中，同样需对文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digitaltime-stampservice）就能提供电子文件发表时间的安全保护。

第62页/共130页数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：

①需加时间戳的文件的摘要(digest)；

②DTS收到文件的日期和时间；

③DTS的数字签名。第63页/共130页

数字签名和数字信封的比较？课后作业第64页/共130页8.2.3认证技术1数字证书2认证中心3身份认证第65页/共130页第66页/共130页认证技术是保证电子商务交易安全的一项重要技术。认证机制的核心包含两部分：数字证书和认证中心。第67页/共130页1数字证书数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发。1.数字证书的概念第68页/共130页数字证书的拥有者可以将其证书提供给其他人、Web站点及网络资源，以证实他的合法身份，并且与对方建立加密的、可信的通信。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。第69页/共130页第70页/共130页数字证书的类型（一）按照主体不同个人数字证书：通常装在浏览器内，并通过电子邮件进行操作企业证书：通过服务器提供凭证软件证书第71页/共130页（二）按照数字证书的应用角度服务器证书：服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。电子邮件证书：电子邮件证书可以用来证明电子邮件发件人的真实性。第72页/共130页

收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。

另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件第73页/共130页客户端个人证书：客户端证书主要被用来进行身份验证和电子签名。安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。第74页/共130页2认证中心（CA--CertificateAuthority）。也称之为电子证书认证中心，是承担网上安全电子交易认证服务，能签发数字证书，确认用户身份的、与具体交易行为无关的第三方权威机构。第75页/共130页国外的认证中心通常是企业性的服务机构，主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设施（PKI）。第76页/共130页认证中心的主要功能证书发放证书更新证书撤销证书验证第77页/共130页认证中心的功能模块和层次结构（一）功能模块证书发放审核部门证书发放操作部门接受用户证书申请的证书受理者证书作废表第78页/共130页（二）认证中心的层次根CA品牌CA地方CA

持卡人CA、商家CA上一级的CA负责下一级CA数字证书的申请、签发和管理，每一份数字证书都和上一级的签名证书相关联。第79页/共130页我国认证中心现状我国安全认证体系(CA)可分为金融CA与非金融CA两种类型来处理。在金融CA方面，根证书由中国人民银行管理，根认证管理一般是脱机管理；品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面，最初主要由中国电信负责建设。第80页/共130页我国的CA又可分为行业性CA和区域性CA两大类。行业性CA：中国金融认证中心（CFCA）和中国电信认证中心（CTCA）是行业性CA中影响最大的两家。区域性CA大多以地方政府为背景，以公司机制来运作，如广东CA中心（CNCA）、上海CA中心(SHECA)、深圳CA中心(SZCA)，其中影响最大的是广东CA中心（CNCA）和上海CA中心(SHECA)。第81页/共130页如果按照技术来源划分，CA中心还可分为引进国外技术与完全自主开发两类。CFCA和天威诚信属于前者，广东CA和上海CA都属于后者。深圳CA与广东南海CACFCA的SET系统由IBM公司承建，NON-SET系统由德达/SUN/Entrust集团承建。天威诚信的技术平台来自VeriSign。但它们的密码模块却都是由国内自主开发，经国家安全部门认可的。第82页/共130页CFCA是全国惟一的金融根认证中心，由中国人民银行负责统一规划管理，中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行和福建兴业银行共十三家商业银行联合建设，由银行卡信息交换总中心承建，建立了SETCA和Non-SETCA两套系统，于2000年6月29日正式开始为全国的用户提供证书服务。⑴中国金融认证中心（CFCA）第83页/共130页在管理分工上，中国人民银行负责管理根认证中心CFCA，并负责审批、认证统一的品牌认证中心。一般脱机进行。品牌认证中心由成员银行接受中国人民银行的委托建设、运行和管理，建立对最终持卡人、商业用户和支付网关认证证书的审批、管理和认证等工作，其中管理包括证书申请、补发、重发和注销等内容。第84页/共130页第85页/共130页⑵中国电信认证中心（CTCA）中国电信1997年底，开始进行电子商务试点工作，1999年8月，中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定，并获得国家信息产品安全认证中心颁发的认证证书，成为首家允许在公网上运营的CA安全认证系统。1999年底，按全国CA认证中心、省RA审核中心、业务受理点三级结构在全国范围内大规模推广。第86页/共130页⑶广东CA及“网证通”（NETCA）系统广东省电子商务认证中心是国家电子商务的试点工程，其前身是中国电信南方电子商务中心，创立于1998年。2001年1月，广东省电子商务认证中心的“网证通”电子认证系统通过国家公安部计算机信息系统安全产品质量监督检测，被认定为安全可信的产品。2001年8月，国家密码管理委员会办公室批准广东省电子商务认证中心使用密码和建立密钥管理中心，成为国内提供网络安全认证服务的重要力量。第87页/共130页第88页/共130页⑷上海CA（SHECA）上海市CA中心是中国第一个CA认证中心，创建于1998年，经过国家批准并被列为信息产业部全国的示范工程。第89页/共130页第90页/共130页中国协卡认证体系（SHECA）是在遵循PKI架构标准体系基础上，根据中国国情，由上海、北京、天津三地发起，由上海市电子商务安全证书管理中心有限公司（简称上海CA中心）设计、建设、并组织运行，联合国内多家CA机构和地区行业联合共建的认证体系。第91页/共130页国内主要的电子商务认证中心北京数字证书认证中心：深圳市电子商务认证中心：广东省电子商务认证中心：海南省电子商务认证中心：湖北省电子商务认证中心：上海电子商务安全证书管理中心：中国数字认证网：山西省电子商务安全认证中心：中国金融认证中心：天津电子商务运作中心：/ca天威诚信CA认证中心：第92页/共130页电子商务身份认证的目标信息来源的可信性完整性。信息没有被修改、延迟和替换；不可抵赖性。信息的发送方或接收方不能否认访问控制。拒绝非法用户访问。3身份认证第93页/共130页

用户身份认证的最简单、最广的一种方法就是口令方式，口令由数字字母、特殊字符等组成。这种身份认证方法操作十分简单，但最不安全不能抵御口令猜测攻击。四种常用的身份认证方式(1)口令方式第94页/共130页

标记是一种用户所持有的某个秘密信息(硬件)，上面记录着用于系统识别的个人信息。(2)标记方式第95页/共130页

某些人体生物学特征，如指纹、声音、DNA图案、视网膜扫描图案进行身份认证。(3)人体生物学特征方式第96页/共130页

使用CA中心颁发的数字证书进行网上身份的识别。(4)PKI方式第97页/共130页目前大多数商务网站使用用户名和口令的方式来对用户进行认证，这种方式需要站点收集所有注册用户的信息，维护庞大的用户信息数据库。同时这种传统登录机制的安全性也比较脆弱，容易遭到外界的攻击破坏。数字证书的安全与认证功能消除了传统的口令机制中内在的安全脆弱性，为每个用户提供唯一的标识，以便利的方式来访问Web服务器，降低了网站的维护和支持成本。第98页/共130页8.2.4电子商务中的主要安全协议1.SSL协议

2安全电子交易协议（SET）第99页/共130页1SSL协议SSL（SecureSocketLayer）安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP／IP）上实现的一种安全协议，采用公开密钥技术。第100页/共130页SSL协议的主要功能：（1）信息保密，通过使用公开密钥和对称密钥技术以达到信息保密。（2）信息完整性，SSL利用机密共享和hash函数组提供信息完整性服务。（3）双向认证，它们的识别号用公开密钥编码，并在SSL握手时交换各自的识别号。

第101页/共130页SSL的体系结构：

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

第102页/共130页SSL协议

SSL安全套接层协议适用于点对点之间的信息传输通过在浏览器软件和WWW服务器建立一条安全通道SSL协议基本结构

SSL记录协议用来封装高层的协议。

SSL握手协议能够通过特定的加密算法相互鉴别

电子商务安全技术

安全交易协议SSL协议第103页/共130页电子商务中的SSL协议过程：客户购买信息发送给商家商家将信息转发给银行银行验证客户信息的合法性通知商家付款成功商家通知客户购买成功并发货第104页/共130页2SET协议SET（SecureElectronicTransaction即安全电子交易协议）是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。第105页/共130页SET的特点：信息的保密性信息的完整性对持卡者帐号的认证对商家的认证第106页/共130页SET协议

SET协议提供对消费者、商家和收单行的认证确保交易数据的安全性、完整性和交易的不可否认性SET协议设计思想

保证信息的加密性、验证交易各方保证支付的完整性和一致性、保证互操作性

收单行

商家

用户

购物信息

支付信息

转移存款SET保证商家看不到卡号，数字签名商家的信息用商家公钥加密

银行的信息用银行的公钥加密

用户的信息用自己的私钥加密

电子商务安全技术

安全交易协议SET协议第107页/共130页SET的流程第108页/共130页

SET和SSL的相同和不同之处？思考题第109页/共130页SET和SSL的比较相同点：两种都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。都采用了公钥机制和信息摘要。每一次交易操作都很多，所以服务器负载大第110页/共130页SSLSET层次主要是在传输层主要是在应用层安全没有对商家的认证增加了对商家的认证加密所有传输的信息都进行加密，但过程较短（用户和商店端）仅对敏感信息加密，但过程较长（用户，商家，支付网关，认证中心）应用主要是Web和电子邮件主要是信用卡第111页/共130页计算机病毒及其防治技术计算机病毒概述计算机病毒类型计算机病毒的清除网络防病毒技术网络防病毒技术发展趋势第112页/共130页计算机病毒概述计算机病毒产生的历史计算机病毒概念计算机病毒的特点第113页/共130页计算机病毒概念计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。狭义的定义就是病毒程序通过修改（操作）而传染其他程序，即修改其他程序使之含有病毒自身的精确版本或可能演化的版本、变种或其他病毒繁衍体。第114页/共130页计算机病毒的特点可执行的程序传染性潜伏性可触发性破坏性攻击性针对性衍生性第115页/共130页计算机病毒类型病毒类型传染机理传染目标传染途径防治方法典型病毒引导型病毒利用系统启动的缺陷•感染硬盘的主引导区和引导区•感染软盘的引导区通过软盘启动计算机传染•将系统设置为从C盘启动•将主板上防