电子商务安全体系经典教程

学习基本要求1.在安全体系中，掌握网络安全技术和交易安全技术的关系；在安全体系中，掌握网络安全技术和交易安全技术的关系；2.了解网络安全技术：病毒防范、身份识别、防火墙技术等；了解网络安全技术：病毒防范、身份识别、防火墙技术等；3.掌握交易安全技术：加密算法、认证技术如数字摘要、数字掌握交易安全技术：加密算法、认证技术如数字摘要、数字证书等；证书等；4.掌握安全交易协议掌握安全交易协议SSL和和SET及应用；及应用；5.理解公开密钥基础设施理解公开密钥基础设施(PKI)。v1)信息的篡改信息的篡改v 2)信息的截获和窃取信息的截获和窃取 v3)信息的假冒信息的假冒 v 4)信息的中断信息的中断 v5)交易抵赖交易抵赖源 目的 保密性保密性 完整性完整性 可用性可用性 真实性真实性 计算机网络安全：计算机网络安全：网络设备网络设备网络软件系统网络软件系统病毒防范病毒防范防火墙防火墙识别、代理识别、代理 商务交易安全：商务交易安全：安全应用协议安全应用协议 数字签名、摘要数字签名、摘要 数字信封、时间戳数字信封、时间戳 基本加密算法基本加密算法 1.计算机网络的安全威胁计算机网络的安全威胁 所谓计算机网络的安全威胁，是指某个人、所谓计算机网络的安全威胁，是指某个人、物、事件或概念对某一资源的保密性、完物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。整性、可用性或合法使用所造成的危险。某种攻击就是某种威胁的具体实现。某种攻击就是某种威胁的具体实现。1）假冒）假冒 2）旁路控制）旁路控制 3）授权侵犯）授权侵犯 4）特洛伊木马）特洛伊木马 5）陷阱门）陷阱门 v 所谓防护措施，是指保护资源免受威胁的一所谓防护措施，是指保护资源免受威胁的一些物理控制、机制、策略和过程。在安全领域，些物理控制、机制、策略和过程。在安全领域，存在有多种类型的防护措施：存在有多种类型的防护措施：1)物理安全物理安全 2)人员安全人员安全 3)管理安全管理安全 4)媒体安全媒体安全 5)辐射安全辐射安全 6)生命周期控制生命周期控制 v虚拟专用网虚拟专用网v病毒防范病毒防范v身分识别身分识别v防火墙防火墙1)病毒病毒 v v在网络上，计算机病毒传播迅速。在网络上，计算机病毒传播迅速。v在网络上，计算机病毒传播面广。在网络上，计算机病毒传播面广。v在网络上，计算机病毒破坏性极强。在网络上，计算机病毒破坏性极强。v在网络上，计算机病毒种类翻新迅速，新在网络上，计算机病毒种类翻新迅速，新病毒层出不穷。病毒层出不穷。v 安装防病毒软件，加强内部网的整体防病毒措施；安装防病毒软件，加强内部网的整体防病毒措施；v 加强数据备份和恢复措施；加强数据备份和恢复措施；v 对敏感的设备和数据要建立必要的物理或逻辑对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。隔离措施等。v口令口令v标记方法标记方法v生物特征法生物特征法v(1)防火墙防火墙IntranetInternet图图4-4 防火墙示意图防火墙示意图客户机客户机Mail ServerWeb ServerDB Serverv(2)设计准则设计准则 1)一切未被允许的就是禁止的。一切未被允许的就是禁止的。2)一切未被禁止的就是允许的。一切未被禁止的就是允许的。v(3)实现技术实现技术 1)基于分组过滤的防火墙基于分组过滤的防火墙 2)基于代理服务的防火墙基于代理服务的防火墙加密：将明文变成密文的过程加密：将明文变成密文的过程解密：由密文还原成明文的过程解密：由密文还原成明文的过程密码算法：加密和解密的算法密码算法：加密和解密的算法密钥：加密和解密过程中，由加密钥：加密和解密过程中，由加密者和解密者使用的加解密者和解密者使用的加解密可变参数密可变参数v4.3.1 数据加密数据加密加密算法加密密钥加密密钥1解密密钥解密密钥2解密算法明文M密文C原始明文输出 v4.3.2 对称密钥加密对称密钥加密加密加密算法算法共享密钥共享密钥共享密钥共享密钥解密解密算法算法明文输入明文输入密文传输密文传输明文输出明文输出v4.3.3 非对称密钥加密非对称密钥加密加密加密算法算法的公钥的公钥（可拥有）（可拥有）的 私 钥 的 私 钥（只 有 拥（只 有 拥有）有）解密解密算法算法明文输入明文输入密文传输密文传输明文输出明文输出1常规密钥密码体制常规密钥密码体制 密码技术是保证网络、信息安全的核心技术。密码技术是保证网络、信息安全的核心技术。1)1)单字母加密法单字母加密法 2)2)多字母加密法多字母加密法例一：Caesar(恺撒)密码例二：将字母倒排序例三：单表置换密码例一：Vigenere密码例二：转换加密 例1：C a esa r（恺 撒）密 码，见 表1。表1 C a esa r（恺 撒）密 码 表 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 D E F G H I J K L M N O P 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 Q R S T U V W X Y Z A B C 单字母加密方法单字母加密方法例：明文（记做例：明文（记做m）为）为“important”，Key=3，则密文，则密文（记做（记做C）则为）则为“LPSRUWDQW”。例2：将 字 母 倒 排 序，见 表2。表2 字 母 倒 排 序 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 Z Y X W V U T S R Q P O N 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 M L K J I H G F E D C B A 例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。例 3：单 表 置 换 密 码，见 表 3。假 设 密 钥 K ey 是 B E IJIN G T S IN G H U A（北 京 清 华），由 此 密 码 构 造 的 字 符 置 换 表 如 下：表 3 单 表 置 换 密 码 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 B E I J N G T S H U A C D 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 F K L M O P Q R V W X Y Z 例：如果明文m为“important”，则密文C则 为“HDLKOQBFQ”。例例1 1：VigenereVigenere密码，见表密码，见表4 4。加密方法如下：。加密方法如下：假设明文假设明文m=m1m2m3.mnm=m1m2m3.mn，密钥密钥 Key=K1K2K3.Kn Key=K1K2K3.Kn，对应密文对应密文 C=C1C2C3.Cn C=C1C2C3.Cn，则：则：Ci=mi+Ki mod 26Ci=mi+Ki mod 26，i=1i=1，2 2，.n.n，其中，其中，2626个字母个字母A-ZA-Z的序号对应是的序号对应是0-250-25，Ci Ci 是密文中第是密文中第i i个字母的序号，个字母的序号，mi mi 是明文中第是明文中第i i个字母的序号，个字母的序号，Ki Ki 是密钥是密钥KeyKey中第中第i i个字母的序号，个字母的序号，如果如果m=informationm=informationKey=STAR Key=STAR 则则C=AGFFJFAKAHNC=AGFFJFAKAHN 多字母加密是使用密钥进行加密。密钥是一组信息（一串多字母加密是使用密钥进行加密。密钥是一组信息（一串字符）。同一个明文经过不同的密钥加密后，其密文也会不同字符）。同一个明文经过不同的密钥加密后，其密文也会不同表 4 多字母加密 M i n f o r m a t i o n Key S T A R S T A R S T A C A G F F J F A K A H N 密钥密钥 Key 的循环出现使其长度与明文一样，密文中的的循环出现使其长度与明文一样，密文中的字母字母 A 在明文中是在明文中是 i 和和 a；而明文中的字母；而明文中的字母 o 在密文中是在密文中是 F和和 H。ABCDEFGHIJKLM012345678910 11 12NOPQRSTUVWXYZ13 14 15 16 17 18 19 20 21 22 23 24 25it can allow students to get close up viewsit can allow students to get close up views将其按顺序分为将其按顺序分为5 5个字符的字符串：个字符的字符串：Itcan getclItcan getclAllow oseupAllow oseupStude viewsStude viewsntstontsto再将其按先列后行的顺序排列，就形成了密文：再将其按先列后行的顺序排列，就形成了密文：密文密文C C为为“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS”“IASNGOVTLTTESICLUSTEEAODTCUWNWEOLPS”如果将每一组的字母倒排，也形成一种密文：如果将每一组的字母倒排，也形成一种密文：C=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIVC=NACTIWOLLAEDUTSOTSTNLCTEGPUESOSWEIV 在替换加密法中，原文的顺序没被改变，而是通在替换加密法中，原文的顺序没被改变，而是通过各种字母映射关系把原文隐藏了起来。转换加密法过各种字母映射关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱，将其重新排列。如：是将原字母的顺序打乱，将其重新排列。如：4.4.1 安全认证技术安全认证技术 1.数字摘要数字摘要 2.数字信封数字信封 3.数字签名数字签名 4.数字时间戳数字时间戳 5.安全认证安全认证 6.数字证书数字证书(1)数字摘要数字摘要 数字摘要是采用单向数字摘要是采用单向Hash函数对文件中若函数对文件中若干重要元素进行某种变换运算得到固定长度干重要元素进行某种变换运算得到固定长度的摘要码，并在传输信息时将之加入文件一的摘要码，并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，来的摘要码相同，则可断定文件未被篡改，反之亦然。反之亦然。(2)数字信封数字信封 数字信封是用加密技术来保证只有规定的特定收数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密钥用接收方的公开密钥来加密(这部分称为数字信这部分称为数字信封封)之后，将它和信息一起发送给接收方，接收方之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。钥，然后使用对称密钥解开信息。(3)数字签名数字签名 把把Hash函数和公钥算法结合起来，可以在提供数函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者用证是由确定的合法者用Hash函数产生的摘要，而函数产生的摘要，而不是由其他人假冒。而把这两种机制结合起来就不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名可以产生所谓的数字签名(Digital Signature)，所谓的数字签名是用发送者的私钥加密后的信息摘要。所谓的数字签名是用发送者的私钥加密后的信息摘要。原理：原理：v 1)被发送文件用安全被发送文件用安全Hash编码法编码加密产生编码法编码加密产生128bit的数的数字摘要；字摘要；v 2)发送方用自己的私用密钥对摘要再加密，这就形成了数发送方用自己的私用密钥对摘要再加密，这就形成了数字签名；字签名；v 3)将原文和加密的摘要同时传给对方；将原文和加密的摘要同时传给对方；v 4)对方用发送方的公共密钥对摘要解密，同时对收到的文对方用发送方的公共密钥对摘要解密，同时对收到的文件用件用Hash编码加密产生又一摘要；编码加密产生又一摘要；v 5)将解密后的摘要和收到的文件在接收方重新加密产生的将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比，如两者一致，则说明传送过程中信息没有被摘要相互对比，如两者一致，则说明传送过程中信息没有被破坏或篡改过；否则不然。破坏或篡改过；否则不然。v数字签名就是这样通过这种双重加密的方法来防止电子信息数字签名就是这样通过这种双重加密的方法来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出因易被修改而有人作伪；或冒用别人名义发送信息；或发出(收到收到)信件后又加以否认等情况发生。信件后又加以否认等情况发生。v数字签名的加密解密过程和一般秘密密钥的加密解密过程虽然都使用公开密钥系统，但实现的过程正好相反，使用的密钥对也不同。v数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。v而一般秘密密钥的加密解密则使用的是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。这是一个复杂但又很有趣的过程。摘摘要要对比？对比？原原文文原原文文摘摘要要摘摘要要InternetHash算法算法Hash算法算法发送方发送方接收方接收方数字数字签名签名数字数字签名签名发送者发送者私钥加密私钥加密发送者发送者公钥解密公钥解密图图4-3 数字签名过程数字签名过程(4)数字时间戳数字时间戳(Digital Time-Stamp)v数字时间戳服务是网络安全服务项目，由数字时间戳服务是网络安全服务项目，由专门的机构提供。专门的机构提供。v 时间戳时间戳(Time-stamp)是一个经加密后形是一个经加密后形成的凭证文档，它包括三个部分：成的凭证文档，它包括三个部分：v 需加时间戳的文件的摘要需加时间戳的文件的摘要(digest)；v DTS收到文件的日期和时间；收到文件的日期和时间；v DTS的数字签名。的数字签名。(5)安全认证加密流程图安全认证加密流程图 明文密文随机生成一个本次通信的会话密钥KsMD5摘要生成摘要签字RSA加密DES分组加密发送者私钥RSA加密接收者公钥加密后的会话密钥密文含时间戳的明文添加时间戳用发送者的私钥加密合并后发送给接收者 安全认证解密流程图安全认证解密流程图密文摘要签字RSA解密发送者公钥RSA解密接收者私钥加密后的会话密钥密文从发送者处收到本次通信的会话密钥KsDES分组解密带时间戳的明文MD5摘要生成摘要对比发送者的公钥解密得到明文摘要提取验证时间戳明文(6)数字证书数字证书(Digital certificate，Digital ID)证书的版本号；证书的版本号；数字证书的序列号；数字证书的序列号；证书拥有者的姓名；证书拥有者的姓名；证书拥有者的公开密钥；证书拥有者的公开密钥；公开密钥的有效期；公开密钥的有效期；签名算法；签名算法；办理数字证书的单位；办理数字证书的单位；办理数字证书单位的数字签名。办理数字证书单位的数字签名。v认证中心认证中心(CA)就是承担网上安全电子交易认证服务，能签就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字证书的申请、常是企业性的服务机构，主要任务是受理数字证书的申请、签发及对数字证书的管理。签发及对数字证书的管理。CA有四大职能：有四大职能：证书发放证书发放 证书更新证书更新 证书撤销证书撤销 证书验证证书验证思考题：网上查询思考题：网上查询认证中心的基本职认证中心的基本职能，并试试申请认能，并试试申请认证。证。v磁盘文件（硬盘、软盘）磁盘文件（硬盘、软盘）v智能智能IC卡卡vUSB便携存储设备便携存储设备v（不仅存储证书，数据加密、签字等操作均在设备（不仅存储证书，数据加密、签字等操作均在设备中进行，该设备可以做到在进行数据加密的过程中中进行，该设备可以做到在进行数据加密的过程中私钥不出私钥不出USB便携加密设备，设备的安全性大大提便携加密设备，设备的安全性大大提高，该存储形式是国家密码管理委员会规定的证书高，该存储形式是国家密码管理委员会规定的证书和私钥的存储形式和私钥的存储形式）v由证书的主体类型分由证书的主体类型分:v 个人证书：由个人申请并使用的证书。个人证书：由个人申请并使用的证书。v企业服务器证书：由企业申请的证书，一般为企业的企业服务器证书：由企业申请的证书，一般为企业的加密网站服务器使用。加密网站服务器使用。v由证书的用途分：由证书的用途分：v加密证书：可以进行数据加密和数字签名。加密证书：可以进行数据加密和数字签名。v签字证书：只能进行数字签名。签字证书：只能进行数字签名。v电子商务中有四种：电子商务中有四种：客户、商家、网关、客户、商家、网关、CACA系统系统v管理机构管理机构：国家密码管理委员会。：国家密码管理委员会。v相应法规相应法规：国家密码产品管理条例等。：国家密码产品管理条例等。v（国家密码产品管理条例中规定，在我国境内不得使（国家密码产品管理条例中规定，在我国境内不得使用外国的密码产品，从事密码产品的科研、开发、生用外国的密码产品，从事密码产品的科研、开发、生产、销售均需要办理许可证，未经办理许可证的企业产、销售均需要办理许可证，未经办理许可证的企业个人不得从事商用的密码产品开发、生产、销售）个人不得从事商用的密码产品开发、生产、销售）v国家密码产品管理条例电子身份认证方面的规定和要国家密码产品管理条例电子身份认证方面的规定和要求：求：v每个省份建立一个每个省份建立一个CACA根中心、双中心结构、双证根中心、双中心结构、双证书体系。书体系。v密钥中心密钥中心：负责证书密钥对的生成和存储管理。：负责证书密钥对的生成和存储管理。v认证中心认证中心：负责证书的制作和其它证书相关业务。：负责证书的制作和其它证书相关业务。v注册中心注册中心：负责用户身份审核、业务申请登记、：负责用户身份审核、业务申请登记、证书发放。证书发放。密钥中心密钥中心和和认证中心认证中心分离，密钥中心由国家政府部门分离，密钥中心由国家政府部门专门管理，该中心负责为用户生成公钥私钥对，并进专门管理，该中心负责为用户生成公钥私钥对，并进行存储管理。行存储管理。认证中心可以由企业运行管理，为用户进行证书签字认证中心可以由企业运行管理，为用户进行证书签字和证书制作，以及办理各种证书业务。和证书制作，以及办理各种证书业务。国外某些国外某些CA管理制度中，采用单中心的方案，即密管理制度中，采用单中心的方案，即密钥中心和认证中心为一个机构，而且用户的密钥对由钥中心和认证中心为一个机构，而且用户的密钥对由用户自己生成，用户自己生成，CA中心只存储用户的公钥，私钥由中心只存储用户的公钥，私钥由用户管理，用户管理，CA中心仅仅为用户的证书尽心签字。中心仅仅为用户的证书尽心签字。我国我国CACA中心的管理，中心的管理，CACA中心可以对用户所有信息中心可以对用户所有信息进行加密解密操作，为了避免进行加密解密操作，为了避免CACA中心用户数据安中心用户数据安全带来的潜在影响，因此规定了双证书体系结构。全带来的潜在影响，因此规定了双证书体系结构。用户的证书由用户的证书由加密证书加密证书和和签字证书签字证书组成，加密证组成，加密证书是由密钥中心生成的，在密钥中心和用户端均书是由密钥中心生成的，在密钥中心和用户端均有一个副本。然而签字证书的密钥对由用户自己有一个副本。然而签字证书的密钥对由用户自己生成，只将公钥交给生成，只将公钥交给CACA中心进行签字证书的制作，中心进行签字证书的制作，因此签字私钥就只有用户拥有，从而保护的用户因此签字私钥就只有用户拥有，从而保护的用户数据的安全性。数据的安全性。1.用户在用户在CA中心的网站上或中心的网站上或CA注册中心进行证书申请注册中心进行证书申请登记，用户会得到一个唯一的受理编号。登记，用户会得到一个唯一的受理编号。2.用户持个人的有效证件到用户持个人的有效证件到CA注册中心进行身份审核注册中心进行身份审核3.密钥中心将为用户生成加密证书的密钥对密钥中心将为用户生成加密证书的密钥对4.认证中心为用户制作证书，通知用户领取证书认证中心为用户制作证书，通知用户领取证书5.用户领取证书后，可以通过相应的软件生成签字证书用户领取证书后，可以通过相应的软件生成签字证书的密钥对，并将公钥传递到的密钥对，并将公钥传递到CA中心的网站，中心的网站，CA中心中心为用户制作好签字证书后可通知用户下载签字证书。为用户制作好签字证书后可通知用户下载签字证书。查看证书内容（查看证书内容（1）查看证书内容查看证书内容CACA中心简介中心简介数字证书的申请数字证书的申请（1）下载并安装根证书）下载并安装根证书（2）申请证书）申请证书（3）将个人身份信息连同证书序列号一并）将个人身份信息连同证书序列号一并邮寄到中国数字认证网邮寄到中国数字认证网下载根CA下载根证书（下载根证书（1）下载根证书（下载根证书（2）安装根证书（安装根证书（1）安装根证书（安装根证书（2）查看根证书查看根证书 申请个人免费证书申请个人免费证书 下载个人证书下载个人证书 查看个人证书查看个人证书 个人证书在安全电子邮件中的应用个人证书在安全电子邮件中的应用（1）在）在Outlook Express 5 发送签名邮件发送签名邮件(如如图图3-423-46所示所示)：1）在）在Outlook Express 5中中设置证书、设置证书、2）发送签名邮件。）发送签名邮件。（2）用）用Outlook Express 5发送加密电子邮件发送加密电子邮件（如（如图图3-473-50所示）所示）：1）获取收件人数字证）获取收件人数字证书、书、2）发送加密邮件。）发送加密邮件。数字证书应用操作实例数字证书应用操作实例 在在Outlook Express中设置证书（中设置证书（1）在在Outlook Express中设置证书（中设置证书（2）在在Outlook Express中设置证书（中设置证书（3）签名标记 发送签名邮件发送签名邮件 单击 单击 将收件人证书添加到通信簿将收件人证书添加到通信簿 收到签名邮件的提示信息收到签名邮件的提示信息 单击 单击 将收件人证书添加到通信簿将收件人证书添加到通信簿 选择查询证书 下载 查询和下载收件人数字证书查询和下载收件人数字证书 加密标志 图图3-49 发送加密邮件发送加密邮件 图图3-50 收到加密邮件的提示信息收到加密邮件的提示信息v安全套接层安全套接层SSLv (Secure Sockets Layer)协议协议v安全电子交易安全电子交易SETv (Secure Electronic Transaction)协议协议 建立连接阶段：客户通过网络向服务商打招呼，服务商回建立连接阶段：客户通过网络向服务商打招呼，服务商回应；应；交换密码阶段：客户与服务商之间交换双方认可的密码；交换密码阶段：客户与服务商之间交换双方认可的密码；会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密码；码；检验阶段：检验服务商取得的密码；检验阶段：检验服务商取得的密码；客户认证阶段：验证客户的可信度；客户认证阶段：验证客户的可信度；结束阶段：客户与服务商之间相互交换结束信息。结束阶段：客户与服务商之间相互交换结束信息。(1)加密处理。加密技术既有对称密钥技术（加密处理。加密技术既有对称密钥技术（DES），也有，也有公开密钥技术（公开密钥技术（RSA）。（2）保证信息的完整性。采用）保证信息的完整性。采用Hash函数和机密共享的方法函数和机密共享的方法来提供信息完整性的服务，建立客户机与服务器之间的安全来提供信息完整性的服务，建立客户机与服务器之间的安全通道。通道。（3）提供较完善的认证服务。客户机和服务器都有各自的）提供较完善的认证服务。客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求在握手交换数据前进行数字认否合法，安全套接层协议要求在握手交换数据前进行数字认证，以此来确保用户的合法性。证，以此来确保用户的合法性。SET交易的三个阶段交易的三个阶段v 第一阶段第一阶段(购买请求阶段购买请求阶段)，用户与商家确定所，用户与商家确定所用支付方式的细节；用支付方式的细节；v 第二阶段第二阶段(支付认定阶段支付认定阶段)，商家会与银行核实，商家会与银行核实，随着交易的进展，他们将得到付款；随着交易的进展，他们将得到付款；v 第三阶段（受款阶段），商家向银行出示所有第三阶段（受款阶段），商家向银行出示所有交易的细节，然后银行以适当方式转移货款。交易的细节，然后银行以适当方式转移货款。v3.SET运作方式运作方式客客户户商商家家收 单收 单银行银行发 卡发 卡银行银行支 付支 付网关网关 认证机构认证机构 SSL SSL协议是建立在对客户的承诺之上的，采用协议是建立在对客户的承诺之上的，采用SSLSSL协议协议的网上商店通常都在网页上保证要保护消费者的信息安全，的网上商店通常都在网页上保证要保护消费者的信息安全，客户的信息也是先由商家解密后，再发给银行，这样客户客户的信息也是先由商家解密后，再发给银行，这样客户的信用卡信息就会完全暴露在商家眼前。在的信用卡信息就会完全暴露在商家眼前。在SSLSSL交易中，交易中，有利的一方是商家而不是客户，客户仍有安全性的顾虑。有利的一方是商家而不是客户，客户仍有安全性的顾虑。SET SET协议是用于解决客户、商家和银行之间通过信用卡协议是用于解决客户、商家和银行之间通过信用卡支付的交易安全，支付的交易安全，SETSET协议保证了支付信息的保密性、完协议保证了支付信息的保密性、完整性和不可否认性，整性和不可否认性，SETSET协议提供了客户、商家和银行之协议提供了客户、商家和银行之间的身份认证，而且交易信息和客户信用卡信息相互隔离，间的身份认证，而且交易信息和客户信用卡信息相互隔离，即商家只能获得订单信息，银行只能获得持卡人信用卡的即商家只能获得订单信息，银行只能获得持卡人信用卡的支付信息，双方各取所得，互不干扰，构成了支付信息，双方各取所得，互不干扰，构成了SETSET协议的协议的主要特色。主要特色。1)SET为商家提供保护手段，使得商家免受欺诈的困扰；为商家提供保护手段，使得商家免受欺诈的困扰；2)对消费者而言，对消费者而言，SET保证了商家的合法性，并且用户的保证了商家的合法性，并且用户的信用卡号不会被窃取，信用卡号不会被窃取，SET为消费者保守了更多的秘密，为消费者保守了更多的秘密，从而使消费者在线购物时更加轻松；从而使消费者在线购物时更加轻松；3)银行和发卡机构以及各种信用卡组织推荐银行和发卡机构以及各种信用卡组织推荐SET，因为，因为SET帮助他们将业务扩展到帮助他们将业务扩展到Internet这个广阔的空间，从这个广阔的空间，从而减少信用卡网上支付的欺骗概率，这使得它比其他的而减少信用卡网上支付的欺骗概率，这使得它比其他的支付方式具有更大的竞争优势；支付方式具有更大的竞争优势；SET协议比较完善和严谨，但是负面效果是造成协议过于协议比较完善和严谨，但是负面效果是造成协议过于复杂，开发和使用都比较麻烦，造成运行速度较慢。复杂，开发和使用都比较麻烦，造成运行速度较慢。v公钥基础设施公钥基础设施(PKI)是一种以公钥加密技术为基是一种以公钥加密技术为基础技术手段实现电子交易安全的技术。础技术手段实现电子交易安全的技术。PKI是由是由加拿大的加拿大的Entrust公司开发的，支持公司开发的，支持SET协议、协议、SSL协议、电子证书和数字签名等。协议、电子证书和数字签名等。1认证机关认证机关 2 证书厍证书厍 3 密钥备份及恢复系统密钥备份及恢复系统4证书作废处理系统证书作废处理系统 5PKI应用接口系统应用接口系统 1证书与证书与CA2密钥备份及恢复密钥备份及恢复3证书、密钥对的自动更换证书、密钥对的自动更换 4交叉签证交叉签证5加密密钥和签字密钥的分隔加密密钥和签字密钥的分隔6支持对数字签字的不可抵赖支持对数字签字的不可抵赖7密钥历史的管理密钥历史的管理1 透明性和易用性透明性和易用性2 可扩展性可扩展性3 可操作性强可操作性强4 支持多应用支持多应用5 支持多平台支持多平台 v本章首先论述了现在电子商务所面临的安全问题及电子商务本章首先论述了现在电子商务所面临的安全问题及电子商务的安全需求，在此基础分别就网络安全技术和交易安全技术的安全需求，在此基础分别就网络安全技术和交易安全技术分别做了详细的阐述。分别做了详细的阐述。v 在网络安全方面，我们着重介绍了常用的网络安全技术：病在网络安全方面，我们着重介绍了常用的网络安全技术：病毒防范技术、身份识别技术、防火墙技术及虚拟专用网技术。毒防范技术、身份识别技术、防火墙技术及虚拟专用网技术。v 在交易安全方面，现阶段所用的安全技术主要有加密算法、在交易安全方面，现阶段所用的安全技术主要有加密算法、认证技术、安全认证协议、公钥基础设施（认证技术、安全认证协议、公钥基础设施（PKI）。如数字。如数字摘要、数字信封、数字时间戳、数字证书等；当前的加密方摘要、数字信封、数字时间戳、数字证书等；当前的加密方法主要有对称加密与非对称加密两种方式。两种常用的交易法主要有对称加密与非对称加密两种方式。两种常用的交易协议协议SSL和和SET，分析了协议的工作原理及优缺点。，分析了协议的工作原理及优缺点。1.电子商务目前面临什么样的安全问题电子商务目前面临什么样的安全问题?2.简述电子商务的安全架构。简述电子商务的安全架构。3.简述网络安全的内容。简述网络安全的内容。4.计算机网络安全的威胁是什么计算机网络安全的威胁是什么?这些威胁的来源有哪些这些威胁的来源有哪些?5.什么是计算机病毒什么是计算机病毒,它有什么特点它有什么特点?6.常用的身份识别技术有哪些常用的身份识别技术有哪些?7.什么是防火墙什么是防火墙,设计防火墙有些什么准则设计防火墙有些什么准则,防火墙具体实现防火墙具体实现有哪几种方式有哪几种方式?8.简述交易安全中的加密算法、简述交易安全中的加密算法、CA认证、安全协议。认证、安全协议。9.9.简述简述PKI的功能。的功能。演讲完毕，谢谢观看！