電子商務(wù)信息安全技術(shù)

1、 本 章 教學(xué)目的與要求通過本章的教學(xué)要求學(xué)生達(dá)到下列要求： 了解電子商務(wù)的安全體系 掌握電子商務(wù)的典型安全技術(shù) 具備組建安全電子商務(wù)站點(diǎn)的能力第3章 電子商務(wù)信息安全技術(shù)1電 子 商 務(wù)本 章教教學(xué)內(nèi)內(nèi)容電子商務(wù)務(wù)安全概概述電子商務(wù)務(wù)數(shù)據(jù)傳傳輸安全全保障技技術(shù)電子商務(wù)務(wù)交易用用戶身份份識(shí)別與與認(rèn)證技技術(shù)電子商務(wù)務(wù)支付安安全第3章 電子子商務(wù)信信息安全全技術(shù)2電子子商商務(wù)務(wù)本 章教教學(xué)的的重點(diǎn)和和難點(diǎn)為了實(shí)現(xiàn)現(xiàn)本章教教學(xué)目的的，在教教學(xué)過過過程中應(yīng)應(yīng)以下列列內(nèi)容作作為本章章教學(xué)重重點(diǎn)：電子商務(wù)務(wù)數(shù)據(jù)傳傳輸安全全保障技技術(shù)電子商務(wù)務(wù)支付安安全本章教學(xué)學(xué)難點(diǎn)：電子商務(wù)務(wù)交易用用戶身份份識(shí)別與與認(rèn)證

2、技技術(shù)第3章 電子子商務(wù)信信息安全全技術(shù)3電子子商商務(wù)務(wù)第一節(jié)電電子商商務(wù)安全全概述1988年11月2日，美國(guó)國(guó)康奈爾爾大學(xué)學(xué)學(xué)生羅伯伯特莫瑞斯利利用蠕蟲程序序攻擊了Internet網(wǎng)上約6200臺(tái)小型機(jī)機(jī)和Sun工作站，造成包包括美國(guó)國(guó)300多個(gè)單位位的計(jì)算算機(jī)停止止運(yùn)行，事故經(jīng)經(jīng)濟(jì)損失失達(dá)9600萬(wàn)美元。1994年4月到10月期間，任職于于俄國(guó)圣圣彼得堡堡OA土星公司司的弗拉拉基米爾爾列列文從本國(guó)操操縱電腦腦，通過Internet多次侵入入美國(guó)花旗旗銀行在華爾街街的中央央電腦系系統(tǒng)的現(xiàn)現(xiàn)金管理理系統(tǒng)，從花旗旗銀行在在阿根廷廷的兩家家銀行和和印度尼尼西亞的的一家銀銀行的幾幾個(gè)企業(yè)業(yè)客戶的的帳

3、戶中中將40筆款項(xiàng)轉(zhuǎn)轉(zhuǎn)移到其其同伙在在加里福福尼亞和和以色列列銀行所所開的帳帳戶中，竊走1000萬(wàn)美元。4電子子商商務(wù)務(wù)1997年1月到3月，寧波波證券公公司深圳圳業(yè)務(wù)部部的曾定文多次通過過證券交交易網(wǎng)絡(luò)絡(luò)私自透透支本單單位資金金928萬(wàn)元炒股股；而吳吳敬文則則利用兩兩個(gè)股東東帳號(hào)私私自透支支本單位位資金2033萬(wàn)元炒股股。1999年4月19日至21日，由于于溫保成等人在因因特網(wǎng)BBS站點(diǎn)上非法張貼貼帖子，帶頭散散布謠言言，導(dǎo)致了了交通銀銀行鄭州州分行的的重大擠擠兌事件件。2000年2月10日和17日秦海在銀行窺窺視騙取取兩名儲(chǔ)儲(chǔ)戶的密密碼，然然后利用用電子商商務(wù)從網(wǎng)網(wǎng)上購(gòu)得得手機(jī)、快譯通通等

4、物，共計(jì)價(jià)價(jià)值2.7萬(wàn)元人民民幣。2000年3月6日，剛剛剛開業(yè)的的中國(guó)最最大的全全國(guó)網(wǎng)上上連鎖商商城開業(yè)業(yè)3天慘遭黑黑客暗算算，網(wǎng)站站全線癱癱瘓，頁(yè)頁(yè)面被修修改，數(shù)數(shù)據(jù)庫(kù)也也受到了了不同程程度的攻攻擊，交交易數(shù)據(jù)據(jù)破壞嚴(yán)嚴(yán)重。第一節(jié)電電子商商務(wù)安全全概述5電子子商商務(wù)務(wù)網(wǎng)絡(luò)交易易風(fēng)險(xiǎn)源源分析電子商務(wù)務(wù)風(fēng)險(xiǎn)源源分析主主要是依依據(jù)對(duì)網(wǎng)網(wǎng)絡(luò)交易易整個(gè)運(yùn)作作過程的考察，確定交交易流程程中可能能出現(xiàn)的的各種風(fēng)風(fēng)險(xiǎn)，分分析其危危害性。1.在線交易易主體的的市場(chǎng)準(zhǔn)準(zhǔn)入問題題在電子商商務(wù)環(huán)境境下，任任何人不不經(jīng)登記記就可以以借助計(jì)計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)發(fā)出出或接受受網(wǎng)絡(luò)信信息，并并通過一一定程序序與其他他人達(dá)成成交易

5、。虛擬主體體的存在在使電子商商務(wù)交易易安全性性受到嚴(yán)嚴(yán)重威脅脅。電子商務(wù)務(wù)交易安安全首先要解解決的問問題就是確保保網(wǎng)上交交易主體的真真實(shí)存在在，且確定定哪些主主體可以以進(jìn)入虛虛擬市場(chǎng)場(chǎng)從事在在線業(yè)務(wù)務(wù)。6電子子商商務(wù)務(wù)2.信息風(fēng)險(xiǎn)險(xiǎn)買賣雙方方都可能能在網(wǎng)絡(luò)絡(luò)上發(fā)布虛假假的供求求信息，或以過過期的信信息冒充充現(xiàn)在的的信息。虛假信信息包含含有與事事實(shí)不符符和夸大大事實(shí)兩兩個(gè)方面面。從技術(shù)上上看，網(wǎng)網(wǎng)絡(luò)交易易的信息息風(fēng)險(xiǎn)主主要來自自冒名偷竊竊、篡改數(shù)據(jù)據(jù)、信息息丟失等方面的的風(fēng)險(xiǎn)。3.信用風(fēng)險(xiǎn)險(xiǎn)來自買方方的信用用風(fēng)險(xiǎn)。來自賣方方的信用用風(fēng)險(xiǎn)。買賣雙方方都存在在抵賴的的情況。網(wǎng)絡(luò)交易易風(fēng)險(xiǎn)源源分析7電

6、子子商商務(wù)務(wù)4.網(wǎng)上欺詐詐犯罪騙子們利利用人們們的善良良天性，在電子子交易活活動(dòng)中頻頻繁欺詐詐用戶，利用電電子商務(wù)務(wù)欺詐已已經(jīng)成為為一種新新型的犯犯罪活動(dòng)動(dòng)。4.電子合同同問題電子商務(wù)務(wù)法需要要解決由由于電子子合同與與傳統(tǒng)合合同的差差別而引引起的諸諸多問題題，突出出表現(xiàn)在在書面形形式，簽簽字有效效性、合合同收訖訖、合同同成立地地點(diǎn)、合合同證據(jù)據(jù)等方面面。網(wǎng)絡(luò)交易易風(fēng)險(xiǎn)源源分析8電子子商商務(wù)務(wù)6.電子支付付問題網(wǎng)上支付付通過信信用卡支支付或虛虛擬銀行行的電子子資金劃劃撥來完完成。而而實(shí)現(xiàn)這這一過程程涉及網(wǎng)網(wǎng)絡(luò)銀行行與網(wǎng)絡(luò)絡(luò)交易客客戶之間間的協(xié)議議、網(wǎng)絡(luò)絡(luò)銀行與與網(wǎng)站之之間的合合作協(xié)議議以及安安全

7、保障障問題。7.在線消費(fèi)費(fèi)者保護(hù)護(hù)問題在線市場(chǎng)場(chǎng)的虛擬擬性和開開放性，網(wǎng)上購(gòu)購(gòu)物的便便捷性使使消費(fèi)者者保護(hù)成成為突出出的問題題。在我國(guó)商業(yè)業(yè)信用不不高的狀況下下，網(wǎng)上上出售的的商品可可能良莠莠不齊，質(zhì)量難難以讓消消費(fèi)者信信賴。網(wǎng)絡(luò)的開開放性和和互動(dòng)性性又給個(gè)人隱私私保護(hù)帶來麻煩煩。網(wǎng)絡(luò)交易易風(fēng)險(xiǎn)源源分析9電子子商商務(wù)務(wù)8.電子商務(wù)務(wù)中產(chǎn)品品交付問問題在線交易易的標(biāo)的的物分兩兩種，一一種有形形貨物，另一種種是無形形的信息息產(chǎn)品。有形貨物物的交付付仍然可可以沿用用傳統(tǒng)合合同法的的基本原原理。信息產(chǎn)品品的交付付則具有有不同于于有形貨貨物交付付的特征征，對(duì)于于其權(quán)利利的移轉(zhuǎn)轉(zhuǎn)、退貨貨、交付付的完成成等

8、需要要有相應(yīng)應(yīng)的安全全保障措措施。網(wǎng)絡(luò)交易易風(fēng)險(xiǎn)源源分析10電子子商商務(wù)務(wù)網(wǎng)絡(luò)交易易安全管管理的基基本思路路電子商務(wù)務(wù)是活動(dòng)動(dòng)在Internet平臺(tái)上的的一個(gè)涉涉及信息、資資金和物物資交易易的綜合合交易系系統(tǒng)，其安全全對(duì)象不不是一般般的系統(tǒng)統(tǒng)，而是是一個(gè)開開放的、人在其其中頻繁繁活動(dòng)的的、與社社會(huì)系統(tǒng)統(tǒng)緊密耦耦合的復(fù)復(fù)雜系統(tǒng)統(tǒng)。它是是由商業(yè)業(yè)組織本本身（包包括營(yíng)銷銷系統(tǒng)、支付系系統(tǒng)、配配送系統(tǒng)統(tǒng)等）與與信息技技術(shù)系統(tǒng)統(tǒng)復(fù)合構(gòu)構(gòu)成的。在分析系系統(tǒng)的安安全風(fēng)險(xiǎn)險(xiǎn)，制定定相應(yīng)的的安全保保護(hù)措施施時(shí)同樣樣需要基基于其“復(fù)合型型”性質(zhì)質(zhì)，即需要同時(shí)時(shí)考慮其其組織和和技術(shù)體體系以及及管理過過程的性性質(zhì)。1

9、1電子子商商務(wù)務(wù)電子商務(wù)務(wù)交易安安全要通通過人網(wǎng)網(wǎng)結(jié)合、人機(jī)結(jié)結(jié)合，充充分發(fā)揮揮各自優(yōu)優(yōu)勢(shì)的方方法，才才能經(jīng)過過綜合集集成，使使系統(tǒng)表表現(xiàn)出新新的安全全性質(zhì)整體大于于部分之之和。與電子商商務(wù)交易易系統(tǒng)相相適應(yīng)，電子商商務(wù)交易易安全是是一個(gè)系系統(tǒng)工程程。一個(gè)完整整的網(wǎng)絡(luò)絡(luò)交易安安全體系系，至少少應(yīng)包括括三類措措施，一一是技術(shù)術(shù)方面的的措施，二是管管理方面面的措施施，三是是社會(huì)的的政策與與法律保保障。網(wǎng)絡(luò)交易易安全管管理的基基本思路路12電子子商商務(wù)務(wù)防火墻技技術(shù)防火墻是是指一個(gè)個(gè)由軟件件和硬件件設(shè)備組組合而成成，在Intranet和Internet之間構(gòu)筑筑的一道道屏障，用于加加強(qiáng)內(nèi)部部網(wǎng)絡(luò)和和

10、公共網(wǎng)網(wǎng)絡(luò)之間間安全防防范的系系統(tǒng)。目前使用用的防火火墻主要要可分為為包過濾型型和應(yīng)用用網(wǎng)關(guān)型型兩種類類型。13電子子商商務(wù)務(wù)防火墻防火墻技技術(shù)14電子子商商務(wù)務(wù)防火墻的的安全策略略有兩種：（1）凡是沒沒有被列列為允許許訪問的的服務(wù)都都是被禁禁止的。（2）凡是沒沒有被列列為禁止止訪問的的服務(wù)都都是被允允許的。防火墻技技術(shù)15電子子商商務(wù)務(wù)防火墻系系統(tǒng)的類類型根據(jù)其實(shí)實(shí)現(xiàn)的網(wǎng)網(wǎng)絡(luò)層次次，防火火墻可以以分為數(shù)據(jù)包過過濾、應(yīng)用級(jí)級(jí)網(wǎng)關(guān)和和復(fù)合型型三種類型型。1）數(shù)據(jù)包包過濾數(shù)據(jù)包過過濾（PacketFiltering）技術(shù)是是在網(wǎng)絡(luò)絡(luò)層對(duì)數(shù)數(shù)據(jù)包進(jìn)進(jìn)行選擇擇，選擇擇的依據(jù)據(jù)是系統(tǒng)統(tǒng)內(nèi)設(shè)置置的過濾濾邏

11、輯，被稱為為訪問控控制表（AccessControlTable）。通過過檢查數(shù)數(shù)據(jù)流中中每個(gè)數(shù)數(shù)據(jù)包的的源地址址、目的的地址、所用的的端口號(hào)號(hào)、協(xié)議議狀態(tài)等等因素或或它們的的組合來來確定是是否允許許該數(shù)據(jù)據(jù)包通過過。數(shù)據(jù)包過過濾防火墻邏邏輯簡(jiǎn)單單，價(jià)格格便宜，易于安安裝和使使用，網(wǎng)網(wǎng)絡(luò)性能能和透明明性好，它通常常安裝在在路由器器上。因因此在原原有網(wǎng)絡(luò)絡(luò)上增加加這樣的的防火墻墻幾乎不不需要任任何額外外的費(fèi)用用。數(shù)據(jù)包過過濾防火墻的的缺點(diǎn)有有二：一一是非法法訪問一一旦突破破防火墻墻，即可可對(duì)主機(jī)機(jī)上的軟軟件和配配置漏洞洞進(jìn)行攻攻擊；二二是數(shù)據(jù)據(jù)包的源源地址、目的地地址以及及IP的端口號(hào)號(hào)都在數(shù)數(shù)據(jù)

12、包的的頭部，很有可可能被竊竊聽或假假冒。防火墻技技術(shù)16電子子商商務(wù)務(wù)2）應(yīng)用級(jí)級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)網(wǎng)關(guān)（ApplicationLevelGateways）是在網(wǎng)絡(luò)應(yīng)用用層上建立協(xié)協(xié)議過濾濾和轉(zhuǎn)發(fā)發(fā)功能。它針對(duì)對(duì)特定的的網(wǎng)絡(luò)應(yīng)應(yīng)用服務(wù)務(wù)協(xié)議使使用指定定的數(shù)據(jù)據(jù)過濾邏邏輯，并并在過濾濾的同時(shí)時(shí)，對(duì)數(shù)數(shù)據(jù)包進(jìn)進(jìn)行必要要的分析析、登記記和統(tǒng)計(jì)計(jì)，形成成報(bào)告。實(shí)際中中的應(yīng)用用網(wǎng)關(guān)通通常安裝裝在專用用工作站站系統(tǒng)上上。數(shù)據(jù)包過過濾和應(yīng)應(yīng)用網(wǎng)關(guān)關(guān)防火墻墻有一個(gè)個(gè)共同的的特點(diǎn)，就是它它們僅僅僅依靠特特定的邏邏輯判定定是否允允許數(shù)據(jù)據(jù)包通過過。一旦旦滿足邏邏輯，則則防火墻墻內(nèi)外的的計(jì)算機(jī)機(jī)系統(tǒng)建建立直接接聯(lián)系，防火

13、墻墻外部的的用戶便便有可能能直接了了解防火火墻內(nèi)部部的網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)和和運(yùn)行狀狀態(tài)，這這有利于于實(shí)施非非法訪問問和攻擊擊。防火墻技技術(shù)17電子子商商務(wù)務(wù)3）復(fù)合型防防火墻包過濾路路由器雖雖有較好好的透明明性，但但無法有有效地區(qū)分同同一IP地址的不不同用戶戶；應(yīng)用用型防火火墻可以以提供詳細(xì)的的日志及及身份驗(yàn)驗(yàn)證，但但又缺少少透明性性。因此此，在實(shí)際應(yīng)應(yīng)用中，往往將將兩種防防火墻技技術(shù)結(jié)合合起來，相互以取長(zhǎng)長(zhǎng)補(bǔ)短，從而形形成復(fù)合合型防火火墻。防火墻技技術(shù)18電子子商商務(wù)務(wù)一、密密碼技術(shù)術(shù)數(shù)據(jù)加密密是指通過過一定算算法將明明文轉(zhuǎn)換換為密文文的過程程。明明文人或機(jī)器器易讀易易懂的信信息。密密文通過加密密，

14、將明明文轉(zhuǎn)換換成的難難懂的信信息。加加密過程程有關(guān)概念念第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)19電子子商商務(wù)務(wù)解密過程程加加密原則則：唯一一的、無無誤差的的可逆變變換密密碼體制制實(shí)現(xiàn)加密密與解密密過程的的特定算算法密密鑰一般為一一串很長(zhǎng)長(zhǎng)的數(shù)字字，能唯唯一控制制明文與與密文之之間的轉(zhuǎn)轉(zhuǎn)換。有關(guān)概念念第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)20電子子商商務(wù)務(wù)加密技術(shù)術(shù)可分為為對(duì)稱加密密技術(shù)和非對(duì)稱加加密技術(shù)術(shù) 對(duì)稱稱加密技技術(shù)（SymmetricEncryption）又稱為私私有密鑰鑰加密。這種技技術(shù)加密密和解密密使用同同一把密密鑰，但但密鑰的分分發(fā)變得得非常困困難，因此，難以在在電

15、子商商務(wù)中發(fā)發(fā)揮主導(dǎo)導(dǎo)作用。加密技術(shù)術(shù)的分類類第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)21電子子商商務(wù)務(wù)對(duì)稱加密密示意圖圖22電子子商商務(wù)務(wù)非對(duì)稱加加密技術(shù)術(shù)（Asymmetric Encryption）又稱為公公開密鑰鑰加密。采用非非對(duì)稱加加密技術(shù)術(shù)時(shí)使用用一個(gè)密密鑰對(duì)，一個(gè)用用于加密密，一個(gè)個(gè)用于解解密，分分別稱為為公鑰和和私鑰。加密技術(shù)術(shù)的分類類第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)23電子子商商務(wù)務(wù)非對(duì)稱加加密技術(shù)術(shù)的特點(diǎn)點(diǎn)：在多人之之間進(jìn)行行保密信信息傳輸輸所需的的密鑰組組合數(shù)量量很少密鑰的發(fā)發(fā)布不成成問題與對(duì)稱密密鑰相比比，速度度要慢在實(shí)際應(yīng)應(yīng)用中，通常把把兩種技技術(shù)結(jié)合

16、合起來使使用加密技術(shù)術(shù)的分類類第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)24電子子商商務(wù)務(wù)第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)非對(duì)稱加加密技術(shù)術(shù)示意圖圖25電子子商商務(wù)務(wù)舉例：常常用對(duì)稱稱加密技技術(shù)換位密碼碼例如，明明文“中國(guó)人民民大學(xué)”，密文“中民國(guó)大大人學(xué)”。加密技術(shù)術(shù)的分類類第二節(jié)電電子商商務(wù)數(shù)據(jù)據(jù)傳輸安安全保障障技術(shù)26電子子商商務(wù)務(wù)客戶認(rèn)證證主要包包括客戶戶身份認(rèn)證證和客戶戶信息認(rèn)認(rèn)證。前者用用于鑒別用戶戶身份，保證通通信雙方方的身份份的真實(shí)實(shí)性；后后者用于于保證通通信雙方方的不可抵賴賴性和信信息的完完整性。1.身份認(rèn)證證的目標(biāo)標(biāo)身份認(rèn)證證包含識(shí)識(shí)別和鑒鑒別兩個(gè)個(gè)過程。身份

17、標(biāo)標(biāo)識(shí)是指指定用戶戶向系統(tǒng)統(tǒng)出示自自己的身身份證明明過程。身份鑒鑒別是系系統(tǒng)查核核用戶的的身份證證明的過過程。身身份認(rèn)證證的主要要目標(biāo)包包括：（1）確保交交易者是是交易者者本人，而不是是其他人人。（2）避免與與超過權(quán)權(quán)限的交交易者進(jìn)進(jìn)行交易易。（3）訪問控控制。第三節(jié)電電子子商務(wù)交交易用戶戶身份識(shí)識(shí)別與認(rèn)證技技術(shù)27電子子商商務(wù)務(wù)2.用戶身份份認(rèn)證的的基本方方式用戶身份份認(rèn)證可可通過三三種基本本方式或或其組合合方式實(shí)實(shí)現(xiàn)：（1）用戶通通過某個(gè)個(gè)秘密信信息，例例如通過過口令訪訪問系統(tǒng)統(tǒng)資源。（2）用戶知知道的某某個(gè)秘密密信息，并且利利用包含含這一秘秘密信息息的載體體訪問系系統(tǒng)資源源。（3）用戶利

18、利用自身身所具有有的某些些生物學(xué)學(xué)特征，如指紋紋、聲音音、DNA圖案、視視網(wǎng)膜掃掃描等等等。根據(jù)在認(rèn)認(rèn)證中采采用因素素的多少少，可以以分為單單因素認(rèn)認(rèn)證、雙雙因素認(rèn)認(rèn)證，多多因素認(rèn)認(rèn)證等方方法。第三節(jié)電電子子商務(wù)交交易用戶戶身份識(shí)識(shí)別與認(rèn)證技技術(shù)28電子子商商務(wù)務(wù)3.身份認(rèn)證證的單因因素法用戶身份份認(rèn)證的的最簡(jiǎn)單單方法就就是口令。這種方方法操作作簡(jiǎn)單，但也最最不安全全?？诹钸M(jìn)行行加密傳傳輸是一一種改進(jìn)進(jìn)的方法法 。4.基于智能能卡的用用戶身份份認(rèn)證基于智能能卡的用用戶身份份認(rèn)證機(jī)機(jī)制屬于于雙因素素法。用戶的二二元組信信息預(yù)先先存于智智能卡中中，然后后在認(rèn)證證服務(wù)器器中存入入某個(gè)事事先由用用戶選

19、擇擇的某個(gè)個(gè)隨機(jī)數(shù)數(shù)。用戶訪問問系統(tǒng)資資源時(shí)，用戶輸輸入二元元組信息息。系統(tǒng)統(tǒng)首先判判斷智能能卡的合合法性，然后由由智能卡卡鑒別用用戶身份份，若用用戶身份份合法，再將智智能卡中中的隨機(jī)機(jī)數(shù)送給給認(rèn)證服服務(wù)器作作進(jìn)一步步認(rèn)證。第三節(jié)電電子子商務(wù)交交易用戶戶身份識(shí)識(shí)別與認(rèn)證技技術(shù)29電子子商商務(wù)務(wù)4.一次口令令機(jī)制最安全的的身份認(rèn)認(rèn)證機(jī)制制是采用用一次口口令機(jī)制制，即每每次用戶戶登錄系系統(tǒng)時(shí)口口令互不不相同。主要有有兩種實(shí)實(shí)現(xiàn)方式式。一次口令令機(jī)制主主要有兩兩種實(shí)現(xiàn)現(xiàn)方式：（1）“請(qǐng)求求響答”方式。（2）“時(shí)鐘鐘同步”機(jī)制。第三節(jié)電電子子商務(wù)交交易用戶戶身份識(shí)識(shí)別與認(rèn)證技技術(shù)30電子子商商務(wù)務(wù)信息

20、認(rèn)證證技術(shù)1.信息認(rèn)證證的目標(biāo)標(biāo)信息認(rèn)證證的主要要目標(biāo)包包括：（1）可信性性。信息息的來源源是可信信的，即即信息接接收者能能夠確認(rèn)認(rèn)所獲得得的信息息不是由由冒充者者所發(fā)出出的。（2）完整性性。信息息接收者者能夠確確認(rèn)所獲獲得的信信息在傳傳輸過程程中沒有有被修改改、延遲遲和替換換。（3）不可抵抵賴性。要求通通信雙方方不能否否認(rèn)自己己所發(fā)出出或接收收的信息息。（4）保密性性。對(duì)敏敏感的文文件進(jìn)行行加密，即使別別人截獲獲文件也也無法得得到其內(nèi)內(nèi)容。31電子子商商務(wù)務(wù)2.基于私有有密鑰體體制的信信息認(rèn)證證基于私有有密鑰體體制采用用了對(duì)稱稱加密算算法，即即信息交交換雙方共同同約定一一個(gè)口令令或一組組密碼

21、，建立一一個(gè)通訊訊雙方共共享的密密鑰。通信的的甲方將將要發(fā)送送信息用用私鑰加加密后傳傳給乙方方，乙方方用相同同的私鑰鑰解密后后獲得甲甲方傳遞遞的信息息。對(duì)稱加密密算法有有多種，最常用用的是DES算法。對(duì)稱加密密算法在在電子商商務(wù)交易易過程中中存在三三個(gè)問題題：（1）要求提提供一條條安全的的渠道使使通訊雙雙方在首首次通訊訊時(shí)協(xié)商商一個(gè)共共同的密密鑰。（2）密鑰的的數(shù)目將將快速增增長(zhǎng)而變變得難于于管理。（3）對(duì)稱加加密算法法一般不不提供信信息完整整性的鑒鑒別。信息認(rèn)證證技術(shù)32電子子商商務(wù)務(wù)3.基于公開開密鑰體體制的信信息認(rèn)證證公開密鑰鑰加密體體系采用用的是非對(duì)稱加加密算法法。使用公公開密鑰鑰算法

22、需需要兩個(gè)個(gè)密鑰:公開密鑰鑰和私有有密鑰。公開密鑰鑰體制常常用的加加密算法法是RSA算法。使用公鑰鑰加密和和對(duì)應(yīng)的的私鑰解解密的示示意圖信息認(rèn)證證技術(shù)33電子子商商務(wù)務(wù)4.數(shù)字簽字字和驗(yàn)證證文件的數(shù)數(shù)字簽字字過程實(shí)實(shí)際上是是通過一一個(gè)哈希函數(shù)數(shù)來實(shí)現(xiàn)的的。哈希函數(shù)數(shù)將需要要傳送的文文件轉(zhuǎn)化化為一組具有有固定長(zhǎng)長(zhǎng)度的單單向Hash值，形成成報(bào)文摘摘要。發(fā)送方用用自己的的私有密鑰鑰對(duì)報(bào)文文摘要進(jìn)進(jìn)行加密密，然后將將其與原始的報(bào)報(bào)文附加在一一起，即即合稱為為數(shù)字簽簽字。數(shù)字簽字字代表了了文件的的特征，文件如如果發(fā)生生改變，數(shù)字簽簽字的值值也將發(fā)發(fā)生變化化。數(shù)字簽字字機(jī)制提提供一種種鑒別方方法，通通過

23、它能能夠?qū)崿F(xiàn)現(xiàn)對(duì)原始始報(bào)文的的鑒別和和驗(yàn)證。34電子子商商務(wù)務(wù)數(shù)字簽字字和驗(yàn)證證過程示示意圖35電子子商商務(wù)務(wù)運(yùn)作步驟驟如下：（1）發(fā)送方方首先用用哈希函函數(shù)，將將需要傳傳送的消消息轉(zhuǎn)換換成報(bào)文文摘要。（2）發(fā)送方方采用自自己的私私有密鑰鑰對(duì)報(bào)文文摘要進(jìn)進(jìn)行加密密，形成成數(shù)字簽簽字。（3）發(fā)送方方把加密密后的數(shù)數(shù)字簽字字附加在在要發(fā)送送的報(bào)文文后面，傳遞給給接收方方。（4）接受方方使用發(fā)發(fā)送方的的公有密密鑰對(duì)數(shù)數(shù)字簽字字進(jìn)行解解密，得得到發(fā)送送方形成成的報(bào)文文摘要。（4）接收方方用哈希希函數(shù)將將接收到到的報(bào)文文轉(zhuǎn)換成成報(bào)文摘摘要，與與發(fā)送方方形成的的報(bào)文摘摘要相比比較，若若相同，說明文文件在傳

24、傳輸過程中沒沒有被破破壞。36電子子商商務(wù)務(wù)4.時(shí)間戳數(shù)字時(shí)間間戳服務(wù)務(wù)（Digital TimeStampService DTSS）是用來來證明消消息的收收發(fā)時(shí)間間的。它它是一個(gè)經(jīng)經(jīng)加密后后形成的的憑證文文檔，它它包括需需加時(shí)間間戳的文文件的摘摘要、DTS收到文件件的日期期和時(shí)間間、DTS的數(shù)字簽簽字三個(gè)個(gè)部分。時(shí)間戳產(chǎn)產(chǎn)生的過過程為：用戶首首先將需需要加時(shí)時(shí)間戳的的文件用用Hash函數(shù)轉(zhuǎn)化化為報(bào)文文摘要，然后將將該摘要要加密后后發(fā)送到到提供時(shí)時(shí)間戳服服務(wù)的機(jī)機(jī)構(gòu)，DTS在加入了了收到文文件摘要要的日期期和時(shí)間間信息后后再對(duì)該該文件加加密（數(shù)數(shù)字簽字字），然然后送回回用戶。37電子子商商務(wù)務(wù)

25、通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證1.數(shù)字證書書數(shù)字證書書作為網(wǎng)網(wǎng)上交易易雙方真真實(shí)身份份證明的的依據(jù)，是一個(gè)個(gè)經(jīng)證書書授權(quán)中中心（CA）數(shù)字簽簽名的、包含證證書申請(qǐng)請(qǐng)者（公公開密鑰鑰擁有者者）個(gè)人人信息及及其公開開密鑰的的文件，由可信信任的、公正的的權(quán)威機(jī)機(jī)構(gòu)CA頒發(fā)。數(shù)字證書書按照不不同的分分類有多多種形式式，如個(gè)個(gè)人數(shù)字字證書和和單位數(shù)數(shù)字證書書，SSL數(shù)字證書書和SET數(shù)字證書書等。數(shù)字證書書由兩部部分組成成：申請(qǐng)請(qǐng)證書主主體的信信息和發(fā)發(fā)行證書書的CA簽字。38電子子商商務(wù)務(wù)數(shù)字證書書的組成成39電子子商商務(wù)務(wù)2.認(rèn)證機(jī)構(gòu)構(gòu)（CertificateAuthority，CA）認(rèn)證機(jī)構(gòu)構(gòu)是為了了從根本

26、本上保障障電子商商務(wù)交易易活動(dòng)順順利進(jìn)行行而設(shè)立立的，主要是解解決電子子商務(wù)活活動(dòng)中交交易參與與各方身身份、資資信的認(rèn)認(rèn)定，維維護(hù)交易易活動(dòng)的的安全。CA是提供身身份驗(yàn)證證的第三三方機(jī)構(gòu)構(gòu)，由一一個(gè)或多多個(gè)用戶戶信任的的組織實(shí)實(shí)體構(gòu)成成。CA的功能主主要有：接收注注冊(cè)請(qǐng)求求，處理理、批準(zhǔn)準(zhǔn)/拒絕請(qǐng)求求，頒發(fā)發(fā)證書。通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證40電子子商商務(wù)務(wù)CA認(rèn)證持卡人要要與商家家通信，持卡人人從公開開媒體上上獲得了了商家的的公開密密鑰，但但持卡人人無法確確定商家家不是冒冒充的，于是持持卡人請(qǐng)請(qǐng)求CA對(duì)商家認(rèn)認(rèn)證，CA對(duì)商家進(jìn)進(jìn)行調(diào)查查、驗(yàn)證證和鑒別別后，將將包含商商家公鑰鑰的證書書傳給持持卡人。

27、同樣，商家也也可對(duì)持持卡人進(jìn)進(jìn)行驗(yàn)證證。通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證41電子子商商務(wù)務(wù)3.電子商務(wù)務(wù)的CA認(rèn)證體系系電子商務(wù)務(wù)CA體系包括括兩大部部分，即即符合SET標(biāo)準(zhǔn)的SETCA認(rèn)證體系系（又叫叫“金融融CA”體系）和和基于X.409的PKICA體系（又又叫“非非金融CA”體系）。1）SETCASET協(xié)議中可可以看出出，由于于采用公公開密鑰鑰加密算算法，認(rèn)認(rèn)證中心心（CA）就成為為整個(gè)系系統(tǒng)的安安全核心心。在SET中，CA所頒發(fā)的的數(shù)字證證書主要要有持卡卡人證書書、商戶戶證書和和支付網(wǎng)網(wǎng)關(guān)證書書。通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證42電子子商商務(wù)務(wù)SET中CA的層次結(jié)結(jié)構(gòu)通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證43電子子商商務(wù)務(wù)2

28、）PKICAPKI是提供公公鑰加密密和數(shù)字字簽字服服務(wù)的安安全基礎(chǔ)礎(chǔ)平臺(tái)，目的是是管理密密鑰和證證書。PKI是創(chuàng)建、頒發(fā)、管理、撤消公公鑰證書書所涉及及到的所所有軟件件、硬件件的集合合體。PKI將公開密密鑰技術(shù)術(shù)、數(shù)字字證書、證書發(fā)發(fā)放機(jī)構(gòu)構(gòu)（CA）和安全全策略等等安全措措施整合合起來，成為目目前公認(rèn)認(rèn)的在大大型開放放網(wǎng)絡(luò)環(huán)環(huán)境下解解決信息息安全問問題最可可行、最最有效的的方法。通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證44電子子商商務(wù)務(wù)PKI的主要功功能和服服務(wù)通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證45電子子商商務(wù)務(wù)PKI體系的構(gòu)構(gòu)成一個(gè)典型型的PKI應(yīng)用系統(tǒng)統(tǒng)包括五五個(gè)部分分：密鑰鑰管理子子系統(tǒng)、證書受受理子系系統(tǒng)、證證書簽發(fā)發(fā)

29、子系統(tǒng)統(tǒng)、證書書發(fā)布子子系統(tǒng)、目錄服服務(wù)子系系統(tǒng)。46電子子商商務(wù)務(wù)4.證書的樹樹形驗(yàn)證證結(jié)構(gòu)在雙方通通信時(shí)，通過出出示由某某個(gè)CA簽發(fā)的證證書來證證明自己己的身份份，如果果對(duì)簽發(fā)發(fā)證書的的CA本身不信信任，則則可驗(yàn)證證CA的身份，依次類類推，一一直到公公認(rèn)的權(quán)權(quán)威CA處（參見見圖2-9）。證書的樹樹形驗(yàn)證證結(jié)構(gòu)47電子子商商務(wù)務(wù)4.帶有數(shù)字字簽字和和數(shù)字證證書的加加密系統(tǒng)統(tǒng)安全電子子商務(wù)使使用的文文件傳輸輸系統(tǒng)大大都帶有有數(shù)字簽簽字和數(shù)數(shù)字證書書。帶有數(shù)字字簽字和和數(shù)字證證書的加加密系統(tǒng)統(tǒng)48電子子商商務(wù)務(wù)上圖顯示示了整個(gè)個(gè)文件加加密傳輸輸?shù)?0個(gè)步驟：（1）在發(fā)送送方的網(wǎng)網(wǎng)站上，將要傳傳送

30、的信信息通過過哈什函函數(shù)變換換為預(yù)先先設(shè)定長(zhǎng)長(zhǎng)度的報(bào)報(bào)文摘要要；（2）利用發(fā)發(fā)送方的的私鑰給給報(bào)文摘摘要加密密，結(jié)果果是數(shù)字字簽字；（3）將數(shù)字字簽字和和發(fā)送方方的認(rèn)證證證書附附在原始始信息上上打包，使用DES算法生成成的對(duì)稱稱密鑰在在發(fā)送方方的計(jì)算算機(jī)上為為信息包包加密，得到加加密信息息包。（4）用預(yù)先先收到的的接收方方的公鑰鑰為對(duì)稱稱密鑰加加密，得得到數(shù)字字信封；（5）加密信信息和數(shù)數(shù)字信封封合成一一個(gè)新的的信息包包，通過過互聯(lián)網(wǎng)網(wǎng)將加密密信息和和數(shù)字信信封傳導(dǎo)導(dǎo)接收方方的計(jì)算算機(jī)上；49電子子商商務(wù)務(wù)（6）用接收收方的私私鑰解密密數(shù)字信信封，得得到對(duì)稱稱密鑰；（7）用還原原的對(duì)稱稱密鑰解

31、解密加密密信息，得到原原始信息息、數(shù)字字簽字和和發(fā)送方方的認(rèn)證證證書；（8）用發(fā)送送方公鑰鑰（置于于發(fā)送方方的認(rèn)證證證書中中）解密密數(shù)字簽簽字，得得到報(bào)文文摘要；（9）將收到到的原始始信息通通過哈什什函數(shù)變變換為報(bào)報(bào)文摘要要；（10）將第8步和第9步得到的的信息摘摘要加以以比較，以確認(rèn)認(rèn)信息的的完整性性。通過認(rèn)證證機(jī)構(gòu)認(rèn)認(rèn)證50電子子商商務(wù)務(wù)6.認(rèn)證機(jī)構(gòu)構(gòu)在電子子商務(wù)中中的地位位和作用用在電子商商務(wù)交易易的撮合合過程中中，認(rèn)證證機(jī)構(gòu)是是提供交交易雙方方驗(yàn)證的的第三方方機(jī)構(gòu)，由一個(gè)個(gè)或多個(gè)個(gè)用戶信信任的、具有權(quán)權(quán)威性質(zhì)質(zhì)的組織織實(shí)體管管理。電子商務(wù)務(wù)認(rèn)證機(jī)機(jī)構(gòu)對(duì)登登記者履履行下列列監(jiān)督管管理職責(zé)

32、責(zé)：（1）監(jiān)督登登記者按按照規(guī)定定辦理登登記、變變更、注注銷手續(xù)續(xù)。（2）監(jiān)督登登記者按按照電子子商務(wù)的的有關(guān)法法律法規(guī)規(guī)合法從從事經(jīng)營(yíng)營(yíng)活動(dòng)。（3）制止和和查處登登記人的的違法交交易活動(dòng)動(dòng)，保護(hù)護(hù)交易人人的合法法權(quán)益。51電子子商商務(wù)務(wù)第四節(jié)電電子商商務(wù)支付付安全1、黑客的的基本概概念2、黑客的的攻擊手手段3、防范黑黑客攻擊擊的方法法52電子子商商務(wù)務(wù)黑客的基基本概念念黑客（hacker），源于于英語(yǔ)動(dòng)動(dòng)詞hack，分為駭駭客和竊竊客。駭客只想想引人注注目，證證明自己己的能力力，不會(huì)會(huì)去破壞壞系統(tǒng)。他們追追求的是是從侵入入行為本本身獲得得巨大的的成功的的滿足。竊客的行行為帶有有強(qiáng)烈的的目的性

33、性。主要要是竊取取國(guó)家情情報(bào)、科科研情報(bào)報(bào)；也瞄瞄準(zhǔn)了銀銀行的資資金和電電子商務(wù)務(wù)的整個(gè)個(gè)交易過過程。53電子子商商務(wù)務(wù)網(wǎng)絡(luò)黑客客常用的的攻擊手手段1.口令攻擊擊黑客首先先通過進(jìn)進(jìn)入系統(tǒng)統(tǒng)的常用用服務(wù)，或?qū)W(wǎng)網(wǎng)絡(luò)通信信進(jìn)行監(jiān)監(jiān)視，使使用掃描描工具獲獲取目標(biāo)標(biāo)主機(jī)的的有用信信息。2.服務(wù)攻擊擊和目標(biāo)主主機(jī)建立立大量的的連接。向遠(yuǎn)程主主機(jī)發(fā)送送大量的的數(shù)據(jù)包包。利用即時(shí)時(shí)消息功功能，以以極快的的速度用用無數(shù)的的消息“轟炸”某個(gè)特特定用戶戶。利用網(wǎng)絡(luò)絡(luò)軟件在在實(shí)現(xiàn)協(xié)協(xié)議時(shí)的的漏洞，向目標(biāo)標(biāo)主機(jī)發(fā)發(fā)送特定定格式的的數(shù)據(jù)包包，從而而導(dǎo)致主主機(jī)癱瘓瘓。54電子子商商務(wù)務(wù)3.電子郵件件轟炸用戶就會(huì)會(huì)在很短短

34、的時(shí)間間內(nèi)收到到大量的的電子郵郵件，這這樣使得得用戶系系統(tǒng)的正正常業(yè)務(wù)務(wù)不能開開展，系系統(tǒng)功能能喪失，嚴(yán)重時(shí)時(shí)會(huì)使系系統(tǒng)關(guān)機(jī)機(jī)，甚至至使整個(gè)個(gè)網(wǎng)絡(luò)癱癱瘓。4.利用文件件系統(tǒng)入入侵如果FTP服務(wù)器上上的用戶戶權(quán)限設(shè)設(shè)置不當(dāng)當(dāng)或保密密程度不不好，極極易造成成泄密事事件。4.計(jì)算機(jī)病病毒計(jì)算機(jī)病病毒，是是指編制制或者在在計(jì)算機(jī)機(jī)程序中中插入的的破壞計(jì)計(jì)算機(jī)功功能或者者毀壞數(shù)數(shù)據(jù)，影影響計(jì)算算機(jī)使用用，并能能自我復(fù)復(fù)制的一一組計(jì)算算機(jī)指令令或者程程序代碼碼。黑客客常常利利用計(jì)算算機(jī)病毒毒對(duì)目標(biāo)標(biāo)主機(jī)進(jìn)進(jìn)行攻擊擊。網(wǎng)絡(luò)黑客客常用的的攻擊手手段55電子子商商務(wù)務(wù)6.IP欺騙IP欺騙是適適用于TCP/IP環(huán)

35、境的一一種復(fù)雜雜的技術(shù)術(shù)攻擊，它偽造造他人的的源地址址，讓一一臺(tái)計(jì)算算機(jī)來扮扮演另一一臺(tái)計(jì)算算機(jī)，借借以達(dá)到到蒙混過過關(guān)的目目的。IP欺騙主要要包括簡(jiǎn)簡(jiǎn)單的地地址偽造造和序列列號(hào)預(yù)測(cè)測(cè)兩種。簡(jiǎn)單的地地址偽造造是指黑黑客將自自己的數(shù)數(shù)據(jù)包的的源地址址改為其其他主機(jī)機(jī)的地址址，然后后發(fā)向目目標(biāo)主機(jī)機(jī)，使目目標(biāo)主機(jī)機(jī)無法正正確找到到數(shù)據(jù)包包的來源源。序列號(hào)預(yù)預(yù)測(cè)的攻攻擊方法法是，黑黑客通過過偽造TCP序列號(hào)、修改數(shù)數(shù)據(jù)包的的源地址址等方法法，使數(shù)數(shù)據(jù)包偽偽裝成來來自被信信任或正正在通信信的計(jì)算算機(jī)，而而被目標(biāo)標(biāo)主機(jī)接接收。網(wǎng)絡(luò)黑客客常用的的攻擊手手段56電子子商商務(wù)務(wù)防范黑客客攻擊的的主要技技術(shù)手段

36、段防范黑客客的技術(shù)術(shù)措施根根據(jù)所選選用的產(chǎn)產(chǎn)品的不不同，可可以分為為7類：入侵侵檢測(cè)設(shè)設(shè)備，訪訪問設(shè)備備、瀏覽覽器/服務(wù)器軟軟件、證證書、商商業(yè)軟件件、防火火墻和安安全工具具包/軟件。1.入侵檢測(cè)測(cè)技術(shù)入侵檢測(cè)測(cè)通過旁旁路監(jiān)聽聽的方式式不間斷斷地收取取網(wǎng)絡(luò)數(shù)數(shù)據(jù)，對(duì)對(duì)網(wǎng)絡(luò)的的運(yùn)行和和性能無無任何影影響，同同時(shí)判斷斷其中是是否含有有攻擊的的企圖，通過各各種手段段向管理理員報(bào)警警；不但但可以發(fā)發(fā)現(xiàn)從外外部的攻攻擊，也也可以發(fā)發(fā)現(xiàn)內(nèi)部部的惡意意行為。57電子子商商務(wù)務(wù)2.防火墻技技術(shù)1）傳統(tǒng)防防火墻傳統(tǒng)防火火墻的類類型主要要有三種種：包過過濾、應(yīng)應(yīng)用層網(wǎng)網(wǎng)關(guān)、復(fù)復(fù)合型網(wǎng)網(wǎng)關(guān)。2）新型防防火墻新型防火

37、火墻的設(shè)設(shè)計(jì)目標(biāo)標(biāo)是既有有包過濾濾的功能能，又能能在應(yīng)用用層進(jìn)行行代理，能從數(shù)數(shù)據(jù)鏈路路層到應(yīng)應(yīng)用層進(jìn)進(jìn)行全方方位安全全處理。新型防火火墻的設(shè)設(shè)計(jì)綜合合了包過過濾技術(shù)術(shù)和代理理技術(shù)，克服了了二者在在安全方方面的缺缺陷；能能夠從TCP/IP協(xié)議的數(shù)數(shù)據(jù)鏈路路層一直直到應(yīng)用用層施加加全方位位的控制制。防范黑客客攻擊的的主要技技術(shù)手段段58電子子商商務(wù)務(wù)3.物理隔離離技術(shù)物理隔離離卡安裝裝在主板板和硬盤盤之間，完全控控制硬盤盤讀寫操操作，并并控制了了網(wǎng)絡(luò)連連接及通通訊線路路。物理隔離離卡主要要分為單單硬盤物物理隔離離卡和雙雙硬盤物物理隔離離卡。單硬盤物物理隔離離卡是通通過把用用戶的一一個(gè)硬盤盤分成兩

38、兩個(gè)區(qū)，一個(gè)為為公共硬硬盤/區(qū)（外網(wǎng)網(wǎng)），另另一個(gè)為為安全硬硬盤/區(qū)（內(nèi)網(wǎng)網(wǎng)），將將一臺(tái)普普通計(jì)算算機(jī)變成成兩臺(tái)虛虛擬計(jì)算算機(jī)，每每次啟動(dòng)動(dòng)進(jìn)入其其中的一一個(gè)硬盤盤/區(qū)。防范黑客客攻擊的的主要技技術(shù)手段段59電子子商商務(wù)務(wù)單硬盤物物理隔離離卡工作作示意圖圖防范黑客客攻擊的的主要技技術(shù)手段段60電子子商商務(wù)務(wù)雙硬盤物物理隔離離卡的基基本原理理是：在在連接內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)的同時(shí)時(shí)，啟動(dòng)動(dòng)內(nèi)網(wǎng)硬硬盤及其其操作系系統(tǒng)，同同時(shí)關(guān)閉閉外網(wǎng)硬硬盤；在在連接外外部網(wǎng)絡(luò)絡(luò)的同時(shí)時(shí)，啟動(dòng)動(dòng)外網(wǎng)硬硬盤及其其操作系系統(tǒng)，同同時(shí)關(guān)閉閉內(nèi)網(wǎng)硬硬盤。物理隔離離網(wǎng)閘由由物理隔隔離網(wǎng)絡(luò)絡(luò)電腦和和物理隔隔離系統(tǒng)統(tǒng)交換機(jī)機(jī)組成。其中，

39、物理隔隔離網(wǎng)絡(luò)絡(luò)電腦負(fù)負(fù)責(zé)與物物理隔離離交換機(jī)機(jī)通信，并承擔(dān)擔(dān)選擇內(nèi)內(nèi)網(wǎng)服務(wù)務(wù)器和外外網(wǎng)服務(wù)務(wù)器的功功能。物理隔離離交換機(jī)機(jī)實(shí)際上上就是一一個(gè)加載載了智能能功能的的電子選選擇開關(guān)關(guān)。物理理隔離交交換機(jī)不不但具有有傳統(tǒng)交交換機(jī)的的功能，而且增增加了選選擇網(wǎng)絡(luò)絡(luò)的能力力。61電子子商商務(wù)務(wù)物理隔離離閘示意意圖62電子子商商務(wù)務(wù)電子商務(wù)務(wù)安全交交易標(biāo)準(zhǔn)準(zhǔn)1安全套套接層協(xié)協(xié)議SSL（SecureSocketsLayer）（1）安全套接接層協(xié)議議的概念念（2）安全套套接層協(xié)協(xié)議的工工作原理理（3）建立SSL安全連接接的過程程第四節(jié)電電子商商務(wù)支付付安全63電子子商商務(wù)務(wù)第四節(jié)電電子商商務(wù)支付付安全64電

40、子子商商務(wù)務(wù)實(shí)現(xiàn)SSL協(xié)議的是是HTTP的安全版版，名為為HTTPS。65電子子商商務(wù)務(wù)（2）安全套套接層協(xié)協(xié)議的工工作原理理1)利用認(rèn)證證技術(shù)識(shí)識(shí)別各自自的身份份。2）利用加加密技術(shù)術(shù)保證通通道的保保密性3）利用數(shù)數(shù)字簽名名技術(shù)保保證信息息傳送的的完整性性。SSL需要認(rèn)證證服務(wù)器器，并對(duì)對(duì)兩臺(tái)計(jì)計(jì)算機(jī)之之間所有有的傳輸輸進(jìn)行加加密。SSL用公開密密鑰（非非對(duì)稱）加密和和私有密密鑰（對(duì)對(duì)稱）加加密來實(shí)實(shí)現(xiàn)信息息的保密密。雖然然公開密密鑰非常常方便，但速度度較慢。這就是是SSL對(duì)幾乎所所有的安安全通訊訊都使用用私有密密鑰加密密的原因因。第四節(jié)電電子商商務(wù)支付付安全66電子子商商務(wù)務(wù)（3）建立SS

41、L安全連接接的過程程圖顯示在在eCoin上在登陸陸（Login）用戶名名時(shí)即進(jìn)進(jìn)入SSL安全連接接。在eCoin上連接交交換敏感感信息的的頁(yè)面第四節(jié)電電子商商務(wù)支付付安全67電子子商商務(wù)務(wù)這時(shí)瀏覽覽器發(fā)出出安全警警報(bào)，開開始建立立安全連連接，參參見圖1。同時(shí)驗(yàn)驗(yàn)證安全全證書，參見圖圖2用戶單擊擊“確定”鍵即進(jìn)入入安全連連接。圖1瀏覽器開開始建立立安全連連接圖圖2瀏覽器驗(yàn)驗(yàn)證服務(wù)務(wù)器安全全證書第四節(jié)電電子商商務(wù)支付付安全68電子子商商務(wù)務(wù)該圖顯示示在eCoin上的安全全連接已已經(jīng)建立立，瀏覽覽器右下下角狀態(tài)態(tài)欄的鎖鎖型圖案案表示用用戶通過過網(wǎng)頁(yè)傳傳輸?shù)挠糜脩裘秃兔艽a都都將通過過加密方方式傳送送。69電子子商商務(wù)務(wù) 當(dāng)加密方方式傳送送結(jié)束后后，瀏覽覽器會(huì)離離開交換換敏感信信息的頁(yè)面，自自動(dòng)斷開開安全連連接。 離開交換換敏感信信息的頁(yè)頁(yè)面，瀏瀏覽器自自動(dòng)斷開開安全連連接70電子子商商務(wù)務(wù)SSL的優(yōu)缺點(diǎn)點(diǎn)：優(yōu)點(diǎn)：1、支持很很多加密密算法；2、獨(dú)立于于應(yīng)用層層協(xié)議，過程簡(jiǎn)簡(jiǎn)單；3、目前被被大部分分瀏覽器器和服務(wù)務(wù)器內(nèi)置置，實(shí)現(xiàn)現(xiàn)方便。缺點(diǎn)：只能建立立兩點(diǎn)之之間的安安全連線線，且只只能保證證連接通通道的安安全（即即僅僅保保證數(shù)據(jù)據(jù)傳輸?shù)牡陌踩?，而?/p>