第10章电子商务安全技术-阅读页

　　

【正文】 立的是最安全的防火墙系统，因为在定义了“非军事区”网络后，它支持网络层和应用层安全功能。 2/28/2023 32 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 防火墙的安全策略及局限性 – “凡是未被准许的就是禁止的” – “凡是未被禁止的就是允许的” – 不能阻止来自内部的破坏 – 不能保护绕过它的连接 – 无法安全防止新出现的网络威胁 – 不能防止病毒 2/28/2023 33 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 电子商务安全协议 要保证交易过程中数据来源可靠、传输安全、不被篡改并且能为交易各方的行为提供无或抵赖的证据，当前成熟的做法是：通过 数字证书 和 安全检查技术 解决各方 身份的交叉确认 ；通过 数字签名技术 验证 数据的完整性 、来源的 可靠性 ，并为交易各方行为提供不可抵赖的证据；通过 加密技术 确保 数据在传递过程中的保密性 。  SET:安全电子交易协议（应用层） – 对消费者、商户、收单行进行认证。 这种加密措施能够防止资料在传输过程中被窃取 。 通道的安全性取决于协议中采用的加密算法 。 协议分两部分： 握手协议 和 记录协议 。 安全套接字协议（ SSＬ） 2/28/2023 36 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版  SSL记录 协议基本特点 : – 连接是专用的； – 连接是可靠的。 2/28/2023 37 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 SSL客户 端 （ TCP的客户端 ） 在 TCP连接建立后 ， 发出一个消息 ， 该消息中包含了 SSL可实现的算法列表和其他一些必要的消息 。 服务器用自己的私钥解密后 ， 会话密钥协商成功 ， 则双方可以用同一份会话密钥通信了 。 已形成了事实上的工业超标准 ， 目前已获得互联网工程任务组标准的认可 。 商家只能看到定货信息 ,而看不到持卡人的帐户信息 。 持卡人 、 商家和银行等交易者通过第三方权威机构的身份认证服务 。 使不同厂家开发的软件能相互兼容 。  SET对于参与交易的各方定义了互操作接口 ， 一个系统可以由不同厂商的产品构筑 。 SET协议的优点 2/28/2023 41 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版  消费者  发卡机构  商家  银行  支付网关 SET协议中的角色 2/28/2023 42 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 ⑴ 消费者在商家的 WEB主页上查看在线商品目录浏览商品； ⑵ 消费者选择要购买的商品； ⑶ 消费者填写订单； ⑷ 消费者选择付款方式 。 – 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 2/28/2023 46 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 一个标准的  证书的版本信息；  证书的序列号 ， 每个证书都有一个唯一的证书序列号；  证书所使用的签名算法；  证书的发行机构名称 ， 命名规则一般采用 ；  证书的有效期 ， 现在通用的证书一般采用 UTC时间格式 ， 它的计时范围为 19502049；  证书所有人的名称 ， 命名规则一般采用 ；  证书所有人的公开密钥；  证书发行者对证书的数字签名 。 企业（服务器）数字证书 – 它通常为网上的某个 Web服务器提供数字证书。 2/28/2023 48 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 数字证书利用一对互相匹配的密钥进行加密 、解密 。 当发送一份保密文件时 ， 发送方使用接收方的公钥对数据加密 ，而接收方则使用自己的私钥解密 。 认证中心的作用 – 证书的颁发； – 证书的更新； – 证书的查询； – 证书的作废； – 证书的归档。 • A用户再把数字签名及自己的数字证书附在明文后面 。 • 为了安全把 A用户随机产生的对称密钥送达 B用户 ， A用户用 B用户的公开密钥对其进行加密 ， 形成了 数字信封 。 • 用户收到 A用户的传来的密文与数字信封后 ， 先用自己的私有密钥对数字信封进行 解密 ， 从而获得 A用户的 DES密钥 ， 再用该密钥对密文进行解密 ， 继而得到明文 、 A用户的数字签名及用户的数字证书 。 • 同时 B用户把 A用户的数字签名用 A用户的公开密钥进行解密 ， 从而形成另一 “ 信息摘要 1” 。 2/28/2023 52 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 个人数字证书的申请  个人数字证书介绍 可以利用个人数字证书来发送签名或加密的电子邮件 。 真实姓名等信息认证； 第二级个人数字证书提供对个人姓名 、 身份等信息的认证 。 数字证书的申请、颁发 2/28/2023 53 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 服务器数字证书的申请 Web服务器证书的作用：验证 Web服务器的真实性 。 2/28/2023 54 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 案例 :数字证书在网上招标系统中的应用 • 网上招标 是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。 • 在网上招标系统中设置 Email服务器，并在 Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。 2/28/2023 57 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 讨 论 时 间 问答 2/28/2023 58 邵兵家 主编 《电子商务概论》 高等教育出版社 2023版 演讲完毕，谢谢观看！