【正文】 (4) 了解中國工商銀行在網(wǎng)絡(luò)支付服務(wù)中是如何應(yīng)用數(shù)字證書的，其證書由哪一個(gè) CA認(rèn)證中心提供？ (5) 通過網(wǎng)上搜集與查詢，調(diào)查新近出現(xiàn)了哪些可應(yīng)用于網(wǎng)絡(luò)支付服務(wù)的安全技術(shù)。 (7) 簡(jiǎn)述雙重簽名的原理與好處，并畫出其實(shí)現(xiàn)示意圖。 (2) 什么是數(shù)字證書？它的用途是什么？ (3) 什么是 SSL？ 簡(jiǎn)述基于 SSL協(xié)議的信用卡網(wǎng)上支付的主要過程。全面理解 SSL協(xié)議和 SET協(xié)議的原理和利用這些安全協(xié)議進(jìn)行信用卡網(wǎng)上支付流程。 ② 單擊收件箱下面顯示區(qū)域中的 “ 繼續(xù) ” 按鈕，可顯示郵件正文。 撰寫一封新郵件后，單擊工具欄中的 “ 加密 ” 按鈕，然后單擊 “ 發(fā)送 ” 按鈕，彈出如圖 327所示的窗口，選擇所需證書 (本質(zhì)上就是用收件人的公鑰來加密郵件 )后，按 “ 確定 ” 即可。 ② 單擊 “ 繼續(xù) ” 按鈕，即可看到郵件正文。 ① 撰寫一封新郵件后，在工具欄中單擊 “ 數(shù)字簽名 ” 按鈕 (或選擇 “ 工具｜數(shù)字簽名 ” 菜單項(xiàng) )，如圖 325所示，單擊 “ 發(fā)送 ” 按鈕。 ① 啟動(dòng) Foxmail， 選擇郵箱， 打開該賬戶的屬性窗口，在左欄中單擊 “ 安全 ” 項(xiàng)，如圖 324所示。 ⑥在 “ 正在完成證書導(dǎo)出向?qū)?” 窗口中單擊 “ 完成 ” ，出現(xiàn) “ 正在導(dǎo)出專用交換密碼 ” 界面，單擊“ 確定 ” ，最后在 “ 導(dǎo)出成功 ” 對(duì)話框中按 “ 確定 ”即可。 ③ 在隨后出現(xiàn)的 “ 證書導(dǎo)出向?qū)?” 界面中單擊“ 下一步 ” ，如在如圖 322所示的窗口中選擇私鑰隨證書一起導(dǎo)出，則應(yīng)選取 “ 是，導(dǎo)出私鑰 ” 選項(xiàng)，然后單擊 “ 下一步 ” 。 ⑥ 在如圖 321的窗口中，設(shè)置交換密鑰的安全級(jí)別(中或高 )，按 “ 確定 ” 按鈕。 圖 317 IE的內(nèi)容選項(xiàng)卡界面 ② 在如圖 318所示的界面中，單擊 “ 導(dǎo)入 ” 準(zhǔn)備導(dǎo)入已經(jīng)存在的個(gè)人證書。 圖 315 下載數(shù)字證書 1. 查詢數(shù)字證書 為了查詢上述已經(jīng)申請(qǐng)成功的免費(fèi)個(gè)人電子郵件證書，可單擊中國數(shù)字認(rèn)證網(wǎng)首頁 “ 免費(fèi)證書 ” 欄下的 “ 證書查詢 ” 。 ③ 在如圖 314所示的界面，記下供以后查詢及填寫個(gè)人真實(shí)材料所需的 “ 證書序列號(hào) ” ，然后單擊“ 下載并安裝證書 ” 。在隨后的窗口中單擊 “ 完成 ” ，最后在 “ 導(dǎo)入成功 ” 對(duì)話框中單擊“ 確定 ” 。整個(gè)過程分為安裝根證書；申請(qǐng)數(shù)字證書以及安裝數(shù)字證書三大步驟。 SET協(xié)議的應(yīng)用將越來越受到社會(huì)的關(guān)注與認(rèn)可，其良好的應(yīng)用前景是確信無疑的。 (5) SET協(xié)議與 SSL協(xié)議的比較 SSL是屬于網(wǎng)絡(luò)傳輸層的安全標(biāo)準(zhǔn)協(xié)議，而 SET協(xié)議則是屬于網(wǎng)絡(luò)應(yīng)用層的安全標(biāo)準(zhǔn)協(xié)議。 ⑧ 商家檢查支付網(wǎng)關(guān)發(fā)送過來的相關(guān)信息，確認(rèn)無誤后便表示交易成功，可以發(fā)貨。 ⑥ 支付網(wǎng)關(guān)分別確認(rèn)、審核商家和顧客的相關(guān)數(shù)據(jù)。隨同發(fā)給商家的還有顧客的數(shù)字證書以便商家進(jìn)行客戶身份認(rèn)證。 ③ 商家服務(wù)器收到顧客的初始請(qǐng)求后生成初始應(yīng)答，并對(duì)該初始應(yīng)答用 Hash加密生成數(shù)字摘要，然后再用自己的私鑰進(jìn)行數(shù)字簽名。在 SET協(xié)議中，網(wǎng)上支付時(shí)采用了雙重簽名的技術(shù)，其形成過程如圖 38所示。在顧客進(jìn)行網(wǎng)上購物時(shí)，往往會(huì)同時(shí)與參與電子商務(wù)交易的多方進(jìn)行信息交流，但并不希望各方看到顧客的所有信息，而是視其角色不同而看到其中的部分內(nèi)容。具體原理是 : 使用對(duì)稱密鑰來加密數(shù)據(jù)，然后將此對(duì)稱密鑰用接收者的公鑰加密，稱為消息的“ 數(shù)字信封 ” ，將其和數(shù)據(jù)一起送給接收者。是交易各方都信任的第三方權(quán)威機(jī)構(gòu)，它接受發(fā)卡行和收單行的委托，對(duì)顧客、商家和支付網(wǎng)關(guān)發(fā)放數(shù)字證書，供交易中的所有成員進(jìn)行身份證明使用。是一個(gè)全天開放的介于銀行與互聯(lián)網(wǎng)之間的專用系統(tǒng)，以實(shí)現(xiàn)電子交易的有關(guān)信息在顧客、商家和銀行之間安全、無縫隙地傳送，從而使網(wǎng)上銀行的電子支付功能得以實(shí)現(xiàn)。 ④ 收單銀行。 ③ 網(wǎng)上商家。 ② 發(fā)卡銀行。 ④ 標(biāo)準(zhǔn)性。 ② 保證支付信息的完整性。另外，由于顧客的身份認(rèn)證不是必須的，有時(shí)便會(huì)存在客戶身份合法性和不可抵賴性問題。 (2) SSL協(xié)議的特點(diǎn) 由于所有操作系統(tǒng)下的 Web瀏覽器均支持 SSL協(xié)議，因此 SSL協(xié)議開發(fā)成本小，應(yīng)用簡(jiǎn)單方便。 ⑥ 由于 SSL協(xié)議是面向連接的協(xié)議，因此客戶端與服務(wù)端要進(jìn)行握手信息發(fā)送。 ④ 客戶利用相關(guān)技術(shù)生成臨時(shí)密鑰 KeyT， 并用服務(wù)器的公鑰 (從服務(wù)器的數(shù)字證書中獲得 )對(duì)該密鑰進(jìn)行加密，生成密文 CKeyT發(fā)送到服務(wù)端。例如， IE瀏覽器中支持 SSL協(xié)議的設(shè)置如圖 37所示。 2. SSL協(xié)議 SSL協(xié)議是一個(gè)面向連接的協(xié)議，提供在因特網(wǎng)上的安全通信服務(wù)，是目前在電子商務(wù)活動(dòng)中廣泛應(yīng)用的安全協(xié)議之一。 ② 安全套接層協(xié)議 (SSL) 由 Netscape公司提出的安全交易協(xié)議，提供加密、認(rèn)證服務(wù)和報(bào)文的完整性。 目前，我國的 CA建設(shè)尚處于起步階段，缺乏完整的統(tǒng)籌和協(xié)調(diào)。中國金融認(rèn)證中心 (China Finance Certification Authority,CFCA)是由中國人民銀行牽頭，主要為金融業(yè)的各種需求提供證書服務(wù)，包括網(wǎng)上銀行、網(wǎng)上證券交易等。 ② 中國電信 CA安全認(rèn)證系統(tǒng)。 (3) 知名認(rèn)證中心 ① 美國的 Verisign公司。 ③ 證書撤銷。因此在此基礎(chǔ)上的 CA的主要職能包括 : ① 證書發(fā)放。對(duì)用戶來講它相當(dāng)于一個(gè)在線的證書數(shù)據(jù)庫。 ② RA(Register Authority): 指證書登記機(jī)構(gòu)。 CA主要提供交易雙方的信用保障，是受法律承認(rèn)的第三方權(quán)威機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理數(shù)字證書，使網(wǎng)上交易的各方能夠相互確認(rèn)身份。目前比較流行的做法是選擇外觀像普通的優(yōu)盤的 USB Key作為數(shù)字證書的存儲(chǔ)介質(zhì)。包括應(yīng)用服務(wù)器證書、 Web服務(wù)器證書、 VPN網(wǎng)關(guān)證書、 VPN客戶端證書等。個(gè)人證書一般安裝在客戶瀏覽器上，以幫助個(gè)人在網(wǎng)上進(jìn)行安全電子交易。數(shù)字證書是身份認(rèn)證的基礎(chǔ)。 數(shù)字證書采用公開密鑰體制，由交易方共同信任的第三方權(quán)威機(jī)構(gòu)發(fā)行的，可用它在電子商務(wù)交易中標(biāo)識(shí)各自的身份。實(shí)體認(rèn)證是對(duì)參與交易的各方的身份認(rèn)證，信息認(rèn)證則是指對(duì)所發(fā)送／接收的信息內(nèi)容的認(rèn)證，信息認(rèn)證的目的是決定該信息的合法性。數(shù)字時(shí)間戳服務(wù) (Digital timestamp,DTS)由專門的機(jī)構(gòu)提供。而且，對(duì)于不同的原信息，即使是同一個(gè)人發(fā)出的數(shù)字簽名也是不同的，從而實(shí)現(xiàn)了信息內(nèi)容與簽名的緊密捆綁。 數(shù)字簽名采用數(shù)字串，難偽造，通過公正的第三方CA支持，接收方便可通過網(wǎng)絡(luò)在線驗(yàn)證。但我國山東大學(xué)的王小云教授已經(jīng)發(fā)現(xiàn)，可以很快的找到 MD 5的 “ 碰撞 ” 。 安全的 Hash函數(shù)在設(shè)計(jì)時(shí)必須滿足以下兩個(gè)特性 : ⅰ ) 具有抗碰撞性 : 指尋找兩個(gè)不同的輸入?yún)s能得到相同的輸出值在計(jì)算上是不可行的； ⅱ ) 具有不可推導(dǎo)性 : 指找到一個(gè)輸入，能得到給定的輸出在計(jì)算上是不可行的，即不可從結(jié)果推導(dǎo)出它的初始狀態(tài)。 圖 34 信息摘要算法的加密解密過程 該方法解決了電子商務(wù)中信息傳輸?shù)耐暾詥栴}，若再有一個(gè)第三方的認(rèn)證機(jī)構(gòu)，用 MD 5還可以起到數(shù)字簽名的作用。它的作用是把一個(gè)任意長(zhǎng)度的字節(jié)串轉(zhuǎn)換成一定長(zhǎng)的大整數(shù)。 RSA算法的加密密鑰和加密算法是分開的，使得網(wǎng)上的密鑰分配更為方便可行。 ⅳ ) 從已知的公鑰無法計(jì)算出私鑰，即從 Ke到 Kd是“ 計(jì)算上不可能完成的 ” 。加密過程為 C＝ M3(mod 33)， 解密過程為 M＝ C7(mod 33)。 用 C表示密文，用 M表示明文，則加密過程為 C＝Me(mod n)； 解密過程為 M＝ Cd(mod n )。 ① RSA算法 RSA的理論依據(jù)為 : 尋找兩個(gè)大素?cái)?shù)比較簡(jiǎn)單，而將它們的乘積分解開則異常困難。 ③ 網(wǎng)絡(luò)銀行 Y便根據(jù)該支付請(qǐng)求進(jìn)行相應(yīng)的支付操作后，必須回送客戶一個(gè) “ 支付確認(rèn) ” 消息。要求該支付信息只能由指定的網(wǎng)絡(luò)銀行 Y獲取。非對(duì)稱加密的過程如圖 32所示。但總的來說，采用對(duì)稱加密算法進(jìn)行加密時(shí)，安全管理密鑰的難度很大，因此該類算法已經(jīng)很少在電子商務(wù)系統(tǒng)中使用。 在電子商務(wù)中常用的對(duì)稱密鑰密碼算法是數(shù)據(jù)加密標(biāo)準(zhǔn) (DES)。密鑰的長(zhǎng)度對(duì)一個(gè)加密系統(tǒng)的牢固程度起著非常重要的作用。 (1) 加密／解密 數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)字信息(明文 )，按照加密算法變換成與明文完全不同得數(shù)字信息 (密文 )的過程。這種組合主要取決于網(wǎng)管中心向用戶提供什么樣的服務(wù)，能接受什么樣的風(fēng)險(xiǎn)，并且也受投資大小、技術(shù)能力等相關(guān)方面的制約。 目前還有一種被稱為 “ 狀態(tài)監(jiān)測(cè)防火墻 ” 的第三代防火墻技術(shù)，其實(shí)施方法是在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，運(yùn)用監(jiān)測(cè)引擎抽取狀態(tài)信息，并動(dòng)態(tài)保存起來作為執(zhí)行安全策略的參考。 IP級(jí)防火墻的這一缺陷可通過應(yīng)用級(jí)防火墻來彌補(bǔ)。路由器只對(duì)過濾器上的特定端口上的數(shù)據(jù)通信加以路由。 防火墻技術(shù) 2. 防火墻的功能 防火墻的功能應(yīng)包括 : ① 過濾掉不安全的服務(wù)和非法用戶； ② 控制對(duì)特殊站點(diǎn)的訪問； ③ 提供監(jiān)視因特網(wǎng)安全和預(yù)警的方便端點(diǎn)； ④ 可接受各種攻擊。 根據(jù)所掌握的病毒特點(diǎn)和病毒未來的發(fā)展趨勢(shì)，國家計(jì)算機(jī)病毒緊急處理中心與計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心還特別制定了以下的病毒防治策略提供用戶參考。但是，殺毒軟件一般是在病毒出現(xiàn)后才能開發(fā)研制，有較大的被動(dòng)性和滯后性。對(duì)病毒特征的檢測(cè)包括病毒關(guān)鍵字、特征程序內(nèi)容、傳染方式、文件長(zhǎng)度的變化等，一般可利用殺毒軟件并下載最新的病毒特征庫自動(dòng)完成這種檢測(cè)。 防毒是指根據(jù)系統(tǒng)特性，采取相應(yīng)的預(yù)防措施，防止計(jì)算機(jī)病毒通過硬盤或其他移動(dòng)存儲(chǔ)介質(zhì)、局域網(wǎng)、因特網(wǎng)等多種途徑侵入計(jì)算機(jī)。 (2) 病毒名是指一個(gè)病毒的家族特征，是用于區(qū)別和標(biāo)識(shí)病毒家族的標(biāo)志。 (3) 病毒環(huán)境 據(jù)病毒感染所需環(huán)境分，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。這種病毒的公共特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。宏病毒主要感染 Word文