第四章 電子商務安全

第四章電子商務安全電子商務安全

電子商務的安全問題

1．賣方面臨的問題(1)中央系統(tǒng)安全性被破壞(2)競爭對手檢索商品遞送狀況(3)被他人假冒而損害公司的信譽(4)買方提交訂單后不付款(5)獲取他人的機密數據2．買方面臨的問題(1)付款后不能收到商品(2)機密性喪失(3)拒絕服務

電子商務安全

電子商務的安全問題

3．信息傳輸問題(1)冒名偷竊(2)篡改數據(3)信息丟失(4)信息傳遞過程中的破壞(5)虛假信息4．信用問題(1)來自買方的信用問題(2)來自賣方的信用風險(3)買賣雙方都存在抵賴的情況目錄4.1.1電子商務安全的內涵4.1.2電子商務面臨的威脅4.1.3電子商務安全需求4.1.4電子商務安全體系結構 電子商務安全的概念

電子商務安全-計算機系統(tǒng)、通信網絡、應用環(huán)境等保證電子商務實現的要素不受危害的一個多層次、多方位的動態(tài)過程。

廣義：網絡、環(huán)境、人

狹義：信息存儲安全；信息傳輸安全！電子商務安全的層次電子商務安全可分為兩個層次:一是計算機網絡的安全系統(tǒng)實體安全系統(tǒng)運行安全系統(tǒng)軟件安全二是電子交易安全沒有計算機網絡安全作為基礎，電子交易安全無從談起；沒有電子交易安全，即使計算機網絡本身很安全，也無法滿足電子商務特有的安全需求電子商務安全的特點①系統(tǒng)性

安全不僅是一個技術問題，也是管理問題

②相對性

沒有絕對的安全③有代價性

應考慮到安全的代價和成本問題④發(fā)展動態(tài)性

沒有一勞永逸的安全4.1.2電子商務面臨的威脅1、電子商務面臨的系統(tǒng)安全威脅（1）黑客攻擊（hacker，駭客）

利用操作系統(tǒng)和網絡的漏洞、缺陷，從網絡的外部非法侵入，進行不法行為。

常用的手段：拒絕服務攻擊、利用缺省賬戶、截取口令、IP地址欺騙等。（2）病毒攻擊（3）系統(tǒng)漏洞

盤點2014安全漏洞事件【攜程信用卡泄露門】2014年3月22日，中國在線旅游巨頭攜程公司被爆出“支付漏洞”，用戶信用卡信息有可能被黑客讀取。一時間人心惶惶，還好攜程方面快速響應，承認了這件事，并且改進此事，算是挽救了自己的信譽。

【OpenSSL心臟出血】2014年4月7日，OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴重漏洞。會讓很多用戶名、密碼，包括用戶登陸的操作，收發(fā)郵件等私密明文信息。全球有240多萬服務器受影響，覆蓋面甚廣，全球很多黑客都行動起來，各種刷數據。不過好在應急也是非常及時，避免了損失的進一步擴大。盤點2014安全漏洞事件【Bash破殼（Shellshock）漏洞】

轉眼到了下半年，9月25號，繼“心臟出血”漏洞之后，安全研究專家又發(fā)現了一個危險級別為“毀滅級”的漏洞——Shellshock漏洞。這個漏洞的危害程度比上述的OpenSSL漏洞更加厲害！基本全球的Linux服務器都受到了危害的波及。

【索尼影業(yè)被黑】

離我們還不是很遙遠的11月27日，索尼公司被黑客攻擊內網之后，宣布旗下5部電影遭到了泄密。全球都報道了此次事件，各種花邊的消息，各種說法都有。有說朝鮮的，有說內鬼的，有說政治因素的，等等。盤點2014安全漏洞事件【12306遭撞庫攻擊】12月24日，漏洞報告平臺烏云網出現了一則關于中國鐵路購票網站12306的漏洞報告，危害等級顯示為“高”，漏洞類型是“用戶資料大量泄漏”。據悉，此漏洞將有可能導致所有注冊了12306用戶的賬號、明文密碼、身份證、郵箱等敏感信息泄露。【BadUSB】

一個BADUSB設備可以模仿登錄用戶的鍵盤或發(fā)出命令，例如exfiltrate文件或安裝惡意軟件。這樣的惡意軟件，反過來，可以感染的計算機連接的其他USB設備控制器芯片。該設備還可以欺騙網卡和更改計算機的DNS設置將流量重定向。電子商務面臨的交易安全威脅（1）信息的截獲和竊?。?）信息篡改（3）假冒他人身份（4）抵賴行為安全威脅的類型電子商務面臨的安全威脅信息源信息目的a)正常流b)中斷(c)截獲d)篡改e)偽造電子商務面臨的安全威脅篡改Modification針對完整性進行的攻擊偽造Fabrication針對真實性進行的攻擊。中斷Interruption針對可用性進行的攻擊截獲Interception針對機密性進行的攻擊抵賴repudiation針對不可否認性進行的攻擊。我國電子商務安全現狀從技術上看：首先是數據傳輸的速度太慢；第二是沒有安全、可靠的結賬方式，這嚴重制約著電子商務的發(fā)展；第三是IT技術的發(fā)展速度太快，商務模式的形成和人們使用習慣的養(yǎng)成都需要一定的時間，雖然技術不斷發(fā)展，但社會對技術的認同是有階段的，這使得用戶和經營者都難以消化，難以跟上這種快速發(fā)展的步伐；第四是難以及時處理用戶的有關問題，開通一個網站，如果一段時間以后用戶的反饋多了，網絡的速度就會慢下來，這也許是線路本身的問題，但也存在技術處理的問題，目前尚沒有解決的良策。第五是在安全保障上，難以防范現在的網絡犯罪，特別是黑客的攻擊。我國電子商務安全現狀從管理上看，存在的主要問題有：1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那么多；2)電子商務網站的經營收益遠低于預期，有網絡泡沫之嫌；3)缺乏能適應中國國情的市場技巧?，F在的電子商務網站動作的市場方式基本上是照搬美國的，在造勢上不無奢華，但在收效上卻無殷實，不充分考慮中國人的商業(yè)行為和方式，恐怕是難以成功的。4)網站運營成本太高。由于運行成本居高不下，再好的商業(yè)模式也不堪重負。5)收費困難。除B2B稍好一點外，B2C電子商務一直沒有找到方便可行的收費方式。電子商務安全的要素要素含義機密性信息不被泄露給非授權用戶完整性信息是未被篡改的不可抵賴性信息的收、發(fā)雙方不能否認曾經收發(fā)過信息即時性在規(guī)定的時間內完成服務真實性確保對方的身份是真實的和信息的來源是真實的訪問控制對訪問者訪問資源時的權限控制可用性訪問者需要的時候，資源是可用的本課程將介紹的所有技術手段、管理措施，其根本目的，都是為了實現一種或多種安全要素的4.1.3電子商務的安全需求電子商務順利開展的核心和關鍵的保證交易的安全性，這是網上交易的基礎，也是電子商務技術的難點所在。保障數據信息的有效性、保密性、完整性、可靠性、不可否認性等。19電子商務安全要素-真實性指網上交易雙方身份信息和交易信息真實有效，雙方交換通過數字簽名、身份認證、數字證書等辨別交易者的身份。20電子商務安全要素-有效性要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。21電子商務安全要素-保密性保證個人或專用的高度敏感數據的機密性主要技術，密碼學EC信息直接代表著個人、企業(yè)或國家的商業(yè)機密。要預防非法的信息存取和信息在傳輸過程中被非法竊取。22電子商務安全要素-完整性保證所存儲、傳輸等管理的信息不被篡改。由于數據輸入時的意外差錯或欺詐行為，可能導致貿易各方信息的差異。貿易各方信息的完整性將影響到貿易各方的交易和經營策略，保持貿易各方信息的完整性是EC應用的基礎。23電子商務安全要素-可靠性可靠性是指防止計算機失效、程序錯誤、傳輸錯誤、自然災害等引起的計算機信息失效或失誤。保證存儲在介質上的信息的正確性。

電子商務安全要素-匿名性24電子商務安全要素-不可抵賴性防止通信的雙方對已進行業(yè)務的否認在傳統(tǒng)的紙面貿易中，貿易雙方通過在交易合同、契約或貿易單據等書面文件上手寫簽名或印章來鑒別貿易伙伴。保證信息的發(fā)送方不能否認已發(fā)送的信息，接收方不能否認已收到的信息，身份的不可否認性常采用數字簽名來實現。

4.1.4電子商務安全體系結構一個完整的電子商務安全體系應由安全技術保障、法律保障和管理制度保障組成。

安全操作系統(tǒng)、安全數據庫系統(tǒng)安全物理設備（安全網絡設備、計算機和通信信道）加密技術（AES、RSA和ECC等）安全協(xié)議（SSL協(xié)議、S/MIME協(xié)議等）公鑰基礎設施PKI（數字簽名、數字信封、CA認證等）安全電子商務支付機制安全電子商務交易協(xié)議SET電子商務政策法規(guī)安全管理電子商務安全電子商務安全體系結構4.2電子商務的網絡安全技術防火墻技術入侵檢測技術虛擬專用網技術反病毒技術防火墻概述防火墻是位于兩個信任程度不同的網絡間（如企業(yè)內部網和Internet），實施網絡間訪問控制保護本地系統(tǒng)或網絡不受攻擊的一組組件（包括軟件和硬件設備）的集合。Internet防火墻企業(yè)內部網IntranetInternet防火墻具有如下特點①防火墻是不同安全級別的網絡或安全域之間的唯一通道，如果把企業(yè)內部網看成是一個四周都有圍墻的區(qū)域的話，防火墻就相當于企業(yè)內部網的大門，這個大門有門衛(wèi)把守②只有被防火墻策略明確授權的通信才可以通過；③防火墻自身應具有高安全性和高可靠性。防火墻的性質①雙向通信必須通過防火墻；②防火墻本身不會影響信息的流通；③只允許本地安全策略授權的通信信息通過。防火墻基本類型 1．包過濾防火墻2．代理服務器防火墻3．狀態(tài)檢測防火墻4．三種防火墻技術的對比1.包過濾防火墻包過濾是防火墻的核心功能之一，防火墻的包過濾標準依賴于防火墻的安全策略，通常防火墻的安全策略由網絡管理員預置在防火墻設備的ACL（AccessControlList，訪問控制列表）中，防火墻根據ACL規(guī)則對網絡數據流進行過濾，阻止不符合安全策略的通信。（1）包過濾原理網絡通信的數據包分為報頭和數據兩個部分。報頭的內容主要包括封裝協(xié)議、IP源地址、IP目標地址、ICMP消息類型、TCP和UDP目標端口、TCP報頭中的ACK位等。而數據的內容是各種網絡應用的通信數據。網絡通信系統(tǒng)中的路由器就是根據數據包的IP目標地址選擇合適的路由，將數據包發(fā)送給目標機器。（2）包過濾防火墻的優(yōu)點包過濾防火墻具有操作簡單、運行高效、易于安裝和使用等特點，通常包過濾防火墻內嵌在路由器中對通信數據包實施過濾。路由器是網絡互聯(lián)的關鍵節(jié)點設備，因此在路由器中內嵌包過濾功能幾乎不需要任何額外的費用。包過濾防火墻的優(yōu)點主要體現在下面幾個方面：·包過濾防火墻不會影響到應用程序的正常運行?！ぐ^濾防火墻可以保護整個內網安全?！ぐ^濾防火墻對于用戶是透明的?！ぐ^濾防火墻具有良好的網絡性能。（3）包過濾防火墻的缺點包過濾防火墻主要缺點是安全性較差、功能相對單一以及不能防止地址欺騙等?！ぐ^濾防火墻的安全性較差?！ぐ^濾防火墻對個別協(xié)議并不支持，例如UDP協(xié)議、RPC協(xié)議，并且包過濾防火墻缺乏審計和報警機制，另外，無法提供完整的安全策略服務，例如，數據包的報頭信息只能說明數據包的來源主機，而不能確定用戶、端口或應用程序。·包過濾防火墻不能防止地址欺騙。2.代理服務型防火墻（1）代理服務型防火墻概述代理服務型防火墻是利用代理服務器將內部網絡和外部網絡分開，在數據通過代理服務器時利用防火墻對進出網絡的數據進行安全檢測，并阻止各類網絡攻擊。代理服務器基于應用層實現代理服務，訪問外網的用戶首先向代理服務器發(fā)出連接請求，代理服務器對其進行驗證，然后將驗證后的請求轉發(fā)給外網服務器，外網服務器將應答交給代理服務器，經代理服務器檢測后發(fā)送給請求用戶。（2）應用層網關防火墻應用層網關防火墻是典型的代理服務型防火墻，運行于網絡協(xié)議的應用層，實現數據包的過濾和轉發(fā)功能。應用層網關防火墻針對于特定的網絡應用服務協(xié)議采用指定的數據過濾邏輯，并在過濾的同時對數據包進行必要的分析、登記和統(tǒng)計，形成檢測報告。應用層網關防火墻的核心是代理服務器，其主要功能是基于網絡協(xié)議的應用層實現協(xié)議的過濾和轉發(fā)。外部網絡用戶訪問內部網絡時，應用層網關防火墻首先會對數據包進行過濾，同時對數據包進行必要的分析、登記和統(tǒng)計，并形成檢查報告。（3）電路級網關防火墻電路級網關防火墻，也稱TCP通道防火墻。在電路級網關防火墻中，數據包被提交給用戶的應用層進行處理，電路級網關用來在兩個通信終端之間轉換數據包。電路級網關防火墻與包過濾防火墻都是依靠特定的邏輯來判斷是否允許數據包通過，但是兩者之間存在明顯的區(qū)別，即包過濾防火墻允許內、外網之間的計算機直接建立連接，而電路級網關防火墻則禁止它們直接建立端到端的TCP連接，而是要以防火墻為中轉設備分別建立連接。（4）代理服務型防火墻的優(yōu)點·易于配置和管理?！つ苌筛黜椨涗洝！ぬ峁┢渌踩?。（5）代理服務型防火墻的缺點·速度相對較低?！ば枰脩襞渲煤凸芾??！o法控制底層協(xié)議。3.復合型防火墻復合型防火墻也稱自適應代理防火墻，是將包過濾防護墻的高效率和代理服務型防火墻的高安全性等優(yōu)點結合起來，在保證安全性的前提下，提高了防火墻系統(tǒng)的運行效率，主要由自適應代理服務器和包過濾器組成。目前，復合型防火墻還融合了入侵檢測技術、安全認證和評估技術以及虛擬專網等技術，使之成為真正復合型網絡安全防護系統(tǒng)。復合型防火墻的功能如下：·復合型防火墻以網絡安全防護為基本功能，同時融合入侵檢測、安全評估、虛擬專網等網絡安全通信模塊?！秃闲头阑饓Σ捎冒踩u估和識別技術實現網絡對象檢測、控制和管理，安全評估模塊可以自動地檢測內部網絡?！秃闲头阑饓梢蕴峁┫到y(tǒng)入侵檢測功能，通過監(jiān)測網絡中的數據包來發(fā)現網絡入侵行為，作為網絡安全的重要環(huán)節(jié)，入侵檢測模塊與防火墻模塊可以形成安全防護聯(lián)動系統(tǒng)。·復合型防火墻可以提供虛擬專網功能，利用隧道技術、加/解密技術、密鑰管理技術以及身份認證技術在公共網絡上建立虛擬專網。4.狀態(tài)檢測型防火墻（1）狀態(tài)檢測型防火墻的工作原理狀態(tài)檢測型防火墻是通過檢測網絡連接狀態(tài)來判斷網絡通信系統(tǒng)的安全性，基本保持了簡單包過濾防火墻的優(yōu)點，其基本特征是通過網絡連接的安全狀態(tài)來識別和判斷網絡通信的安全性。狀態(tài)檢測型防火墻的核心部分是狀態(tài)連接表，將安全連接的通信數據作為一個整體處理，直接放行安全連接的通信數據，可以提高數據包的檢測效率。狀態(tài)檢測型防火墻相對于包過濾防火墻增加了網絡通信狀態(tài)的檢測，主要功能是規(guī)范了網絡層和傳輸層的通信行為，而應用代理型防火墻的主要功能則是規(guī)范了特定的應用協(xié)議上的行為。防火墻的基本用途和擴展用途內容過濾 用戶認證 VPNNAT功能 日志審計IDS與報警 流量分析 帶寬控制訪問控制防火墻的弱點和局限性防火墻不能防范不經過防火墻的攻擊不能防范來自內部人員的惡意攻擊防火墻不能阻止被病毒感染的程序或文件的傳遞防火墻不能防止數據驅動式攻擊，如特洛伊木馬防火墻是被動消極的防御，無法抵御新的攻擊方式4.2.2入侵檢測技術1、入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)是對防火墻的合理補充，是一個實時的網絡違規(guī)識別和響應系統(tǒng)，是繼防火墻之后的又一道防線。入侵檢測系統(tǒng)可以彌補防火墻的不足，為網絡安全提供實時的入侵檢測并采取相應的防護手段，如記錄證據，跟蹤入侵、恢復或斷開網絡連接等（1）入侵檢測的概念入侵檢測系統(tǒng)是在計算機網絡或計算機系統(tǒng)中的若干關鍵點采集數據并對其進行分析，從而發(fā)現網絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)由實現入侵檢測的硬件設備和軟件組成，它可以和防火墻、路由器協(xié)同工作，共同應對網絡攻擊，從而擴展了系統(tǒng)安全管理能力（2）入侵檢測系統(tǒng)的主要功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；（2）核查系統(tǒng)配置和漏洞；（3）評估重要系統(tǒng)和數據文件的完整性；（4）識別已知的攻擊行為并采取適當的措施；（5）統(tǒng)計分析異常行為；（6）審計操作系統(tǒng)日志，識別違反安全策略的行為公共入侵檢測框架CIDF公共入侵檢測框架CIDF（CommonIntrusionDetectionFramework）闡述了一個入侵檢測系統(tǒng)的通用模型。它將一個入侵檢測系統(tǒng)分為以下組件：事件產生器、事件分析器、響應單元和事件數據庫，事件產生器事件分析器響應單元事件數據庫事件規(guī)則設計與修改更新規(guī)則提取規(guī)則作出響應發(fā)現入侵歷史活動狀態(tài)2.入侵檢測系統(tǒng)的分類對已知的入侵行為進行分析，并用一種模式表示形成入侵行為特征庫誤用檢測假設所有入侵行為和正常行為不同，入侵是異常行為的子集異常檢測（1）根據入侵行為屬性分兩種入侵檢測技術異常檢測異常檢測假設所有入侵行為和正常行為不同，入侵是異常行為的子集。正常行為標準是從以往大量的歷史活動中總結出來的。1）統(tǒng)計分析方法2）基于規(guī)則描述的方法3）神經網絡方法誤用檢測誤用檢測是對已知的入侵行為和系統(tǒng)漏洞進行分析，研究入侵行為過程和系統(tǒng)漏洞的特征，對這些已知的攻擊或入侵方式做出確定性的描述，用一種模式表示出來，形成入侵行為特征庫誤用檢測的缺點是收集所有的已知入侵行為和系統(tǒng)漏洞是一項困難的工作，實際中很難收集全面；其次，它對未知或無先驗知識的攻擊模式是無能為力的，然而未知攻擊模式的發(fā)現往往是一個系統(tǒng)被攻擊并造成損失為代價的；第三，可移植性問題，因為關于網絡攻擊的信息絕大多數是與主機的操作系統(tǒng)、軟件平臺和應用系統(tǒng)密切相關（2）根據系統(tǒng)監(jiān)測對象分類基于主機的入侵檢測系統(tǒng)

HIDS一般用于系統(tǒng)的安全審計和事后追蹤，而不適合于在實時入侵檢測場合下應用。HIDS主要部署在關鍵主機上，這樣可以減少規(guī)劃部署的花費，使管理的精力集中在最重要的需要保護的主機上?；诰W絡的入侵檢測系統(tǒng)①能夠實時檢測、實時響應；②與操作系統(tǒng)獨立，與被監(jiān)視的系統(tǒng)平臺無關；③秘密進行檢測，被檢測目標很難察覺；④能夠檢測到未成功的攻擊企圖。分布式入侵檢測系統(tǒng)

1.VPN的定義虛擬專用網VPN（VirtualPrivateNetwork）是指在互聯(lián)網中建立一個安全、專用的虛擬通道，連接異地的兩個網絡，通過用戶認證和訪問控制等技術實現與專用網絡相類似的安全性能，構成邏輯上的虛擬子網，從而實現對重要信息的安全傳輸。4.2.3虛擬專用網VPNVPN的示意圖客戶端ISPPPPPSTN/ISDN網關主機主機Internet隧道（2）VPN的基本原理采用加密、認證和隧道技術，利用公共通信網絡設施的一部分來發(fā)送專用網絡信息。為相互通信的節(jié)點建立一個相對封閉的、邏輯上的專用網絡。只允許特定的利益集團內（VPN內部）建立對等連接，保證在網絡中傳輸的數據的保密性。能靈活利用多種公用遠程通信網絡來實現VPN內容不通信。PSTN/N-ISDN,PSPDN,FR/ATM,或公用IP網等實現不同內部局域網之間、網絡與主機之間的遠程信息交換。2.VPN類型2.VPN類型2.VPN類型2.VPN類型2.VPN類型2.VPN類型2.VPN類型4.2.4反病毒技術1.計算機病毒概述計算機病毒的特點：

破壞性

刻意編寫隱蔽性自我復制2.病毒的種類按破壞性分類良性病毒：是指那些只是為了表現自己而并不破壞系統(tǒng)數據，只占用系統(tǒng)CPU資源或干擾系統(tǒng)工作的一類計算機病毒。惡性病毒：是指病毒制造者在主觀上故意要對被感染的計算機實施破壞，這類病毒一旦發(fā)作就破壞系統(tǒng)的數據、刪除文件、加密磁盤或格式化操作系統(tǒng)盤，使系統(tǒng)處于癱瘓狀態(tài)。按寄生方式分類系統(tǒng)引導型：系統(tǒng)引導時病毒裝入內存，同時獲得對系統(tǒng)的控制權，對外傳播病毒，并且在一定條件下發(fā)作，實施破壞。文件型（外殼型）：將自身包圍在系統(tǒng)可執(zhí)行文件的周圍、對原文件不作修改、運行可執(zhí)行文件時，病毒程序首先被執(zhí)行，進入到系統(tǒng)中，獲得對系統(tǒng)的控制權。源碼型：在源被編譯之前，插入到源程序中，經編譯之后，成為合法程序的一部分。入侵型：將自身入侵到現有程序之中，使其變成合法程序的一部分。2.病毒的種類按廣義病毒概念分類蠕蟲（worm）：監(jiān)測IP地址，網絡傳播邏輯炸彈（logicbomb）：條件觸發(fā)，定時器特洛伊木馬（TrojanHorse）：隱含在應用程序上的一段程序，當它被執(zhí)行時，會破壞用戶的安全性。陷門：在某個系統(tǒng)或者某個文件中設置機關，使得當提供特定的輸入數據時，允許違反安全策略。細菌（Germ）:不斷繁殖，直至添滿整個網絡的存儲系統(tǒng)3.5.2計算機病毒的防治預防技術：通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞，實際上病毒預防技術是一種動態(tài)判定技術，是采用對病毒的行為規(guī)則進行分類處理，而后在程序運行中凡有類似的規(guī)則出現則可以認定是計算機病毒。

計算機病毒的預防：對已知病毒的預防和對未知病毒的預防。

3.計算機病毒的檢測技術特征代碼法原理：計算機病毒程序通常具有明顯的特征代碼特征代碼可能是病毒的感染標記，由字母和數字組成串可能是一小段程序由若干指令組成，特征代碼不一定連續(xù)方法：通過搜索、比較計算機系統(tǒng)中是否含有與特征代碼數據庫中特征代碼匹配的特征代碼，從而確定系統(tǒng)是否染毒，感染了何種病毒。特點：依賴于對病毒精確特征的了解，必須事先對病毒樣本做大量剖析分析計算機病毒需要很多時間，有時間滯后若病毒特殊代碼段的位置或代碼改動，則原檢測方法失敗特征代碼法優(yōu)缺點特征代碼法的優(yōu)點：檢測準確，快速可識別計算機病毒的具體類型誤報率低依據檢測結果，針對病毒類型可做殺毒處理特征代碼法的缺點：對于新計算機病毒，發(fā)現特征代碼的時間滯后搜集已知計算機病毒的特征代碼的研發(fā)開銷大在網絡上效率低，影響整個網絡性能校驗和法3.計算機病毒的檢測技術原理：針對正常程序內容計算其校驗和，將其寫入該程序或其他程序中保存。在程序應用中，定期或每次使用前，計算程序當前內容校驗和與原校驗和是否一致，從而發(fā)現病毒的存在特點：可發(fā)現已知病毒，也可發(fā)現未知病毒校驗和法不能識別病毒的種類，不能報出病毒具體名稱校驗和法誤報率很高方法：在計算機病毒工具中納入校驗和在應用程序中放入校驗和和自我檢查功能將校驗和檢查程序常駐內存校驗和法優(yōu)缺點：校驗和法的優(yōu)點：方法簡單能發(fā)現未知計算機病毒能發(fā)現被檢查程序的細微變化校驗和法的缺點：必須預先記錄程序正常狀態(tài)的校驗和誤報率高不能識別計算機病毒的種類不能對付隱蔽性計算機病毒行為監(jiān)測法（實時監(jiān)控法）3.計算機病毒的檢測技術原理：病毒有些行為是病毒的共同行為，且比較特殊，甚至罕見。程序運行時，監(jiān)視其行為，若發(fā)現病毒行為，立即報警檢測病毒的行為特征占用INT13H修改DOS系統(tǒng)數據區(qū)的內存總量對.COM和.EXE文件做寫入操作計算機病毒與宿主程序的邦定和切換格式化磁盤或某些磁道等破壞行為掃描、試探特定網絡端口發(fā)送網絡廣播修改文件、文件夾屬性，添加共享等病毒防火墻計算機病毒防火墻：基于實時反計算機病毒技術之上提出的，其宗旨是對系統(tǒng)實施實時監(jiān)控，對流入、流出系統(tǒng)的數據中可能含有的計算機病毒代碼進行過濾。對計算機病毒的過濾有良好的實時性病毒防火墻的“雙向過濾”功能保證本地系統(tǒng)不會外傳播病毒病毒防火墻操作更簡單、更透明優(yōu)缺點優(yōu)點：可可發(fā)現已知病毒，也可較準確地預報未知多數病毒缺點：可能誤報警；不能識別病毒的名稱；實現有一定難度4.3電子商務交易安全技術4.3.1數據加密技術

1.數據加密技術概述數據加密（DataEncryption）技術是指將一個信息（或稱明文，plaintext）經過加密鑰匙（Encryptionkey）及加密函數轉換，變成無意義的密文（ciphertext），而接收方則將此密文經過解密函數、解密鑰匙（Decryptionkey）還原成明文。加密技術是網絡安全技術的基石。Page

74數據加密的概念

數據加密模型密文網絡信道明文明文三要素：信息明文、密鑰、信息密文加密密鑰信息竊取者解密密鑰加密算法解密算法Page

75數據加密的概念

數據加密技術的應用數據保密；身份驗證；保持數據完整性；確認事件的發(fā)生。Page

76

數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，數據加密是保證信息機密性的唯一方法。據不完全統(tǒng)計，到目前為止，已經公開發(fā)表的各種加密算法多達數百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為保密密碼算法和公鑰密碼算法。對稱密鑰加密（保密密鑰法）

對稱密鑰加密技術又稱秘密密鑰加密技術，其特點是無論加密還是解密都用同一把密鑰。對稱密鑰技術的典型加密算法為DES算法，其它算法還有RC2算法、RC4算法和3DES算法。2.對稱密鑰加密技術Page

77對稱密鑰加密（保密密鑰法）加密算法解密算法密鑰網絡信道明文明文密文加密密鑰解密密鑰兩者相等Page

78

對稱密鑰加密技術是傳統(tǒng)企業(yè)內部網絡廣泛使用的加密技術，算法效率高。采用軟件實現DES算法，效率為400-500kb/s；采用硬件實現的效率為20Mb/s；采用專用芯片實現的效率為：1Gb/s。在保密密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如TripleDES、GDES、NewDES和DES的前身Lucifer；歐洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。保密密碼的優(yōu)點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。Page

79對稱密鑰加密（保密密鑰法）優(yōu)點：算法效率高，很強的保密強度，且經受住時間的檢驗和攻擊。缺點：

密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。

代表：

DES算法。

Page

80在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、DiffeHellman、Rabin、OngFiatShamir、零知識證明的算法、橢圓曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA。公鑰密碼的優(yōu)點是可以適應網絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其算法復雜，加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發(fā)展，公鑰密碼算法將是一種很有前途的網絡安全加密體制。非對稱密鑰加密技術又稱公開密鑰加密技術，其特點是加密和解密使用不同的兩個密鑰。用加密密鑰進行加密的信息可以由解密密鑰進行解密。在數學上不能通過加密密鑰推算出解密密鑰，反之也不行。對稱密鑰加密技術的算法復雜，效率較低，典型算法為RSA算法。特別適用于Internet網絡環(huán)境。可將DES算法同RSA算法進行結合。用DES對信息進行加密，提高加密效率；用RSA對密鑰進行加密，適應Internet的應用要求。非對稱密鑰加密技術的另一個應用是數字簽名。3.非對稱密鑰加密（公開密鑰加密）Page

81非對稱密鑰加密（公開密鑰加密）加密算法解密算法公開密鑰網絡信道明文明文密文私有密鑰公鑰私鑰公鑰私鑰不可相互推導不相等Page

82非對稱密鑰加密（公開密鑰加密）

優(yōu)點：

高的安全性可適應網絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。缺點：

算法復雜，加密數據的速率較低。代表：

RSA算法。它能抵抗到目前為止已知的所有密碼攻擊。4.3.2數字摘要

數字摘要：利用單向Hash函數對文件中的重要元素進行某種變換,得到固定長度的字符串或摘要碼。1.數字摘要的過程2.Hash函數的條件（1）對同一數據使用同一Hash函數，其運算結果應該是一樣的。（2）Hash函數的結果應具有不可預見性，即從源文件的變化不能推到出摘要的變化。（3）Hash函數具有單向性，即不能通過摘要反算出源文件內容。常用的哈希算法：MD5SHA-14.3.3數字簽名1.數字簽名的概述

也叫電子簽名，是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。

數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術。2.數字簽名的過程①

發(fā)送方利用hash算法從報文中產生一個數字摘要；②發(fā)送方用自己的私有密鑰對數字摘要進行加密，形成數字簽名；③數字簽名連同報文一起發(fā)送給接收方；④接收方從原始報文中用hash算法計算出一個數字摘要1，同時對數字簽名解密，形成一個數字摘要2；⑤數字摘要1如果與數字摘要2相同，則確認數字摘要是發(fā)送方的。2.數字簽名的過程作用:

①確認當事人的身份，起到了簽名或蓋章的作用。②能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。完善的數字簽名技術技術具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?/p>

《中華人民共和國電子簽名法》的實施，使數字簽名與傳統(tǒng)手工簽名或印章具有相同的法律效力。4.3.4數字信封1.數字信封概述數字信封是采用雙重加密技術保證只有特定的收信人才能閱讀到信中內容一種加密技術。數字信封中采用了對稱密碼體制和非對稱密碼體制。Page

91非對稱加密算法非對稱解密算法Alice的公開密鑰網絡信道合同Alice的私有密鑰哈希算法標記標記-2合同哈希算法比較標記-1如果兩標記相同，則符合上述確認要求。AliceBob假定Alice需要傳送一份合同給Bob。Bob需要確認：合同的確是Alice發(fā)送的合同在傳輸途中未被修改4.3.4數字信封2.數字信封的過程Page

92數據加密技術原理數字簽名的作用唯一地確定簽名人的身份；對簽名后信件的內容是否又發(fā)生變化進行驗證；發(fā)信人無法對信件的內容進行抵賴。

當我們對簽名人同公開密鑰的對應關系產生疑問時，我們需要第三方頒證機構（CA:CertificateAuthorities）的幫助。4.3.5數字時間戳1.數字時間戳的概述數字時間戳服務（DTS）是網上安全服務項目，由專門的機構提供。數字時間戳是一個經加密后形成的憑證文檔，它包括三個部分：

一是需加時間戳的文件的摘要；二是DTS收到文件的日期和時間；三是DTS的數字簽名。2.數字時間戳的產生過程

Hash算法

明文

摘要

1

加時間

數字

時間戳

Internet

發(fā)送方

DSA機構

Hash算法

加了時間后的新摘要

摘要

1

摘要1

+時間

數字

時間戳

摘要|時間DTS簽名4.3.6電子商務認證1.電子商務認證的內容電子商務認證的內容包含身份認證及信息認證兩方面內容。身份認證方式1.單向認證（onewayauthentication）2.雙向認證（twowayauthentication）3.基于可信賴的第三方的認證（trustedthirdpartyauthentication）信息認證技術1.報文摘要2.數字簽名3.數字信封4.數字時間戳5.

數字證書4.3.6電子商務認證2.身份認證

身份認證也稱為“身份驗證”或“身份鑒別”，是指在計算機及計算機網絡系統(tǒng)中確認操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權限，進而使計算機和網絡系統(tǒng)的訪問策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權限，保證系統(tǒng)和數據的安全，以及授權訪問者的合法利益。按認證方式分以下三種形式：3.數字證書

數字證書相當于電子化的身份證明，應有值得信賴的頒證機構（CA機構）的數字簽名，可以用來強力驗證某個用戶或某個系統(tǒng)的身份及其公開密鑰。

數字證書既可以向一家公共的辦證機構申請，也可以向運轉在企業(yè)內部的證書服務器申請。這些機構提供證書的簽發(fā)和失效證明服務。證書的版本信息證書發(fā)行者的對證書的簽名證書擁有者的名稱；證書擁有者的公開密鑰；密鑰的有效期頒發(fā)數字證書的單位；數字證書的序列號；頒發(fā)數字證書單位的數字簽名。X.509數字證書包含

（1）數字證書的內容CA的簽名保證證書的真實性證書以一種可信方式將密鑰“捆綁”到唯一命名持有人:GBFOCUS公開密鑰:9f0a34...序列號:123465有效期:2/9/2001-1/9/2010發(fā)布人:CA-名簽名:CA數字簽名證書可以存放到文件、軟盤、智能卡、數據庫中數字證書的內容（3）工作原理信息接收方在收到發(fā)送方發(fā)來的業(yè)務信息的同時，還收到發(fā)送方的數字證書，這時通過對其數字證書的驗證，可以確認發(fā)送方的真實身份。由于公開密鑰包含在數字證書中，在發(fā)送方與接收方交換數字證書的同時，雙方都得到了對方的公開密鑰。數字證書是由社會上公認的公正的第三方的可靠組織——數字證書認證中心發(fā)行的。CA的數字簽名使得攻擊者不能偽造和篡改數字證書。如果由于CA簽發(fā)的證書造成不恰當的信任關系，該組織就要承擔責任。（2）數字證書的類型：

個人數字證書企業(yè)（服務器）數字證書軟件（開發(fā)者）數字證書

數字證書可用于：發(fā)送安全電子郵件、網上繳費、訪問安全站點、網上證券交易、網上采購招標、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。4認證中心

1、證書的頒發(fā)2、證書的更新3、證書的查詢（證書申請查詢和用戶證書查詢）4、證書的作廢（私鑰泄密或過了有效期）5、證書的歸檔（管理作廢證書和作廢私鑰）認證中心（CA）：承擔網上安全電子交易認證服務、簽發(fā)數字證書并確認用戶身份的服務機構，該機構必須是具有權威性和公正性的第三方機構。(2)CA認證體系結構

國內常見的CA

l中國數字認證網（），數字認證，數字簽名，CA認證，CA證書，數字證書，安全電子商務。

l北京數字證書認證中心

（），為網上電子政務和電子商務活動提供數字證書服務。4.3.7安全交易的過程4.4公鑰基礎設施4.4.1.公鑰基礎設施概述

1.公鑰基礎設施概念

PKI（PublicKeyInfrastructure）是一種遵循既定標準的密鑰管理平臺，它利用公鑰加密技術為電子商務、電子政務等所有網絡應用提供一整套通用性的安全服務。它的基礎是加密技術，核心是證書服務。簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。用戶可利用PKI平臺提供的服務進行安全的電子交易，通信和互聯(lián)網上的各種活動。2.PKI的應用（1）VPN是一種建立在公網上的虛擬專用網絡。它是利用IPSec、PPTP、L2TP協(xié)議和建立在PKI基礎上的加密與數字簽名技術獲取私有性的。在VPN中使用PKI技術能增強VPN的身份認證能力，確保數據的完整性和不可否認性。使用PKI技術能夠有效建立和管理信任關系，利用數字證書既能阻止非法用戶訪問VPN，又能夠限制合法用戶對VPN的訪問，同時還能對用戶的各種活動進行嚴格審計。（2）安全電子郵件電子郵件的安全問題集中表現在以下兩個方面：

1）在通信雙方全然不知的情況下，所傳遞的郵件信息被截取、閱讀或篡改；

2）無法確定所收到的郵件是否真的來自發(fā)信人，即可能收到的是別人偽造的郵件。在上述兩類問題中，第一類是安全問題，第二類是信任問題。電子郵件同樣需要保密性、完整性、不可否認性和可鑒別性。這些安全需求可從PKI技術獲得，一方面利用數字證書和私鑰，用戶可以對其所發(fā)的電子郵件進行數字簽名，另一方面利用加密技術可以保障電子郵件內容的機密性。（3）Web安全在使用Web瀏覽器訪問Web服務的過程中，經常遇到如下安全問題：1）信息泄露2）冒充3）篡改4）中斷

結合SSL協(xié)議和PKI技術可以很好地解決上述安全問題，具體的解決方案如圖所示。利用PKI技術，SSL允許在瀏覽器和服務器之間進行數據交換前通過交換SSL初始握手數據來實現有關安全性的審查，并在數據交換過程中采用DES、MD5等加密技術實現數據的加密傳輸，從而保證數據的保密性和完整性。另外，瀏覽器和服務器可從可信任的第三方獲取數字證書，并利用數字證書來確認對方的身份，進而加強審計防止抵賴事件發(fā)生。SSLSSLTCP/UDPWeb瀏覽器IPIPTCP/UDPWeb服務器數據加密傳輸證書證書圖結合SSL和PKI技術的安全解決方案

4.4.2PKI的組成PKI宏觀上呈現為域結構，即每個PKI都有一定的覆蓋范圍，形成一個管理域。管理域通過交叉認證相互關聯(lián)，構成更大的管理域，最終形成全局性的公鑰管理體系?；窘M成：其中CA是PKI的核心部分認證機構(CA)密鑰備份及恢復系統(tǒng)證書作廢系統(tǒng)(CRL)應用程序接口(API)數字證書庫PKI的基本組成1.認證中心CA

（1）CA系統(tǒng)采用PKI技術可以實現以下安全服務功能：①簽發(fā)數字證書②CA密鑰的管理③接受證書申請，審核證書申請者身份④證書管理⑤提供證書和證書狀態(tài)的查詢（2）CA的組成CA主要由以下部分組成：

①CA服務器：這是CA的核心，是數字證書生成、發(fā)放的運行實體，同時提供發(fā)放證書的管理、證書廢止列表（CRL）的生成和處理等服務。②證書下載中心：用戶通過登錄CA網站訪問證書下載中心，CA服務器生成的證書通過證書下載中心供用戶下載。③目錄服務器：它的功能是提供數字證書的存儲，以及數字證書和證書撤銷列表（CRL）的查詢。

④OCSP服務器：該服務器向用戶提供證書在線狀態(tài)的查詢。⑤密鑰管理中心(KMC)：根據國家密碼管理規(guī)定，加密用私鑰必須由權威、可靠的機構進行備份和保管。CFCA被授權建立KMC,以備份和保管用戶的加密密鑰。⑥證書注冊機構(RegistrationAuthority，RA)：它負責受理證書的申請和審核，其主要功能是接受客戶證書申請并進行審核。

CA組成示意圖

2.數字證書庫是證書的集中存放地，提供公眾查詢，常用目錄服務器提供服務，采用LDAP目錄訪問協(xié)議。3.密鑰備份及恢復系統(tǒng)簽名密鑰對：簽名私鑰相當于日常生活中的印章效力，為保證其唯一性，簽名私鑰不作備份。簽名密鑰的生命期較長。加密密鑰對：加密密鑰通常用于分發(fā)會話密鑰，為防止密鑰丟失時丟失數據，解密密鑰應進行備份。這種密鑰應頻繁更換。4.證書作廢處理系統(tǒng)證書由于某種原因需要作廢，終止使用，這將通過證書作廢列表（CRL）來完成。5.應用程序接口是為各種各樣的應用提供安全、一致、可信任的方式與PKI交互，確保所建立起來的網絡環(huán)境安全可信，并降低管理成本。4.3.3PKI的基本服務PKI作為安全基礎設施，提供的安全服務分為核心服務和附加服務。PKI提供的核心服務分一、認證二、完整性三、保密性PKI提供的核心服務認證服務提供一種鑒別實體真?zhèn)蔚姆椒?。該方法可通過圖10.5加以說明。首先，甲需要驗證乙所用證書的真?zhèn)?。當乙在網絡上將證書傳送給甲時，甲使用CA的公鑰解開證書上的數字簽名，如果簽名通過驗證，則證明乙持有的證書是真的；其次，甲還需要驗證乙身份的真?zhèn)?。乙可以將自己的口令用自己的私鑰進行數字簽名傳送給甲，甲已經從乙的證書中或從證書庫中查得了乙的公鑰，甲就可以用乙的公鑰來驗證乙的數字簽名。1認證服務甲乙甲的數字簽名甲的數字簽名甲的私鑰甲驗證乙的證書的真?zhèn)我业臄底趾灻揖哂屑椎淖C書甲的公鑰乙的數字簽名乙的私鑰乙的公鑰圖10.5甲對乙進行認證的過程示意如果該簽名通過驗證，乙在網絡中的真實身份就能夠確定，并能獲得甲的的信任，反之，當乙確定了甲的真實身份后，甲乙雙方就可以建立相互信任關系。2數據完整性服務

數據完整性服務提供一種判別通信數據是否被篡的方法。這種方法實質是一種數字簽名過程，它首先利用Hash函數提取數據“指紋”，然后將數據和其“指紋”信息一起發(fā)送到對方，對方收到數據后，重新利用Hash函數提取數據“指紋”并與接收到的數據“指紋”比對，進而判斷數據是否被篡改。如果敏感數據在傳輸和處理過程中被篡改，接受方就不會收到完整的數據簽名，驗證就會失敗。反之，如果簽名通過了驗證，就證明接收方收到的是未經修改的完整數據。PKI提供的核心服務3數據保密性服務

保密性服務提供一種“數字信封”機制，即發(fā)送方先產生一個對稱密鑰，并用該對稱密鑰加密敏感數據。同時，發(fā)送方還用接收方的公鑰加密對稱密鑰，就像把它裝入一個“數字信封”。然后，把被加密的對稱密鑰（“數字信封”）和被加密的敏感數據一起傳送給接收方。接收方用自己的私鑰拆開“數字信封”，并得到對稱密鑰，再用對稱密鑰解開被加密的敏感數據。

PKI提供的核心服務PKI提供的支持服務1不可否認性服務

不可否認性服務提供一種防止實體對其行為進行抵賴的機制，它從技術上保證實體對其行為的認可。實體的行為多種多樣，抵賴問題隨時都可能發(fā)生，在各種實體行為中，人們更關注發(fā)送數據、收到數據、傳輸數據、創(chuàng)建數據、修改數據、以及認同實體行為等的不可否認性。在PKI中，由于實體的各種行為只能發(fā)生在它被信任之后，所以可通過時間戳標記和數字簽名來審計實體的各種行為。通過這種審計將實體的各種行為與時間和數字簽名綁定在一起使實體無法抵賴其行為。

公證服務提供一種證明數據的有效性和正確性的方法。這種公證服務依賴于需要驗證的數據和數據驗證方式。在PKI中，經常需要驗證數據包括Hash簽名、公鑰和私鑰等，驗證的內容主要是數據的合法性和正確性，驗證的方法主要是鑒別簽名。2公證服務PKI提供的支持服務3安全時間戳服務

安全時間戳就是一個可信的時間權威，它用一段可認證的完整的數據表示時間戳，來證明數據處理所發(fā)生的時間。PKI提供的支持服務4.5電子商務安全協(xié)議4.5.1SSL協(xié)議1.SSL協(xié)議概述

SSL協(xié)議又叫安全套接（SecureSocketsLayer）協(xié)議，是指使用公鑰和私鑰技術保護信息傳輸的機密性和完整性的協(xié)議，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web方式。2.SSL協(xié)議的內容（1）SSL握手協(xié)議：用于通信雙方的身份認證和密鑰協(xié)商；（2）SSL記錄協(xié)議：用于加密傳輸數據和對數據完整性的保證3.SSL協(xié)議的運行過程和模式SSL協(xié)議的運行過程①接通階段?？蛻敉ㄟ^網絡向服務商打招呼，服務商回應。②密碼交換階段。客戶與服務商之間交換認可的密碼。一般選用RSA密碼算法，也有的選用Diffe-Hellman和fortezza-KEA密碼算法。③會談密碼階段。客戶與服務商間產生彼此交換會談密碼。(④檢驗階段。檢驗服務商取得的密碼。⑤客戶認證階段。驗證客戶的可信度。⑥結束階段?？蛻襞c服務商之間的相互交換結束的信息。（2）SSL協(xié)議的應用模式1．客戶/服務器模式（單向認證）：又稱匿名SSL連接，這是SSL安全連接的最基本模式，它便于使用，主要的瀏覽器都支持這種方式，適合單向數據安全傳輸應用。在這種模式下客戶端沒有數字證書，只是服務器端具有證書，以不在認用戶訪問的是自己要訪問的站點。典型的應用就是用戶進行網站注冊時ID＋口令的匿名認證。2．對等模式（雙方認證）：是對等的安全認證，這種模式通信雙方都可以發(fā)起和接收SSL連接請求。通信雙方可以利用安全應用程序（控鍵）或安全代理軟件，前者一般適合于B/S結構，而后者適用于C/S結構，安全代理相當于一個加密/解密的網關，這種模式雙方皆需安裝證書，進行雙向認證。這就是網上銀行的B2B的專業(yè)版等應用。3．電子商務中的綜合應用。電子商務與網上銀行交易不同，因為有商戶參加，形成客戶――商家――銀行，兩次點對點的SSL連接。客戶，商家，銀行，都必須具證書，兩次點對點的雙向認證。4、SSL提供的基本服務功能信息保密。使用公共密鑰和對稱密鑰技術實現信息保密?？蛻魴C和服務器之間的所有業(yè)務都使用在SSL握手過程中建立的密鑰和算法進行加密，防止非法竊聽，以保證信息的保密性。信息完整性。SSL利用機密共享和數字摘要技術提供信息完整性服務。相互認證?？蛻魴C和服務器認證，確信數據能發(fā)往正確的服務器和客戶機。4.5.2SET協(xié)議1、SET協(xié)議的概述

SET（SecureElectronicTransaction)是由VISA和MasterCard兩大信用卡公司發(fā)起，會同IBM、Microsoft等信息產業(yè)巨頭于1997年6月正式制定發(fā)布的用于互聯(lián)網事務處理的一種標準。

SET協(xié)議是采用對稱密鑰和非對稱密鑰體制，保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份，以解決用戶、商家和銀行之間信用卡安全支付問題的協(xié)議。

SET協(xié)議采用公鑰密碼體制和X.509數字證書標準，提供了消費者、商家和銀行之間的認證，確