第4章電子商務安全

第4章

電子商務安全

內(nèi)容提要：計算機病毒防治

防火墻技術(shù)

安全檢測措施

識別和認證技術(shù)電子加密技術(shù)

安全電子交易技術(shù)

課前案例：案例：網(wǎng)銀大盜

討論內(nèi)容：隨著網(wǎng)絡的發(fā)展，一系列侵犯網(wǎng)絡安全和信息安全的惡性事件不斷地給人們敲響警鐘。請您闡述一下自己在網(wǎng)絡安全和信息安全方面的經(jīng)歷？網(wǎng)絡安全的定義根據(jù)國際標準化組織ISO對網(wǎng)絡安全的定義，它是指為數(shù)據(jù)處理系統(tǒng)建立和采取的科技和管理的安全保護，以保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露。3.1網(wǎng)絡安全與防范

3.1.1計算機病毒防治

一、網(wǎng)絡病毒的威脅

1、計算機網(wǎng)絡病毒的類型

（1）蠕蟲

（2）邏輯炸彈

（3）特洛伊木馬

（4）陷阱入口

（5）核心大戰(zhàn)2、計算機網(wǎng)絡病毒的危害

(1)對網(wǎng)絡的危害病毒程序通過“自我復制”傳染正在運行的其他程序，并與正常運行的程序爭奪計算機資源；病毒程序可沖毀存儲器中的大量數(shù)據(jù)，致使計算機其他用戶的數(shù)據(jù)蒙受損失；病毒不僅侵害所使用的計算機系統(tǒng)，而且侵害與該系統(tǒng)聯(lián)網(wǎng)的其他計算機系統(tǒng)；病毒程序可導致以計算機為核心的網(wǎng)絡失靈。

（2）病毒對計算機的危害破壞磁盤文件分配表，使用戶在磁盤上的信息丟失；將非法數(shù)據(jù)置入操作系統(tǒng)（如DOS的內(nèi)存參數(shù)區(qū)），引起系統(tǒng)崩潰；刪除硬盤或軟盤上特定的可執(zhí)行文件或數(shù)據(jù)文件；修改或破壞文件的數(shù)據(jù)；影響內(nèi)存常駐程序的正常執(zhí)行；在磁盤上產(chǎn)生虛假壞分區(qū)，從而破壞有關的程序或數(shù)據(jù)文件；更改或重新寫入磁盤的卷標號；不斷反復傳染拷貝，造成存儲空間減少，并影響系統(tǒng)運行效率；對整個磁盤或磁盤上的特定磁道進行格式化；系統(tǒng)掛起，造成顯示屏幕或鍵盤的封鎖狀態(tài)。二、企業(yè)范圍的病毒防治

有效的多層保護措施必須具備：

集成性：所有的保護措施必須在邏輯上是統(tǒng)一的和相互配合的。

單點管理：作為一個集成的解決方案，最基本的一條是必須有一個安全管理的聚焦點。

自動化：系統(tǒng)需要有能自動更新病毒特征碼數(shù)據(jù)庫和其它相關信息的功能。

多層分布：這個解決方案應該是多層次的，適當?shù)姆蓝静考谶m當?shù)奈恢梅职l(fā)出去，最大限度地發(fā)揮作用，而又不會影響網(wǎng)絡負擔。防毒軟件應該安裝在服務器工作站和郵件系統(tǒng)上。

1、網(wǎng)絡反病毒技術(shù)（1）預防病毒技術(shù)（2）檢測病毒技術(shù)（3）消除病毒技術(shù)2、計算機病毒的防范措施（1）給自己的電腦安裝防病毒軟件（2）認真執(zhí)行病毒定期清理制度（3）控制權(quán)限（4）高度警惕網(wǎng)絡陷阱（5）不打開陌生地址的電子郵件

三、布署和管理防病毒軟件布署一種防病毒軟件的實際操作一般包括以下步驟：

1、制定計劃。了解在你所管理的網(wǎng)絡上存放的是什么類型的數(shù)據(jù)和信息。

2、調(diào)查。選擇一種能滿足你的要求并且具備盡量多的前面所提到的各種功能的防病毒軟件。

3、測試。在小范圍內(nèi)安裝和測試所選擇的防病毒軟件，確保其工作正常并且與現(xiàn)有的網(wǎng)絡系統(tǒng)和應用軟件相兼容。

4、維護。管理和更新系統(tǒng)確保其能發(fā)揮預計的功能，并且可以利用現(xiàn)有的設備和人員進行管理；下載病毒特征碼數(shù)據(jù)庫更新文件，在測試范圍內(nèi)進行升級，徹底理解這種防病毒系統(tǒng)的重要方面。

5、系統(tǒng)安裝。在測試得到滿意結(jié)果后，就可以將此種防病毒軟件安裝在整個網(wǎng)絡范圍內(nèi)。

3.1.2防火墻技術(shù)一、防火墻原理

防火墻（FireWall）是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡和不安全的網(wǎng)絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡上被非法輸出。防火墻是一種被動防衛(wèi)技術(shù)，由于它假設了網(wǎng)絡的邊界和服務，因此對內(nèi)部的非法訪問難以有效地控制，因此，防火墻最適合于相對獨立的與外部網(wǎng)絡互連途徑有限、網(wǎng)絡服務種類相對集中的單一網(wǎng)絡。

二、防火墻的種類真正意義下的防火墻有兩類：一類被稱為標準防火墻；一類叫雙家網(wǎng)關

在雙家網(wǎng)關的基礎上又演化出兩種防火墻配置：一種是隱蔽主機網(wǎng)關；另一種是隱蔽智能網(wǎng)關（隱蔽子網(wǎng)）

從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡級防火墻（也叫包過濾型防火墻）、應用級網(wǎng)關、電路級網(wǎng)關和規(guī)則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。1、網(wǎng)絡級防火墻

一般是基于源地址和目的地址、應用或協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方，去向何處。

2、應用級網(wǎng)關

應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。在實際工作中，應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網(wǎng)絡級防火墻。

3、電路級網(wǎng)關

電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。4、規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也像電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也像應用級網(wǎng)關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則。

三、使用防火墻

防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務置于防火墻外，使其對防火墻內(nèi)部資源的訪問受到限制。一般說來，防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個功能。防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。此外，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡的性能降低50%以上，如果為了改善網(wǎng)絡性能而購置高速路由器，又會大大提高經(jīng)濟預算。

四、防火墻的安全體系

1、雙重宿主主機體系

2、屏蔽主機體系

3、屏蔽子網(wǎng)體系

3.1.3安全檢測措施

一、網(wǎng)絡安全檢測思路與技巧

1、通過DNS查詢得到目標的網(wǎng)絡拓撲基本情況，比如有幾臺主機，各自起的服務是什么等等。這是必要的步驟因為我們檢測應該針對網(wǎng)絡，而不是單一主機。

2、用nmap進行端口掃描，判斷操作系統(tǒng)，結(jié)合自己的一些經(jīng)驗，必要的時候抓banner，判斷出目標主機的操作系統(tǒng)類型。

3、用nessus進行普通漏洞的掃描,得到一個大致的報告。對報告進行分析，nessus的報告有些地方并不準確，而且有漏掃或誤報的情況，比如嚴重的unicode漏洞機器明明有,它卻會掃不到，對這種情況我們必須有人工的判斷。

4、cgi漏洞也必須有專門的掃描器進行，可以結(jié)合whisker或者twwwscan或者xscan，自己判斷需要增加哪些危險cgi的檢測。

上面只是最簡單的，任何一個初學電腦的人可能都能夠較好完成的工作流程

因此下面要談到其它檢查方式：

1、在有防火墻的情況下：建議可以使用如hping、firewalk之類的工具，更加靈活地探測目標主機的情況，根據(jù)數(shù)據(jù)包的返回做更進一步的判斷。這需要操作者掌握TCP/IP基本知識，并能靈活運用判斷。

2、對主頁程序的檢測，雖然我們只能在外面做些基本的輸入驗證檢測。但按照現(xiàn)在常見的web錯誤，我們可以從下面幾個方面著手分析：

a、特殊字符的過濾:&;`‘\"

*?~<>^()[]{}$\n\r這些字符由于在不同的系統(tǒng)或運行環(huán)境中會具有特殊意義，如變量定義、賦值、取值、非顯示字符、運行外部程序等，而被列為危險字符但在許多編程語言、開發(fā)軟件工具、數(shù)據(jù)庫甚至操作系統(tǒng)中遺漏其中某些特殊字符的情況時常出現(xiàn)，從而導致出現(xiàn)帶有普遍性的安全問題。當有需要web用戶輸入的時候，根據(jù)不同的數(shù)據(jù)庫系統(tǒng)、編程語言提交帶不同參數(shù)變量的url，很可能造成服務器端資料泄露甚至可執(zhí)行系統(tǒng)命令。

b、WEB服務器的錯誤編碼或解碼可能會導致服務器信息的泄露、可執(zhí)行命令、源代碼泄露等錯誤。比較典型的應該是unicode漏洞以及各種iis服務器、apache服務器的源代碼泄露漏洞。c、利用程序錯誤的邊界判斷而造成的緩沖區(qū)溢出進行攻擊。最近的一個典型案例應該是發(fā)現(xiàn)的.printer溢出漏洞。這是webserver本身的問題；但網(wǎng)站應用程序的編寫者也可能犯下同樣的錯誤，就是對用戶輸入不加驗證。但這方面的錯誤比較不容易試出來。

二、網(wǎng)絡安全檢測工具種類1、掃描器掃描器是一種自動檢測遠程或本地主機安全性弱點的軟件,通過使用掃描器你可不留痕跡地發(fā)現(xiàn)遠程服務器的各種TCP端口的分配及提供的服務,以及相關的軟件版本。這就能讓我們間接地或直觀地了解到遠程主機所存在的安全問題。掃描器通過選用遠程TCP/IP不同的端口的服務,并記錄目標給予的回答,通過這種方法,可以搜集到很多關于目標主機的各種有用的信息（比如：是否能用匿名登陸、是否有可寫的FTP目錄、是否能用TELNET,HTTPD、是用ROOT還是nobody）。

2、嗅探器(Sniffer)嗅探器具有軟件探測功能能夠捕獲網(wǎng)絡報文的設備。嗅探器的正當用處在于分析網(wǎng)絡的流量,以便找出所關心的網(wǎng)絡中潛在的問題。例如,假設網(wǎng)絡的某一段運行得不是很好,報文的發(fā)送比較慢,而我們又不知道問題出在什么地方,此時就可以用嗅探器來作出精確的問題判斷。嗅探器在功能和設計方面有很多不同。有些只能分析一種協(xié)議,而另一些可能能夠分析幾百種協(xié)議。不同的場合有不同的用處。3、Sniffit它是指網(wǎng)絡端口探測器,配置在后臺運行可以檢測(如TCP/IP端口上用戶的輸入/輸出信息。常被攻擊者可以用來檢測主機端口23(telnet)和110(pop3)端口)上的數(shù)據(jù)傳送情況,以便輕松得到你的登錄口令和E-mail帳號密碼。Sniffit基本上是被破壞者所利用的工具。為了增強自身站點的安全性,我們必須知道攻擊者所使用的各種工具。

4、TripwireTripwire是一個用來檢驗文件完整性的非常有用的工具,通常的文件檢測運行的模式是:數(shù)據(jù)庫生成模式,數(shù)據(jù)庫更新模式,文件完整性檢查,互動式數(shù)據(jù)庫更新。當初始化數(shù)據(jù)庫生成的時候,它生成對現(xiàn)有文件的各種信息的數(shù)據(jù)庫文件,萬一以后你的系統(tǒng)文件或者各種配置文件被意外地改變,替換,刪除,它將每天基于原始的數(shù)據(jù)庫與現(xiàn)有文件進行比較,可以發(fā)現(xiàn)哪些文件被更改,這樣你就能根據(jù)E-mail的結(jié)果判斷是否有系統(tǒng)入侵等意外事件發(fā)生。

5、LogcheckLogcheck是用來自動檢查系統(tǒng)安全入侵事件和非正?；顒佑涗浀墓ぞ?它分析各種Lintlxlog文件,像/var/log/messages,/var/log/secure,/var/log/maillog等等,然后生成一個可能有安全問題的檢查報告自動發(fā)送E-mail給管理員。只要設置它基于每小時,或者每天用crond來自動運行。6、NmapNmap是用來對一個比較大的網(wǎng)絡進行端口掃描的工具,它能檢測該服務器有哪些TCP/IP端口目前正處于打開狀態(tài)。運行它可以確保已經(jīng)禁止掉不該打開的不安全的端口號。7、狀態(tài)監(jiān)視技術(shù)狀態(tài)監(jiān)視技術(shù)是第三代網(wǎng)絡安全技術(shù)。狀態(tài)監(jiān)視服務的監(jiān)視模塊在不影響網(wǎng)絡正常工作的前提下,采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各個層次實行監(jiān)測,并作為安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡協(xié)議和應用協(xié)議,可以方便地實現(xiàn)應用和服務的擴充。狀態(tài)監(jiān)視服務可以監(jiān)視RPC(遠程過程調(diào)用)和UDP(用戶數(shù)據(jù)報)端口信息,而包過濾和代理服務則都無法做到。

8、PAM(PluggableAuthenticationModules)PAM是一套共享庫,它為系統(tǒng)管理員進行用戶確認提供廣泛的控制,他提供一個前端函數(shù)庫用來確認用戶的應用程序。PAM庫可以用一個單獨的文件來配置,也可以通過一組配置文件來配置。PAM可以配置成提供單一的或完整的登錄過程,使用戶輸入一條口令就能訪問多種服務。例如,ftp程序傳統(tǒng)上依靠口令機制來確認一個希望開始進行ftp會議的用戶。配置了PAM的系統(tǒng)把ftp確認請求發(fā)送給PAMAPI（應用程序接口）,后者根據(jù)pam.conf或相關文件中的設置規(guī)則來回復。系統(tǒng)管理員可以設置PAM使一個或多個認證機制能“插入”到PAMAPI中。PAM的優(yōu)點之處在于其靈活性,系統(tǒng)管理員可以精心調(diào)整整個認證方案而不用擔心破壞應用程序和計算機病毒攻擊。

9、智能卡技術(shù)智能卡就是密鑰的一種媒體,它本身含有微處理器,一般就像信用卡一樣,由授權(quán)用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內(nèi)部網(wǎng)絡服務器上注冊的密碼一致。當口令與身份特征共同使用時,智能卡的保密性能還是相當有效的。

三、無線入侵檢測系統(tǒng)

現(xiàn)在隨著黑客技術(shù)的提高，無線局域網(wǎng)（WLANs）受到越來越多的威脅。配置無線基站（WAPs）的失誤導致會話劫持以及拒絕服務攻擊（DoS）都像瘟疫一般影響著無線局域網(wǎng)的安全。無線網(wǎng)絡不但因為基于傳統(tǒng)有線網(wǎng)絡TCP/IP架構(gòu)而受到攻擊，還有可能受到基于電氣和電子工程師協(xié)會

（IEEE）

發(fā)行802.11標準本身的安全問題而受到威脅。為了更好的檢測和防御這些潛在的威脅，無線局域網(wǎng)也使用了一種入侵檢測系統(tǒng)（IDS）來解決這個問題。實訓案例：如何構(gòu)建一個入門級入侵檢測系統(tǒng)3.2信息安全技術(shù)

3.2.1識別和認證技術(shù)

一、認證和識別的基本原理認證就是指用戶必須提供他是誰的證明，他是某個雇員，某個組織的代理、某個軟件過程（如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過程）。認證的標準方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識別他的東西。比如說，系統(tǒng)中存儲了他的指紋，他接入網(wǎng)絡時，就必須在連接到網(wǎng)絡的電子指紋機上提供他的指紋（這就防止他以假的指紋或其它電子信息欺騙系統(tǒng)），只有指紋相符才允許他訪問系統(tǒng)。

二、認證的主要方法

為了解決安全問題，一些公司和機構(gòu)正千方百計地解決用戶身份認證問題，主要有以下幾種認證辦法。

1、雙重認證。如波斯頓的BethIsrealHospital公司和意大利一家居領導地位的電信公司正采用“雙重認證”辦法來保證用戶的身份證明。也就是說他們不是采用一種方法，而是采用有兩種形式的證明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。2、數(shù)字證書。這是一種檢驗用戶身份的電子文件，也是企業(yè)現(xiàn)在可以使用的一種工具。這種證書可以授權(quán)購買，提供更強的訪問控制，并具有很高的安全性和可靠性。隨著電信行業(yè)堅持放松管制，GTE已經(jīng)使用數(shù)字證書與其競爭對手（包括Sprint公司和AT＆T公司）共享用戶信息。3、智能卡。這種解決辦法可以持續(xù)較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。4、安全電子交易（SET）協(xié)議。這是迄今為止最為完整最為權(quán)威的電子商務安全保障協(xié)議。三、CA認證系統(tǒng)

電子交易過程中必須確認用戶、商家及所進行的交易本身是否合法可靠。一般要求建立專門的電子認證中心（CA）以核實用戶和商家的真實身份以及交易請求的合法性。認證中心將給用戶、商家、銀行等進行網(wǎng)絡商務活動的個人或集團發(fā)電子證書。

1、SET的認證（CA）在用戶身份認證方面，SET引入了證書（Certificates）和證書管理機構(gòu)（CertificatesAuthorities）機制。2、招商銀行CA方案招商銀行CA系統(tǒng)用于Web服務器的SSL公開密鑰證書，也可以為瀏覽器客戶發(fā)證，在SSL協(xié)議的秘密密鑰交換過程中加密密鑰參數(shù)。今后會開發(fā)其它的密碼服務，并在國家有關部門規(guī)定下開展公開密鑰認證服務。

3、世界著名的認證中心Verisign4、中國知名的認證中心①中國數(shù)字認證網(wǎng)（）②中國金融認證中心（）③中國電子郵政安全證書管理中心（/CA/index.htm）④北京數(shù)字證書認證中心（）⑤廣東省電子商務認證中心（）⑥上海市電子商務安全證書管理中心有限公司（）⑦海南省電子商務認證中心（）⑧天津CA認證中心（/ca/ca-1/ca.htm）⑨山東省CA認證中心（）

3.2.2電子加密技術(shù)一、加密

數(shù)據(jù)加密技術(shù)從技術(shù)上的實現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。

下面介紹幾種最常見的加密體制的技術(shù)實現(xiàn)：

1、常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的。在早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個例子來說明：將字母a，b，c，d，…，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，…，Z，A，B，C分別對應（即相差3個字符）。若明文為student則對應的密文為VWXGHQW（此時密鑰為3）。由于英文字母中各字母出現(xiàn)的頻度早已有人進行過統(tǒng)計，所以根據(jù)字母頻度表可以很容易對這種代替密碼進行破譯。2、數(shù)據(jù)加密標準DESDES對64位二進制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實際密鑰長度為56位（有8位用于奇偶校驗）。解密時的過程和加密時相似，但密鑰的順序正好相反。DES的保密性僅取決于對密鑰的保密，而算法是公開的。DES內(nèi)部的復雜結(jié)構(gòu)是至今沒有找到捷徑破譯方法的根本原因。現(xiàn)在DES可由軟件和硬件實現(xiàn)。美國AT＆T首先用LSI芯片實現(xiàn)了DES的全部工作模式，該產(chǎn)品稱為數(shù)據(jù)加密處理機DEP。

3、公開密鑰密碼體制

公開密鑰（publickey）密碼體制出現(xiàn)于1976年。它最主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰公開密鑰PK和秘密密鑰SK，因此，這種體制又稱為雙鑰或非對稱密鑰密碼體制。在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對出現(xiàn)，但卻不能根據(jù)PK計算出SK。公開密鑰算法的特點如下：

1、用加密密鑰PK對明文X加密后，再用解密密鑰IK解密，即可恢復出明文，或?qū)憺椋篒K（PK（X））=X2、加密密鑰不能用來解密，即PK（PK（X））≠X3、在計算機上可以容易地產(chǎn)生成對的PK和IK。4、從已知的PK實際上不可能推導出IK。5、加密和解密的運算可以對調(diào)，即：PK（IK（X））=X在公開密鑰密碼體制中，最有名的一種是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會SC20推薦為公開密鑰數(shù)據(jù)加密標準。實例：RSA的算法1)選取兩個足夠大的質(zhì)數(shù)P和Q；如：P=101，Q=1132)計算P和Q相乘所產(chǎn)生的乘積n=P×Q；如：n=114133)找出一個小于n的數(shù)e，使其符合與（P－1）×（Q－1）互為質(zhì)數(shù)；如：取e=35334)另找一個數(shù)d，使其滿足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod為相除取余）；如：取d=65975)（n，e）即為公開密鑰；（n，d）即為私用密鑰；6)將明文X分組，X=X1X2…Xr（Xi<=n);7)加密：Yi=Xie（modn）,得密文Y=Y1Y2…Yr如：明文c=5761，密文m=92268)密文c＝me（modn）而明文m＝cd（modn），即無論哪一個質(zhì)數(shù)先與原文加密，均可由另一個質(zhì)數(shù)解密。但要用一個質(zhì)數(shù)來求出另一個質(zhì)數(shù)，則是非常困難的。

二、數(shù)字摘要

采用單向Hash函數(shù)對文件進行變換運算得到摘要碼，并把摘要碼和文件一同送給接收方，接收方接到文件后，用相同的方法對文件進行變換計算，用得出的摘要碼與發(fā)送來的摘要碼進行比較來斷定文件是否被篡改。

三、數(shù)字信封

數(shù)字信封（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體系結(jié)合起來，獲得了非對稱密鑰技術(shù)的靈活和對稱密鑰技術(shù)的高效四、數(shù)字簽名

以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實性的。但在計算機網(wǎng)絡中傳送的報文又如何蓋章呢？這就是數(shù)字簽名所要解決的問題。

五、數(shù)字時間戳

數(shù)字時間戳技術(shù)就是對電子文件簽署的日期和時間進行的安全性保護和有效證明的技術(shù)。它是由專門的認證機構(gòu)來加的，并以認證機構(gòu)收到文件的時間為依據(jù)。

3.3安全電子交易技術(shù)

3.3.1SSL協(xié)議

SSL協(xié)議是Netscape公司在網(wǎng)絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術(shù)。它被視為Internet上Web瀏覽器和服務器的標準安全性措施。SSL提供了用于啟動TCP/IP連接的安全性“信號交換”。這種信號交換導致客戶和服務器同意將使用的安全性級別，并履行連接的任何身份驗證要求。它通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證。在用數(shù)字證書對雙方的

身份驗證后，雙方就可以用保密密鑰進行安全的會話了。3.3.2SET協(xié)議

ET協(xié)議是針對開放網(wǎng)絡上安全、有效的銀行卡交易，由Visa和Mastercard聯(lián)合研制的，為Internet上卡支付交易提供高層的安全和反欺詐保證。SET協(xié)議保證了電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協(xié)議，雖然它在很多方面優(yōu)于SSL協(xié)議，但仍然不能解決電子商務所遇到的全部問題。一、安全電子交易規(guī)范（SET）

1、SET的作用SET（SecureElectronicTransaction）協(xié)議是維薩（VISA）國際組織、萬事達（MasterCard）國際組織創(chuàng)建，結(jié)合IBM、Microsoft、Netscape、GTE等公司制定的電子商務中安全電子交易的一個國際標準。其主要目的是解決信用卡電子付款的安全保障性問題：保證信息的機密性，保證信息安全傳輸，不能被竊聽，只有收件人才能得到和解密信息。保證支付信息的完整性，保證傳輸數(shù)據(jù)完整地接收，在中途不被篡改。認證商家和客戶，驗證公共網(wǎng)絡上進行交易活動的商家、持卡人及交易活動的合法性。廣泛的互操作性，保證采用的通訊協(xié)議、信息格式和標準具有公共適應性。從而可在公共互連網(wǎng)絡上集