电子商务安全技术.ppt

第6章 电子商务安全技术,电子商务安全概述,网络安全技术,加密技术,认证技术,实训6,思考与练习,本章小结,导航,后一页,前一页,末页,退出,电子商务安全协议,案例：国富安证书和iPass系统在国电物资公司的应用,通过该案例，请思考：1以互联网为核心的信息交换过程中，常用到的加密技术有哪些，列举一二。2结合本案例内容，谈谈你对信息安全的理解。,导航,后一页,前一页,末页,退出,6.1 电子商务安全概述,6.1.1 电子商务安全现状 6.1.2 电子商务安全需求,导航,后一页,前一页,末页,退出,通过互联网非法获取信息的次数和数量在快速增长，病毒、黑客等成为越来越严重的威胁和攻击。据统计，网络数据被窃取和破坏造成的直接经济损失每年至少有几十亿美元。,6.1.1 电子商务安全现状,电子商务中的安全隐患：信息的窃取：信息没有采取加密措施或加密强度不够，攻击者在数据包经过的网关或路由器上可以将其截获。信息的篡改：攻击者对网络传输的信息进行中途修改后再发往目的地。破坏手段：篡改、删除、插入信息的假冒：攻击者可以假冒合法用户或发送假冒信息来欺骗其他用户。交易的抵赖：包括多个方面，如发送者事后否认曾经发送过某内容；接收者事后否认曾经收到过某内容；购买者做了订货单不承认；商家卖出的商品因价格差而不承认原有的交易等。,导航,后一页,前一页,末页,退出,6.1.2 电子商务安全需求,信息传输的保密性：一般通过加密技术对传输的信息进行加密处理来实现。解决办法是信息加密和防火墙技术。交易文件的正确性和完整性：从两个方面考虑：一是非人为因素，如因传输介质损坏而引起的信息丢失、错误等，这类问题通常通过校验来解决；另一个是人为因素，指非法用户对信息的恶意篡改。其安全性是由信息加密和提取信息的数字摘要来保证的。交易者身份的确定性：是虚拟网络环境中交易成功的先决条件，需要有身份鉴别服务来验证其声明的正确性。一般通过数字签名、证书机构CA和数字证书来实现。交易信息的不可抵赖性：在交易信息的传输过程中为交易主体提供可靠的标识，防止抵赖行为的发生，一般都通过数字签名来实现。,导航,后一页,前一页,末页,退出,6.2 网络安全技术,网络安全技术是在与网络攻击的斗争中不断发展和完善的。6.2.1 防火墙技术6.2.2 病毒防范技术,导航,后一页,前一页,末页,退出,6.2.1 防火墙技术,1.防火墙的概念2.防火墙技术的优缺点3.防火墙的类型,导航,后一页,前一页,末页,退出,1.防火墙的概念,防火墙（FireWall）指两个网络之间执行访问控制策略的一系列部件的组合，包含硬件和软件。目的是保护网络不被他人侵扰。,导航,后一页,前一页,末页,退出,防火墙是不同网络之间信息的唯一出口，能根据企业网络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。防火墙通过检测、限制、更改跨越防火墙的数据流，尽可能地对外屏蔽内部的信息、结构和运行状况。,1.防火墙的概念,1.防火墙的概念 访问控制机制基本设计准则,导航,后一页,前一页,末页,1.“一切未被允许的就是禁止的”，即在默认情况下禁止所有服务,2.“一切未被禁止的就是允许的”，即在默认情况下允许所有服务,退出,逻辑上，防火墙是一个分离器、一个限制器、一个分析器，有效监控内部网络和Internet间的任何活动，保证了内部网络的安全。,2.防火墙技术的优缺点优点,导航,后一页,前一页,末页,（1）是网络安全的屏障 通过过滤不安全的服务来降低子网上主系统的风险。可以禁止某些易受攻击的服务(如NFS-网络文件系统)进入或离开受保护的子网。可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP控制消息协议，改向把发送路径转向遭致损害的网点。（2）控制对主机系统的访问 可以提供对系统的访问控制。通过配置防火墙，某些主机系统可由外部网络访问，而其他主机则被有效封闭。,退出,2.防火墙的优缺点优点,导航,后一页,前一页,末页,（3）监控和设计网络访问 如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提示网络是否收到监测和攻击的详细信息。（4）防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。另外，使用防火墙可以隐蔽那些会泄露内部细节的服务，如Finger（于查询用户情况的实用程序）、DNS（域名系统）等。,退出,Finger是UNIX系统中用于查询用户情况的实用程序(dos系统也包含此命令)。UNIX系统保存了每个用户的详细资料，包括E-mail地址、帐号，在现实生活中的真实姓名、登录时间、有没有未阅读的信件，最后一次阅读E-mail的时间以及外出时的留言等资料。当你用Finger命令查询时，系统会将上述资料一一显示在终端或计算机上。DNS存在的安全问题1.针对域名系统的恶意攻击：DDOS（DoS攻击源一起攻击某台服务器就组成了DDOS攻击）攻击造成域名解析瘫痪。2.域名劫持：修改注册信息、劫持解析结果。3.国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。4.系统上运行的DNS服务存在漏洞，导致被黑客获取权限，从而篡改DNS信息。5.DNS设置不当，导致泄漏一些敏感信息。提供给黑客进一步攻击提供有力信息。,2.防火墙的优缺点优点,导航,后一页,前一页,末页,（5）部署NAT机制 防火墙可以部署NAT机制，用来缓解地址空间短缺的问题，也可以隐藏内部网络的结构。支持网络地址转换(NAT)：指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。,退出,2.防火墙的优缺点缺点,导航,后一页,前一页,末页,退出,（1）限制使用合乎需要的服务 防火墙最明显的缺点是它可能封锁用户所需的某些服务，如TELNET（远程登陆服务）、FTP（文件传输）、NFS（网络文件系统）等。但这一缺点并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。（2）后门访问的广泛可能性 防火墙不能防护从后门进入网点。例如，如果对调制解调器不加限制，仍然许可访问由防火墙保护的网点，那么攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP（串行线IP）和PPP（点对点协议）切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。,2.防火墙的优缺点缺点,导航,后一页,前一页,末页,退出,（3）几乎不能防护来自内部的攻击 防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育、管理、制度等。（4）其他问题 病毒：防火墙不能防止用户从Internet下载受病毒感染的程序，或把这些程序附加到电子邮件上传输出去。必须用其他对策和抗病毒控制措施进行处理。吞吐量：防火墙是一种潜在的瓶颈，所有的连接都必须通过防火墙，许多信息都要经过检查，信息的传递可能要受到传输速率的影响。集中性：防火墙系统把安全性集中在一点上，而不是把它分布在各系统间，防火墙受损可能会对子网上其他保护不力的系统造成巨大的损害。,3.防火墙的类型,导航,后一页,前一页,末页,退出,分组过滤（Packet filter，或称为包过滤）：是一种简单有效的安全控制技术，他通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,3.防火墙的类型,导航,后一页,前一页,末页,退出,代理服务：能够将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。,3.防火墙的类型,两种类型优缺点。P175目前，防火墙系统通常结合使用两种技术。代理服务可大大降低分组过滤规则的复杂度，是分组过滤技术的重要补充。,6.2.2 病毒防范措施,1.计算机病毒的概念2.计算机病毒的分类3.计算机病毒的防治,导航,后一页,前一页,末页,退出,1.计算机病毒的概念,导航,后一页,前一页,末页,退出,计算机病毒起源P175计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征：（1）传染性（2）隐蔽性（3）触发性（4）破坏性,2.计算机病毒的分类,导航,后一页,前一页,末页,退出,按病毒依赖的操作系统分类：DOS病毒、Windows病毒、Unix病毒、Linux病毒等。按病毒特有的算法分类：伴随型病毒、“蠕虫”病毒、寄生型病毒。按病毒的破环方式分类：无害型、危害型、危险型、非常危险型。按病毒的寄生方式分类：文件型病毒、引导型病毒、混合型病毒。按病毒的传染方法分类：驻留型病毒、非驻留型病毒。按病毒的连接方式分类：源码型病毒、嵌入型病毒、外壳病毒、操作系统型病毒。,常见病毒举例,导航,后一页,前一页,末页,退出,Windows系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒一般是感染windows操作系统的*.exe 和*.dll 文件，并通过这些文件进行传播。如CIH病毒。蠕虫病毒的前缀是：Worm。这种病毒通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件)等。木马病毒其前缀是：Trojan，木马病毒通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。黑客病毒前缀名一般为 Hack。黑客病毒有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344，还有比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60。,常见病毒举例,导航,后一页,前一页,末页,退出,脚本病毒的前缀是：Script。脚本病毒是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。病毒种植程序病毒。这类病毒运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性程序病毒的前缀是：Harm。这类病毒本身具有好看的图标来诱惑用户点击，当用户点击时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒也具有好看的图标诱惑用户点击，当用户点击时，病毒会做出各种破坏操作来吓唬用户，但不会对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。,常见病毒举例,导航,后一页,前一页,末页,退出,捆绑机病毒的前缀是：Binder。这类病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。,3.计算机病毒的防治,导航,后一页,前一页,末页,退出,从用户的角度：计算机病毒防治要采取“预防为主，防治结合”的方针，关键是做好预防工作。根据病毒传染途径，做一些经常性的病毒检测工作，降低病毒入侵率，减少病毒造成的危害。从技术的角度：计算机病毒的防治技术分成四个方面，即预防、检测、清除和免疫。,病毒防治技术预防技术,导航,后一页,前一页,末页,退出,病毒预防技术：指通过一定的技术手段防止病毒对系统进行传染和破坏，它通过自身常驻系统内存优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作，以达到保护系统的目的。计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。,病毒防治技术检测技术,导航,后一页,前一页,末页,退出,病毒检测技术：指通过一定的技术手段判定出病毒的一种技术。病毒检测技术主要有两种：一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术；另一种是不针对具体病毒程序的自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在。,病毒防治技术消除技术,导航,后一页,前一页,末页,退出,病毒消除技术：病毒的消除是检测的延伸，是在检测发现特定的病毒基础上，根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。现在很多杀病毒软件是把检测和杀毒同时进行了，目前常用的杀病毒软件有：NortonAntiVirus、Kv3000、金山毒霸、瑞星等。,病毒防治技术 免疫技术,导航,后一页,前一页,末页,退出,病毒免疫技术：这一技术目前没有很大发展。针对某一种病毒的免疫方 法已没有人再用了，而目前还没有出现通用的能对各种病毒都有免疫作用的技术，也许根本就不存在这样一种技术。现在，某些反病毒程序使用给可执行程序增加保护性外壳的方法，能在一定程度上起保护作用。,6.3 加密技术,6.3.1 密码学基础知识6.3.2 密码技术的应用,导航,后一页,前一页,末页,退出,6.3.1 密码学基础知识,术语：明文：原始消息密文：加密后的形式加密技术的两个要素：密钥和算法,导航,后一页,前一页,末页,退出,例：恺撒密码,原理：把每个英文字母向前推x位，如x=3明文：a,b,c,d,e,f,g,h,w,x,y,z密文：d,e,f,g,h,i,j,k,z,a,b,c算法:character+x密钥：x=3,导航,后一页,前一页,末页,退出,1.对称密钥加密技术,导航,后一页,前一页,末页,退出,对信息的加密、解密使用相同的算法和密钥,1.对称密钥加密技术（单钥）,导航,后一页,前一页,末页,退出,优点：简单 速度快问题：密钥管理困难代表：DES算法美国IBM公司W.Tuchman 和 C.Meyer 1971-1972年研制成功。DES算法1975年3月公开发表，1977年1月15日由美国国家标准局颁布为数据加密标准（Data Encryption Standard），于1977年7月15日生效。,DES算法介绍（续）,导航,后一页,前一页,末页,退出,1984年2月，ISO成立的数据加密技术委员会在DES基础上制定数据加密的国际标准。密钥长度为64位（实际为56位，有8位用于奇偶校验）。1997年美国RSA数据安全公司举办了密钥挑战竞赛，悬赏一万美金破译DES算法。克罗拉多州的一个程序员用了96天的时间，在Internet数万名志愿者的协同工作下，成功地找到了DES的密钥。,2.非对称密钥加密技术（私钥、公钥）,导航,后一页,前一页,末页,退出,每个用户都有一对密钥：一个私钥（Private Key）由所有者秘密持有，一个公钥（Public Key）由所有者公开。若以公钥作为加密密钥，以用户私钥作为解密密钥，则可实现多个用户加密的消息只能由一个用户解读。若以用户私钥作为加密密钥而以公钥作为解密密钥，则可实现由一个用户加密的消息使多个用户解读。,2.非对称密钥加密技术,导航,后一页,前一页,末页,退出,优点：安全性高，适合密钥分发、数字签名等缺点：计算量大，速度慢，不适合信息量大、速度要求快的加密代表：RSA算法,RSA算法介绍,导航,后一页,前一页,末页,退出,1976年由美国的三位科学家Rivest,Shemir和Adelman提出。已被ISO/TC97的数据加密技术分委员会推荐为公开密钥数据加密标准。加密强度很高，它的安全性是基于分解大整数的难度，即将两个大的质数合成一个大数很容易，而相反的过程非常困难。,6.3.2 加密技术的应用,1数字签名2.数字时间戳,导航,后一页,前一页,末页,退出,1.数字签名,在网络中传送的报文如何签名盖章？这是数字签名所要解决的问题。数字签名技术是实现交易安全的核心技术之一，它的实现基础是公开密钥加密技术。数字签名必须保证：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的签名。,导航,后一页,前一页,末页,退出,数字签名原理,导航,后一页,前一页,末页,退出,2.数字时间戳,在电子商务交易文件中，时间是十分重要的信息。数字时间戳服务(Digital Time Stamp Service，DTS)是网上安全服务项目，由专门的机构提供。时间戳是一个经过加密后形成的凭证文档，包括：需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。时间戳产生的过程：用户将需要加时间戳的文件用HASH编码加密形成摘要；将该摘要发送到DTS；DTS加入收到文件摘要的日期和时间信息；DTS用其私钥加密形成DTS的数字签名；一并送回用户。,导航,后一页,前一页,末页,退出,6.4 认证技术,6.4.1 认证技术概述6.4.2 数字证书与认证中心,导航,后一页,前一页,末页,退出,6.4.1 认证技术概述,电子商务交易安全在技术上要解决两大问题：安全传输和身份认证。安全传输：数据加密技术 身份认证：认证技术认证：证实被认证对象是否属实与是否有效的一个过程，其基本思想是通过验证被认证对象的属性，达到确认被认证对象是否真实有效的目的。身份认证技术主要基于公钥加密体制。,导航,后一页,前一页,末页,退出,6.4.2 数字证书与认证中心,1.数字证书：可以证实一个用户的身份2.认证中心：是承担网上安全电子交易认证的第三方服务机构，主要负责产生、分配并管理用户的数字证书。,导航,后一页,前一页,末页,退出,1.数字证书概念,数字证书（digital ID）又称为数字凭证、数字标识，是一个经证书认证机构数字签名的包含用户身份信息以及公开密钥信息的电子文件。数字证书的内部格式一般采用X509国际标准，一个标准的X.509数字证书包含以下一些内容：证书的版本信息；证书的序列号；证书所使用的签名算法；证书的发行机构；证书的有效期；证书所有人的名称；证书所有人的公开密钥；证书发行者对证书的签名。,导航,后一页,前一页,末页,退出,1.数字证书类型,个人证书：属于个人所有，帮助个人用户在网上进行安全交易和安全的网络行为。个人数字证书安装在客户端的浏览器中，通过安全电子邮件进行操作。企业（服务器）证书：企业如果拥有Web服务器，可申请企业证书，用具有证书的服务器进行电子交易，而且有证书的Web服务器会自动加密和客户端通信的所有信息。软件（开发者）证书：是为网络上下载的软件提供凭证，用来和软件的开发方进行信息交流，使用户在下载软件时可以获得所需的信息。,导航,后一页,前一页,末页,退出,1.数字证书申请,导航,后一页,前一页,末页,退出,1.数字证书用途,网上办公 电子政务 网上交易安全电子邮件网上招标,导航,后一页,前一页,末页,退出,2.认证中心,认证中心(Certification Authority，CA)提供交易双方身份认证并保证交易安全进行的第三方服务机构，主要负责产生、分配并管理用户的数字证书。CA往往采用一种多层次的分级机构，上级CA负责签发和管理下级CA的证书，最下一级的CA直接面向最终用户。（见下图）,导航,后一页,前一页,末页,退出,认证中心的层次结构,导航,后一页,前一页,末页,退出,2.认证中心CA的整体框架,导航,后一页,前一页,末页,出,退出,面向普通用户，用于提供证书申请、浏览、证书撤销列表以及证书下载等安全服务。,是核心，负责证书的签发。CA先产生自己的私钥和公钥，然后生成数字证书，并传输给安全服务器。还负责为操作员、安全服务器、注册机构服务器生成数字证书。,登记中心服务器面向登记中心操作员，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤销列表。,提供目录浏览服务，负责将注册机构服务器传输过来的用户信息以及数字证书加入到服务器上。,用于认证机构数据（秘钥和用户信息等）、日志和统计信息的存储和管理。,2.认证中心CA的功能,证书的颁发。CA接收、验证用户的申请，确定给用户颁发何种类型的证书。新证书用CA的私钥签名后，发送到目录服务器供用户下载和查询。证书的更新。定期或根据用户的请求更新用户的证书。证书的查询。一是证书申请的查询，二是用户证书的查询。,导航,后一页,前一页,末页,退出,2.认证中心CA的功能(续),证书的作废。一是用户向CA提出证书作废请求，CA确定是否将该证书作废。二是证书已经过了有效期，CA自动将该证书作废。证书的归档。证书过了有效期后将作废，但是不能简单地丢弃，因为可能需要验证以前的某个交易过程中产生的数字签名时就需要查询作废的证书。基于此，CA还具备管理作废证书和作废私钥的功能。,导航,后一页,前一页,末页,退出,6.5 电子商务安全协议,6.5.1 安全套接层协议（Secure Sockets Layer,SSL）6.5.2 安全电子交易协议（Secure Electronic Trade,SET）,导航,后一页,前一页,末页,退出,6.5.1 SSL协议,由网景(Netscape)公司1994年推出，主要目的是解决Web上信息传输的安全问题。SSL协议位于TCP/IP协议与各种应用层协议之间。SSL协议主要使用的技术：数字证书、数字签名，以及基于RSA的加密算法和对称加密算法。应用层协议所传送的数据都会被加密，从而保证通信的安全性。,导航,后一页,前一页,末页,退出,SSL协议主要提供的服务：,用户和服务器的合法性认证：客户机和服务器都是有各自的识别号，由公开密钥进行编排，为了验证用户是否合法，SSL要求在握手交换数据进行数字认证，以此来确保用户的合法性。加密数据以隐藏被传送的数据：SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术，可以防止非法用户进行破译。保护数据的完整性：SSL协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道。,导航,后一页,前一页,末页,退出,SSL协议的两个子协议,SSL协议包括两个子协议：SSL记录协议和SSL握手协议。SSL记录协议定制了传输数据的格式，所有的传输数据都被封装在记录中。所有的SSL通信都使用SSL记录层。SSL握手协议在客户端和服务器之间建立安全传输通道。一个SSL传输过程需要先握手，通信双方协商会话密钥；之后，两者间建立一个SSL对话，使用协商好的会话密钥来加密/解密消息即传送消息会被加密后再传输，对方收到消息后再解密。,导航,后一页,前一页,末页,退出,SSL协议流程,在电子商务交易中，由于有银行参与，按照SSL协议，交易过程中，客户购买的信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，将商品寄送客户。,导航,后一页,前一页,末页,退出,6.5.2 SET协议,SET协议是一个在互联网上实现安全电子交易的协议标准。由VISA和MasterCard共同制定，1997年5月推出。主要目的是解决通过互联网使用信用卡付款结算的安全保障性问题。SET协议是在应用层的网络标准协议。SET协议主要使用的技术：对称密钥加密、公共密钥加密、HASH算法、数字签名以及公共密钥授权机制等。,导航,后一页,前一页,末页,退出,SET协议运行的目标,保证信息在互联网上安全传输。保证交易参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行，但是商家不能看到客户的账户和密码信息。解决网上认证问题。认证中心为消费者、商家与支付网关等每个交易参与方都生成数字证书。保证网上交易的实时性。所有的支付过程都是在线的。仿效EDI规范协议和消息格式，使不同厂家开发的软件具有兼容性和互操作功能，且可以运行在不同的硬件和操作系统平台上。,导航,后一页,前一页,末页,退出,SET协议工作流程,导航,后一页,前一页,末页,退出,实训6,一、安装并使用瑞星杀毒软件查杀病毒【实验目的】通过实验，使学生掌握瑞星软件的安装，并能根据需要设置软件，熟练使用软件查杀病毒。【实验内容】1.瑞星杀毒软件的安装 2.瑞星杀毒软件的使用,导航,后一页,前一页,末页,退出,实训6,二、数字证书的申请和使用【实验目的】通过试验，使学生掌握数字证书的申请、下载安装、查看、导出导入的操作，并熟练掌握数字证书在安全电子邮件中的使用。【实验内容】1.申请数字证书2.查看数字证书3.数字证书的导出与导入4.数字证书的使用（数字证书在安全电子邮件中的使用）,导航,后一页,前一页,末页,退出,思考与练习,6-1判断题 1.病毒程序大多夹在正常程序之中，很容易被发现。（）2.建立认证体系的目的是要验证或识别上网参与交易活动的各主体的身份。（）3.协议是一个在互联网上实现安全电子交易的协议。（）4.在实际应用中，通常将两种加密方法即对称加密方法和非对称加密方法结合在一起使用。（）5.只有通过上网，计算机才会感染上病毒。（）,想一想?,导航,后一页,前一页,末页,退出,思考与练习,6-2 单选题 1.使用密钥将密文数据还原成明文数据，称为（）A）解码 B）编译 C）加密 D）解密2.病毒侵入后，一般不立即活动，需要等条件成熟后才作用，这是计算机病毒的哪个特点（）A）入侵性B）隐蔽性C）复制性D）传染性3.CA的中文含义是（）A）电子中心B）金融中心C）银行中心D）认证中心4.SET协议又称为（）A）安全套接层协议 B）安全电子交易协议 C）信息传输安全协议 D）网上购物协议5.信息的保密性是指()A）信息不被他人所接收 B）信息内容不被指定以外的人所知悉 C）信息不被篡改 D）信息在传递过程中不被中转,想一想?,导航,后一页,前一页,末页,退出,思考与练习,6.CA是负责为参与商务活动的各方发放（）,以确认身份，保证电子支付的安全性。A）数字证书B）支付证书C）安全证书D）确认证书7.下述哪个不是常用的防病毒软件？（）A）OutlookB）金山毒霸C）KV3000D）瑞星8.公钥技术利用（）互相匹配的密钥进行加密、解密。A）一个B）一对 C）三个 D）三对9.SSL协议层包括两个协议子层：记录协议和（）A）握手协议B）牵手协议C）拍手协议D）拉手协议10.关于防火墙的说法正确的是（）A）是指用于防止火灾而修建的墙B）是用来对两个或多个网络之间的互相访问实行强制性管理的安全系统C）是指用于防止计算机着火而修建的墙D）防火墙的安全性能一般没有级别之分,想一想?,导航,后一页,前一页,末页,退出,思考与练习,6-3 多选题1.关于防病毒软件以下说法正确的是（）A）安装防病毒软件建议使用默认的文件夹B）杀毒软件可以针对特定目录下的文件进行扫描杀毒C）安装了杀毒软件就能够抵抗一切病毒的入侵D）要经常更新杀毒软件2.以下关于SSL协议的说法不正确的是（）A）SSL是应用层的协议B）SSL协议能保证通讯内容的保密性，但不能保证完整性C）SSL协议能保证数据的完整性，但不能保证保密性D）SSL握手协议是SSL协议的一个协议子层3.采用数字签名可以确认（）A）信息是由签名者自己发送的B）签发的文件是真实文件C）信息对任何人都是保密的D）交易者双方的身份,想一想?,导航,后一页,前一页,末页,退出,思考与练习,4.属于X.509数字证书的内容有（）A）证书的版本信息 B）证书的发行机构C）证书发行者对证书的签名 D）证书所有人的私人密钥5.安全电子交易SET标准的开发者包括（）A）MasterCard B）HP C）BullD）Visa6.防火墙有哪些优点？（）A）提高计算机主系统总体的安全性B）提高网络的速度C）控制对网点系统的访问D）数据加密,想一想?,导航,后一页,前一页,末页,退出,思考与练习,7.SET协议运行的目标主要有（）A）保证信息在互联网上安全传输B）保证电子商务参与者信息的相互隔离C）提供商品或服务D）通过支付网关处理消费者和在线商店之间的交易付款问题8.按照计算机病毒攻击的系统分类，有（）A）DOS病毒 B）Windows病毒 C）UNIX病毒D）源码病毒9.以下哪些是安全电子交易过程的参与者（）A）支付网关 B）消费者 C）认证中心 D）政府10.数字时间戳文件包含的内容有（）A）需加时间戳的文件的摘要B）DTS收到文件的日期和时间C）用户的私钥 D）DTS的数字签名,导航,后一页,前一页,末页,退出,思考与练习,导航,后一页,前一页,末页,6-4 简答题1）什么是计算机病毒？2）简述防火墙的定义及优点。3）简述数字签名的工作原理。4）什么是CA？它有哪些功能？5）绘图说明SET协议交易流程。,退出,思考与练习,导航,后一页,前一页,末页,6-5 实验题1）针对你的计算机，考虑一个最佳的防病毒措施以确保计算机的安全。2）张晓东在一家外资公司上班，薪水很高，但是工作很忙，听朋友介绍网上购物安全又方便，他觉得这种购物方式很好。现在请帮助他在网站上申请个人数字证书，用户资料自拟。,退出,本章小结,本章阐述了电子商务安全和电子商务安全所涉及的主要技术和电子商务安全协议。电子商务安全的现状是不容乐观的，导致了电子商务安全需求。网络安全技术主要介绍了防火墙和病毒防范技术。加密技术主要包括对称密钥加密和非对称密钥加密技术。数字签名和数字时间戳是加密技术的应用。认证技术主要介绍了数字证书和认证中心。电子商务安全协议主要介绍了SSL协议和SET协议。,导航,后一页,前一页,末页,退出,