第1章：电子商务安全.pptVIP

* * * * * * * 6 电子商务安全交易的有关标准和实施方法 (1) 安全超文本传输协议(S—HTTP) (2)安全套层协议(secure sockets layer，SSL) (3)安全交易技术协议(secure transaction technology，STT) (4)安全电子交易协议(secure electronic transaction，SET) 依靠密钥对的加密，保障Web站点间交易信息传输的安全性。 由Netscape公司提出的安全交易协议，提供加密、认证服务和报文完整性。SSL被用于Netscape Communicator和 Microsoft IE浏览器，以完成需要的安全交易操作。 由Microsoft公司提出, STT将认证和解密在浏览器中分离开,以提高安全控制能力。Microsoft在Internet Explorer中采用了这一技术。 1995年，信用卡国际组织、资讯业者及网络安全专业团体等开始组成策略联盟，共同研究开发电子商务的安全交易。1996年6月，由IBM、Mastef Card International、Visa International、Microsoft、Netscape、GTE、VediSign、SAIC、Tedisa共同制定的SE下标准正式公告，涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网络的标准，其交易形态将成为未来“电子商务”的规范。 7 电子商务的安全防范 (1)不要使用简单的密码 (2)不要轻易打开邮件附件 (3)禁用IE的自动完成功能 (4)聊天设置为隐藏用户 (5)不要轻易安装和运行下载的软件和来历不明的软件 (6)定期升级你的系统 、 (7)使用防火墙 (8)禁止文件共享 (9)系统后门和安全补丁 (10)身份认证 1.8.2 电子商务安全技术 1．常用的安全电子交易手段 (1) 密码技术 l）公共密钥和私用密钥(public key and private key) 这一加密方法亦称安全Hash编码法(secure hash algorithm，SHA)或MDS(MD standards for message digest)，由Ron Rivest所设计。该编码法采用单向Hash函数将要加密的明文“摘要”成一串128bit的密文，这一串密文亦称为数字指纹(Finger print)，它有固定的长度．不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。 2)数字摘要(digital digest) 这一加密方法亦称为RSA算法，是由Rivest，Shamir和Adleman三人研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此，将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让发送方的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份人员的公共密钥可在网上查到，亦可在请对方发送信息时主动将公共密钥传给对方。 这一加密方法亦称为RSA算法，是由Rivest，Shamir和Adleman三人研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此，将这一对质数称为密钥对(Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让发送方的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有用该用户一个人知道的私用密钥才能解密。具有数字凭证身份人员的公共密钥可在网上查到，亦可在请对方发送信息时主动将公共密钥传给对方。 1.8.2 电子商务安全技术 1．常用的安全电子交易手段 (2)认证技术 l）数字签名(digital signature) 2)数字时间戳(digital time-stamp) 3)数字凭证(digital certificate , digital ID) 4)认证中心(certification authority , CA) 认证中心就是承担网上安全电子交易认证服务的机构，它提供签发数字证书、确认用户身份等服务。 时间戳(time-stamp)是一个经加密后形成的凭证文档，它包括三个部分：①需要追加时间戳的文件摘要(digest)；②DTS收