电子商务安全技术课件002

第3章：电子安全技术第3章：电子安全技术1导言

随着通信网络技术的飞速发展，特别是Internet的不断普及，使得电子商务系统在全球范围内掀起了阵阵狂潮，但却没有像人们想象的那样普及和深入，其中一个很重要的原因就是电子商务系统的安全性，它成为阻碍电子商务迅速发展的一个重大瓶颈。导言

随着通信网络技术的飞速发展，特2引例：

“网络钓鱼”是一种窃取银行帐号和密码的电子邮件。发现于2005年的2月份的美邦银行（SmithBarney）。该邮件利用了IE的图片映射地址欺骗漏洞，并设计了完美的脚本程序，用一个显示假地址的弹出窗口挡住了IE浏览器的地址栏，使用户看不到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接不是美邦银行（SmithBarney）的真实地址，而是一个和美邦银行（SmithBarney）网站页面非常相似的“钓鱼网站”页面，用户一旦在该钓鱼网站上输入自己的帐号和密码后，这些信息就会被黑客窃取。引例：

“网络钓鱼”是一种窃取银行帐号和密码33.1电子商务安全概述

3.1.1电子商务安全要求真实性计算机安全网络安全不可否认保密性完整性及时性3.1电子商务安全概述

3.1.1电子商务安全要求真实性43.1.2电子商务主要安全技术计算机安全技术数据加密技术认证技术安全电子交易协议黑客防范技术虚拟专网技术反病毒技术3.1.2电子商务主要安全技术计算机安全技术53.2电子商务中计算机安全技术

3.2.1计算机安全定义国际标准化委员会定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、更改、显露。3.2电子商务中计算机安全技术

3.2.1计算机安全定义6我国公安部计算机管理监察司对计算机的安全也有一定的声明，他认为计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。我国公安部计算机管理监察司对计算机的安全也有一定的声明，他认73.2.2计算机硬件系统安全计算机硬件也存在漏洞在制定采购计划时，多搜集相关信息，了解供应商的机器品牌、型号的特点和使用情况在具体的采购过程中，应尽量避免使用刚刚上市的新产品，而尽可能采用比较成熟、稳定的型号3.2.2计算机硬件系统安全计算机硬件也存在漏洞83.2.3计算机系统运行环境的安全1.系统运行中的安全问题电源问题磁场自然环境灾害3.2.3计算机系统运行环境的安全1.系统运行中的安全问题92.保证运行环境的安全措施几种日常系统运行环境的维护措施：⑴采用不间断电源系统（UPS），保证电源的稳定。⑵在核心机房设立隔离门、室外电源开关等应急设备。⑶对重要数据和设备进行异地备份，并制定灾难恢复计划。⑷采用空气湿度和温度控制系统。⑸加强机房管理制度，严禁在机房饮食。⑹采用水灾和火灾实时监测系统，选取合适的灭火设备。⑺加强员工的安全教育，提高安全防范意识。2.保证运行环境的安全措施103.2.4软件系统的安全软件系统风险防范⑴打补丁⑵安装防火墙⑶使用杀毒软件⑷其他防范措施3.2.4软件系统的安全软件系统风险防范11网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。3.3.电子商务网络系统安全

3.3.1网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不12数据加密就是按照确定的密码算法将需要隐藏的明文数据变换成另一种隐蔽形式的密文数据。当需要明文数据时可使用密钥将密文数据还原成明文数据，称为解密。对明文加密时采用的一组规则称为加密算法对密文解密时采用的规则称为解密算法3.3.2加密技术数据加密就是按照确定的密码算法将需要隐藏的明文数据变换成另一13对称加密技术，它的加密与解密过程中使用相同的密钥，它的保密性取决于对密钥的保密程度上。它的优点是数字运算量小，加密速度快，弱点是密钥管理困难。对称加密技术，它的加密与解密过程中使用相同的密钥，它的保密性14明文发送方明文解密过程加密过程 接收方传输的密文密钥明文发送方明文解密过程加密过程 接收方传输的密文密钥15在对称加密技术中，最典型的有DES(DataEncryptionStandard)，它是由IBM公司在20世纪70年代研制的。经过美国政府的筛选，1976年11月被美国政府采用，国家标准局和技术局（NIST）在1997年对该数据加密标准认可在对称加密技术中，最典型的有DES(DataEncrypt16非对称加密技术的设计比对称加密技术的设计具有很大的挑战性。在非对称加密技术中所使用的公钥算法是公开的，任何一位攻击者都可依据该信息对网络中的数据实施破坏。非对称加密技术的设计比对称加密技术的设计具有很大的挑战性。在17公钥密码体制的公钥加密方案由6部分组成，分别是明文、加密算法、公钥、私钥、密文和解密算法。与对称加密方案相比，公钥加密方案需要两个密钥，即公钥和私钥，而对称加密方案只有一个密钥。公钥密码体制的公钥加密方案由6部分组成，分别是明文、加密算法18Ｂ的公钥Ｂ的私钥明文明文非对称加密结构Ｂ的解密算法Ａ的加密算法密文Ｂ的公钥Ｂ的私钥明文明文非对称Ｂ的解密算法Ａ的加密算法密文19RSA加密算法是由Ｒivest、Ｓhamir和adleman（ＲＳＡ）于1978年在麻省理工学院研制出来的。主要是建立在“大数分解和素数检测”的理论基础上的。两个大素数相乘在计算上是容易实现的，而分解两个大素数的积在计算上是不可行的。RSA加密算法是由Ｒivest、Ｓhamir和adleman203.沟通和互动方式的改变。在传统的政务模式下，政府主要借助各种公共传媒来发布政务信息，而公众主要借助于电话、信件、口头传播和传真等手段向政府传递信息，这些方式的一个重要缺陷就使速度慢，政府与公众之间难以做到及时沟通和信息互动。现在政府通过网络化手段，就能实现及时沟通和实时对话，使沟通和互动方式发生了根本性的变化。3.沟通和互动方式的改变。在传统的政务模式下，政府主要借助各213.3.3认证技术认证技术是解决电子商务活动中的安全问题的技术基础，是计算机网络安全技术的重要内容。认证指的是证实被认证对象是否属实和是否有效的一个过程，它主要有两种认证模式：消息认证用于保证信息的完整性和抗否认性；身份认证用于鉴别用户身份。在电子商务系统中有时候认证技术可能比信息加密本身更加重要。比如在网上购物和支付系统中，用户往往对购物信息的保密性不是很重要，而对网上商店的身份真实性则倍加关注；3.3.3认证技术认证技术是解决电子商务活动中的安全问题的22消息认证技术：消息认证实际上是对消息本身产生一个冗余的信息——MAC(消息认证码)，消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一的，因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。消息认证技术：23身份认证技术：身份认证(Authentication)是证实实体身份的过程，是保证系统安全的重要措施之一。当服务器提供服务时，需要确认来访者的身份，访问者有时也需要确认服务提供者的身份。身份认证技术：24常用的身份认证方法：(1)基于口令的认证方法(2)双因素认证(3)一次口令机制(4)生物特征认证(5)USBKey认证常用的身份认证方法：253.3.4虚拟专用网技术虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络（如因特网）上安全地通信。它采用复杂的算法来加密传输的信息，使得需要受保护的数据不会被窃取。虚拟专用网是企业内部网在internet上的延伸，可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网联结起来，构成一个扩展的企业内部网。3.3.4虚拟专用网技术虚拟专用网系统使分布在不同地方的专26传统意义VPN的分类：根据VPN所起的作用，可以将VPN分为三类：VPDN、IntranetVPN和ExtranetVPN.IPVPN的分类：按照网络连接方式的不同，一般把IPVPN分为以下三种类型：远程访问虚拟专网（AccessVPN）企业内部虚拟专网（IntranetVPN）扩展的企业内部虚拟专网(ExtranetVPN)传统意义VPN的分类：根据VPN所起的作用，可以将VPN分为273.3.5病毒及防范措施引例：熊猫烧香“会烧香的不一定是和尚，还可能是熊猫”----2007年网络上流传着这样一句话。一只熊猫拿着三支香，这个图像一度令电脑用户胆战心惊

。3.3.5病毒及防范措施引例：熊猫烧香28病毒的概念计算机病毒是一种有很强的破坏力和感染力的计算机程序。计算机病毒与其他的程序不同，当其进入计算机以后，使正常运行的计算机软件和硬件受到影响，或者毁坏计算机内保存的文件信息。病毒的概念29病毒的特点感染性流行性欺骗性破坏性潜伏性隐蔽性病毒的特点感染性30引导型病毒文件型病毒混合型病毒病毒的类型引导型病毒病毒的类型31病毒的防御措施定期进行数据备份，一旦遭受病毒破坏可以及时恢复重要数据。安装防毒软件，进行升级规范计算机操作和限制上网内容使用主动防御功能病毒的防御措施定期进行数据备份，一旦遭受病毒破坏可以及时恢复32防火墙的概念：防火墙在建筑学中指用来防止大火从建筑物的一部分蔓延到另一部分而设置的阻挡机构。计算机术语中的防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个可信网络（一般指内部网）和不可信网络（一般指外部网）之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。3.3.6防火墙技术防火墙的概念：防火墙在建筑学中指用来防止大火从建筑物的一部33防火墙的类型包过滤型防火墙代理服务器型防火墙电路层防火墙防火墙的类型包过滤型防火墙343.4电子商务数据与交易安全

3.4.1安全套接层协议（SecureSockedLayer,SSL）Internet上的安全套接层协议是1994年底由Netscape首先引入的，目前已有2.0和3.0版本。其主要目的是解决Web上信息传输的安全顾虑。除了Netscape外，参与制定SSL协议的厂商还包括：IBM,Microsoft,Spyglass，他们都将SSL加入到自己的客户端和服务器的应用方面。3.4电子商务数据与交易安全

3.4.1安全套接层协议（35SSL中的握手协议，是在客户机和服务器之间交换消息的强化性协议，一般有六个阶段：（1）接通阶段；（2）密钥交换阶段；（3）会话密钥生成阶段；（4）服务器证实阶段；（5）客户机认证阶段；（6）结束阶段；SSL中的握手协议，是在客户机和服务器之间交换消息的强化性协36客户机服务器Client-HelloServer-HelloClient-DH-KeyClient-Session-KeyServer-VerifyRequest-CertificationClient-CertificationClient-FinishedServer-FinishedClient-Master-Key接通密钥交换会话密钥生成服务器证实客户机认证结束可信赖的通信客户机服务器Client-HelloServer-Hello37SSL记录协议SSL记录协议提供通信、认证功能，并且在一个面向连接的可靠传输协议（TCP）之上提供保护。SSL记录协议38使用SSL的情况使用SSL的情况393.4.2公钥基础设施（PublicKeyInfrastructure，PKI）公钥基础设施的产生什么是PKI?PKI的目的信任问题信任模型：直接交叉模型和双层模型3.4.2公钥基础设施（PublicKeyInfra40安全电子交易（SET）是目前已经标准话且被业界广泛接受的一种网际网络信用卡付款机制。SET是由Visa和MasterCard两大信用卡组织联合开发的电子商务安全协议。它是一种基于消息流的协议，用来保证公共网络上银行卡支付交易的安全性，因而成为Internet上进行在线交易的电子付款系统规范。3.4.3安全电子交易协议（SecureElectronicTransaction,SET）安全电子交易（SET）是目前已经标准话且被业界广泛接受的一种41SET的流程持卡人注册申请证书商户注册申请证书购买请求支付认证获取支付。SET的流程持卡人注册申请证书42连接性认证机制风险性SET的缺陷及补救措施3.4.4SSL与SET协议的比较连接性3.4.4SSL与SET协议的比较433.5黑客防范技术

3.5.1黑客概述《中华人民共和国公共安全行业标准GA163—1997》中早有定义：黑客,英文名为Hacker,是指对计算机信息系统进行非授权访问的人员。3.5黑客防范技术

3.5.1黑客概述《中华人民共和国公共44攻击前奏实施攻击巩固控制继续深入3.5.2黑客攻击的目的及步骤攻击前奏3.5.2黑客攻击的目的及步骤453.5.3黑客攻击类型及防御方法拒绝服务型攻击利用型攻击信息收集型攻击虚假信息型攻击3.5.3黑客攻击类型及防御方法拒绝服务型攻击463.5.4个人PC机安全设置系统用户名和密码安全本地安全策略设置删掉不必要的协议关闭“文件和打印共享”把Guest账号禁用禁止建立空连接关闭不必要的端口安装必要的安全软件防范木马程序不要回陌生人的邮件设置相应的权限3.5.4个人PC机安全设置系统用户名和密码安全473.6电子商务安全制度人员管理网络系统的日常维护管理制度跟踪、审计、稽核制度保密制度3.6电子商务安全制度人员管理48课后思考题：1.电子商务安全要求主要涉及哪几个方面。2.什么是对称加密？图示说明对称加密的结构？它的只要缺点是什么？3.什么是非对称加密？图示说明非对称加密的结构？3.计算机及网络系统中常用的身份认证方法有哪些？5.简述防火墙的分类，及各自的特点？6.病毒的特点及分类？7.图示并说明SSL中握手协议的各个阶段？8.图示并说明SET交易中的五个流程？9.黑客的攻击类型有哪些？如何防御？10.个人PC机安全设置有哪些？分别可以阻止黑客哪一种攻击？11.电子商务制度安全中人员管理要注意哪些方面？12.电子商务制度安全中网络日常维护工作有哪些？课后思考题：1.电子商务安全要求主要涉及哪几个方面。49实训题：1.用360安全卫士为自己的电脑进行全面的检查及整理（包括查木马、清除恶评插件、补系统漏洞、清除系统垃圾等）.2.在中国数字认证网（）为自己申请“客户身份验证证书”。3.根据黑客防范的主要措施，把自己电脑上的“后门”封死。3.登陆几个主要的网站邮箱页面，看看各个大站使用SSL协议的情况。5.上网了解一下黑客的其他攻击方法实训题：1.用360安全卫士为自己的电脑进行全面的检查及整50ThankYou!ThankYou!51第3章：电子安全技术第3章：电子安全技术52导言

随着通信网络技术的飞速发展，特别是Internet的不断普及，使得电子商务系统在全球范围内掀起了阵阵狂潮，但却没有像人们想象的那样普及和深入，其中一个很重要的原因就是电子商务系统的安全性，它成为阻碍电子商务迅速发展的一个重大瓶颈。导言

随着通信网络技术的飞速发展，特53引例：

“网络钓鱼”是一种窃取银行帐号和密码的电子邮件。发现于2005年的2月份的美邦银行（SmithBarney）。该邮件利用了IE的图片映射地址欺骗漏洞，并设计了完美的脚本程序，用一个显示假地址的弹出窗口挡住了IE浏览器的地址栏，使用户看不到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接不是美邦银行（SmithBarney）的真实地址，而是一个和美邦银行（SmithBarney）网站页面非常相似的“钓鱼网站”页面，用户一旦在该钓鱼网站上输入自己的帐号和密码后，这些信息就会被黑客窃取。引例：

“网络钓鱼”是一种窃取银行帐号和密码543.1电子商务安全概述

3.1.1电子商务安全要求真实性计算机安全网络安全不可否认保密性完整性及时性3.1电子商务安全概述

3.1.1电子商务安全要求真实性553.1.2电子商务主要安全技术计算机安全技术数据加密技术认证技术安全电子交易协议黑客防范技术虚拟专网技术反病毒技术3.1.2电子商务主要安全技术计算机安全技术563.2电子商务中计算机安全技术

3.2.1计算机安全定义国际标准化委员会定义：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭破坏、更改、显露。3.2电子商务中计算机安全技术

3.2.1计算机安全定义57我国公安部计算机管理监察司对计算机的安全也有一定的声明，他认为计算机安全是指计算机资产安全，即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。我国公安部计算机管理监察司对计算机的安全也有一定的声明，他认583.2.2计算机硬件系统安全计算机硬件也存在漏洞在制定采购计划时，多搜集相关信息，了解供应商的机器品牌、型号的特点和使用情况在具体的采购过程中，应尽量避免使用刚刚上市的新产品，而尽可能采用比较成熟、稳定的型号3.2.2计算机硬件系统安全计算机硬件也存在漏洞593.2.3计算机系统运行环境的安全1.系统运行中的安全问题电源问题磁场自然环境灾害3.2.3计算机系统运行环境的安全1.系统运行中的安全问题602.保证运行环境的安全措施几种日常系统运行环境的维护措施：⑴采用不间断电源系统（UPS），保证电源的稳定。⑵在核心机房设立隔离门、室外电源开关等应急设备。⑶对重要数据和设备进行异地备份，并制定灾难恢复计划。⑷采用空气湿度和温度控制系统。⑸加强机房管理制度，严禁在机房饮食。⑹采用水灾和火灾实时监测系统，选取合适的灭火设备。⑺加强员工的安全教育，提高安全防范意识。2.保证运行环境的安全措施613.2.4软件系统的安全软件系统风险防范⑴打补丁⑵安装防火墙⑶使用杀毒软件⑷其他防范措施3.2.4软件系统的安全软件系统风险防范62网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。3.3.电子商务网络系统安全

3.3.1网络安全概述网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不63数据加密就是按照确定的密码算法将需要隐藏的明文数据变换成另一种隐蔽形式的密文数据。当需要明文数据时可使用密钥将密文数据还原成明文数据，称为解密。对明文加密时采用的一组规则称为加密算法对密文解密时采用的规则称为解密算法3.3.2加密技术数据加密就是按照确定的密码算法将需要隐藏的明文数据变换成另一64对称加密技术，它的加密与解密过程中使用相同的密钥，它的保密性取决于对密钥的保密程度上。它的优点是数字运算量小，加密速度快，弱点是密钥管理困难。对称加密技术，它的加密与解密过程中使用相同的密钥，它的保密性65明文发送方明文解密过程加密过程 接收方传输的密文密钥明文发送方明文解密过程加密过程 接收方传输的密文密钥66在对称加密技术中，最典型的有DES(DataEncryptionStandard)，它是由IBM公司在20世纪70年代研制的。经过美国政府的筛选，1976年11月被美国政府采用，国家标准局和技术局（NIST）在1997年对该数据加密标准认可在对称加密技术中，最典型的有DES(DataEncrypt67非对称加密技术的设计比对称加密技术的设计具有很大的挑战性。在非对称加密技术中所使用的公钥算法是公开的，任何一位攻击者都可依据该信息对网络中的数据实施破坏。非对称加密技术的设计比对称加密技术的设计具有很大的挑战性。在68公钥密码体制的公钥加密方案由6部分组成，分别是明文、加密算法、公钥、私钥、密文和解密算法。与对称加密方案相比，公钥加密方案需要两个密钥，即公钥和私钥，而对称加密方案只有一个密钥。公钥密码体制的公钥加密方案由6部分组成，分别是明文、加密算法69Ｂ的公钥Ｂ的私钥明文明文非对称加密结构Ｂ的解密算法Ａ的加密算法密文Ｂ的公钥Ｂ的私钥明文明文非对称Ｂ的解密算法Ａ的加密算法密文70RSA加密算法是由Ｒivest、Ｓhamir和adleman（ＲＳＡ）于1978年在麻省理工学院研制出来的。主要是建立在“大数分解和素数检测”的理论基础上的。两个大素数相乘在计算上是容易实现的，而分解两个大素数的积在计算上是不可行的。RSA加密算法是由Ｒivest、Ｓhamir和adleman713.沟通和互动方式的改变。在传统的政务模式下，政府主要借助各种公共传媒来发布政务信息，而公众主要借助于电话、信件、口头传播和传真等手段向政府传递信息，这些方式的一个重要缺陷就使速度慢，政府与公众之间难以做到及时沟通和信息互动。现在政府通过网络化手段，就能实现及时沟通和实时对话，使沟通和互动方式发生了根本性的变化。3.沟通和互动方式的改变。在传统的政务模式下，政府主要借助各723.3.3认证技术认证技术是解决电子商务活动中的安全问题的技术基础，是计算机网络安全技术的重要内容。认证指的是证实被认证对象是否属实和是否有效的一个过程，它主要有两种认证模式：消息认证用于保证信息的完整性和抗否认性；身份认证用于鉴别用户身份。在电子商务系统中有时候认证技术可能比信息加密本身更加重要。比如在网上购物和支付系统中，用户往往对购物信息的保密性不是很重要，而对网上商店的身份真实性则倍加关注；3.3.3认证技术认证技术是解决电子商务活动中的安全问题的73消息认证技术：消息认证实际上是对消息本身产生一个冗余的信息——MAC(消息认证码)，消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一的，因此可以有效地保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。消息认证技术：74身份认证技术：身份认证(Authentication)是证实实体身份的过程，是保证系统安全的重要措施之一。当服务器提供服务时，需要确认来访者的身份，访问者有时也需要确认服务提供者的身份。身份认证技术：75常用的身份认证方法：(1)基于口令的认证方法(2)双因素认证(3)一次口令机制(4)生物特征认证(5)USBKey认证常用的身份认证方法：763.3.4虚拟专用网技术虚拟专用网系统使分布在不同地方的专用网络在不可信任的公共网络（如因特网）上安全地通信。它采用复杂的算法来加密传输的信息，使得需要受保护的数据不会被窃取。虚拟专用网是企业内部网在internet上的延伸，可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网联结起来，构成一个扩展的企业内部网。3.3.4虚拟专用网技术虚拟专用网系统使分布在不同地方的专77传统意义VPN的分类：根据VPN所起的作用，可以将VPN分为三类：VPDN、IntranetVPN和ExtranetVPN.IPVPN的分类：按照网络连接方式的不同，一般把IPVPN分为以下三种类型：远程访问虚拟专网（AccessVPN）企业内部虚拟专网（IntranetVPN）扩展的企业内部虚拟专网(ExtranetVPN)传统意义VPN的分类：根据VPN所起的作用，可以将VPN分为783.3.5病毒及防范措施引例：熊猫烧香“会烧香的不一定是和尚，还可能是熊猫”----2007年网络上流传着这样一句话。一只熊猫拿着三支香，这个图像一度令电脑用户胆战心惊

。3.3.5病毒及防范措施引例：熊猫烧香79病毒的概念计算机病毒是一种有很强的破坏力和感染力的计算机程序。计算机病毒与其他的程序不同，当其进入计算机以后，使正常运行的计算机软件和硬件受到影响，或者毁坏计算机内保存的文件信息。病毒的概念80病毒的特点感染性流行性欺骗性破坏性潜伏性隐蔽性病毒的特点感染性81引导型病毒文件型病毒混合型病毒病毒的类型引导型病毒病毒的类型82病毒的防御措施定期进行数据备份，一旦遭受病毒破坏可以及时恢复重要数据。安装防毒软件，进行升级规范计算机操作和限制上网内容使用主动防御功能病毒的防御措施定期进行数据备份，一旦遭受病毒破坏可以及时恢复83防火墙的概念：防火墙在建筑学中指用来防止大火从建筑物的一部分蔓延到另一部分而设置的阻挡机构。计算机术语中的防火墙是指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个可信网络（一般指内部网）和不可信网络（一般指外部网）之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。3.3.6防火墙技术防火墙的概念：防火墙在建筑学中指用来防止大火从建筑物的一部84防火墙的类型包过滤型防火墙代理服务器型防火墙电路层防火墙防火墙的类型包过滤型防火墙853.4电子商务数据与交易安全

3.4.1安全套接层协议（SecureSockedLayer,SSL）Internet上的安全套接层协议是1994年底由Netscape首先引入的，目前已有2.0和3.0版本。其主要目的是解决Web上信息传输的安全顾虑。除了Netscape外，参与制定SSL协议的厂商还包括：IBM,Microsoft,Spyglass，他们都将SSL加入到自己的客户端和服务器的应用方面。3.4电子商务数据与交易安全

3.4.1安全套接层协议（86SSL中的握手协议，是在客户机和服务器之间交换消息的强化性协议，一般有六个阶段：（1）接通阶段；（2）密钥交换阶段；（3）会话密钥生成阶段；（4）服务器证实阶段；（5）客户机认证阶段；（6）结束阶段；SSL中的握手协议，是在客户机和服务器之间交换消息的强化性协87客户机服务器Client-HelloServer-HelloClient-DH-KeyClient-Session-KeyServer-VerifyRequest-CertificationClient-CertificationClient-FinishedServer-FinishedClient-Master-Key接通密钥交换会话密钥生成服务器证实客户机认证结束可信赖的通信客户机服务器Client-HelloServer-Hello88SSL记录协议SSL记录协议提供通信、认证功能，并且在一个面向连接的可靠传输协议（TCP）之上提供保护。SSL记录协议89使用SSL的情况使用SSL的情况903.4.2公钥基础设施（PublicKeyInfrastructure，PKI）公钥基础设施的产生什么是PKI?PKI的目的信任问题信任模型：直接交叉模型和双层模型3.4.2公钥基础设施（PublicKeyInfra91安全电子交易（SET）是目前已经标准话且被业界广泛接受的一种网际网络信用卡付款机制。