助理電子商務(wù)師培訓(xùn)第九章-電子商務(wù)安全管理

2014年暑期中職電子商務(wù)培訓(xùn)廣東科學(xué)技術(shù)職業(yè)學(xué)院廖敏慧第九章電子商務(wù)安全管理

導(dǎo)入網(wǎng)絡(luò)安全事件

9.1電子商務(wù)安全基礎(chǔ)知識

9.2病毒防治

9.3防火墻

9.4電子商務(wù)的加密與解密

9.5電子商務(wù)的安全認證美國“棱鏡”項目揭秘者愛德華?斯諾登導(dǎo)入網(wǎng)絡(luò)安全事件EdwardSnowden揭秘“棱鏡”計劃“棱鏡”竊聽計劃，始于2007年的小布什時期，美國情報機構(gòu)一直在九家美國互聯(lián)網(wǎng)公司中進行數(shù)據(jù)挖掘工作，從音視頻、圖片、郵件、文檔以及連接信息中分析個人的聯(lián)系方式與行動。監(jiān)控的類型有10類：信息電郵，即時消息，視頻，照片，存儲數(shù)據(jù)，語音聊天，文件傳輸，視頻會議，登錄時間，社交網(wǎng)絡(luò)資料的細節(jié)，其中包括兩個秘密監(jiān)視項目，一是監(jiān)視、監(jiān)聽民眾電話的通話記錄，二是監(jiān)視民眾的網(wǎng)絡(luò)活動。斯諾登—撕掉網(wǎng)絡(luò)世界霸權(quán)的偽善面紗網(wǎng)絡(luò)安全事件回顧2011年：“泄漏門”事件2011年12月21日，國內(nèi)最大程序員社區(qū)CSDN上的600萬用戶帳號和密碼被公開。隨后，密碼泄露事件開始大范圍發(fā)酵，人人網(wǎng)等十幾家網(wǎng)站，遭到曝光的用戶信息條數(shù)已過億。該事件成為中國互聯(lián)網(wǎng)史上最大規(guī)模的用戶信息泄露事件。網(wǎng)絡(luò)世界自由與安全的兩難境地2013年國際十大互聯(lián)網(wǎng)安全事件“棱鏡門”事件爆發(fā)美國國家安全局監(jiān)控用戶隱私；微軟2014年停止對WindowsXP安全更新；比特幣席卷全球，詐騙案件頻發(fā)；BlackHat和Defcon大會在拉斯維加斯召開大會；韓國政府等多家網(wǎng)站多次爆發(fā)大規(guī)模的黑客攻擊，癱瘓數(shù)小時；Google曝法國偽造CA證書；美國銀行、彭博社等金融機構(gòu)重要資料遭黑客曝光；Apple、Facebook、Twitter等科技巨頭相繼被入侵，用戶數(shù)據(jù)泄漏；思科收購安全公司；五年歷史大規(guī)模網(wǎng)絡(luò)間諜活動“紅色十月行動”曝光2013年網(wǎng)絡(luò)安全事件圓通速遞快件面單信息倒賣事件網(wǎng)絡(luò)推手“秦火火”和“立二拆四”在“7.23”動車事故之后編造中國政府花2億元天價賠償外籍旅客的謠言、陜西天然氣漲價謠言、延安暴雨沖毀列車軌道200多人死亡的謠言“套餐竊賊”竊取70萬用戶信息、“支付鬼手”木馬侵害手機支付安全、三星Galaxy

S4出現(xiàn)高危短信欺詐漏洞、新型詐騙短信威脅移動安全百度云盤手機版高危漏洞其他網(wǎng)絡(luò)安全事件搜狗輸入法和瀏覽器頻頻泄露用戶信息金山“藍屏門”致數(shù)千萬用戶受損騰訊7000多萬QQ群數(shù)據(jù)公開泄露12306網(wǎng)站上線數(shù)小時被發(fā)現(xiàn)存在漏洞成龍慈善基金會網(wǎng)站遭受黑客攻擊中國人壽80萬頁保單泄露如家和漢庭等多家商業(yè)酒店用戶信息泄露

網(wǎng)絡(luò)安全對策：監(jiān)管力度加強2013年9月10日實行《最高人民法院、最高人民檢察院關(guān)于辦理利用信息網(wǎng)絡(luò)實施誹謗等刑事案件適用法律若干問題的解釋》，對于第二百四十六條第一款規(guī)定的“情節(jié)嚴重”給與了更具體的解釋，包括：同一誹謗信息實際被點擊、瀏覽次數(shù)達到5000次以上，或者被轉(zhuǎn)發(fā)次數(shù)達到500次以上的；造成被害人或者其近親屬精神失常、自殘、自殺等嚴重后果的；二年內(nèi)曾因誹謗受過行政處罰，又誹謗他人的；其他情節(jié)嚴重的情形。規(guī)定對進入我國市場的重要信息技術(shù)產(chǎn)品及其提供者進行網(wǎng)絡(luò)安全審查，審查的重點在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。對不符合安全要求的產(chǎn)品和服務(wù)，將不得在中國境內(nèi)使用。網(wǎng)絡(luò)安全對策：

中國將出臺網(wǎng)絡(luò)安全審查制度沒有網(wǎng)絡(luò)安全就沒有國家安全9.1電子商務(wù)安全基礎(chǔ)知識9.1.1電子商務(wù)安全的內(nèi)容9.1.2網(wǎng)絡(luò)安全威脅的來源9.1.3網(wǎng)絡(luò)安全管理的技術(shù)手段9.1.1電子商務(wù)安全的內(nèi)容電子商務(wù)安全的內(nèi)容概括為三個方面內(nèi)容：1、計算機網(wǎng)絡(luò)安全；2、商務(wù)交易安全；3、電子商務(wù)系統(tǒng)安全管理制度。計算機網(wǎng)絡(luò)安全是指保護計算機網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)資源，是開展電子商務(wù)所需的基礎(chǔ)設(shè)施。商務(wù)交易安全是指確保在開放的互聯(lián)網(wǎng)上交易信息的保密性、完整性和不可抵賴性，是電子商務(wù)能夠順利開展的前提。人員素質(zhì)是影響電子商務(wù)安全的重要因素，它是保證電子商務(wù)取得成功的重要基礎(chǔ)工作。電子商務(wù)安全隱患電子商務(wù)的安全隱患涉及許多方面，有人為的因素，有設(shè)備的因素，有軟件的因素等。主要體現(xiàn)在以下幾個方面：（1）互聯(lián)網(wǎng)問題（2）操作系統(tǒng)的安全問題（3）應(yīng)用軟件的安全問題1）Cookie程序

2）Java應(yīng)用程序

3）IE瀏覽器（4）通信傳輸協(xié)議的安全問題（5）網(wǎng)絡(luò)安全管理問題9.1.2網(wǎng)絡(luò)安全威脅的來源1）黑客攻擊指非法入侵計算機系統(tǒng)的人。主要利用計算機系統(tǒng)的缺陷、操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞。常采用的手段：A利用UNIX提供的缺省賬戶進行攻擊。B截取口令；C錄找系統(tǒng)漏洞；D偷取特權(quán)；E清磁盤。2）計算機病毒一種惡意破壞用戶系統(tǒng)的應(yīng)用程序。計算機病毒的特點：隱蔽性、傳染性、破壞性、潛伏性、可觸發(fā)性、針對性。計算機病毒的種類：1）引導(dǎo)區(qū)病毒；2）可執(zhí)行文件病毒；3）宏病毒；4）郵件病毒；5）網(wǎng)頁病毒；6）綜合型病毒。3）拒絕服務(wù)攻擊一種破壞性的攻擊，用戶采用某種手段故意占用大量的網(wǎng)絡(luò)資源，使系統(tǒng)沒有剩余資源為其他用戶提供服務(wù)的攻擊。主要利用TCP/IP協(xié)議的缺陷，手段包括：SYNFLOOD、ICMPFLOOD、UDPFLOOD。連接耗盡攻擊使用真實IP地址進行攻擊。4）網(wǎng)絡(luò)內(nèi)部的安全威脅來自網(wǎng)絡(luò)內(nèi)部的用戶攻擊或內(nèi)部用戶因誤操作造成口令失密而遭受的攻擊，是最難防御的攻擊。9.1.3網(wǎng)絡(luò)安全管理的技術(shù)手段防火墻入侵檢測虛擬專用網(wǎng)VPN病毒防治9.1.4電子商務(wù)交易的安全要求電子商務(wù)交易的安全要求1）信息的保密性2）信息的完整性3）通信的不可否認性。4）交易各方身份的認證5）信息的有效性9.1.5電子商務(wù)交易安全管理的方法基本的加密與解密方法：對稱加密DES與非對稱加密RSA安全認證的手段：數(shù)字信封、數(shù)字摘要、數(shù)字簽名、數(shù)字證書、認證中心等安全交易協(xié)議：SSL、SET9.1.6電子商務(wù)安全制度人員管理制度保密制度跟蹤、審計制度網(wǎng)絡(luò)系統(tǒng)的日常維護制度一、人員管理制度1.嚴格電子商務(wù)人員選拔2.落實工作責(zé)任制3.貫徹電子商務(wù)安全運作基本原則雙人負責(zé)制、任期有限原則、最小權(quán)限原則二、保密制度機密、秘密、普通三、跟蹤、審計制度審計制度包括經(jīng)常對系統(tǒng)日志的檢查、審核，及時發(fā)現(xiàn)故意入侵系統(tǒng)行為的記錄和違反系統(tǒng)安全功能的記錄。四、網(wǎng)絡(luò)系統(tǒng)的日常維護制度1.建立系統(tǒng)設(shè)備檔案2.軟件的日常管理和維護3.數(shù)據(jù)備份制度9.2病毒防治“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！?.計算機病毒的工作原理三個功能模塊：引導(dǎo)模塊、傳染模塊、破壞模塊；2.計算機病毒、蠕蟲與木馬之間的區(qū)別木馬指網(wǎng)上的軟件通過下載或郵件附件打開引誘用戶打開執(zhí)行，潛伏到計算機中，通過遠程黑客程序里應(yīng)外合竊取用戶信息、毀壞文件、遠程控制電腦等。蠕蟲病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，主要利用計算機系統(tǒng)漏洞進行傳播。它的目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計算機。3.計算機病毒防范的基本原則從管理上防范、從技術(shù)上防范4.防病毒軟件的選擇1)、技術(shù)支持度2)、技術(shù)的先進性和穩(wěn)定性3)、病毒的響應(yīng)速度4)、用戶的使用條件及應(yīng)用環(huán)境9.3防火墻1.什么是防火墻？防火墻（FireWall）一詞的來歷：古時候，人們常在住處與生活處所之間砌起一道墻，一旦發(fā)生火災(zāi)，它能夠防止火勢蔓延到別的地方，這種墻稱為防火墻（FireWall）防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(Internet)分開的方法，實際上是一種隔離技術(shù)。理論上：指提供對網(wǎng)絡(luò)的存取控制功能，保護信息資源、避免不正當(dāng)?shù)拇嫒　?.防火墻的作用1、限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；2、允許內(nèi)部網(wǎng)的一部分主機被外部網(wǎng)訪問，另一部分被保護起來；3、限定內(nèi)部網(wǎng)的用戶對互聯(lián)網(wǎng)上特殊站點的訪問；4、為監(jiān)視互聯(lián)網(wǎng)安全提供方便。Internet防火墻局域網(wǎng)3.防火墻的設(shè)計原則：1）過濾不安全服務(wù)的原則；2）屏蔽非法用戶的原則。4.設(shè)置防火墻的意義Internet用戶以匿名的方式上網(wǎng)，使得網(wǎng)絡(luò)資源被非法訪問和破壞的風(fēng)險加大。防火墻可以阻止未經(jīng)授權(quán)的用戶訪問機構(gòu)的內(nèi)部網(wǎng)絡(luò)，防止他們篡改、拷貝、毀壞機構(gòu)的重要信息，發(fā)生不可預(yù)測的、潛在破壞性的侵入。防火墻是世界上用的最多的網(wǎng)絡(luò)安全產(chǎn)品之一，是一種非常有效的網(wǎng)絡(luò)安全模式，它可以隔離風(fēng)險區(qū)與安全區(qū)域的連接，同時不會妨礙用戶對風(fēng)險區(qū)域的訪問。5.防火墻的類型包過濾防火墻：通常安裝在路由器上，根據(jù)網(wǎng)絡(luò)管理員設(shè)定的訪問控制清單對流經(jīng)防火墻信息包的IP源地址，IP目標(biāo)地址、封裝協(xié)議（如TCP/IP等）和端口號等進行篩選?；诰W(wǎng)絡(luò)層。代理服務(wù)器防火墻：包過濾技術(shù)可以通過對IP地址的封鎖來禁止未經(jīng)授權(quán)者的訪問?；趹?yīng)用層。6.防火墻的局限性1、限制了有用的網(wǎng)絡(luò)服務(wù)；2、不能防范不經(jīng)由防火墻的攻擊；3、不能防范來自網(wǎng)絡(luò)內(nèi)部的攻擊；4、不能防范新的網(wǎng)絡(luò)安全問題。7.防火墻的管理本地管理、遠程管理、集中管理9.4加密與解密9.4.1密碼知識一、密碼的概念:密碼是隱蔽了真實內(nèi)容的符號序列。E加密算法密文D解密算法明文X明文X加密密鑰Ke解密密鑰Kd二、密碼安全的要素:位數(shù)不少于六；使用英文數(shù)字特殊符號等的組合；不要使用安全性過低的密碼；定期更改密碼；避免使用重復(fù)的密碼。三、密碼泄漏的途徑被竊取密碼；被別人猜出密碼9.4.2文件加密一、對本地文件進行加密和解密（一）Office文件格式加密1、Word文件加密（1）打開需加密的文件，點擊“工具”菜單中“選項”，則彈出“選項”對話框。選擇“保存”標(biāo)簽。（2）在“打開權(quán)限密碼”和“修改權(quán)限密碼”輸入杠中鍵入密碼。2、Excel文件加密

Excel文件加密到Office2003版，和Word文件一樣，可按Word文件部分操作。（二）壓縮軟件加密1、Winzip加密（1）新建一個空白的壓縮文件，在壓縮文件里添加壓縮的文件。（2）點擊“操作”菜單中的“加密…”命令，彈出密碼設(shè)置窗口。（3）在文本框中輸入設(shè)置的密碼。2、Winrar加密（1）在圖形界面下，按下“Ctrl+p”或者在文件菜單選擇“密碼”命令，彈出“輸入默認密碼”對話框，輸入即可。（2）在命令行方式下，可按以下格式操作：winrar<命令><參數(shù)1><參數(shù)N><壓縮包><文件…><@列表文件…><解壓縮路徑\>。9.5安全認證9.5.1安全認證知識一、基本加密方法二、安全認證手段三、安全交易協(xié)議9.5.2數(shù)字證書的使用9.5.3網(wǎng)上貿(mào)易安全防騙9.5.1安全認證知識一、基本加密方法1.對稱加密體制（采用DES算法，使用一個密鑰）對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。這種體制需要有可靠的密鑰傳遞渠道，常用的有DES、IDEA、AES等算法。對稱加密技術(shù)的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加/解密。只要通信需要保密，密鑰就必須保密。2.非對稱加密體制（RSA算法，二個密鑰）非對稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密，它需要使用一對密鑰來分別完成加密和解密操作，一個公開發(fā)布，稱為公開密鑰（Public-Key）；另一個由用戶自己秘密保存，稱為私有密鑰（Private-Key）。加密原文加了密的原文原文解密公鑰私鑰非對稱加密的特點密鑰分配簡單。密鑰的保存量少?？梢詽M足互不相識的人之間進行私人談話時的保密性要求。

可以完成數(shù)字簽名和數(shù)字鑒別。兩個作用:信息的加解密和身份識別非對稱加密技術(shù)的應(yīng)用1）信息加密與解密E加密密文ED解密明文M明文MB的公開密鑰BpB的私有密鑰Bs發(fā)送方A接收方BInternet傳輸3.非對稱加密技術(shù)2）身份認證E加密密文ED解密明文M明文MA的私有密鑰AsA的公開密鑰Ap發(fā)送方A接收方B實例李先生給張小姐在網(wǎng)上發(fā)一封信。為了防止被他人看到，使用張小姐的公鑰加密后發(fā)出。張小姐收信后，用張小姐的私鑰解密獲得明文。然后，張小姐回信，使用李先生的公鑰加密。這樣，只有李先生的私鑰才能解密。二、安全認證手段1、數(shù)字信封2、數(shù)字摘要（HASH函數(shù)算法）3、數(shù)字簽名4、數(shù)字證書5、認證中心(CA)1、數(shù)字信封數(shù)字信封是用加密技術(shù)來保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對稱密鑰來加密信息，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。這種技術(shù)的安全性相當(dāng)高。數(shù)字信封的生成消息明文接收方公鑰對稱密鑰私鑰加密公鑰加密消息密文密鑰密文數(shù)字信封數(shù)字信封的解除消息明文接收方私鑰對稱密鑰私鑰解密對稱密鑰解密消息密文密鑰密文2、數(shù)字摘要（HASH函數(shù)算法）在電子交易中不僅要確保信息機密性，還要確保數(shù)據(jù)在傳輸過程中沒有被別人篡改，即保證數(shù)據(jù)的真實性，這就要用到數(shù)字摘要技術(shù)。數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種變換運算得到固定長度的摘要碼（數(shù)字指紋FingerPrint），并在傳輸信息時將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。HASH該編碼法采用單向Hash函數(shù)將需加密的明文“摘要”成一串l28bit的密文，這一串密文亦稱為數(shù)字指紋（FingerPrint）。摘要是一種防止改動的方法，其中用到的函數(shù)叫摘要函數(shù)。這些函數(shù)的輸入可以是任意大小的消息，而輸出是一個固定長度的摘要?？傊惴◤慕o定的文本塊中產(chǎn)生一個數(shù)字簽名（fingerprint或messagedigest），數(shù)字簽名可以用于防止有人從一個簽名上獲取文本信息或改變文體信息內(nèi)容和進行身份認證。數(shù)字摘要(DigitalDigest)明文密文采用Hash（SHA）函數(shù)摘要成128bit的密文數(shù)字摘要的運用過程信息信息被確認信息摘要摘要摘要Hash加密發(fā)送Hash加密比較二者若一致發(fā)送方接收方3、數(shù)字簽名所謂數(shù)字簽名（digitalsignature），就是在要發(fā)送的消息上附加上一段只有消息發(fā)送者才能產(chǎn)生而別人無法偽造的數(shù)據(jù)，而且這段數(shù)據(jù)是原消息數(shù)據(jù)加密轉(zhuǎn)換生成的，用來證明消息是由發(fā)送者發(fā)來的。把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時，也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實性則保證是由確定的合法者產(chǎn)生的HASH，而不是由其他人假冒。而把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名（DigitalSignature）。數(shù)字簽名過程示意圖發(fā)送方A信息報文報文摘要數(shù)字簽名信息報文HashA的私鑰加密計算報文摘要報文摘要A的公鑰解密Hash計算比較二者是否一致接收方B數(shù)字簽名信息報文對稱加解密網(wǎng)絡(luò)傳輸4、數(shù)字證書所謂數(shù)字證書，就是用電子手段來證實一個用戶的身份及用戶對網(wǎng)絡(luò)資源的訪問權(quán)限。在網(wǎng)上電子交易中，如果雙方出示了各自的數(shù)字證書，并用它來進行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕?dān)心。數(shù)字證書采用公鑰體制，利用一對互相匹配的密鑰進行加密、解密。私鑰用于解密和簽名，公鑰用于架密和驗證簽名。在電子商務(wù)中，一般數(shù)字證書有四種類型：客戶證書；商家證書：網(wǎng)關(guān)證書及CA系統(tǒng)證書。

數(shù)字證書的內(nèi)部格式是由CCITTX.509國際標(biāo)準所規(guī)定的，它必須包含以下幾點：

證書的版本號；

數(shù)字證書的序列號；

證書擁有者的姓名；

證書擁有者的公開密鑰；

公開密鑰的有效期；

簽名算法；

辦理數(shù)字證書的單位；

辦理數(shù)字證書單位的數(shù)字簽名。

數(shù)字證書的使用支付寶數(shù)字證書的申請、安裝與使用網(wǎng)上銀行U盾的申請、安裝與使用數(shù)字證書查詢在IE瀏覽器Internet選項，點擊內(nèi)容→證書，在個人標(biāo)簽下顯示當(dāng)前的數(shù)字證書點擊查看5、認證中心電子商務(wù)授權(quán)機構(gòu)（CA）也稱為電子商務(wù)認證中心（CertificateAuthority）。認證中心（CA）就是承擔(dān)網(wǎng)上安全電子交易認證服務(wù)，能簽發(fā)數(shù)字證書，并能確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。在實際運作中，CA可由大家都信任的一方擔(dān)當(dāng)。認證機構(gòu)的核心職能是發(fā)放和管理用戶的數(shù)字證書。認證機構(gòu)在整個電子商務(wù)環(huán)境中處于至關(guān)重要的位置，它是整個信任鏈的起點。認證機構(gòu)是開展電子商務(wù)的基礎(chǔ)，如果認證機構(gòu)不安全或發(fā)放的證書不具權(quán)威性，那么網(wǎng)上電子交易就根本無從談起。CA認證中心的四大職能：證書發(fā)放、證書更新、證書撤消證書驗證。D認證的分級體系三、電子支付中的安全交易協(xié)議1.安全套接層協(xié)議(SSL協(xié)議)2.安全電子交易協(xié)議（SET）1、安全套接層協(xié)議(SSL協(xié)議)1）安全套接層協(xié)議是由Netscape公司1994年設(shè)計開發(fā)的安全協(xié)議，它采用公開密鑰和對稱密鑰相結(jié)合的技術(shù)，通過瀏覽器軟件和WWW服務(wù)器建立一條安全、可信任的通信通道，在這一通道中，所有點對點的信息都將被加密，從而實現(xiàn)了在Internet中傳輸保密文件。SSL(SecureSocketLayer，安全套接層協(xié)議）運行在傳輸層之上、應(yīng)用層之下，為應(yīng)用層提供了安全的傳輸通道，高層的應(yīng)用層協(xié)議（如HTTP、FTP等）可以透明地建立于SSL協(xié)議之上，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證了通信的機密性。SSL是一個用來保證安全傳輸文件的協(xié)議。它包括服務(wù)器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務(wù)應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。SSL用對稱密鑰加密信息由于客戶機和服務(wù)器需要在互聯(lián)網(wǎng)上傳輸信用卡號、發(fā)票和驗證代碼等，所以雙方都同意對所交換的信息進行安全保護。SSL用公開密鑰（非對稱）加密和對稱密鑰加密來實現(xiàn)信息的保密。雖然公開密鑰非常方便，但速度較慢。這就是SSL對幾乎所有的安全通訊都使用對稱密鑰加密的原因。2）在SSL協(xié)議中主要提供三方面的服務(wù)：用戶和服務(wù)器的身份認證、保證數(shù)據(jù)的保密性、維護數(shù)據(jù)的完整性SSL中對稱密鑰的共享那么客戶機和服務(wù)器如何能夠共享一個對稱密鑰而不會讓竊聽者得到呢？答案是：在瀏覽器為雙方生成對稱密鑰，然后由瀏覽器用服務(wù)器的公開密鑰對此對稱密鑰進行加密。公開密鑰存儲在服務(wù)器在認證時發(fā)給瀏覽器的數(shù)字證書上。對對稱密鑰加密后，瀏覽器把它發(fā)給服務(wù)器。服務(wù)器用其私鑰對它解密,得到雙方公用的對稱密鑰。從現(xiàn)在開始就不再使用公開密鑰了，只需用對稱密鑰加密。SSL會話在客戶機和服務(wù)器之間傳輸?shù)乃邢⒍加霉蚕淼膶ΨQ密鑰進行加密，此密鑰也叫會話密鑰。會話結(jié)束后，此密鑰就被丟棄?？蛻魴C和安全服務(wù)器重新建立連接時，從瀏覽器和服務(wù)器的握手開始的整個過程將重復(fù)一遍。根據(jù)客戶機和服務(wù)器間的協(xié)議，可使用40位或128位的加密，算法會是DES、TripleDES或RSA加密算法。不論用哪種算法，客戶機和服務(wù)器都在事先就將用的加密語言達成協(xié)議。3）SSL協(xié)議的特點SSL的使用對用戶基本透明，當(dāng)瀏覽器端啟動SSL時，請求的URL中的HTTP被改為HTTPS，瀏覽器底部會出現(xiàn)一個鎖圖標(biāo)。提示用戶已經(jīng)進入安全狀態(tài)，可以發(fā)出需要保護的信息。要使用SSL，服務(wù)器端需要通過配置把服務(wù)器的認證證書與服務(wù)器上的一個端口（通常是443）綁定(BIND)。SSL協(xié)議實現(xiàn)簡單，獨立于應(yīng)用層協(xié)議，且被大部分的瀏覽器和Web服務(wù)器所內(nèi)置（Navigator和InternetExp1orer瀏覽器都支持SSL），便于在電子交易中應(yīng)用。國際著名的CyberCash信用卡支付系統(tǒng)就支持這種簡單加密模式，IBM等公司也提供這種簡單加密模式的支付系統(tǒng)。所以其應(yīng)用在當(dāng)前是比較廣泛的。4）SSL協(xié)議的評價1）不符合國務(wù)院最新頒布的《商用密碼管理條例》2）系統(tǒng)安全性差3）運行的基點是商家對客戶信息保密的承諾，有利于商家不利于客戶。SSL存在著一些安全上的弱點：首先，客戶的信息先到商家，讓商家閱讀，這樣，客戶資料的安全性就得不到保證。SSL是一個面向連接的協(xié)議，只能提供交易中客戶與服務(wù)器間的雙方認證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和認證服務(wù)。其次，SSL只能保證資料傳遞過程的安全，而傳遞過程是否有人截取就無法保證了。所以，SSL并沒有實現(xiàn)電子支付所要求的保密性、完整性、不可抵賴性，而且實現(xiàn)多方互相認證也是很困難的。2.安全電子交易協(xié)議（SET）1）為了避免SSL協(xié)議在應(yīng)用中存在的一些安全風(fēng)險，保護商家和用戶等電子支付參與方的隱私信息及各方真實身份的認證，產(chǎn)生了SET(安全電子交易)協(xié)議。SET協(xié)議采用公開密碼體制和X.509數(shù)字證書標(biāo)準，通過公開密鑰加密、數(shù)字簽名、數(shù)字證書等核心技術(shù)，解決用戶、商家和銀行之間通過信用卡支付時支付信息的保密性和完整性、支付過程的安全性，以及商家和持卡人身份的合法性。SET是一個通過開放網(wǎng)絡(luò)（包括Internet）進行安全資金支付的技術(shù)標(biāo)準，由VISA和MasterCard組織共同制定，1997年5月聯(lián)合推出。SET是SecureElectronicTransaction,即安全電子交易的英文縮寫。這是一個互聯(lián)網(wǎng)上實現(xiàn)安全電子交易的協(xié)議標(biāo)準。SET通過使用公共密鑰和對稱密鑰方式加密保證了數(shù)據(jù)的保密性，通過使用數(shù)字簽名來確定數(shù)據(jù)是否被篡改、保證數(shù)據(jù)的一致性和完整性，并可以完成交易以防抵賴。SET協(xié)議提供對買方、商戶和收單行的認證，確保交易數(shù)據(jù)的安全性、完整性和交易的不可否認性，特別是保證了不會將持卡人的信用卡號泄露給商戶。2）SET協(xié)議解決了五個問題（１）保證信息在互聯(lián)網(wǎng)上安全傳輸，防止數(shù)據(jù)被黑客或被內(nèi)部人員竊取。（２）保證電子商務(wù)參與者信息的相互隔離。（３）解決網(wǎng)上認證問題不僅要對消息者的銀行卡認證，而且要對在線商店的信譽程度認證，同時還有消費者、在線商店與銀行間的認證。（４）保證網(wǎng)上交易的實時性，使所有的支付過程都是在線的。（５）效仿EDI貿(mào)易的形式，規(guī)范協(xié)議和消息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運行在不同的硬件和操作系統(tǒng)平臺上。3）SET協(xié)議中的對象（1）消費者（2）在線商店（3）收單銀行（4）電子貨幣發(fā)行機構(gòu)（5）認證中心。支付網(wǎng)關(guān)持卡人商戶收單銀行認證中心發(fā)卡銀行訂單確認審核確認審核批準認證認證認證SET購物流程4）SET協(xié)議評價A.對商家降低了成本；B.對消費者保證了信用卡的秘密、商家的合性。C.信用卡網(wǎng)上支付具有更低的欺騙概率；E.參與交易的各方定義了互操作接口；SET協(xié)議的交易流程金融專網(wǎng)SETINTERNET

SETINTERNETSETINTERNETSETINTERNET發(fā)卡單位支付網(wǎng)關(guān)CA認證中心商店服務(wù)器消費者電子錢包SET不足之處：A.在交易各方安裝相