7电子商务安全技术-课件

石家庄铁道学院 经济管理分院电子商务安全技术E-commerce Security Technology石家庄铁道学院 经济管理分院 商务信息系本章主要内容：本章主要内容：电子商务安全概述电子商务安全概述网络安全技术技术网络安全技术技术交易安全技术交易安全技术精品资料石家庄铁道学院 经济管理分院 商务信息系你怎么称呼老师？如果老师最后没有总结一节课的重点的难点，你是否会认为老师的教学方法需要改进？你所经历的课堂，是讲座式还是讨论式？教师的教鞭“不怕太阳晒，也不怕那风雨狂，只怕先生骂我笨，没有学问无颜见爹娘”“太阳当空照，花儿对我笑，小鸟说早早早”石家庄铁道学院 经济管理分院 商务信息系7.1 电子商务安全概述一、一、电子商务所面临的安全问题电子商务所面临的安全问题 1.1.信息的截获和窃取信息的截获和窃取2.2.信息的篡改信息的篡改3.3.信息假冒信息假冒4.4.交易抵赖交易抵赖石家庄铁道学院 经济管理分院 商务信息系7.1 电子商务安全概述二、电子商务安全需求二、电子商务安全需求机密性（机密性（confidentialityconfidentiality）完整性完整性(integrity)(integrity)认证性认证性(authenticity)(authenticity)不可抵赖性不可抵赖性(accountability)(accountability)有效性有效性(validity)(validity)石家庄铁道学院 经济管理分院 商务信息系电子商务安全构架7.1 电子商务安全概述石家庄铁道学院 经济管理分院 商务信息系7.2 计算机网络安全技术计算机网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。目前，常用的计算机网络安全技术主要有病毒防范技术、身份认证技术、防火墙技术和虚拟专用网VPN技术石家庄铁道学院 经济管理分院 商务信息系一病毒防范技术为了防范病毒，可以采用以下的措施：（1）安装防病毒软件，加强内部网的整体防病毒措施；（2）加强数据备份和恢复措施；（3）对敏感的设备和数据要建立必要的物理或逻辑隔离措施等。网络病毒防治必须考虑安装病毒防治软件。安装的病毒防治软件应具备四个特性：（1）集成性。（2）单点管理。（3）自动化。（4）多层分布石家庄铁道学院 经济管理分院 商务信息系二身份识别技术口令口令标记方法标记方法生物特征法生物特征法石家庄铁道学院 经济管理分院 商务信息系安全级别安全级别石家庄铁道学院 经济管理分院 商务信息系石家庄铁道学院 经济管理分院 商务信息系校园一卡通校园一卡通石家庄铁道学院 经济管理分院 商务信息系石家庄铁道学院 经济管理分院 商务信息系三防火墙技术v1.1.基本概念基本概念防火墙是一种将内部网和公众网如防火墙是一种将内部网和公众网如Internet分开的方法。它能限分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。络和信息安全的基础设施。石家庄铁道学院 经济管理分院 商务信息系 防火墙示意图防火墙示意图石家庄铁道学院 经济管理分院 商务信息系2.设计防火墙的准则一切未被允许的就是禁止的一切未被允许的就是禁止的 防防火火墙墙应应封封锁锁所所有有信信息息流流，然然后后对对希希望望提提供供的的服服务务逐逐项项开开放放。这这种种方方法法可可以以创创造造十十分分安安全全的的环环境境，但但用用户户使使用用的的方方便便性性、服服务务范围受到限制。范围受到限制。一切未被禁止的就是允许的一切未被禁止的就是允许的 防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方防火墙转发所有信息流，然后逐项屏蔽有害的服务。这种方法构成了更为灵活的应用环境，可为用户提供更多的服务。但在法构成了更为灵活的应用环境，可为用户提供更多的服务。但在日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可日益增多的网络服务面前，网管人员的疲于奔命可能很难提供可靠的安全防护。靠的安全防护。石家庄铁道学院 经济管理分院 商务信息系v3.3.防火墙的功能防火墙的功能保保护护数数据据的的完完整整性性。可可依依靠靠设设定定用用户户的的权权限限和和文文件件保保护护来来控控制制用用户户访访问问敏敏感感性性信信息息，可可以以限限制制一一个个特特定用户能够访问信息的数量和种类；定用户能够访问信息的数量和种类；保保护护网网络络的的有有效效性性。有有效效性性是是指指一一个个合合法法用用户户如如何何快速、简便地访问网络的资源；快速、简便地访问网络的资源；保护数据的机密性。加密敏感数据。保护数据的机密性。加密敏感数据。石家庄铁道学院 经济管理分院 商务信息系三、防火墙技术三、防火墙技术4.防火墙的实现技术防火墙系统的实现技术主要分为：分组过滤（PacketFilter）代理服务（ProxyService）目前，比较完善的防火墙系统通常结合使用两种技术。代理服务可以大大降低分组过滤规则的复杂度，是分组过滤技术的重要补充。石家庄铁道学院 经济管理分院 商务信息系分组过滤分组过滤 分组过滤技术是一种简单、有效的安全控制技术，它通过在网络间分组过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包进出内部网络。代理服务代理服务 代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。代理服务是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言，间的通信将通过代理程序将相应连接映射来实现。对于用户而言，似乎是直接与外部网络相连的。似乎是直接与外部网络相连的。石家庄铁道学院 经济管理分院 商务信息系四虚拟专用网技术（Virtual Private Network，VPN）虚虚拟拟专专用用网网是是用用于于Internet电电子子交交易易的的一一种种专专用用网网络络，它它可可以以在在两两个个系系统统之之间间建建立立安安全全的的通通道，非常适合于电子数据交换（道，非常适合于电子数据交换（EDI）。）。石家庄铁道学院 经济管理分院 商务信息系 在在虚虚拟拟专专用用网网中中交交易易双双方方比比较较熟熟悉悉，而而且且彼彼此此之之间间的的数数据据通通信信量量很很大大。只只要要交交易易双双方方取取得得一一致致，在在虚虚拟拟专专用用网网中中就就可可以以使使用用比比较较复复杂杂的的专专用用加加密密和和认认证证技技术术，这这样样就就可可以以大大大大提提高高电电子子商商务务的的安安全全性性。VPN可可以以支支持持数数据据、语语音音及及图图像像业业务务，其其优优点点是是经经济济、便便于于管管理理、方方便便快快捷捷地地适适应应变变化化，但但也也存存在在安安全性低，容易受到攻击等问题。全性低，容易受到攻击等问题。石家庄铁道学院 经济管理分院 商务信息系一、一、加密技术加密技术 数据加密技术从技术上的实现分为在软件和硬件数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。技术这四种。在网络应用中一般采取两种加密形式：对称密钥在网络应用中一般采取两种加密形式：对称密钥和公开密钥，采用何处加密算法则要结合具体应用和公开密钥，采用何处加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出环境和系统，而不能简单地根据其加密强度来作出判断。判断。7.3 交易安全技术交易安全技术石家庄铁道学院 经济管理分院 商务信息系1对称密钥加密体制对称密钥加密体制 对对称称密密钥钥加加密密，又又称称私私钥钥加加密密，即即信信息息的的发发送送方方和和接接收收方方用用一一个个密密钥钥去去加加密密和和解解密密数数据据。对对称称加加密密技技术术的的最最大大优优势势是是加加/解解密密速速度度快快，适适合合于于对对大大数数据据量量进进行行加加密，但密钥管理困难。密，但密钥管理困难。2非对称密钥加密体制非对称密钥加密体制 非非对对称称密密钥钥加加密密系系统统，又又称称公公钥钥密密钥钥加加密密，它它需需要要使使用用一一对对密密钥钥来来分分别别完完成成加加密密和和解解密密操操作作，一一个个公公开开发发布布，称称为为公公开开密密钥钥（Public-Key）；另另一一个个由由用用户户自自己己秘秘密密保保存存，称称为为私私有有密密钥钥（Private-Key）。信信息息发发送送者者用用公公开开密密钥钥去去加加密密，而而信信息息接接收收者者则则用用私私有有密密钥钥去去解解密密。公公钥钥机机制制灵灵活活，但但加加密密和和解解密密速速度度却却比比对对称称密密钥钥加加密慢得多。密慢得多。石家庄铁道学院 经济管理分院 商务信息系 例：如果明文m为“important”，则密文C则 为“HDLKOQBFQ”。石家庄铁道学院 经济管理分院 商务信息系对称与非对称加密体制对比石家庄铁道学院 经济管理分院 商务信息系二、认证技术v 信息认证的目的信息认证的目的（1）确认信息的发送者的身份；）确认信息的发送者的身份；（2）验验证证信信息息的的完完整整性性，即即确确认认信信息息在在传传送送或或存存储储过过程程中未被篡改过。中未被篡改过。v常用的安全认证技术常用的安全认证技术v1.1.数字摘要数字摘要 数数字字摘摘要要是是采采用用单单向向Hash函函数数对对文文件件中中若若干干重重要要元元素素进进行行某某种种变变换换运运算算得得到到固固定定长长度度的的摘摘要要码码（数数字字指指纹纹Finger Print），并并在在传传输输信信息息时时将将之之加加入入文文件件一一同同送送给给接接收收方方，接接收收方方收收到到文文件件后后，用用相相同同的的方方法法进进行行变变换换运运算算，若若得得到到的的结结果果与与发发送送来来的的摘摘要要码码相相同同，则则可可断断定定文文件件未未被被篡篡改改，反之亦然。反之亦然。石家庄铁道学院 经济管理分院 商务信息系2.数字信封数字信封 数字信封是用加密技术来保证只有数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用开数字信封，得到对称密钥，然后使用对称密钥解开信息。对称密钥解开信息。hi.3.3.数字签名数字签名v数字签名就是信息发送者先给自己将要发送的数字签名就是信息发送者先给自己将要发送的正文内容做一个消息摘要，然后用自己的私钥正文内容做一个消息摘要，然后用自己的私钥给这个数字摘要加密，这个加密以后的数字摘给这个数字摘要加密，这个加密以后的数字摘要就是数字签名。要就是数字签名。v接接收收者者收收到到传传递递的的正正文文以以后后，再再计计算算一一次次数数字字摘摘要要，同同时时用用发发送送者者的的公公钥钥打打开开传传来来的的加加密密数数字字摘摘要要，两两者者进进行行对对比比，如如果果两两个个数数字字摘摘要要相相同，则可以肯定收到的是发送者的原件。同，则可以肯定收到的是发送者的原件。v因因为为用用公公钥钥打打开开的的数数字字摘摘要要只只有有用用发发送送者者自自己己私私钥钥才才能能生生成成，就就好好象象发发送送者者自自己己在在文文本本上上签签过字一样，所以把它称作过字一样，所以把它称作数字签名数字签名。石家庄铁道学院 经济管理分院 商务信息系数字签名原理示意图hi.4.数字时间戳数字时间戳v在各种政务和商务文件中，时间是十分重要的信息。在在各种政务和商务文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。的防止文件被伪造和篡改的关键性内容。v在电子文件中，同样需对文件的日期和时间信息采取安在电子文件中，同样需对文件的日期和时间信息采取安全措施，而数字时间戳服务（全措施，而数字时间戳服务（DTS：digital time-stamp service）就能提供电子文件发表时间的安全保）就能提供电子文件发表时间的安全保护。护。v数字时间戳服务（数字时间戳服务（DTS）是网上安全服务项目，由专门）是网上安全服务项目，由专门的机构提供。时间戳的机构提供。时间戳(time-stamp)是一个经加密后形成是一个经加密后形成的凭证文档，它包括三个部分：的凭证文档，它包括三个部分：需加时间戳的文件的摘要需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；收到文件的日期和时间；DTS的数字签名。的数字签名。石家庄铁道学院 经济管理分院 商务信息系5.数字证书对数字签名和公开密钥加密技术来说，都会面临公开密钥的分发问题，即如何把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。所以，必须有一项技术来解决公钥与合法拥有者身份的绑定问题。假设由一个人自称某一个公钥是自己的，必须有一定的措施和技术来对其进行验证。数字证书是解决这一问题的有效方法。它通常是一个签名文档，标记特定对象的公开密钥。电子证书由一个认证中心（CA）签发，认证中心类似于现实生活中公证人的角色，它具有权威性，是一个普遍可信的第三方。当通信双方都信任同一个CA时，两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。在网上电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心。石家庄铁道学院 经济管理分院 商务信息系v6.6.安全认证机构安全认证机构v 电子商务授权机构（电子商务授权机构（CA），也称为电子商务认），也称为电子商务认证中心（证中心（Certificate Authority），是承担网上安全电），是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。份的服务机构。v CA的四大职能：的四大职能：证书发放证书发放证书更新证书更新证书撤销证书撤销证书验证证书验证石家庄铁道学院 经济管理分院 商务信息系7.3.3 安全认证协议1安全套接层（安全套接层（SSL）协议）协议 安全套接层协议是由安全套接层协议是由Netscape公司公司1994年设计开发的安全协年设计开发的安全协议，主要用于提高应用程序之间的数据的安全系数。议，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被概括为：它是一个保证任何安装协议的整个概念可以被概括为：它是一个保证任何安装了安全套接层的客户和服务器间事务安全的协议，该协议向基于了安全套接层的客户和服务器间事务安全的协议，该协议向基于TCP/IP的客户的客户/服务器应用程序提供了客户端和服务器的鉴别、数服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。目的是为用户提供据完整性及信息机密性等安全措施。目的是为用户提供Internet和企业内联网的安全通信服务。和企业内联网的安全通信服务。石家庄铁道学院 经济管理分院 商务信息系SSL协议提供的服务协议提供的服务SSL安全协议主要提供三方面的服务：（1）认证用户和服务器，使得它们能够确信数据将被发送到正确的客户机和服务器上；（2）加密数据以隐藏被传送的数据；（3）维护数据的完整性，确保数据在传输过程中不被改变。石家庄铁道学院 经济管理分院 商务信息系1.1.建立连接阶段：客户通过网络向服务商打招呼，服务商回应；建立连接阶段：客户通过网络向服务商打招呼，服务商回应；2.2.交换密码阶段：客户与服务商之间交换双方认可的密码；交换密码阶段：客户与服务商之间交换双方认可的密码；3.3.会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密码；会谈密码阶段：客户与服务商之间产生彼此交谈的会谈密码；4.4.检验阶段：检验服务商取得的密码；检验阶段：检验服务商取得的密码；5.5.客户认证阶段：验证客户的可信度；客户认证阶段：验证客户的可信度；6.6.结束阶段：客户与服务商之间相互交换结束信息。结束阶段：客户与服务商之间相互交换结束信息。当上述动作完成之后，两者之间的资料传输就以对方公钥进行加密后再传输，另一方收到资料后以私钥解密。即使盗窃者在网上取得加密的资料，如果没有解密密钥，也无法看到可读的资料。客客户户商商家家银银行行SSL协议的运行过程石家庄铁道学院 经济管理分院 商务信息系SSL协议的应用协议的应用SSL安全协议是国际上最早应用于电子商务的一种网络安全协议，至今仍然有许多网上商店在使用。SSL协议运行的基点是商家对客户信息保密的承诺。在商务过程中，客户首先寻找商品信息，然后汇款给商家，商家再把商品寄给客户。这里，商家是可以信赖的，所以客户须先付款给商家。客户的信息首先传到商家，因此整个过程中缺少了客户对商家的认证，这有利于商家而不利于客户。在电子商务的开始阶段，由于参与电子商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着电子商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。其次，SSL只能保证资料传递过程的安全，而传递过程是否有人截取就无法保证了。所以，SSL并没有实现电子支付所要求的保密性、完整性，而且多方互相认证也是很困难的。SSL协议逐渐被新的SET协议所取代。石家庄铁道学院 经济管理分院 商务信息系补充：补充：SSL整体结构概览整体结构概览SSL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：|HTTP|SSL|TCP|IP|如果利用SSL协议来访问网页，其步骤如下：用户：在浏览器的地址栏里输入HTTP层：将用户需求翻译成HTTP请求，如GET/index.htm HTTP/1.1Host SSL层:借助下层协议的的信道安全的协商出一份加密密钥，并用此密钥来加密HTTP请求。TCP层：与web server的443端口建立连接，传递SSL处理后的数据。接收端与此过程相反。SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。石家庄铁道学院 经济管理分院 商务信息系2安全电子交易（安全电子交易（SET）协议）协议 安全电子交易是一个通过开放网络（包安全电子交易是一个通过开放网络（包Internet）进行安全资金支）进行安全资金支付的技术标准，由付的技术标准，由VISA和和MasterCard组织共同制定，组织共同制定，1997年年5月联合推出。月联合推出。SET协议的主要目标：协议的主要目标：（1）信息在）信息在Internet上安全传输，保证网上传输的数据不被黑客上安全传输，保证网上传输的数据不被黑客窃取；窃取；（2）订单信息和个人账号信息的隔离；）订单信息和个人账号信息的隔离；（3）持卡人和商家相互认证；）持卡人和商家相互认证；（4）要求软件遵循相同协议和报文格式。）要求软件遵循相同协议和报文格式。（系统兼容、跨平台）（系统兼容、跨平台）石家庄铁道学院 经济管理分院 商务信息系SET协议涉及的对象协议涉及的对象SET协议规范所涉及的对象有：（1）消费者，包括个人消费者和团体消费者，按照在线商店的要求填写定货单，通过由发卡银行发行的信用卡进行付款；（2）在线商店，提供商品或服务，具备相应电子货币使用的条件；（3）收单银行，通过支付网关处理消费者和在线商店之间的交易付款问题；（4）电子货币（如智能卡、电子现金、电子钱包）的发行公司，以及某些兼有电子货币发行的银行，负责处理智能卡的审核和支付工作；（5）认证中心（CA），负责对交易双方的身份确认，对厂商的信誉度和消费者的支付手段进行认证。石家庄铁道学院 经济管理分院 商务信息系SET协议的流程协议的流程一个完整的SET处理流程如下：（1）支付初始化请求和响应阶段（2）支付请求阶段（3）授权请求阶段（4）授权响应阶段（5）支付响应阶段在上述的处理过程中，通信协议、请求信息的格式、数据类型的定义等，SET都有明确的规定。在操作的每一步，持卡人、商家和支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。石家庄铁道学院 经济管理分院 商务信息系SSL Vs.SET我们不难看出SSL协议和SET协议在网络各层位置和功能并不相同。SSL是基于传输层的通用安全协议，它只占电子商务体系中一部分，可以看作其中由于传输的那部分技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。而SET协议位于应用层，它对网络上其他各层也有所涉及。SET中规范了整个商务的活动流程，从信用卡持卡人到商家，到支付网关，到认证中心及信用卡结算中心之间的信息流向及必须参与的加密，认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。石家庄铁道学院 经济管理分院 商务信息系7.3.4 公钥基础设施公钥基础设施PKIPKI（Public Key InfrastructurePublic Key Infrastructure，公钥基础设施），公钥基础设施）是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。PKI（PublicKeyInfrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKIPKI是由加拿大的是由加拿大的EntrustEntrust公司开发的，支持公司开发的，支持SETSET协议、协议、SSLSSL协议、协议、电子证书和数字签名等。电子证书和数字签名等。PKIPKI遵循标准的密钥管理平台，它能够为遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必须所有网络应用透明地提供采用加密和数字签名等密码服务所必须的密钥和证书管理。的密钥和证书管理。一个机构通过采用一个机构通过采用PKIPKI框架管理密钥和证书可以建立一个安全的网框架管理密钥和证书可以建立一个安全的网络环境。络环境。石家庄铁道学院 经济管理分院 商务信息系PKI的功能的功能一个PKI应用系统至少应具有以下功能：（1）公钥密码证书管理；（2）黑名单的发布和管理；（3）密钥的备份和恢复；（4）自动更新密钥；（5）自动管理历史密钥；（6）支持交叉认证。石家庄铁道学院 经济管理分院 商务信息系PKI的组成:v 1.1.认证机构（认证机构（CACA）v 2.2.证书库证书库v 3.3.密钥生成和管理系统密钥生成和管理系统v 4.4.证书管理系统证书管理系统v 5.PKI应用接口系统应用接口系统石家庄铁道学院 经济管理分院 商务信息系PKI的优点的优点（1）透明性和易用性。PKI可以向上层应用屏蔽密码服务的实现细节。向上屏蔽复杂性的安全解决方案，使密码服务对用户而言简单易用，同时便于单位、企业完全控制其信息资源。（2）可扩展性。PKI的证书库等具有良好的可扩展性。（3）可操作性强。PKI建立在标准之上，这些标准包括加密标准、数字签名标准、密钥管理标准，证书格式、文件信封格式、SSL、SET协议等。（4）支持多应用。PKI能面向广泛的网络应用，提供文件传送安全、文件存储安全、电子邮件安全、电子表单安全、Web应用安全等保护。（5）支持多平台：PKI应用接口系统是跨平台的，可以支持目前广泛使用的操作系统平台。石家庄铁道学院 经济管理分院 商务信息系PKI的应用的应用虚拟专用网络(VPN)安全电子邮件Web安全电子商务的应用石家庄铁道学院 经济管理分院 商务信息系本 章 小 结首首先先就就电电子子商商务务所所面面临临的的安安全全问问题题及及电电子子商商务务的的安安全全需需求求，分分别别就就网络安全技术和交易安全技术分别做详细阐述。网络安全技术和交易安全技术分别做详细阐述。在在网网络络安安全全方方面面，着着重重介介绍绍常常用用的的网网络络安安全全技技术术：病病毒毒防防范范技技术术、身份识别技术、防火墙技术及虚拟专用网技术。身份识别技术、防火墙技术及虚拟专用网技术。在在交交易易安安全全方方面面，首首先先介介绍绍加加密密算算法法和和常常用用的的认认证证技技术术，如如数数字字摘摘要要、数数字字证证书书等等，同同时时就就公公钥钥基基础础设设施施PKI做做了了一一定定介介绍绍。最最后后重重点点讨讨论论两两种种常常用用的的交交易易协协议议SSL和和SET，分分析析协协议议的的工工作作原原理理及及优优缺缺点。点。