电子商务安全模板课件

E-Business

第九章—电子商务安全

E-Business

第九章—电子商务安全

2电子商务安全问题国外2000年2月7日－9日，Yahoo,ebay,Amazon等著名网站被黑客攻击，直接和间接损失10亿美元。1991年的海湾战争，被美国军方认为是第一次把信息战从研究报告中搬上实战战场的战争。2001年10月30日《纽约时报》的计算机系统遭到黑客攻击。感谢你的观看2019年6月132电子商务安全问题国外感谢你的观看2019年6月133电子商务安全问题国内2000年春天，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。2006年有人窃取工商银行网上银行客户帐号2009年上海车牌拍卖被攻安全问题信息安全体系安全感谢你的观看2019年6月133电子商务安全问题国内感谢你的观看2019年6月134电子商务安全问题电子商务安全问题密码安全计算机安全网络安全信息安全电子商务安全威胁（LogicalsecurityProtectionofassetsusingnonphysicalmeans）信息的截获和窃取信息的篡改信息假冒交易抵赖隐私保护感谢你的观看2019年6月134电子商务安全问题电子商务安全问题感谢你的观看2019年6月电子商务安全问题PhysicalsecurityIncludestangibleprotectiondevicesAlarms,guards,fireproofdoors,securityfences,safesorvaults,andbombproofbuildings5感谢你的观看2019年6月13电子商务安全问题Physicalsecurity5感谢你的6电子商务安全问题电子商务安全体系技术保障法律控制社会道德规范完善的管理政策、制度Countermeasure对策Procedure(physicalorlogical)Recognizes,reduces,eliminatesthreatExtentandexpenseofcountermeasuresDependsonimportanceofassetatrisk感谢你的观看2019年6月136电子商务安全问题电子商务安全体系感谢你的观看2019年6月7电子商务安全问题安全技术加密技术认证技术身份识别技术数字签名数字证书数字信封双重签名安全协议感谢你的观看2019年6月137电子商务安全问题安全技术感谢你的观看2019年6月13

电子商务安全问题*ManagingRiskRiskmanagementmodelFourgeneralorganizationalactionsImpact(cost)andprobabilityofphysicalthreatAlsoapplicableforprotectingInternetandelectroniccommerceassetsfromphysicalandelectronicthreats

ExamplesofelectronicthreatsImpostors,eavesdroppers,thievesEavesdropper(personordevice)ListeninonandcopyInternettransmissions8感谢你的观看2019年6月13电子商务安全问题*ManagingRisk8感谢你的观看

电子商务安全问题*ManagingRisk(cont’d.)Crackersorhackers(people)Writeprograms;manipulatetechnologiesObtainaccesstounauthorizedcomputersandnetworksGoodsecurityschemeimplementationIdentifyrisksDeterminehowtoprotectthreatenedassetsCalculatecoststoprotectassets9感谢你的观看2019年6月13电子商务安全问题*ManagingRisk(cont’

10电子商务安全问题ElementsofComputerSecuritySecrecy保密ProtectingagainstunauthorizeddatadisclosureEnsuringdatasourceauthenticityIntegrity完整PreventingunauthorizeddatamodificationMan-in-the-middleexploitE-mailmessageintercepted;contentschangedbeforeforwardedtooriginaldestinationNecessityPreventingdatadelaysordenials(removal)Delayingmessageorcompletelydestroyingit10感谢你的观看2019年6月1310电子商务安全问题ElementsofCompute电子商务安全策略SecurityPolicyandIntegratedSecuritySecuritypolicy:livingdocumentAssetstoprotectandwhy,protectionresponsibility,acceptableandunacceptablebehaviorsPhysicalsecurity,networksecurity,accessauthorizations,virusprotection,disasterrecoveryStepstocreatesecuritypolicyDetermineassetstoprotectfromthreatsDetermineaccesstovarioussystempartsDetermineresourcestoprotectidentifiedassetsDevelopwrittensecuritypolicyCommitresources

11感谢你的观看2019年6月13电子商务安全策略SecurityPolicyandIn

电子商务安全策略SecurityPolicyandIntegratedSecurity(cont’d.)Militarypolicy:stressesseparationofmultiplelevelsofsecurityCommercialpolicyinformationclassification:“public”or“companyconfidential”ComprehensivesecurityplangoalsProtectsystem’sprivacy,integrity完整,availability;authenticateusersSelectedtosatisfyFigure10-2requirementsSecuritypoliciesinformationsourcesTheNetworkSecurityLibraryInformationSecurityPolicyWorldWebsite12感谢你的观看2019年6月13电子商务安全策略SecurityPolicyandI13感谢你的观看2019年6月1313感谢你的观看2019年6月13

电子商务安全策略SecurityPolicyandIntegratedSecurity(cont’d.)AbsolutesecurityisdifficulttoachieveCreatebarriersdeterringintentionalviolatorsReduceimpactofnaturaldisastersandterroristactsIntegratedsecurityHavingallsecuritymeasuresworktogetherPreventsunauthorizeddisclosure,destruction,modificationofassets14感谢你的观看2019年6月13电子商务安全策略SecurityPolicyandI

电子商务安全策略SecurityPolicyandIntegratedSecurity(cont’d.)E-commercesitesecuritypolicypointsAuthentication:Whoistryingtoaccesssite?Accesscontrol:Whoisallowedtologontoandaccesssite?Secrecy:Whoispermittedtoviewselectedinformation?Dataintegrity:Whoisallowedtochangedata?Audit:Whoorwhatcausesspecificeventstooccur,andwhen?15感谢你的观看2019年6月13电子商务安全策略SecurityPolicyandI

16电子商务安全策略SecurityforClientComputersClientcomputersMustbeprotectedfromthreatsThreatsOriginateinsoftwareanddownloadeddataMalevolentserversitemasqueradesaslegitimateWebsiteUsersandtheirclientcomputersaredupedintorevealinginformation16感谢你的观看2019年6月1316电子商务安全策略SecurityforClient17加密和解密加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)密码系统的构成数据加密技术感谢你的观看2019年6月1317加密和解密密码系统的构成数据加密技术感谢你的观看20118数据加密技术在加密和解密的过程中，都要涉及信息(明文、密文)、密钥(加密密钥、解密密钥)和算法(加密算法、解密算法)这三项内容。密钥是用于加解密的一些特殊信息，它是控制明文与密文之间变换的关键，它可以是数字、词汇或语句。密钥分为加密密钥和解密密钥，完成加密和解密的算法称为密码体制，传统的密码体制所用的加密密钥和解密密钥相同，形成了对称式密钥加密技术即通用密钥密码体制。在一些新体制中，加密密钥和解密密钥不同，形成非对称式密码加密技术，即公开密钥加密技术。感谢你的观看2019年6月1318数据加密技术在加密和解密的过程中，都要涉及信息(明文、密19数据加密技术古典加密技术古典加密技术针对的对象是字符。主要有两种基本算法：替代算法置换移位法感谢你的观看2019年6月1319数据加密技术古典加密技术感谢你的观看2019年6月1320数据加密技术替代算法（一）恺撒密码(单字母替换)明文：abcdefghijklmnopq密文：defghijklmnopqrst此时密钥为3，即每个字母顺序推后3个。若明文为student，对应的密文则为vwxghqw。解密使用相同的方法，密钥为-3。由于英文字母为26个，因此恺撒密码仅有26个可能的密钥，非常不安全。

感谢你的观看2019年6月1320数据加密技术替代算法（一）感谢你的观看2019年6月1321数据加密技术替代算法（二）加强安全性:随机生成对照表明文：abcdefghijklmnopqrstuvwxyz密文：xnyahpogzqwbtsflrcvmuekjdi若明文为student,密文则为vmuahsm。解密函数是上面这个替代对照表的一个逆置换。可根据字母频度进行破译。感谢你的观看2019年6月1321数据加密技术替代算法（二）感谢你的观看2019年6月1322数据加密技术置换移位法维吉尼亚密码：以置换移位为基础的周期性替换密码。明文wearediscoveredsaveyourself密钥deceptivedeceptivedeceptive密文zicvtwqngrzgvtwavzhcqyglmgj密钥deceptive被重复使用维吉尼亚密码仍旧能够用统计字母频度技术分析。……感谢你的观看2019年6月1322数据加密技术置换移位法感谢你的观看2019年6月1323数据加密技术现代加密技术对称加密技术非对称加密技术(公开密钥加密技术)感谢你的观看2019年6月1323数据加密技术现代加密技术感谢你的观看2019年6月1324数据加密技术对称加密技术美国国家标准局1973年征求加密算法。对加密算法要求：提供高质量的数据保护；具有相当高的复杂性；安全性仅以加密密钥的保密为基础；实现经济，运行有效，适用于多种应用。1977年1月，美国政府采纳IBM公司设计的方案作为数据加密标准。这就是DES标准。DES也称对称加密算法。加密密钥＝解密密钥DES现在已经不被视为一种安全的加密演算法，因为它使用的56位秘钥过短，以现代计算能力，24小时内极可能被破解。也有一些分析报告提出了该演算法的理论上的弱点，虽然实际情况未必出现。该标准在最近已经被高级加密标准（AES）所取代。感谢你的观看2019年6月1324数据加密技术对称加密技术感谢你的观看2019年6月1325数据加密技术

数据加密技术对称加密技术–示意图感谢你的观看2019年6月1325数据加密技术

26数据加密技术对称加密技术–优缺点优点：算法过程简单，速度快缺点：密钥的分发和管理不方便感谢你的观看2019年6月1326数据加密技术对称加密技术–优缺点感谢你的观看2019年627数据加密技术非对称加密技术1976年，提出“公开密钥系统”。加/解密用一对密钥：Publickey/Privatekey（公钥/私钥）如果用公钥加密，则用私钥解密如果用私钥加密，则用公钥解密私钥不发布，公钥发布感谢你的观看2019年6月1327数据加密技术非对称加密技术感谢你的观看2019年6月1328数据加密技术典型的非对称加密算法：RSA现有三种公开密钥密码体制，其中最著名的是RSA体制，它基于数论中大数分解问题的体制，由美国三位科学家Rivest,Shamir和Adleman于1976年提出并在1978年正式发表的。已被ISO/TC97的数据加密技术分委员会推荐为公开密钥数据加密标准。加密强度很高，它的安全性是基于分解大整数的难度，即将两个大的质数合成一个大数很容易，而相反的过程非常困难。感谢你的观看2019年6月1328数据加密技术典型的非对称加密算法：RSA感谢你的观看2029数据加密技术特点1双钥成对产生，互相加密、解密，在公开密钥密码体制中，公开密钥PK是公开信息，而秘密密钥SK是需要保密的。2一把钥不能加密又解密3虽然秘密密钥SK是由公开密钥PK决定的，但却不能根据PK计算出SK4加密算法E和解密算法D也都是公开的感谢你的观看2019年6月1329数据加密技术特点感谢你的观看2019年6月1330数据加密技术非对称加密技术–示意图感谢你的观看2019年6月1330数据加密技术非对称加密技术–示意图感谢你的观看2019年31数据加密技术RSA算法原理描述如下：

第一步：互异质数p和q，n=pq，n是模数。第二步：比n小的数e，与(p-1)(q-1)互质第三步：找到另一个数d，使ed=1

mod(p-1)(q-1)

第四步：公开密钥为(e,n)；私有密钥为(d,n)第五步：加密过程为c=me(mod

n)

第六步：解密过程为m=cd(mod

n)

感谢你的观看2019年6月1331数据加密技术RSA算法原理描述如下：

感谢你的观看20132数据加密技术例子：取p=7和q＝11，则n＝pq＝7×11＝77则：（p－1）×（q－1）＝6×10＝60e与60互质，取e＝7d＝7－1mod（（7－1）×（11－1））即7×d＝1mod607×d＝60K＋1（k＝1，2，3…….）结果d=43，因为：

7×43＝301＝60×5＋1＝1mod60得到：公开密钥（e，n）＝（7，77）和私有密钥（d，n）＝（43，77）感谢你的观看2019年6月1332数据加密技术例子：感谢你的观看2019年6月1333数据加密技术非对称加密技术--优缺点优点：可以保证机密性密钥空间大缺点：产生密钥麻烦，难以做到一次一密过程复杂，速度慢

感谢你的观看2019年6月1333数据加密技术非对称加密技术--优缺点感谢你的观看201934数据加密技术不对称密钥加密和对称密钥加密比较

对称密钥加密密钥长度短运算速度快密钥个数一个密钥分配困难可用于数据加密和消息的认证无法满足互不相识的人之间进行私人谈话时的保密性需求

不对称密钥加密密钥长度长运算速度慢密钥个数两个密钥分配简单可以完成数字签名和实现保密通信可满足互不相识的人之间进行私人谈话时的保密性需求感谢你的观看2019年6月1334数据加密技术不对称密钥加密和对称密钥加密比较35认证技术消息摘要消息摘要概念(文本摘要)消息摘要（MessageDigest）又称为数字摘要(DigitalDigest)。它是一个唯一对应一个消息或文本的固定长度的值，由单向Hash加密函数对消息进行作用而产生。消息摘要用来检测消息的完整性(不被修改)。消息摘要采用单向Hash函数将需加密的明文"摘要"成一串128bit的密文，这一串密文亦称为数字指纹(FingerPrint)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。感谢你的观看2019年6月1335认证技术消息摘要消息摘要概念(文本摘要)感谢你的观看36认证技术数字签名数字签名概念数字签名的英文：DigitalSignature数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：信息是由签名者发送的。信息自签发后到收到为止未曾作过任何修改。确认（1）保证信息的完整性（2）发送者不可抵赖性注意是一串数字，128位不是姓名的数字化写法是原报文的摘要，它依附所签发的文件。感谢你的观看2019年6月1336认证技术数字签名数字签名概念感谢你的观看2019年637认证技术数字签名数字签名工作过程数字签名并非用"手书签名"类型的图形标志，它采用了双重加密的方法来保证信息的完整性和发送者不可抵赖性。其工作步骤为：（1）被发送消息用哈希算法加密产生128bit的消息摘要A。（2）发送方用自己的私用密钥对消息摘要A再加密，这就形成了数字签名。（3）发送方通过某种关联方式，比如封装，将消息原文和数字签名同时传给接受方。感谢你的观看2019年6月1337认证技术数字签名数字签名工作过程感谢你的观看2019年38认证技术数字签名（4）接受方用发送方的公开密钥对数字签名解密，得到消息摘要A；如果无法解密，则说明该信息不是由发送方发送的。如果能够正常解密，则发送方对发送的消息就具有不可抵赖性。（5）接受方同时对收到的文件用约定的同一哈希算法加密产生又一摘要B。（6）接受方将对摘要A和摘要B相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。感谢你的观看2019年6月1338认证技术数字签名（4）接受方用发送方的公开密钥对数字39认证技术数字签名

数字签名工作过程感谢你的观看2019年6月1339认证技术数字签名数字签名工作过程感谢你的观看201940认证技术数字签名问题通过伪造数字签名，冒充发送者。解决方法：更换密码，（通过密钥分配协议）每次报文不一样，从而产生不一样的摘要加时间戳CA验证身份感谢你的观看2019年6月1340认证技术数字签名问题感谢你的观看2019年6月1341认证技术数字时间戳数字时间戳概念数字时间戳：DigitalTimeStamp对电子文件提供发表时间的安全保护数字时间戳服务是网上电子商务安全服务项目之一，由专门的机构提供，该机构被称之为DTS部门。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。感谢你的观看2019年6月1341认证技术数字时间戳数字时间戳概念感谢你的观看201942认证技术数字时间戳数字时间戳产生过程时间戳的产生过程：（1）用户将需要加时间戳的文件用HASH编码加密形成摘要；（2）摘要送到DTS，DTS加入该文件摘要的收到日期和时间信息后再对该文件加密，即进行数字签名；（3）送回用户。数字时间戳内容组成：（1）需加时间戳的文件的摘要；（2）DTS收到文件的日期和时间；（3）DTS的数字签名感谢你的观看2019年6月1342认证技术数字时间戳数字时间戳产生过程感谢你的观看20143认证技术数字证书问题进入互联网角色之后，许多企业也许会经常遇到这样的困惑：内部管理时怎样在网上确认员工的身份？网上交易时对方发出的信息是否真实可信？网上纳税时怎样有效的表明企业的身份？信任是每个企业及实体进行各种网上行为的基础，构架一个安全可信的网络环境是各种网上操作顺利开展的有利保障。数字证书是一种建立网上信任的可靠工具。感谢你的观看2019年6月1343认证技术数字证书问题感谢你的观看2019年6月1344认证技术数字证书数字证书数字身份认证基于国际PKI标准的网上身份认证系统，数字证书相当于网上的身份证，它以数字签名的方式通过第三方权威认证有效地进行网上身份认证，帮助各个实体识别对方身份和表明自身的身份，具有真实性和防抵赖功能。与物理身份证不同的是，数字证书还具有安全、保密、防篡改的特性，可对企业网上传输的信息进行有效保护和安全的传递。

感谢你的观看2019年6月1344认证技术数字证书数字证书感谢你的观看2019年6月13认证技术数字证书数字认证原理数字证书采用公钥体制利用一对互相匹配的密钥进行加密、解密45感谢你的观看2019年6月13认证技术数字证书数字认证原理45感谢你的观看2019年646认证技术数字证书数字证书概念英文：DigitalCertificateorDigitalID又称为数字证书或者是数字标识。它由权威机构发行，是INTERNET上使用电子手段证实用户身份和用户访问网络资源权限的一种安全防范手段。数字凭证的格式遵循CCITTX.509国际标准，它含有以下基本内容：(1)证书的版本信息；(2)证书的序列号；(3)证书所使用的签名；(4)证书的发行机构名称；(5)证书的有效期；(6)证书拥有者的名称；(7)证书所有人的公开密钥；(8)证书发行者对证书的签名。感谢你的观看2019年6月1346认证技术数字证书数字证书概念感谢你的观看2019年6月47认证技术数字证书X.509。它是国际标准化组织CCITT（即国际电话委员会）建议作为X.500目录检索的一部分提供安全目录检索服务，是一种行业标准或者行业解决方案，在X.509方案中，默认的加密体制是公钥密码体制。为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要（亦称作信息"指纹"）。用户用专用密钥对摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息"指纹"进行比较，以确定其真实性。

感谢你的观看2019年6月1347认证技术数字证书X.509。它是国际标准化组织CCIT48认证技术数字证书数字证书类型个人证书（PersonalDigitalID)企业服务器证书（ServerID)软件开发者证书（DeveloperID)感谢你的观看2019年6月1348认证技术数字证书数字证书类型感谢你的观看2019年6月49认证技术数字证书案例数字证书在网上招标系统中的应用在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能感谢你的观看2019年6月1349认证技术数字证书案例数字证书在网上招标系统中的应用50认证技术数字证书案例身份确定？传输安全？抵赖？感谢你的观看2019年6月1350认证技术数字证书案例身份确定？感谢你的观看201951认证技术数字证书案例招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中感谢你的观看2019年6月1351认证技术数字证书案例感谢你的观看2019年6月1352认证技术认证中心

认证中心概念CA--认证中心英文全称：CertificationAuthority认证中心就是提供交易双方身份认证并保证交易安全进行的第三方服务机构，它承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份。CA往往采用一种多层次的分级机构，上级CA负责签发和管理下级CA的证书，最下一级的CA直接面向最终用户。感谢你的观看2019年6月1352认证技术认证中心认证中心概念感谢你的观看2019年653认证技术认证中心认证中心层次结构感谢你的观看2019年6月1353认证技术认证中心认证中心层次结构感谢你的观看2019年54认证技术认证中心认证中心的组成注册服务器证书申请受理和审核机构认证中心服务器感谢你的观看2019年6月1354认证技术认证中心认证中心的组成感谢你的观看2019年655认证技术认证中心认证中心的工作流程（1）接收并验证用户对数字证书的申请。（2）审核用户的申请。（3）向申请者颁发、拒绝颁发数字证书。（4）接收、处理最终用户的数字证书更新请求。（5）接收用户对数字证书的查询或作废的要求。（6）产生和发布证书作废列表CRL(CertificateRevocationList)。（7）数字证书的归档。（8）密钥归档。（9）历史数据归档。感谢你的观看2019年6月1355认证技术认证中心认证中心的工作流程感谢你的观看201956认证技术认证中心认证中心的功能证书的颁发；证书的更新；证书的查询；证书的作废；证书的归档；密钥的备份与恢复；感谢你的观看2019年6月1356认证技术认证中心认证中心的功能感谢你的观看2019年657认证技术数字信封与双重签名数字信封结合使用对称密钥和非对称密钥技术，保证只有规定的接收人才能看到密文的数字化技术，具有传统信封相似的功能。基本原理是将原文用对称密钥加密传输，而将对称密钥用收方公钥加密发送给对方。收方收到电子信封，用自己的私钥解密信封，取出对称密钥解密得原文。感谢你的观看2019年6月1357认证技术数字信封与双重签名数字信封感谢你的观看201958认证技术数字信封与双重签名双重签名技术解决有三方参加交易的安全通信问题商家和第三方（如银行）各自得到自己那部分文件内容商家和第三方都能确认自己得到的部分没有被篡改。定义：有的场合需要寄出两个相关信息给接收者，接收者只能打开一个，而另一个只需转送，不能打开看其内容。(持卡人向商户提出订购信息的同时，也给银行付款信息，以便授权银行付款，但持卡人不希望商户知道自己的账号的有关信息，也不希望开户行知道具体的消费内容，只需按金额贷记或借记账即可。)过程：一个人的双重签名可以分别传送信息给特约商户和开户行，特约商户只能解开与自己相关的信息却解不开给开户行的信息。

感谢你的观看2019年6月1358认证技术数字信封与双重签名双重签名技术感谢你的观看2059认证技术数字信封与双重签名数字签名的新应用。首先生成两条消息的摘要，将两个摘要连接起来，生成一个新的摘要(称为双重签名)，然后用签发者的私有密钥加密，为了让接收者验证双重签名，还必须将另外一条消息的摘要一块传过去。这样，任何一个消息的接收者都可以通过以下方法验证消息的真实性：生成消息摘要，将它和另外一个消息摘要连接起来，生成新的摘要，如果它与解密后的双重签名相等，就可以确定消息是真实的。

感谢你的观看2019年6月1359认证技术数字信封与双重签名数字签名的新应用。首先生成两60SSL安全协议SSL概念SSL（SecureSocketsLayer）：安全套接层协议由Netscape公司发明，确保在TCP/IP网络上的安全会话运用了数字证书，数字签名，以及基于RSA的加密算法和对称加密算法来确保安全性提供两个应用之间通信的保密，可信和身份认证客户端使用HTTPS来初始化一个SSL的WEB连接感谢你的观看2019年6月1360SSL安全协议SSL概念感谢你的观看2019年6月1361SSL安全协议工作原理第一步：初始化握手协议。在该过程中通信双方协商会话密钥。第二步：建立一个SSL对话。在后续对话过程中，使用协商好的会话密钥来加密/解密消息。下页图是初始化握手协议的工作过程图。

感谢你的观看2019年6月1361SSL安全协议工作原理感谢你的观看2019年6月13SSL安全协议62感谢你的观看2019年6月13SSL安全协议62感谢你的观看2019年6月1363SET协议SET(SecureElectronicTransaction)叫安全电子交易协议，是为了在互联网上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。因它的对象包括消费者、商家、发卡银行、收单银行、支付网关、认证中心，所以对消费者与商家同样有利。SET协议保证了电子交易的机密性、数据完整性、身份的合法性和防抵赖性。用到了对称密钥系统、公钥系统、数字签名、数字信封、双重签名、身份认证等技术感谢你的观看2019年6月1363SET协议感谢你的观看2019年6月1364SET协议消费者、在线商店、支付网关都通过CA来验证通信主体的身份。对购物信息和支付信息采用双重签名，保证商户看不到信用卡信息，银行看不到购物信息；速度偏慢，但是实施电子商务的最佳协议标准，主要适用于B2C模式.感谢你的观看2019年6月1364SET协议感谢你的观看2019年6月1365SET协议SET协议运行的目标保证信息在互联网上安全传输。保证交易参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。解决网上认证问题。认证中心为消费者、商家与支付网关等每个交易参与方都生成数字证书。保证网上交易的实时性。所有的支付过程都是在线的。仿效EDI规范协议和消息格式，使不同厂家开发的软件具有兼容性和互操作功能，且可以运行在不同的硬件和操作系统平台上。感谢你的观看2019年6月1365SET协议SET协议运行的目标感谢你的观看2019年6月66SET协议例子：使用SET协议的信用卡支付流程支付网关客户B商

家A1申请信用卡认证中心收单银行AY2订单、支付指令（数字签名，加密）7确认3审核6

确认4审核5批准认证认证认证发卡行BY银行专网8货款转移感谢你的观看2019年6月1366SET协议例子：使用SET协议的信用卡支付流程支付网关客SET协议SET交易过程中要对商家，客户，支付网关等交易各方进行身份认证，因此它的交易过程相对复杂。(1)客户在网上商店看中商品后，和商家进行磋商，然后发出请求购买信息。(2)商家要求客户用电子钱包付款。(3)电子钱包提示客户输入口令后与商家交换握手信息，确认商家和客户两端均合法。(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。(5)商家将含有客户支付指令的信息发送给支付网关。(6)支付网关在确认客户信用卡信息之后，向商家发送一个授权响应的报文。(7)商家向客户的电子钱包发送一个确认信息。(8)将款项从客户帐号转到商家帐号，然后向顾客送货，交易结束。SET交易过程十分复杂性，在完成一次SET协议交易过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行签名5次，4次对称加密和非对称加密。通常完成一个SET协议交易过程大约要花费1.5－2分钟甚至更长时间。由于各地网络设施良莠不齐，因此，完成一个SET协议的交易过程可能需要耗费更长的时间。

67感谢你的观看2019年6月13SET协议SET交易过程中要对商家，客户，支付网关等交易各方SET协议SET的安全性分析采用信息摘要技术保证信息的完整性采用双重签名技术保证交易双方的身份认证与信息隔离68感谢你的观看2019年6月13SET协议SET的安全性分析68感谢你的观看2019年6月SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支付网关、认证中心和网上银行软件费用已被大部分Web浏览器和Web服务器所内置，因此可直接投入使用，无需额外的附加软件费用必须在银行网络、商家服务器、客户机上安装相应的软件，而不是象SSL协议可直接使用，因此增加了许多附加软件费用便捷性SSL在使用过程中无需在客户端安装电子钱包，因此操作简单；每天交易有限额规定，因此不利于购买大宗商品；支付迅速，几秒钟便可完成支付SET协议在使用中必须使用电子钱包进行付款，因此在使用前，必须先下载电子钱包软件，因此操作复杂，耗费时间；每天交易无限额，利于购买大宗商品；由于存在着验证过程，因此支付缓慢，有时还不能完成交易安全性只有商家的服务器需要认证，客户端认证则是有选择的；缺少对商家的认证，因此客户的信用卡号等支付信息有可能被商家泄漏安全需求高，因此所有参与交易的成员：客户、商家、支付网关、网上银行都必须先申请数字证书来认识身份；保证了商家的合法性，并且客户的信用卡号不会被窃取，替消费者保守了更多的秘密，使其在结购物和支付更加放心SSL协议与SET比较（供参考）69感谢你的观看2019年6月13SSL协议SEL协议参与方客户、商家和网上银行客户、商家、支70小结感谢你的观看2019年6月1370小结感谢你的观看2019年6月1371网络协议分层的思想实现网间通信－－－分层的好处各层之间是独立的，使问题的复杂程度降低了。灵活性好，各层用最适合的技术实现，容易实现技术更新。有利于标准化工作各层工作：封装和解包流量控制、差错控制分段和重装复用和分用－－高层会话复用低层的连接建立连接和释放感谢你的观看2019年6月1371网络协议分层的思想实现网间通信－－－分层的好处感谢你的观72网络协议计算机网络中的数据交换必须遵守事先约定好的规则。这些规则明确规定了所交换的数据的格式以及有关的同步与时序问题。为进行网络中的数据交换而建立的规则、标准或约定即网络协议(networkprotocol)，简称为协议。协议必须依托协议软件才能在网络上实施。协议并不神秘感谢你的观看2019年6月1372网络协议计算机网络中的数据交换必须遵守事先约定好的规则。73网络协议计算机网络的体系结构(architecture)是计算机网络的各层及其协议的集合。是该网络及其所有部件所应完成的功能的定义。实现(implementation)硬件例如：路由器，交换机。。。协议软件例如TC/IP是遵循这种体系结构的前提下用何种硬件或软件完成这些功能的问题。体系结构是抽象的，而实现则是具体的，是真正在运行的计算机硬件和软件。感谢你的观看2019年6月1373网络协议计算机网络的体系结构(architecture)74网络协议5432154321计算机

1AP2AP1计算机

2应用程序数据应用层首部H510100110100101比特流110101110101计算机1向计算机2发送数据注意观察加入或剥去首部（尾部）的层次应用程序数据H5应用程序数据H4H5应用程序数据H3H4H5应用程序数据H4运输层首部H3网络层首部H2链路层首部T2链路层尾部感谢你的观看2019年6月1374网络协议5432154321计算机1AP2AP1计算机75网络协议应用层传输层网络层数据链路层物理层54321一个原理性的网络体系结构感谢你的观看2019年6月1375网络协议一个原理性的网络体系结构感谢你的观看2019年676网络协议物理层物理层的任务就是透明地传送比特流。是指它不了解传输的比特流的意义和结构它关心的问题是：使用什么样的物理信号来表示数据“0”和“1”“0”和“1”持续的时间多长；数据传输是否可同时在两个方向上进行；最初的连接如何建立和完成通信后连接如何终止；物理接口(插头和插座)有多少针以及各针的功能。感谢你的观看2019年6月1376网络协议物理层感谢你的观看2019年6月1377网络协议数据链路层包装成帧将网络层传下来的包（叫做分组）加上头部和尾部封装在帧frame（一个数据链路层的传输单位）中，然后交给物理层传输到下一结点。保证数据在数据链路上的正常传输建立连接、维护和释放定界－－分辨帧之间的界限例如：帧的起始和结束都用一个特殊的位串“00111100”，称为标记(flag)感谢你的观看2019年6月1377网络协议数据链路层感谢你的观看2019年6月1378网络协议网络层任务：将传输层传下来的数据段加上头（目的和源地址），包装成分组。为分组交换网络进行路由（寻路）网络层最重要的任务是路由路由器中保存一个路由表路由器必须维护这个路由表网络层要在多条通路中决定数据包走哪一条。感谢你的观看2019年6月1378网络协议网络层感谢你的观看2019年6月1379网络协议传输层（运输层）提供可靠的主机到主机的通信将应用层PDU分片，包装成段完成可靠性控制对收到的报文进行差错检测流量控制感谢你的观看2019年6月1379网络协议传输层（运输层）感谢你的观看2019年6月1380网络协议应用层应用层在体系结构中是最高层其任务是确定进程之间通信的性质，以满足用户的需要WWW(WorldWideWeb)FTP(FileTransferProtocol)DNS(DomainNameSystem)E-mail…从协议角度来看，每个应用层协议都是为了解决某一特定的应用问题。感谢你的观看2019年6月1380网络协议应用层感谢你的观看2019年6月1381网络协议两个重要的参考模型OSI参考模型(1983)(OpenSystemInterconnection,ISO)TCP/IP参考模型(1974)感谢你的观看2019年6月1381网络协议两个重要的参考模型感谢你的观看2019年6月1382网络协议OSI模型与TCP/IP模型感谢你的观看2019年6月1382网络协议OSI模型与TCP/IP模型感谢你的观看201983网络协议OSI应用层表示层会话层传输层网络层数据链路层物理层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层应用层协议传输层协议会话层协议表示层协议通信子网主机B网络层数据链路层物理层网络层数据链路层物理层主机A感谢你的观看2019年6月1383网络协议OSI应用层表示层会话层传输层网络层数据链路层物84电子商务法：是指调整电子商务活动中所产生的社会关系的法律规范的总称电子商务法的特点：技术性、安全性、开放性、复合性特殊问题1.网上交易主体及市场准入问题2.电子合同问题3.电子商务中的物流问题4.网上支付问题5.网上不正当竞争与网上无形财产保护问题6.电子签名问题电子商务法律感谢你的观看2019年6月1384电子商务法：是指调整电子商务活动中所产生的社会关系的法律85电子商务签名法1．签名的作用（1）确定一个人的身份；（2）肯定是该人自己的签字；（3）使该人与文件内容发生关系。2．电子签名与传统签名的区别（1）电子签名一般是通过在线签署的（2）电子签名本身是一种数据（3）一个人可能同时拥有多个电子签名（4）电子签名则有可能被遗忘。（5）电子签名一般需要计算机系统进行鉴别。电子商务法律感谢你的观看2019年6月1385电子商务签名法电子商务法律感谢你的观看2019年6月1386电子商务合同法电子商务法律感谢你的观看2019年6月1386电子商务合同法电子商务法律感谢你的观看2019年6月1387加强认证内容盲签名感谢你的观看2019年6月1387加强认证内容感谢你的观看2019年6月1388防火墙技术防火墙（Firewall）是指一个由软件和硬件设备组合而成，在Intranet和Internet之间构筑的一道屏障，用于加强内部网络和公共网络之间安全防范的系统。防火墙的发展史第一代防火墙：包过滤（Packetfilter）技术。第二代防火墙：电路层防火墙第三代防火墙：应用层防火墙（代理防火墙）第四代防火墙：状态监视（Statefulinspection）技术。第五代防火墙：自适应代理（Adaptiveproxy）技术88感谢你的观看2019年6月1388防火墙技术防火墙（Firewall）是指一个由软件和硬件89防火墙技术防火墙中常用概念外网（非受信网络）：防火墙外的网络，一般为Internet；内网（受信网络）：防火墙内的网络；非军事化区（DMZ）：为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，Internet和DMZ。89感谢你的观看2019年6月1389防火墙技术防火墙中常用概念89感谢你的观看2019年6月90防火墙技术90感谢你的观看2019年6月1390防火墙技术90感谢你的观看2019年6月1391防火墙技术防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略对网络存取和访问进行监控审计防止内部信息的外泄91感谢你的观看2019年6月1391防火墙技术防火墙的功能91感谢你的观看2019年6月1392防火墙技术防火墙的分类包过滤防火墙包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP（传输控制协议）还是UDP(用户数据报协议

)及所用的端口信息。现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。包过滤防火墙具有根本的缺陷：1．不能防范黑客攻击。2．不支持应用层协议。3．不能处理新的安全威胁。92感谢你的观看2019年6月1392防火墙技术防火墙的分类92感谢你的观看2019年6月1393防火墙技术应用代理（网关）防火墙应用代理防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。缺点难于配置处理速度非常慢93感谢你的观看2019年6月1393防火墙技术应用代理（网关）防火墙93感谢你的观看201994防火墙技术94感谢你的观看2019年6月1394防火墙技术94感谢你的观看2019年6月1395防火墙技术复合型防火墙

由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。

屏蔽主机防火墙体系结构

屏蔽子网防火墙体系结构95感谢你的观看2019年6月1395防火墙技术复合型防火墙

由于对更高安全性的要求，常把基96防火墙技术状态（检测）防火墙Internet上传输的数据都必须遵循TCP/IP协议，根据TCP协议，每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段，常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。

96感谢你的观看2019年6月1396防火墙技术状态（检测）防火墙96感谢你的观看2019年697防火墙技术网络地址转化-NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

97感谢你的观看2019年6月1397防火墙技术网络地址转化-NAT

网98防火墙技术两层防火墙体系架构98感谢你的观看2019年6月1398防火墙技术两层防火墙体系架构98感谢你的观看2019年699防火墙技术防火墙的应用两层防火墙体系架构防火墙提供的服务可用于控制可信程度较低的网络对可信程度较高网络的访问。传统的防火墙服务实现包含：屏蔽路由器（可用作协议防火墙）和应用程序网关（域防火墙）。采用两个防火墙节点可以提供增强的保护级别，但也会增加计算资源需求的成本。协议防火墙（Protocolfirewallnode）通常作为IP路由器实现，而域防火墙（Domainfirewallnode）通常是专门的服务器节点。99感谢你的观看2019年6月1399防火墙技术防火墙的应用99感谢你的观看2019年6月1100防火墙技术拒绝服务攻击DOSDoS：DenialofService拒绝服务DDoS：DistributedDenialofService分布式拒绝服务DoS攻击通常是以消耗服务器端资源、迫使服务停止响应为目标。可以在防火墙节点处安装入侵检测系统，并用专门软件监视CPU、内存和带宽的使用情况，这样就能快速检测出DOS攻击，以进一步采取措施有效抵抗拒绝服务攻击。100感谢你的观看2019年6月13100防火墙技术拒绝服务攻击DOS100感谢你的观看2019101VPN虚拟专用网VPN的概念VPN：VirtualPrivateNetwork，称之为虚拟专用网VPN是指采用“隧道”技术以及加密、身份认证等方法在公共网络上构建专用网络的技术，数据通过安全的“加密管道”在公众网络中传播。虚拟专用网是对企业内部网的扩展。101感谢你的观看2019年6月13101VPN虚拟专用网VPN的概念101感谢你的观看2019102VPN虚拟专用网为了使得远程的企业员工可以与总部实时的交换数据信息。企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击（比如拒绝服务攻击来堵塞正常的网络服务，或窃取重要的企业内部信息）VPN这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网络。但在VPN中，用安全机制来保障机密型，真实可靠行，完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。102感谢你的观看2019年6月13102VPN虚拟专用网为了使得远程的企业员工可以与总部实时的103VPN虚拟专用网目前VPN主要采用四项技术来保证安全隧道技术（Tunneling）加解密技术（Encryption&Decryption）密钥管理技术（KeyManagement）使用者与设备身份认证技术（Authentication）。103感谢你的观看2019年6月13103VPN虚拟专用网目前VPN主要采用四项技术来保证安全1104VPN虚拟专用网隧道技术隧道指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议网络隧道协议承载协议被承载协议。104感谢你的观看2019年6月13104VPN虚拟专用网隧道技术104感谢你的观看2019年6105VPN虚拟专用网网络隧道是指在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。现有两种类型的网络隧道协议，一种是二层隧道协议，用于传输二层网络协议，它主要应用于构建远程访问虚拟专网（AccessVPN）；另一种是三层隧道协议，用于传输三层网络协议，它主要应用于构建企业内部虚拟专网（IntranetVPN）和扩展的企业内部虚拟专网（ExtranetVPN）。

105感谢你的观看2019年6月13105VPN虚拟专用网网络隧道是指在公用网建立一条数据通道（106VPN虚拟专用网虚拟专用性VPN技术实现了企业信息在公用网络中的传输，对于企业来讲公共网络起到了“虚拟专用”的效果。通过VPN，网络对每个使用者也是专用的。VPN根据员工工作需要，实现工作组级的信息共享。

106感谢你的观看2019年6月13106VPN虚拟专用网虚拟专用性106感谢你的观看2019年107VPN虚拟专用网VPN的企业内部协作解决方案图107感谢你的观看2019年6月13107VPN虚拟专用网VPN的企业内部协作解决方案图107108VPN虚拟专用网VPN的分类根据VPN所起的作用进行分类：VPDN(VirtualPrivateDialNetwork)IntranetVPNExtranetVPN108感谢你的观看2019年6月13108VPN虚拟专用网VPN的分类108感谢你的观看2019109VPN虚拟专用网109感谢你的观看2019年6月13109VPN虚拟专用网109感谢你的观看2019年6月13110VPN虚拟专用网隧道终端器的任务是使隧道到此终止，充当隧道终端器的网络设备和软件有：1.专用的隧道终端器；2.企业网络中的防火墙；3.网络服务商路由器上的VPN网关。110感谢你的观看2019年6月13110VPN虚拟专用网隧道终端器的任务是使隧道到此终止，充当111VPN虚拟专用网VPN的安全性隧道建立过程会采取一系列的步骤保证数据传输的安全性：第一步：用户认证第二步：进行设备确认，建立安全隧道第三步：使用安全策略，确认对特定用户采取的安全策略111感谢你的观看2019年6月13111VPN虚拟专用网VPN的安全性111感谢你的观看201112LDAP*LDAP的概念LDAP：LightweightDirectoryAccessProtocol，轻量级目录访问协议LDAP定义与目录服务进行通信所使用的操作，如何找到目录中的实体，如何描述实体属性，以及许多安全特性。这些安全特性可用于对目录进行身份验证，控制对目录中的实体的访问。112感谢你的观看2019年6月13112LDAP*LDAP的概念112感谢你的观看2019113LDAP*LDAP命名模型命名模型描述LDAP中的数据如何组织。在LDAP目录中，条目被组织在称为目录信息树(DIT)的层次树中。树中的每个节点都是一个条目，该条目可能存储信息，也可能是其他条目的容器。有两种方法提及树中的条目：使用其相对可分辨名称(RDN)或其可分辨名称(DN)。DN是该条目在整个树中的唯一名称标识，RDN是条目在父节点下的唯一名称标识。RDN在目录中是唯一的，而DN是全局唯一的。113感谢你的观看2019年6月13113LDAP*LDAP命名模型113感谢你的观看2019年114LDAP*LDAP功能模型查询类操作－－如搜索、比较；更新类操作－－如添加条目、删除条目、修改条目、修改条目名；认证类操作－－做客户身份验证和访问控制，对目录进行身份验证（绑定操作，解绑定操作）；其它操作――如放弃和扩展操作扩展操作。

114感谢你的观看2019年6月13114LDAP*LDAP功能模型114感谢你的观看2019年115LDAP*LDAP安全模型使用LDAP的身份验证对目录中的对象的访问控制LDAP的应用LDAP可以用于多应用中的统一的身份认证和授权。LDAP的应用主要涉及数字证书管理、授权管理、单点登录、网络用户管理、内网组织信息服务、电子政务目录体系等。115感谢你的观看2019年6月13115LDAP*LDAP安全模型115感谢你的观看2019年116身份管理（IdentityManagement）*身份管理的重要性不论是雇员、合作伙伴还是客户，只要是电子商务所依赖的人，都需要准入权限。身份管理身份管理不是一个单独的解决方法，而是一个商业流程和技术框架。116感谢你的观看2019年6月13116身份管理（IdentityManagement）*身117身份管理（IdentityManagement）*身份管理的组成部分企业目录服务定购（Provisioning）鉴定访问控制工作流管理代表管理与自助服务整合审计与报告117感谢你的观看2019年6月13117身份管理（IdentityManagement）*身118身份管理（IdentityManagement