第5章電子商務(wù)網(wǎng)絡(luò)安全技術(shù)知識目標能力目標通過對信息加密技術(shù)、數(shù)字簽名技術(shù)與應(yīng)用、防火墻的構(gòu)造與選擇、計算機病毒及其防治、電子商務(wù)安全協(xié)議的詳細介紹，使讀者掌握先進的網(wǎng)絡(luò)安全技術(shù)，有效保障電子商務(wù)的安全。

能應(yīng)用計算機技術(shù)與網(wǎng)絡(luò)技術(shù)的知識，分析相關(guān)案例，探析防御計算機病毒與黑客的解決方案。

第5章電子商務(wù)網(wǎng)絡(luò)安全技術(shù)引導(dǎo)案例家住（寧夏）中衛(wèi)市沙坡頭區(qū)的14歲輟學少年拜某，利用電腦軟件盜竊他人網(wǎng)上銀行賬號，并竊取他人存款。2008年9月10日，拜某被中衛(wèi)市公安局沙坡頭區(qū)分局民警抓獲。今年7月26日，中衛(wèi)市沙坡頭區(qū)一居民的網(wǎng)上銀行賬號被盜，卡上存款4800元被盜取.經(jīng)過艱苦細致的工作，辦案民警發(fā)現(xiàn)拜某有重大作案嫌疑。在充分的證據(jù)面前，拜某交代：今年7月26日，他利用電腦軟件盜取沙坡頭區(qū)一被害人的網(wǎng)上銀行賬號及密碼，盜竊存款4800元。拜某同時供述：今年8月，他曾盜取一被害人的網(wǎng)上銀行賬號，盜竊Q幣6000元。另外，拜某還伙同他人在銀川某網(wǎng)吧盜取一被害人的網(wǎng)上銀行賬號，竊取他人現(xiàn)金1.2萬元，全部用于網(wǎng)上交易。因拜某年僅14歲，警方對其進行了批評教育，并責成其家長對其予以訓誡和監(jiān)管。

第5章電子商務(wù)網(wǎng)絡(luò)安全技術(shù)1．網(wǎng)絡(luò)犯罪對電子商務(wù)網(wǎng)絡(luò)交易能構(gòu)成哪些威脅？2、產(chǎn)生網(wǎng)絡(luò)犯罪的原因是什么？3、哪些計算機技術(shù)可以保障電子商務(wù)的安全？

5.1電子商務(wù)的安全需求5.1.1電子商務(wù)所面臨的安全問題在電子商務(wù)整個運作過程中，會面臨各種安全問題。典型的安全問題包括：安全漏洞、病毒感染、黑客攻擊、網(wǎng)絡(luò)仿冒以及來自其他方面的各種不可預(yù)測的風險。分析電子商務(wù)的安全問題，就是根據(jù)實際考察結(jié)果，確定各種可能出現(xiàn)的安全問題，分析其不同程度的危害性，找出電子商務(wù)潛在的安全隱患和安全漏洞，從而有的放矢的運用相關(guān)電子商務(wù)的技術(shù)來加以控制和管理。5.1.1電子商務(wù)所面臨的安全問題1．安全漏洞即使使用者在合理配置了產(chǎn)品的條件下，由于產(chǎn)品自身存在的缺陷，產(chǎn)品的運行可能被改變以產(chǎn)生非設(shè)計者預(yù)期的后果，并可最終導(dǎo)致安全性被破壞的問題，包括使用者系統(tǒng)被非法侵占、數(shù)據(jù)被非法訪問并泄露，或系統(tǒng)拒絕服務(wù)等。我們將這些缺陷稱為安全漏洞。近年安全漏洞數(shù)量不斷增加，仍是信息系統(tǒng)的主要安全隱患。據(jù)美國CERT/CC（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處理中心）統(tǒng)計，該組織2007年全年收到信息系統(tǒng)安全漏洞報告7236個。自1995年以來，漏洞報告總數(shù)已達38016個，具體統(tǒng)計結(jié)果如圖5.1所示。5.1.1電子商務(wù)所面臨的安全問題5.1.1電子商務(wù)所面臨的安全問題2007年微軟公司正式公布了69個具有編號的安全漏洞。其中，除Windows操作系統(tǒng)漏洞外，安全漏洞更多的集中出現(xiàn)在了IE瀏覽器和MSOffice等應(yīng)用軟件上。CNCERT/CC對于漏洞發(fā)布一直予以高度重視，2007年共整理發(fā)布與我國用戶密切相關(guān)的漏洞公告104個。5.1.1電子商務(wù)所面臨的安全問題2．病毒感染“Nimaya（熊貓燒香）”病毒事件處理Nimaya（熊貓燒香）病毒在2007年初出現(xiàn)流行趨勢，該病毒具有感染、傳播、網(wǎng)絡(luò)更新、發(fā)起分布式拒絕服務(wù)攻擊（DDoS）等功能。“熊貓燒香”的傳播方式同時具備病毒和蠕蟲的特性，危害較大。處理反google病毒2007年8月出現(xiàn)一種反google的病毒，感染該病毒的用戶在打開G或者G時，會看到提示：“Google退出中國，請用百度進行搜索”。這是由于被感染主機的hosts文件被惡意修改，導(dǎo)致用戶對google網(wǎng)站的訪問被引向含有大量惡意代碼的惡意服務(wù)器，該主機對應(yīng)域名為591。5.1.1電子商務(wù)所面臨的安全問題3．黑客攻擊黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的。5.1.1電子商務(wù)所面臨的安全問題1）分布式拒絕服務(wù)攻擊拒絕服務(wù)攻擊（DoS）的有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。分布式拒絕服務(wù)攻擊（DDoS）的攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。5.1.1電子商務(wù)所面臨的安全問題被DDoS攻擊時的現(xiàn)象：被攻擊主機上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機無法正常和外界通訊；利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機無法及時處理所有正常請求；嚴重時會造成系統(tǒng)死機。5.1.1電子商務(wù)所面臨的安全問題2007年1月15日，CNCERT/CC接到某招商網(wǎng)的事件報告，稱該公司網(wǎng)站遭到已持續(xù)一個月的DDoS攻擊，流量峰值達到1G。CNCERT/CC對該ADSL用戶的機器進行了深入分析，發(fā)現(xiàn)黑客是利用重慶市的一臺服務(wù)器作為跳板，而最終的控制服務(wù)器位于福建省。5.1.1電子商務(wù)所面臨的安全問題2）僵尸網(wǎng)絡(luò)僵尸網(wǎng)絡(luò)（BotNet），是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。

5.1.1電子商務(wù)所面臨的安全問題5.1.1電子商務(wù)所面臨的安全問題3）網(wǎng)絡(luò)仿冒2004年12月8日，中國銀行發(fā)現(xiàn)，有一網(wǎng)站為，企圖盜取銀行賬號和密碼。同樣的事情也發(fā)生在中國工商銀行身上。欺詐網(wǎng)站以為網(wǎng)址，而真正的工行網(wǎng)站網(wǎng)址為WWW.ICBC.COM.CN，“1”和“I”一字之差。5.1.1電子商務(wù)所面臨的安全問題網(wǎng)絡(luò)仿冒事件報告者數(shù)量VeriSign(美國網(wǎng)絡(luò)安全公司)259eBay(美國網(wǎng)上交易站點)255RSACyota(美國網(wǎng)絡(luò)安全公司)128Castlecops(美國網(wǎng)絡(luò)安全機構(gòu))143MarkMornitor(美國網(wǎng)絡(luò)安全公司)74表5.12007年向CNCERT/CC報告網(wǎng)絡(luò)仿冒事件前5名統(tǒng)計5.1.1電子商務(wù)所面臨的安全問題4．觸發(fā)電子商務(wù)安全問題的原因

從安全問題中我們可以看出，它不是個別現(xiàn)象，只要有網(wǎng)絡(luò)的存在，安全問題就不容忽視。它不僅影響了網(wǎng)絡(luò)業(yè)務(wù)的正常運轉(zhuǎn)，擾亂了網(wǎng)絡(luò)秩序，還會造成很多直接或者間接的經(jīng)濟損失。為了盡可能避免安全損失，刨根究底，首先要了解造成這些問題的間接的經(jīng)濟損失。為了盡可能避免安全損失，刨根究底，首先要了解造成這些問題的癥結(jié)所在。概括起來有兩個方面：先天原因和后天原因。后天原因里又可細分為管理、人和技術(shù)三個方面。5.1.1電子商務(wù)所面臨的安全問題（1）先天原因

電子商務(wù)的實現(xiàn)依賴于網(wǎng)絡(luò)，沒有網(wǎng)絡(luò)的存在，電子商務(wù)無從談起。但是，電子商務(wù)卻是繼網(wǎng)絡(luò)之后才出現(xiàn)的，是網(wǎng)絡(luò)發(fā)展過程中的產(chǎn)物。所以當初網(wǎng)絡(luò)的建立僅考慮了網(wǎng)絡(luò)不會因為局部故障而影響信息的傳輸這個問題，并沒有顧及到電子商務(wù)安全，這樣，它的全球性、開放性和共享性就使得電子商務(wù)過程中傳輸?shù)男畔踩嬖谙忍觳蛔悖诳蛡兙涂梢岳霉驳木W(wǎng)絡(luò)環(huán)境，傳播各種病毒等。（2）后天原因

管理、人

、技術(shù)5.1電子商務(wù)的安全需求5.1.2電子商務(wù)安全需求針對電子商務(wù)的安全問題的構(gòu)成，我們提出了電子商務(wù)安全的需求。只有提供了以下5方面安全性，才滿足電子商務(wù)安全的基本需求。這5方面分別是：保密性、完整性、認證性、可控性、不可否認性，如表5.2所示。

術(shù)語定義保密性（security）保護機密信息不被非法存取以及信息在傳輸過程中不被非法竊取完整性（integrity）防止信息在傳輸過程中丟失和重復(fù)以及非法用戶對信息的惡意篡改認證性（authenticity）確保交易信息的真實性和交易雙方身份的合法性可控性（accesscontrol）保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法人員訪問不可否認性（non-repudiation）有效防止通信或交易雙方對已進行的業(yè)務(wù)的否認表5.2電子商務(wù)安全需求5.1.2電子商務(wù)安全需求由于信息在開放、共享性的INTERNET上傳播，為了不讓他人知道傳播中信息的內(nèi)容，可以采用加密技術(shù)保證信息的保密性；同樣的，在傳播過程中如果商務(wù)數(shù)據(jù)被更改，如訂單數(shù)量由10000變成1000000，那買賣雙方損失都是巨大的，所以還應(yīng)當通過數(shù)字簽名等技術(shù)來確保數(shù)據(jù)的完整性。網(wǎng)絡(luò)是個虛擬的世界，有個經(jīng)典的說法就是在網(wǎng)上和你聊天的也許是條狗。然而電子商務(wù)活動是需要誠信的，如何來確定交易雙方的身份就顯得至關(guān)重要。目前，認證性是通過認證中心發(fā)放數(shù)字證書來實現(xiàn)的。通過授權(quán)的方式，可以保護信息資源不被未經(jīng)授權(quán)者使用、修改等，并可通過相關(guān)的技術(shù)，如防火墻，將病毒代碼程序隔絕，以此達到可控性的目的。交易抵賴行為在現(xiàn)實中屢見不鮮，更何況是在虛擬的網(wǎng)絡(luò)世界。因此不可否認性成為電子商務(wù)安全的基本需求之一，它可以通過對所發(fā)送的消息進行數(shù)字簽名來獲得。

5.1電子商務(wù)的安全需求5.1.3電子商務(wù)系統(tǒng)安全的構(gòu)成電子商務(wù)系統(tǒng)，從某種意義上來說，其實就是一種計算機信息系統(tǒng)。我們對于計算機信息系統(tǒng)一般是這樣定義的：計算機信息系統(tǒng)是指由計算機及相關(guān)的配套的設(shè)備構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。這樣，我們就可以從計算機信息系統(tǒng)的角度來闡述電子商務(wù)系統(tǒng)的安全，認為電子商務(wù)系統(tǒng)的安全是由系統(tǒng)安全、系統(tǒng)運行安全和系統(tǒng)信息安全這三個部分來組成的。其整體的安全結(jié)構(gòu)如圖5.3所示。5.1電子商務(wù)的安全需求1．系統(tǒng)實體安全電子商務(wù)系統(tǒng)安全的第一部分是實體安全，實體安全，是指保護計算機設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施、過程。（1）環(huán)境安全是指要對電子商務(wù)系統(tǒng)所在的環(huán)境實施安全保護。（2）設(shè)備安全是指對電子商務(wù)系統(tǒng)的設(shè)備進行安全保護。（3）媒體安全是指對媒體數(shù)據(jù)和媒體本身實施安全保護。圖5.3電子商務(wù)系統(tǒng)安全的構(gòu)成5.1電子商務(wù)的安全需求2．系統(tǒng)運行安全電子商務(wù)系統(tǒng)安全的第二個組成部分是運行安全，運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施來保護信息處理過程的安全。（1）風險分析。（2）審計跟蹤。（3）備份與恢復(fù)。（4）應(yīng)急運行安全中的應(yīng)急措施。圖5.3電子商務(wù)系統(tǒng)安全的構(gòu)成5.1電子商務(wù)的安全需求3．信息安全電子商務(wù)系統(tǒng)安全的第三個組成部分是信息安全，所謂信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識、控制。（1）操作系統(tǒng)安全。（2）數(shù)據(jù)庫安全。（3）網(wǎng)絡(luò)安全。圖5.3電子商務(wù)系統(tǒng)安全的構(gòu)成5.2計算機網(wǎng)絡(luò)安全技術(shù)

5.2.1防火墻技術(shù)1．防火墻概述

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻本身具有較強的抗攻擊能力，它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。5.2.1防火墻技術(shù)防火墻主要用來提供服務(wù)控制，因此能夠提供以下4類控制服務(wù)：（1）確定可進出服務(wù)器的互聯(lián)網(wǎng)的服務(wù)類型。（2）方向控制。（3）請求控制。（4）行為控制。防火墻能控制外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的信息交流，能提供接入控制和審查跟蹤，禁止互聯(lián)網(wǎng)中未經(jīng)授權(quán)的計算機侵入有防火墻保護的內(nèi)部網(wǎng)絡(luò)的計算機系統(tǒng)。因此防火墻具有這樣的局限性：1）防火墻防外不防內(nèi)。2）防火墻難于管理和配置，易造成安全漏洞。3）很難為用戶在防火墻內(nèi)外提供一致的安全策略。4）防火墻只實現(xiàn)粗略的訪問控制。5.2.1防火墻技術(shù)2．防護墻的分類（1）包過濾防火墻。包過濾是面向網(wǎng)絡(luò)層和傳輸層的防火墻產(chǎn)品，它的工作原理是通過在網(wǎng)絡(luò)中的適當位置對數(shù)據(jù)包進行過濾，根據(jù)檢查數(shù)據(jù)流中的每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素，然后依據(jù)一組預(yù)定義的規(guī)則，以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡(luò)，而不合乎邏輯的數(shù)據(jù)包加以刪除。（2）代理防火墻。代理防火墻是針對包過濾防火墻的缺點而引進的防火墻技術(shù)。其特點是將所有的跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段：一段是從外部網(wǎng)絡(luò)到代理服務(wù)器，另一段是從代理服務(wù)器到內(nèi)部網(wǎng)絡(luò)之間。代理防火墻的工作原理是運行在兩個網(wǎng)絡(luò)之間，它對于客戶來說像是一臺真的服務(wù)器一樣，而對于外界的服務(wù)器來說，它又是一臺客戶機。當代理服務(wù)器接受到用戶的請求后，會檢查用戶請求的站點是否符合公司的要求，如果公司允許用戶訪問該站點的話，代理服務(wù)器會像一個客戶一樣，去那個站點取回所需要的信息再發(fā)給客戶。代理防火墻是應(yīng)用最廣泛的一種防火墻，分為透明和不透明兩種。5.2.2虛擬專用網(wǎng)技術(shù)

5.2.2虛擬專用網(wǎng)技術(shù)1．VPN簡介虛擬專用網(wǎng)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN可分為三大類；第一類，是企業(yè)各部門與遠程分支之間的IntranetVPN；第二類，是企業(yè)網(wǎng)與遠程雇員之間的遠程訪問VPN；第三類，是企業(yè)與合作伙伴、客戶、供應(yīng)商之間的IntranetVPN。5.2.2虛擬專用網(wǎng)技術(shù)2．虛擬專用網(wǎng)工作原理概括起來，VPN就是通過共享，即公用網(wǎng)絡(luò)在兩臺機器或兩個網(wǎng)絡(luò)之間建立的專用連接。實際上，VPN技術(shù)可以安全地通過因特網(wǎng)將網(wǎng)絡(luò)服務(wù)延伸至遠程用戶、分支機構(gòu)和合作公司。換而言之，VPN把因特網(wǎng)變成了模擬的專用WAN（廣域網(wǎng)）。由于因特網(wǎng)的觸角伸及全球，如今使用網(wǎng)絡(luò)逐漸成了大多數(shù)用戶和組織的標準慣例。因而，VPN可以快速、經(jīng)濟而安全地建立通信鏈路。5.2.2虛擬專用網(wǎng)技術(shù)3．虛擬專用網(wǎng)的功能及其分類（1）虛擬專用網(wǎng)提供的功能1）加密數(shù)據(jù)，以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。2）信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。3）提供訪問控制，不同的用戶有不同的訪問權(quán)限。（2）VPN的分類1）VPDN（VirtualPrivateDialNetwork）2）IntranetVPN3）IntranetVPN5.2計算機網(wǎng)絡(luò)安全技術(shù)5.2.3身份識別技術(shù)身份識別是指用戶向系統(tǒng)出示自己身份證明的過程。身份鑒別是系統(tǒng)查核用戶的身份證明的過程，實質(zhì)上是查明用戶是否具有他所請求資源的存儲和使用權(quán)。人們通常把這兩項工作統(tǒng)稱為身份鑒別，它是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)。身份鑒別必須做到準確無誤的將對方辨認出來，同時還應(yīng)該提供雙向的鑒別，即相互證明自己的身份。信息技術(shù)領(lǐng)域的身份鑒別是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體可能是用戶、主機、應(yīng)用程序甚至進程。證據(jù)與身份之間是一一對應(yīng)的關(guān)系，雙方通信過程中，一方實體向另一方提供這個證據(jù)證明自己的身份，另一方通過相應(yīng)的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所宣稱的身份一致。結(jié)合電子商務(wù)的實際情況，本節(jié)對常見的身份鑒別機制進行了探討，并對它們的安全性進行分析研究。

5.2.3身份識別技術(shù)1．基于口令的鑒別技術(shù)

這是目前在互聯(lián)網(wǎng)和計算機領(lǐng)域中最常用的鑒別方法，當你登錄計算機網(wǎng)絡(luò)時需要輸入口令。計算機系統(tǒng)把它的鑒別建立在用戶名和口令的基礎(chǔ)之上，如果你把用戶名和口令告訴了其他人，則計算機也將給予那個人以訪問權(quán)限，因為鑒別是建立在已知口令之上的，僅僅屬于一種模式的鑒別。通過一些措施可以有效地改進口令鑒別的安全性。如通過增加口令的強度，提高抗窮舉攻擊和字典攻擊的能力；將口令加密防止在傳輸中被竊聽；采用動態(tài)的一次性口令系統(tǒng)，防止口令的重放等。

5.2.3身份識別技術(shù)2．基于智能卡的鑒別技術(shù)

這種方法較為先進一些，因為用戶需要一些物理原件，例如樓宇通行卡的鑒別方式，只有在掃描器上劃卡并通過驗證的人才能進入大樓。這里鑒別是建立在這張卡之上，如果你把這張卡借給了別人，那個人也能進入這幢大樓。因此，如果你希望為進入大樓創(chuàng)建一個更加精密的鑒別系統(tǒng)，你可以要求不僅提供通行卡而且要有口令鑒別。在計算機領(lǐng)域中，一個典型例子是智能卡和數(shù)字鑒別的混合使用。所有的智能卡都含有一塊芯片，芯片中包含了一些擁有持卡人的個人信息，如駕照信息及醫(yī)療信息等等，一塊智能卡與標準信用卡大小相等甚至更大，尺寸大小主要取決于內(nèi)嵌芯片的功能。有時內(nèi)嵌芯片包含只讀信息，芯片比起信用卡背面的磁條卡含有更多的信息，這種類型的智能卡通常只能開發(fā)一次，并且完全依賴于智能卡可讀器來進行操作。還有一種智能卡可以不使用讀卡器，它形狀類似于普通的USB盤或者軟件狗（dongle），這種智能卡也稱作電子鑰匙（e-key），可以直接插在電腦的USB接口上使用。這種智能卡具有內(nèi)置的CPU，可以進行高強度的加密運算，并能保存秘密信息。使用時，用戶需要首先輸入PIN碼（個人身份識別碼），PIN認證成功后，即可讀取智能卡上的秘密信息。5.2.3身份識別技術(shù)3．基于DCE/Kerberos的鑒別機制

Kerberos系統(tǒng)是美國麻省理工學院為Athena工程而設(shè)計的，為分布式計算環(huán)境提供一種對用戶雙方進行驗證的鑒別方法。Kerberos是一種非常安全的雙向身份鑒別技術(shù)，其身份鑒別強調(diào)了客戶機對服務(wù)器的鑒別，而別的身份鑒別技術(shù)往往只解決了服務(wù)器對客戶機的鑒別。Kerberos有效地防止了來自服務(wù)器端身份假冒的欺騙。它的安全機制在于首先對發(fā)出請求的用戶進行身份鑒別，確認其是否是合法的用戶，如是合法的用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進行訪問。從加密算法上來講，其身份鑒別是建立在對稱加密的基礎(chǔ)上的。

5.2.3身份識別技術(shù)4．基于人的生理特征的鑒別技術(shù)這種過程通常需要一些物理因素，如基因或其他一些不能復(fù)制的個人特征。到目前為止，高級生物學鑒別已經(jīng)很有經(jīng)驗，并且在一些高安全環(huán)境中得到了實施。這種方法包括指紋，面部掃描器，視網(wǎng)膜掃描器和語音分析。面像識別技術(shù)。人的指紋或者掌紋的身份鑒別技術(shù)。基于聲音的語音識別和語音驗證。5.2.3身份識別技術(shù)5．基于公共密鑰的鑒別機制PKI（公鑰基礎(chǔ)設(shè)施）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。例如，某企業(yè)可以建立公鑰基礎(chǔ)設(shè)施（PKI)體系來控制對其計算機網(wǎng)絡(luò)的訪問。在將來，企業(yè)還可以通過公鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)來完成對進入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。PKI讓電子商務(wù)用戶或企業(yè)用戶安全地從事其涉及敏感信息的工作。企業(yè)員工可以在互聯(lián)網(wǎng)上安全地發(fā)送電子郵件而不必擔心其發(fā)送的信息被非法的第三方（競爭對手等）截獲。企業(yè)可以建立其內(nèi)部Web站點，只對其信任的客戶發(fā)送信息。在電子交易中，無論是數(shù)字時間戳服務(wù)還是數(shù)字證書的發(fā)放，都不是交易雙方能完成的，而需要由一個具有權(quán)威性和公正性的第三方來完成。鑒別中心就是承擔網(wǎng)上安全電子交易鑒別服務(wù)、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務(wù)機構(gòu)。鑒別中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。5.2計算機網(wǎng)絡(luò)安全技術(shù)5.2.4黑客與病毒防范技術(shù)1．黑客簡介在這里，使用術(shù)語“黑客”的當前定義----闖入計算機系統(tǒng)的人，應(yīng)該注意，黑客在過去不是一個貶義詞，而是指可以讓計算機工作的人。也許更合適的術(shù)語應(yīng)該是cracker或criminal，通常人們理解的黑客是指那些試圖入侵計算機系統(tǒng)或使計算機系統(tǒng)不能使用的人。研究表明黑客最可能的特征是：男性16歲到35歲之間孤獨者聰明精通技術(shù)5.2.4黑客與病毒防范技術(shù)2．黑客攻擊概述攻擊是指任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為。從法律上來說，攻擊僅僅發(fā)生在入侵行為完全完成時，并且入侵者已在目標網(wǎng)絡(luò)內(nèi)；可能使一個網(wǎng)絡(luò)受到破壞的所有行為，即從一個入侵者開始在目標機上工作的那刻起，攻擊就開始了。（1）黑客攻擊分類1）從攻擊的位置上分2）從攻擊的層次上可以分5.2.4黑客與病毒防范技術(shù)（2）黑客攻擊的目的進程的執(zhí)行獲取文件和傳輸中的數(shù)據(jù)獲得超級用戶權(quán)限對系統(tǒng)的非法訪問進行不許可的操作拒絕服務(wù)涂改信息暴露信息挑戰(zhàn)政治意圖經(jīng)濟利益破壞5.2.4黑客與病毒防范技術(shù)（3）已有解決方法的黑客攻擊手段黑客對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”、“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分黑客攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下六類：1）拒絕服務(wù)攻擊。2）非授權(quán)訪問嘗試。3）預(yù)探測攻擊。5.2.4黑客與病毒防范技術(shù)（4）常見黑客攻擊方法獲取口令放置特洛伊木馬程序電子郵件攻擊炸彈網(wǎng)絡(luò)監(jiān)聽電磁輻射監(jiān)聽拒絕服務(wù)分布式拒絕服務(wù)攻擊尋找系統(tǒng)漏洞竊取TCP連接5.2.4黑客與病毒防范技術(shù)3．計算機病毒簡介1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，其中計算機病毒被明確定義為：“編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。”此定義具有法律性、權(quán)威性。可見，計算機病毒是一種特殊編制的、具有自我再生能力的計算機系統(tǒng)，能夠侵入互聯(lián)網(wǎng)的計算機系統(tǒng)，并能擾亂、破壞計算機的正常運行。5.2.4黑客與病毒防范技術(shù)4．計算機病毒的分類（1）按攻擊對象的操作系統(tǒng)分類（2）按表現(xiàn)性質(zhì)分類（3）按寄生的方式分類（4）按感染的方式分類（5）按侵入途徑分類5.2.4黑客與病毒防范技術(shù)5．計算機病毒的防范計算機病毒的類型有很多，可以通過不同的途徑來傳播，不同的計算機病毒具有不同的發(fā)作癥狀和破壞行為，可謂五花八門，讓人覺得難以對付。但事實上，通過采取技術(shù)上和管理上的措施，計算機病毒是可以防范的。防范是對付計算機病毒積極而有效的措施，畢竟病毒出現(xiàn)之后再去掃描和清除更能有效地保護計算機系統(tǒng)。雖然難免會同樣出現(xiàn)新的病毒，但是只要提高反病毒的警惕意識，依靠反病毒技術(shù)和管理措施，新的病毒就無法逾越計算機安全保護屏障，不能廣泛傳播。5.2.4黑客與病毒防范技術(shù)6．提高計算機病毒的防范意識防范計算機病毒，首先要在思想上重視其給計算機安全運行帶來的危害。要意識到，計算機病毒輕則影響工作，重則將磁盤中的儲存的數(shù)據(jù)破壞，造成無法控制的計算機癱瘓，造成無法估計的損失。對于計算機病毒，有病毒防護意識的人和沒有病毒防護意識的人會采取完全不同的態(tài)度。例如對反病毒研究人員，即使機器內(nèi)存儲有上千種病毒，系統(tǒng)也不會被隨意破壞，所采取的防護措施也并不復(fù)雜。而對病毒毫無經(jīng)驗意識的人員，計算機顯示屏上出現(xiàn)了病毒信息，可能都不會認真觀察一下，任其在系統(tǒng)中進行破壞。其實，只要稍有警惕，病毒在傳染時和傳染后留下的蛛絲馬跡，總是能被及時發(fā)現(xiàn)的，如輔之以病毒檢測程序和進行人工檢測，完全可以提前發(fā)現(xiàn)病毒，或者在病毒進行傳染的過程中被發(fā)現(xiàn)，并及時做出補救措施。5.2.4黑客與病毒防范技術(shù)7．加強計算機病毒的防范管理科學的管理如同為計算機系統(tǒng)增加了一道堅固的保護墻，能夠有效防范計算機病毒的入侵，同時也是安全使用計算機系統(tǒng)的基礎(chǔ)。（1）尊重知識產(chǎn)權(quán)。（2）采取必要的病毒檢測、監(jiān)控措施，制定完善的管理規(guī)則。（3）對于多人共用一臺計算機的環(huán)境，應(yīng)該建立計算機系統(tǒng)使用登記制度，詳細記錄機器管理者、使用者的情況。（4）加強教育和宣傳工作。（5）建立有效的計算機病毒防護體系。（6）建立、完善各種法律制度，保障計算機系統(tǒng)的安全性。

5.3電子商務(wù)的安全技術(shù)

5.3.1加密技術(shù)1．數(shù)據(jù)加密技術(shù)概述密碼學主要包含兩個分支，即密碼編碼學和密碼分析學，前者研究對信息進行編碼以實現(xiàn)信息隱蔽，后者則研究如何破譯密文，兩者相互對立又相互促進。一個典型的數(shù)據(jù)加密系統(tǒng)模型如圖5.5所示。加密前的數(shù)據(jù)稱為明文，用M表示，加密后的數(shù)據(jù)稱為密文，用C表示。把明文M經(jīng)過加密算法E和加密密鑰Ke的計算后得到密文C的過程稱為加密。把密文C經(jīng)過解密D和解密密鑰Kd的計算后得到明文M的過程稱為解密。為了加密和解密的需要，有時還要把加密密鑰Ke和解密密鑰Kd傳送給對方。5.3.1加密技術(shù)圖5.5數(shù)據(jù)加密系統(tǒng)的通用模型5.3.1加密技術(shù)字母ABC……Z空格，./:?算法010203……26272829303132算法111213……36373839404142密文ＫＬＭＤＥＦＧＨＩＪ（1）由于設(shè)計算法很困難，因此基于密鑰的變化就解決了這一難題。（2）簡化了發(fā)送方與多個接收方之間加密信息的傳送過程，即發(fā)送方只需使用同一個算法，使用不同的密鑰就可以向多個接收方發(fā)送密文。（3）如果密文被破譯，換一個密鑰就能解決問題。表5.3一個簡單的密碼表5.3.1加密技術(shù)2．對稱加密對稱加密又稱單鑰密碼系統(tǒng)，是指使用相同的密鑰加密和解密，即Ke=Kd。由于加密和解密使用的是同一密鑰，所以發(fā)送者和接收者都必須知道密鑰。對稱加密的優(yōu)點在于對信息編碼和解碼的速度快，效率高。對稱加密的主要缺點是如何將新密鑰安全地發(fā)送給授權(quán)雙方；如何對數(shù)量龐大的密鑰進行分發(fā)、傳輸和存儲。在電子商務(wù)中常用的對稱密鑰密碼算法是DES（DataEncryptionStandard，數(shù)據(jù)加密標準）。綜上所述，由于提供安全密鑰管理的難度很大，對稱加密也就很難成為電子商務(wù)中占主導(dǎo)地位的加密方法。5.3.1加密技術(shù)3．非對稱加密非對稱加密又稱為公鑰密碼系統(tǒng)，主要特點是加密和解密使用不同的密鑰，即Ke不等于Kd。在非對稱加密系統(tǒng)中，每個用戶保存著一對密鑰——公鑰和私鑰。公鑰是公開的，可以公開傳送給需要的人，私鑰只有本人知道，用公鑰加密的信息只能用相關(guān)的私鑰才能解密，并且在算法上保證從公鑰無法推導(dǎo)出私鑰。在實際使用中，用戶必須根據(jù)不同的對象使用不同的密鑰。如果用戶要向?qū)Ψ桨l(fā)送保密信息，需要使用對方的公鑰加密后發(fā)出，對方使用自己的私鑰即能解密，由于第三者不知道接收者的私鑰，所以無法竊取信息。其過程如圖5.6所示。5.3.1加密技術(shù)圖5.6在非對稱加密系統(tǒng)中發(fā)送保密信息5.3.1加密技術(shù)圖5.7在非對稱加密系統(tǒng)中對信息發(fā)送者進行身份驗證5.3.1加密技術(shù)RSA算法：（1）選取兩個足夠大的質(zhì)數(shù)P和Q。（2）計算P和Q相乘所產(chǎn)生的乘積n=P*Q。（3）找出一個小于n的數(shù)e，使其符合與(P-1)*(Q-1)互為質(zhì)數(shù)。（4）另找一個小于n的數(shù)d，使其滿足（e*d）MOD[（P-1）*（Q-1）]=1。其中，MOD（模）為相除取余；（n*e）即為公鑰；（n*d）為私鑰。如果用C表示密文，用M表示明文，則加密過程為C=M^e（MODn）。解密過程為M=C^d（MODn）。假定P=3，Q=11，則n=P*Q=33，選擇e=3，因為3和20沒有公共因子。（3*d）MOD(20)=1，得出d=7.從而得到（33，3）為公鑰，（33，7）為私鑰。加密過程為C=M^3(MOD33)，解密過程為M=C^7（MOD33）。5.3電子商務(wù)的安全技術(shù)5.3.2加密技術(shù)的應(yīng)用1．數(shù)字簽名（DigitalSignature）圖5.8數(shù)字簽名的過程5.3.2加密技術(shù)的應(yīng)用2．數(shù)字時間戳（Digitaltime-syamp）

圖5.9加密數(shù)字時間戳的過程5.3.2加密技術(shù)的應(yīng)用3．認證技術(shù)（1）數(shù)字證書數(shù)字證書也稱為公開密鑰證書，是網(wǎng)絡(luò)通信中標識個人、計算機系統(tǒng)或組織的身份和密鑰所有權(quán)的電子文檔，其作用類似于現(xiàn)實生活中的身份證。它是由交易各方共同信任的第三方權(quán)威機構(gòu)發(fā)行的，人們可以用它在電子商務(wù)交易中標識各自的身份。交易伙伴之間可以使用數(shù)字證書來交換公開密鑰。數(shù)字證書的國際標準是由國際電信聯(lián)盟制定的X.509標準。X.509證書通常存放在X.500目錄中供檢索。X.500目錄是一個全球性的信息通信目錄，由不同的國家或組織擁有和管理不同的部分，目錄中數(shù)據(jù)按樹型分層組織。5.3.2加密技術(shù)的應(yīng)用X.509數(shù)字證書標準的數(shù)字證書一般應(yīng)包含以下內(nèi)容：證書擁有者的名稱，命名規(guī)則一般采用X.500格式。頒發(fā)數(shù)字證書單位的名稱。頒發(fā)數(shù)字證書單位的數(shù)字簽名。證書的序列號，每個證書都有唯一的證書序列號。證書的版本號。證書的有效期，通用的證書一般采用UTC的時間格式，它的計時范圍為1950~2049年。證書擁有者的公鑰及所使用的加密算法等有關(guān)信息。5.3.2加密技術(shù)的應(yīng)用（2）數(shù)字證書的工作原理。數(shù)字證書采用公開密鑰體制，即利用一對相互匹配的公鑰和私鑰進行加密和解密。每個用戶設(shè)定一把特定的僅為本人所知的私鑰，用于解密和簽名，同時設(shè)定一把可以公開的公鑰，用于加密和驗證簽名。5.3.2加密技術(shù)的應(yīng)用（3）數(shù)字證書的類型。數(shù)字證書有三種類型：個人數(shù)字證書、企業(yè)數(shù)字證書和軟件數(shù)字證書。個人數(shù)字證書僅僅為某個用戶提供憑證，一般安裝在客戶瀏覽器上，以幫助個人在網(wǎng)上進行安全電子商務(wù)交易，如從事網(wǎng)上炒股、網(wǎng)上保險、網(wǎng)上繳費、網(wǎng)上購物、網(wǎng)上辦公、發(fā)送加密或簽名的個人電子郵件等。企業(yè)數(shù)字證書是為網(wǎng)上的某個企業(yè)Web服務(wù)器提供憑證，利用企業(yè)數(shù)字證書可以使企業(yè)在網(wǎng)上進行安全電子交易，如開啟服務(wù)器SSL安全通道，使用戶和企業(yè)Web服務(wù)器之間的信息傳遞以加密的形式進行；要求用戶出示個人數(shù)字證書，以防止企業(yè)Web服務(wù)器被未授權(quán)的用戶入侵。軟件數(shù)字證書是為軟件開發(fā)者提供憑證，證明該軟件的合法性。利用軟件數(shù)字證書可以在網(wǎng)上使用該軟件，同時也可提供給網(wǎng)上其他用戶使用合法軟件。5.3.2加密技術(shù)的應(yīng)用（4）認證中心電子商務(wù)認證授權(quán)機構(gòu)也稱為電子商務(wù)中心，即通常所說的CA。認證中心的職能：證書發(fā)放。證書更新。證書撤消。證書驗證。5.3.2加密技術(shù)的應(yīng)用截至2007年5月全國已有23家電子認證機構(gòu)獲得了認證證書。這23家機構(gòu)累計發(fā)放證書已有600多萬張，應(yīng)用對象涉及工商、稅務(wù)、海關(guān)、商貿(mào)、質(zhì)監(jiān)、藥檢等政府部門和城市網(wǎng)上交易的企事業(yè)單位。應(yīng)用的項目涉及到工商年檢、網(wǎng)上報稅，網(wǎng)上采購，網(wǎng)上交易還有網(wǎng)上支付。5.4電子商務(wù)的安全協(xié)議5.4.1安全套接層協(xié)議SSL

1．SSL協(xié)議的概念SSL協(xié)議是由美國NETSCAPE公司開發(fā)和倡導(dǎo)的，是早期的一種安全電子支付協(xié)議，其主要目標是保證兩個應(yīng)用方之間通信的保密性和可靠性，是實現(xiàn)兼容瀏覽器和服務(wù)器（通常是WEB服務(wù)器）之間安全通信的協(xié)議。是一種保護WEB通信的工業(yè)標準。5.4.1安全套接層協(xié)議SSL2．SSL協(xié)議的功能SSL協(xié)議的工作過程

5.4.1安全套接層協(xié)議SSLSSL協(xié)議的應(yīng)用5.4.1安全套接層協(xié)議SSL5．SSL協(xié)議的缺陷SSL協(xié)議的缺陷是只能保證傳送過程安全。SSL協(xié)議有利商家不利于客戶，因為客戶的信用卡信息首先傳到商家，商家閱讀后再傳到銀行，這樣客戶資料的安全性便受到威脅。SSL協(xié)議的運行基點是商家對客戶的信息的保密和承諾，但不幸的是網(wǎng)上已經(jīng)發(fā)生過大量黑客通過商家服務(wù)器竊取信用卡號的案例。另外，該協(xié)議無法保證商家是該信用卡的特約商戶，也無法保證購買者就是該信用卡的合法擁有者。隨著電子商務(wù)的不斷發(fā)展，SSL協(xié)議作為國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全技術(shù)，其缺陷越來越多地暴露出來，并逐漸被SET協(xié)議所取代。5.4電子商務(wù)的安全協(xié)議5.4.2安全電子交易協(xié)議SET1．SET協(xié)議的概念為了克服SSL協(xié)議的缺陷，使顧客在網(wǎng)上購物時能夠保密自己的信用卡信息，使之不被他人盜用，并且在交易過程中，雙方都可認證對方的身份，以防止發(fā)生欺詐行為，VISAINTERNATIONAL、MASTERCARDINTERNATIONAL兩大國際信用卡組織機構(gòu)聯(lián)合IBM、MICROSOFT、NETSCAPE、VERISIGN、GTE等多家科研機構(gòu)和信息業(yè)者開發(fā)了SET協(xié)議。該協(xié)議主要是為了解決顧客、商家、銀行之間通過信用卡進行在線交易而設(shè)計的，它涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)定、信息保密、資料完整性、數(shù)字認證、數(shù)字簽名等，被公認為全球電子商務(wù)安全交易的標準。為管理和推廣SET標準，專門成立了SETCO協(xié)會（），在上面有關(guān)于常見問題解答、SET標準和SET文獻的鏈接。

5.4.2安全電子交易協(xié)議SET2．SET協(xié)議中的安全技術(shù)SET協(xié)議中用到了對稱加密，非對稱加密，信息摘要，數(shù)字簽名，數(shù)字信封，雙重簽名和認證技術(shù)等多種電子商務(wù)安全技術(shù)。下面簡要介紹數(shù)字信封技術(shù)和雙重數(shù)字簽名技術(shù)。（1）數(shù)字信封技術(shù)。（2）雙重簽名技術(shù)。5.4.2安全電子交易協(xié)議SET雙重簽名技術(shù)為了保證在交易過程中商家只看到訂單信息，而看不到顧客的信用卡信息，銀行只看到顧客的信用卡信息而看不到訂單信息，即使商家和銀行做到“背對背”，SET協(xié)議采用了雙重簽名技術(shù)。5.4.2安全電子交易協(xié)議SET雙重簽名的形成過程5.4.2安全電子交易協(xié)議SET數(shù)字信封技術(shù)類似SSL中建立信息安全通道的技術(shù)，即使用對稱密鑰來加密數(shù)據(jù)，然后將此對稱密鑰用接收者的公鑰加密，稱為消息的“數(shù)字信封”，將其和數(shù)據(jù)一起送給接收者。接收者先用自己的私鑰解開數(shù)字信封，拿到對稱密鑰，然后再使用對稱密鑰解開數(shù)據(jù)。（1）數(shù)字信封的工作過程圖示5.4.2安全電子交易協(xié)議SET3．使用SET協(xié)議的支付流程5.4.2安全電子交易協(xié)議SET具體的SET協(xié)議支付流程（1）顧客在支持SET的在線商店購物，并向在線商店傳遞自己的數(shù)字證書（含有顧客的公鑰）。（2）在線商店向顧客傳遞商店的數(shù)字證書（含有商店的公鑰）和支付網(wǎng)關(guān)的數(shù)字證書（含有支付網(wǎng)關(guān)的公鑰）。（3）顧客在在線商店選擇好商品并填寫訂單，然后由SET協(xié)議負責把“訂單信息+支付信息摘要+雙重簽名”的內(nèi)容用在線商店的公鑰加密，把支付信息+訂單信息摘要+雙重簽名的內(nèi)容用支付網(wǎng)關(guān)的公鑰加密，然后一起發(fā)給在線商店。5.4.2安全電子交易協(xié)議SET（4）在線商店用自己的私鑰解開被加密的“訂單信息+支付信息摘要+雙重簽名”，就可以看到顧客的訂單信息內(nèi)容，同時用顧客的公鑰解開雙重簽名，可以得到如圖5.12所示的摘要3。在線商店將收到的訂單信息用Hash加密生成新的訂單摘要，并與收到的支付信息摘要相加后再用Hash加密生成摘要3’，通過比較摘要3和摘要3’就可以確認訂單信息在傳遞過程中是否被非法修改過。通過以上分析，即可實現(xiàn)訂單信息在傳遞過程中的保密性、完整性和不可否認性。（5）由于在線商店沒有支付網(wǎng)關(guān)的私鑰，所以無法看到用支付網(wǎng)關(guān)的公鑰加密的“支付信息+訂單信息摘要+雙重簽名”的內(nèi)容，只能把這部分內(nèi)容轉(zhuǎn)交給支付網(wǎng)關(guān)。支付網(wǎng)關(guān)用自己的私鑰解開后看到支付信息內(nèi)容，再用和第（4）步相同的方法驗證支付信息在線傳遞過程中是否被非法修改過，這樣即可實現(xiàn)支付信息在傳遞過程中的保密性、完整性和不可否認性。5.4.2安全電子交易協(xié)議SET（6）發(fā)卡銀行對顧客的支付信息進行審核，同時收單銀行對商家的身份進行審核。（7）審核通過后由收單銀行向發(fā)卡銀行發(fā)出劃撥款項的請求，交易金額從購物者的銀行賬戶劃到商家銀行賬戶，同時支付網(wǎng)關(guān)向商家發(fā)出支付確認信息。（8）商家向顧客發(fā)出訂單確認信息，在線交易完畢。5.4.2安全電子交易協(xié)議SET4．SET協(xié)議和SSL協(xié)議的比較SET協(xié)議相對于SSL協(xié)議具備以下幾個優(yōu)點：（1）SET協(xié)議具有很高的安全程度，結(jié)合了DES、RSA、數(shù)字簽名、信息摘要、雙重簽名、數(shù)字信封、CA認證等多種加密安全技術(shù)。（2）SET協(xié)議可以使商家和銀行做到“背對背”，為顧客保守了更多的秘密，從而使顧客在網(wǎng)上購物時更加輕松。（3）通過CA對各交易方進行身份認證，減少了網(wǎng)上欺詐的可能。（4）SET協(xié)議提供不可否認的功能。SET協(xié)議的交易憑證中有顧客數(shù)字簽名，能夠防止顧客事后抵賴。（5）SET在具體實現(xiàn)時比較靈活，可以用在系統(tǒng)的一部分或者全部。

數(shù)據(jù)加密解密、身份認證流程圖DES密鑰對明文加密解密獲得A用戶的DES密鑰網(wǎng)絡(luò)實踐

1231．進入中國數(shù)字認證網(wǎng)，網(wǎng)址為，申請并下載免費個人安全電子郵件數(shù)字證書。2．利用上題得到的數(shù)字證書，到OutlookExpress中設(shè)置有關(guān)數(shù)字證書的參數(shù)。3．發(fā)送簽名電子郵件兩封，發(fā)送加密電子郵件兩封。44．瑞星防火墻的下載、安裝、配置、使用。思考題1231．網(wǎng)絡(luò)環(huán)境下電子商務(wù)所面臨的安全威脅有哪些？2．簡述防火墻的作用和工作原理。3．什么是SSL？什么是SET？比較兩者的異同？44．提高電子商務(wù)安全性的具體手段有哪些？知識鏈接中國數(shù)字認證網(wǎng)（）網(wǎng)絡(luò)安全頻道（）中國工商銀行個人網(wǎng)上銀行/SSL協(xié)議的應(yīng)用（）瑞星防火墻（）中國金融認證網(wǎng)（）1