【正文】 (8) 用發(fā)送方公鑰 (置于發(fā)送方的認(rèn)證證書中 )解密數(shù)字簽字 ，得到報(bào)文摘要 。 買家利用 （ 2） 對(duì)雙重?cái)?shù)字摘要加密生成雙重?cái)?shù)字簽名，將 （ 3） 、 （ 4） 和 （ 5） 發(fā)送給商家，商家收到信息后，將接收到的雙重?cái)?shù)字簽名利用 （ 6） 解密，再利用同樣的哈希算法將 （ 7） 生成新的訂貨信息摘要，再將新的訂貨信息摘要與 （ 8） 生成新的雙重?cái)?shù)字摘要，并與買家發(fā)送的雙重?cái)?shù)字摘要比較，以確保信息的完整性和真實(shí)性。用戶對(duì)支持信息加密，提交訂單。 《電子簽名法》、《網(wǎng)上采購法》、《網(wǎng)上申報(bào)程序法》、《電子認(rèn)證法》、《電子預(yù)算和會(huì)計(jì)法》、《電子文書法》等。 2．保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的法律法規(guī) （ 1）加強(qiáng)國(guó)際互聯(lián)網(wǎng)出入信道的管理 （ 2）市場(chǎng)準(zhǔn)入制度 （ 3）安全責(zé)任 國(guó)內(nèi)電子商務(wù)立法 真正意義上的電子商務(wù)法律 2023年最高法院發(fā)布了關(guān)于網(wǎng)上域名糾紛與網(wǎng)上著作權(quán)糾紛的兩個(gè)司法解釋。 國(guó)際商會(huì)于 1997年 11月發(fā)布了《國(guó)際數(shù)字化安全商務(wù)指南》 1998年 10月，經(jīng)濟(jì)合作組織（ OECD）在 1997年 10月公布了 3個(gè)重要文件：《 OECD電子商務(wù)行動(dòng)計(jì)劃》、《有關(guān)國(guó)際組織和地區(qū)組織的報(bào)告：電子商務(wù)的活動(dòng)和計(jì)劃》、《工商界全球商務(wù)行動(dòng)計(jì)劃》。 安全法規(guī) ? 交易主體的身份認(rèn)證及市場(chǎng)準(zhǔn)入問題 ? 電子合同問題 ? 電子商務(wù)產(chǎn)品交付的特殊問題 ? 網(wǎng)上電子支付 ? 在線不正當(dāng)競(jìng)爭(zhēng)與市場(chǎng)監(jiān)管 ? 在線消費(fèi)者權(quán)益保護(hù)問題 ? 網(wǎng)上個(gè)人隱私保護(hù)問題 ? 網(wǎng)上稅收問題 ? 在線交易管轄問題 國(guó)際組織電子商務(wù)立法 1．聯(lián)合國(guó)電子商務(wù)示范法 《電子商務(wù)示范法》在 1996年制定， 1998年作了一次修訂。 ? 單硬盤物理隔離卡是通過把用戶的一個(gè)硬盤分成兩個(gè)區(qū)，一個(gè)為公共硬盤 /區(qū)（外網(wǎng)），另一個(gè)為安全硬盤 /區(qū)（內(nèi)網(wǎng)），通過公共區(qū)聯(lián)接外部網(wǎng)，主機(jī)只能使用硬盤的公共區(qū)與外部網(wǎng)連接，而此時(shí)與內(nèi)部網(wǎng)是斷開的，且硬盤安全區(qū)也是被封閉的。 ?揚(yáng)聲器發(fā)出異常的聲音 。 病毒防護(hù) 指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 病毒防護(hù) 系統(tǒng)病毒 :感染 windows操作系統(tǒng)的 *.exe 和 *.dll文件 蠕蟲病毒 :通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性 木馬病毒 腳本病毒 :使用腳本語言編寫，通過網(wǎng)頁進(jìn)行的傳播的病毒 宏病毒 :讓計(jì)算機(jī)感染傳統(tǒng)型的病毒。 基于免疫的檢測(cè) ? 基于免疫的檢測(cè)技術(shù)是運(yùn)用自然免疫系統(tǒng)的某些特性到網(wǎng)絡(luò)安全系統(tǒng)中，使整個(gè)系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性、可擴(kuò)展性。 ? 它能夠很好地處理原始數(shù)據(jù)的隨機(jī)特性，缺點(diǎn)是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)值很難確定，命令窗口的 W大小也很難選取。這樣，我們就能夠檢測(cè)出非法的入侵行為甚至是通過未知攻擊方法進(jìn)行的入侵行為，此外不屬于入侵的異常用戶行為（濫用自己的權(quán)限）也能夠被檢測(cè)到。 3．入侵事件響應(yīng) 事件響應(yīng)模塊的作用在于報(bào)警與反應(yīng)，響應(yīng)方式分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。 V P N 服 務(wù) 器總 部 L A N因 特 網(wǎng)加 密 信 道防 火 墻公 共 服 務(wù) 器防 火 墻V P N 服 務(wù) 器合 作 伙 伴 L A N入侵檢測(cè)技術(shù) 入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息，并對(duì)收集到的信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。 1） InterVPN（內(nèi)部網(wǎng) VPN） 。 不同的用戶有不同的訪問權(quán)限。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地，幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“ 鏈接”，由兩個(gè)終止代理服務(wù)器上的“ 鏈接”來實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用，并隱藏了內(nèi)部地址，提高了安全性 . 電路層網(wǎng)關(guān)型防火墻 內(nèi)部網(wǎng) FTP服務(wù)器 防火墻 Inter 路由器 防火墻 電路層網(wǎng)關(guān) TCP TCP IP IP NI NI 進(jìn) 出 虛擬專用網(wǎng)技術(shù) 虛擬專用網(wǎng)（ VPN）技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造專用網(wǎng)絡(luò)的技術(shù)。網(wǎng)關(guān)的中繼程序通過接入控制機(jī)構(gòu)來來回回地復(fù)制字節(jié)，起到內(nèi)外網(wǎng)間連線作用 包過濾防火墻 包過濾防火墻的工作原理 采用這種技術(shù)的防火墻產(chǎn)品，通過在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包進(jìn)行過濾，根據(jù)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的 TCP端口號(hào)和 TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò)，而將不合乎邏輯的數(shù)據(jù)包加以刪除。防火墻總體上是一種被動(dòng)式防護(hù)系統(tǒng)，不具備智能的自動(dòng)升級(jí)能力。 （ 2）凡是沒有被列為禁止訪問的服務(wù)都是被允許的。 (4) 交易的不可否認(rèn)性 :通過使用數(shù)字簽名 ， 可以防止交易中的一方抵賴已發(fā)生的交易 。 SET協(xié)議 1. SET概述 SET協(xié)議（ Secure Electronic Transaction，安全電子交易協(xié)議）是由 VISA和 MasterCard兩大信用卡公司于 1997年 5月聯(lián)合推出的規(guī)范。 SSL協(xié)議 5. SSL的交易過程 SSL協(xié)議 5. SSL的交易過程 ① 客戶購買的信息首先發(fā)往商家； ② 商家再將信息轉(zhuǎn)發(fā)銀行； ③④ 銀行驗(yàn)證客戶信息的合法性后 ， 再通知客戶和商家付款成功； ⑤ 商家再通知客戶購買成功 。 2. SSL協(xié)議的作用 SSL協(xié)議 3. SSL的實(shí)現(xiàn)過程 ? ① 接通階段：客戶機(jī)呼叫服務(wù)器 ， 服務(wù)器回應(yīng)客戶 。 以后在安全通道中傳輸?shù)乃行畔⒍冀?jīng)過了加密處理 。 認(rèn)證中心 1. 什么是認(rèn)證中心 認(rèn)證中心（ Certificate Authority,CA）是網(wǎng)上各方都信任的機(jī)構(gòu)，主要負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的身份認(rèn)證數(shù)字證書。同時(shí)這種傳統(tǒng)登錄機(jī)制的安全性也比較脆弱，容易遭到外界的攻擊破壞。 數(shù)字證書實(shí)質(zhì)上就是一系列密鑰，用于簽名和加密數(shù)字信息。 2）手寫簽名往往是與被簽文件物理上聯(lián)系在一起，只能同時(shí)發(fā)送，而數(shù)字簽名本身也是一個(gè)文件，因此它可以與被簽文件一起發(fā)送，也可以分別發(fā)送。 Hash函數(shù)公開，但不求逆 數(shù)字簽名機(jī)制 數(shù)字簽名機(jī)制的 目的 是使人們可以對(duì)數(shù)字文檔進(jìn)行簽名。先計(jì)算 Yd=6677=127? ；再除以 119，得余數(shù)為 19。 （ 2）密鑰的保存量少。 （ 4）難以進(jìn)行身份認(rèn)證。 Inter的安全隱患主要表現(xiàn)在以下幾個(gè)方面 ? 開放性 ? 傳輸協(xié)議 ? 操作系統(tǒng) ? 硬件問題 電子商務(wù)的安全威脅 ?計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅 （ 1）物理實(shí)體的安全 （ 2）自然災(zāi)害的威脅 （ 3）黑客的惡意攻擊 （ 4）軟件的漏洞和“后門” （ 5）網(wǎng)絡(luò)協(xié)議的安全漏洞 （ 6）計(jì)算機(jī)病毒的攻擊 ?商務(wù)交易的安全威脅 1）信息竊取 2）信息篡改 3）身份假冒 4）交易的否認(rèn) 電子商務(wù)的安全要求 ?保密性： 保持個(gè)人的、專用的和高度敏感數(shù)據(jù)的機(jī)密 ?認(rèn)證性： 可鑒別性，確認(rèn)通信雙方的合法身份 ?完整性： 保證所有存儲(chǔ)和管理的信息不被篡改 ?可訪問性： 保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法的人員訪問 ?防御性： 能夠阻擋不希望的信息和黑客 ?不可抵賴性： 防止通信或交易雙方對(duì)已進(jìn)行業(yè)務(wù)的否認(rèn) ?合法性： 保證各方面的業(yè)務(wù)符合可適用的法律和法規(guī) 電子商務(wù)的安全框架 加密技術(shù) 數(shù)據(jù)加密就是通過某種函數(shù)進(jìn)行變換，把正常的數(shù)據(jù)報(bào)文（稱為明文或明碼）轉(zhuǎn)換為密文（也稱密碼）。 （ 2）網(wǎng)絡(luò)通信時(shí)，如果網(wǎng)內(nèi)用戶都使用相同的密鑰，就失去了保密的意義。這樣就不必考慮如何安全地傳輸密鑰?，F(xiàn)在設(shè)明文為 X=19 ②用公鑰 PK=(5,119)加密。 認(rèn)證技術(shù) 身份認(rèn)證 :身份認(rèn)證主要用于鑒別用戶身份，其本質(zhì)是被認(rèn)證方的一些信息，除被認(rèn)證方自己外，任何第三方都不能偽造，且被認(rèn)證方能夠使認(rèn)證方相信他確實(shí)擁有那些秘密，則他的身份就得到了認(rèn)證。每個(gè)數(shù)字簽名都與一個(gè)文件相聯(lián)系，并且與該文件的內(nèi)容有內(nèi)在的聯(lián)系，只能應(yīng)用于這個(gè)文件，不能被截取下來用于其他文件。 DTS必須由專門的服務(wù)機(jī)構(gòu)來提供。 ?收件實(shí)體看到的信息確實(shí)是發(fā)件實(shí)體發(fā)送的信息 ， 其內(nèi)容未被篡改或替換 ，即信息真實(shí)完整性 。 認(rèn)證中心 1. 什么是認(rèn)證中心 電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認(rèn)證中心（ CA）簽發(fā)的數(shù)字證書，在交易的各個(gè)環(huán)節(jié)，交易的各方都需檢驗(yàn)對(duì)方數(shù)字證書的有效性，從而解決了用戶信任問題。 目前，典型的電子商務(wù)安全協(xié)議有： ?SSL（安全套接層）協(xié)議 ?SET（安全電子交易）協(xié)議 SSL協(xié)議 SSL協(xié)議（ Security Socket Layer， 安全套接層協(xié)議）是 Netscape公司提出的基于 Web應(yīng)用的安全協(xié)議，該協(xié)議向基于 TCP/IP的 C/S應(yīng)用程序提供了客戶端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施。 1. 協(xié)議簡(jiǎn)介 SSL協(xié)議 1. 協(xié)議簡(jiǎn)介 SSL協(xié)議 SSL協(xié)議的關(guān)鍵是要解決以下幾個(gè)問題： ?客戶對(duì)服務(wù)器的身份確認(rèn) ：允許客戶瀏覽器，使用標(biāo)準(zhǔn)的公鑰加密技術(shù)和一些可靠的認(rèn)證中心（ CA）的證書，來確認(rèn)服務(wù)器的合法性。 SSL協(xié)議 SSL協(xié)議 4. 雙向認(rèn)證 SSL協(xié)議的具體過程 雙向認(rèn)證 SSL協(xié)議的具體通訊過程，要求服務(wù)器和用戶雙方都有證書。其次， SSL協(xié)議雖然提供了資料傳遞過程的安全通道，但 SSL協(xié)議安全方面有缺少數(shù)字簽名功能、沒有授權(quán)和存取控制、多方互相認(rèn)證困難、不能抗抵賴、用戶身份可能被冒充等弱點(diǎn)。 SET協(xié)議 4. SET交易的安全性 (1) 信息的機(jī)密性 :SET系統(tǒng)中 ， 敏感信息 （ 如持卡人的帳戶和支付信息 ） 是加密傳送的 ， 不會(huì)被未經(jīng)許可的一方訪問 。 為 Web文檔提供了完整性 、 鑒別 、 不可抵賴性和機(jī)密性等安全措施 。 （ 4）無法防范數(shù)據(jù)驅(qū)動(dòng)型攻擊。防火墻僅僅