电子商务技术基础与安全技术课件

了解计算机网络的基本概念

一、认识计算机网络的定义将地理位置不同、且具有独立功能的多个计算机系统，通过通信设备和线路相互联接起来，并配以功能完善的网络软件，实现网络上资源共享的系统，称为计算机网络系统。更为简洁的定义是：计算机网络是互联的自主计算机系统的集合。二、了解计算机网络的分类计算机网络可以按照网络规划大小和通信距离可分为广域网(其作用范围通常为几十到几千公里)、城域网(其作用范围通常为5到50公里，如一个城市)、局域网(其作用范围通常在几公里以内，如一幢办公楼等)三大类；按网络拓扑结构可分为：集中式网络、分散式网络以及分布式网络三类；按使用范围分为公用网和专用网；按通信方式可分为基带网络和宽带网络；按传输介质可分为有线网络和无线网络等。三、了解计算机网络的一般结构

计算机网络的一般结构如图3-1所示。从逻辑功能上看，一个计算机网络由通信子网和资源子网两部分组成：资源子网----负责网络数据处理，由主机、终端及有关软件组成；通信子网----负责网络通信，由节点交换机、集中器、网络连接器和通信线路等组成。图3-1计算机网络的一般结构四、认识计算机网络拓扑结构计算机网络的拓扑结构是指网络结点和通信线路组成的几何排列，也称网络物理结构图形。它指的是网络节点与节点间连线的几何布置，它定义了各节点之间的物理位置和逻辑位置。常见的计算机网络拓扑结构如图3-2所示。1.星型结构2.环型结构3.网状结构4.总线型结构5.树型结构6.混合型结构任务二认识Internet技术【案例点击3-1】Internet的来历

因特网是Internet的中文译名，它的前身是美国国防部高级研究计划局（ARPA）主持研制的ARPAnet。20世纪60年代末，正处于冷战时期。当时美国军方为了自己的计算机网络在受到袭击时，即使部分网络被摧毁，其余部分仍能保持通信联系，便由美国国防部的高级研究计划局（ARPA）建设了一个军用网，叫做“阿帕网”（ARPAnet）。阿帕网于1969年正式启用，当时仅连接了4台计算机，供科学家们进行计算机联网实验用。这就是因特网的前身。到70年代，ARPAnet已经有了好几十个计算机网络，但是每个网络只能在网络内部的计算机之间互联通信，不同计算机网络之间仍然不能互通。为此，ARPA又设立了新的研究项目，支持学术界和工业界进行有关的研究。研究的主要内容就是想用一种新的方法将不同的计算机局域网互联，形成“互联网”。研究人员称之为“internetwork”，简称“Internet”。这个名词就一直沿用到现在。近十年来，随着社会科技，文化和经济的发展，特别是计算机网络技术和通信技术的大发展，随着人类社会从工业社会向信息社会过渡的趋势越来越明显，人们对信息的意识，对开发和使用信息资源的重视越来越加强，这些都强烈刺激了ARPAnet和NSFnet的发展，使联入这两个网络的主机和用户数目急剧增加，今天的Internet应用按从事的业务分类包括了广告公司，航空公司，农业生产公司，艺术，导航设备，书店，化工，通信，计算机，咨询，娱乐，财贸，各类商店，旅馆等等100多类，覆盖了社会生活的方方面面，构成了一个信息社会的缩影。今天，Internet已连接60,000多个网络，正式连接86个国家，电子信箱能通达150多个国家，有480多万台主机通过它连接在一起，用户有2500多万，每天的信息流量达到万亿比特(terrabyte)以上，每月的电子信件突破10亿封。同时，Internet的应用业渗透到了各个领域，从学术研究到股票交易、从学校教育到娱乐游戏、从联机信息检索到在线居家购物等，都有长足的进步。问题：试思考Internet的迅速发展给电子商务带来什么影响？【案例点击3-2】Internet的应用现状一、了解Internet的产生和发展

1、Internet的起源Internet的第一次快速发展Internet的第二次飞跃Internet的第二次飞跃Internet的完全商业化二、理解TCP/IP协议Internet采用的网络协议为TCP／IP（TransferControlProtocol/InternetProtocol），即传输控制协议／网间互联协议。该协议的主要目标就是使分散在Internet上的无数子网可以方便地进行相互通信。TCP/IP是用于计算机通信的一组协议，除了TCP和IP两个协议之外，TCP／IP还包括工具性协议、管理协议和应用协议等其它协议。二、理解TCP/IP协议TCP/IP是Internet网络协议集的总称，含有上百个协议，TCP和IP是这个集合中最基本、也是最重要的两个协议，即传输控制协议和网间协议。习惯于把TCP/IP协议集称为TCP/IP。TCP协议向网络应用程序提供基本的通信连接等服务，IP协议负责为互联的网络及计算机提供通信等服务。1.网间协议IPIP协议是TCP/IP的核心，IP详细地定义了计算机通信应该遵循的具体细节。IP定义了分组如何构成，以及路由器如何将一个分组递交到目的地。IP主要功能包括如下：1)定义IP数据包2)确定网间寻址方案3)管理Internet中的地址4)为IP数据包执行路由选择功能5)必要时对数据包分片与重组6)在数据链路层与传输层之间传送数据二、理解TCP/IP协议2.传输控制协议TCPIP提供了将分组从源地址传送到目的地址的方法，但IP没有解决诸如数据包丢失或误投递的问题；TCP是一种可靠传输服务，它解决了IP没有解决的问题，二者的结合，提供了一种在Internet上可靠数据传输的方法。TCP协议的主要功能包括：1)可靠的分组交换2)实现应用程序之间的连接3)安全、可靠4）兼容多种数据流格式三、掌握IP地址分类和了解域名解析

1.IP地址IP地址是标识Internet上所有计算机的唯一标志。IP地址是由四组八位的二进制来表示，中间用“.”隔开。为表示方便，每组的8位二进制数都用一个十进制数表示，因此常用4组十进制数表示IP地址，每组十进制数的取值范围都是0--255(即二进制的00000000--11111111)。例如01就是一个IP地址的表示方法。在实际使用中，IP地址码分配是分级进行的，IANA(InternetAsSignedNumberaAuthority)是负责全球Internet上TP地址分配的机构。中国互联网信息中心(CNNIC)负责我国IP地址的分配。IP地址分为A、B、C三类。在A类地址中，第一组的取值范围为1到126，代表网络号，后三组标识主机号。对A类地址而言，只能有126个大的0主要网络，其中之一就是ARPA网。B类地址是为大型商业或组织的网络系统设计的。在B类地址中，前两组用于标识网络号，因此凡在128.1到191.254(0，255以及127.1--127.254经常保留用于某些有特定目的的系统)范围内的地址都是有效的B类地址。例如，清华大学WWW网站的IP地址为，这就是一个B类地址。其中166.111是清华大学的网络号，9.2标识这个网络中的一个主机地址。在这个网络中，最多可以有64516个拥有独立IP地址的主机。C类地址使用前三组来标识网络号，地址范围从192.1.1到223.254.254。在C类地址中，一个网中最多可有254个主机，但可以给一个组织分配多个网络号。我国的大部分企业使用的都是C类地址。2.域名IP地址由数字构成，难以记忆，也难以理解。因此，在实际使用中通常采用域名来标识一个主机，一个IP地址对应一个域名，TCP/IP的名字管理机制称为域名系统(DomainNameSystem，DNS)，这是一个层次型的结构。例如这个名字可标识一台主机，其中cn标识中国，edu表示教育机构，ruc表示人民大学，www表示这台主机是一台WWW服务器。由后向前，所表示的范围越来越小。一个完整的域名由两个或两个以上的部分组成，各部分之间以英文句号“.”隔开，从右往左依次称为一级域名（也称顶级域名）、二级域名、三级域名、四级域名。顶级域名由ICANN定义，分为通用顶级域名、国家/地区顶级域名、国际顶级域名三种。国际顶级域名适用于国际组织，以int为其域名，如国际警察组织域名地址：。国家/地区顶级域名根据网络所属国别划分，用国家/地区的两个字母缩写来表示，目前有超过240个国家/地区顶级域名，常见的国家/地区顶级域名如表3-1所示。通用顶级域名按网络类别划分，常见的通用顶级域名如表3-2所示。三、掌握IP地址分类和了解域名解析

三、掌握IP地址分类和了解域名解析

域名国家/地区域名国家/地区域名国家/地区域名国家/地区ar阿根廷Cn中国It意大利Eg埃及Au澳大利亚Hk香港jp日本Gr希腊Br巴西In印度Fr法国Nl荷兰ca加拿大ie爱尔兰de德国tw台湾域名含义com商业组织edu教育机构gov政府部门mil军事部门net主要网络支持中心org非盈利性组织表3-1常见国家/地区顶级域名表3-2常见通用顶级域名域名含义Bit用来替代com，适用于商业组织Info用来替代com，适用于提供信息服务的企业Name专用于个人的顶级域名Pro专用于医生、律师、会计师等专业人士顶级域名Coop专用于商业合作社的顶级域名aero专用于航空运输业的顶级域名museum专用于博物馆的顶级域名表3-3新增加的通用顶级域名3.域名解析域名解析即域名和IP地址之间的映射，包括正向解析(从域名到地址)以及逆向解析(从地址到域名)。这种映射是由一组名字服务器完成的。名字服务器实际上是一个服务器软件，运行在指定的机器上，完成名字--地址映射。通常我们把运行名字服务软件的机器叫做域名服务器(也称DNS)。相应地，请求域名解析服务的软件叫名字解析器(nameresolver)。在TCP/IP域名系统中，一个名字解析器可以利用一个或多个域名服务器进行名字映射。与域名系统相同，域名服务器也是层次型的。一个域名服务器一般只包括本网络内的名字和下一层的域名服务器，而其他网络的域名则交由上一层服务器处理。三、掌握IP地址分类和了解域名解析

一、Intranet

1、Intranet的产生

Intranet实质上是一种基于Web或Internet技术的分布式对象技术的应用，是Internet技术应用于企业内部网的一个成功典范。2、Intranet的定义（1）一般意义上的理解：

Intranet是基于Internet技术的内部网，是Internet技术在LAN和WAN上的应用。换言之，Intranet是将Internet的概念与技术应用到企业内部信息管理和交换业务中，形成的企业内部网络。（2）Intranet的基本思想：

在内部网上采用TCP/IP作为标准协议，利用Internet和Web的概念与技术作为标准平台，通过防火墙将内部网和Internet隔开。是Internet技术和概念在企业内部网络信息系统中的应用与延伸。任务三Intranet、Extranet和VPN

一、Intranet3、Intranet在信息系统中的地位

Intranet是继承了Internet的TCP/IP、WWW、FTP、Telnet等技术与概念的内部网络结构。Intranet为传统的MIS提供了更为先进的系统架构。基于Intranet的MIS系统可以在不改变原有MIS的功能和前提下，增加许多信息交流、发布以及Intranet的网络服务功能。一、Intranet4、Intranet的应用模型（基本结构）

Intranet应用模型是在传统的C/S模型上发展而来的，被称为B/W/D(Browser/WebServer/DataServer)三层模型。（1）C/S与B/W/D的区别

传统的C/S模型是一个二层结构的松散耦合系统，通过消息传递机制将客户端发出的请求传给服务器，服务器进行相应处理后将结果送回客户端。

B/W/D则将C/S中的服务器（S）进一步分解为一个W（WebServer）和多个D（DataServer），而在客户机（C）上则通过B（Browser）来存取和显示服务器端的数据一、Intranet4、Intranet的应用模型（基本结构）（2）B/W/D三层结构各自的作用①第一层（浏览器）：为表示层，主要完成用户接口的功能。这时客户端的作用只是接收信息并用浏览器显示出来。②第二层（Web服务器）：为功能层。主要用来完成客户请求的应用功能。Web服务器收到客户请求后，需要执行相关的程序（如CGI、ASP等），以便与第三层的数据库连接并进行数据处理。并将处理结果传回客户端。③第三层（数据库服务器）：主要完成大量数据的存储、加工和管理功能。一、Intranet4、Intranet的应用模型（基本结构）（3）Intranet三层模型的特点

B/W/D的各层都有较强的独立性。因此在系统软、硬件环境发生变化时，比C/S的二层模型有更强的适应能力，即具有更强的可伸缩性。5、Intranet的基本结构LANInternet数据库服务器内部路由器Web服务器电子邮件服务器LAN内部Web服务器防火墙返回本节一、Intranet6、Intranet的主要特点

①企业内部使用，对用户有严格的权限控制，并通过防火墙等安全机制保护内部信息资源。②大量的信息存放在多个数据库中。Intranet的页面是动态的，能够实时反映随时更新的数据库的内容。③网络拓扑结构上采用传统的构网理论，技术上则以Internet的TCP/IP协议和Web技术为基础。

一、Intranet6、Intranet的主要特点④采用统一、图形化的用户界面，用户使用浏览器即可完成所有应用。⑤通过数据库接口工具，原有的各种数据库一般都可以利用。⑥具有强大的远程管理、信息共享功能。⑦是小型化的Web，通过它可向外界发布企业的各种信息⑧Intranet内部的传输速度比Internet快得多（10M～1000M）一、Intranet7、Intranet技术的优点

和传统的两层C/S模式相比，Intranet技术的优点主要有：

（1）Intranet的B/W/D三层结构优于传统的两层C/S结构。只需开发和维护服务器端应用程序（无需开发客户端程序），而且开发相对简单。用户界面统一和简化（均为浏览器），系统维护成本降低。（2）Intranet易于设置、使用和管理，系统可维护性提高、安全性好。（3）Intranet的可伸缩性、扩展性均优于目前两层的C/S系统。（4）Web浏览器对所有的应用提供一个公共的用户接口，而C/S系统对不同的应用有不同的用户接口。（5）Web浏览器适用于各种操作系统平台，而C/S系统需要对不同平台建立不同的应用。（6）Intranet使用更加灵活。系统各层保持相对独立，当某层需要作出改变时，其它各层不受影响。使系统的改进、升级变得十分灵活。

一、Intranet8、Intranet技术的缺点（1）Intranet提供协作应用的功能可能没有传统群件的功能强大（如Intranet目前还中不包括内置的为远程用户提供的数据复制或目录服务功能）。（2）较少的后端集成。在Intranet中，需要建立并维护几种分散的应用（如电子邮件和Web服务器等），而不像群件那样是一个整体。总的说来，Intranet的优点远远超过了它的不足，而且有些不足可以通过一些技术上的改进进行弥补。但它所带来的不仅是具体技术上的改变，而且是对企业信息系统思路、方法和规范的改变。一、Intranet9、Intranet的信息服务功能企业一旦建立了自己的Intranet，就可以用来发布企业信息、增强通信能力、建立良好的合作环境、开展协同工作。具体来说，可以提供以下信息服务：（1）信息发布（2）资源共享（3）交互式通信（4）支持对Internet的访问（5）电子交易（6）管理信息系统返回本节一、Intranet二、Extranet1、Extranet的概念

Extranet（企业外部网或外联网）是指一个可为外部相关用户提供选择性服务的Intranet。Extranet将Intranet扩展到内部网之外，使得可以完成一些合作性的商务应用。对于Internet在企业业务中的应用，可按照对内和对外分成Intranet和Extranet。Extranet是将Internet构建技术应用于企业之间的系统，它使企业与其它客户、其它企业相连来完成其共同目标并组成交互合作网络。通常向一些主要贸易伙伴（还包括合作对象、供应商、消费者和客户等）添加外部链接来扩充Intranet。三、VPN

一般来说，VPN就是指利用公共网络，如公共分组交换网、帧中继网、ISDN或Internet等的一部分来发送专用信息，形成逻辑上的专用网络。VPN实际上就是二种服务，用户感觉好像直接和他们的个人网络相连，但实际上是通过服务商来实现连接的.三、VPNVPN可以为企业和服务提供商带来以下益处：采用远程访问的公司提前支付了购买和支持整个企业远程访问基础结构的全部费用；公司能利用无处不在的Internet通过单一网络结构为职员和商业伙伴提供无缝和安全的连接；对于企业，基于拨号VPN的Extranet能加强与用户、商业伙伴和供应商的联系；电话公司通过开展拨号VPN服务可以减轻终端阻塞；通过为公司提供安全的外界远程访问服务，ISP能增加收人；通过Extranet分层和相关竞争服务，TSP也可以提供不同的拨号VPN。返回本节一、理解EDI的含义和特点2、EDI的特点EDI经过30多年的发展与完善，作为一种全球性的电子化贸易/工具，具有以下几个显著的特点：（1）单证格式化EDI所传送的资料是贸易活动中的格式化数据，如发票、订单等，它们都具有固定的格式与行业通用性。而不是指一般性的通知，如信件、公函等非格式化的文件。（2）报文标准化EDI的使用对象是不同的组织之间，EDI传输的企业间的报文，是企业间信息交流的一种方式；EDI传输的报文是格式化的，是符合国际标准的，这是计算机能够自动处理报文的基本前提。目前最为广泛使用的EDI标准是UN/EDIFACT和ANSIX.12。（3）处理自动化数据传输由收发双方的计算机系统直接传送、交换资料，不需要人工介入操作。（4）运作规范化EDI报文是目前商业化应用中最成熟、最有效、最规范的电子凭证之一，EDI单证报文具有的法律效力已被普遍接受。任何一个成熟的EDI系统，都有相应的规范化环境作为基础，如上海华联超市集团EDI系统都有其相应的协议、管理法规与相应的配套措施。（1）映射—生成平面文件（2）翻译──生成EDI标准格式文件（3）通信（4）EDI文件的接收二、掌握EDI的工作过程三、理解EDI系统的构成要素

一个EDI系统由EDI标准、EDI软件及硬件和通信网络三要素组成l)EDI标准2)EDI软件及硬件EDI软件的构成包括转换软件、翻译软件和通信软件。转换软件：帮助用户将原有计算机系统的文件转换成翻译软件能够理解的平面文件，或者将翻译软件接收来的平面文件转换成原计算机系统中的文件。翻译软件：将平面文件翻译成EDI标准格式，或将接收到的EDI标准格式翻译成平面文件。在EDI交易中，不必要求所有的企业都使用相同的应用程序来读取收到或发出的信息。使用一些翻译软件，某一种应用程序格式中的特殊字段能够转换成一种通用格式，然后再转换成接受方的应用程序格式。通信软件：将EDI标准格式的文件外层加上通信信封，再送到EDI系统交换中心的邮箱，或从EDI系统交换中心将接收到的文件取回。（3）硬件和通信网络EDI所需的硬件设备大致有计算机、通信设备及通信线路。1．EDI的分类按照EDI的功能，可分为4类：（1）订货信息系统（2）电子金融汇兑系统（3）交互式应答系统（4）图形资料自动传输的EDI四、认识EDI的分类及应用2．EDI的应用范围国际贸易EDI系统结构四、认识EDI的分类及应用五、了解EDI标准

1．什么是EDI标准EDI标准是国际上制定的一种用于在电子函件中书写商务报文的规范和国际标准。

2．UN/EDIFACT标准的组成UN/EDIFACT标准包括了EDI标准的三要素——数据元、数据段和标准报文格式，包括以下9个部分：

（1）应用语法规则（ISO9735）（2）语法应用指南（3）报文设计指南（4）数据元目录（EDED）（5）复合数据元目录（EDCD）

（6）代码表（EDCL）（7）段目录（EDSD）（8）标准报文格式（UNSM）（9）贸易数据交换格式构成总览（UNCID）五、了解EDI标准 3．标准报文格式（1）标准报文的结构（用图描述）（2）标准报文举例（图示）

五、了解EDI标准 UN/EDIFACT标准报文的结构五、了解EDI标准 商业发票五、了解EDI标准 商业发票的EDI标准报文五、了解EDI标准 商业发票的EDI标准报文（续）五、了解EDI标准

项目四电子商务的安全技术任务项目编号任务名称要求相关知识任务一认识电子商务信息安全技术了解电子商务的安全隐患理解上电子商务安全存在问题1.电子商务信息安全重要性2.电子商务安全存在的问题任务二电子商务所涉的安全技术理解加密技术掌握认证技术了解防火墙技术1.对称加密和非对称加密技术2、安全认证技术3、防火墙技术任务三了解电子商务安全协议了解安全套接层（SSL）协议了解电子交易（SET）协议了解SSL与SET的比较1.SSL协议2.SET协议3.SSL和SET协议的比较分析任务一认识电子商务信息安全技术

一、了解电子商务的安全隐患Internet的安全隐患主要表现在以下几个方面。1)开放性2)传输协议3)操作系统4)信息电子化二、Internet上进行电子商务存在的问题1)信息泄露2)篡改3)身份识别4)隐私5)信息破坏二、Internet上进行电子商务存在的问题任务二电子商务所涉的安全技术一、加密技术所谓信息加密技术，就是采用数学方法对原始信息(通常称为“明文”)进行再组织，使得加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字(加密后的信息通常称为“密文”)。而对于合法的接收者，因为其掌握正确的密钥，可以通过解密过程得到原始数据(即“明文”)。由此可见，在加密和解密的过程中，都要涉及信息、算法和密钥这三项内容。信息包括明文和密文。算法是加密或解密的过程采用的数学方法，包括加密算法和解密算法。密钥是在加密或解密的过程中需要的一串数字，包括加密密钥和解密密钥。下面我们通过一个例子来理解加密、解密、算法和密钥的概念。一条信息的加密传递过程如图4-2所示。一、加密技术1．对称密钥加密(SecretKeyEncryption)对称密钥加密也叫专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。对称密钥加密存在着以下问题。密钥使用一段时间后就要更换，加密方需经过某种秘密渠道把密钥传给解密方，而密钥在此过程中可能会泄漏；网络通信时，如果网内用户都使用相同的密钥，就失去了保密的意义；但如果网内任意两个用户通信都使用互不相同的密钥，密钥量太大，难于管理。无法满足互不相识的人进行私人谈话的保密性需求。难以解决数字签名验证的问题。2．非对称密钥加密(PublicKeyEncryption)非对称密钥加密也叫公开密钥加密，由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥：公开密钥(简称：公钥)和私人密钥(简称：私钥)，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。一、加密技术非对称密钥加密具有以下优点。1)密钥分配简单。2)密钥的保存量少。3)可以满足互不相识的人之间进行私人谈话时的保密性需求。4)可以完成数字签名和数字鉴别。3.信息摘要密钥加密技术只能解决信息的保密性问题，对于信息的完整性则可以用信息摘要技术来保证。信息摘要(Messagedigest)又称Hash算法，是RonRivest发明的一种单向加密算法，其加密结果是不能解密的。所谓信息摘要是指从原文中通过Hash算法而得到的一个有固定长度(128位)的散列值，不同的原文所产生的信息摘要必不相同，相同原文产生的信息摘要必定相同，因此信息摘要类似于人类的“指纹”，可以通过“指纹”去鉴别原文的真伪。一、加密技术1）对原文使用Hash算法得到信息摘要；2）将信息摘要与原文一起发送；3）接收方对接收到的原文应用Hash算法产生一个摘要；4）用接收方产生的摘要与发送方发来的摘要进行对比，若两者相同则表明原文在传输过程中没有被修改，否则就说明原文被修改过。一、加密技术4、数字签名(Digitalsignature)是密钥加密和信息摘要相结合的技术，用于保证信息的完整性和不可否认性。发送者用自己的私钥对信息摘要加密；发送者将加密后的信息摘要与原文一起发送；接收者用发送者的公钥对收到的加密摘要进行解密；接收者对收到的原文用Hash算法得到接收万的信息摘要；将解密后的摘要与接收万摘要进行对比，相同说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送者发送。一、加密技术1.数字证书1)数字证书的定义所谓数字证书(DigitalCertifiration)，就是指利用电子信息技术手段来确认、鉴定、认证Internet上信息交流参与者的身份或服务器的身份，是一个担保个人、计算机系统或者组织(企业或政府部门)的身份，并发布加密算法类别、公开密钥及其所有权的电子文档。可以说，数字证书是模拟传统证书如个人身份证、企业营业证书等的特殊数字信息文档，图为世界著名专业认证中心VeriSign的网络服务器证书。客户的数字证书证实该客户拥有一个特别的公开密钥，服务器证书证实某一特定的公开密钥属于这个服务器。二、掌握认证技术数字证书的工作原理，就是信息接收方在网上收到发送方发来的业务信息的同时，还收到发送方的数字证书，这时通过对其数字证书的验证，可以确认发送方的真实身份。在发送方与接收方交换数字证书的同时，双方都得到了对方的公开密钥，由于公开密钥是包含在数字证书中的，而且借助证书上数字摘要(缩略图)的验证，可以确信收到的公开密钥肯定是对方的。借助这个公开密钥，双方就可以完成数据传送中的加解密工作。数字证书由发证机构即数字证书认证中心来发行。这些机构负责在发行数字证书之前证实个人或组织身份和密钥所有权。一般情况下，证书需要由社会上公认的公正的第三方的可靠组织发行，如果由于它签发的证书造成不恰当的信任关系，该组织就需要承担责任。二、掌握认证技术2）数字证书的内容数字证书的具体内容格式遵循目前国际流行的ITU-Trec.X.509标准，其内容主要由以下两部分组成：(1)数字证书的数据组成版本信息(Version)：用来区分X.509证书格式的版本；证书序列号(SerialNumber)：每一个由认证中心发行的数字证书必须有一个唯一的序列号用于识别该证书；认证中心使用的签名算法(AlgorithmIdentifier)：认证中心的数字摘要与公开密钥加密体制算法；证书颁发者信息(IssuerUniqueIdentifier)：颁发此证书的认证中心信息；有效使用期限(PeriodofValidity)：本证书的有效期，包括起始、结束日期；证书主题或使用者(SubjeCt)：证书与公钥的使用者的相关信息；公钥信息(PublicKeyInformation)：公开密钥加密体制的算法名称、公开密钥的位字符串表示(只适用于RSA加密体制)；其他额外的特别扩展信息：如增强型密钥用法信息、CRL分发点信息等。二、掌握认证技术(2)发行数字证书的认证中心签名与签名算法证书第二部分的内容包括发行证书的认证中心机构的数字签名和用来生成数字签名的签名算法。应用这个缩略图算法与缩略图数据，任何人收到这份数字证书后都能使用缩略图算法来验证数字证书是否是由该认证中心的签名密钥签署的，以保证证书的真实性与内容的真实性。3)数字证书的类型数字证书颁发机构如认证中心在检验确认了申请用户的身份后，向用户(政府部门、企业、个人等)颁发数字证书，数字证书中包括了上述的用户基本信息以及用户的公开密钥等重要信息，并由认证中心进行了数字签名，以保证是真实的。数字证书主要有个人数字证书与服务器数字证书等类型。目前网络上各种业务活动很多，数字证书几乎应用在所有的网上业务领域，应用面很广。这与网络业务越来越普及、越来越被人们接受相关，而数字证书是保证这些网络业务安全可靠进行的重要手段。例如，安全电子交易协议、电子邮件安全协议都是以数字证书为技术支持基础的。具体到电子商务中，安全是第一位的，数字证书在保证电子商务安全中是不可缺少和不可替代的，像信用卡、电子支票、网络银行等这些网络支付方式的安全应用都需要数字证书的参与。二、掌握认证技术4)数字证书的有效性与使用严格来讲，只有下列条件都成立时，数字证书才是有效的：(1)证书没有过期。所有的证书都有一个期限，可以通过检查证书的期限来决定证书是否有效。(2)密钥没有被修改。如果密钥被修改，就不应该再继续使用，密钥对应的证书就应被视为无效，这可通过证书上的缩略图及其算法检验来识别。(3)有可信任的相应的颁发机构认证中心及时管理与回收无效证书，并发行无效证书清单。有效的数字证书在使用前都需要经过认证的过程，即当数字证书颁发机构要颁发的数字证书传送给某人或某站点时，将上面相关内容信息用自己的私人密钥加密，接收者就能用证书里的公钥来证实颁发机构的真实身份，以判断证书的有效性。二、掌握认证技术2.认证中心1)认证中心的定义所谓认证中心(CertificationAuthority，简称CA)，是基于Internet平台建立的一个公正的、有权威性的、独立的(第三方的)、广受信赖的组织机构，负责数字证书的发行、管理以及认证服务，以保证网上业务安全可靠地进行。2)认证中心的技术基础认证中心的技术基础是PKI体系。所谓PKI(PublicKeyInfrastructure)体系，中文翻译为“公开密钥体系”或“公开密钥基础”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用服务提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。简单地说，PKI就是利用公共密钥理论和技术建立的提供网络安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务交易与网络支付的关键和基础技术。PKI的基础技术应该包括加密、数字签名、数字摘要、数字信封、双重数字签名等。一个完整的PKI系统的基本构成包括具有权威的认证中心、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等。认证中心认证数字证书采用的是一种树形验证结构。在两方通信时，通过出示由某个认证中心签发的证书来证明自己的身份，如果对签发证书的认证中心本身不信任，则可验证认证中心的真实身份，依次类推，一直到公认的权威认证中心处，就可确信证书的有效性。SET安全交易协议中商务各方的数字证书正是通过这种信任层次来逐级验证的。每一个证书均与数字化签发证书的实体的签名证书关联。沿着信任树一直到一个公认的信任组织，就可确认该证书是有效的。例如，C的证书是由名称为B的认证中心签发的，而B的证书又是由名称为A的认证中少签发的，A是权威的机构，通常称为ROOt认证中心。验证到了Root认证中心处，就可确信C的证书是合法的。二、掌握认证技术3)认证中心的主要功能(1)生成密钥对及认证中心证书；(2)验证申请人身份；(3)颁发数字证书；(4)证书以及持有者身份在线认证查询；(5)证书管理及更新；(6)吊销证书；(7)制定相关政策；(8)有能力保护证书服务器的安全。4)国内外主要认证中心机构二、掌握认证技术1.基本概念防火墙主要用于实现网络路由的安全体。网络路由的安全性包括两个方面：(1)限制外部网对内部网的访问，从而保护内部网特定资源免受非法侵犯；(2)限制内部网对外部网的访问，主要是针对一些不健康信息及敏感信息的访问。所谓防火墙，就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法人侵。防火墙技术已成为实现网络安全策略的最有效的工具之一，并被广泛地应用到Internet上。2.防火墙的优点1)保护易受攻击的服务2)控制对特殊站点的访问3)集中化的安全管理4）对网络访问进行记录和统计三、了解防火墙技术3．防火墙的安全控制模型为网络建立防火墙，首先需决定此防火墙将采取何种安全控制模型。通常有两种模型可供选择：(1)没有被列为允许访问的服务都是被禁止的；(2)没有被列为禁止访问的服务都是被允许的。如果防火墙采取第一种安全控制模型，那么，需要确定所有可以被提供的服务以及它们的安全特性，然后，开放这些服务，并将所有其他未被列人的服务排除在外，禁止访问。如果防火墙采取第二种模型，则正好相反，需要确定那些被认为是不安全的服务，禁止其访问；而其他服务则被认为是安全的，允许访问。总之，从安全性角度考虑，第一种模型更可取一些。因为我们一般很难找出网络所有的漏洞，从而也就很难排除所有的非法服务。而从灵活性和使用方便性的角度考虑，则第二种模型更合适。三、了解防火墙技术4．防火墙的分类1）包过滤防火墙包过滤防火墙是最简单的防火墙，通常只包括对源和目的IP地址及端口的检查。其工作原理如图

三、了解防火墙技术2）代理服务型防火墙代理服务型防火墙使用一个客户程序与特定的中间结点(防火墙)连接，然后中间结点与服务器进行实际连接，如图三、了解防火墙技术3）复合型防火墙这种防火墙是把前两类防火墙结合起来，形成新的产品，以发挥各自的优势，克服各自的缺点，来满足更高安全性的要求。一、了解安全套接层（SSL）协议1、SSL协议简介SSL(Securesocketlayer)协议中文翻译为“安全套接层协议”，是提供在Internet上的安全通信服务，也是目前包括网络支付在内的电子商务业务中广泛应用的安全通信协议。SSL协议的优势在于它是与应用层协议独立无关的，上述高层的应用层协议能“透明”地建立于SSL协议之上，也就是说，SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。总体上说，SSL结合私有密钥加密法、公开密钥加密法以及数字摘要技术等，提供了以下三种基本的安全服务：(1)机密性。SST客户机和服务器之间通过私有密钥加密算法和私有密钥产生交换，建立起一个安全通道。以后在安全通道中传输的所有信息都经过加密处理，网络中的非法窃听者所获取的信息都将是无意义的密文信息。(2)完整性。SSL利用密钥算法和Hash函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内容受到破坏。(3)认证性。利用数字证书技术和可信的第三方认证中心，可以让客户机和服务器相互识别对方的身份(客户机身份识别可选)。为了验证数字证书持有者是其合法用户(而不是冒名用户)，SSL协议要求证书持有者在握手时双方通过相互交换数字证书来验证和保证对方身份的合法性。任务三了解电子商务安全协议2、SSL协议与方及应用系统框架SSL协议便宜且开发成本小，应用简洁方便，由于综合运用了私有与公开密钥加密法等措施因此安全性也不错，另外速度上也比较快，这也是SSL协议在信用卡的安全网络支付、网络银行支付转账等方面应用非常普及的原因。以基于SSL协议的信用卡网络支付为例，其应用框架如图。一、了解安全套接层（SSL）协议3、SSL协议的特点与应用SSL协议综合用到了私有密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段，并且，目前几乎所有操作平台上的Web浏览器(IE、Navigator)以及流行的Web服务器(IIS、NetscapeEnterpriseServer等)都支持SSL协议。这使得使用SSL协议既便宜，开发成本也很小，应用简单(无需客户端专门软件)，且安全性能相当不错。因此，国内外非常普及的信用卡网络支付、网络银行服务