电子商务的安全

返回电子商务的安全内容4.1概述4.2对版权和知识产权的保护4.3保护客户机4.4保护通讯信道的平安4.5对效劳器的平安威胁

4.1概述计算机平安计算机平安分类平安措施平安策略

4.1.1计算机平安1.计算机平安2.物理平安3.逻辑平安4.平安威胁

1.计算机平安是保护企业资产不受未经授权的访问、使用、篡改或破坏。

2.物理平安

3.逻辑平安使用非物理手段对资产进行保护。

对计算机资产带来危险的任何行动或对象。

4.平安威胁4.1.2计算机平安分类1.保密2.完整3.即需

1.保密是指防止未授权的数据暴露并确保数据源的可靠性。

2.完整是防止未经授权的数据修改。

3.即需是防止延迟或拒绝效劳。

4.1.3平安措施是指识别、降低或消除平安威胁的物理或逻辑步骤的总称。根据资产的重要性不同，相应的平安措施也有多种。如果保护资产免受平安威胁的本钱超过所保护资产的价值，我们就认为这种资产的平安风险很低或不可能发生。

平安策略是对所需保护的资产、保护的原因、谁负责进行保护、哪些行为可接受、哪些不可接受等的书面描述。平安策略一般要陈述物理平安、网络平安、访问授权、病毒保护、灾难恢复等内容，这个策略会随时间而变化，公司负责平安的人员必须定期修改平安策略。

平安策略一般包含的内容1.认证：谁想访问电子商务网站？2.访问控制：允许谁登录EC网站并访问它？3.保密：谁有权利查看特定的信息？4.数据完整性：允许、不允许谁修改数据？5.审计：在何时由何人导致了何事？

4.2对版权和知识产权的保护对知识产权的平安威胁保护知识产权

4.2.1对知识产权的平安威胁1.知识产权2.版权

1.知识产权是思想的所有权和对思想的实际或虚拟表现的任制权。互联网广泛应用后，对知识产权的平安威胁比以前严重多了。未经所有者允许而擅自使用网络上的材料是非常容易的。

2.版权是对表现的保护。一般包括对文学和音乐作品、戏曲和舞蹈作品、绘画和雕塑作品、电影和其他视听作品以及建筑作品的保护。

版权法规定的是固定期限的保护。所有作品创作出后就得到法律的保护。没有明确的版权声明的作品也受到法律的保护。除非你从一家EC网站收到允许复制受版权保护的图片，否那么你在自己的网站上使用这个图片就违反了版权法。

合法使用版权：是指在符合特定要求下有限度地使用受版权保护的材料。抢注域名：是指用别人公司的商标来注册一个域名,以期商标所有者付巨资赎回域名。

4.2.2保护知识产权

数字化的知识产权所面临的困境是如何在网站上发表知识产权作品同时又能保护这些作品。迄今为止，绝对的保护是不现实的，但有些措施可提供一定程度的保护。

数字化知识产权的保护1.组织2.方法

2.方法主机名阻塞、包过滤、代理效劳器：互联网效劳提供商(ISP)可用IP阻塞、包过滤或代理效劳器来阻止某个违法网站的访问。但都无法防止未经版权所有者允许的盗窃。数字化水印：是隐蔽地嵌入在数字图像或声音文件里的数字码或数字流。可对其内容加密或简单地隐藏在图像或声音文件的字节里。软件测量；数字信封(信息认证码)：

4.3保护客户机对客户机的平安威胁保护客户机

4.3.1对客户机的平安威胁1.活动内容2.Java、Java小应用程序和JavaScript3.ActiveX控件4.图形文件、插件和电子邮件的附件

1.活动内容是指在页面上嵌入的对用户透明的程序。活动页面可显示动态图像、下载和播放音乐或实现基于WWW的电子表格程序。EC中使用的活动内容涉及将你选中的商品放入购物车并计算发票总额。开发人员非常欢送活动内容，因为它扩展了HTML的功能，使页面更为活泼。

活动内容形式：Java小应用程序AciveX控件脚本语言JavaScript脚本语言VBScript图形文件WWW浏览器插件

在WWW页面里参加活动内容，为EC带来了多种平安风险。

通过WWW页面潜入的有恶意的程序可泄露存在Cookie里的信用卡号、用户名和口令等信息。因为互联网是无状态的，它不能记忆从一个页面到另一个页面间的响应，用Cookie可帮助解决需要记忆关于顾客订单信息或用户名与口令等问题。

Cookie本身并没有恶意，但由于其信息可能会被利用。有恶意的活动内容利用Cookie可将客户机端的文件泄密(保密)，甚至破坏存储在客户机上的文件(完整)。

2.Java、Java小应用程序和JavaScript⑴

Java⑵

Java小应用程序⑶

JavaScript

⑴JavaSUN公司开发的高级程序设计语言。是一种面向对象语言,支持代码重用。可在操作系统上运行。具有与平台无关性,可在任何计算机上运行。

Java应用程序不在浏览器上运行,而是在计算机(效劳器)上运行,它可完成任何操作(包括灾难性的操作)。

Java增强了业务应用功能。它可在客户机端处理交易并完成各种各样的操作，这就解放了非常繁性的效劳器，使效劳器不必同时处理上千种应用。嵌入的Java代码一旦下载就可在客户机上运行，这就意味着很可能发生破坏平安的问题。⑵Java小应用程序

在WWW页面上，有数以千计的Java小应用程序，实现各种各样的客户机端应用。这些小应用程序随页面下载下来，只要浏览器兼容Java，它就可在客户机上运行。NetscapeNavigator和MicrosoftInternetExplorer都兼容Java。

Java“运行程序平安区〞的平安模式。运行程序平安区：是根据平安模式所定义的规那么来限制Java小应用程序的活动。规那么适应于所有不可信的Java小应用程序。

不可信的Java小应用程序：指尚未被证明是平安的Java小应用程序。当Java小应用程序在Java运行程序平安区限制的范围内运行时，它们不会访问系统中平安规定范围之外的程序代码。

例如，遵守运行程序平安区规那么的Java小应用程序不能执行文件输入、输出或删除操作。防止了Java小应用程序对保密性(泄密)和完整性(删除或修改)的破坏。

可信的小应用程序：本地文件系统中下载的Java小应用程序,其运行不受Java运行程序平安区的限制。其能够访问客户机上的所有系统资源,系统相信它们不会进行破坏。

“签名〞的Java小应用程序：带有可信第三方的数字签名(这是识别Java小应用程序来源的措施)。如果Java小应用程序有签名，它就可在Java运行程序平安区之外使用所有系统资源。

理由：如果你知道小应用程序是谁开发，并且相信这个小应用程序的来源，那么当它破坏了你的计算机上的内容后，你可以通过法律要求赔偿。从理论上说，有破坏作用的Java小应用程序通常是匿名开发的。

⑶JavaScriptJavaScript是网景公司开发的一种脚本语言，它支持页面设计者创立活动内容。各种流行浏览器都支持JavaScript，它和Java语言有同样的结构。当你下载一个嵌有JavaScript代码的页面后,此代码就在你的客户机上开始运行了。

JavaScript程序和Java小应用程序的区别在于它不在Java运行程序平安区的平安模式限制下运行。JavaScript程序同Java程序或Java小应用程序不同的是：JavaScript程序不能自行启动。有恶意的JavaScript程序要运行，必须由用户亲手启动。

有恶意者为诱导你启动这个程序,可能会把程序装扮成住房公积金计算程序,在你按下按钮来查看自己的住房公积金时,怀有恶意的JavaScript程序就会启动,完成它的破坏任务。这是特洛伊木马的又一个例子。

3.ActiveX控件是一个对象(称做控件)，由页面设计者放在页面里来执行特定任务的程序。Active

X的构件源于许多程序设计语言，如C++或VisualBasic。与Java或JavaScript代码不同：ActiveX控件只能在装Windows(95、98或2000)的计算机上运行,并且只能在支持ActiveX控件的浏览器上运行。

ActiveX代码编完后，程序设计人员将其封装在ActiveX信封里(代码转换成机读码前的一种特殊方式)、编译控件并把它放到页面上。当浏览器下载嵌有ActiveX控件的页面时，它就可在客户机上运行了。

控件的例子：Shockwave是用于动画和娱乐控制的浏览器插件程序,它就是ActiveX控件。WWW支持的日历控件及各种各样的WWW游戏。

ActiveX控件存在的平安威胁：一旦下载下来,它就能像计算机上的其他程序一样执行,能访问包括OS代码在内的所有系统资源,非常危险。一个有恶意的ActiveX控件可格式化硬盘,向邮件通讯簿里的所有人发送电子邮件或关闭计算机。由于ActiveX控件可全权访问你的计算机,它能破坏保密性、完整性或即需性。

ActiveX控件不能控制,但可被管理。如果浏览器平安特性设置正确，在你下载ActiveX控件时,浏览器会提醒你。

4.图形文件、插件和电子邮件的附件图形文件、浏览器插件和电子邮件附件均可存储可执行的内容。

有些图像文件的格式是专门设计的，能够包含确定图像显示方式的指令。带这种图形的任何页面都是潜在的平安威胁，因为嵌入在图形中的代码可能会破坏计算机。

浏览器插件：是增强浏览器功能的程序，即完成浏览器不能处理的页面内容。插件通常都是有益的，用于执行一些特殊的任务，如播放音乐片断、显示电影片断或动画图形。

插件都是通过执行相应媒体里的指令来完成其职责。这就为某些企图破坏计算机的人翻开了方便之门，他们可在看起来无害的视频或音频片断里嵌入一些指令，这些隐藏在插件程序所要解释对象里的恶意指令可通过删除假设干或全部文件来进行破坏。

电子邮件附件提供一种在文本系统(即电子邮件)上传输非文本信息的方便的方法。附件可以是文字处理文件、电子报表、数据库、图像及你能想象的任何信息。

当你收到附件时,大局部程序(包括最常用的浏览器电子邮件程序)都可通过自动执行所关联的程序来显示附件。例如，接收者的Excel程序可翻开所附加的Excel作表并显示它,Word程序可翻开并显示Word文档。

接收并观察邮件附件动作本身并不会带来破坏，但驻留在所下载的文档或工作表里的Word或Excel宏病毒会破坏你的计算机或将信息泄密。宏病毒：是嵌入在文件中的称作“宏〞的小程序。

4.3.2保护客户机1.数字证书2.微软公司的IntenetExplorer3.网景公司的Navigator4.处理Cookie5.使用防病毒软件

1.数字证书是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份。可向网页或电子邮件附件原发送者发送加密信息。

下载的程序内有数字证书，就可识别出软件出版商(以确认软件出版商的身份同证书相符)并确认证书是否有效。如果电子邮件消息或网页含有数字证书,就称之为签名消息或签名代码。签名消息或签名代码的用途同驾驶执照或护照上相片的用途相同，是用来验证执有人是否为证书指定人。

证书并不保证所下载软件的功能或质量，只证明所提供的软件不是伪造的。使用证书意味着如果你相信这家软件开发商，证书就可帮你确认签名的软件确实来自这家开发商。软件开发商不必是证书签署者。证书只说明对这段程序的认同，而不需标明作者是谁。

认证中心以公开加密密钥的方式来签署证书，收到软件出版商程序上所附证书的人可用公开加密密钥来翻开这个程序。加密密钥就是一个简单的数字，通常是一个很大的二进制数字，它和特定的加密算法一起使用就可把想保护的字符串锁起来，使别人无法看到其内容。加密密钥越长，保护效果就越好。实际上，认证中心就是保证提交证书的个人或组织同其所声明的身份相符。

2.微软公司的InternetExplorer微软公司的InternetExplorer在浏览器内部提供了对客户机端的保护。防止儿童接触成人网站而提供内容警告；对基于ActiveX或Java的活动内容做出反响。

如果软件出版商没有在活动内容上附加证书，你就可以把InternetExplorer设置成不下载页面上的代码；但Authenticode不能保证公司的Java或ActiveX控件会正确运行。保证其正确运行的责任在用户，用户需决定是否相信来自某公司的活动内容。

Authenticode工作原理：当用户下载一个带有证书和活动内容的页面时,Authenticode取下该证书(也称签名块),验证认证中心的身份、验证这段内容是否来自发布者并确认此程序在此之后未被修改正。InternetExplorer内置有可信认证中心的清单及其公开密钥,Authenticode扫描此清单,找到提供证书的认证中心。如果清单上的公开密钥和证书上的相符，就可认为认证中心的身份是真实的。

认证中心的公开密钥可用来对证书解密，证书内附有软件出版商的签名摘要(即证书本身的摘要)。如果签名摘要可证明软件出版商签署了所下载的代码，证书就能显示出来。此显示向用户保证了软件提供者是有效的。

证书有有效期,可点击链接来查看公司证书的时间标记,时间标记标明证书何时失效。公司必须定期向认证中心申请更新证书。认证中心还可宣布废弃证书。如果认证中心发现某公司曾发过有恶意的代码，就可单方面拒绝颁发新证书，并且废弃其所有正在使用的证书。

用户可按所下载文件的来源指定不同的平安设置,以确定InternetExplorer处理所下载程序或文件的方式。微软公司的InternetExplorer将互联网分成不同的区(类别)。用户就能把特定网站分到某个区，并为每个区指定不同的平安级别。

共有四个区Internet区：是不在用户的计算机上、不在内部网里或未分到其他区的所有网站。本地Internet区：通常包含不需要代理效劳器的网站、用户的客户机所接的公司内部网和其他本地内部网的网站。可信站点区：该区内是用户所信任的网站。用户知道从这些网站中下载内容不必担忧会有平安问题,因为用户认为它们是可信赖的。受限站点区：该区内是用户不信任的网站,它们未必有破坏性,只是用户不熟悉这些网站。

3.网景公司的Navigator可允许用户控制是否将活动内容下载到客户机上。如果用户决定用Navigator下载活动内容，就可查看附在Java或JavaScript控件上的签名(ActiveX控件不能在Navigator上运行)。平安级别可在浏览器的Preferences对话框中设置。用户可选择是否允许Java或JavaScript。在同一对话框中可确定对Cookie的处理措施。

用户选择处理Cookie：无条件接受所有Cookie；接受要发回效劳器的Cookie或完全不允许Cookie;可用复选框选择在接收Cookie前得到警告。假设选择允许Java或JavaScript活动内容,将会收到Navigator的警告。它指出某活动内容是否有签名,并允许用户查看活动内容所附证书,以便用户决定是否允许下载活动内容。

4.处理Cookie既可存储在用户的计算机上,也可在一次浏览会话中创立、使用并删除。可将Cookie有效期设为10天、20天或30天。Cookie可能包含各种信息,如发布Cookie的网站名、用户在此网站上所访问的页面、用户的用户名和口令、信用卡号和地址信息等。

Cookie只可由创立它的网站来检索。Cookie所带来的问题在于它是以不为人觉察的方式收集或存储信息。这样的目的是让你在下一次访问时不需要重新输入用户名和口令。用户会发现再次访问时旗帜广告和网站的内容已经根据自己的浏览兴趣进行了调整，而用户的兴趣一般是保存在用户的计算机的Cookie里。

例如：要在微软公司的InternetExplorer5中选择处理Cookie的方式：从“工具〞菜单中点击“Internet选项〞,选择“平安〞选项卡,再点击“自定义级别〞按钮设置所希望修改的平安区域(如Internet区)。在“设置〞对话框中按卷滚条找到Cookie，然后针对“允许使用存储在您计算机上的Cookie〞和“允许使用每个对话Cookie〞分别选择“启用〞、“禁用〞或“提示〞按钮。

5.使用防病毒软件如果没有采用防病毒软件，那么对客户机的防卫仍旧是不完全的。平安策略中必须包括防病毒软件这种重要的防护措施。防病毒软件只能保护用户的计算机不受已下载到计算机上的病毒攻击，所以它是一种防卫策略。

不管选择哪家厂商的产品，用户都得不断更新防病毒软件的数据文件。这些文件存储的是用于检测病毒的病毒识别信息。由于每月都会有数以百计的新病毒出现，你必须定期更新防病毒软件的数据文件，以识别新病毒并消灭它。

4.4保护通讯信道的平安通讯信道的平安威胁保护EC的通道

4.4.1通讯信道的平安威胁1.对保密性的平安威胁2.对完整性的平安威胁3.对即需性的平安威胁

互联网是将顾客(客户机)和EC资源(EC效劳器)连接起来的电子链条。互联网不平安。虽然互联网起源于军事网络,但美国国防部高级研究工程中心(DARP)建造网络的主要目的不是为平安传输,而是为提供冗余传输,即为防止一个或多个通讯线路被切断。换句话说,它最初的设计目的是提供多条路径来传输关键的军事信息。

互联网开展到今天，其不平安状态与最初相比并没有多大改观。在互联网上传输的信息，从起始节点到目标节点之间的路径是随机选择的。此信息在到达最终目标之前会通过许多中间节点。在同一起始节点和目标节点之间发送信息时，每次所用的路径都是不同的。根本就无法保证信息传输时所通过的每台计算机都是平安的和无恶意的。

1.对保密性的平安威胁⑴保密与隐私⑵开展EC的平安威胁⑶“探测程序〞

⑴保密与隐私

⑵开展EC的平安威胁

一种特殊软件，能够侵入互联网并记录通过某台计算机(路由器)的信息。探测程序类似于在线上搭线并录下一段对话。其既可阅读电子邮件信息，也可记录EC信息。窃取信用卡号是大家很关心的问题。但发给分公司的关于公司专利产品的信息或不公开的数据也可能被轻易地中途截取，而公司的保密信息可能比假设干信用卡更有价值。因为信用卡往往有花费限制，而公司被窃取的信息可能价值数百万元。⑶“探测程序〞

2.对完整性的平安威胁⑴主动搭线窃听⑵完整性和保密性间的差异⑶破坏完整性的例子

⑴

主动搭线窃听是指对完整性的平安威胁。当未经授权方改变了信息流时就构成了对完整性的平安威胁。破坏完整性就破坏了保密性,因能改变信息的窃听者肯定能阅读此信息。

⑵完整性和保密性的差异对保密性的平安威胁是指某人看到了他不应看到的信息；对完整性的平安威胁是指某人改动了传输的关键信息。

⑶

破坏完整性的例子①

破坏他人网站②

电子伪装

①破坏他人网站指以电子方式破坏某个网站的网页。该行为相当于破坏他人财产或在公共场所涂鸦。当某人用自己的网页替换某个网站的正常内容时,就发生破坏他人网站行为。

②电子伪装是指某人装成他人或将某个网站伪装成另一个网站。该破坏利用了域名效劳器(DNS)的平安漏洞,将一个真实网站的地址替换成自己网站的地址,愚弄这些网站的访问者。

对完整性的平安威胁还会改变重要的财金、医疗或军事信息。改变信息对企业或个人都有非常严重的后果。

3.对即需性的平安威胁对即需性的平安威胁也叫延迟平安威胁或拒绝平安威胁,其目的是破坏正常的计算机处理或完全拒绝处理。破坏即需性后，计算机的处理速度会非常低。

例：当自动取款机的交易处理速度从两秒慢到30秒,用户会放弃自动取款机交易；降低互联网效劳速度会把顾客赶到竞争者的网站，顾客就再也不会回到原网站上。

延迟(降低处理速度)会导致效劳无法使用或没有吸引力。拒绝会将一个交易或文件中的信息整个删除。

4.4.2

保护EC的通道1.交易的保密2.保证交易的完整性3.保证交易传输

EC通道是迄今为止计算机平安中最为大家关注的环节。提供EC通道的平安意味着保证通讯保密性、消息完整性和渠道可用性。

1.交易的保密⑴加密⑵平安套接层协议(SSL)⑶平安HTTP协议(S-HTTP)⑷S-HTTP与SSL异同

⑴加密

★

明文与密文★

加密过程★

加密与解密程序★

加密算法和密钥

★明文与密文明文：加密前的普通数据；密文：加密后的数据(位的随机组合)。

★加密过程依据一定的算法,将普通的数据(明文)与一串数字(密钥)相结合,产生别人不可理解的密文。

★加密与解密程序加密程序：将明文转成密文的程序。解密程序：将密文复原成明文的程序。

★加密算法和密钥加密算法：加密程序的逻辑称为加密算法。加密密钥：是一个简单的数字，通常是一个很大的二进制数字。

②加密分类按密钥和相关加密程序类型分类：

★

散列编码

★

对称加密

★

非对称加密

★散列编码是用散列算法求出某个消息的散列值的过程。散列值相当于消息的指纹，因它对每条消息都是惟一的。如果散列算法设计得好，由两个不同消息计算得出同一散列值(即引起冲突)的概率是很小的。散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变，原散列值就会与由接收者所收消息计算出的散列值不匹配。

★对称加密又称私有密钥加密，它只用一个密钥对信息进行加密和解密。由于加密和解密用的是同一密钥，所以发送者和接收者都必须知道密钥。

对称加密优点：加密(信息编码)和解密(信息解码)的速度很快,效率也很高。

对称加密缺点：需要细心保存密钥。假设密钥泄露,以前的所有信息都失去了保密性,以后发送者和接收者进行通讯时必须使用新的密钥。密钥的分发很困难(传输新密码的信息也必须加密)，其又要求有另一个新密钥。规模无法适应互联网大环境的要求。

利用互联网交换保密信息的每对用户都需要一个密钥,密钥组合是一个天文数字。如果每两个人要求一个私有密钥,12个人彼此间进行保密通讯就需要66个私有密钥。一般来说，N个人彼此之间进行保密通讯需要1/2N2个私有密钥。

★非对称加密非对称加密也称公开密钥加密，它用两个数学相关的密钥对信息进行编码。

非对称加密系统的密钥对：公开密钥：可随意发给期望同密钥持有者进行平安通讯的人。使用公开密钥对信息加密。私有密钥：属于密钥持有者，此人要仔细保存私有密钥。使用私有密钥对收到的信息进行解密。

公开密钥系统工作方法：假设A给B发信息，A可从公开渠道取得B的公开密钥；然后用B的公开密钥对A要发送的信息加密；信息加密后，只有B才能用其私有密钥解密信息后阅读。由于密钥对是惟一的，只有私有密钥才能翻开以配对的公开密钥加密的信息，反之亦然。B也可向A发一条私人信息，用A的公开密钥对信息加密。A收到B的信息后可用自己的私有密钥解密信息后阅读。

如果彼此采用非对称加密方法发送电子邮件，那么信息在传输过程中是加密的。一旦信息从效劳器下载并解密后，就以明文的形式保存在接收者的计算机上，这时所有人都可阅读了。

公开密钥加密缺点：是加密密钥比私有密钥加密系统的速度慢得多。当你和顾客在互联网上进行商务活动的时候，加密解密累积的时间会很多。公开密钥系统并不是要取代私有密钥系统，恰恰相反，它们是相互补充的。可用公开密钥在互联网上传输私有密钥，从而实现更有效的平安网络传输。

⑵平安套接层协议(SSL)①SSL简介②SSL工作方式

①SSL简介平安套接层(SSL)系统由网景公司提出；SSL是支持两台计算机间的平安连接；SSL透明地自动完成发出信息的加密和收到信息的解密工作；处于Internet多层协议集的传输层。

SSL协议提供的平安信道有以下三种特性：·私密性：在握手协议定义了会话密钥后，所有的消息都被加密。

.确认性：尽管会话的客户端认证是可选的，但是效劳器端始终是被认证的。

·可靠性：传送的消息包括消息完整性检查。

〔2〕SSL协议标准

SSL协议由SSL记录协议和SSL握手协议两局部组成。

①SSL记录协议

在SSL协议中，所有的传输数据都被封装在记录中。记录是由记录头和记录数据组成的。所有的SSL通信包括握手消息、平安空白记录和应用数据都使用SSL记录层。

②SSL握手协议

SSL握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，第二个阶段用于客户认证。

第二阶段的主要任务是对客户进行认证，此时效劳器已经被认证了。效劳器方向客户发出认证请求消息。客户收到效劳器方的认证请求消息后，发出自己的证书，并且监听对方回送的认证结果。而当效劳器收到客户的证书后，给客户回送认证成功消息，否那么返回错误消息。到此为止，握手协议全部结束。③SSL交易过程

在接下来的通信中，SSL采用该密钥来保证数据的保密性和完整性。这就是SSL提供的平安连接。这时客户需要确认订购并输入信用卡号码。SSL保证信用卡号码以及其他信息只会被此公司获取。客户还可以打印屏幕上显示的已经被授权的订单，这样就可以得到这次交易的书面证据。大多数在线商店在得到客户的信用卡号码后出示收到的凭据，这是客户已付款的有效证据。至此，一个完整的SSL交易过程结束。但是，SSL提供的保密连接有根大的漏洞。SSL除了传输过程以外不能提供任何平安保证，SSL并不能使客户确信此公司接收信用卡支付是得到授权的。在Internet上，经常会出现一些陌生的店铺，正因如此，网上商店发生欺诈行为的可能性要比街头店铺大得多。进一步说，即使是一个老实的网上商店，在收到客户的信用卡号码后如果没有采用好的方法保证其平安性，那么信用卡号也很容易被黑客通过商家效劳器窃取。SSL在客户机和效劳器开始交换一个简短信息时提供一个平安的握手信号。在开始所交换的信息中，双方确定将用的平安级别并交换数字证书。SSL对在这两台计算机之间传输的信息进行加密和解密。SSL还可对计算机之间的各种通讯都提供平安保护。

实现SSL的协议是HTTP的平安版,名为HTTPS。在URL前用HTTPS协议就意味着要和效劳器之间建立一个平安的连接。例:假设输入，就会同Amazon建立平安连接。这时浏览器状态栏显示出一个锁表示已建立平安连接。

SSL有两种平安级别：40位和128位。这是指每个加密交易所生成的私有会话密钥的长度。会话密钥是加密算法为在平安会话过程中将明文转成密文所用的密钥。密钥越长，加密对攻击的抵抗就越强。美国政府批准可以出口较短的48位密钥，但不允许128位密钥的出口。

②SSL工作方式SSL协议在完成客户机与效劳器的信息传送时，一般先握手，确认双方的身份以及双方各自所使用的密钥、加密算法以及确定双方支持的压缩和加密标准；客户与效劳器(数字证书)的合法性认证；加密(公开密钥、私有密钥)数据以隐藏被传输的数据。

SSL对所有的平安通讯都使用私有密钥加密。客户机和效劳器如何能够共享一个私有密钥而不会让窃听者得到呢？浏览器为双方生成私有密钥，然后由浏览器利用效劳器的公开密钥对此私有密钥进行加密。公开密钥存储在效劳器在认证时发给浏览器的数字证书上。对私有密钥加密后,浏览器把它发给效劳器。效劳器用其私有密钥对它解密,得到双方公用的私有密钥。从现在开始就不再使用公开密钥了,只需用私有密钥加密。

现在,在客户机和效劳器之间传输的所有消息都用共享的私有密钥进行加密,此密钥也叫会话密钥。会话结束后,此密钥就被丢弃。客户机和平安效劳器重新建立连接时,从浏览器和效劳器的握手开始的整个过程将重复一遍。

⑶平安HTTP协议(S-HTTP)

S-HTTP平安的细节设置是在客户机和效劳器开始的握手会话中完成的。客户机和效劳器都可指定某个平安功能为必需(Required)、可选(Option)还是拒绝(Refused)。当其中一方确定了某个平安特性为“必需〞时，只有另一方(客户机或效劳器)同意执行同样的平安功能时才能开始连接。否那么就不能建立平安通讯。

⑷S-HTTP与SSL异同共同点：透明地自动完成发出信息的加密和收到信息的解密工作。

不同点：①目标不同：SSL支持两台计算机间的平安连接，而S-HTTP平安地传输信息；②层次不同：SSL处于传输层，而S-HTTP处于应用层；③建立平安通讯的方式不同：SSL是通过客户机与效劳器的“握手〞建立了一个平安通讯，而S-HTTP那么是通过在S-HTTP所交换包的特殊头标志来建立平安通讯的；

平安信封：是通过将一个消息封装起来以提供保密性、完整性和客户机与效劳器认证。换言之,平安信封是一个完整的包。在网络或互联网上传输的所有信息都可用它进行加密以防止他人阅读、信息被改变后会被立即觉察，因为完整性机制提供了能标示消息是否被改变的探测码。客户机和效劳器认证是通过认证中心所签发的数字证书来实现的，平安信封组合了所有这些平安功能。

2.保证交易的完整性EC最终要涉及客户机的浏览器向商务效劳器发出结算信息、订单信息与结算指令人以及商务效劳器向客户机返回订单确认信息。如果闯入者改变了所传输的订单的任何内容，那么都会带来灾难性的后果。例：闯入者可能会改变收货地址或订购数量，这样他就能够收到顾客订购的产品。破坏完整性例子,消息在发送者和接收者之间传输时被改变了。

罗纳德·里韦斯特提出的MD5算法是一个在EC中广泛应用的散列算法。散列算法特征：不需要密钥，其生成的消息摘要无法复原成原始信息，其工作原理的算法和信息都是公开的，而且散列冲突也很少发生。

由散列函数计算出散列值后，就将此值附加到这条消息上(消息+散列值即消息摘要)。假定此消息是内有客户地址和结算信息的采购订单。当商家收到采购订单及附加的消息摘要后,就用此消息(不含附加的消息摘要)计算出一个消息摘要。如果商家所计算出的消息摘要同消息所附的消息摘要匹配，商家就知道此消息没有被篡改，即闯入者未曾更改商品数量和送货地址。如果闯入者更改了消息,商家计算出的消息摘要就同客户计算并随订单发来的消息摘要不同。

存在的问题：由于散列算法是公开的，任何人都可中途拦截采购订单,更改送货地址和商品数量,重新生成消息摘要,然后将新生成的消息摘要及消息发给商家。商家收到后计算消息摘要,会发现这两个消息摘要是匹配的,这时商家就受到愚弄,以为此消息是真实的。为防止这种欺诈，发送者要用自己的私有密钥对消息摘要加密。数字签名：加密后的消息摘要。

你好消息摘要+你好消息摘要+客户效劳器散列函数求值散列函数求值比较你好消息摘要+你好消息摘要+加密解密散列函数求值散列函数求值比较例：完整性例：保密性

带数字签名的采购订单就可让商家确认发送者的身份并确定此消息是否被更改正。数字签名既能保证消息完整性又能提供对客户的认证。因对消息摘要用公开密钥加密，那么只有公开/私有密钥的所有者(客户使用自己的私有密钥)才能对消息摘要进行加密。商家用客户的公开密钥对消息进行解密并计算出消息摘要，假设结果匹配，说明消息发送者的身份是真实的。解决了欺骗问题。

除数字签名所提供的消息完整性和认证之外，交易双方还可要求保证交易的保密性。只要对整个字符串(数字签名和消息)进行加密，就可保证消息的保密性。公开密钥加密+消息摘要+数字签名：能为互联网交易提供可靠的平安性。

3.保证交易传输拒绝或延迟效劳的攻击会导致删掉或占用资源。此类攻击可发生在客户机上(Java小应用程序随页面下载到客户机上并取得处理器的控制权,使鼠标不能移动或计算机不再响应键盘输入)。此类攻击也可发生在商务通道(网络或互联网)上。一种拒绝效劳的方式：向互联网发出大量信息包，以导致效劳器死机或降低效劳器速度使效劳降到试图交易的人不能接受的水平。最有效的防御方法：惩罚的威胁(也许是)。有些攻击可能会导致自己的系统死机，有时会是WWW效劳器或EC效劳器临时失效。拒绝攻击也意味着删除互联网信息包。

注意：加密和数字签名都无法保护信息包不被盗取或速度降低。但TCP/IP中的传输控制协议(TCP)负责对信息包的端到端的控制。当TCP在接收端以正确次序重组包时，会处理包丧失的问题。TCP/IP的职责会要求客户机重新发来丧失的数据。即在TCP/IP之上不再需要其他平安协议来处理拒绝效劳的问题，TCP/IP在数据里参加校验位，这样就能知道数据包是否被改变、丧失或出现其他问题。

4.5对效劳器的平安威胁效劳器的平安威胁保护EC效劳器

4.5.1效劳器的平安威胁1.对WWW效劳器的平安威胁2.对DB的平安威胁3.对公用网关接口(CGI)的平安威胁4.对其他程序的平安威胁

1.对WWW效劳器的平安威胁WWW效劳器软件是用来响应HTTP请求进行页面传输的。虽然WWW效劳器软件本身并没有内在的高风险性,但其主要设计目标是支持WWW效劳和方便使用,所以软件越复杂,包含错误代码的概率就越高,有平安漏洞的概率也就越高。平安漏洞:指破坏者可因之进入系统的平安方面的缺陷。

①WWW效劳器以高权限状态运行；②WWW效劳器不更改目录显示的缺省设置；③WWW效劳器要求你输入用户名和口令时；④在效劳器上执行来自于未知或不可信来源(来自用户的页面)的程序时,SSI就可能会请求一些非法的执行；⑤FTP程序(完整性威胁)⑥WWW效劳器存放用户名和口令的文件；⑦用户所选的口令。

SSI(效劳器端嵌入)是嵌入在由效劳器执行的页面上的一个小程序。嵌入的SSI代码可能是OS级的命令，要求将口令文件显示或发到特定位置。

多数计算机(包括UNIX计算机)上所运行的WWW效劳器可在不同权限下运行。高权限允许包括WWW效劳器在内的程序执行所有指令,并可不受限制地访问系统各个局部(包括高敏感的特权区域)。低权限在所运行程序的周围设置了一层逻辑栅栏,防止它运行全部指令,只允许它访问一些计算机中不很敏感的区域。多数情况下,WWW效劳器提供的是在低权限下能完成的普通效劳和任务。假设WWW效劳器在高权限下运行,破坏者就可利用WWW效劳器的能力执行高权限的指令。

效劳器文件夹名让浏览器看到,会破坏保密性。例：当你为查看ABC子目录的缺省页面而输入://www/ABC/时,通常效劳器显示的缺省页面为index.htm或index.html,假设目录中没有该文件,WWW效劳器会显示出此目录下所有文件夹名。这时你就可随便点击其中一个文件夹名,从而访问到实际是限制访问的某些文件夹。网站管理员都关闭文件夹名的显示功能。假设你想浏览已限制浏览的文件夹的内容时,WWW效劳器就会发出警告信息,如“你不能浏览此目录〞。

输入用户名以求得到进入WWW特定区域的允许,此行为本身并不会破坏保密性或隐私性。但当你访问同一WWW效劳器上受保护区域内的多个页面时,用户名和口令就可能被泄露。

原因：效劳器要求用户在访问平安区域中每个页面时都要输入用户名和口令。因WWW是无状态的(它无法记忆在上一事务中发生过什么),记录用户名和口令的方式是将用户的保密信息存在用户计算机上的Cookie里,效劳器以请求用户计算机发出Cookie的方式来请求得到用户名和口令确实认。因Cookie信息可能是以不平安的方式传输,从而被窃听者复制。

虽Cookie本身并非不平安,但WWW效劳器不能要求不加保护地传输Cookie里的信息。假设对FTP用户可浏览的文件夹没有进行保护,可发生未经授权的信息泄露。

例：假定A企业的员工有B企业计算机账号,以定期把数据上传到B的计算机上；A的系统管理员可用FTP客户机程序登录到B的计算机上载数据,假设B没保护措施即忘记限制A的浏览能力,那么A可翻开并显示WWW效劳器上其他文件夹里内容(如有权限保护的文件夹),再用鼠标双击其他文件夹然后下载所看到的任何信息。

假设WWW效劳器上存放用户名和口令的文件没得到保护(加密),侵入者可得到用户名和口令信息,以他人身份进入敏感区域。WWW效劳器应把用户认证信息放在平安区里,保证WWW效劳器能够为敏感数据提供保护措施正是WWW效劳器管理员的职责。

用户有时所选的口令很容易猜出,因口令可能是父母或孩子的名字、号码或身份证号等很容易想到的内容。字典攻击程序：是按电子字典里的每个单词来验证口令。用户口令泄露,可非法进入效劳器,而这种非法进入可能长时间不被发现。

2.对DB的平安威胁ECS以DB存储用户数据,并可从WWW效劳器所连的DB中检索产品信息。DB除存储产品信息外,还可能保存有价值的信息或隐私信息,假设被更改或泄露会对公司带来无法弥补的损失。在大多数大型DB都使用基于用户名和口令的平安措施,一旦用户获准访问DB,就可查看DB中相关内容。

DB平安是通过权限实施的。有些DB没有以平安方式存储用户名与口令,或没有对DB进行平安保护,仅依赖WWW效劳器的平安措施。假设有人得到用户的认证信息,就能伪装成合法的DB用户来下载保密的信息。

隐藏在DBS里的特洛伊木马程序可通过将数据权限降级来泄露信息。数据权限降级：是指将敏感信息发到未保护的区域,使每个人都可使用。当数据权限降级后,所有用户都可访问这些信息,其中包括潜在的侵入者。

3.对公用网关接口(CGI)的平安威胁CGI可实现从WWW效劳器到另一个程序(如DB程序)的信息传输。CGI和接收它所传输数据的程序为网页提供了活动内容。例:网页上有一个列表框,要用户填入最喜欢的职业运动队的名字;当用户提交选择后,CGI程序处理此信息,寻找用户所选运动队的最新比分,然后把比分放到一个网页上,将此新网页发给用户的浏览器。

CGI是程序,假设滥用会带来平安威胁。同WWW效劳器一样,CGI脚本能以高权限来运行。可自由访问系统资源的有恶意的CGI程序能够使系统失效,调用删除文件的系统程序或查看顾客的保密信息(包括用户名和口令)。当程序设计人员发现CGI程序中的错误时,会重编该程序以替代以前的版本,而未删除的旧CGI可能已被系统设计员遗忘了,但它们为系统留下了平安漏洞。

因CGI程序或脚本会驻留在WWW效劳器的任何地方(即任何文件夹和目录下),CGI程序就很难追踪和管理。有心人能追踪到废弃的CGI脚本,检查程序以了解其弱点,然后利用弱点来访问WWW效劳器及其资源。同JavaScript不一样,CGI脚本的运行不受Java运行程序平安的限制。

4.对其他程序的平安威胁⑴缓存⑵缓存溢出

⑴缓存存放从文件或DB中读取数据的单独的内存区域。处理输入和输出操作时需要缓存,因计算机处理文件