電子商務(wù)基礎(chǔ)項(xiàng)目七審視電子商務(wù)安全目錄CONTANTS模塊一電子商務(wù)安全問(wèn)題模塊二電子商務(wù)安全技術(shù)模塊三電子商務(wù)安全協(xié)議項(xiàng)目七審視電子商務(wù)安全電子商務(wù)基礎(chǔ)信息技術(shù)的飛速發(fā)展不僅給人們的生活帶來(lái)了極大的便利，還促進(jìn)了社會(huì)經(jīng)濟(jì)的不斷發(fā)展。同時(shí)，網(wǎng)絡(luò)犯罪也給人們帶來(lái)了各種信息安全危機(jī)。2017年，“永恒之藍(lán)”蠕蟲(chóng)勒索病毒肆虐全球，百余個(gè)國(guó)家的近千家企業(yè)及公共組織遭到攻擊，經(jīng)濟(jì)損失不可估量。學(xué)習(xí)目標(biāo)了解電子商務(wù)安全的隱患及需求掌握防火墻技術(shù)和防病毒技術(shù)認(rèn)知加密技術(shù)、認(rèn)證技術(shù)和數(shù)字簽名掌握SSL協(xié)議和SET協(xié)議的運(yùn)行原理項(xiàng)目七審視電子商務(wù)安全近年來(lái)，網(wǎng)上購(gòu)物成為人們購(gòu)物的重要選擇之一，但隨之而來(lái)的是大規(guī)模的網(wǎng)購(gòu)詐騙事件。據(jù)相關(guān)數(shù)據(jù)顯示，某年“雙十二”當(dāng)天，僅釣魚(yú)網(wǎng)站攔截?cái)?shù)量相較于前一日的增比就超過(guò)了100%。當(dāng)前，在網(wǎng)絡(luò)購(gòu)物中，通過(guò)非法渠道獲取網(wǎng)友敏感信息，以訂單異常、釣魚(yú)網(wǎng)站進(jìn)行作案已成為不法分子的慣用手段。2016年6月，安徽省安慶市公安局公布了一起網(wǎng)購(gòu)詐騙警情：宿松縣孚玉鎮(zhèn)居民胡某在淘寶網(wǎng)上的一家網(wǎng)店訂購(gòu)了一件商品。次日16時(shí)許，胡某接到一個(gè)陌生手機(jī)號(hào)碼的電話(huà)，對(duì)方宣稱(chēng)是電商平臺(tái)客服人員，告知其購(gòu)買(mǎi)的商品沒(méi)貨，需要辦理退款，讓其進(jìn)入一個(gè)網(wǎng)站鏈接退款。隨后，胡某按照對(duì)方提示訪問(wèn)該網(wǎng)站，并將自己的銀行卡號(hào)、身份證號(hào)等信息填寫(xiě)在網(wǎng)站提供的表格內(nèi)，最終胡某銀行卡內(nèi)的錢(qián)被劃走51915元。據(jù)警方介紹，受害人胡某登錄的購(gòu)物網(wǎng)站是網(wǎng)絡(luò)詐騙分子設(shè)立的木馬網(wǎng)站，詐騙分子利用通過(guò)木馬網(wǎng)站獲取的信息和受害人發(fā)送的驗(yàn)證碼，通過(guò)網(wǎng)上轉(zhuǎn)賬的方式盜取受害人卡內(nèi)存款。項(xiàng)目導(dǎo)入1模塊一：電子商務(wù)安全問(wèn)題電子商務(wù)安全問(wèn)題電子商務(wù)的安全隱患網(wǎng)絡(luò)的全球性、開(kāi)放性、無(wú)縫連通性、共享性和動(dòng)態(tài)性的發(fā)展，使得任何人都能自由地進(jìn)入互聯(lián)網(wǎng)，但這給信息及傳輸?shù)陌踩詭?lái)極大威脅。電子商務(wù)安全不僅包括狹義上的網(wǎng)絡(luò)安全，如防病毒、防黑客、入侵檢測(cè)等，還包括廣義上的信息的完整性及交易雙方身份的不可抵賴(lài)性。因此，電子商務(wù)安全的涵蓋面比一般的網(wǎng)絡(luò)安全更加廣泛。從整體上看，電子商務(wù)安全包括計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。一、電子商務(wù)安全隱患電子商務(wù)安全問(wèn)題攻擊者在熟悉了網(wǎng)絡(luò)信息格式后，通過(guò)各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行中途修改并發(fā)往目的地，從而破壞信息的完整性。在電子商務(wù)中，篡改信息主要是篡改信息內(nèi)容，如資金數(shù)量、貨物數(shù)量和送貨地址等。隱患1信息的篡改一、電子商務(wù)安全隱患攻擊者在掌握網(wǎng)絡(luò)數(shù)據(jù)規(guī)律或解密商務(wù)信息后，就能假冒合法用戶(hù)或發(fā)送假冒信息來(lái)欺騙合法用戶(hù)，侵占合法用戶(hù)的資源。2信息的假冒電子商務(wù)安全問(wèn)題如果用戶(hù)沒(méi)有采用加密措施或加密強(qiáng)度不夠，攻擊者就可能獲取傳輸?shù)臋C(jī)密信息，通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析推算出有用的信息。隱患3信息的截獲和竊取一、電子商務(wù)安全隱患攻擊者能夠采取各種手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中斷，使相關(guān)信息不發(fā)往目的地，破壞信息的正常傳輸，從而破壞交易的正常進(jìn)行。4信息的中斷交易抵賴(lài)包括多個(gè)方面，如發(fā)送者否認(rèn)自己曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容，接收者否認(rèn)自己曾經(jīng)收到過(guò)某條信息或內(nèi)容，消費(fèi)者下訂單后不承認(rèn)，商家賣(mài)出商品因出現(xiàn)價(jià)格差而不承認(rèn)之前的交易，等等。5交易抵賴(lài)電子商務(wù)安全問(wèn)題二、電子商務(wù)安全需求1.有效性電子商務(wù)采取無(wú)紙化的電子交易形式，因此保證電子交易信息的有效性是開(kāi)展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。需求電子商務(wù)安全問(wèn)題二、電子商務(wù)安全需求2.可靠性電子商務(wù)可能涉及貿(mào)易雙方的商業(yè)交易，確定要進(jìn)行交易的貿(mào)易方為進(jìn)行交易所期望的貿(mào)易方則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫(xiě)簽名和印章進(jìn)行貿(mào)易方鑒別的傳統(tǒng)方式被取代，因此要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。3.機(jī)密性電子商務(wù)作為貿(mào)易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。因電子商務(wù)是建立在一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境（如互聯(lián)網(wǎng)）中的，故維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。需求電子商務(wù)安全問(wèn)題二、電子商務(wù)安全需求4.完整性電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為干預(yù)，同時(shí)也產(chǎn)生了維護(hù)貿(mào)易各方商業(yè)信息完整、統(tǒng)一的問(wèn)題。數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為可能導(dǎo)致貿(mào)易各方信息的差異，因此要對(duì)信息的隨意生成、修改和刪除進(jìn)行預(yù)防，同時(shí)要防止數(shù)據(jù)在傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。5.交易者身份的真實(shí)性網(wǎng)絡(luò)的開(kāi)放性和電子商務(wù)交易系統(tǒng)的特殊性使企業(yè)或個(gè)人的交易通常都在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行，交易雙方一般相隔千里之外、素不相識(shí)，因此必須對(duì)個(gè)人或企業(yè)實(shí)體進(jìn)行身份確認(rèn)，防止交易雙方抵賴(lài)。需求電子商務(wù)安全問(wèn)題2017年3月，京東、騰訊協(xié)助公安部破獲了一起竊取和盜賣(mài)公民信息多達(dá)50億條的特大案件。其實(shí)，網(wǎng)絡(luò)用戶(hù)信息泄露的事件并不鮮見(jiàn)：雅虎2億用戶(hù)數(shù)據(jù)泄露、中國(guó)鐵路購(gòu)票網(wǎng)站12306漏洞危機(jī)、連鎖酒店多達(dá)2000萬(wàn)條客戶(hù)開(kāi)房信息遭泄露……在復(fù)雜的網(wǎng)絡(luò)化、信息化安全環(huán)境下，用戶(hù)個(gè)人信息泄露已成互聯(lián)網(wǎng)/電商行業(yè)的“頑疾”和難以言說(shuō)的痛，更凸顯了當(dāng)前網(wǎng)絡(luò)環(huán)境下每個(gè)人都在裸奔的恐懼和無(wú)奈?！靶姑堋笔录我灶l頻出現(xiàn)?電子商務(wù)投訴與維權(quán)公共服務(wù)平臺(tái)根據(jù)近年來(lái)接到的用戶(hù)投訴及監(jiān)測(cè)發(fā)現(xiàn)，不少大型互聯(lián)網(wǎng)公司、平臺(tái)公司存在重大內(nèi)部管理漏洞，其內(nèi)部人員故意泄露、販賣(mài)網(wǎng)站用戶(hù)個(gè)人信息資料，侵犯網(wǎng)絡(luò)交易用戶(hù)的信息隱私權(quán)。針對(duì)頻頻出現(xiàn)的電商信息泄露事件，中國(guó)電子商務(wù)研究中心特約研究員、遼寧亞太律師事務(wù)所律師董毅智認(rèn)為，按照現(xiàn)行法律，對(duì)于用戶(hù)信息泄露，企業(yè)需要承擔(dān)一定的賠償責(zé)任，因?yàn)槠髽I(yè)與用戶(hù)之間具備合同關(guān)系，有保障用戶(hù)信息安全的義務(wù)。知識(shí)鏈接專(zhuān)家：個(gè)人信息泄露幾乎是當(dāng)下電商行業(yè)通病電子商務(wù)安全問(wèn)題董毅智表示，按照美國(guó)的法律，企業(yè)發(fā)生一次信息泄露事件就可能被罰得傾家蕩產(chǎn)。我國(guó)法律對(duì)用戶(hù)隱私的侵權(quán)行為的約束力有限，用戶(hù)維權(quán)、尋求民事賠償勝訴率不高，對(duì)損失評(píng)估難以確定金額，想要對(duì)隱私泄露的責(zé)任人追究非常困難。董毅智說(shuō)：“雖然大規(guī)模信息泄露、數(shù)據(jù)安全事件頻出，但是從未見(jiàn)到企業(yè)負(fù)責(zé)人被問(wèn)責(zé)?！苯^大多數(shù)新型的網(wǎng)絡(luò)騙術(shù)都與個(gè)人信息的泄露有關(guān)，個(gè)人信息的非法交易恰恰是造成網(wǎng)絡(luò)詐騙犯罪泛濫的根本原因，卻屢禁不止。中國(guó)電子商務(wù)研究中心特約研究員、廣州金鵬律師事務(wù)所合伙人詹朝霞說(shuō)：“違法成本低，法律監(jiān)管缺失是‘泄密’事件再三出現(xiàn)的根源。”“信息安全無(wú)小事，用戶(hù)必須增強(qiáng)信息保護(hù)意識(shí)。”國(guó)內(nèi)知名網(wǎng)購(gòu)維權(quán)專(zhuān)家、中國(guó)電子商務(wù)研究中心法律與權(quán)益部助理分析師姚建芳說(shuō)，“互聯(lián)網(wǎng)信息泄露隱性風(fēng)險(xiǎn)重重，除了我們熟悉的購(gòu)物網(wǎng)站賬戶(hù)被盜、CDSN信息泄露外，日常的手機(jī)軟件下載、WiFi蹭網(wǎng)、手機(jī)支付等也存在一定的風(fēng)險(xiǎn)。”知識(shí)鏈接專(zhuān)家：個(gè)人信息泄露幾乎是當(dāng)下電商行業(yè)通病電子商務(wù)安全問(wèn)題中國(guó)電子商務(wù)研究中心此前對(duì)1000位用戶(hù)的在線(xiàn)調(diào)查顯示，56.8%的用戶(hù)表示對(duì)互聯(lián)網(wǎng)信息安全擔(dān)憂(yōu)，并對(duì)需要填寫(xiě)個(gè)人信息的互聯(lián)網(wǎng)游戲、注冊(cè)等留有一定的戒心;但仍有43.2%的用戶(hù)認(rèn)為互聯(lián)網(wǎng)信息泄露與個(gè)人無(wú)關(guān)，不太關(guān)注。中國(guó)電子商務(wù)研究中心主任曹磊表示，用戶(hù)信息泄露不是存在于個(gè)別幾家電商平臺(tái)，而是當(dāng)下電商行業(yè)的一大“通病”，要在購(gòu)物過(guò)程中避免信息泄露，則需消費(fèi)者、電商平臺(tái)和相關(guān)部門(mén)的共同努力。知識(shí)鏈接專(zhuān)家：個(gè)人信息泄露幾乎是當(dāng)下電商行業(yè)通病2模塊二：電子商務(wù)安全技術(shù)電子商務(wù)安全技術(shù)一、防火墻技術(shù)（一）防火墻的概念防火墻是指兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略（允許、拒絕和檢測(cè)）的一系列部件的組合，包括計(jì)算機(jī)硬件和計(jì)算機(jī)軟件。其目的是在安全的企業(yè)內(nèi)部網(wǎng)和不安全的外部互聯(lián)網(wǎng)之間構(gòu)筑一道防護(hù)屏障，保護(hù)網(wǎng)絡(luò)不受外部侵?jǐn)_。根據(jù)防火墻的定義與目標(biāo)，防火墻的應(yīng)用示意如圖7-1所示。圖7-1

防火墻的應(yīng)用示意防火墻是不同網(wǎng)絡(luò)之間信息的唯一出口，能根據(jù)企業(yè)網(wǎng)絡(luò)安全策略控制出入網(wǎng)絡(luò)的信息流且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的基礎(chǔ)設(shè)施。電子商務(wù)安全技術(shù)一、防火墻技術(shù)（二）防火墻的組成一般來(lái)說(shuō)，功能完整的防火墻包括過(guò)濾器（外部過(guò)濾器、內(nèi)部過(guò)濾器）和網(wǎng)關(guān)。防火墻的基本組成如圖7-2所示。圖7-2

防火墻的基本組成電子商務(wù)安全技術(shù)1.過(guò)濾器過(guò)濾器分為內(nèi)部過(guò)濾器和外部過(guò)濾器，用于阻斷某些類(lèi)型信息的通過(guò)。通常，外部過(guò)濾器用于保護(hù)網(wǎng)關(guān)免受來(lái)自互聯(lián)網(wǎng)的攻擊，內(nèi)部過(guò)濾器用于應(yīng)對(duì)網(wǎng)關(guān)遭受破壞后的情況。外部過(guò)濾器和內(nèi)部過(guò)濾器都可用于保護(hù)內(nèi)部網(wǎng)，防火墻會(huì)對(duì)內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間傳遞的每個(gè)數(shù)據(jù)組進(jìn)行干涉。2.網(wǎng)關(guān)網(wǎng)關(guān)提供中繼服務(wù)，以補(bǔ)償過(guò)濾器的影響，輔助過(guò)濾器控制業(yè)務(wù)信息流。網(wǎng)關(guān)往往是一臺(tái)或一組機(jī)器。一個(gè)暴露在外面的網(wǎng)關(guān)計(jì)算機(jī)通常稱(chēng)為“堡壘機(jī)”。組成一、防火墻技術(shù)電子商務(wù)安全技術(shù)（三）防火墻的功能防火墻是一種行之有效的網(wǎng)絡(luò)安全機(jī)制，其具有以下基本功能：（1）作為網(wǎng)絡(luò)安全的屏障。防火墻可通過(guò)過(guò)濾不安全的服務(wù)來(lái)降低風(fēng)險(xiǎn)，極大地提高內(nèi)部網(wǎng)絡(luò)的安全性。因只有經(jīng)過(guò)選擇并授權(quán)允許的應(yīng)用協(xié)議才能通過(guò)防火墻，故網(wǎng)絡(luò)環(huán)境變得更安全。（2）強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（口令、加密、身份認(rèn)證等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。一、防火墻技術(shù)電子商務(wù)安全技術(shù)（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控與審計(jì)。因所有的訪問(wèn)都必須經(jīng)過(guò)防火墻，故防火墻不僅能夠制作完整的日志記錄，還能夠提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。（4）防止內(nèi)部信息外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中重點(diǎn)網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門(mén)之間互相訪問(wèn)，保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。隨著互聯(lián)網(wǎng)基礎(chǔ)技術(shù)的發(fā)展，防火墻技術(shù)也在不斷更新，而作為互聯(lián)網(wǎng)的協(xié)議IP也面臨著巨大的變革。目前，人們正在設(shè)計(jì)新的IP協(xié)議；在將來(lái)，IP協(xié)議的變化必然對(duì)防火墻技術(shù)的發(fā)展產(chǎn)生深刻影響。一、防火墻技術(shù)電子商務(wù)安全技術(shù)1.病毒來(lái)源互聯(lián)網(wǎng)帶來(lái)了兩種不同的病毒威脅：一種威脅來(lái)自文件下載。一些被瀏覽的或通過(guò)FTP下載的文件中可能存在病毒。而共享軟件和各種可執(zhí)行的文件，如格式化的介紹性文件已經(jīng)成為病毒傳播的重要途徑。并且，在互聯(lián)網(wǎng)上還出現(xiàn)了以Java和ActiveX為形式的惡意小程序。另一種威脅來(lái)自電子郵件。大多數(shù)的電子郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。只要簡(jiǎn)單地敲敲鍵盤(pán)，郵件就可以被發(fā)給一個(gè)或一組收信人。因此，受病毒感染的文檔或文件就可能通過(guò)網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。技術(shù)二、防病毒技術(shù)電子商務(wù)安全技術(shù)2.病毒防治辦法針對(duì)網(wǎng)絡(luò)環(huán)境下病毒感染傳播的特點(diǎn)，上傳和下載的文件不帶有病毒對(duì)企業(yè)網(wǎng)絡(luò)是非常重要的，但到目前為止，解決網(wǎng)絡(luò)病毒的有效辦法仍是安裝防病毒軟件。性能良好的防病毒軟件能夠同時(shí)防殺單機(jī)病毒和網(wǎng)絡(luò)病毒，能夠識(shí)別病毒的種類(lèi)和性質(zhì)，并能夠判斷病毒的位置，能夠根據(jù)病毒的變化而不斷升級(jí)。原則上說(shuō)，網(wǎng)絡(luò)中任何存放文件和數(shù)據(jù)庫(kù)及有數(shù)據(jù)通過(guò)的地方都需要安裝防病毒軟件。技術(shù)二、防病毒技術(shù)電子商務(wù)安全技術(shù)總之，計(jì)算機(jī)病毒可以從以下五個(gè)方面進(jìn)行防范：（1）備份。對(duì)所有軟件（甚至操作系統(tǒng)）備份，并制定應(yīng)付突發(fā)情況的應(yīng)急方案。（2）預(yù)防。提高警惕性，實(shí)行安全制度，如使用正版軟件等。（3）檢測(cè)。使用殺病毒軟件進(jìn)行檢測(cè)、報(bào)告并殺死病毒。（4）隔離。確認(rèn)并隔離攜帶病毒的部位。（5）恢復(fù)。殺毒或清除被病毒感染的文件。技術(shù)二、防病毒技術(shù)電子商務(wù)安全技術(shù)在使用計(jì)算機(jī)的時(shí)候，我們?nèi)绾尾拍懿槐徊《厩趾δ?？?）開(kāi)啟計(jì)算機(jī)防火墻，并安裝系統(tǒng)安全防護(hù)軟件，如360衛(wèi)士。（2）不很熟悉計(jì)算機(jī)的人一定要安裝安全防護(hù)軟件。有的人總是抱怨自己的計(jì)算機(jī)運(yùn)行得慢，開(kāi)機(jī)時(shí)間長(zhǎng)，總出現(xiàn)卡頓的現(xiàn)象，其實(shí)計(jì)算機(jī)也是需要照顧的。因此，用戶(hù)需要經(jīng)常使用安全防護(hù)軟件對(duì)計(jì)算機(jī)進(jìn)行體檢，系統(tǒng)會(huì)提示用戶(hù)清理垃圾、更新補(bǔ)丁等。（3）養(yǎng)成良好的使用習(xí)慣，如不瀏覽不熟悉的網(wǎng)頁(yè)、危險(xiǎn)網(wǎng)頁(yè)，安裝軟件時(shí)注意是否存在惡意插件及安裝的根目錄，在使用U盤(pán)之前要查殺病毒，一周進(jìn)行一次全盤(pán)查殺，每隔幾天對(duì)計(jì)算機(jī)進(jìn)行一次體檢，這樣才能夠降低計(jì)算機(jī)的病毒感染率。知識(shí)鏈接預(yù)防計(jì)算機(jī)病毒的三個(gè)要點(diǎn)電子商務(wù)安全技術(shù)（一）加密技術(shù)的基本概念1.加密和解密數(shù)據(jù)加密是計(jì)算機(jī)安全的重要組成部分，口令是加密過(guò)的，文件也可以加密?？诹罴用苁欠乐刮募械拿艽a被他人偷看。文件加密主要應(yīng)用于互聯(lián)網(wǎng)上的文件傳輸，防止文件被他人看到或劫持?，F(xiàn)在，電子郵件給人們提供了一種快捷、便宜的通信方式，但電子郵件是不安全的，很容易被他人偷看或偽造。為了保證電子郵件的安全，人們采取了數(shù)字簽名的加密技術(shù)，這樣可以保證發(fā)言人就是郵件上聲稱(chēng)的人。數(shù)據(jù)加密也使互聯(lián)網(wǎng)上的電子商務(wù)成為可能。三、加密技術(shù)電子商務(wù)安全技術(shù)目前有兩類(lèi)不同的加密技術(shù)：一類(lèi)是對(duì)稱(chēng)加密，即雙方具有共享的密鑰，只有在雙方都知道密鑰的情況下才能使用，通常應(yīng)用于孤立的環(huán)境之中。另一類(lèi)是非對(duì)稱(chēng)加密，也稱(chēng)為公開(kāi)密鑰加密，密鑰是由公開(kāi)密鑰（publickey，簡(jiǎn)稱(chēng)公鑰）和私有密鑰（privatekey，簡(jiǎn)稱(chēng)私鑰）組成的密鑰對(duì)，私有密鑰用于加密，公開(kāi)密鑰用于解密。公開(kāi)密鑰無(wú)法推算出私有密鑰，因此公開(kāi)密鑰并不會(huì)危及私有密鑰的安全。公開(kāi)密鑰無(wú)須保密，可以公開(kāi)傳播；而私有密鑰必須保密，丟失時(shí)需要報(bào)告鑒定中心及數(shù)據(jù)庫(kù)。三、加密技術(shù)電子商務(wù)安全技術(shù)對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密的主要區(qū)別在于所使用的加密和解密的密碼是否相同。對(duì)稱(chēng)密鑰密碼技術(shù)要求加密和解密雙方擁有相同的密鑰；而非對(duì)稱(chēng)密鑰密碼技術(shù)是加密和解密雙方擁有不相同的密鑰，加密密鑰和解密密鑰在計(jì)算上是不能相互推算出來(lái)的。利用加密技術(shù)可以達(dá)到電子商務(wù)安全的需求，保證商務(wù)交易的機(jī)密性、完整性和真實(shí)性。三、加密技術(shù)電子商務(wù)安全技術(shù)2.算法和密鑰密碼算法（algorithm）也稱(chēng)為密碼（cipher），是用于加密和解密的數(shù)學(xué)函數(shù)。在通常情況下，密碼算法有兩個(gè)函數(shù)：一個(gè)用作加密，另一個(gè)用作解密。如果算法的保密性是基于保持算法的秘密，這種算法稱(chēng)為受限制的算法。受限制的算法具有歷史意義，但按現(xiàn)在的標(biāo)準(zhǔn)，它們的保密性已經(jīng)遠(yuǎn)遠(yuǎn)不夠。大的或經(jīng)常變換的用戶(hù)組織不能夠使用它們，因?yàn)槿绻粋€(gè)用戶(hù)離開(kāi)這個(gè)組織，其他用戶(hù)就必須更換新的算法。如果有人無(wú)意中暴露了這個(gè)秘密，所有人都必須改變他們的算法。三、加密技術(shù)電子商務(wù)安全技術(shù)現(xiàn)代密碼學(xué)用密鑰解決了算法問(wèn)題。密鑰（key）用K表示。K可以是很多數(shù)值里的任意值。密鑰K的可能值的范圍叫作密鑰空間。加密運(yùn)算和解密運(yùn)算都使用這個(gè)密鑰（運(yùn)算都依賴(lài)于密鑰），有些算法使用不同的加密密鑰和解密密鑰，也就是說(shuō)加密密鑰K1與相應(yīng)的解密密鑰K2不同。值得注意的是，所有算法的安全性都基于密鑰的安全性，而不是基于算法的細(xì)節(jié)安全性。這就意味著算法可以完全公開(kāi)，可以被分析，可以大量生產(chǎn)使用該算法的產(chǎn)品，即使偷竊者知道用戶(hù)的算法也沒(méi)關(guān)系。如果偷竊者不知道用戶(hù)使用的具體密鑰，就不可能閱讀用戶(hù)的消息。三、加密技術(shù)電子商務(wù)安全技術(shù)三、加密技術(shù)（二）加密技術(shù)方法的種類(lèi)1.對(duì)稱(chēng)密鑰加密體制對(duì)稱(chēng)密鑰加密體制采用了對(duì)稱(chēng)密碼編碼技術(shù)，它的特點(diǎn)是對(duì)文件的加密運(yùn)算和解密運(yùn)算使用相同的密鑰，即加密密鑰也可以用作解密密鑰。對(duì)稱(chēng)密鑰加密算法密鑰較短，使用起來(lái)簡(jiǎn)單而快捷，且破譯困難。對(duì)稱(chēng)密鑰加密體制也稱(chēng)為單鑰密碼體制、共享密鑰體制和私有密鑰體制等。除了數(shù)據(jù)加密標(biāo)準(zhǔn)（dataencryptionstandard,DES）外，另一個(gè)對(duì)稱(chēng)密鑰加密體制是國(guó)際數(shù)據(jù)加密算法（internationaldataencryptionalgorithm，IDEA），它的加密性更好，而且對(duì)計(jì)算機(jī)性能要求也高。IDEA加密標(biāo)準(zhǔn)由PGP（prettygoodprivacy）系統(tǒng)使用。對(duì)稱(chēng)式加密、解密過(guò)程如圖7-3所示。圖7-3

對(duì)稱(chēng)式加密、解密過(guò)程電子商務(wù)安全技術(shù)三、加密技術(shù)2.非對(duì)稱(chēng)密鑰加密體制1976年，美國(guó)學(xué)者威特菲爾德·迪菲（WhitfieldDiffie)和馬丁·赫爾曼（MartinHellman)為解決信息公開(kāi)傳送和密鑰管理問(wèn)題，提出一種新的密鑰交換協(xié)議，允許通信雙方在不安全的媒體上交換信息，安全地達(dá)成一致的密鑰，這就是公開(kāi)密鑰系統(tǒng)。相對(duì)于對(duì)稱(chēng)加密算法而言，該方法稱(chēng)為非對(duì)稱(chēng)加密算法。圖7-4

非對(duì)稱(chēng)式加密、解密過(guò)程與對(duì)稱(chēng)加密算法不同，非對(duì)稱(chēng)加密算法需要兩個(gè)密鑰，即公開(kāi)密鑰和私有密鑰。公開(kāi)密鑰與私有密鑰是一對(duì)，如果用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的私有密鑰才能解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開(kāi)密鑰才能解密。非對(duì)稱(chēng)密鑰加密體制也稱(chēng)公開(kāi)密鑰加密技術(shù)或雙鑰加密體制。非對(duì)稱(chēng)式加密、解密過(guò)程如圖7-4所示。電子商務(wù)安全技術(shù)防止信息被篡改、刪除、重放和偽造的有效解決方法是讓發(fā)送的信息有被驗(yàn)證的可能，使信息接收者或第三者能識(shí)別和確認(rèn)信息的真?zhèn)?。能夠?qū)崿F(xiàn)這項(xiàng)功能的保密系統(tǒng)稱(chēng)為認(rèn)證系統(tǒng)。信息的認(rèn)證和保密是不同的。保密性是使信息截獲者在不知密鑰的條件下不能解讀密文內(nèi)容；而認(rèn)證性是使任何不知密鑰的人不能構(gòu)造一個(gè)密文，使意定的接收者利用密鑰將密文解密成一種可理解的信息（合法信息）。認(rèn)證理論和技術(shù)在近年隨著計(jì)算機(jī)通信的普及應(yīng)用得到了迅速的發(fā)展，成為保密學(xué)研究的一個(gè)重要領(lǐng)域。四、認(rèn)證技術(shù)電子商務(wù)安全技術(shù)（一）身份認(rèn)證1.身份認(rèn)證的要求身份認(rèn)證是指判明和確認(rèn)貿(mào)易雙方的真實(shí)身份。認(rèn)證機(jī)構(gòu)或信息服務(wù)商的認(rèn)證具有以下要求：（1）完整性。完整性要求信息在傳輸過(guò)程中保持完整，即信息接收者能確認(rèn)所獲信息在傳輸過(guò)程中未被修改、延遲和替換。（2）可信性?？尚判砸笞C明信息的來(lái)源是可信的，使信息接收者能確認(rèn)獲取的信息確實(shí)是發(fā)送者發(fā)出的，而不是其他冒充者發(fā)出的。（3）不可抵賴(lài)性。不可抵賴(lài)性要求信息發(fā)送者與接收者都不能否認(rèn)所發(fā)出的信息和已收到的信息。（4）訪問(wèn)控制。訪問(wèn)控制是指拒絕非法用戶(hù)訪問(wèn)系統(tǒng)資源，合法用戶(hù)只能訪問(wèn)系統(tǒng)授權(quán)和指定的資源。四、認(rèn)證技術(shù)電子商務(wù)安全技術(shù)2.身份認(rèn)證的基本分類(lèi)身份認(rèn)證基本可分為身份證實(shí)和身份識(shí)別兩大類(lèi)。（1）身份證實(shí)。身份證實(shí)是指對(duì)個(gè)人身份進(jìn)行肯定或否定。身份證實(shí)的通常方法是將輸入的個(gè)人信息（經(jīng)公式和算法運(yùn)算所得的結(jié)果）與卡上或庫(kù)存中的信息（經(jīng)公式和算法運(yùn)算所得的結(jié)果）進(jìn)行比較，從而得出結(jié)論。（2）身份識(shí)別。身份識(shí)別的一般方法是輸入個(gè)人信息，經(jīng)處理后提取成模板信息，試著在存儲(chǔ)數(shù)據(jù)庫(kù)中搜尋出一個(gè)與之匹配的模板，而后得出結(jié)論，如確定某犯罪嫌疑人是否有前科的指紋檢驗(yàn)系統(tǒng)。身份識(shí)別比身份證實(shí)困難，這是顯而易見(jiàn)的。四、認(rèn)證技術(shù)電子商務(wù)安全技術(shù)（二）信息認(rèn)證四、認(rèn)證技術(shù)基于公鑰體制的信息認(rèn)證加入數(shù)字簽名的驗(yàn)證VS由于基于公鑰體制的算法速度很慢，因此其不太適合對(duì)文件加密，只適合對(duì)少量數(shù)據(jù)加密。在WindowsNT安全性體系結(jié)構(gòu)中，公開(kāi)密鑰系統(tǒng)主要用于私有密鑰的加密過(guò)程。每位用戶(hù)要對(duì)數(shù)據(jù)進(jìn)行加密，都需要生成一對(duì)自己的密鑰對(duì)（keypair）。密鑰對(duì)中的公開(kāi)密鑰和非對(duì)稱(chēng)加密、解密算法是公開(kāi)的，只有私有密鑰由密鑰的主人妥善保管。除對(duì)文件加密外，還需要采取另外的手段來(lái)防止他人破壞傳輸?shù)奈募?，以及確定發(fā)信人的身份。因此，要加入數(shù)字簽名及驗(yàn)證（verification）才能真正實(shí)現(xiàn)信息在公開(kāi)網(wǎng)絡(luò)上安全傳輸。電子商務(wù)安全技術(shù)（三）認(rèn)證機(jī)構(gòu)認(rèn)證在電子商務(wù)交易中，買(mǎi)賣(mài)雙方在進(jìn)行每筆交易時(shí)都要鑒別對(duì)方是否可信。例如，乙方收到了甲方發(fā)來(lái)的帶有甲方數(shù)字簽名的信息，這時(shí)乙方用甲方的公鑰解密，乙方要確定公鑰確實(shí)屬于甲方而不是其他冒充者的。最好的辦法是由第三方驗(yàn)證該公鑰并確定屬于甲方，這個(gè)第三方的驗(yàn)證者就稱(chēng)為認(rèn)證機(jī)構(gòu)。通過(guò)認(rèn)證機(jī)構(gòu)認(rèn)證買(mǎi)賣(mài)雙方的身份，是保證網(wǎng)絡(luò)交易安全的重要措施。認(rèn)證四、認(rèn)證技術(shù)電子商務(wù)安全技術(shù)1.數(shù)字證書(shū)數(shù)字證書(shū)是在Internet上用于建立人們身份和電子資產(chǎn)的數(shù)據(jù)文件。數(shù)字證書(shū)由被稱(chēng)為認(rèn)證中心（CA）的可信賴(lài)的第三方發(fā)放。CA認(rèn)證證書(shū)持有者的身份并“簽署”證書(shū)來(lái)證明證書(shū)不是偽造的或沒(méi)有以任何方式被篡改。2.認(rèn)證機(jī)構(gòu)在電子商務(wù)交易中，為了保證交易安全、公正，身份認(rèn)證等工作不是依靠交易雙方完成的，而是由第三方機(jī)構(gòu)完成的，如認(rèn)證中心。認(rèn)證中心是電子商務(wù)中的一個(gè)核心環(huán)節(jié)，在電子商務(wù)交易中承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶(hù)身份等工作，是具有權(quán)威性和公正性的第三方機(jī)構(gòu)。認(rèn)證中心的存在使網(wǎng)上交易和網(wǎng)上支付的實(shí)現(xiàn)有了安全保障。認(rèn)證四、認(rèn)證技術(shù)電子商務(wù)安全技術(shù)目前，有許多種技術(shù)保證信息的安全不受侵犯，如加密技術(shù)、訪問(wèn)控制技術(shù)、認(rèn)證技術(shù)及安全審計(jì)技術(shù)等，但這些技術(shù)主要用于預(yù)防；如果相關(guān)信息被黑客攻破，那么信息的完整性就會(huì)遭到破壞。為此，一種新興的用來(lái)保證信息完整性的安全技術(shù)得到應(yīng)用，這就是數(shù)字簽名技術(shù)。在數(shù)字簽名技術(shù)誕生之前，曾經(jīng)出現(xiàn)過(guò)一種“數(shù)字化簽名”技術(shù)。簡(jiǎn)單地說(shuō)，這項(xiàng)技術(shù)就是在手寫(xiě)板上簽名，然后將圖像傳輸?shù)诫娮游臋n中，但這種“數(shù)字化簽名”可以被剪切后粘貼到任意文檔上，這就使非法復(fù)制變得輕而易舉，因此這種簽名方式不夠安全。數(shù)字簽名技術(shù)與“數(shù)字化簽名”技術(shù)截然不同，數(shù)字簽名與用戶(hù)的姓名和手寫(xiě)簽名形式毫無(wú)關(guān)系，它實(shí)際使用了信息發(fā)送者的私有密鑰變換所需傳輸?shù)男畔ⅰ?duì)于不同的文檔信息，發(fā)送者的數(shù)字簽名是完全不同的。沒(méi)有私有密鑰，任何人都不能完成信息復(fù)制。從這個(gè)意義上說(shuō)，數(shù)字簽名是在通過(guò)一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理之后得出的，實(shí)際上是用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母、數(shù)字串。五、數(shù)字簽名電子商務(wù)安全技術(shù)在運(yùn)用數(shù)字簽名技術(shù)時(shí)，首先是發(fā)送者對(duì)信息施以數(shù)學(xué)變換，使所得的信息與原信息唯一對(duì)應(yīng)；然后接收者進(jìn)行逆變換，得到原始信息。只要數(shù)學(xué)變換方法優(yōu)良，變換后的信息在傳輸過(guò)程中就能被保證安全，信息就難以被破譯、篡改。采用數(shù)字簽名技術(shù)，能夠確認(rèn)以下兩點(diǎn)：（1）信息是由簽名者自己簽名后發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。（2）信息自簽發(fā)后到收到止沒(méi)有進(jìn)行任何修改，簽發(fā)的文件是真實(shí)的。數(shù)字簽名的具體做法如下：（1）將報(bào)文按雙方約定的哈希算法計(jì)算，得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證只要改動(dòng)報(bào)文中的任何一位數(shù)，重新計(jì)算出的報(bào)文摘要值會(huì)與原來(lái)的值不相符。（2）將該報(bào)文摘要值用發(fā)送者的私有密鑰加密，然后連同原報(bào)文一起發(fā)送給接收者，這樣產(chǎn)生的報(bào)文就是數(shù)字簽名。（3）接收者收到數(shù)字簽名后，用同樣的哈希算法計(jì)算報(bào)文摘要值，然后與用發(fā)送者的公開(kāi)密鑰進(jìn)行解密得到的報(bào)文摘要值進(jìn)行對(duì)比，如果相等，則說(shuō)明報(bào)文的確是來(lái)自所稱(chēng)的發(fā)送者。五、數(shù)字簽名3模塊三：電子商務(wù)安全協(xié)議電子商務(wù)安全協(xié)議一、SSL協(xié)議1.SSL協(xié)議介紹SSL協(xié)議是網(wǎng)景公司提出的基于Web應(yīng)用的安全協(xié)議，主要用于提高應(yīng)用程序之間的數(shù)據(jù)安全系數(shù)，包括服務(wù)器認(rèn)證、客戶(hù)認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。在電子商務(wù)活動(dòng)中，應(yīng)用SSL協(xié)議可保證信息的真實(shí)性、完整性和保密性。由于SSL協(xié)議沒(méi)有對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名，因此無(wú)法提供交易的不可否認(rèn)性，這是SSL協(xié)議的最大缺點(diǎn)。鑒于此，網(wǎng)景公司在從Communicator4.04版開(kāi)始的所有瀏覽器中引入了一種被稱(chēng)作“表單簽名（formsigning）”的功能。在電子商務(wù)活動(dòng)中，可利用“表單簽名”功能對(duì)包含購(gòu)買(mǎi)者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名，以保證交易信息的不可否認(rèn)性。從總體來(lái)看，電子商務(wù)活動(dòng)僅靠SSL協(xié)議保證交易安全是不夠的，采取“SSL+表單簽名”模式才能提供更好的安全性保證。協(xié)議電子商務(wù)安全協(xié)議一、SSL協(xié)議SSL協(xié)議是保證任何安裝了安全套接層的客戶(hù)和服務(wù)器間事務(wù)安全的協(xié)議，該協(xié)議向基于TCP／IP的客戶(hù)／服務(wù)器應(yīng)用程序提供了客戶(hù)端和服務(wù)器的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全措施，目的是為用戶(hù)提供與企業(yè)內(nèi)聯(lián)網(wǎng)相連接的安全通信服務(wù)。在傳統(tǒng)的交易中，如郵購(gòu)，客戶(hù)首先尋找商品信息，然后通過(guò)郵局匯款給商家，商家在收到匯款后將商品寄給客戶(hù)，這種方式確保商家是可以信賴(lài)的。在電子商務(wù)發(fā)展的初期，由于缺乏相關(guān)擔(dān)保，商家擔(dān)心客戶(hù)下訂單后不付款，或使用過(guò)期作廢的信用卡，因而他們希望銀行予以認(rèn)證。SSL協(xié)議正是在這種背景下應(yīng)用于電子商務(wù)的。協(xié)議電子商務(wù)安全協(xié)議2.SSL協(xié)議的運(yùn)行SSL協(xié)議包含兩層協(xié)議，分別為SSL記錄協(xié)議和SSL握手協(xié)議。SSL記錄協(xié)議規(guī)定了記錄頭和記錄數(shù)據(jù)格式；SSL握手協(xié)議建立和加密通信信道，并對(duì)客戶(hù)認(rèn)證。SSL協(xié)議采用了公開(kāi)密鑰和私有密鑰兩種加密形式，在建立連接過(guò)程中采用公開(kāi)密鑰，在會(huì)話(huà)過(guò)程中使用私有密鑰，加密的類(lèi)型和強(qiáng)度則在兩端之間建立連接的過(guò)程中加以判斷、決定。這種加密保證了客戶(hù)和服務(wù)器間事務(wù)的安全性。一、SSL協(xié)議電子商務(wù)安全協(xié)議SSL協(xié)議的運(yùn)行主要包括以下六個(gè)階段：（1）建立連接階段?？蛻?hù)通過(guò)網(wǎng)絡(luò)向服務(wù)商發(fā)出信號(hào)，服務(wù)商回應(yīng)。（2）交換密碼階段?？蛻?hù)與服務(wù)商之間交換雙方認(rèn)可的密碼。（3）會(huì)談密碼階段。客戶(hù)與服務(wù)商之間產(chǎn)生彼此交談的會(huì)談密碼。（4）檢驗(yàn)階段。檢驗(yàn)服務(wù)商取得的密碼。（5）客戶(hù)認(rèn)證階段。驗(yàn)證客戶(hù)的可信度。（6）結(jié)束階段?？蛻?hù)與服務(wù)商之間相互交換結(jié)束信息。一、SSL協(xié)議電子商務(wù)安全協(xié)議完成上述流程后，客戶(hù)與服務(wù)商之間的資料傳輸就以對(duì)方公鑰進(jìn)行加密后再傳輸，另一方在收到資料后以私鑰解密。即使不法分子在網(wǎng)上取得加密的資料，如果其沒(méi)有解密密鑰，也無(wú)法看到可讀的資料。在電子商務(wù)交易過(guò)程中，由于有銀行的參與，按照SSL協(xié)議，客戶(hù)購(gòu)買(mǎi)的信息首先被發(fā)往商家，商家將信息轉(zhuǎn)發(fā)至銀行，銀行在驗(yàn)證客戶(hù)信息的合法性后通知商家付款成功，商家通知客戶(hù)購(gòu)買(mǎi)成功并發(fā)貨。一、SSL協(xié)議電子商務(wù)安全協(xié)議3.SSL協(xié)議提供的安全服務(wù)SSL協(xié)議提供了以下三種基本的安全服務(wù)：（1）加密處理。SSL協(xié)議所采用的加密技術(shù)既有對(duì)稱(chēng)密鑰技術(shù)，又有公開(kāi)密鑰技術(shù)。具體的流程是客戶(hù)端與服務(wù)器在交換數(shù)據(jù)前交換SSL初始握手信息，在SSL初始握手信息中采用各種加密技術(shù)對(duì)其加密，以保證信息的機(jī)密性和數(shù)據(jù)的完整性，并且用數(shù)字證書(shū)進(jìn)行鑒別。（2）保證信息的完整性。SSL協(xié)議采用Hash函數(shù)和機(jī)密共享的方法確保信息的完整性，使客戶(hù)端與服務(wù)器之間建立安全通道，保證所有經(jīng)過(guò)SSL協(xié)議處理的業(yè)務(wù)都準(zhǔn)確無(wú)誤地到達(dá)目的地。服務(wù)一、SSL協(xié)議電子商務(wù)安全協(xié)議（3）提供較完善的認(rèn)證服務(wù)?？蛻?hù)端和服務(wù)器都有各自的識(shí)別號(hào)，這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào)。為了驗(yàn)證客戶(hù)是否合法，SSL協(xié)議要求客戶(hù)端和服務(wù)器在握手交換數(shù)據(jù)前進(jìn)行數(shù)字認(rèn)證。從SSL協(xié)議的過(guò)程中可以看出，該協(xié)議有利于商家而不利于客戶(hù)?？蛻?hù)的信息首先傳到商家，經(jīng)商家閱讀后再傳到銀行，這樣就威脅到客戶(hù)資料的安全性。商家對(duì)客戶(hù)進(jìn)行認(rèn)證是無(wú)可厚非的，但這個(gè)過(guò)程缺乏客戶(hù)對(duì)商家的認(rèn)證。在電子商務(wù)交易中，隨著參與商家的迅速增加，加之質(zhì)量參差不齊，對(duì)商家的認(rèn)證問(wèn)題會(huì)更加突出，從而暴露出SSL協(xié)議的缺點(diǎn)：只能保證資料傳遞過(guò)程的安全，而無(wú)法保證傳遞過(guò)程是否有人截取資料。因此，SSL協(xié)議并沒(méi)有實(shí)現(xiàn)電子支付所要求的保密性和完整性，而且多方互相認(rèn)證也是很困難的。服務(wù)一、SSL協(xié)議電子商務(wù)安全協(xié)議二、SET協(xié)議隨著電子商務(wù)的發(fā)展，出現(xiàn)了這樣的需求：消費(fèi)者發(fā)出的支付指令在由商家送到支付網(wǎng)關(guān)之前是在公用網(wǎng)上傳送的，這與持卡POS客戶(hù)有著本質(zhì)的區(qū)別，因?yàn)閺纳碳襊OS到銀行使用的是專(zhuān)線(xiàn)。因此，需要考慮公用網(wǎng)上支付信息的安全性。在這種需求的推動(dòng)下，Visa和MasterCard兩家國(guó)際上最大的信用卡公司連同IBM、Microsoft等信息產(chǎn)業(yè)巨頭共同制定了SET協(xié)議。SET協(xié)議采用公鑰密碼體制和X.509數(shù)字證書(shū)標(biāo)準(zhǔn)，主要用于保障網(wǎng)上購(gòu)物信息的安全性。由于它提供了消費(fèi)者、商家和銀行之間的認(rèn)證，確保了交易數(shù)據(jù)的安全性、完整可靠性和不可否認(rèn)性，特別是保證商家看不見(jiàn)消費(fèi)者的銀行卡號(hào)，因此成為目前公認(rèn)的銀行卡的網(wǎng)上交易的國(guó)際安全標(biāo)準(zhǔn)。協(xié)議電子商務(wù)安全協(xié)議1.SET協(xié)議介紹SET協(xié)議于1997年6月正式發(fā)布，主要是為了解決消費(fèi)者、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)的，要保證支付信息的機(jī)密性、支付過(guò)程的完整性、商家及客戶(hù)（持卡人）的合法身份和可操作性。SET的核心技術(shù)主要有公開(kāi)密鑰加密、數(shù)字簽名、電子信封、電子安全證書(shū)等。SET協(xié)議能在電子交易環(huán)節(jié)提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。它支持B2C電子商務(wù)模式，即消費(fèi)者持卡在網(wǎng)上購(gòu)物與交易的模式。二、SET協(xié)議電子商務(wù)安全協(xié)議SET協(xié)議的交易分為以下三個(gè)階段：（1）購(gòu)買(mǎi)請(qǐng)求階段。在購(gòu)買(mǎi)請(qǐng)求階段，消費(fèi)者與商家確定所要支付方式的細(xì)節(jié)。（2）支付認(rèn)定階段。在支付認(rèn)定階段，商家會(huì)與銀行核實(shí)，隨著交易的進(jìn)展，他們將得到付款。（3）受款階段。在受款階段，商家向銀行出示所有的交易細(xì)節(jié)，然后銀行以適當(dāng)方式轉(zhuǎn)移貨款。消費(fèi)者只涉及第一階段，銀行涉及第二階段和第三階段，而商家在三個(gè)階段中都有參與。每個(gè)階段都涉及用RSA對(duì)數(shù)據(jù)加密，以及用RSA進(jìn)行數(shù)字簽名。在SET協(xié)議下的交易中要完成多次加密與解密操作，因此要求商家的服務(wù)器具有較強(qiáng)的處理能力。二、SET協(xié)議電子商務(wù)安全協(xié)議2.SET協(xié)議的作用SET協(xié)議的主要作用有以下五個(gè)方面：（1）保證信息在Internet上安全傳輸，防止網(wǎng)上傳輸?shù)臄?shù)據(jù)被黑客和內(nèi)部人員竊取。（2）保證電子商務(wù)參與者的信息相互隔離，使商家看不到消費(fèi)者的賬戶(hù)和密碼。（3）完成多方認(rèn)證，不僅要進(jìn)行消費(fèi)者的信用卡認(rèn)證，還要進(jìn)行在線(xiàn)商家認(rèn)證，以及消費(fèi)者、商家和銀行間的相互認(rèn)證。（4）保證網(wǎng)上交易的實(shí)時(shí)性，確保實(shí)時(shí)在線(xiàn)進(jìn)行支付。（5）規(guī)范協(xié)議和消息格式，促進(jìn)各商家開(kāi)發(fā)出具有兼容性和互操作性，且可運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上的軟件。二、SET協(xié)議電子商務(wù)安全協(xié)議3.SET協(xié)議的運(yùn)行電子商務(wù)的工作流程近似于實(shí)際購(gòu)物，所以電子商務(wù)貼近于傳統(tǒng)商務(wù)，消費(fèi)者參與進(jìn)來(lái)基本沒(méi)有障礙。從消費(fèi)者通過(guò)網(wǎng)頁(yè)進(jìn)入在線(xiàn)商店開(kāi)始，一直到所訂購(gòu)的物品送貨上門(mén)或購(gòu)買(mǎi)的服務(wù)完成，以及賬戶(hù)上的資金轉(zhuǎn)移，這些活動(dòng)都是在網(wǎng)上完成的。保證網(wǎng)上傳輸數(shù)據(jù)的安全及交易雙方的身份確認(rèn)是電子商務(wù)得到推廣的關(guān)鍵，也是SET協(xié)議要解決的最主要問(wèn)題。SET協(xié)議中的參與者如圖7-5所示。二、SET協(xié)議圖7-5

SET協(xié)議中的參與者電子商務(wù)安全協(xié)議基于SET協(xié)議的處理流程如圖7-6所示。基于SET協(xié)議的處理流程可以分為以下九個(gè)步驟：（1）消費(fèi)者向商家發(fā)出購(gòu)買(mǎi)初始化請(qǐng)求，包括消費(fèi)者的信息和證書(shū)。（2）商家在接收到請(qǐng)求后驗(yàn)證消費(fèi)者的身份，將商家和支付網(wǎng)關(guān)的有關(guān)信息與證書(shū)生成回復(fù)消息并發(fā)給消費(fèi)者。（3）消費(fèi)者在接收到消息后驗(yàn)證商家和支付網(wǎng)關(guān)的身份。然后，消費(fèi)者利用自己的支付信息（包括賬戶(hù)信息）生成購(gòu)買(mǎi)請(qǐng)求消息并發(fā)送給商家。二、SET協(xié)議圖7-6

基于SET協(xié)議的處理流程電子商務(wù)安全協(xié)議（4）商家在接收到消息后，連同自己的信息生成授權(quán)請(qǐng)求消息，發(fā)給支付網(wǎng)關(guān)，請(qǐng)求支付網(wǎng)關(guān)授權(quán)該交易。（5）支付網(wǎng)關(guān)在接收到消息后取出支付信息，通過(guò)銀行內(nèi)部網(wǎng)絡(luò)連接收單銀行和發(fā)卡銀行，對(duì)該交易進(jìn)行授權(quán)。授權(quán)完成后，支付網(wǎng)關(guān)產(chǎn)生授權(quán)響應(yīng)消息并發(fā)給商家。（6）商家在接收到消息后，定期向支付網(wǎng)關(guān)發(fā)出轉(zhuǎn)賬請(qǐng)求消息，請(qǐng)求進(jìn)行轉(zhuǎn)賬。（7）支付網(wǎng)關(guān)在接收到消息后，通過(guò)銀行內(nèi)部網(wǎng)絡(luò)連接收單銀行和發(fā)卡銀行，將資金從消費(fèi)者賬戶(hù)轉(zhuǎn)到商家賬戶(hù)，然后向商家發(fā)出消息。（8）商家接收到消息后，知道已經(jīng)完成轉(zhuǎn)賬，然后發(fā)送消息給消費(fèi)者。（9）消費(fèi)者接收到消息，知道該交易已經(jīng)完成。SET協(xié)議通過(guò)證書(shū)、認(rèn)證中心及其數(shù)形驗(yàn)證體系結(jié)構(gòu)完成認(rèn)證過(guò)程。二、SET協(xié)議電子商務(wù)安全協(xié)議4.SET協(xié)議的優(yōu)缺點(diǎn)相對(duì)而言，SET協(xié)議有以下三方面的優(yōu)點(diǎn)：（1）SET協(xié)議為商家提供保護(hù)手段，使得商家免受欺詐的困擾。（2）對(duì)消費(fèi)者而言，SET協(xié)議保證了商家的合法性，并且消費(fèi)者的信用卡號(hào)不會(huì)被竊取，為消費(fèi)者保護(hù)了更多的秘密，從而使消費(fèi)者在線(xiàn)購(gòu)物時(shí)更加輕松。（3）銀行和發(fā)卡機(jī)構(gòu)及各種信用卡組織推薦SET協(xié)議，因?yàn)镾ET協(xié)議幫助他們將業(yè)務(wù)擴(kuò)展到Internet這個(gè)廣闊的空間，從而減少信用卡網(wǎng)上支付的欺騙概率，這使得它比其他支付方式具有更大的競(jìng)爭(zhēng)優(yōu)勢(shì)。SET協(xié)議雖然更加完善和嚴(yán)謹(jǐn)，但其缺點(diǎn)是協(xié)議過(guò)于復(fù)雜，開(kāi)發(fā)和使用都比較麻煩，使得運(yùn)行速度較慢。二、SET協(xié)議電子商務(wù)安全協(xié)議從實(shí)際來(lái)看，SET協(xié)議和SSL協(xié)議除了采用相同的公鑰算法以外，在其他技術(shù)方面都不一樣。SET協(xié)議是一個(gè)多方的消息報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必需的報(bào)文規(guī)范；而SSL協(xié)議只是簡(jiǎn)單地在兩方之間建立了一個(gè)安全連接。SSL協(xié)議是面向連接的，而SET協(xié)議允許各方之間的報(bào)文交換不是實(shí)時(shí)的。SET報(bào)文能夠在銀行內(nèi)部網(wǎng)絡(luò)或者其他網(wǎng)絡(luò)上傳輸，而基于SSL協(xié)議之上的支付卡系統(tǒng)只能與Web瀏覽器捆綁在一起。三、SET協(xié)議與SSL協(xié)議的比較電子商務(wù)安全協(xié)議此外，SSL協(xié)議和SET協(xié)議在網(wǎng)絡(luò)各層的位置與功能并不相同。SSL協(xié)議是基于傳輸層的通用安全協(xié)議，它只占電子商務(wù)體系中的一部分，可看作用于傳輸?shù)哪遣糠旨夹g(shù)規(guī)范，并不具備電子商務(wù)的商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。而SET協(xié)議位于應(yīng)用層，對(duì)網(wǎng)絡(luò)上其他各層也有涉及。SET協(xié)議規(guī)范了整個(gè)商務(wù)的活動(dòng)流程，從信用卡持卡人，到商家，到支付網(wǎng)關(guān)，到認(rèn)證中心及信用卡結(jié)算中心之間的信息流向，以及對(duì)必須參與的加密、認(rèn)證都制定了嚴(yán)密的標(biāo)準(zhǔn)，最大限度地保證了電子商務(wù)的商務(wù)性、服務(wù)性、協(xié)調(diào)性和集成性。三、SET協(xié)議與SSL協(xié)議的比較項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件實(shí)訓(xùn)背景加密技術(shù)保證信息在傳輸過(guò)程中不被修改。加密郵件中含有信件原文和數(shù)字簽名。采用簽名加密的郵件能夠安全地被收發(fā)，不泄露隱私。本實(shí)訓(xùn)通過(guò)發(fā)送與接收加密郵件來(lái)實(shí)踐電子商務(wù)的安全技術(shù)。實(shí)訓(xùn)要求（1）了解數(shù)字加密技術(shù)的含義，掌握其在電子郵件中的應(yīng)用。（2）掌握利用Foxmail收發(fā)加密郵件的技術(shù)。實(shí)訓(xùn)內(nèi)容一、準(zhǔn)備工作安裝Foxmail軟件，開(kāi)通兩個(gè)POP3服務(wù)的電子郵箱，163、126、新浪、騰訊等郵箱均可。Foxmail是常用的電子郵件收發(fā)工具，在項(xiàng)目三的實(shí)訓(xùn)中已使用過(guò)。項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件二、發(fā)送加密郵件（1）打開(kāi)Foxmail客戶(hù)端，按照項(xiàng)目三中的實(shí)訓(xùn)方法編輯郵件，編輯完成后單擊右上角的按鈕，在下拉菜單中執(zhí)行“郵件加密…”命令，如圖7-7所示。圖7-7

加密電子郵件項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件（2）在彈出的“郵件加密”對(duì)話(huà)框中輸入密碼，如圖7-8所示。也就是說(shuō)，這封郵件是添加了密碼的，只有在收件人接收后輸入正確的密碼解密后才能查看。所以，發(fā)件人要將此密碼告知收件人。（3）設(shè)置密碼后單擊“確認(rèn)”按鈕，然后選擇“發(fā)送”選項(xiàng)，即可發(fā)送加密郵件。圖7-8輸入郵件的密碼項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件三、接收加密郵件（1）登錄郵箱，單擊“收取”菜單，可以查看未讀的郵件，如圖7-9所示。圖7-9

收件箱中收到的加密郵件項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件（2）單擊這封加密的郵件，會(huì)發(fā)現(xiàn)需要輸入密碼才能查看，如圖7-10所示。圖7-10待解密郵件項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)一加密技術(shù)的應(yīng)用之發(fā)送加密郵件（3）收件人從發(fā)件人處獲取密碼并輸入，即可解密郵件，如圖7-11所示。圖7-11

解密后的郵件項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)二殺毒軟件的使用實(shí)訓(xùn)背景殺毒軟件也稱(chēng)反病毒軟件或防毒軟件，是用于消除計(jì)算機(jī)病毒、特洛伊木馬和惡意軟件的一類(lèi)軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描與清除和自動(dòng)升級(jí)等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)的重要組成部分。目前常用的殺毒軟件主要有360殺毒、瑞星、江民、卡巴斯基、諾頓等。本實(shí)訓(xùn)以360殺毒軟件為例，講解殺毒軟件的使用。實(shí)訓(xùn)要求（1）掌握360殺毒軟件的安裝和升級(jí)。（2）了解360殺毒軟件的相關(guān)功能，如全盤(pán)掃描、實(shí)時(shí)防護(hù)等。實(shí)訓(xùn)內(nèi)容項(xiàng)目實(shí)訓(xùn)實(shí)訓(xùn)二殺毒軟件的使用