【正文】 重點(diǎn)名詞： 網(wǎng)絡(luò)安全、防火墻、信息加密技術(shù)、數(shù)字簽名、數(shù)字證書、對(duì)稱加密。（非常情況下能及時(shí)修復(fù)系統(tǒng)） （ 5） 加強(qiáng)防范意識(shí) 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)安全交易標(biāo)準(zhǔn) 安全套接層協(xié)議 SSL （ 1） SSL （ Secure Sockets Layer） 協(xié)議的通信過程 （ 2） 電子商務(wù)網(wǎng)站的 Web服務(wù)器安裝 SSL協(xié)議步驟 第 3章 電子商務(wù)系統(tǒng)的安全 2． 安全電子交易協(xié)議 SET （ 1） SET（ Secure Electronic Transaction） 協(xié)議提供的安全保障 （ 2） 參與 SET協(xié)議的交易對(duì)象 （ 各參與對(duì)象的關(guān)系見圖 251） （ 3） SET協(xié)議的工作程序 電子商務(wù)安全交易標(biāo)準(zhǔn) 第 3章 電子商務(wù)系統(tǒng)的安全 圖 251 SET協(xié)議的參與對(duì)象 第 3章 電子商務(wù)系統(tǒng)的安全 3． 其他安全協(xié)議 （ 1） 安全超文本傳輸協(xié)議 （ SHTTP） （ 2） 安全多媒體 Inter郵件擴(kuò)展協(xié)議（ S/MIME） 返回本節(jié) 電子商務(wù)安全交易標(biāo)準(zhǔn) 本章小結(jié) 主要知識(shí)點(diǎn)： 電子商務(wù)系統(tǒng)安全的基本問題 （概念、影響因素、控制要求） 電子商務(wù)系統(tǒng)網(wǎng)絡(luò)安全管理對(duì)策 （技術(shù)對(duì)策、管理對(duì)策、安全體系） 電子商務(wù)安全手段 （防火墻、信息加密、數(shù)字簽名、身份認(rèn)證、時(shí)間戳、數(shù)字證書） 計(jì)算機(jī)病毒及網(wǎng)絡(luò)黑客的防范。 （ 3） 使用有效的監(jiān)控手段抓住入侵者。 第 3章 電子商務(wù)系統(tǒng)的安全 網(wǎng)絡(luò)黑客及其防范 防范黑客的措施 （ 1） 使用防火墻，建立網(wǎng)絡(luò)安全屏障。 黑客行為正在走向系統(tǒng)化、組織化、高技術(shù)化。 我國(guó)的政府網(wǎng)絡(luò)、商業(yè)網(wǎng)絡(luò)和金融網(wǎng)絡(luò)也頻繁受到入侵和挑釁。 首例公開披露的作案： 1988年 11月 2日， 23歲的美國(guó)大學(xué)生羅伯特莫瑞斯的蠕蟲程序通過個(gè)人計(jì)算機(jī)用遠(yuǎn)程命令送進(jìn) Inter， 造成美國(guó)多所大學(xué)、科研機(jī)構(gòu)和軍事機(jī)構(gòu)約 6200臺(tái)計(jì)算機(jī)癱瘓。 第 3章 電子商務(wù)系統(tǒng)的安全 網(wǎng)絡(luò)黑客及其防范 黑客的例證 黑客作案只需要簡(jiǎn)單的硬件設(shè)備：一臺(tái)計(jì)算機(jī) 、 一條電話線 、 一個(gè)調(diào)制解調(diào)器 。在 20世紀(jì)早期的麻省理工學(xué)院校園口語中，黑客則有 “ 惡作劇 ” 之意，尤其是指手法巧妙、技術(shù)高明的惡作劇。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范 （ 1） 在電腦上安裝防病毒軟件（單機(jī)版 事后消毒，聯(lián)機(jī)版 網(wǎng)絡(luò)端口設(shè)置過濾器）；（ 2）定期清毒（許多病毒有潛伏期）；（ 3） 控制權(quán)限（如只讀）；（ 4）警惕網(wǎng)絡(luò)陷阱（沒有免費(fèi)午餐）；（ 5） 不打開陌生地址的 Email， 尤其是不要打開陌生地址的郵件 附件 （郵件附件是傳播宏病毒的來源）。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的類型 （ 1）蠕蟲（高速?gòu)?fù)制自己，占用系統(tǒng)資源）；（ 2）邏輯炸彈（滿足某種條件時(shí)受激發(fā)）；（ 3）特洛伊木馬（具有隱蔽性）；（ 4）陷阱入口（程序開發(fā)者有意安排引入歧路）；（ 5）核心大戰(zhàn)（允許兩個(gè)程序互相破壞的游戲程序）。 （ 2） 用 Outlook Express 5發(fā)送加密電子郵件 （ 如 圖 347~350所示 ） ： 1） 獲取收件人數(shù)字證書 、 2） 發(fā)送加密郵件 。 ? 北京數(shù)字證書認(rèn)證中心 （ ） ， 為網(wǎng)上電子政務(wù)和電子商務(wù)活動(dòng)提供數(shù)字證書服務(wù) 。 第 3章 電子商務(wù)系統(tǒng)的安全 圖 330 查看證書內(nèi)容（ 1） 第 3章 電子商務(wù)系統(tǒng)的安全 圖 331 查看證書內(nèi)容（ 2） 第 3章 電子商務(wù)系統(tǒng)的安全 圖 332 查看證書內(nèi)容（ 3） 第 3章 電子商務(wù)系統(tǒng)的安全 根 CA 南方電子商務(wù)中心（廣東 CA ） S o u t h e r n E l e c t r o n i c B u s i n e s s C e n t e r C l a s s B C A （湖北） H B E C A 證書 2 證書 3 證書 4 （海南） H N C A 證書 1 CA的樹形結(jié)構(gòu) 第 3章 電子商務(wù)系統(tǒng)的安全 國(guó)內(nèi)外 CA中心簡(jiǎn)介 ? 國(guó) 外 常 見 的 CA 有 VeriSign、 GTE Cyber Trust、Thawte等 。 ● 可以逐級(jí)驗(yàn)證，直到公認(rèn)的權(quán)威 CA處。 ● 如果對(duì)簽發(fā)證書的 CA不信任，則可以驗(yàn)證該 CA的身份。 （ 3） 軟件（或開發(fā)者）數(shù)字證書 為軟件提供憑證，以證明該軟件的合法性，這樣可以在Inter上安全地傳送。用于網(wǎng)上安全交易操作，訪問需要客戶驗(yàn)證安全的站點(diǎn)，發(fā)送帶簽名的 Email等。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 數(shù)字證書包含的內(nèi)容 數(shù)字證書包含以下一些內(nèi)容： ① 證書的版本信息； ② 證書的序列號(hào)（每個(gè)證書都有唯一的證書序列號(hào)）； ③ 證書所使用的簽名算法； ④ 證書發(fā)行機(jī)構(gòu)名稱； ⑤ 證書發(fā)行機(jī)構(gòu)的數(shù)字簽名（用私鑰的簽名）； ⑥ 證書的有效期； ⑦ 證書擁有者的名稱； ⑧ 證書擁有者的公鑰； 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 數(shù)字證書包含的類型 （ 1） 個(gè)人證書 僅僅為某個(gè)用戶提供憑證。數(shù)字證書可用于：發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券交易、網(wǎng)上采購(gòu)招標(biāo)、網(wǎng)上辦公、網(wǎng)上保險(xiǎn)、網(wǎng)上稅務(wù)、網(wǎng)上簽約和網(wǎng)上銀行等安全電子事務(wù)處理和安全電子交易活動(dòng)。數(shù)字證書主要包括三方面的內(nèi)容：證書所有者的信息、證書所有者的公開密鑰和證書頒發(fā)機(jī)構(gòu)的數(shù)字簽名。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進(jìn)行有關(guān)的交易操作。是一個(gè)經(jīng)證書授權(quán)機(jī)構(gòu)數(shù)字簽名的數(shù)字信息文件。 CA認(rèn)證系統(tǒng)組成及功能 目前 CA認(rèn)證系統(tǒng)主要由以下三部分組成： （ 1）在客戶端面向證書用戶的數(shù)字證書申請(qǐng)、查詢和下載系統(tǒng)； （ 2）在 CA端由 CA管理員對(duì)證書申請(qǐng)進(jìn)行審批的證書授權(quán)系統(tǒng)； （ 3）在 CA控制臺(tái)，簽發(fā)用戶證書的證書簽發(fā)系統(tǒng)。其智能是：發(fā)放和管理用戶的數(shù)字證書。 認(rèn)證機(jī)構(gòu) CA（ Certificate Authority認(rèn)證中心） 一個(gè)受法律承認(rèn)的權(quán)威機(jī)構(gòu)。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字時(shí)間戳 獲得數(shù)字時(shí)間戳的過程 H as h 算法 原文 摘要 1 加時(shí)間 數(shù)字 時(shí)間戳 I n t e rn e t 用 D T S 機(jī)構(gòu)的私鑰加密 發(fā)送方 D T S 機(jī)構(gòu) H as h 算法 加了時(shí)間后的新摘要 摘要 1 摘 要 1 + 時(shí)間 數(shù)字 時(shí)間戳 返回本節(jié) 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的數(shù)字證書 概述 在電子商務(wù)中，所謂數(shù)字證書，是一個(gè)由使用數(shù)字證書的用戶群所公認(rèn)和信任的權(quán)威機(jī)構(gòu)（即 CA） 簽署了其數(shù)字簽名的信息集合。是一個(gè)加密后形成的憑證文檔，包括：需要加時(shí)間戳的文件的摘要，服務(wù)機(jī)構(gòu)收到文件的日期和時(shí)間，數(shù)字時(shí)間戳的數(shù)字簽名。數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。是防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。其作用類似于鑰匙，用于啟動(dòng)電子設(shè)備。其原則是：易記，難猜，難分析。 ② 口令方式： 一般是長(zhǎng)度為 58位的字符串。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)的身份認(rèn)證 電子商務(wù)身份認(rèn)證的基本方式 ① 人體生物學(xué)特征方式： 用戶具有的某些生物學(xué)特征，如指紋、聲音、 DNA圖案、臉部等，相同的概率非常小，用它可以直接認(rèn)證。因此應(yīng)采取一定的措施使交易雙方能互相確認(rèn)對(duì)方的身份，才能放心的開展電子商務(wù)活動(dòng)。另外， 數(shù)字簽名只采用了非對(duì)稱密鑰加密算法 ，它能保證發(fā)送信息的完整性、身份認(rèn)證和不可否認(rèn)性，而 數(shù)字加密采用了對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法相結(jié)合的方法 ，它能保證發(fā)送信息保密性。 數(shù)字簽名使用的是發(fā)送方的密鑰對(duì) ，發(fā)送方用自己的 私有密鑰進(jìn)行加密 ，接收方用發(fā)送方的 公開密鑰進(jìn)行解密 ，這是一個(gè) 一對(duì)多 的關(guān)系，任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。 數(shù)字簽名與手書簽名的區(qū)別 手書簽名是模擬的，因人而異；數(shù)字簽名是數(shù)字的（ 0和 1的數(shù)字串），因消息而異。 （ 2）能夠用公鑰解密的數(shù)字簽名只可能由發(fā)送者的私鑰來產(chǎn)生，所以簽名者無法否認(rèn)自己的簽名；接收方也無法偽造發(fā)送方的簽名。 數(shù)字簽名的過程 Hash 算法 原文 摘要 摘要 ？ 原文 摘要 Inter 發(fā)送方 接收方 Hash 算法 數(shù)字 簽名 發(fā)送者 私鑰加密 數(shù)字 簽名 發(fā)送者 公鑰解密 對(duì)比和驗(yàn)證 是否正確？ 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)數(shù)字簽名 數(shù)字簽名的作用 保證信息的完整性和不可否認(rèn)性。 第 3章 電子商務(wù)系統(tǒng)的安全 數(shù)字簽名是公開密鑰加密技術(shù)的另一類應(yīng)用。 （ 2）檢驗(yàn)數(shù)字簽名的過程： 接收者收到數(shù)字簽名和原文后，用同樣的 HASH算法對(duì)正文計(jì)算形成摘要，再對(duì)所附數(shù)字簽名用發(fā)送者的公鑰進(jìn)行解密。同時(shí)通過摘要是無法獲得原文的。 （該算法在數(shù)學(xué)上保證只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就與原先的值不相符。 (3) 公證方能確認(rèn)收發(fā)雙方的信息 ， 作出仲裁 ， 但不能偽造這一過程 （ 公證條件 ） 。 數(shù)字簽名被設(shè)計(jì)用來代替親筆簽名或印章來證明報(bào)文的真實(shí)性 ， 它可以達(dá)到下列功能： (1) 接收者能夠核實(shí)和確認(rèn)發(fā)送者對(duì)報(bào)文的簽名 ， 但不能偽造對(duì)報(bào)文的簽名 （ 收方條件 ） 。 ? 加密技術(shù)是國(guó)家控制的技術(shù)，加密技術(shù)只有牢牢掌握在自己國(guó)家手中，才能夠比較主動(dòng)地把握各類信息的安全性。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信息的加密 加密技術(shù)的不足之處 ? 加密標(biāo)準(zhǔn)很多，但缺乏一個(gè)安全交易的通用標(biāo)準(zhǔn)。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信息的加密 電子商務(wù)信息的加密技術(shù) （ 4）最著名的非對(duì)稱加密算法（ RSA算法） 原理： 非對(duì)稱加密技術(shù)采用 RSA算法，加密和解密使用兩把密鑰，一把稱為公鑰，另一把稱為私鑰，兩把密鑰實(shí)際上是兩個(gè)很大的質(zhì)數(shù)，用其中的一個(gè)質(zhì)數(shù) （公鑰） 與明文相乘，可以加密得到密文；用另一個(gè)質(zhì)數(shù) （私鑰） 與密文相乘可以解密得到 明文 ，但不能用一個(gè)質(zhì)數(shù)求得另一個(gè)質(zhì)數(shù)，即 知道公鑰也無法求出私鑰。這樣其他人向你發(fā)送郵件時(shí)就可以用你的公鑰進(jìn)行加密，而這封被加密的郵件只有你才能用你的私鑰解密并閱讀使用兩把密鑰， 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信息的加密 電子商務(wù)信息的加密技術(shù) （ 3）非對(duì)稱加密技術(shù)的兩種基本模式 1）加密模式 在加密模式中，非對(duì)稱加密的 加密和解密的過程 如下： ① 發(fā)送方用接收方的公開密鑰對(duì)要發(fā)送的信息進(jìn)行加密，得到信息的密文； ② 發(fā)送方將加密后的信息通過網(wǎng)絡(luò)（或 Inter） 傳送給接收方； ③ 接收方用自己的私有密鑰（只有接收方才有）對(duì)接收到的信息進(jìn)行解密，得到信息的明文。同時(shí)，用公鑰推導(dǎo)私鑰的代價(jià)在實(shí)際中是十分高昂的，甚至是不可行的。 一個(gè)公鑰和一個(gè)與公鑰不同的私鑰組成密鑰對(duì)。 ④ Rivest密碼：這是屬于 RSA數(shù)據(jù)安全公司的 （ 包括： RC2～ RC6） 比較流行的算法 ， 這些算法相對(duì)比較簡(jiǎn)單 ， 實(shí)施起來較容易 。 可對(duì) 28位的密碼塊進(jìn)行處理 ， 密鑰的長(zhǎng)度可以是 12 19 256位 。 ① 數(shù)據(jù)加密標(biāo)準(zhǔn) （ DES） ： 這是由美國(guó)國(guó)家標(biāo)準(zhǔn)局提出 ， 是目前廣泛采用的對(duì)稱加密方式之一 ， 主要應(yīng)用于銀行業(yè)中的電子資金轉(zhuǎn)帳 （ EFT） 領(lǐng)域 。 第 3章 電子商務(wù)系統(tǒng)的安全 電子商務(wù)信