電子商務安全課件

第四章電子商務安全

（ElectronicCommerceSecurity）4.1電子商務面臨的安全問題4.2電子商務安全的對策4.3數據加密技術4.4數據簽名技術4.5安全認證技術4.6電子商務安全應用協議4.7防火墻技術桂林電子科技大學計算機控制學院第四章電子商務安全

（ElectronicCommer14.1電子商務面臨的安全問題●信息泄露●信息篡改●信息破壞：丟失、中斷●信息假造：假冒、抵賴●計算機病毒桂林電子科技大學計算機控制學院4.1電子商務面臨的安全問題●信息泄露桂林電子科技大學計2電腦犯罪:50個國家有信息恐怖組織,計算機犯罪年增長率152%。每次計算機犯罪損失46萬美元,而每次搶劫平均損失僅24美元。美國每年因電子商務安全問題所造成的經濟損失達75億美元，電子商務企業(yè)的電腦安全受到侵犯的比例從1997年的49%升到1999年的54%。桂林電子科技大學計算機控制學院電腦犯罪:50個國家有信息恐怖組織,計算機犯罪年3網絡部件的不安全因素●電磁泄漏●搭線竊聽●非法終端●非法入侵●注入非法信息●線路干擾●意外原因●病毒入侵桂林電子科技大學計算機控制學院網絡部件的不安全因素●電磁泄漏●4軟件的不安全因素●安全功能不健全（TCP/IP）●特洛伊木馬(FTP)●要害程序非法使用或破壞●用戶未分類標識●處理錯誤●程序變更無記錄桂林電子科技大學計算機控制學院軟件的不安全因素●安全功能不健全（TCP/IP）桂林電子科5工作人員的不安全因素●保密觀念不強或不懂保密規(guī)則●業(yè)務不熟練●規(guī)章制度不健全●素質差、缺乏責任心●故意非法訪問●超越權限操作●竊取系統(tǒng)或用戶信息桂林電子科技大學計算機控制學院工作人員的不安全因素●保密觀念不強或不懂保密規(guī)則桂林電子科6●自然災害：地震、臺風、洪水●人為災害：火災、盜竊…...環(huán)境的不安全因素桂林電子科技大學計算機控制學院●自然災害：地震、臺風、洪水環(huán)境的不安全因素桂林電子科技大74.2電子商務安全的對策1、電子商務的安全要求●身份的真實性●信息的保密性●信息的完整性●信息的不可抵賴性桂林電子科技大學計算機控制學院4.2電子商務安全的對策1、電子商務的安全要求桂林電子科82、技術對策：●數據加密●CA認證、數字簽名●防火墻●安全工具包/軟件●訪問控制●數據完整性控制●網絡安全檢測設備桂林電子科技大學計算機控制學院2、技術對策：桂林電子科技大學計算機控制學院93、管理對策：●人員管理制度電子商務安全運作基本原則：雙人負責原則、任期有限原則、最小權限原則?！癖Ｃ苤贫取窀?、審計、稽核制度●網絡系統(tǒng)的日常維護制度●病毒防范制度桂林電子科技大學計算機控制學院3、管理對策：桂林電子科技大學計算機控制學院101、數據加密模型2、數據加密算法3、數據加密的應用4.3數據加密技術桂林電子科技大學計算機控制學院1、數據加密模型4.3數據加密技術桂林電子科技大學計算機控111、數據加密模型E加密D解密明文X明文X密文C密文C截取者解密密鑰Kd加密密鑰Ke桂林電子科技大學計算機控制學院1、數據加密模型ED明文X明文X密文C密文C截取者解密密鑰K121、數據加密算法●古典加密解密方法

凱撒密碼:明文—ABCDEFGHIJKLMNOP…密文—defghijklmnopqrs…實例:CHINA---fklqd換位密碼:明文—COMPUTERSECURITY分組—COPUTERSECURITY密文—ceuorrpsiuettcy桂林電子科技大學計算機控制學院1、數據加密算法桂林電子科技大學計算機控制學院13

●散列編碼散列編碼是用散列算法求出某個消息的散列值的過程。散列編碼對于判別信息是否在傳輸時被改變非常方便。如果信息被改變，原散列值就會與由接收者所收消息計算出的散列值不匹配。桂林電子科技大學計算機控制學院●散列編碼桂林電子科技大學計算機控制學院14

●對稱加密對稱加密，它用且只用一個密鑰對信息進行加密和解密。桂林電子科技大學計算機控制學院●對稱加密桂林電子科技大學計算機控制學院15SecuritySchemesSecretKeyCryptography(Symmetric對稱)ScrambledMessageOriginalMessageSenderInternetScrambledMessageKeysender(=Keyreceiver)EncryptionOriginalMessageReceiverKeyreceiverDecryption桂林電子科技大學計算機控制學院SecuritySchemesSecretKeyCry16●非對稱加密1977年麻省理工學院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。在此系統(tǒng)中有一對密碼，給別人用的就叫公鑰，給自己用的就叫私鑰。用公鑰加密后的密文，只有私鑰能解。桂林電子科技大學計算機控制學院●非對稱加密桂林電子科技大學計算機控制學院17

非對稱加密技術示意圖

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院18PublicKeyCryptography(Asymmetric非對稱)SenderOriginalMessageScrambledMessageScrambledMessagePublicKeyreceiverOriginalMessageReceiverPrivateKeyreceiverInternetSecuritySchemes(cont.)MessageSenderOriginalMessageScrambledMessageScrambledMessagePrivateKeysenderOriginalMessageReceiverPublicKeysenderInternetDigitalSignature桂林電子科技大學計算機控制學院PublicKeyCryptography(Asymm19RSA的算法基于大整數的分解，算法如下：①

選取兩個足夠大的素數P和Q②

計算P和Q相乘的乘積n＝P×Q③

找出一個小于n的數e，使其與（P－1）×（Q－1）互為素數；桂林電子科技大學計算機控制學院RSA的算法基于大整數的分解，桂林電子科技大學計算機20④另找一個數d，使其滿足：（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）為相除取余；(n，e)即為公鑰；（n，d）為私鑰。加密和解密的運算方式為：明文M＝Cd（MODn）；密文C＝Me（MODn）桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院21假定P＝3，Q＝11，則n=P×Q＝33，選擇e=3，因為3和20沒有公共因子。（3×d）MOD（20）＝1，得出d＝7。從而得到（33，3）為公鑰；（33，7）為私鑰。加密過程為將明文M的3次方模33得到密文C，解密過程為將密文C的7次方模33得到明文。下表顯示了非對稱加密和解密的過程。桂林電子科技大學計算機控制學院假定P＝3，Q＝11，桂林電子科技大學計算機控制學院22明文M

密文C

解密

字母

序號

M3

M3（MOD33）

C7

C7（MOD33）

字母

A01101101AE0512526803181017605EN1427440578125

14NS1968592813492928512

19SZ261757620128000000

26Z桂林電子科技大學計算機控制學院明文M密文C解密字母序號M3M3（MOD323安全強度129位十進制/429位BIT數1600部電腦，43個國家、600多人，8個月1994年分解出64位和65位兩個因子。桂林電子科技大學計算機控制學院安全強度桂林電子科技大學計算機控制學院243、數據加密的應用●數據的保密性與完整性●數字簽名●數字認證桂林電子科技大學計算機控制學院3、數據加密的應用●數據的保密性與完整性桂林電子科技大學計254.4數據簽名技術1、數字簽名的概念

數字簽名（DigitalSignature）技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數字簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。桂林電子科技大學計算機控制學院4.4數據簽名技術1、數字簽名的概念桂林電子科技大學計26Hash簽名是最主要的數字簽名方法：報文的發(fā)送方從明文中生成一個128比特的散列值（數字摘要）。發(fā)送方用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數字簽名。該數字簽名將作為附件和報文一起發(fā)送給接收方。報文的接收方從接收到的原始報文中計算出128比特的散列值（數字摘要），接著用發(fā)送方的公鑰對報文附加的數字簽名解密。

桂林電子科技大學計算機控制學院Hash簽名是最主要的數字簽名方法：桂林電子科技27

圖9.3.3數字簽名桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院282、數字簽名的使用方法（1）發(fā)送方首先用哈希函數從明文文件中生成一個數字摘要，用自己的私鑰對這個數字摘要進行加密來形成發(fā)送方的數字簽名。然后選擇一個對稱密鑰對文件加密，通過網絡傳輸到接收方，并將該數字簽名作為附件和報文密文一起發(fā)送給接收方。用接收方的公鑰將對稱密鑰加密，并通過網絡傳輸到接收方。桂林電子科技大學計算機控制學院2、數字簽名的使用方法桂林電子科技大學計算機控制學院29

（2）接收方首先，使用自己的私鑰對密鑰信息進行解密，得到對稱密鑰。然后，用對稱密鑰對文件進行解密，得到數字簽名的明文，并得到經過加密的數字簽名。最后，用發(fā)送方的公鑰對數字簽名進行解密。桂林電子科技大學計算機控制學院（2）接收方桂林電子科技大學計算機控制學院30接受方公鑰接受方私鑰密約對哈希函數對稱密鑰密文對稱密鑰密文對稱密鑰哈希函數對稱密鑰3加密4解密數字簽名發(fā)送方私鑰1加密密文2加密密文傳輸傳輸發(fā)送方公鑰6解密7對比5解密密約對發(fā)送方接受方原文件簽名密文原文件簽名文件數字簽名數字簽名桂林電子科技大學計算機控制學院接受方公鑰接受方私鑰密約對哈希函數對稱密鑰密文對稱密鑰密文對313、數字簽名的優(yōu)點●易更換；●難偽造；●不可抵賴；●可進行遠程線路傳遞。桂林電子科技大學計算機控制學院3、數字簽名的優(yōu)點桂林電子科技大學計算機控制學院324.5安全認證技術電子商務是在網絡中完成的，交易雙方互不見面。為了保證每個人及機構（如銀行、商家）都能唯一而且被無誤地識別，就需要進行身份認證。桂林電子科技大學計算機控制學院4.5安全認證技術電子商務是在網絡中完成的，交33認證的目的●真實性，確認身份的真實性●可信性，確認信息來源是可信的●完整性，確認信息沒有被篡改●不可抵賴性，接受方不能否認已收到信息●訪問控制，拒絕非法訪問桂林電子科技大學計算機控制學院認證的目的桂林電子科技大學計算機控制學院34

一、CA認證中心（CertificateAuthority）電子商務認證授權機構也稱為電子商務認證中心（CA），是一個服務性機構，承擔網上安全電子交易的認證服務。其任務是受理數字證書的申請，簽發(fā)及管理數字證書，確認用戶身份。桂林電子科技大學計算機控制學院一、CA認證中心桂林電子科技大學計算機控制學院351、認證中心的職能

●證書發(fā)放可有多種方法向申請者發(fā)放證書，可發(fā)放給最終用戶簽名的或加密的證書。

●證書更新持卡人證書、商戶和支付網關證書應定期更新。

●證書撤消若私鑰被泄密，身份信息需更新或終止使用等，可撤消證書。

●證書驗證認證證書是通過信任分級體系來驗證的，每一種證書與簽發(fā)它的單位相聯系，沿著該信任樹直接到一個認可信賴的組織，就可以確定證書的有效性。桂林電子科技大學計算機控制學院1、認證中心的職能桂林電子科技大學計算機控制學院362、認證體系的結構認證體系呈樹型結構，不同等級的認證中心負責發(fā)放不同的證書。圖9.3.5CA體系示意圖桂林電子科技大學計算機控制學院2、認證體系的結構桂林電子科技大學計算機控制學院37桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院38桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院39桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院40二、數字證書數字證書是標志網絡用戶身份信息和密鑰所有權的電子文檔（一系列數據），用來在網絡通訊中識別通訊各方的身份，在Internet上解決“我是誰”的問題，就如同現實中我們每一個人都要擁有一張身份證一樣，以表明我們的身份或某種資格。

桂林電子科技大學計算機控制學院二、數字證書桂林電子科技大學計算機控制學院41

數字證書是由權威公正的第三方機構即CA中心簽發(fā)的，以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。桂林電子科技大學計算機控制學院數字證書是由權威公正的第三方機構即CA中心簽發(fā)的，42

1、數字證書的類型●客戶證書證實客戶身份和密鑰所有權?！穹掌髯C書證實服務器的身份和公鑰。●安全郵件證書證實電子郵件用戶的身份和公鑰?！馛A機構證書證實認證中心身份和簽名密鑰。桂林電子科技大學計算機控制學院1、數字證書的類型桂林電子科技大學計算機控制學院43

2、數字證書的內容一個標準的X.509數字證書包含以下一些內容：●證書的版本信息●證書的序列號，每個證書都有一個唯一的證書序列號●證書所使用的簽名算法桂林電子科技大學計算機控制學院2、數字證書的內容桂林電子科技大學計算機控制學院44●證書的發(fā)行機構名稱，命名規(guī)則一般采用X.500格式●證書的有效期，現在一般采用UTC格式，計時范圍為1950-2049●證書所有人的名稱，命名規(guī)則一般采用X.500格式●證書所有人的公開密鑰●證書發(fā)行者對證書的簽名桂林電子科技大學計算機控制學院●證書的發(fā)行機構名稱，命名規(guī)則一般桂林電子科技大學計算機控制45

3、數字證書的有效性只有下列條件為真時，數字證書才有效。①證書沒有過期②密鑰沒有修改③用戶有權使用這個密鑰④證書必須不在無效證書清單中桂林電子科技大學計算機控制學院3、數字證書的有效性桂林電子科技大學計算機控制學院46三、數字時間戳DTSS（DigitalTime－StampService）1、數字時間戳的概念數字時間戳是用來證明消息的收發(fā)時間的。需要一個第三方來提供可信賴的且不可抵賴的時間戳服務。作為可信賴的第三方，應為服務器端和客戶端應用頒發(fā)時間戳。打上時間戳就是將一個可信賴的日期和時間與數據綁定在一起的過程。桂林電子科技大學計算機控制學院三、數字時間戳DTSS桂林電子科技大學計算機控制學院47

用戶首先將需要加時間戳的文件經加密后形成文檔，然后將摘要發(fā)送到專門提供數字時間戳服務的權威機構，該機構對原摘要加上時間后，進行數字簽名，用私鑰加密，并發(fā)送給原用戶。

桂林電子科技大學計算機控制學院用戶首先將需要加時間戳的文件經加密后形成文檔，然48數字時間戳的應用過程桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院49

2、時間戳產生的過程用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTSS認證單位。DTSS認證單位在加入了收到文件摘要的日期和時間信息后再對該文件加密（數字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由DTSS認證單位來加的，并以收到文件的時間為依據。桂林電子科技大學計算機控制學院2、時間戳產生的過程桂林電子科技大學計算機控制學院503、數字時間戳的作用●數據文件加蓋的時間戳與存儲數據的物理媒體無關?！駥σ鸭由w時間戳的文件不可能做絲毫改動（即使僅lbit）。●要想對某個文件加蓋與當前日期和時間不同的時間戳是不可能的。桂林電子科技大學計算機控制學院3、數字時間戳的作用桂林電子科技大學計算機控制學院51

用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。

數字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。數字證書的格式一般采用X.509國際標準。桂林電子科技大學計算機控制學院

用戶也可以采用自己的私鑰對信息加以處524.6電子商務安全應用協議電子商務安全協議分類

1）加密協議2）身份驗證協議3）密鑰管理協議4）數據驗證協議5）安全審計協議6）防護協議桂林電子科技大學計算機控制學院4.6電子商務安全應用協議電子商務安全協議分53

一、國際通用電子商務安全協議1.安全套接層協議SSL（SecureSocketsLayer）SSL是由網景公司推出的一種安全通信協議，主要作用是保證Web站點之間的通信經過加密、認證和完整性。它能夠對信用卡和個人信息提供較強的保護。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。桂林電子科技大學計算機控制學院一、國際通用電子商務安全協議桂林電子科技大學計算機控制學54（2）安全套接層協議SSL的工作原理網站、網民到CA中心申請數字證書；網民輸入要訪問的網站域名，到CA中心下載和安裝該網站的數字證書；網站得到網民的信息包后，隨機產生一個對稱密鑰，并用網站私鑰加密（數字簽名）后發(fā)送給網民。網民用CA中心提供的網站數字證書中的網站公鑰解密，得到對稱密鑰。雙方使用該對稱密鑰進行數據加密和解密。桂林電子科技大學計算機控制學院（2）安全套接層協議SSL的工作原理桂林電子科技大學計算55（3）實現SSL協議的HTTP是安全版，稱為HTTPS。

桂林電子科技大學計算機控制學院（3）實現SSL協議的HTTP是安全版，稱為桂林電56建立SSL安全連接的過程在eCoin上登陸用戶名時即進入SSL安全連接。在eCoin上連接交換敏感信息的頁面桂林電子科技大學計算機控制學院建立SSL安全連接的過程桂林電子科技大學計算機控制學57

這時瀏覽器發(fā)出安全警報，開始建立安全連接，參見左圖。同時驗證安全證書，參見右圖。用戶單擊“確定”鍵即進入安全連接。

瀏覽器開始建立安全連接瀏覽器驗證服務器安全證書桂林電子科技大學計算機控制學院這時瀏覽器發(fā)出安全警報，開始建立安全連接，參見左58

該圖顯示在eCoin上的安全連接已經建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網頁傳輸的用戶名和密碼都將通過加密方式傳送。桂林電子科技大學計算機控制學院該圖顯示在eCoin上的安全連接已經建立，瀏覽器59

當加密方式傳送結束后，瀏覽器會離開交換敏感信息的頁面，自動斷開安全連接。離開交換敏感信息的頁面，瀏覽器自動斷開安全連接

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院602、安全電子交易協議SET（SecureElectronicTransaction）為了克服SSL安全協議的缺點，達到交易安全及合乎成本效益的市場要求，VISA和MasterCard聯合其他國際組織，于1997年5月共同制定了安全電子交易SET協議。桂林電子科技大學計算機控制學院2、安全電子交易協議SET桂林電子科技大學計算機控制學61

SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。桂林電子科技大學計算機控制學院SET主要是為了解決用戶、商家和銀行之間通過信用卡62SET安全電子交易標準特點執(zhí)行步驟與常規(guī)的信用卡交易相似；確認持卡者、商家、金融機構的身份；保證付款數據的機密性和完整性；制定安全措施的算法和協議；局限于使用信用卡的支付手段，要求安裝電子錢包。桂林電子科技大學計算機控制學院SET安全電子交易標準特點桂林電子科技大學計算機控制學院63

在SET中采用雙重簽名技術，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數據等信息，這些涉及到與銀行業(yè)務相關的保密數據對支付網關是不保密的，因此支付網關必須由收單銀行或其委托的信用卡組織來擔當。桂林電子科技大學計算機控制學院在SET中采用雙重簽名技術，支付信息和訂單信息是64Sender’sComputerSender’sPrivateSignatureKeySender’sCertificate++Message+DigitalSignatureReceiver’sCertificateEncryptSymmetricKeyEncryptedMessageReceiver’sKey-ExchangeKeyEncryptDigitalEnvelopeMessageMessageDigest桂林電子科技大學計算機控制學院Sender’sComputerSender’sPriv65Receiver’sComputerDecryptSymmetricKeyEncryptedMessageSender’sCertificate++MessagecompareDigitalEnvelopeReceiver’sPrivateKey-ExchangeKeyDecryptMessageDigestDigitalSignatureSender’sPublicSignatureKeyDecryptMessageDigest桂林電子科技大學計算機控制學院Receiver’sComputerDecryptSymm664、公開密鑰基礎設施（PKI）（PublicKeyInfrastructure）

公開密鑰基礎設施是一種以公鑰加密技術為基礎技術手段實現安全性的技術。PKI由認證機構、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、PKI應用接口系統(tǒng)等基本成分組成。1）認證機構2）證書庫3）密鑰生成和管理系統(tǒng)4）證書管理系統(tǒng)5）PKI應用接口系統(tǒng)桂林電子科技大學計算機控制學院4、公開密鑰基礎設施（PKI）桂林電子科技大學計算機控制67

公開密鑰基礎設施的優(yōu)點：①透明性和易用性②可廣展性③可操作性強④支持多應用⑤支持多平臺作為網絡環(huán)境的一種基礎設施，PKI具有良好的性能，是一個比較完整的安全體系。電子商務建設過程中涉及的許多安全問題都可由PKI解決。桂林電子科技大學計算機控制學院公開密鑰基礎設施的優(yōu)點：桂林電子科技大學計算機控制學院684.7防火墻技術一、防火墻的概念二、防火墻的作用三、防火墻的種類四、防火墻的體系結構五、防火墻的設計桂林電子科技大學計算機控制學院4.7防火墻技術一、防火墻的概念桂林電子科技大學計算機控69一、防火墻的概念內部網和外部網間的一個保護層，強制所有的連接須經過此保護層進行檢查，只有被授權的通信才能通過此保護層，從而保護內部網和外部網的訪問。1、限制外部網對內部網的訪問2、限制內部網對外部網的訪問桂林電子科技大學計算機控制學院一、防火墻的概念內部網和外部網間的一個70二、防火墻的作用1、保護那些易受攻擊的服務2、控制對特殊站點的訪問3、集中化的安全管理4、對網絡訪問進行記錄和統(tǒng)計5、網絡地址翻譯器桂林電子科技大學計算機控制學院二、防火墻的作用1、保護那些易受攻擊的服務桂林電子科技大學計71三、防火墻的種類1、數據包過濾防火墻2、代理服務器防火墻3、復合型防火墻桂林電子科技大學計算機控制學院三、防火墻的種類1、數據包過濾防火墻桂林電子科技大學計算機控721、數據包過濾防火墻

數據包過濾（PacketFiltering）技術是在網絡層對數據包進行選擇，選擇的依據是系統(tǒng)內設置的過濾邏輯，被稱為訪問控制表（AccessControlTable）。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態(tài)等因素或它們的組合來確定是否允許該數據包通過。桂林電子科技大學計算機控制學院1、數據包過濾防火墻桂林電子科技大學計算機控制學院732、代理服務器防火墻

應用級網關（ApplicationLevelGateways）也常常稱為代理服務器，是在網絡應用層上建立協議過濾和轉發(fā)功能。應用型防火墻不允許網絡間的直接業(yè)務聯系，而是以堡壘主機作為數據轉發(fā)的中轉站。在業(yè)務進行時，堡壘主機監(jiān)控全過程并完成詳細的日志（log）和審計（audit），這就大大地提高了網絡的安全性。應用型防火墻易于建立和維護，造價較低，比包過濾路由器更安全，但缺少透明性，效率相對較低。桂林電子科技大學計算機控制學院2、代理服務器防火墻桂林電子科技大學計算機控制學院743、復合型防火墻包過濾路由器雖有較好的透明性，但無法有效地區(qū)分同一IP地址的不同用戶；應用型防火墻可以提供詳細的日志及身份驗證，但又缺少透明性。因此，在實際應用中，往往將兩種防火墻技術結合起來，相互以取長補短，從而形成復合型防火墻。桂林電子科技大學計算機控制學院3、復合型防火墻桂林電子科技大學計算機控制學院75四、防火墻的體系結構1、雙宿主機型防火墻2、屏蔽主機型防火墻3、屏蔽子網型防火墻桂林電子科技大學計算機控制學院四、防火墻的體系結構1、雙宿主機型防火墻桂林電子科技大學計算761、雙重宿主主機體系防火墻內部的網絡系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的網絡系統(tǒng)（在互聯網上）也能與雙重宿主主機通信。雙重宿主主機需要細細驗看所通過的數據包的內容，并將其改頭換面重新包裝。如果數據包中有違禁的東西，則根據內部網絡的安全策略進行處理。例如外部網絡的A數據包通過防火墻后則變成了A’數據包，內部網絡的B數據包通過防火墻后就變成了B’數據包。在雙重宿主主機上，有內外數據的緩沖區(qū)，當通信繁忙時也可以起緩沖的作用。桂林電子科技大學計算機控制學院1、雙重宿主主機體系桂林電子科技大學計算機控制學院77雙重宿主主機體系結構示意圖

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院782、屏蔽主機體系屏蔽主機體系是使用一個單獨的路由器提供來自與內部的網絡相連的主機服務。這種體系的防火墻是由路由器和堡壘主機組成。如圖顯示的就是路由器充當防火墻的體系。從圖中可以看出，堡壘主機位于內部的網絡上，在屏蔽的路由器上的數據包過濾是按這樣一種方式設置的：即堡壘主機是互聯網連接到內部網絡系統(tǒng)的橋梁，任何外部的系統(tǒng)試圖訪問內部的系統(tǒng)或服務，都必須連接到這臺堡壘服務器上。因此堡壘主機需要擁有高等級的安全。桂林電子科技大學計算機控制學院2、屏蔽主機體系桂林電子科技大學計算機控制學院79屏蔽主機體系結構示意圖

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院803、屏蔽子網體系

屏蔽子網體系增加額外的安全層到被屏蔽的主機體系中，即通過添加虛擬的內部網絡更進一步地把內部網絡與互聯網隔開。即使侵襲者通過了第一道防火墻，他所看到的是一個虛擬的內部網絡和堡壘主機，在這個虛擬的環(huán)境中，他看到的只是一個假象，并沒有什么實質的東西供他利用；相反，如果他在中間稍有“不慎”，可能就會露出“馬腳”。

屏蔽子網體系的最簡單的形式是防火墻為兩個屏蔽路由器，每一個都連接到虛擬的內部網即周邊網。一個位于周邊網與內部網之間，另一個位于周邊網與外部網之間（通常為互聯網）。桂林電子科技大學計算機控制學院3、屏蔽子網體系桂林電子科技大學計算機控制學院81屏蔽子網體系結構示意圖桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院82五、防火墻的設計1、防火墻的姿態(tài)：沒有被列為允許的服務都是被禁止的沒有被列為禁止的服務都是被允許的2、機構的整體安全策略3、防火墻的費用4、防火墻系統(tǒng)的構件桂林電子科技大學計算機控制學院五、防火墻的設計1、防火墻的姿態(tài)：桂林電子科技大學計算機控制83第四章電子商務安全

（ElectronicCommerceSecurity）4.1電子商務面臨的安全問題4.2電子商務安全的對策4.3數據加密技術4.4數據簽名技術4.5安全認證技術4.6電子商務安全應用協議4.7防火墻技術桂林電子科技大學計算機控制學院第四章電子商務安全

（ElectronicCommer844.1電子商務面臨的安全問題●信息泄露●信息篡改●信息破壞：丟失、中斷●信息假造：假冒、抵賴●計算機病毒桂林電子科技大學計算機控制學院4.1電子商務面臨的安全問題●信息泄露桂林電子科技大學計85電腦犯罪:50個國家有信息恐怖組織,計算機犯罪年增長率152%。每次計算機犯罪損失46萬美元,而每次搶劫平均損失僅24美元。美國每年因電子商務安全問題所造成的經濟損失達75億美元，電子商務企業(yè)的電腦安全受到侵犯的比例從1997年的49%升到1999年的54%。桂林電子科技大學計算機控制學院電腦犯罪:50個國家有信息恐怖組織,計算機犯罪年86網絡部件的不安全因素●電磁泄漏●搭線竊聽●非法終端●非法入侵●注入非法信息●線路干擾●意外原因●病毒入侵桂林電子科技大學計算機控制學院網絡部件的不安全因素●電磁泄漏●87軟件的不安全因素●安全功能不健全（TCP/IP）●特洛伊木馬(FTP)●要害程序非法使用或破壞●用戶未分類標識●處理錯誤●程序變更無記錄桂林電子科技大學計算機控制學院軟件的不安全因素●安全功能不健全（TCP/IP）桂林電子科88工作人員的不安全因素●保密觀念不強或不懂保密規(guī)則●業(yè)務不熟練●規(guī)章制度不健全●素質差、缺乏責任心●故意非法訪問●超越權限操作●竊取系統(tǒng)或用戶信息桂林電子科技大學計算機控制學院工作人員的不安全因素●保密觀念不強或不懂保密規(guī)則桂林電子科89●自然災害：地震、臺風、洪水●人為災害：火災、盜竊…...環(huán)境的不安全因素桂林電子科技大學計算機控制學院●自然災害：地震、臺風、洪水環(huán)境的不安全因素桂林電子科技大904.2電子商務安全的對策1、電子商務的安全要求●身份的真實性●信息的保密性●信息的完整性●信息的不可抵賴性桂林電子科技大學計算機控制學院4.2電子商務安全的對策1、電子商務的安全要求桂林電子科912、技術對策：●數據加密●CA認證、數字簽名●防火墻●安全工具包/軟件●訪問控制●數據完整性控制●網絡安全檢測設備桂林電子科技大學計算機控制學院2、技術對策：桂林電子科技大學計算機控制學院923、管理對策：●人員管理制度電子商務安全運作基本原則：雙人負責原則、任期有限原則、最小權限原則。●保密制度●跟蹤、審計、稽核制度●網絡系統(tǒng)的日常維護制度●病毒防范制度桂林電子科技大學計算機控制學院3、管理對策：桂林電子科技大學計算機控制學院931、數據加密模型2、數據加密算法3、數據加密的應用4.3數據加密技術桂林電子科技大學計算機控制學院1、數據加密模型4.3數據加密技術桂林電子科技大學計算機控941、數據加密模型E加密D解密明文X明文X密文C密文C截取者解密密鑰Kd加密密鑰Ke桂林電子科技大學計算機控制學院1、數據加密模型ED明文X明文X密文C密文C截取者解密密鑰K951、數據加密算法●古典加密解密方法

凱撒密碼:明文—ABCDEFGHIJKLMNOP…密文—defghijklmnopqrs…實例:CHINA---fklqd換位密碼:明文—COMPUTERSECURITY分組—COPUTERSECURITY密文—ceuorrpsiuettcy桂林電子科技大學計算機控制學院1、數據加密算法桂林電子科技大學計算機控制學院96

●散列編碼散列編碼是用散列算法求出某個消息的散列值的過程。散列編碼對于判別信息是否在傳輸時被改變非常方便。如果信息被改變，原散列值就會與由接收者所收消息計算出的散列值不匹配。桂林電子科技大學計算機控制學院●散列編碼桂林電子科技大學計算機控制學院97

●對稱加密對稱加密，它用且只用一個密鑰對信息進行加密和解密。桂林電子科技大學計算機控制學院●對稱加密桂林電子科技大學計算機控制學院98SecuritySchemesSecretKeyCryptography(Symmetric對稱)ScrambledMessageOriginalMessageSenderInternetScrambledMessageKeysender(=Keyreceiver)EncryptionOriginalMessageReceiverKeyreceiverDecryption桂林電子科技大學計算機控制學院SecuritySchemesSecretKeyCry99●非對稱加密1977年麻省理工學院的三位教授（Rivest、Shamir和Adleman）發(fā)明了RSA公開密鑰密碼系統(tǒng)。在此系統(tǒng)中有一對密碼，給別人用的就叫公鑰，給自己用的就叫私鑰。用公鑰加密后的密文，只有私鑰能解。桂林電子科技大學計算機控制學院●非對稱加密桂林電子科技大學計算機控制學院100

非對稱加密技術示意圖

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院101PublicKeyCryptography(Asymmetric非對稱)SenderOriginalMessageScrambledMessageScrambledMessagePublicKeyreceiverOriginalMessageReceiverPrivateKeyreceiverInternetSecuritySchemes(cont.)MessageSenderOriginalMessageScrambledMessageScrambledMessagePrivateKeysenderOriginalMessageReceiverPublicKeysenderInternetDigitalSignature桂林電子科技大學計算機控制學院PublicKeyCryptography(Asymm102RSA的算法基于大整數的分解，算法如下：①

選取兩個足夠大的素數P和Q②

計算P和Q相乘的乘積n＝P×Q③

找出一個小于n的數e，使其與（P－1）×（Q－1）互為素數；桂林電子科技大學計算機控制學院RSA的算法基于大整數的分解，桂林電子科技大學計算機103④另找一個數d，使其滿足：（e×d）MOD［（P－1）×（Q－l）］＝1其中MOD（模）為相除取余；(n，e)即為公鑰；（n，d）為私鑰。加密和解密的運算方式為：明文M＝Cd（MODn）；密文C＝Me（MODn）桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院104假定P＝3，Q＝11，則n=P×Q＝33，選擇e=3，因為3和20沒有公共因子。（3×d）MOD（20）＝1，得出d＝7。從而得到（33，3）為公鑰；（33，7）為私鑰。加密過程為將明文M的3次方模33得到密文C，解密過程為將密文C的7次方模33得到明文。下表顯示了非對稱加密和解密的過程。桂林電子科技大學計算機控制學院假定P＝3，Q＝11，桂林電子科技大學計算機控制學院105明文M

密文C

解密

字母

序號

M3

M3（MOD33）

C7

C7（MOD33）

字母

A01101101AE0512526803181017605EN1427440578125

14NS1968592813492928512

19SZ261757620128000000

26Z桂林電子科技大學計算機控制學院明文M密文C解密字母序號M3M3（MOD3106安全強度129位十進制/429位BIT數1600部電腦，43個國家、600多人，8個月1994年分解出64位和65位兩個因子。桂林電子科技大學計算機控制學院安全強度桂林電子科技大學計算機控制學院1073、數據加密的應用●數據的保密性與完整性●數字簽名●數字認證桂林電子科技大學計算機控制學院3、數據加密的應用●數據的保密性與完整性桂林電子科技大學計1084.4數據簽名技術1、數字簽名的概念

數字簽名（DigitalSignature）技術是將摘要用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。數字簽名主要有3種應用廣泛的方法：RSA簽名、DSS簽名和Hash簽名。桂林電子科技大學計算機控制學院4.4數據簽名技術1、數字簽名的概念桂林電子科技大學計109Hash簽名是最主要的數字簽名方法：報文的發(fā)送方從明文中生成一個128比特的散列值（數字摘要）。發(fā)送方用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數字簽名。該數字簽名將作為附件和報文一起發(fā)送給接收方。報文的接收方從接收到的原始報文中計算出128比特的散列值（數字摘要），接著用發(fā)送方的公鑰對報文附加的數字簽名解密。

桂林電子科技大學計算機控制學院Hash簽名是最主要的數字簽名方法：桂林電子科技110

圖9.3.3數字簽名桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院1112、數字簽名的使用方法（1）發(fā)送方首先用哈希函數從明文文件中生成一個數字摘要，用自己的私鑰對這個數字摘要進行加密來形成發(fā)送方的數字簽名。然后選擇一個對稱密鑰對文件加密，通過網絡傳輸到接收方，并將該數字簽名作為附件和報文密文一起發(fā)送給接收方。用接收方的公鑰將對稱密鑰加密，并通過網絡傳輸到接收方。桂林電子科技大學計算機控制學院2、數字簽名的使用方法桂林電子科技大學計算機控制學院112

（2）接收方首先，使用自己的私鑰對密鑰信息進行解密，得到對稱密鑰。然后，用對稱密鑰對文件進行解密，得到數字簽名的明文，并得到經過加密的數字簽名。最后，用發(fā)送方的公鑰對數字簽名進行解密。桂林電子科技大學計算機控制學院（2）接收方桂林電子科技大學計算機控制學院113接受方公鑰接受方私鑰密約對哈希函數對稱密鑰密文對稱密鑰密文對稱密鑰哈希函數對稱密鑰3加密4解密數字簽名發(fā)送方私鑰1加密密文2加密密文傳輸傳輸發(fā)送方公鑰6解密7對比5解密密約對發(fā)送方接受方原文件簽名密文原文件簽名文件數字簽名數字簽名桂林電子科技大學計算機控制學院接受方公鑰接受方私鑰密約對哈希函數對稱密鑰密文對稱密鑰密文對1143、數字簽名的優(yōu)點●易更換；●難偽造；●不可抵賴；●可進行遠程線路傳遞。桂林電子科技大學計算機控制學院3、數字簽名的優(yōu)點桂林電子科技大學計算機控制學院1154.5安全認證技術電子商務是在網絡中完成的，交易雙方互不見面。為了保證每個人及機構（如銀行、商家）都能唯一而且被無誤地識別，就需要進行身份認證。桂林電子科技大學計算機控制學院4.5安全認證技術電子商務是在網絡中完成的，交116認證的目的●真實性，確認身份的真實性●可信性，確認信息來源是可信的●完整性，確認信息沒有被篡改●不可抵賴性，接受方不能否認已收到信息●訪問控制，拒絕非法訪問桂林電子科技大學計算機控制學院認證的目的桂林電子科技大學計算機控制學院117

一、CA認證中心（CertificateAuthority）電子商務認證授權機構也稱為電子商務認證中心（CA），是一個服務性機構，承擔網上安全電子交易的認證服務。其任務是受理數字證書的申請，簽發(fā)及管理數字證書，確認用戶身份。桂林電子科技大學計算機控制學院一、CA認證中心桂林電子科技大學計算機控制學院1181、認證中心的職能

●證書發(fā)放可有多種方法向申請者發(fā)放證書，可發(fā)放給最終用戶簽名的或加密的證書。

●證書更新持卡人證書、商戶和支付網關證書應定期更新。

●證書撤消若私鑰被泄密，身份信息需更新或終止使用等，可撤消證書。

●證書驗證認證證書是通過信任分級體系來驗證的，每一種證書與簽發(fā)它的單位相聯系，沿著該信任樹直接到一個認可信賴的組織，就可以確定證書的有效性。桂林電子科技大學計算機控制學院1、認證中心的職能桂林電子科技大學計算機控制學院1192、認證體系的結構認證體系呈樹型結構，不同等級的認證中心負責發(fā)放不同的證書。圖9.3.5CA體系示意圖桂林電子科技大學計算機控制學院2、認證體系的結構桂林電子科技大學計算機控制學院120桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院121桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院122桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院123二、數字證書數字證書是標志網絡用戶身份信息和密鑰所有權的電子文檔（一系列數據），用來在網絡通訊中識別通訊各方的身份，在Internet上解決“我是誰”的問題，就如同現實中我們每一個人都要擁有一張身份證一樣，以表明我們的身份或某種資格。

桂林電子科技大學計算機控制學院二、數字證書桂林電子科技大學計算機控制學院124

數字證書是由權威公正的第三方機構即CA中心簽發(fā)的，以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。桂林電子科技大學計算機控制學院數字證書是由權威公正的第三方機構即CA中心簽發(fā)的，125

1、數字證書的類型●客戶證書證實客戶身份和密鑰所有權?！穹掌髯C書證實服務器的身份和公鑰?！癜踩]件證書證實電子郵件用戶的身份和公鑰?！馛A機構證書證實認證中心身份和簽名密鑰。桂林電子科技大學計算機控制學院1、數字證書的類型桂林電子科技大學計算機控制學院126

2、數字證書的內容一個標準的X.509數字證書包含以下一些內容：●證書的版本信息●證書的序列號，每個證書都有一個唯一的證書序列號●證書所使用的簽名算法桂林電子科技大學計算機控制學院2、數字證書的內容桂林電子科技大學計算機控制學院127●證書的發(fā)行機構名稱，命名規(guī)則一般采用X.500格式●證書的有效期，現在一般采用UTC格式，計時范圍為1950-2049●證書所有人的名稱，命名規(guī)則一般采用X.500格式●證書所有人的公開密鑰●證書發(fā)行者對證書的簽名桂林電子科技大學計算機控制學院●證書的發(fā)行機構名稱，命名規(guī)則一般桂林電子科技大學計算機控制128

3、數字證書的有效性只有下列條件為真時，數字證書才有效。①證書沒有過期②密鑰沒有修改③用戶有權使用這個密鑰④證書必須不在無效證書清單中桂林電子科技大學計算機控制學院3、數字證書的有效性桂林電子科技大學計算機控制學院129三、數字時間戳DTSS（DigitalTime－StampService）1、數字時間戳的概念數字時間戳是用來證明消息的收發(fā)時間的。需要一個第三方來提供可信賴的且不可抵賴的時間戳服務。作為可信賴的第三方，應為服務器端和客戶端應用頒發(fā)時間戳。打上時間戳就是將一個可信賴的日期和時間與數據綁定在一起的過程。桂林電子科技大學計算機控制學院三、數字時間戳DTSS桂林電子科技大學計算機控制學院130

用戶首先將需要加時間戳的文件經加密后形成文檔，然后將摘要發(fā)送到專門提供數字時間戳服務的權威機構，該機構對原摘要加上時間后，進行數字簽名，用私鑰加密，并發(fā)送給原用戶。

桂林電子科技大學計算機控制學院用戶首先將需要加時間戳的文件經加密后形成文檔，然131數字時間戳的應用過程桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院132

2、時間戳產生的過程用戶首先將需要加時間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTSS認證單位。DTSS認證單位在加入了收到文件摘要的日期和時間信息后再對該文件加密（數字簽名），然后送回用戶。書面簽署文件的時間是由簽署人自己寫上的，而數字時間戳則不然，它是由DTSS認證單位來加的，并以收到文件的時間為依據。桂林電子科技大學計算機控制學院2、時間戳產生的過程桂林電子科技大學計算機控制學院1333、數字時間戳的作用●數據文件加蓋的時間戳與存儲數據的物理媒體無關。●對已加蓋時間戳的文件不可能做絲毫改動（即使僅lbit）?！褚雽δ硞€文件加蓋與當前日期和時間不同的時間戳是不可能的。桂林電子科技大學計算機控制學院3、數字時間戳的作用桂林電子科技大學計算機控制學院134

用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；

（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。

數字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。數字證書的格式一般采用X.509國際標準。桂林電子科技大學計算機控制學院

用戶也可以采用自己的私鑰對信息加以處1354.6電子商務安全應用協議電子商務安全協議分類

1）加密協議2）身份驗證協議3）密鑰管理協議4）數據驗證協議5）安全審計協議6）防護協議桂林電子科技大學計算機控制學院4.6電子商務安全應用協議電子商務安全協議分136

一、國際通用電子商務安全協議1.安全套接層協議SSL（SecureSocketsLayer）SSL是由網景公司推出的一種安全通信協議，主要作用是保證Web站點之間的通信經過加密、認證和完整性。它能夠對信用卡和個人信息提供較強的保護。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。桂林電子科技大學計算機控制學院一、國際通用電子商務安全協議桂林電子科技大學計算機控制學137（2）安全套接層協議SSL的工作原理網站、網民到CA中心申請數字證書；網民輸入要訪問的網站域名，到CA中心下載和安裝該網站的數字證書；網站得到網民的信息包后，隨機產生一個對稱密鑰，并用網站私鑰加密（數字簽名）后發(fā)送給網民。網民用CA中心提供的網站數字證書中的網站公鑰解密，得到對稱密鑰。雙方使用該對稱密鑰進行數據加密和解密。桂林電子科技大學計算機控制學院（2）安全套接層協議SSL的工作原理桂林電子科技大學計算138（3）實現SSL協議的HTTP是安全版，稱為HTTPS。

桂林電子科技大學計算機控制學院（3）實現SSL協議的HTTP是安全版，稱為桂林電139建立SSL安全連接的過程在eCoin上登陸用戶名時即進入SSL安全連接。在eCoin上連接交換敏感信息的頁面桂林電子科技大學計算機控制學院建立SSL安全連接的過程桂林電子科技大學計算機控制學140

這時瀏覽器發(fā)出安全警報，開始建立安全連接，參見左圖。同時驗證安全證書，參見右圖。用戶單擊“確定”鍵即進入安全連接。

瀏覽器開始建立安全連接瀏覽器驗證服務器安全證書桂林電子科技大學計算機控制學院這時瀏覽器發(fā)出安全警報，開始建立安全連接，參見左141

該圖顯示在eCoin上的安全連接已經建立，瀏覽器右下角狀態(tài)欄的鎖型圖案表示用戶通過網頁傳輸的用戶名和密碼都將通過加密方式傳送。桂林電子科技大學計算機控制學院該圖顯示在eCoin上的安全連接已經建立，瀏覽器142

當加密方式傳送結束后，瀏覽器會離開交換敏感信息的頁面，自動斷開安全連接。離開交換敏感信息的頁面，瀏覽器自動斷開安全連接

桂林電子科技大學計算機控制學院桂林電子科技大學計算機控制學院1432、安全電子交易協議SET（SecureElectronicTransaction）為了克服SSL安全協議的缺點，達到交易安全及合乎成本效益的市場要求，VISA和MasterCard聯合其他國際組織，于1997年5月共同制定了安全電子交易SET協議。桂林電子科技大學計算機控制學院2、安全電子交易協議SET桂林電子科技大學計算機控制學144

SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的，以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。桂林電子科技大學計算機控制學院SET主要是為了解決用戶、商家和銀行之間通過信用卡145SET安全電子交易標準特點執(zhí)行步驟與常規(guī)的信用卡交易相似；確認持卡者、商家、金融機構的身份；保證付款數據的機密性和完整性；制定安全措施的算法和協議；局限于使用信用卡的支付手段，要求安裝電子錢包。桂林電子科技大學計算機控制學院SET安全電子交易標準特點桂林電子科技大學計算機控制學院146

在SET中采用雙重簽名技術，支付信息和訂單信息是分別簽署的，這樣保證了商家看不到支付信息，而只能看到訂單信息。支付指令中包括了交易ID、交易金額、信用卡數據等信息，這些涉及到與銀行業(yè)務相關的保密數據對支付網關是不保密的，因此支付網關必須由收單銀行或其委托的信用卡組織來擔當。桂林電子科技大學計算機控制學院在SET中采用雙重簽名技術，支付信息和訂單信息是147Sender’sComputerSender’sPrivateSignatureKeySender’sCertificate++Message+DigitalSignatureReceiver’sCertificateEncryptSymmetricKeyEncryptedMessageReceiver’sKey-ExchangeKeyEncryptDigitalEnvelopeMessageMessageDigest桂林電子科技大學計算機控制學院Sender’sComputerSender’sPriv148Receiver’sComputerDecryptSymmetricKeyEncryptedMessageSender’sCertificate++MessagecompareDigitalEnvelopeReceiver’sPrivateKey-ExchangeKeyDecryptMessageDigestDigitalSignatureSender’sPublicSignatureKeyDecryptMessageDigest桂林電子科技大學計算機控制學院Receiver’sComputerDecryptSymm1494、公開密鑰基礎設施（PKI）（PublicKeyInfrastructure）

公開密鑰基礎設施是一種以公鑰加密技術為基礎技術手段實現安全