電子商務(wù)安全技術(shù)培訓(xùn)資通用課件

電子商務(wù)安全技術(shù)培訓(xùn)資課件2023/1/11第四章電子商務(wù)安全技術(shù)2023/1/11第四章電子商務(wù)安全技術(shù)本章學(xué)習(xí)要點(diǎn)1.理解電子商務(wù)安全在哪些方面會(huì)面臨威脅，了解活動(dòng)頁(yè)面和瀏覽器插件對(duì)客戶信息安全的威脅，理解數(shù)據(jù)在傳輸過(guò)程中會(huì)受到哪幾種威脅，理解電子商務(wù)服務(wù)器的安全威脅主要表現(xiàn)在哪些方面。理解電子商務(wù)安全需求。熟悉電子商務(wù)安全內(nèi)容；2.掌握加密的基本原理，熟悉傳統(tǒng)的加密算法，理解對(duì)稱加密和非對(duì)稱加密的概念和原理，理解散列算法的概念；3.了解防火墻的概念，熟悉防火墻的功能和分類；4.了解身份認(rèn)證的概念，熟悉身份認(rèn)證技術(shù)的幾種分類，掌握各分類的操作原理，理解不同種類的身份認(rèn)證技術(shù)的區(qū)別，掌握數(shù)字簽名的概念，熟悉數(shù)字簽名的流程，理解數(shù)字信封和數(shù)字時(shí)間戳的概念，掌握數(shù)字證書的概念和類型，了解數(shù)字證書的應(yīng)用，熟悉認(rèn)證中心的概念和職能，理解認(rèn)證系統(tǒng)的構(gòu)成；5.理解一個(gè)安全的電子商務(wù)交易需要有哪些保證。理解電子商務(wù)交易安全的技術(shù)保證，熟悉安全交易協(xié)議主要包括那幾個(gè)方面的內(nèi)容。2023/1/11第四章電子商務(wù)安全技術(shù)4.1電子商務(wù)安全概述電子商務(wù)安全所面臨的威脅:一是對(duì)客戶信息的安全威脅二是對(duì)傳輸鏈路的安全威脅三是對(duì)電子商務(wù)服務(wù)器的安全威脅2023/1/11第四章電子商務(wù)安全技術(shù)客戶信息的安全威脅

（1）活動(dòng)頁(yè)面嵌套在HTML中的程序，也將構(gòu)成客戶信息安全的重大威脅。遠(yuǎn)程客戶可以通過(guò)嵌套的惡意程序，讀取用戶頁(yè)面的信息，甚至是保留在Cookie程序中的信用卡用戶及密碼信息。（2）瀏覽器的插件但如果是一些無(wú)數(shù)字證書，或者是一些不健康的網(wǎng)站的插件，通常帶有安全的威脅。這些插件中可能會(huì)有病毒，會(huì)有惡意攻擊程序，會(huì)改寫你的注冊(cè)表等等。

2023/1/11第四章電子商務(wù)安全技術(shù)傳輸信道的安全威脅

（1）竊聽：隨著科學(xué)技術(shù)的不斷發(fā)展，竊聽的涵義早已超出隔墻偷聽、截聽電話的概念，它是指借助于技術(shù)設(shè)備、技術(shù)手段，不僅竊取語(yǔ)音信息，還竊取數(shù)據(jù)、文字、圖象等信息。

（2）中斷：在通信過(guò)程中，通信雙方受到第三方干擾，造成通信中斷。

（3）篡改：在通信過(guò)程中，第三方截獲信息并修改了交易雙方的內(nèi)容。

（4）偽造：在通信過(guò)程中，第三放偽造交易雙方的身份進(jìn)行交易。

2023/1/11第四章電子商務(wù)安全技術(shù)2023/1/11第四章電子商務(wù)安全技術(shù)電子商務(wù)服務(wù)器的安全威脅

（1）系統(tǒng)安全。

（2）數(shù)據(jù)庫(kù)系統(tǒng)的安全

2023/1/11第四章電子商務(wù)安全技術(shù)電子商務(wù)安全的需求

1.保密性

保密性一般通過(guò)加密技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)，常用的加密技術(shù)有對(duì)稱加密和非對(duì)稱加密

2.完整性

完整性一般可通過(guò)散列算法提取信息的數(shù)據(jù)摘要的方式來(lái)進(jìn)行對(duì)比驗(yàn)證得到。3.不可抵賴性不可抵賴性可通過(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)獲取

2023/1/11第四章電子商務(wù)安全技術(shù)電子商務(wù)安全的內(nèi)容

計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。

2023/1/11第四章電子商務(wù)安全技術(shù)4.2加密技術(shù)看下面例子：代換密碼（一個(gè)或一組代替另外一個(gè)或一組字符）例如：網(wǎng)絡(luò)傳輸CHINA，對(duì)應(yīng)加密后是：

ZEFKX

前移3字符位原文：ABCDEFGHIJKLMNOPQRSTUVWXYZ密文：

XYZABCDEFGHIJKLMNOPQRSTUVW2023/1/11第四章電子商務(wù)安全技術(shù)

由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過(guò)統(tǒng)計(jì)，所以根據(jù)字母頻度表可以很容易對(duì)這種代替密碼進(jìn)行破譯。如何破解這類的密文？？？？2023/1/11第四章電子商務(wù)安全技術(shù)再看一個(gè)加密的例子：中國(guó)的網(wǎng)絡(luò)企業(yè)70%以上沒(méi)有信息安全保障密鑰：864513279密文為：絡(luò)安業(yè)沒(méi)企全的信網(wǎng)息國(guó)上70%有中以保障864513279

中國(guó)的網(wǎng)絡(luò)企業(yè)70%以上信息安全沒(méi)有保障2023/1/11第四章電子商務(wù)安全技術(shù)

現(xiàn)在常用的加密方法按加密程序類型分為三類：散列編碼、對(duì)稱加密和非對(duì)稱加密

（1）散列編碼

相當(dāng)于信息的指紋，每個(gè)信息的散列值是唯一的。使用單向散列函數(shù)計(jì)算信息的“摘要”，將它連同信息發(fā)送給接受方。接受方重新計(jì)算“摘要”，并與收到的“摘要”進(jìn)行比較以驗(yàn)證信息在傳輸過(guò)程中的完整性。這種散列函數(shù)使任何兩個(gè)不同的輸入不可能產(chǎn)生相同的輸出。因此一個(gè)被修改了的文件不可能有同樣的“摘要”。2023/1/11第四章電子商務(wù)安全技術(shù)

如：（1）“我們7月30號(hào)去旅游”——AD3D3DFVAF

（2）一個(gè)實(shí)現(xiàn)算法：

input

=

"Let

us

meet

at

9

o'

clock

at

the

secret

place.";$hash

=

mhash(MHASH_SHA1,

$input);

print

"散列值為

".bin2hex($hash)."\n";

散列值為

d3b85d710d8f6e4e5efd4d5e67d041f9cecedafe

2023/1/11第四章電子商務(wù)安全技術(shù)請(qǐng)看下面示意圖：Let

us

meet

at

9

o'

clock

at

the

secret

place散列函數(shù)我們7月30號(hào)去旅游AD3D3DFVAFD3b85d710d8f6e4e5efd4d5e67d041f9cecedafe2023/1/11第四章電子商務(wù)安全技術(shù)(2)對(duì)稱密鑰加密體制也叫私有密鑰加密，只用一個(gè)密鑰對(duì)信息進(jìn)行加密與解密，發(fā)送者與接收者都必須知道密鑰。對(duì)稱密鑰密碼技術(shù)要求加密解密雙方擁有相同的密鑰。對(duì)稱密鑰密碼技術(shù)的代表是數(shù)據(jù)加密標(biāo)準(zhǔn)DES（DataEncryptionStandard），這是美國(guó)國(guó)家標(biāo)準(zhǔn)局于1977年公布的由IBM公司提出的一種加密算法，作為商用的數(shù)據(jù)加密標(biāo)準(zhǔn)。DES的公布在密碼學(xué)發(fā)展過(guò)程中具有重要意義，并且至今仍得到普遍采用。DES加密的主要步驟：加密前，先對(duì)整個(gè)的明文進(jìn)行分組，每一個(gè)組長(zhǎng)64位使用密鑰64位（實(shí)際56位，8位用于奇偶校驗(yàn)）對(duì)每一個(gè)64位分組進(jìn)行加密處理，產(chǎn)生一組64位密文數(shù)據(jù)將各組密文串接起來(lái)，得出整個(gè)的密文DES的保密性取決于對(duì)密鑰的保密,而算法是公開的。2023/1/11第四章電子商務(wù)安全技術(shù)對(duì)稱密鑰加密體制密鑰：864513279密文為：絡(luò)安業(yè)沒(méi)企全的信網(wǎng)息國(guó)上70有中以障%保得到原文：864513279中國(guó)的網(wǎng)絡(luò)企業(yè)70%以上信息安全沒(méi)有保障2023/1/11第四章電子商務(wù)安全技術(shù)(3)非對(duì)稱密鑰加密體制

公鑰密鑰加密體制對(duì)當(dāng)代密碼學(xué)的發(fā)展具有重要影響。當(dāng)網(wǎng)絡(luò)用戶數(shù)很多時(shí)，對(duì)稱密鑰的管理十分繁瑣，而公鑰密碼的密鑰管理則可大大簡(jiǎn)化。也稱公鑰密鑰加密，它用兩個(gè)數(shù)學(xué)相關(guān)的密鑰對(duì)信息進(jìn)行編碼，其中一個(gè)叫公開密鑰（Public-Key），可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通信的人；第二個(gè)密鑰是私有密鑰（Private-Key），由用戶自己秘密保存，私有密鑰持有者對(duì)信息進(jìn)行解密?，F(xiàn)代密碼算法將加密密鑰與解密密鑰區(qū)分開來(lái)，且由加密密鑰事實(shí)上求不出解密密鑰。公鑰密碼體制的代表是RSA公鑰密碼，是由三位發(fā)明者姓名（Rivest，Shamir，Adleman）的第一個(gè)字母聯(lián)合構(gòu)成的。2023/1/11第四章電子商務(wù)安全技術(shù)RSA公鑰密碼(1)加密密鑰Pk（公開密鑰）是公開信息，而解密密鑰Sk（秘密密鑰）是需要保密的。加密算法和解密算法也都是公開的。特點(diǎn)如下:發(fā)送者用加密密鑰Pk對(duì)明文X加密后，在接受者用解秘密鑰Sk解密，即可恢復(fù)出明文：Dsk(Epk(x))=X加密和解密的運(yùn)算可以對(duì)調(diào)：即Epk(Dsk(X))=X2023/1/11第四章電子商務(wù)安全技術(shù)RSA公鑰密碼(2)加密密鑰是公開的，但不能用它來(lái)解密，即Dpk(Epk(X))=X在計(jì)算機(jī)上可以容易的產(chǎn)生成對(duì)的Pk和Sk從已知的Pk實(shí)際上不可能推導(dǎo)出Sk，即從Pk到Sk是計(jì)算上不可能的。加密和解密算法都是公開的。2023/1/11第四章電子商務(wù)安全技術(shù)非對(duì)稱加密示意圖請(qǐng)看非對(duì)稱加密如何工作的你的公鑰加密你的私鑰解密我要給你的信息你收到的信息通信網(wǎng)2023/1/11第四章電子商務(wù)安全技術(shù)如何保證交易的完整性？？保護(hù)交易的完整性，就是要保護(hù)客戶與商家在網(wǎng)絡(luò)傳輸?shù)挠唵涡畔?，結(jié)算信息等不受到破壞。第一，保護(hù)信息的安全，保證知道發(fā)出的信息是否正確的，沒(méi)有被修改的。

——可用散列函數(shù)提取信息摘要，即數(shù)字摘要方法。散列函數(shù)信息摘要發(fā)送接收方用收到的訂單信息生成信息摘要，與附加的信息摘要對(duì)比，檢查信息是否被修改采購(gòu)訂單4.4認(rèn)證技術(shù)2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字摘要（DigitalDigest）數(shù)字摘要這一安全認(rèn)證技術(shù)亦稱安全Hash編碼法(SHA:SecureHashAlgorithm)或MD5(MDStandardsforMessageDigest)，由RonRivest所設(shè)計(jì)。該編碼法采用單向Hash函數(shù)將需加密的明文"摘要"成一串128bit的密文，這一串密文亦稱為數(shù)字指紋(FingerPrint)，它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要便可成為驗(yàn)證明文是否是"真身"的"指紋"了。

2023/1/11第四章電子商務(wù)安全技術(shù)問(wèn)題：

散列算法是公開的，如何有人修改了訂單中的送貨地址和商品數(shù)量，重新生成信息摘要，然后把修改后的信息和新的信息摘要發(fā)給商家。商家收到信息后檢查，發(fā)覺是匹配的，也就是說(shuō)，修改后也沒(méi)人發(fā)現(xiàn)。

那么，我們?cè)撊绾翁岢龈倪M(jìn)方案，保證發(fā)信息的人是商家所期待的客戶？就是說(shuō)，我們要讓商家能確認(rèn)發(fā)送訂單的客戶的身份。

解決辦法：數(shù)字簽名2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字簽名(digitalsignature)在書面文件上簽名是確認(rèn)文件的一種手段，簽名的作用有兩點(diǎn)，一是因?yàn)樽约旱暮灻y以否認(rèn)，從而確認(rèn)了文件已簽署這一事實(shí)；二是因?yàn)楹灻灰追旅埃瑥亩_定了文件是真的這一事實(shí)。數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認(rèn)以下兩點(diǎn)：信息是由簽名者發(fā)送的。信息自簽名后到收到為止未曾作過(guò)任何修改。這樣數(shù)字簽名就可用來(lái)防止電子信息因易被修改而有人作偽；或冒用別人名義發(fā)送信息；或發(fā)出（收到）信件后又加以否認(rèn)等情況發(fā)生。2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字簽名并非用“手書簽名”類型的圖型標(biāo)志，它采用了雙重加密的方法來(lái)實(shí)現(xiàn)防偽、防賴。其原理為：①被發(fā)送文件用SHA編碼加密產(chǎn)生128Bit的數(shù)字摘要。②發(fā)送方用自己的私用密鑰對(duì)摘要再加密，這就形成了數(shù)字簽名。③將原文和加密的摘要同時(shí)傳給對(duì)方。④對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生又一摘要。⑤將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要互對(duì)比。如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。否則不然。2023/1/11第四章電子商務(wù)安全技術(shù)第二.公鑰可幫助我們實(shí)現(xiàn)數(shù)字簽名。商家客戶認(rèn)證中心

因?yàn)榭蛻裘荑€是他唯一所有的，也就是說(shuō)，除了該客戶能產(chǎn)生這樣的密文外，其他的客戶是不能產(chǎn)生這樣的密文的，也就是說(shuō)訂單是被客戶簽名了的，商家從而可以進(jìn)行身份認(rèn)證。假如客戶抵賴發(fā)給商家的訂單，商家可以去認(rèn)證中心鑒別，通過(guò)這樣的方法，保證了交易的不可抵賴性。2023/1/11第四章電子商務(wù)安全技術(shù)我們看看安全交易的示意圖：散列函數(shù)數(shù)字簽名發(fā)送給商家采購(gòu)訂單信息摘要客戶密鑰數(shù)字簽名散列函數(shù)數(shù)字簽名信息摘要公開密鑰信息摘要=?認(rèn)證中心2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字信封(DigitalEnvelope)數(shù)字信封是依靠SET密碼系統(tǒng)密鑰加密技術(shù)和公開密鑰加密技術(shù)優(yōu)點(diǎn)，來(lái)保證消息的可靠傳輸?shù)囊环N加密技術(shù)。在數(shù)字信封中，使用隨機(jī)產(chǎn)生的對(duì)稱密鑰來(lái)加密數(shù)據(jù)：發(fā)送者自動(dòng)生成對(duì)稱密鑰，用它加密原文，將生成的密文連同密鑰本身一起在用公開手段傳送出去。收信者在解密以后同時(shí)得到了對(duì)稱密鑰和用它加密的密文。這樣可以保證每次傳送都可以由發(fā)送方選定不同的密鑰進(jìn)行。2023/1/11第四章電子商務(wù)安全技術(shù)金融交易所使用的密鑰必須經(jīng)常更換，但是為了解決每次更換密鑰的問(wèn)題，數(shù)字信封克服了秘密密鑰加密中秘密密鑰分發(fā)困難和公開密鑰加密中加密時(shí)間長(zhǎng)的問(wèn)題，使用兩個(gè)層次的加密來(lái)獲得公開密鑰技術(shù)的靈活性和秘密密鑰技術(shù)的高效性。信息發(fā)送方使用密碼對(duì)信息進(jìn)行加密，從而保證只有規(guī)定的收信人才能閱讀信的內(nèi)容。采用數(shù)字信封技術(shù)后，即使加密文件被他人非法截獲，因?yàn)榻孬@者無(wú)法得到發(fā)送方的通信密鑰，故不可能對(duì)文件進(jìn)行解密。2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字時(shí)間戳（digitaltime-stamp）交易文件中，時(shí)間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關(guān)鍵性內(nèi)容。在電子交易中，同樣需對(duì)交易文件的日期和時(shí)間信息采取安全措施，而數(shù)字時(shí)間戳服務(wù)DTS就能提供電子文件發(fā)表時(shí)間的安全保護(hù)。DTS是網(wǎng)上安全服務(wù)項(xiàng)目，由專門的機(jī)構(gòu)提供。時(shí)間戳(time-stamp)是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：①需加時(shí)間戳的文件的摘要(digest)，②DTS收到文件的日期和時(shí)間，③DTS的數(shù)字簽名。2023/1/11第四章電子商務(wù)安全技術(shù)時(shí)間戳產(chǎn)生的過(guò)程為：用戶首先將需要加時(shí)間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密（數(shù)字簽名），然后送回用戶。由Bellcore創(chuàng)造的DTS采用如下的過(guò)程：加密時(shí)將摘要信息歸并到二叉樹的數(shù)據(jù)結(jié)構(gòu)；再將二叉樹的根值發(fā)表在報(bào)紙上，這樣更有效地為文件發(fā)表時(shí)間提供了佐證。注意，書面簽署文件的時(shí)間是由簽署人自己寫上的，而數(shù)字時(shí)間戳則不然，它是由認(rèn)證單位DTS來(lái)加的，以DTS收到文件的時(shí)間為依據(jù)。因此，時(shí)間戳也可作為科學(xué)家的科學(xué)發(fā)明文獻(xiàn)的時(shí)間認(rèn)證。2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字證書（Digitalcertificate）數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是一個(gè)由權(quán)威機(jī)構(gòu)--CA機(jī)構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行的，人們可以在交往中用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡(jiǎn)單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號(hào)等信息，證書的格式遵循ITUTX.509國(guó)際標(biāo)準(zhǔn)。2023/1/11第四章電子商務(wù)安全技術(shù)數(shù)字證書是以INTERNET為背景，在新的商務(wù)運(yùn)作模式下產(chǎn)生的。我們必須以新的思維來(lái)接受，理解它。在使用數(shù)字證書的過(guò)程中，通過(guò)運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，能夠保證信息除發(fā)送方和接收方外不被其它人竊取；信息在傳輸過(guò)程中不被篡改；發(fā)送方能夠通過(guò)數(shù)字證書來(lái)確認(rèn)接收方的身份；發(fā)送方對(duì)于自己發(fā)送的信息不能抵賴。數(shù)字證書可用于：方便，快捷，安全的，發(fā)送電子郵件；訪問(wèn)安全站點(diǎn)、網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上簽約、網(wǎng)上訂購(gòu)、安全網(wǎng)上公文傳送、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上繳稅、網(wǎng)上購(gòu)物等網(wǎng)上的安全電子事務(wù)處理和安全電子交易活動(dòng)。2023/1/11第四章電子商務(wù)安全技術(shù)認(rèn)證中心(CACertificationAuthority)在電子交易中，無(wú)論是數(shù)字時(shí)間戳服務(wù)（DTS）還是數(shù)字證書(DigitalID)的發(fā)放，都不是靠交易的雙方自己能完成的，而需要有一個(gè)具有權(quán)威性和公正性的第三方來(lái)完成。認(rèn)證中心(CA)就是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、能簽發(fā)數(shù)字證書、并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。認(rèn)證中心依據(jù)認(rèn)證操作規(guī)定(CPS：CertificationPracticeStatement)來(lái)實(shí)施服務(wù)操作。2023/1/11第四章電子商務(wù)安全技術(shù)認(rèn)證中心認(rèn)證機(jī)構(gòu)發(fā)放的證書一般分為持卡人證書、支付網(wǎng)關(guān)證書、商戶證書、銀行證書以及發(fā)卡機(jī)構(gòu)證書。認(rèn)證中心有四大職能：證書發(fā)放證書更新證書撤銷證書驗(yàn)證2023/1/11第四章電子商務(wù)安全技術(shù)

防火墻（Firewall）是一類防范措施的總稱,是一種非常有效的網(wǎng)絡(luò)安全模型。在Internet上,通過(guò)它來(lái)隔離風(fēng)險(xiǎn)區(qū)域（即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（Internet）的連接,但不妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量,從而完成看似不可能的任務(wù)：僅讓安全、核準(zhǔn)了的信息進(jìn)入,同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。4.3防火墻技術(shù)2023/1/11第四章電子商務(wù)安全技術(shù)一般講，企業(yè)內(nèi)部網(wǎng)常采用局域網(wǎng)技術(shù)，外部網(wǎng)常為廣域網(wǎng)，用路由器來(lái)互連內(nèi)部網(wǎng)和外部網(wǎng)，因此路由器所在的位置也應(yīng)是防火墻的位置；有時(shí)，路由器中也集成了防火墻的功能。防火墻設(shè)施通常具有2個(gè)或者1個(gè)端口；雙端口時(shí)，分別接外部網(wǎng)和內(nèi)部網(wǎng)（如下圖）；

單端口時(shí)，則需交換設(shè)備的端口綁定（見下圖）。

2023/1/11第四章電子商務(wù)安全技術(shù)限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過(guò)濾掉不安全服務(wù)和非法用戶；

防止入侵者接近你的防御設(shè)施；限定人們?cè)L問(wèn)特殊站點(diǎn)；

為監(jiān)視Internet安全提供方便。

防火墻服務(wù)于多個(gè)目的2023/1/11第四章電子商務(wù)安全技術(shù)實(shí)現(xiàn)防火墻的主要技術(shù)包括數(shù)據(jù)包過(guò)濾和代理服務(wù)。網(wǎng)絡(luò)級(jí)防火墻：防止整個(gè)網(wǎng)絡(luò)出現(xiàn)外來(lái)非法的入侵。由分組過(guò)濾（檢查所有流入網(wǎng)絡(luò)的信息，拒絕不符合安全策略的數(shù)據(jù)）和授權(quán)服務(wù)器（檢查用戶的登錄是否合法）組成。應(yīng)用級(jí)防火墻：從應(yīng)用程序來(lái)進(jìn)行存取控制。通常使用應(yīng)用網(wǎng)關(guān)和委托服務(wù)器來(lái)。2023/1/11第四章電子商務(wù)安全技術(shù)包過(guò)濾型防火墻（IPFiltingFirewall）

包過(guò)濾（PacketFilter）是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯,檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過(guò)。包過(guò)濾型防火墻便是基于數(shù)據(jù)包過(guò)濾的防火墻。這類防火墻安全性非常好,最大的優(yōu)點(diǎn)就是它對(duì)于用戶來(lái)說(shuō)是透明的,也就是說(shuō)不需要用戶名和密碼來(lái)登錄,這種防火墻速度快而且易于維護(hù),通常做為第一道防線。然而其弊端也是很明顯的,就是缺乏記帳功能―――通常它沒(méi)有用戶的使用記錄,這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄。2023/1/11第四章電子商務(wù)安全技術(shù)

分組過(guò)濾器是目前使用最為廣泛的防火墻，其原理很簡(jiǎn)單：1、有選擇地允許數(shù)據(jù)分組穿過(guò)防火墻，實(shí)現(xiàn)內(nèi)部和外部主機(jī)之間的數(shù)據(jù)交換；2、作用在網(wǎng)絡(luò)層和傳輸層；3、根據(jù)分組的源地址、目的地址、端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，否則丟棄。

2023/1/11第四章電子商務(wù)安全技術(shù)

基于代理的防火墻源于人們對(duì)越來(lái)越牢不可靠的安全方法的需求。由于包過(guò)濾防火墻可以按照IP地址禁止未授權(quán)者的訪問(wèn)。但是它不適合企業(yè)網(wǎng)用來(lái)控制內(nèi)部人員訪問(wèn)外界的網(wǎng)絡(luò),對(duì)于這樣的企業(yè)來(lái)說(shuō)代理是更好的選擇。所謂代理服務(wù),即防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)應(yīng)用層的鏈接是在兩個(gè)終止于代理服務(wù)的鏈接來(lái)實(shí)現(xiàn)的,這樣便成功的實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用,是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù),同時(shí),還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告等功能。代理服務(wù)通常由單獨(dú)的計(jì)算機(jī)和專有應(yīng)用程序承擔(dān)。代理服務(wù)（ProxyServer）2023/1/11第四章電子商務(wù)安全技術(shù)4.5安全的電子商務(wù)交易4.5.1技術(shù)的保證首先保證信息的完整性，即發(fā)出的信息是正確的，沒(méi)有被修改的。解決方案：用散列算法提取信息摘要，即數(shù)字摘要方法。缺點(diǎn)：散列算法可以檢查數(shù)據(jù)的完整性，卻無(wú)法保證交易的安全性。2023/1/11第四章電子商務(wù)安全技術(shù)問(wèn)題：如何保證發(fā)信息的人是商家所期待的客戶？解決方案：數(shù)字簽名，保證交易的不可抵賴性。缺點(diǎn)：無(wú)法解決保密性問(wèn)題。解決方案：數(shù)字信封。2023/1/11第四章電子商務(wù)安全技術(shù)2.安全交易協(xié)議主要有：SSL和SET

SSL(SecureSocketLayer)

含義：一個(gè)保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議，它涉及所有TCP/IP應(yīng)用程序。

SSL協(xié)議提供的服務(wù)主要有：1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。2023/1/11第四章電子商務(wù)安全技術(shù)SET（SecureElectronicTransact