電子商務安全技術課件

2022/11/19經濟與管理系林銳2022/11/11經1

2022/11/19經濟與管理系林銳在信息經濟的發(fā)展過程中，我們越來越依賴于網絡。隨著經濟信息化進程的加快，計算機網絡上的破壞活動也隨之猖獗起來，已對經濟秩序、經濟建設、國家信息安全構成嚴重威脅。

2000年2月8日到10日，一伙神通廣大的神秘黑客在三天的時間里接連襲擊了互聯網上包括雅虎、美國有限新聞等在內的五個最熱門的網站，導致世界五大網站連連癱瘓。

2000年9月，WesternUnion公司的15000張信用卡被竊取，致使該商務網站不得不關閉5天。同年12月，creditcards.corn網站被竊取了55000張信用卡，其中的25000張信用卡號碼在網上公諸于眾。消費者對網上交易的網絡安全缺乏信心，使得越來越多消費者不愿在網上購物。資料信息：2022/11/11經2

2022/11/19經濟與管理系林銳

教學目標：通過本章的學習要求學生了解電子商務的相關安全技術，掌握病毒防范技術、防火墻技術和加密算法基本原理和算法，了解電子商務的相關安全協議。

教學重點和難點：

1、電子商務安全要素及策略

2、防火墻技術與加密技術2022/11/11經3

2022/11/19經濟與管理系林銳6.1電子商務中安全要素及面臨的安全問題6.2病毒及黑客防范技術6.3防火墻技術6.4加密算法6.5基于公開密鑰體系體系的數字證書認證技術6.6電子商務安全交易協議教學內容：2022/11/11經4

2022/11/19經濟與管理系林銳6.1電子商務中安全要素及面臨的安全問題

身份確認?

1、工商管理登記

2、身份證、見面交易保證1、合同的不可否認性（白紙黑字、字跡、公章）

2、有效性（第三方公證、鑒定）

3、合法權益保護（法律保護、屬地原則）

4、單據傳輸有形傳統(tǒng)交易的安全保障2022/11/11經5

2022/11/19經濟與管理系林銳一、電子商務具備的基本安全要素有效性機密性完整性可靠性/不可抵賴性/可鑒別性審查能力

二、電子商務系統(tǒng)安全環(huán)境網絡安全、通信安全、商務交易安全以及物理設備環(huán)境的安全2022/11/11經6

2022/11/19經濟與管理系林銳三、電子商務中面臨的安全問題

（一）計算機實體方面病毒、黑客、斷電、打雷、靜電、盜竊以及物理設施的損壞和破壞。（二）信息方面冒名偷竊、篡改數據、信息丟失、虛假信息、信息傳遞中的破壞。（三）信用方面買賣雙方抵賴否認行為以及商品質量不符合要求。（四）管理方面人員管理、機構管理、流程管理和技術管理。（五）法律方面法律滯后、法律調整以及法律效力。2022/11/11經7

2022/11/19經濟與管理系林銳四、電子商務系統(tǒng)安全策略機構與管理法律與法規(guī)經濟實力技術與人才政策、法律、守則、管理Internet防火墻

授權、認證

加密審計、監(jiān)控數據信息安全軟件系統(tǒng)安全措施通訊網絡安全措施硬件系統(tǒng)安全措施物理實體安全環(huán)境管理細則保護措施法律規(guī)范道德紀律2022/11/11經8

2022/11/19經濟與管理系林銳安全具體應用策略交易安全技術安全應用協議SET、SSL安全認證手段數字簽名、CA體系基本加密算法對稱和非對稱密算法安全管理體系網絡安全技術病毒防范身份識別技術防火墻技術分組過濾和代理服務等法律、法規(guī)、政策2022/11/11經9

2022/11/19經濟與管理系林銳五、電子商務交易過程中安全性要求信息的保密性：這是指信息在存儲、傳輸和處理過程中，不被他人竊取。這需要對交換的信息實施加密保護，使得第三者無法讀懂電文。信息的完整性：這是指確保收到的信息就是對方發(fā)送的信息，信息在存儲中不被篡改和破壞，在交換過程中無亂序或篡改，保持與原發(fā)送信息的一致性。2022/11/11經10

2022/11/19經濟與管理系林銳信息的不可否認性：這是指信息的發(fā)送方不可否認已經發(fā)送的信息，接收方也不可否認已經收到的信息。交易者身份的真實性：這是指交易雙方的身份是真實的，不是假冒的。防止冒名發(fā)送數據。系統(tǒng)的可靠性：這是指計算機及網絡系統(tǒng)的硬件和軟件工作的可靠性。在電子商務所需的幾種安全性要求中，以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現涉及到多種安全技術的應用。2022/11/11經11

2022/11/19經濟與管理系林銳對應的技術解決手段2022/11/11經12

2022/11/19經濟與管理系林銳6.2病毒及黑客防范技術

一、病毒概述（一）病毒是人為編制的程序；其次，病毒具有傳染性。

1987年10月，世界第一例計算機病毒（Brian）在美國發(fā)現，它是一種系統(tǒng)引導型病毒。（二）病毒種類

1、單機病毒：CIH病毒、DOS病毒、Windows病毒、宏病毒。

2、網絡病毒：特洛伊木馬、郵件病毒、IP炸彈、ICQ/QICQ炸彈（三）病毒特點

1.破壞性：凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。其表現：占用CPU時間和內存開銷，對數據或文件進行破壞等。

2.隱蔽性：病毒程序大多夾在正常程序之中，很難被發(fā)現。

3.潛伏性：病毒侵入后，一般不立即活動，等條件成熟后才作用。

4.傳染性：病毒通過修改別的程序，并把自身的拷貝包括進去。2022/11/11經13

2022/11/19經濟與管理系林銳二、病毒防范(一)計算機病毒消毒可分為手工消毒和自動消毒兩種方法。手工消毒方法使用DEBUG、PCTOOLS等簡單工具，借助于對某種病毒的具體認識，從感染病毒的文件中，清除病毒代碼，使之康復。手工消毒操作復雜，速度慢，風險大，需要熟練的技能和豐富的知識。自動消毒方法使用自動消毒軟件自動清除患病文件中的病毒代碼，使之康復。自動消毒方法操作簡單、效率高、風險小。如果兩種方法仍不奏效，最后一種辦法就是對軟盤進行格式化，或對硬盤進行低級格式化。2022/11/11經14

2022/11/19經濟與管理系林銳1.備份：對所有的軟件（甚至操作系統(tǒng)）和重要的數據進行備份，并制定應付突發(fā)情況的應急方案。2.預防：提高警惕性，實行安全制度，例使用正版殺毒軟件安裝防火墻等。3.檢測：使用殺病毒軟件來檢測、報告并殺死病毒。4.隔離：隔離攜帶病毒的部件或者重要數據隔離存放。5.恢復：殺毒或清除被病毒感染的文件。6.控制權限：防止非法訪問和進入。7.高度警惕網絡陷阱8.不打開陌生地址的電子郵件（二）計算機病毒的具體防范策略：2022/11/11經15

2022/11/19經濟與管理系林銳Packet-Switched

Leased

LineWorkgroup廣域網INTERNET局域網PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠程工作站網絡防毒手段2022/11/11經16

2022/11/19經濟與管理系林銳三、黑客

（一）、概述一類是駭客，他們只想引人注目，證明自己的能力，在進入網絡系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵入行為本身獲得巨大的滿足。另一類黑客是竊客，他們的行為帶有強烈的目的性，早期這些黑客主要竊取國家情報、科研情報，而現在的目標大都瞄準了銀行的資金和電子商務交易過程。（二）、黑客入侵手段

1、口令攻擊：監(jiān)視網絡通信，獲取目標信息，破譯口令。

2、服務攻擊：向目標服務主機發(fā)送大量數據，讓其死機等。

3、大量的電子郵件使主機癱瘓。2022/11/11經17

2022/11/19經濟與管理系林銳4、計算機病毒或者木馬程序

5、IP地址欺騙（三）黑客防范策略

1、入侵檢測

2、防火墻

3、物理隔離將計算機硬盤分成兩個分區(qū)，內網和外網各一個。2022/11/11經18

2022/11/19經濟與管理系林銳2022/11/11經19

2022/11/19經濟與管理系林銳6.3防火墻技術一、防火墻定義

是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問以及管理內部用戶訪問外界網絡的權限，是一種安全訪問控制機制。二、防火墻的基本準則

一切未被允許的就是禁止的

防火墻應封鎖所有信息流，然后對希望提供的服務逐項開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務范圍受到限制。

一切未被禁止的就是允許的

防火墻轉發(fā)所有信息流，然后逐項屏蔽有害的服務。這種方法構成了更為靈活的應用環(huán)境，可為用戶提供更多的服務。但在日益增多的網絡服務面前，網管人員的疲于奔命可能很難提供可靠的安全防護。2022/11/11經20

2022/11/19經濟與管理系林銳一個典型防火墻的構成2022/11/11經21

2022/11/19經濟與管理系林銳三、防火墻的功能保護數據的完整性?？梢揽吭O定用戶的權限和文件保護來控制用戶訪問敏感性信息，可以限制一個特定用戶能夠訪問信息的數量和種類；保護網絡的有效性。有效性是指一個合法用戶如何快速、簡便地訪問網絡的資源，防止外來攻擊；保護數據的機密性，加密敏感數據。

注意：不能防范內部入侵2022/11/11經22

2022/11/19經濟與管理系林銳四、防火墻的基本原理（一）數據過濾：一個設備采取的有選擇地控制來往于網絡的數據流的行動。數據包過濾可以發(fā)生在路由器或網橋上。屏蔽路由器2022/11/11經23

2022/11/19經濟與管理系林銳防火墻的基本原理（二）應用網關（三）代理服務：代理服務是運行在防火墻主機上的應用程序或服務器程序。它在幕后處理所有Int-ernet用戶和內部網之間的通訊以代替直接交談。代理服務2022/11/11經24

2022/11/19經濟與管理系林銳6.4加密算法

一、加密技術概述（一）加密就是采用合適的加密算法（實際上是一種數學方法）把原始信息（稱為“明文”）轉換成一些晦澀難懂的或者偏離信息原意的信息（稱為“密文”），從而達到保障信息安全目的的過程。2022/11/11經25

2022/11/19經濟與管理系林銳將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。加密和解密必須依賴兩個要素：算法和密鑰。算法是加密和解密的計算方法；密鑰是加密所需的一串數字。2022/11/11經26

2022/11/19經濟與管理系林銳(二)加密系統(tǒng)加密系統(tǒng)包括信息（明文和密文）、密鑰（加密密鑰和解密密鑰）、算法（加密算法和解密算法）三個組成部分。2022/11/11經27

2022/11/19經濟與管理系林銳二、對稱加密技術（一）對稱加密技術（SymmetricEncryption）又稱為私鑰或單鑰加密，在這種體系中，加密和解密均使用同一個密鑰或者本質上相同（即其中一個可以通過另一個密鑰推導）的一對密鑰。即加密算法公開，Ke=Kd2022/11/11經28

2022/11/19經濟與管理系林銳2022/11/11經29

2022/11/19經濟與管理系林銳（二）加密例子單字母加密方法例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。2022/11/11經30

2022/11/19經濟與管理系林銳例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。2022/11/11經31

2022/11/19經濟與管理系林銳例3：思考：算法與密鑰？2022/11/11經32

2022/11/19經濟與管理系林銳（三）、對稱加密技術優(yōu)缺點1〉在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統(tǒng)一的密鑰。2〉當通信對象增多時，需要相應數量的密鑰。例如一個擁有100個貿易伙伴的企業(yè)，必須要有100個密鑰，這就使密鑰管理和使用的難度增大。3〉對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。4>難以進行身份認證但是加密和解密速度快，適合大量數據的加密與解密。

常用的有DES算法等。2022/11/11經33

2022/11/19經濟與管理系林銳三、非對稱加密技術

（公開密碼密鑰體制）（一）與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰——公開密鑰(PublicKey，公鑰)和私有密鑰。如果用公開密鑰對數據進行加密，則只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數據進行加密，則只有用對應的公開密鑰才能解密。一個公開發(fā)布，用于加密，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，用于解密，稱為私有密鑰（Private-Key）。

密鑰是一對，但Ke＝Kd2022/11/11經34

2022/11/19經濟與管理系林銳2022/11/11經35

2022/11/19經濟與管理系林銳（二）RSA算法實例：RSA的算法1)選取兩個足夠大的質數P和Q；如：P=101，Q=1132)計算P和Q相乘所產生的乘積n=P×Q；如：n=114133)找出一個小于n的數e，使其符合與（P－1）×（Q－1）互為質數；如：取e=35334)另找一個數d，使其滿足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod為相除取余）；如：取d=65975)（n，e）即為公開密鑰；（n，d）即為私用密鑰；6)加密：C=E(M)=Memodn(由明文M到密文C)解密：M=D(C)=Cdmodn(由密文C到明文M)即無論哪一個質數先與原文加密，均可由另一個質數解密。但要用一個質數來求出另一個質數，則是非常困難的。2022/11/11經36

2022/11/19經濟與管理系林銳（三）兩種加密算法的比較特性對稱非對稱密鑰的數目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數字證書及可靠第三者解決了對稱加密算法存在的問題相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或對信息簽字等不太嚴格保密的應用2022/11/11經37

2022/11/19經濟與管理系林銳數字信封數字信封（也稱為電子信封）并不是一種新的加密體系，它只是把兩種密鑰體系結合起來，獲得了非對稱密鑰技術的靈活和對稱密鑰技術的高效。2022/11/11經38

2022/11/19經濟與管理系林銳四、信息摘要采用單向Hash函數對文件進行變換運算得到摘要碼，并把摘要碼和文件一同送給接收方，接收方接到文件后，用相同的方法對文件進行變換計算，用得出的摘要碼與發(fā)送來的摘要碼進行比較來斷定文件是否被篡改。2022/11/11經39

2022/11/19經濟與管理系林銳它是由RonRivest發(fā)明的一種單向加密算法，其加密結果是不能解密的。其過程如下：①對原文使用Hash算法得到數字摘要；②將數字摘要與原文一起發(fā)送；③接收方將收到的原文應用單向Hash函數產生一個新的數字摘要；④將新的數字摘要與發(fā)送方發(fā)來的數字摘要進行比較，若兩者相同則表明原文在傳輸中沒有被修改，否則就說明原文被修改過。2022/11/11經40

2022/11/19經濟與管理系林銳五、數字簽名(一)數字簽名的含義和作用

在書面文件上親筆簽名或蓋章是傳統(tǒng)商務中確認文件真實性和法律效力的一種最為常用的手段。作用:

①確認當事人的身份，起到了簽名或蓋章的作用。②能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。2022/11/11經41

2022/11/19經濟與管理系林銳數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術。完善的數字簽名技術具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰?，在電子商務安全服務中的源鑒別、完整性服務、不可否認性服務方面有著特別重要的意義。2022/11/11經42

2022/11/19經濟與管理系林銳（二）數字簽名和驗證的過程發(fā)送方私鑰2022/11/11經43

2022/11/19經濟與管理系林銳數字簽名和驗證的具體步驟如下：⑴報文的發(fā)送方從原文中生成一個數字摘要，再用自己的私鑰對這個數字摘要進行加密來形成發(fā)送方的數字簽名。⑵發(fā)送方將數字簽名作為附件與原文一起發(fā)送給接收方。⑶接收方用發(fā)送方的公鑰對已收到的加密數字摘要進行解密；2022/11/11經44

2022/11/19經濟與管理系林銳⑷接收方對收到的原文用Hash算法得到接收方的數字摘要；⑸將解密后的發(fā)送方數字摘要與接收方數字摘要進行對比。如果兩者相同，則說明信息完整且發(fā)送者身份是真實的，否則說明信息被修改或不是該發(fā)送方發(fā)送的。由于發(fā)送方的私鑰是由自己管理使用的，其他人無法仿冒使用，一旦發(fā)送方用自己的私鑰加密發(fā)送了信息也不能否認，所以數字簽名解決了電子商務信息的完整性鑒別和不可否認性（抵賴性）問題。2022/11/11經45

2022/11/19經濟與管理系林銳數字簽名使用的是發(fā)送方的密鑰對，是發(fā)送方用自己的私鑰對摘要進行加密，接收方用發(fā)送方的公鑰對數字簽名解密，是一對多的關系，表明發(fā)送方公司的任何一個貿易伙伴都可以驗證數字簽名的真?zhèn)涡?；密鑰加密解密過程使用的是接收方的密鑰對，是發(fā)送方用接收方的公鑰加密，接收方用自己的私鑰解密，是多對一的關系，表明任何擁有該公司公鑰的人都可以向該公司發(fā)送密文，但只有該公司才能解密，其他人不能解密；（三）數字簽名與加密過程密鑰對使用差別2022/11/11經46

2022/11/19經濟與管理系林銳2022/11/11經47

2022/11/19經濟與管理系林銳2022/11/11經48

2022/11/19經濟與管理系林銳六、身份認證認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認證和信息認證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性。2022/11/11經49

2022/11/19經濟與管理系林銳1、口令方式用戶身份認證的最簡單、最廣的一種方法就是口令方式，口令由數字字母、特殊字符等組成。系統(tǒng)事先保存每個用戶的二元組信息，進入系統(tǒng)時用戶輸入二元組信息，系統(tǒng)根據保存的用戶信息和用戶輸入的信息相比較，從而判斷用戶身份的合法性。這種身份認證方法操作十分簡單，但最不安全，因為其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，不能抵御口令猜測攻擊，整個系統(tǒng)的安全容易受到威脅。（一）用戶身份認證三種常用基本方式2022/11/11經50

2022/11/19經濟與管理系林銳2、標記方式標記是一種用戶所持有的某個秘密信息(硬件)，上面記錄著用于系統(tǒng)識別的個人信息。即訪問系統(tǒng)資源時，用戶必須持有合法的隨身攜帶的物理介質(如存儲有用戶個性化數據的智能卡等)用于身份識別，訪問系統(tǒng)資源。3、人體生物學特征方式

某些人體生物學特征，如指紋、聲音、DNA圖案、視網膜掃描圖案等等，在不同人中完全相同的概率非常小，用它可以直接進行身份認證。但這種方案一般造價較高，適用于保密程度很高的場合。2022/11/11經51

2022/11/19經濟與管理系林銳（二）數字證書與認證中心認證中心：（CertificateAuthority，簡稱CA），也稱之為電子商務認證中心，是承擔網上安全電子交易認證服務，能簽發(fā)數字證書，確認用戶身份的、與具體交易行為無關的第三方權威機構。認證中心通常是企業(yè)性的服務機構，主要任務是受理證書的申請、簽發(fā)和管理數字證書。其核心是公共密鑰基礎設施（PKI）。2022/11/11經52

2022/11/19經濟與管理系林銳1.認證中心的職能認證機構的核心職能是發(fā)放和管理用戶的數字證書。認證中心必須管理它所發(fā)的所有證書：①用戶能夠方便地查找各種證書，包括已經撤銷的證書；②能夠根據用戶請求或其他信息撤銷用戶的證書；③能夠根據證書的有效期自動地撤銷證書；④能夠完成證書數據庫的備份工作；⑤有效地保護證書和密匙服務器的安全。特別地保證認證中心的簽名密匙不被非法使用。2022/11/11經53

2022/11/19經濟與管理系林銳認證中心的四大具體職能認證中心接受個人、單位的數字證書申請，何時申請人的各項資料是否真實，根據核實情況決定是否頒發(fā)數字證書。認證中心必須做到：保證所發(fā)的證書的序號各不相同；不同的實體所申請的證書的主體內容不一致；不同主體內容的證書所包含的公開密匙各不相同。⑴核發(fā)證書⑵

證書更新

證書使用總是有期限的，在證書發(fā)行簽字時都規(guī)定了失效日期，具體使用期長短由CA根據安全策略來定。更換過期證書，密鑰對也需要定期更換。有的密碼產品可以自動識別密鑰是否過期并更新密鑰，而且與CA進行必要的通信聯絡，而不必驚動注冊人。如果證書更新中有些變動，如證書中的注冊者的身份信息已被改動，或CA的發(fā)放證書政策要求定期從注冊者確認證書的細節(jié)，則應當讓注冊者參與證書的更新過程。2022/11/11經54

2022/11/19經濟與管理系林銳證書的撤消可以有許多理由，如發(fā)現、懷疑私鑰被泄露或檢測出證書已被篡改，則CA可以提前撤銷或暫停使用該證書。申請撤銷。注冊用戶向CA申請撤銷其證書。證書撤銷表CRL(CertificateRevocationList)。CA要將已撤銷證書記入CRL并公布，共查詢。⑶證書撤銷⑷證書驗證SET證書是通過信任分級層次體系（通常稱為證書的樹形驗證結構）來驗證的。每一個證書與簽發(fā)數字證書的機構的簽名證書關聯。SET證書的驗證采用如下的方法：在進行交易時，交易雙方通過出示由某CA簽發(fā)的證書來證明自己的身份時，如果對簽發(fā)證書的CA不信任，可逐級驗證CA的身份，以此類推，但驗證到達相同的公認的權威根認證中心(RootCA)時，就可以確信證書的合法有效性。2022/11/11經55

2022/11/19經濟與管理系林銳2.CA的樹型驗證結構根據功能的不同，SET認證中心劃分成不同的等級，不同的認證中心負責發(fā)放不同的證書。持卡人證書、商戶證書、支付網關證書分別由持卡人認證中心（CCA，CardHolderCA）、商戶認證中心（MCA，MerchantCA）、支付網關認證中心（PGCA，PaymentGatewayCA）頒發(fā)，而CCA證書、MCA證書和PCA證書則由品牌認證中心（BCA，BrandCA）或區(qū)域性認證中心（GCA，Geo-politicalCA）來頒發(fā)。BCA的證書由根認證中心（RCA，RootCA）來頒發(fā)。如圖所示。

2022/11/11經56

2022/11/19經濟與管理系林銳認證中心層次結構2022/11/11經57

2022/11/19經濟與管理系林銳2022/11/11經58

2022/11/19經濟與管理系林銳2022/11/11經59

2022/11/19經濟與管理系林銳4、數字證書（1）概念：又稱為數字憑證、數字標識，是一個經證書認證機構（CA）數字簽名的包含用戶身份信息以及公開密鑰信息的電子文件，是用電子手段來證實一個用戶的身份和對網絡資源訪問的權限。是各實體在網上進行信息交流及商務活動的電子身份證，由權威公正的第三方機構，即CA中心簽發(fā)。（2）數字證書可用于：發(fā)送安全電子郵件、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。2022/11/11經60

2022/11/19經濟與管理系林銳2022/11/11經61

2022/11/19經濟與管理系林銳

（3）數字證書的內容數字證書包括以下內容如圖所示：

證書擁有者的姓名；

證書擁有者的公鑰；

公鑰的有限期；

頒發(fā)數字證書的單位；

頒發(fā)數字證書單位的數字簽名；

數字證書的序列號等。2022/11/11經62

2022/11/19經濟與管理系林銳圖查看證書內容（1）2022/11/11經63

2022/11/19經濟與管理系林銳圖查看證書內容（2）2022/11/11經64

2022/11/19經濟與管理系林銳圖查看證書內容（3）2022/11/11經65

2022/11/19經濟與管理系林銳（4）．數字證書的申請1）下載并安裝根證書（如圖所示）2）申請證書（如圖所示）3）將個人身份信息連同證書序列號一并郵寄到中國數字認證網2022/11/11經66

2022/11/19經濟與管理系林銳圖下載根證書（1）2022/11/11經67

2022/11/19經濟與管理系林銳圖下載根證書（2）2022/11/11經68

2022/11/19經濟與管理系林銳圖安裝根證書（1）2022/11/11經69

2022/11/19經濟與管理系林銳圖安裝根證書（2）2022/11/11經70

2022/11/19經濟與管理系林銳圖查看根證書2022/11/11經71

2022/11/19經濟與管理系林銳圖申請個人免費證書2022/11/11經72

2022/11/19經濟與管理系林銳圖下載個人證書2022/11/11經73

2022/11/19經濟與管理系林銳圖查看個人證書2022/11/11經74

2022/11/19經濟與管理系林銳

數字證書應用操作實例（個人證書在安全電子郵件中的應用）（1）在OutlookExpress5發(fā)送簽名郵件(如圖所示)：

1）在OutlookExpress5中設置證書

2）發(fā)送簽名郵件。（2）用OutlookExpress5發(fā)送加密電子郵件（如圖所示）：

1）獲取收件人數字證書

2）發(fā)送加密郵件2022/11/11經75

2022/11/19經濟與管理系林銳圖在OutlookExpress中設置證書（1）2022/11/11經76

2022/11/19經濟與管理系林銳圖在OutlookExpress中設置證書（2）2022/11/11經77

2022/11/19經濟與管理系林銳圖在OutlookExpress中設置證書（3）2022/11/11經78

2022/11/19經濟與管理系林銳圖發(fā)送簽名郵件2022/11/11經79

2022/11/19經濟與管理系林銳圖收到簽名郵件的提示信息2022/11/11經80

2022/11/19經濟與管理系林銳（5）數字證書類型個人身份證書企業(yè)（服務器）身份證書軟件身份證書2022/11/11經81

2022/11/19經濟與管理系林銳6.6電子商務安全交易協議一、SSL協議SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和保密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。它被視為Internet上Web瀏覽器和服務器的標準安全性措施。SSL提供了用于啟動TCP/IP連接的安全性“信號交換”。這種信號交換導致客戶和服務器同意將使用的安全性級別，并履行連接的任何身份驗證要求。它通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證。在用數字證書對雙方的身份驗證后，雙方就可以用保密密鑰進行安全的會話了。2022/11/11經82

2022/11/19經濟與管理系林銳目前Microsoft和Netscape的瀏覽器都支持SSL，很多Web服務器也支持SSL。SSL是一種利用公共密鑰技術的工業(yè)標準，已經廣泛用于Internet，它使用的是RSA數字簽名算法，可以支持X.509證書和多種保密密鑰加密算法。其運行機制是：在建立連接過程中采用公共密鑰；在回話過程中采用專有密鑰；加密的類型和強度則在兩端之間建立連接的過程中判斷決定。2022/11/11經83

2022/11/19經濟與管理系林銳（一）SSL提供的基本服務功能信息保密。使用公共密鑰和對稱密鑰技術實現信息保密。SSL客戶機和SSL服務器之間的所有業(yè)務都使用在SSL握手過程中建立的密鑰和算法進行加密，這樣就防止了某些用戶進行非法竊聽。信息完整性。確保SSL業(yè)務全部到達目的。如果因特網成為可行的電子商務平臺，應確保服務器和客戶機之間的信息內容免受破壞。SSL利用機密共享和Hash函數組提供信息完整性服務。相互認證。是客戶機和服務器相互識別的過程。2022/11/11經84

2022/11/19經濟與管理系林銳（二）SSL協議通信過程2022/11/11經85

2022/11/19經濟與管理系林銳①接通階段：客戶機呼叫服務器，服務器回應客戶。②認證階段：服務器向客戶機發(fā)送服務器證書和公鑰，如果服務器需要雙方認證，還要向對方提出認證請求；客戶機用服務器公鑰加密向服務器發(fā)送自己的公鑰，并根據服務器是否需要認證客戶身份，向服務器發(fā)送客戶端證書。2022/11/11經86

2022/11/19經濟與管理系林銳③確立會話密鑰階段：客戶和服務器之間協議確立會話密鑰。④會話階段：客戶機與服務器使用會話密鑰加密交換會話信息。⑤結束階段：客戶機與服務器交換結束信息，通信結束。2022/11/11經87

2022/11/19經濟與管理系林銳（三）、SSL協議的電子交易過程Ssl協議交易過程2022/11/11經88

2022/11/19經濟與管理系林銳①客戶購買的信息首先發(fā)往商家；②商家再將信息轉發(fā)銀行；③④銀行驗證客戶信息的合法性后，再通知客戶和商家付款成功；⑤商家再通知客戶購買成功。2022/11/11經89

2022/11/19經濟與管理系林銳二、安全電子交易規(guī)范（SET）

（一）SET的作用

SET協議是維薩（VISA）國際組織、萬事達（MasterCard）國際組織創(chuàng)建，結合IBM、Microsoft、Netscape、GTE等公司制定的電子商務中安全電子交易的一個國際標準。保證信息的機密性，保證信息安全傳輸，不能被竊聽，只有收件人才能得到和解密信息。保證支付信息的完整性，保證傳輸數據完整地接收，在中途不被篡改。認證商家和客戶，驗證公共網絡上進行交易活動的商家、持卡人及交易活動的合法性。廣泛的互操作性，保證采用的通訊協議、信息格式和標準具有公共適應性。從而可在公共互連網絡上集成不同廠商的產品。2022/11/11經90

2022/11/19經濟與管理系林銳（二）、SET的應用流程

2022/11/11經91

2022/11/19經濟與管理系林銳其具體流程為：持卡人在商家的WEB主頁上查看在線商品目錄瀏覽商品。持卡人選擇要購買的商品。持卡人填寫定單，定單通過信息流從商家傳過來。持卡人選擇付款方式，此時SET開始介入。持卡人發(fā)送給商家一個完整的定單及要求付款的指令。在SET中，定單和付款指令由持卡人進行數字簽名。同時利用雙重簽名技術保證商家看不到持卡人的帳號信息。商家接受定單后，向持卡人的金融機構請求支付認可。通過Gateway到銀行，再到發(fā)卡機構確認，批準交易。然后返回確認信息給商家。

2022/11/11經92

2022/11/19經濟與管理系林銳

商家發(fā)送定單確認信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。商家給顧客裝運貨物，或完成訂購的服務。到此為止，一個購買過程已經結束。商家可以立即請求銀行將貨款從購物者的帳號轉移到商家?guī)ぬ枺部梢缘鹊侥骋粫r間，請求成批劃帳處理。商家從持卡人的金融機構請求支付。在認證操作和支付操作中間一般會有一個時間間隔。前三步與SET無關，從第四步開始SET起作用。在處理過程中，通信協議、請求信息的格式、數據類型的定義等，SET都有明確的規(guī)定。在操作的每一步，持卡人、商家、網關都通過CA來驗證通信主體的身份，以確認對方身份。

2022/11/11經93

2022/11/19經濟與管理系林銳2022/11/11經94

2022/11/19經濟與管理系林銳在信息經濟的發(fā)展過程中，我們越來越依賴于網絡。隨著經濟信息化進程的加快，計算機網絡上的破壞活動也隨之猖獗起來，已對經濟秩序、經濟建設、國家信息安全構成嚴重威脅。

2000年2月8日到10日，一伙神通廣大的神秘黑客在三天的時間里接連襲擊了互聯網上包括雅虎、美國有限新聞等在內的五個最熱門的網站，導致世界五大網站連連癱瘓。

2000年9月，WesternUnion公司的15000張信用卡被竊取，致使該商務網站不得不關閉5天。同年12月，creditcards.corn網站被竊取了55000張信用卡，其中的25000張信用卡號碼在網上公諸于眾。消費者對網上交易的網絡安全缺乏信心，使得越來越多消費者不愿在網上購物。資料信息：2022/11/11經95

2022/11/19經濟與管理系林銳

教學目標：通過本章的學習要求學生了解電子商務的相關安全技術，掌握病毒防范技術、防火墻技術和加密算法基本原理和算法，了解電子商務的相關安全協議。

教學重點和難點：

1、電子商務安全要素及策略

2、防火墻技術與加密技術2022/11/11經96

2022/11/19經濟與管理系林銳6.1電子商務中安全要素及面臨的安全問題6.2病毒及黑客防范技術6.3防火墻技術6.4加密算法6.5基于公開密鑰體系體系的數字證書認證技術6.6電子商務安全交易協議教學內容：2022/11/11經97

2022/11/19經濟與管理系林銳6.1電子商務中安全要素及面臨的安全問題

身份確認?

1、工商管理登記

2、身份證、見面交易保證1、合同的不可否認性（白紙黑字、字跡、公章）

2、有效性（第三方公證、鑒定）

3、合法權益保護（法律保護、屬地原則）

4、單據傳輸有形傳統(tǒng)交易的安全保障2022/11/11經98

2022/11/19經濟與管理系林銳一、電子商務具備的基本安全要素有效性機密性完整性可靠性/不可抵賴性/可鑒別性審查能力

二、電子商務系統(tǒng)安全環(huán)境網絡安全、通信安全、商務交易安全以及物理設備環(huán)境的安全2022/11/11經99

2022/11/19經濟與管理系林銳三、電子商務中面臨的安全問題

（一）計算機實體方面病毒、黑客、斷電、打雷、靜電、盜竊以及物理設施的損壞和破壞。（二）信息方面冒名偷竊、篡改數據、信息丟失、虛假信息、信息傳遞中的破壞。（三）信用方面買賣雙方抵賴否認行為以及商品質量不符合要求。（四）管理方面人員管理、機構管理、流程管理和技術管理。（五）法律方面法律滯后、法律調整以及法律效力。2022/11/11經100

2022/11/19經濟與管理系林銳四、電子商務系統(tǒng)安全策略機構與管理法律與法規(guī)經濟實力技術與人才政策、法律、守則、管理Internet防火墻

授權、認證

加密審計、監(jiān)控數據信息安全軟件系統(tǒng)安全措施通訊網絡安全措施硬件系統(tǒng)安全措施物理實體安全環(huán)境管理細則保護措施法律規(guī)范道德紀律2022/11/11經101

2022/11/19經濟與管理系林銳安全具體應用策略交易安全技術安全應用協議SET、SSL安全認證手段數字簽名、CA體系基本加密算法對稱和非對稱密算法安全管理體系網絡安全技術病毒防范身份識別技術防火墻技術分組過濾和代理服務等法律、法規(guī)、政策2022/11/11經102

2022/11/19經濟與管理系林銳五、電子商務交易過程中安全性要求信息的保密性：這是指信息在存儲、傳輸和處理過程中，不被他人竊取。這需要對交換的信息實施加密保護，使得第三者無法讀懂電文。信息的完整性：這是指確保收到的信息就是對方發(fā)送的信息，信息在存儲中不被篡改和破壞，在交換過程中無亂序或篡改，保持與原發(fā)送信息的一致性。2022/11/11經103

2022/11/19經濟與管理系林銳信息的不可否認性：這是指信息的發(fā)送方不可否認已經發(fā)送的信息，接收方也不可否認已經收到的信息。交易者身份的真實性：這是指交易雙方的身份是真實的，不是假冒的。防止冒名發(fā)送數據。系統(tǒng)的可靠性：這是指計算機及網絡系統(tǒng)的硬件和軟件工作的可靠性。在電子商務所需的幾種安全性要求中，以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現涉及到多種安全技術的應用。2022/11/11經104

2022/11/19經濟與管理系林銳對應的技術解決手段2022/11/11經105

2022/11/19經濟與管理系林銳6.2病毒及黑客防范技術

一、病毒概述（一）病毒是人為編制的程序；其次，病毒具有傳染性。

1987年10月，世界第一例計算機病毒（Brian）在美國發(fā)現，它是一種系統(tǒng)引導型病毒。（二）病毒種類

1、單機病毒：CIH病毒、DOS病毒、Windows病毒、宏病毒。

2、網絡病毒：特洛伊木馬、郵件病毒、IP炸彈、ICQ/QICQ炸彈（三）病毒特點

1.破壞性：凡是由軟件手段能觸及到計算機資源的地方均可能受到計算機病毒的破壞。其表現：占用CPU時間和內存開銷，對數據或文件進行破壞等。

2.隱蔽性：病毒程序大多夾在正常程序之中，很難被發(fā)現。

3.潛伏性：病毒侵入后，一般不立即活動，等條件成熟后才作用。

4.傳染性：病毒通過修改別的程序，并把自身的拷貝包括進去。2022/11/11經106

2022/11/19經濟與管理系林銳二、病毒防范(一)計算機病毒消毒可分為手工消毒和自動消毒兩種方法。手工消毒方法使用DEBUG、PCTOOLS等簡單工具，借助于對某種病毒的具體認識，從感染病毒的文件中，清除病毒代碼，使之康復。手工消毒操作復雜，速度慢，風險大，需要熟練的技能和豐富的知識。自動消毒方法使用自動消毒軟件自動清除患病文件中的病毒代碼，使之康復。自動消毒方法操作簡單、效率高、風險小。如果兩種方法仍不奏效，最后一種辦法就是對軟盤進行格式化，或對硬盤進行低級格式化。2022/11/11經107

2022/11/19經濟與管理系林銳1.備份：對所有的軟件（甚至操作系統(tǒng)）和重要的數據進行備份，并制定應付突發(fā)情況的應急方案。2.預防：提高警惕性，實行安全制度，例使用正版殺毒軟件安裝防火墻等。3.檢測：使用殺病毒軟件來檢測、報告并殺死病毒。4.隔離：隔離攜帶病毒的部件或者重要數據隔離存放。5.恢復：殺毒或清除被病毒感染的文件。6.控制權限：防止非法訪問和進入。7.高度警惕網絡陷阱8.不打開陌生地址的電子郵件（二）計算機病毒的具體防范策略：2022/11/11經108

2022/11/19經濟與管理系林銳Packet-Switched

Leased

LineWorkgroup廣域網INTERNET局域網PC殺毒軟件SERVER殺毒軟件殺毒防火墻PC殺毒軟件遠程工作站網絡防毒手段2022/11/11經109

2022/11/19經濟與管理系林銳三、黑客

（一）、概述一類是駭客，他們只想引人注目，證明自己的能力，在進入網絡系統(tǒng)后，不會去破壞系統(tǒng)，或者僅僅會做一些無傷大雅的惡作劇，他們追求的是從侵入行為本身獲得巨大的滿足。另一類黑客是竊客，他們的行為帶有強烈的目的性，早期這些黑客主要竊取國家情報、科研情報，而現在的目標大都瞄準了銀行的資金和電子商務交易過程。（二）、黑客入侵手段

1、口令攻擊：監(jiān)視網絡通信，獲取目標信息，破譯口令。

2、服務攻擊：向目標服務主機發(fā)送大量數據，讓其死機等。

3、大量的電子郵件使主機癱瘓。2022/11/11經110

2022/11/19經濟與管理系林銳4、計算機病毒或者木馬程序

5、IP地址欺騙（三）黑客防范策略

1、入侵檢測

2、防火墻

3、物理隔離將計算機硬盤分成兩個分區(qū)，內網和外網各一個。2022/11/11經111

2022/11/19經濟與管理系林銳2022/11/11經112

2022/11/19經濟與管理系林銳6.3防火墻技術一、防火墻定義

是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問以及管理內部用戶訪問外界網絡的權限，是一種安全訪問控制機制。二、防火墻的基本準則

一切未被允許的就是禁止的

防火墻應封鎖所有信息流，然后對希望提供的服務逐項開放。這種方法可以創(chuàng)造十分安全的環(huán)境，但用戶使用的方便性、服務范圍受到限制。

一切未被禁止的就是允許的

防火墻轉發(fā)所有信息流，然后逐項屏蔽有害的服務。這種方法構成了更為靈活的應用環(huán)境，可為用戶提供更多的服務。但在日益增多的網絡服務面前，網管人員的疲于奔命可能很難提供可靠的安全防護。2022/11/11經113

2022/11/19經濟與管理系林銳一個典型防火墻的構成2022/11/11經114

2022/11/19經濟與管理系林銳三、防火墻的功能保護數據的完整性?？梢揽吭O定用戶的權限和文件保護來控制用戶訪問敏感性信息，可以限制一個特定用戶能夠訪問信息的數量和種類；保護網絡的有效性。有效性是指一個合法用戶如何快速、簡便地訪問網絡的資源，防止外來攻擊；保護數據的機密性，加密敏感數據。

注意：不能防范內部入侵2022/11/11經115

2022/11/19經濟與管理系林銳四、防火墻的基本原理（一）數據過濾：一個設備采取的有選擇地控制來往于網絡的數據流的行動。數據包過濾可以發(fā)生在路由器或網橋上。屏蔽路由器2022/11/11經116

2022/11/19經濟與管理系林銳防火墻的基本原理（二）應用網關（三）代理服務：代理服務是運行在防火墻主機上的應用程序或服務器程序。它在幕后處理所有Int-ernet用戶和內部網之間的通訊以代替直接交談。代理服務2022/11/11經117

2022/11/19經濟與管理系林銳6.4加密算法

一、加密技術概述（一）加密就是采用合適的加密算法（實際上是一種數學方法）把原始信息（稱為“明文”）轉換成一些晦澀難懂的或者偏離信息原意的信息（稱為“密文”），從而達到保障信息安全目的的過程。2022/11/11經118

2022/11/19經濟與管理系林銳將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。加密和解密必須依賴兩個要素：算法和密鑰。算法是加密和解密的計算方法；密鑰是加密所需的一串數字。2022/11/11經119

2022/11/19經濟與管理系林銳(二)加密系統(tǒng)加密系統(tǒng)包括信息（明文和密文）、密鑰（加密密鑰和解密密鑰）、算法（加密算法和解密算法）三個組成部分。2022/11/11經120

2022/11/19經濟與管理系林銳二、對稱加密技術（一）對稱加密技術（SymmetricEncryption）又稱為私鑰或單鑰加密，在這種體系中，加密和解密均使用同一個密鑰或者本質上相同（即其中一個可以通過另一個密鑰推導）的一對密鑰。即加密算法公開，Ke=Kd2022/11/11經121

2022/11/19經濟與管理系林銳2022/11/11經122

2022/11/19經濟與管理系林銳（二）加密例子單字母加密方法例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。2022/11/11經123

2022/11/19經濟與管理系林銳例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。2022/11/11經124

2022/11/19經濟與管理系林銳例3：思考：算法與密鑰？2022/11/11經125

2022/11/19經濟與管理系林銳（三）、對稱加密技術優(yōu)缺點1〉在首次通信前，雙方必須通過除網絡以外的另外途徑傳遞統(tǒng)一的密鑰。2〉當通信對象增多時，需要相應數量的密鑰。例如一個擁有100個貿易伙伴的企業(yè)，必須要有100個密鑰，這就使密鑰管理和使用的難度增大。3〉對稱加密是建立在共同保守秘密的基礎之上的，在管理和分發(fā)密鑰過程中，任何一方的泄密都會造成密鑰的失效，存在著潛在的危險和復雜的管理難度。4>難以進行身份認證但是加密和解密速度快，適合大量數據的加密與解密。

常用的有DES算法等。2022/11/11經126

2022/11/19經濟與管理系林銳三、非對稱加密技術

（公開密碼密鑰體制）（一）與對稱加密算法不同，公開密鑰加密體系采用的是非對稱加密算法。使用公開密鑰算法需要兩個密鑰——公開密鑰(PublicKey，公鑰)和私有密鑰。如果用公開密鑰對數據進行加密，則只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數據進行加密，則只有用對應的公開密鑰才能解密。一個公開發(fā)布，用于加密，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，用于解密，稱為私有密鑰（Private-Key）。

密鑰是一對，但Ke＝Kd2022/11/11經127

2022/11/19經濟與管理系林銳2022/11/11經128

2022/11/19經濟與管理系林銳（二）RSA算法實例：RSA的算法1)選取兩個足夠大的質數P和Q；如：P=101，Q=1132)計算P和Q相乘所產生的乘積n=P×Q；如：n=114133)找出一個小于n的數e，使其符合與（P－1）×（Q－1）互為質數；如：取e=35334)另找一個數d，使其滿足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod為相除取余）；如：取d=65975)（n，e）即為公開密鑰；（n，d）即為私用密鑰；6)加密：C=E(M)=Memodn(由明文M到密文C)解密：M=D(C)=Cdmodn(由密文C到明文M)即無論哪一個質數先與原文加密，均可由另一個質數解密。但要用一個質數來求出另一個質數，則是非常困難的。2022/11/11經129

2022/11/19經濟與管理系林銳（三）兩種加密算法的比較特性對稱非對稱密鑰的數目單一密鑰密鑰是成對的密鑰種類密鑰是秘密的一個私有、一個公開密鑰管理簡單不好管理需要數字證書及可靠第三者解決了對稱加密算法存在的問題相對速度非?？炻猛居脕碜龃罅抠Y料的加密用來做加密小文件或對信息簽字等不太嚴格保密的應用2022/11/11經130