06電子商務(wù)的安全管理

1、 第三章 電子商務(wù)系統(tǒng)的安全本章主要要內(nèi)容:3.1電電子商商務(wù)的主主要安全全要素3.2計(jì)計(jì)算機(jī)機(jī)網(wǎng)絡(luò)安安全3.3電電子商商務(wù)常用用安全技技術(shù)3.4電電子商商務(wù)安全全交易協(xié)協(xié)議3.5電電子商商務(wù)的安安全管理理制度3.1電電子商商務(wù)的主主要安全全要素3.1.1電子商務(wù)務(wù)的安全全要求由于Internet的國(guó)際際性、開(kāi)開(kāi)放性和和其他各各種因素素的影響響，使得得基于數(shù)數(shù)字化媒媒體形式式的電子子商務(wù)交交易在生生成、傳傳輸、保保存、驗(yàn)驗(yàn)證和鑒鑒定等多多方面出出現(xiàn)了新新的技術(shù)術(shù)需求、問(wèn)題和和困難。要在這樣樣開(kāi)放的的平臺(tái)上上成功進(jìn)進(jìn)行電子子交易，必須解解決交易易網(wǎng)絡(luò)平平臺(tái)的安安全，交交易雙方方身份的的確認(rèn)，交易

2、信信息在傳傳輸過(guò)程程中的完完整性以以及交易易操作的的不可否否認(rèn)等問(wèn)問(wèn)題，也也由此提提出了以以下幾方方面的安安全控制制要求：信息的保保密性信息的完完整性信息的有有效性信息的不不可抵賴賴性交易身份份的真實(shí)實(shí)性系統(tǒng)的可可靠性3.1.2電子商務(wù)務(wù)安全體體系結(jié)構(gòu)構(gòu)電子商務(wù)務(wù)安全技技術(shù)體系系結(jié)構(gòu)是是保證電電子商務(wù)務(wù)中數(shù)據(jù)據(jù)安全的的一個(gè)完完整的邏邏輯結(jié)構(gòu)構(gòu)，由五五個(gè)部分分組成，如下圖圖:3.2計(jì)計(jì)算機(jī)機(jī)網(wǎng)絡(luò)安安全電子商務(wù)務(wù)是基于于因特網(wǎng)網(wǎng)環(huán)境開(kāi)開(kāi)展的。因特網(wǎng)網(wǎng)的TCP/IP協(xié)議議及源代代碼的開(kāi)開(kāi)放和共共享是為為了更好好地共享享資源，然而，電子商商務(wù)中的的一些信信息是不不能共享享的，比比如個(gè)人人隱私、商業(yè)機(jī)機(jī)

3、密等，這就出出現(xiàn)了矛矛盾。每天都有有成千上上萬(wàn)的交交易在因因特網(wǎng)上上進(jìn)行，網(wǎng)絡(luò)系系統(tǒng)也面面臨著來(lái)來(lái)自黑客客攻擊、計(jì)算機(jī)機(jī)病毒、拒絕服服務(wù)攻擊擊和利用用操作系系統(tǒng)的網(wǎng)網(wǎng)絡(luò)的漏漏洞、缺缺陷從外外部非法法侵入，進(jìn)行不不法行為為的安全全隱患。這自然然使的某某些別有有用心的的人有機(jī)機(jī)可乘，在電子子商務(wù)交交易中竊竊取商業(yè)業(yè)機(jī)密、冒用他他人信用用卡、篡篡改定單單等犯罪罪行為時(shí)時(shí)有發(fā)生生。因此，因因特網(wǎng)的的安全直直接影響響著電子子商務(wù)的的安全。網(wǎng)絡(luò)安安全是信信息安全全的基礎(chǔ)礎(chǔ)，一個(gè)個(gè)完整的的電子商商務(wù)系統(tǒng)統(tǒng)應(yīng)該建建立在安安全的網(wǎng)網(wǎng)絡(luò)基礎(chǔ)礎(chǔ)設(shè)施之之上。3.2.1計(jì)算算機(jī)網(wǎng)絡(luò)絡(luò)所面臨臨的安全全威脅一黑客客攻擊1黑

4、客客的分類類2黑客客入侵網(wǎng)網(wǎng)絡(luò)方式式的基本本分類3電子子商務(wù)中中黑客攻攻擊的主主要類型型二病毒毒攻擊計(jì)算機(jī)病病毒是一一段附著著在其他他程序上上的可以以實(shí)現(xiàn)自自我復(fù)制制、自我我擴(kuò)散的的程序代代碼。計(jì)計(jì)算機(jī)病病毒種類類繁多，極易傳傳播，影影響范圍圍廣。它它動(dòng)輒刪刪除、修修改文件件，導(dǎo)致致程序運(yùn)運(yùn)行出錯(cuò)錯(cuò)、死機(jī)機(jī)，甚至至毀壞硬硬件，對(duì)對(duì)計(jì)算機(jī)機(jī)網(wǎng)絡(luò)造造成了日日益嚴(yán)重重的威脅脅。三拒絕絕服務(wù)攻攻擊使一個(gè)用用戶占用用太多的的共享資資源（服服務(wù)）到到達(dá)飽和和時(shí)，其其它用戶戶就沒(méi)有有資源可可用，則則對(duì)于新新的服務(wù)務(wù)請(qǐng)求，只能被被拒絕。3.2.2計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)安全全技術(shù)一防火火墻1.防防火墻的的概念2.防防火

5、墻的的類型:包過(guò)濾型型防火墻墻（PACKETFILTER）代理服務(wù)務(wù)型防火火墻（PROXYSERVICE）雙端主機(jī)機(jī)防火墻墻（DYAL-HOMEDHOSTFIREWALL）3防火火墻的缺缺陷二虛擬擬專用網(wǎng)網(wǎng)VPN1VPN的定定義及分分類VPN的的英文全全稱是“VirtualPrivate Network”，翻譯譯過(guò)來(lái)就就是“虛虛擬專用用網(wǎng)絡(luò)”。顧名名思義，虛擬專專用網(wǎng)絡(luò)絡(luò)我們可可以把它它理解成成是虛擬擬出來(lái)的的企業(yè)內(nèi)內(nèi)部專線線。它可可以通過(guò)過(guò)特殊的的加密的的通訊協(xié)協(xié)議在連連接在Internet上的的位于不不同地方方的兩個(gè)個(gè)或多個(gè)個(gè)企業(yè)內(nèi)內(nèi)部網(wǎng)之之間建立立一條專專有的通通訊線路路，就好好比是架架

6、設(shè)了一一條專線線一樣，但是它它并不需需要真正正的去鋪鋪設(shè)光纜纜之類的的物理線線路。根據(jù)不同同需要，可以構(gòu)構(gòu)造不同同類型的的VPN。以用用途為標(biāo)標(biāo)準(zhǔn)，VPN可可以分為為以下三三類：內(nèi)部網(wǎng)VPN遠(yuǎn)程訪問(wèn)問(wèn)VPN外部網(wǎng)VPN三入侵侵檢測(cè)系統(tǒng)統(tǒng)隨著技術(shù)術(shù)的發(fā)展展，網(wǎng)絡(luò)絡(luò)日趨復(fù)復(fù)雜，傳傳統(tǒng)的防防火墻暴暴露出其其不足和和弱點(diǎn)。入侵檢檢測(cè)系統(tǒng)統(tǒng)可以彌彌補(bǔ)防火火墻的不不足，為為網(wǎng)絡(luò)安安全提供供實(shí)時(shí)防防護(hù)。1.入侵侵檢測(cè)系系統(tǒng)的概概念和作作用入侵檢測(cè)測(cè)（IntrusionDetection）是對(duì)入入侵行為為的發(fā)覺(jué)覺(jué)。它通通過(guò)對(duì)計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)或計(jì)計(jì)算機(jī)系系統(tǒng)中的的若干關(guān)關(guān)鍵點(diǎn)收收集信息息并對(duì)其其進(jìn)行分分析，從從中

7、發(fā)現(xiàn)現(xiàn)網(wǎng)絡(luò)或或系統(tǒng)中中是否有有違反安安全策略略的行為為和被攻攻擊的跡跡象。3.2.3病病毒防治治計(jì)算機(jī)病病毒的概概念計(jì)算機(jī)病病毒的特特點(diǎn)計(jì)算機(jī)病病毒的分分類計(jì)算機(jī)病病毒的防防御常用的殺殺毒軟件件3.3電電子商商務(wù)常用用安全技技術(shù)電子商務(wù)務(wù)安全的的常用保保障技術(shù)術(shù)主要有有：信息加密密技術(shù)安全認(rèn)證證技術(shù)身份認(rèn)證證技術(shù)3.3.1信息息加密技技術(shù)1密碼碼技術(shù)基基礎(chǔ)加密技術(shù)術(shù)是利用用一定的的加密算算法，將將明文轉(zhuǎn)轉(zhuǎn)換成隱隱蔽形式式的密文文，阻止止非法用用戶理解解原始數(shù)數(shù)據(jù)，從從而確保保數(shù)據(jù)的的保密性性。明文文變成密密文的過(guò)過(guò)程稱為為加密(Encryption)；由密文文還原為為明文的的過(guò)程叫叫解密(De

8、cryption)；加密和和解密的的規(guī)則稱稱為密碼算法法；在加密密和解密密過(guò)程中中，由加加密者和和解密者者使用的的加解密密可變參參數(shù)叫做做密鑰(Key)。數(shù)據(jù)加加解密模模型如圖圖3.2所示：根據(jù)密鑰鑰使用和和產(chǎn)生方方式的不不同，可可以將加加密系統(tǒng)統(tǒng)分為私私鑰加密密系統(tǒng)和和公鑰加加密系統(tǒng)統(tǒng)。2.私私鑰加密密系統(tǒng)(對(duì)稱加加密系統(tǒng)統(tǒng))收發(fā)加密密信息的的雙方使使用同一一個(gè)私鑰鑰對(duì)信息息進(jìn)行加加密和解解密，也也叫對(duì)稱稱加密系系統(tǒng)。這這是一種種古老的的密鑰系系統(tǒng)，原原理簡(jiǎn)單單。如果果采用私私鑰加密密系統(tǒng)，則需要要交換這這個(gè)公共共的私鑰鑰，這要要求提供供一條安安全的渠渠道使通通訊雙方方在首次次通訊時(shí)時(shí)協(xié)商或

9、或交換一一個(gè)共同同的密鑰鑰。模型型如圖3.3所所示：補(bǔ)充：對(duì)稱加密密算法EDS算算法（P15）3.公鑰鑰加密系系統(tǒng)(非非對(duì)稱加加密體制制)公鑰加密密系統(tǒng)也也稱非對(duì)對(duì)稱加密密體制。它不同同于傳統(tǒng)統(tǒng)的私鑰鑰加密系系統(tǒng)，要要求密鑰鑰成對(duì)出出現(xiàn)。一一個(gè)為加加密密鑰鑰，另一一個(gè)為解解密密鑰鑰，且不不可能從從其中一一個(gè)推導(dǎo)導(dǎo)出另一一個(gè)。用用戶需要要保障的的是私有有密鑰的的安全，而公共共密鑰則則可以發(fā)發(fā)布出去去。公共共密鑰和和私有密密鑰是緊緊密聯(lián)系系的，即即用公共共密鑰加加密的信信息只能能由私有有密鑰解解密，反反之亦然然。公鑰加密密系統(tǒng)具具有以下下重要特特征： 僅僅僅知道密密碼算法法和加密密密鑰而而要確定定

10、解密密密鑰，在在計(jì)算上上是不可可能的。兩兩個(gè)相關(guān)關(guān)密鑰中中任何一一個(gè)都可可以用作作加密而而讓另一一個(gè)解密密。通常有兩兩種基本本模型:加密模型型認(rèn)證模型型 補(bǔ)充：非對(duì)稱加加密算法法:RSA算法法(P20)RSA算算法RSA系系統(tǒng)由以以下幾部部分組成成：隨機(jī)選取取兩個(gè)大大素?cái)?shù)p和q，建議取取p和q為100位以以上的十十進(jìn)制數(shù)數(shù) ；計(jì)算n= p*q；Euler函數(shù)s =（p-1）（q-1） ，n公開(kāi)；隨機(jī)選取取一個(gè)與與s 互為為素?cái)?shù)的的小整數(shù)數(shù)e作為為加密秘秘鑰，公公開(kāi)。計(jì)算d，使e*d=1 mods，其其中d為為解密秘秘鑰，保保密。在RSA系統(tǒng)中中，若x為明文文，y為密文文，則其其加密和和解密算算

11、法如下下：加密算法法：y=E（x）xemodn解密算法法：x=D（y）ydmodn其中:（e，n）構(gòu)成成加密秘秘鑰，即即公鑰（d，n）構(gòu)成成解密秘秘鑰，即即私鑰RSA算算法舉例例：1.取兩兩個(gè)質(zhì)數(shù)數(shù)p=11,q=13,則n=pxq=143,s=10 x12=120；2.選取取一個(gè)與與s=120互互質(zhì)的數(shù)數(shù),例如如e=7；3.滿足e*d=1mod120，求的d=103；4.假設(shè)設(shè)需發(fā)送送一個(gè)x=85的給對(duì)對(duì)方：加密：y=857mod143=123,即密密文是1235.對(duì)方方收到后后解密過(guò)過(guò)程為：解密：x=123103mod143=85,即明文文為85明文密文私鑰技術(shù)加密后的私鑰接收方的公鑰加密發(fā)

12、送方接收方加密密文加密后的私鑰私鑰技術(shù)接收方的私鑰解密發(fā)送發(fā)送明文解密紅色框：私鑰/對(duì)稱加密密技術(shù)黃色框：公鑰/非對(duì)稱加加密技術(shù)術(shù)在實(shí)際應(yīng)應(yīng)用往往往是將兩兩種算法法結(jié)合起起來(lái)使用用3.3.2安安全認(rèn)證證技術(shù)1.數(shù)數(shù)字摘要要(數(shù)字字指紋)數(shù)字摘要要(DigitalDigest):該編碼方方法采用用單向Hash雜湊函函數(shù)將需需加密的的明文摘摘要成為為一串固固定長(zhǎng)度度為128比特的密密文。不同的明明文摘要要成的密密文其結(jié)結(jié)果是不不同的，而同樣樣的明文文其摘要要必定相相同。這這樣，利利用這串串摘要便便可驗(yàn)證證通過(guò)網(wǎng)網(wǎng)絡(luò)傳輸輸收到的的文件是是否未被被非法篡篡改的文文件原文文了。目前用的的比較廣廣泛的Ha

13、sh函數(shù)有MD-5、SHA。操作：使使用MD5檢驗(yàn)工具具對(duì)文件件進(jìn)行完完整性驗(yàn)驗(yàn)證2.數(shù)數(shù)字簽名名數(shù)字簽名名(DigitalSignature):把Hash函數(shù)數(shù)和公鑰鑰算法結(jié)結(jié)合起來(lái)來(lái)，可以以在提供供數(shù)據(jù)完完整性的的同時(shí)也也可以保保證數(shù)據(jù)據(jù)的真實(shí)實(shí)性。發(fā)發(fā)送方用用自己的的私鑰對(duì)對(duì)數(shù)字摘摘要進(jìn)行行加密即即形成發(fā)發(fā)送方的的數(shù)字簽簽名。數(shù)數(shù)字簽名名是只有有信息發(fā)發(fā)送者才才能產(chǎn)生生的、別別人無(wú)法法偽造的的一串?dāng)?shù)數(shù)字串，通過(guò)數(shù)數(shù)字簽名名能夠?qū)崒?shí)現(xiàn)對(duì)原原始報(bào)文文的鑒別別和對(duì)用用戶身份份的確認(rèn)認(rèn)。數(shù)字字簽名過(guò)過(guò)程如圖圖3.6所示.3.數(shù)數(shù)字信信封和數(shù)數(shù)字時(shí)間間戳數(shù)字信封封(DigitalEnvelop):

14、信息發(fā)送送者采用用對(duì)稱密密鑰來(lái)加加密，然然后將此此對(duì)稱密密鑰用接接收方的的公開(kāi)密密鑰再加加密之后后，將它它和信息息一起發(fā)發(fā)送給接接收方；接收方方接收后后先用自自己的私私鑰打開(kāi)開(kāi)信封，得到對(duì)對(duì)稱密鑰鑰；然后后使用對(duì)對(duì)稱密鑰鑰解開(kāi)信信息。數(shù)數(shù)字信封封是用加加密技術(shù)術(shù)來(lái)保證證只有規(guī)規(guī)定的收收信人才才能閱讀讀到信的的內(nèi)容。原理圖圖如下所所示：數(shù)字時(shí)間間戳(DigitalTime-Stamp):能提供電電子文件件發(fā)表時(shí)時(shí)間的安安全保護(hù)護(hù)，DTS是網(wǎng)絡(luò)安安全服務(wù)務(wù)項(xiàng)目，由專門(mén)門(mén)的機(jī)構(gòu)構(gòu)提供，是一個(gè)個(gè)加密后后形成的的憑證文文檔，包包括三部部分內(nèi)容容： 需加加時(shí)間戳戳的文件件的摘要要(Digest)； DTS

15、收到到文件的的日期和和時(shí)間； DTS的數(shù)數(shù)字簽名名。時(shí)間戳產(chǎn)產(chǎn)生的過(guò)過(guò)程為:用戶首首先將需需要加時(shí)時(shí)間戳的的文件Hash編碼加加密后形形成摘要要，然后后將該摘摘要發(fā)送送到DTS， DTS在加加入了收收到文件件摘要的的日期和和時(shí)間信信息后再再對(duì)該文文件加密密（數(shù)字字簽名）然后送送回用戶戶.4.數(shù)字證書(shū)書(shū)(1)數(shù)數(shù)字證證書(shū)的概概念數(shù)字證書(shū)書(shū)也叫數(shù)數(shù)字憑證證、數(shù)字字標(biāo)識(shí)。是標(biāo)志志網(wǎng)絡(luò)用用戶身份份信息的的一系列列數(shù)據(jù)，用來(lái)在在網(wǎng)絡(luò)通通訊中識(shí)識(shí)別通訊訊各方的的身份，即要在在Internet上上解決我是誰(shuí)誰(shuí)的問(wèn)問(wèn)題。數(shù)字證書(shū)書(shū)是由權(quán)權(quán)威公正正的第三三方機(jī)構(gòu)構(gòu)即CA中心心簽發(fā)的，以數(shù)字字證書(shū)為為核心的的加密

16、技技術(shù)可以以對(duì)網(wǎng)絡(luò)上上傳輸?shù)牡男畔⑦M(jìn)進(jìn)行加密密和解密密、數(shù)字字簽名和和簽名驗(yàn)驗(yàn)證，確確保網(wǎng)上上傳遞信信息的機(jī)機(jī)密性、完整性性，以及及交易實(shí)實(shí)體身份份的真實(shí)實(shí)性。數(shù)字證書(shū)書(shū)可用于于：發(fā)送送安全電電子郵件件、訪問(wèn)問(wèn)安全站站點(diǎn)、網(wǎng)網(wǎng)上證券券、網(wǎng)上上招標(biāo)采采購(gòu)、簽簽約、辦辦公、繳繳費(fèi)、網(wǎng)網(wǎng)上稅務(wù)務(wù)等網(wǎng)上上安全電電子事務(wù)務(wù)處理和和安全電電子交易易活動(dòng)。(2)數(shù)數(shù)字證證書(shū)的類類型:個(gè)人身份份證書(shū)企業(yè)或機(jī)機(jī)構(gòu)身份份證書(shū)支付網(wǎng)關(guān)關(guān)證書(shū)服務(wù)器證證書(shū)企業(yè)或機(jī)機(jī)構(gòu)簽名名證書(shū)(3)數(shù)數(shù)字證證書(shū)包括括的內(nèi)容容:持有人姓姓名持有人的的公鑰公鑰的有有效期數(shù)字證書(shū)書(shū)的簽發(fā)發(fā)機(jī)構(gòu)數(shù)字證書(shū)書(shū)簽發(fā)機(jī)機(jī)構(gòu)的數(shù)數(shù)字簽名名數(shù)字證書(shū)書(shū)的序

17、列列號(hào)(4)數(shù)數(shù)字證證書(shū)原理理介紹數(shù)字證書(shū)書(shū)采用公鑰密碼碼體制，即利用用一對(duì)互互相匹配配的密鑰鑰進(jìn)行加加密、解解密。每每個(gè)用戶戶自己設(shè)設(shè)定一把把特定的的僅為本本人所知知的私有有密鑰（私鑰），用它它進(jìn)行解解密和簽簽名；同同時(shí)設(shè)定定一把公公共密鑰鑰（公鑰鑰）并由由本人公公開(kāi)，為為一組用用戶所共共享，用用于加密密和驗(yàn)證證簽名。加密文件件：當(dāng)發(fā)送一一份保密密文件時(shí)時(shí)，發(fā)送送方使用用接收方方的公鑰鑰對(duì)數(shù)據(jù)據(jù)加密，而接收收方則使使用自己己的私鑰鑰解密，這樣信信息就可可以安全全無(wú)誤地地到達(dá)目目的地了了。形成數(shù)字字簽名：用戶也可可以采用用自己的的私鑰對(duì)對(duì)信息加加以處理理，由于于密鑰僅僅為本人人所有，這樣就就產(chǎn)

18、生了了別人無(wú)無(wú)法生成成的文件件，也就就形成了了數(shù)字簽簽名。(5)數(shù)數(shù)字證證書(shū)的存存貯證書(shū)一般般可以存存貯成文文件形式式或USBKEY形式式 存貯貯成文件件 USBKEY5.認(rèn)證中心心CA（1）認(rèn)認(rèn)證中心心（CA）的概概念在電子交交易的雙雙方，如如何確認(rèn)認(rèn)對(duì)方的的身份，保障交交易的公公平進(jìn)行行，需要要依靠不不同種類類的數(shù)字字證書(shū)。證書(shū)的的發(fā)布與與管理應(yīng)應(yīng)該交由由一個(gè)交交易雙方方都信任任的，具具有權(quán)威威性和公公正性的的第三方方來(lái)完成成，這就就是電子子商務(wù)認(rèn)認(rèn)證授權(quán)權(quán)機(jī)構(gòu)（CA），也稱稱為電子子商務(wù)認(rèn)認(rèn)證中心心（Certificate Authority）。（2）認(rèn)認(rèn)證中心心（CA）的主主要職能能證

19、書(shū)發(fā)放放：證書(shū)更新新：證書(shū)撤消消：證書(shū)驗(yàn)證證：（3）CA體體系結(jié)構(gòu)構(gòu)銀行數(shù)字字安全證證書(shū)的工工作流程程：1）客戶戶A準(zhǔn)備備好要傳傳送的數(shù)數(shù)字信息息（明文文）。2）客戶戶A對(duì)數(shù)數(shù)字信息息進(jìn)行哈哈希（hash）運(yùn)算算，得到到一個(gè)信信息摘要要。3）客戶A用自己己的私鑰鑰（SK）對(duì)信信息摘要要進(jìn)行加加密得到到客戶A的數(shù)字字簽名，并將其其附在數(shù)數(shù)字信息息上。4）客戶戶A隨機(jī)機(jī)產(chǎn)生一一個(gè)加密密密鑰（DES密鑰），并用用此密鑰鑰對(duì)要發(fā)發(fā)送的信信息進(jìn)行行加密，形成密密文。5）客戶戶A用雙雙方共有有的公鑰鑰（PK）對(duì)剛剛才隨機(jī)機(jī)產(chǎn)生的的加密密密鑰進(jìn)行行加密，將加密密后的DES密密鑰連同同密文一一起傳送送給乙?？?/p>

20、戶A：6）銀行行B收到到客戶A傳送過(guò)過(guò)來(lái)的密密文和加加過(guò)密的的DES密鑰，先用自自己的私私鑰（SK）對(duì)對(duì)加密的的DES密鑰進(jìn)進(jìn)行解密密，得到到DES密鑰。7）銀銀行B然然后用DES密密鑰對(duì)收收到的密密文進(jìn)行行解密，得到明明文的數(shù)數(shù)字信息息，然后后將DES密鑰鑰拋棄（即DES密鑰鑰作廢）。8）銀行B用雙方方共有的的公鑰（PK）對(duì)客戶戶A的數(shù)數(shù)字簽名名進(jìn)行解解密，得得到信息息摘要。銀行B用相同同的hash算算法對(duì)收收到的明明文再進(jìn)進(jìn)行一次次hash運(yùn)算算，得到到一個(gè)新新的信息息摘要。9）銀銀行B將將收到的的信息摘摘要和新新產(chǎn)生的的信息摘摘要進(jìn)行行比較，如果一一致，說(shuō)說(shuō)明收到到的信息息沒(méi)有被被修改過(guò)

21、過(guò)。銀行B:3.3.3身身份認(rèn)證證技術(shù)1密碼碼體系認(rèn)認(rèn)證:靜態(tài)密碼碼IC卡短信密碼碼動(dòng)態(tài)口令令卡USBKEY認(rèn)認(rèn)證2.人體體生理特特征：指紋識(shí)別別靜脈識(shí)別別虹膜識(shí)別別視網(wǎng)膜識(shí)識(shí)別面部識(shí)別別手掌幾何何學(xué)識(shí)別別DNA識(shí)識(shí)別聲音識(shí)別別3.4電電子商商務(wù)安全全交易協(xié)協(xié)議目前國(guó)際際上流行行的電子子商務(wù)所所采用的的協(xié)議主主要包括括：(1)安安全超超文本傳傳輸協(xié)議議(S-HTTP):依靠靠密鑰對(duì)對(duì)的加密密，保障障Web站點(diǎn)上上的交易易信息的的安全全性。(2)安安全套套接層協(xié)協(xié)議(SSL):提供供加密、認(rèn)證服服務(wù)和報(bào)報(bào)文完整整性的驗(yàn)驗(yàn)證。(3)安安全電電子交易易協(xié)議(SET):涵蓋蓋了信用用卡在電電子商務(wù)務(wù)交

22、易中中的交易易協(xié)定、保密信信息、資資料完整整以及數(shù)數(shù)字認(rèn)證證、數(shù)字字簽名等等。（4）三三方域安安全協(xié)議議 (3-Dsecure)：是Visa繼SET協(xié)議議之后推推出的新新一代的的安全交交易技術(shù)術(shù)。目標(biāo)標(biāo)同樣是是為在Internet上傳傳輸?shù)男判庞每ㄖеЦ缎畔⑾⑻峁┌舶踩Ｗo(hù)護(hù)機(jī)制。3.4.1安安全套接接層協(xié)議議(SSL)SSL（Secure SocketLayer即安安全套接接層）協(xié)協(xié)議是Netscape公司司推出在在網(wǎng)絡(luò)傳傳輸層之之上提供供的一種種用于瀏瀏覽器和和Web服務(wù)器器之間的的安全連連接技術(shù)術(shù)。它是是國(guó)際上上最早應(yīng)應(yīng)用于電電子商務(wù)務(wù)的一種種由消費(fèi)費(fèi)者和商商家雙方方參加的的信用卡卡/借

23、記記卡支付付協(xié)議。SSL通通過(guò)認(rèn)認(rèn)證來(lái)確確認(rèn)身份份；采用用數(shù)字簽簽名和數(shù)數(shù)字證書(shū)書(shū)保證信信息完整整性；通通過(guò)加密密保證信信息不被被竊取，從而實(shí)實(shí)現(xiàn)在客客戶端與與服務(wù)器器端的安安全通信信。SSL協(xié)協(xié)議位于于TCP/IP協(xié)協(xié)議與各各種應(yīng)用用層協(xié)議議之間，為為數(shù)據(jù)通訊訊提供安全全支持。SSL協(xié)議可可分為兩兩層：SSL記記錄協(xié)議議（SSL RecordProtocol）：它建立立在可靠靠的傳輸輸協(xié)議（如TCP）之之上，為為高層協(xié)協(xié)議提供供數(shù)據(jù)封封裝、壓壓縮、加加密等基基本功能能的支持持。SSL握握手協(xié)議議（SSL HandshakeProtocol）：它建立立在SSL記錄錄協(xié)議之之上，用用于在實(shí)實(shí)際的

24、數(shù)數(shù)據(jù)傳輸輸開(kāi)始前前，通訊訊雙方進(jìn)進(jìn)行身份份認(rèn)證、協(xié)商加加密算法法、交換換加密密密鑰等。SSL協(xié)協(xié)議提供供的服務(wù)務(wù)主要有有：1）認(rèn)證證用戶和和服務(wù)器器，確保保數(shù)據(jù)發(fā)發(fā)送到正正確的客客戶機(jī)和和服務(wù)器器2）加密密數(shù)據(jù)以以防止數(shù)數(shù)據(jù)中途途被竊取?。?）維護(hù)護(hù)數(shù)據(jù)的的完整性性，確保保數(shù)據(jù)在在傳輸過(guò)過(guò)程中不不被改變變。SSL協(xié)協(xié)議的工工作流程程：服務(wù)器認(rèn)認(rèn)證階段段：1）客戶戶端向服服務(wù)器發(fā)發(fā)起對(duì)話話；協(xié)商商傳送加加密算法法。例如如對(duì)稱加加密算法法有DES、RC5，非對(duì)稱稱有RSA和DH，數(shù)數(shù)字摘要要有MD5和SHA；2）服務(wù)務(wù)器根據(jù)據(jù)客戶的的信息確確定是否否需要生生成新的的主密鑰鑰，如需需要?jiǎng)t服服務(wù)器給

25、給客戶端端發(fā)送服服務(wù)器的的證書(shū)；3）客戶戶端產(chǎn)生生一個(gè)本次會(huì)話話密鑰KEY，并用服服務(wù)器發(fā)發(fā)來(lái)的證證書(shū)中的的公鑰加加密后傳傳給服務(wù)務(wù)器；4）服務(wù)務(wù)器收到到后利用用自己的的私鑰恢恢復(fù)出本本次的會(huì)話密鑰鑰KEY，并返回回給客戶戶一個(gè)用用會(huì)話密鑰鑰KEY認(rèn)證的信信息；5）雙方方通信開(kāi)開(kāi)始。用戶認(rèn)證證階段：經(jīng)認(rèn)證的的服務(wù)器器發(fā)送一一個(gè)提問(wèn)問(wèn)給客戶戶端，客客戶則返返回?cái)?shù)字簽名名后的提提問(wèn)和其公開(kāi)密鑰鑰（數(shù)字證證書(shū)），從而讓讓服務(wù)器器認(rèn)證客客戶端。從SSL 協(xié)議議所提供供的服務(wù)務(wù)及其工工作流程程可以看看出，SSL協(xié)協(xié)議運(yùn)行行的基礎(chǔ)礎(chǔ)是商家對(duì)消消費(fèi)者信信息保密密的承諾諾，這就就有利于于商家而而不利于于消費(fèi)者

26、者。雖然在SSL3.0中中通過(guò)數(shù)字簽名名和數(shù)字字證書(shū)可實(shí)現(xiàn)瀏瀏覽器和和Web服務(wù)器器雙方的身身份驗(yàn)證證，但是SSL協(xié)協(xié)議仍存存在一些些問(wèn)題，比如，只能提供供交易中中客戶與與服務(wù)器器間的雙雙方認(rèn)證證，在涉及及多方的的電子交交易中，SSL協(xié)議并并不能協(xié)協(xié)調(diào)各方方間的安安全傳輸輸和信任任關(guān)系。在這種種情況下下，Visa和和 MasterCard兩兩大信用用卡公組組織制定定了SET協(xié)議議，為網(wǎng)網(wǎng)上信用用卡支付付提供了了全球性性的標(biāo)準(zhǔn)準(zhǔn)。3.4.2安安全電子子交易協(xié)協(xié)議(SET)1、SET協(xié)議議簡(jiǎn)介SET（Secure ElectonicTranscation即即安全電電子交易易協(xié)議）是美國(guó)國(guó)Visa和

27、MasterCard兩大信信用卡組組織等聯(lián)聯(lián)合1997年年5月31日推推出的用用于電子子商務(wù)的的行業(yè)規(guī)規(guī)范。其實(shí)質(zhì)是是一種應(yīng)應(yīng)用在Internet上、以信用用卡為基基礎(chǔ)的電電子付款款系統(tǒng)規(guī)規(guī)范,目的是為為了保證證網(wǎng)絡(luò)交交易的安安全。SET妥妥善地解解決了信信用卡在在電子商商務(wù)交易易中的交交易協(xié)議議、信息息保密、資料完完整以及及身份認(rèn)認(rèn)證等問(wèn)問(wèn)題。這是一個(gè)個(gè)為Internet上進(jìn)行行在線交交易而設(shè)設(shè)立的一一個(gè)開(kāi)放放的、以以電子貨貨幣為基基礎(chǔ)的電電子付款款規(guī)范。2.SET協(xié)議議利用的的相關(guān)技技術(shù)對(duì)稱加密密技術(shù)非對(duì)稱加加密技術(shù)術(shù)HASH算法數(shù)字簽名名數(shù)字信封封3、SET協(xié)議議的交易易流程SET協(xié)協(xié)議

28、的購(gòu)購(gòu)物系統(tǒng)統(tǒng)由持卡卡人、商商家、支支付網(wǎng)關(guān)關(guān)、收單單銀行、發(fā)卡銀銀行和認(rèn)認(rèn)證中心心六個(gè)部部分組成成，這六六大部分分之間的的數(shù)據(jù)交交換過(guò)程程如圖3.15所示1）消費(fèi)費(fèi)者利用用自己的的PC機(jī)機(jī)通過(guò)因因特網(wǎng)選選定所要要購(gòu)買的的物品，并在計(jì)計(jì)算機(jī)上上輸入訂訂貨單、訂貨單單上需包包括在線線商店、購(gòu)買物物品名稱稱及數(shù)量量、交貨貨時(shí)間及及地點(diǎn)等等相關(guān)信信息。2）通過(guò)過(guò)電子商商務(wù)服務(wù)務(wù)器與有有關(guān)在線線商店聯(lián)聯(lián)系，在在線商店店作出應(yīng)應(yīng)答，告告訴消費(fèi)費(fèi)者所填填訂貨單單的貨物物單價(jià)、應(yīng)付款款數(shù)、交交貨方式式等信息息是否準(zhǔn)準(zhǔn)確，是是否有變變化。3）消費(fèi)費(fèi)者選擇擇付款方方式，確確認(rèn)訂單單簽發(fā)付付款指令令。此時(shí)時(shí)SET

29、開(kāi)始介介入。4）在SET中中，消費(fèi)費(fèi)者必須須對(duì)訂單單和付款款指令進(jìn)進(jìn)行數(shù)字字簽名，同時(shí)利利用雙重重簽名技技術(shù)保證證商家看看不到消消費(fèi)者的的帳號(hào)信信息。5）在線線商店接接受訂單單后，向向消費(fèi)者者所在銀銀行請(qǐng)求求支付認(rèn)認(rèn)可。信信息通過(guò)過(guò)支付網(wǎng)網(wǎng)關(guān)到收收單銀行行，再到到電子貨貨幣發(fā)行行公司確確認(rèn)。批批準(zhǔn)交易易后，返返回確認(rèn)認(rèn)信息給給在線商商店。6）在線線商店發(fā)發(fā)送訂單單確認(rèn)信信息給消消費(fèi)者。消費(fèi)者者端軟件件可記錄錄交易日日志，以以備將來(lái)來(lái)查詢。7）在線線商店發(fā)發(fā)送貨物物或提供供服務(wù)并并通知收收單銀行行將錢(qián)從從消費(fèi)者者的帳號(hào)號(hào)轉(zhuǎn)移到到商店帳帳號(hào)，或或通知發(fā)發(fā)卡銀行行請(qǐng)求支支付。在在認(rèn)證操操作和支支付操作