第五章電子商務(wù)信息安全第五章電子商務(wù)安全

學(xué)習(xí)目標(biāo)

1.了解電子商務(wù)的主要安全威脅。

2.了解電子商務(wù)對(duì)安全的基本要求。

3.了解電子商務(wù)的安全體系。

4.熟悉電子商務(wù)常用的安全技術(shù)。引導(dǎo)案例國(guó)外1988年11月2日，美國(guó)康奈爾大學(xué)學(xué)生羅伯特·莫瑞斯利用蠕蟲(chóng)程序攻擊了Internet網(wǎng)上約6200臺(tái)小型機(jī)和Sun工作站，造成包括美國(guó)300多個(gè)單位的計(jì)算機(jī)停止運(yùn)行，事故經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元。（病毒破壞）

國(guó)外1994年4月到10月期間，任職于俄國(guó)圣彼得堡OA土星公司的弗拉基米爾·列·列文從本國(guó)操縱電腦，通過(guò)Internet多次侵入美國(guó)花旗銀行在華爾街的中央電腦系統(tǒng)的現(xiàn)金管理系統(tǒng)，從花旗銀行在阿根廷的兩家銀行和印度尼西亞的一家銀行的幾個(gè)企業(yè)客戶(hù)的帳戶(hù)中將40筆款項(xiàng)轉(zhuǎn)移到其同伙在加里福尼亞和以色列銀行所開(kāi)的帳戶(hù)中，竊走1000萬(wàn)美元。（信息竊取）

國(guó)外2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。（黑客攻擊）

國(guó)內(nèi)1997年1月到3月，寧波證券公司深圳業(yè)務(wù)部的工作人員曾定文多次通過(guò)證券交易網(wǎng)絡(luò)私自透支本單位資金928萬(wàn)元炒股；而吳敬文則利用兩個(gè)股東帳號(hào)私自透支本單位資金2033萬(wàn)元炒股。（人為操作）2000年4月22日8時(shí)許，地處深圳市的中國(guó)最大的互聯(lián)網(wǎng)交友網(wǎng)站“情網(wǎng)”突然癱瘓。

（人為破壞）國(guó)內(nèi)2000年春天，有人利用普通的技術(shù)，從電子商務(wù)網(wǎng)站竊取到8萬(wàn)個(gè)信用卡號(hào)和密碼，標(biāo)價(jià)26萬(wàn)元出售。

（信息竊取）

國(guó)內(nèi)2000年3月6日，中國(guó)某家知名的全國(guó)性網(wǎng)上連鎖商城開(kāi)業(yè)3天慘遭黑客暗算，網(wǎng)站全線癱瘓，頁(yè)面被修改，數(shù)據(jù)庫(kù)也受到了不同程度的攻擊，交易數(shù)據(jù)破壞嚴(yán)重。（黑客攻擊）

CNNIC調(diào)查結(jié)果

用戶(hù)認(rèn)為目前網(wǎng)上交易存在的最大問(wèn)題是：

1、安全性得不到保障23.4%

2、產(chǎn)品質(zhì)量和服務(wù)欠缺15.2%3、商家信用得不到保障14.1%4、付款不方便10.8%5、價(jià)格不夠誘人10.8%6、送貨不及時(shí)8.6%7、網(wǎng)上提供的信息不可靠6.4%8、其它0.7%

第一節(jié)電子商務(wù)的安全問(wèn)題

電子商務(wù)的主要安全隱患1、系統(tǒng)中斷--------------破壞系統(tǒng)的有效性2、竊取信息--------------破壞系統(tǒng)的機(jī)密性3、篡改信息--------------破壞系統(tǒng)的完整性4、偽造信息--------------

破壞系統(tǒng)的真實(shí)性5、交易抵賴(lài)--------------

無(wú)法達(dá)成交易

物理安全問(wèn)題網(wǎng)絡(luò)安全問(wèn)題信息安全問(wèn)題

電子商務(wù)的主要安全類(lèi)型

電子商務(wù)安全交易的基本要求1、信息的保密性2、信息的完整性3、通信的不可抵賴(lài)性、不可否認(rèn)性4、交易各方身份的真實(shí)性5、信息的有效性

電子商務(wù)安全交易體系信息技術(shù)系統(tǒng)商業(yè)組織系統(tǒng)安全保護(hù)措施的制定需基于電子商務(wù)“復(fù)合型”的性質(zhì)技術(shù)保障制度管理法律控制道德規(guī)范第一層數(shù)據(jù)信息安全

第二層軟件系統(tǒng)安全措施

第三層通信網(wǎng)絡(luò)安全措施

第四層硬件系統(tǒng)安全措施

第五層物理實(shí)體安全措施

第六層管理細(xì)則保護(hù)措施

第七層法律規(guī)范道德紀(jì)律

電子商務(wù)安全交易層次模型補(bǔ)充內(nèi)容：

一、常見(jiàn)的安全隱患

1、黑客攻擊黑客，即非法入侵計(jì)算機(jī)系統(tǒng)的人。主要手段：利用操作系統(tǒng)的安全漏洞，比如利用unix提供的缺省帳戶(hù)進(jìn)行攻擊，以及管理配置錯(cuò)誤等；截取口令，通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)截取口令。偷取特權(quán)，利用特洛伊木馬程序或者緩沖區(qū)溢出程序等獲取系統(tǒng)特權(quán)。清理磁盤(pán)，從回收站內(nèi)文件或者臨時(shí)目錄內(nèi)文件，尋找重要信息。2025/6/1162、病毒攻擊感染病毒的常見(jiàn)方式：從互聯(lián)網(wǎng)上下載軟件；運(yùn)行電子郵件中的附件；通過(guò)交換磁盤(pán)來(lái)交換文件；將文件在局域網(wǎng)內(nèi)共享或復(fù)制等2025/6/1173、拒絕服務(wù)攻擊（DoS）是一種破壞性的攻擊。是一種采用某種手段故意占用大量的網(wǎng)絡(luò)資源，使系統(tǒng)沒(méi)有剩余資源為其他用戶(hù)提供服務(wù)的攻擊。主要利用TCP/IP協(xié)議的缺陷，將提供服務(wù)的網(wǎng)絡(luò)資源消耗盡，導(dǎo)致無(wú)法提供正常的服務(wù)。2025/6/1184、網(wǎng)絡(luò)內(nèi)部的安全威脅（最難防御的安全威脅）主要是指來(lái)自網(wǎng)絡(luò)內(nèi)部的用戶(hù)攻擊或者內(nèi)部用戶(hù)誤操作造成口令失密而遭受的攻擊，這是最難防御的安全威脅。2025/6/119二、網(wǎng)絡(luò)安全技術(shù)1、防火墻(firework)技術(shù)防火墻是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使互聯(lián)網(wǎng)（Internet）與內(nèi)部網(wǎng)（Intranet）之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。防火墻構(gòu)成服務(wù)訪問(wèn)政策驗(yàn)證工具包過(guò)濾應(yīng)用網(wǎng)關(guān)2025/6/121A、防火墻的作用限制他人訪問(wèn)內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶(hù)。允許內(nèi)部網(wǎng)的部分主機(jī)被外部網(wǎng)訪問(wèn)，并保護(hù)另外部分主機(jī)。限制內(nèi)部網(wǎng)用戶(hù)對(duì)互聯(lián)網(wǎng)特殊站點(diǎn)的訪問(wèn)。為監(jiān)視網(wǎng)絡(luò)安全提供方便。2025/6/122B、防火墻的分類(lèi)包過(guò)濾型防火墻——基于網(wǎng)絡(luò)層的，在網(wǎng)絡(luò)邊界定義那些地址或端口是允許訪問(wèn)的，那些是禁止訪問(wèn)的，有效控制數(shù)據(jù)包的進(jìn)出；代理服務(wù)型防火墻——基于應(yīng)用層的，在網(wǎng)絡(luò)邊界上使用代理服務(wù)來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。

2025/6/123C、防火墻的局限性1、限制了有用的網(wǎng)絡(luò)服務(wù)；2、不能防范不經(jīng)由防火墻的攻擊；3、不能防范來(lái)自?xún)?nèi)部的攻擊；4、不能防范新的網(wǎng)絡(luò)安全問(wèn)題。

2025/6/1242、入侵檢測(cè)系統(tǒng)（IDS）入侵檢測(cè)，是指通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)的主要功能檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)；核查系統(tǒng)配置和漏洞；評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；使用操作系統(tǒng)日志，識(shí)別違反安全策略的用戶(hù)活動(dòng)。2025/6/125入侵檢測(cè)系統(tǒng)的分類(lèi)（1）主機(jī)型入侵檢測(cè)系統(tǒng)：以系統(tǒng)日志、應(yīng)用程序日志等為數(shù)據(jù)源；保護(hù)所在系統(tǒng)的安全。（2）網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)：以網(wǎng)絡(luò)上的數(shù)據(jù)包為數(shù)據(jù)源；保護(hù)整個(gè)網(wǎng)段的安全。

2025/6/126入侵檢測(cè)系統(tǒng)主要存在的問(wèn)題檢測(cè)速度不能適應(yīng)網(wǎng)絡(luò)通信發(fā)展的要求。漏報(bào)和誤報(bào)率高。系統(tǒng)的互動(dòng)性有待提高。

2025/6/1273、物理隔離指內(nèi)部網(wǎng)不直接或間接地連接互聯(lián)網(wǎng)。物理隔離在安全上三點(diǎn)要求：在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷；在物理輻射上隔斷內(nèi)部網(wǎng)與外部網(wǎng)；在物理存儲(chǔ)上隔斷內(nèi)外網(wǎng)絡(luò)。

2025/6/128國(guó)家保密局規(guī)定：涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。4.虛擬專(zhuān)用網(wǎng)-VPN概念：它不是真的專(zhuān)用網(wǎng)絡(luò)，而是利用不可靠的公用互聯(lián)網(wǎng)絡(luò)作為信息傳遞媒介，通過(guò)附加的安全隧道、用戶(hù)認(rèn)證和訪問(wèn)控制等技術(shù)實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)相類(lèi)似的安全功能，從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸。VPN的分類(lèi)遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）VPN的優(yōu)點(diǎn)：安全性，經(jīng)濟(jì)性，易擴(kuò)展性，靈活性，簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)等2025/6/129三、病毒防治知識(shí)1、計(jì)算機(jī)病毒的概念及特點(diǎn)能夠通過(guò)修改程序，把自身復(fù)制進(jìn)去進(jìn)而“傳染”其它程序的程序。病毒的特點(diǎn)：傳染性：衡量一段程序是否為病毒的首要條件破壞性隱藏性潛伏性可觸發(fā)性針對(duì)性2025/6/1312、計(jì)算機(jī)病毒的種類(lèi)按照傳染方式劃分：（1）引導(dǎo)區(qū)病毒（2）可執(zhí)行文件病毒：CIH（3）宏病毒（4）郵件病毒：ILOVEYOU、W32.Sircam(首發(fā)于英國(guó)）（5）網(wǎng)頁(yè)病毒（6）綜合型病毒2025/6/1323、病毒防治技術(shù)以預(yù)防為主充分利用操作系統(tǒng)中的安全功能和安全機(jī)制，加強(qiáng)存取控制，防止非法用戶(hù)進(jìn)入加強(qiáng)對(duì)因特網(wǎng)使用的管理，防止病毒通過(guò)網(wǎng)絡(luò)傳播。經(jīng)常進(jìn)行自行檢測(cè)定期替文件做備份不使用盜版軟件和盜版光盤(pán)。對(duì)外來(lái)磁盤(pán)和因特網(wǎng)上下載的文件在使用前進(jìn)行病毒檢查清除病毒-選用先進(jìn)可靠的防殺網(wǎng)絡(luò)病毒的軟件。可不斷升級(jí)同時(shí)防殺單機(jī)病毒和網(wǎng)絡(luò)病毒能夠識(shí)別病毒的種類(lèi)和性質(zhì)，并能夠判斷病毒的位置2025/6/133計(jì)算機(jī)病毒的消毒方法計(jì)算機(jī)病毒的消毒方法病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，計(jì)算機(jī)病毒消毒可分為手工消毒和自動(dòng)消毒兩種方法。

手工消毒方法使用DEBUG、PCTOOLS等簡(jiǎn)單工具，借助于對(duì)某種病毒的具體認(rèn)識(shí)，從感染病毒的文件中，摘除病毒代碼，使之康復(fù)。手工操作復(fù)雜、速度慢，風(fēng)險(xiǎn)大，需要熟練的技能和豐富的知識(shí)。自動(dòng)消毒方法使用自動(dòng)消毒軟件自動(dòng)清除患病文件中的病毒代碼，使之康復(fù)。自動(dòng)消毒方法，操作簡(jiǎn)單，效率高，風(fēng)險(xiǎn)小。

2025/6/134計(jì)算機(jī)病毒的消毒方法目前常用的查殺病毒軟件：國(guó)內(nèi)：kill,kv系列，瑞星，金山等國(guó)外：norton，mcafee,pc-cillin等消毒的最后一種辦法：對(duì)軟盤(pán)進(jìn)行格式化，或?qū)τ脖P(pán)進(jìn)行低級(jí)格式化。硬盤(pán)的一般格式化并不能保證消滅所有病毒。格式化的同時(shí)會(huì)造成數(shù)據(jù)丟失，是不得已才用

2025/6/135計(jì)算機(jī)病毒的防范方法備份：對(duì)所有的軟件（甚至操作系統(tǒng)）進(jìn)行備份，并制定應(yīng)付突發(fā)情況的應(yīng)急方案；預(yù)防：提高用戶(hù)的警惕性，實(shí)行安全衛(wèi)生制度，例如使用正版軟件等；檢測(cè)：使用殺病毒軟件來(lái)檢測(cè)，報(bào)告并殺死病毒隔離：確認(rèn)并隔離攜帶病毒的部件恢復(fù)：殺毒或清除被病毒感染的文件。2025/6/136瑞星殺毒軟件的使用啟動(dòng)瑞星殺毒軟件利用瑞星軟件查殺病毒殺毒方法殺毒的設(shè)定文件類(lèi)型的設(shè)定發(fā)現(xiàn)病毒后的處理方式殺毒內(nèi)容選項(xiàng)的設(shè)定2025/6/137補(bǔ)充：計(jì)算機(jī)安全控制的技術(shù)手段

實(shí)體的安全性：環(huán)境安全、設(shè)備安全和媒體安全，它用來(lái)保證硬件和軟件本身的安全運(yùn)行環(huán)境的安全性：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)和應(yīng)急，它用來(lái)保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作信息的安全性：信息安全包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全、防病毒、訪問(wèn)控制、加密、認(rèn)證，它用來(lái)保障信息不會(huì)被非法閱讀、修改和泄露。采用先進(jìn)可靠的安全技術(shù)，可以減少計(jì)算機(jī)信息系統(tǒng)的脆弱性。2025/6/138

密碼技術(shù)

密碼技術(shù)的基本思想是偽裝信息，隱藏信息的真實(shí)內(nèi)容，以使未授權(quán)者不能理解信息的真正含義，達(dá)到保密的作用。具體的就是對(duì)信息進(jìn)行一組可逆的數(shù)學(xué)變換。

偽裝前的信息稱(chēng)為明文，偽裝后的信息稱(chēng)為密文，將信息偽裝的過(guò)程稱(chēng)為加密，將密文再還原為明文的過(guò)程稱(chēng)為解密，解密是在解密密鑰（key）的控制下進(jìn)行的，用于解密的這組數(shù)學(xué)變換稱(chēng)為解密算法。密碼技術(shù)組成要素

1、明文和密文

2、解密算法

3、加、解密密鑰（key）

4、加密和解密

用移位加密算法說(shuō)明一個(gè)加解密的過(guò)程，明密文對(duì)照關(guān)系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點(diǎn)發(fā)動(dòng)總攻

JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要發(fā)送一個(gè)軍事命令給前線，明文為“今晚9點(diǎn)發(fā)動(dòng)總攻”。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過(guò)程。

一般情況下，密碼技術(shù)根據(jù)使用的加解密算法和密鑰原理等工作方式的不同分為不同的密碼體制。明文信道解密算法加密算法明文加密密鑰解密密鑰

密鑰竊取者密碼體制

現(xiàn)在廣泛應(yīng)用的兩種密碼體制：

1、對(duì)稱(chēng)密鑰密碼體制

2、非對(duì)稱(chēng)密鑰密碼體制

對(duì)稱(chēng)密鑰密碼體系

對(duì)稱(chēng)密鑰密碼體系(SymmetricCryptography)又稱(chēng)單密鑰密碼體制（One-keySystem

）或通用密鑰密碼體制。

1、概念：信息交換雙方共同約定一個(gè)口令或一組密碼，建立一個(gè)通訊雙方共享的密鑰。工作原理如下圖：加密明文密文明文密鑰解密A方B方2、優(yōu)點(diǎn)：運(yùn)算速度快：適用于加密大容量數(shù)據(jù)3、缺點(diǎn)：A、安全性能差:不具有不可否認(rèn)性：不能確定發(fā)送者身份；

B、密鑰難于管理：保管難。4、典型算法：DES非對(duì)稱(chēng)密鑰密碼體系

非對(duì)稱(chēng)密鑰密碼體系(AsymmetricCryptography)也稱(chēng)雙密鑰密碼體制（Two-keySystem

）或公開(kāi)密鑰密碼體制。1、概念：信息交換一方掌握兩個(gè)不同的密鑰（產(chǎn)生密鑰對(duì)）：一個(gè)是可以公開(kāi)的密鑰作為加密密鑰（常稱(chēng)公鑰）；另一個(gè)則是秘密保存的作為解密密鑰（常稱(chēng)私鑰）。

用其中一個(gè)密鑰加密的信息只能用相對(duì)應(yīng)的另一個(gè)密鑰進(jìn)行解密公開(kāi)密鑰私有密鑰非對(duì)稱(chēng)密鑰密碼體系工作原理圖加密明文密文明文解密B方公鑰B方私鑰A方B方加密明文密文明文解密A方私鑰A方公鑰A方B方1、作用：信息保密性2、作用：身份認(rèn)證2、優(yōu)點(diǎn)：A、使用方便靈活：密鑰便于管理，分發(fā)簡(jiǎn)單，公開(kāi)密鑰可以廣泛傳遞

B、安全性能高：實(shí)現(xiàn)數(shù)字簽名，可以實(shí)現(xiàn)不可否認(rèn)性

3、缺點(diǎn)：運(yùn)算速度慢：不適用于加密大容量數(shù)據(jù)。4：典型算法：RSA

認(rèn)證技術(shù)數(shù)字摘要（保證信息的完整性)

數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種加密變換運(yùn)算（SHA)得到固定長(zhǎng)度（128字節(jié)）的摘要碼（數(shù)字指紋），并在傳輸信息時(shí)將之加入文件一同傳送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。

信息

摘要

信息

摘要發(fā)送方SHA加密一起發(fā)送SHA加密接收方

摘要對(duì)比數(shù)字簽名技術(shù)

文件的數(shù)字簽名技術(shù)實(shí)際上是通過(guò)數(shù)字摘要和非對(duì)稱(chēng)密鑰加密體制兩者結(jié)合來(lái)實(shí)現(xiàn)的。采用數(shù)字簽名，對(duì)傳輸數(shù)據(jù)實(shí)現(xiàn)了兩種保護(hù)：

1、完整性

2、真實(shí)性數(shù)字簽名運(yùn)作步驟如下：

（1）發(fā)送方用哈希函數(shù)，將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要。（2）發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽字。（3）發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，傳遞給接收方。（4）接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得到發(fā)送方形成的報(bào)文摘要。（5）接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與發(fā)送方形成的報(bào)文摘要相比較，若相同，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。信息摘要數(shù)字簽名信息摘要數(shù)字簽名摘要對(duì)比簽名過(guò)程傳輸過(guò)程接收、驗(yàn)證過(guò)程密文和明文一起發(fā)送SHA加密A私鑰加密發(fā)送方A接收方BA公鑰解密SHA加密數(shù)字信封技術(shù)具體操作方法：發(fā)信方需要發(fā)送信息時(shí)首先生成一個(gè)對(duì)稱(chēng)密鑰，用這個(gè)對(duì)稱(chēng)密鑰加密所需發(fā)送的報(bào)文；然后用收信方的公開(kāi)密鑰加密這個(gè)對(duì)稱(chēng)密鑰，連同加密了的報(bào)文一同傳輸?shù)绞招欧健Ｊ招欧绞紫仁褂米约旱乃接忻荑€解密被加密的對(duì)稱(chēng)密鑰。再用該對(duì)稱(chēng)密鑰解密出真正的報(bào)文。

信息加密—發(fā)送過(guò)程利用對(duì)稱(chēng)密鑰加密算法利用非對(duì)稱(chēng)密鑰加密算法敏感信息密文對(duì)稱(chēng)密鑰加密、解密速度快用于大量信息的加、解密加密

用接收方公開(kāi)密鑰?接收方

密鑰對(duì)傳送加密用對(duì)稱(chēng)密鑰數(shù)字信封?信息加密—接收過(guò)程利用非對(duì)稱(chēng)密鑰算法解密用接收方私有密鑰密文解密用對(duì)稱(chēng)密鑰利用對(duì)稱(chēng)密鑰算法還原對(duì)稱(chēng)密鑰敏感信息閱讀信息接收方

密鑰對(duì)數(shù)字信封SSLSSL（安全套接層）協(xié)議由Netscape公司研究制定采用DES、MD5等加密技術(shù)采用X.509D數(shù)字證書(shū)鑒別用戶(hù)身份向互聯(lián)網(wǎng)提供數(shù)據(jù)的保密性、完整性、身份確認(rèn)以及不可抵賴(lài)等安全措施經(jīng)加密的密鑰私人密鑰B加密解密公開(kāi)密鑰B對(duì)稱(chēng)密鑰對(duì)稱(chēng)密鑰普通報(bào)文普通報(bào)文密文A方B方電子信封工作原理如下圖：數(shù)字證書(shū)（digitalcertificate,digitalID）又稱(chēng)數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)識(shí)通訊各方身份信息，并由一個(gè)可信任的、公正的權(quán)威機(jī)構(gòu)（即認(rèn)證機(jī)構(gòu)）經(jīng)審核頒發(fā)的電子文書(shū)。

數(shù)字證書(shū)數(shù)字證書(shū)用戶(hù)A的私有密鑰用戶(hù)A的公開(kāi)密鑰用戶(hù)A

用于數(shù)字簽名和信息解密，由用戶(hù)自己妥善保管不能泄露，確保只有用戶(hù)本身才能簽名用戶(hù)A的密鑰對(duì)…...頒發(fā)給：用戶(hù)A頒發(fā)者：廣東省電子商務(wù)認(rèn)證中心CA

用于驗(yàn)證簽名和信息加密，與數(shù)字證書(shū)捆綁在一起，發(fā)送給其他人，也可以通過(guò)公開(kāi)查詢(xún)獲得數(shù)字證書(shū)的特征1、是一種在Internet上驗(yàn)證身份的方式。2、由特定證書(shū)授權(quán)中心頒發(fā)的電子文書(shū)。

3、證書(shū)的格式遵循ITUX.509國(guó)際標(biāo)準(zhǔn)。

一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)內(nèi)容：證書(shū)的版本信息；證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；證書(shū)所使用的簽名算法；證書(shū)的發(fā)行機(jī)構(gòu)名稱(chēng)，命名規(guī)則一般采用X.500格式；證書(shū)的有效期，現(xiàn)在通用的證書(shū)一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；證書(shū)所有人的名稱(chēng)，命名規(guī)則一般采用X.500格式；證書(shū)所有人的公開(kāi)密鑰；證書(shū)發(fā)行者對(duì)證書(shū)的數(shù)字簽名。數(shù)字證書(shū)的組成

數(shù)字證書(shū)的三種類(lèi)型

個(gè)人證書(shū)它僅僅為某一個(gè)用戶(hù)提供數(shù)字證書(shū)。

企業(yè)（服務(wù)器）數(shù)字證書(shū)它通常為網(wǎng)上的某個(gè)Web服務(wù)器提供數(shù)字證書(shū)。

軟件（開(kāi)發(fā)者）數(shù)字證書(shū)它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書(shū)。認(rèn)證機(jī)構(gòu)（certificateauthority，CA）也稱(chēng)認(rèn)證中心，是數(shù)字證書(shū)的簽發(fā)機(jī)構(gòu)，它通過(guò)自身的注冊(cè)審核體系，檢查核實(shí)進(jìn)行證書(shū)申請(qǐng)的用戶(hù)身份和各項(xiàng)相關(guān)信息，并將相關(guān)內(nèi)容列入發(fā)放的證書(shū)域內(nèi)，使用戶(hù)屬性的客觀真實(shí)性與證書(shū)的真實(shí)性一致。

認(rèn)證機(jī)構(gòu)CA是提供身份驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶(hù)信任的組織實(shí)體構(gòu)成。CA主要是解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。

認(rèn)證機(jī)構(gòu)的特征

認(rèn)證中心的作用

證書(shū)的頒發(fā)證書(shū)的更新證書(shū)的查詢(xún)證書(shū)的作廢證書(shū)的歸檔證書(shū)