电子商务电商安全课件

1第8章电子商务安全

环境永远不会十全十美，消极的人受环境控制，积极的人却控制环境。

——索普（中国）有限公司常务副总裁姜涟

1第8章电子商务安全环境永远不会十全十美，消极的人2本章学习目标：掌握电子商务对网络安全的需求；了解网络病毒的防范方法；了解电子商务安全常用的认证技术；掌握个人数字证书的申请、安装与使用；了解防火墙的功能与使用；掌握SET与SSL协议之间的区别；掌握电子商务中的信用安全及解决措施；了解电子商务面临的安全风险及管理对策。2本章学习目标：掌握电子商务对网络安全的需求；3第8章电子商务安全8.1电子商务系统安全概述8.2电子商务网络安全8.3电子商务交易安全8.4

电子商务信用安全8.5

电子商务安全风险管理3第8章电子商务安全8.1电子商务系统安全概述48.1电子商务系统安全概述1.电子商务的安全，从整体上可分为两部分：

(1)计算机网络安全：

包括计算机网络设备、网络系统、数据库等的安全。

(2)商务交易安全：

即实现电子商务的保密性、信息的完整性、可鉴别性、不可伪造性和不可抵赖性，保证电子商务过程的顺利进行。

48.1电子商务系统安全概述1.电子商务的安全，从整体上52.电子商务安全构架网络安全技术病毒防范身份识别技术分组过滤和代理技术防火墙技术交易安全技术电子商务业务系统电子商务支付系统安全应用协议SET、SSL、S/HTTP、S/MIME基本加密算法非对称密钥加密、对称密钥加密DES、RSA安全认证手段消息摘要、数字签名、数字信封、CA体系安全管理体系法律、法规和政策52.电子商务安全构架网络安全技术病毒防范身份识别技术分6

注意：1）网络安全是商务交易安全的基础；而法律、法规和相关政策是整个电子商务安全的基础。2)技术保障、法律控制、社会道德规范、完善的管理政策和制度共同构成电子商务的安全体系。6注意：74.电子商务安全的特性（1）电子商务安全是一个系统的概念（2）电子商务安全是相对的（3）电子商务安全是有代价的（4）电子商务安全是发展的、动态的74.电子商务安全的特性（1）电子商务安全是一个系统的概念85.安全威胁与防护措施所谓安全威胁：是指人、物、事件对某一资源的保密性、完整性、可用性或合法使用所造成的危险。某种攻击就是某种威胁的具体实现。所谓防护措施：是指保护资源免受威胁的一些物理的控制、机制和过程。85.安全威胁与防护措施所谓安全威胁：是指人、物、事件对某9（1）安全威胁的分类

1)基本的威胁：

-信息泄露；-完整性破坏；-非法使用；

-渗入威胁；-植入威胁；

2)潜在威胁：

-窃听；-操作人员不谨导致信息泄露；-人员安全。

9（1）安全威胁的分类1)基本的威胁：10(2)在电子商务活动中，消费者面临的威胁有：1）虚假订单。2）付款后不能收到商品。3）机密性丧失。4）拒绝服务。5）电子货币丢失。10(2)在电子商务活动中，消费者面临的威胁有：11(3)电子商务服务器面临的安全威胁：

1）系统中心安全性被破坏。2）竞争者的威胁。3）商业机密的安全。4）假冒的威胁。5）信用的威胁。11(3)电子商务服务器面临的安全威胁：126.电子商务的安全需求

电子商务除了以上六个主要方面的安全需求外，还有匿名性服务（隐匿参与者身份、保护个人或组织隐私）等需求。机密性完整性真实性不可抵赖性可靠性内部网的严密性电子商务安全需求核心（认证性）（不可拒绝性）（访问控制性）126.电子商务的安全需求电13

系统互联与网络互联数量的增加，使任何系统都潜在地存在着已知或未知用户对网络进行非法访问的可能性。人们越来越多地使用网络传递安全敏感信息。对攻击者来说，可以得到的技术是越来越先进了，并且这些技术的成本在下降，从而使密码分析技术的实现变得越来越容易。

网络安全的根本在于保护网络中的信息免受各种攻击。13系统互联与网络互联数量的增加，使任何147.安全业务

在网络中，主要的安全防护措施被称为安全业务。以下是五种通用的安全业务：

1）认证业务（对业务访问者提供身份认证）；2）访问控制业务；3）保密业务（提供对信息的保密）；4）数据完整性业务（防止未经授权修改数据）；5）不可否认业务。147.安全业务在网络中，主要的安全防护措施15对付典型安全威胁的安全业务安全威胁安全业务假冒攻击认证业务授权攻击访问控制业务窃听攻击保密业务完整性攻击完整性业务业务否认不可否认业务业务拒绝认证业务、访问控制业务、完整性业务15对付典型安全威胁的安全业务安全威胁安全业务假冒攻击认证业168．电子商务系统安全的管理对策企业在参与电子商务初期，就应当形成一套完整的、适应于网络环境的安全管理制度。这些制度应当包括：

(1)人员管理制度。(2)保密制度。(3)跟踪、审计、稽核制度。(4)系统的日常维护制度。(5)病毒防范制度。(6)应急措施。

168．电子商务系统安全的管理对策179．网络安全的技术对策

网络安全技术主要有如下对策： (1)网络安全检测设备，实施安全监控。(2)开发各种具有较高安全性的访问设备，用于支持身份认证、小批量购买授权及实际和虚拟访问控制，如安全磁盘、智能卡等。(3)建立安全的防火墙体系。 (4)加强数据加密的工作。(5)数据完整性的控制，包括数据是否来自正确的发送方而非假冒者，接收的内容与发送时是否一致，数据有无重复接收等。保护数据完整性的措施是增加敌方所不能控制的冗余信息。 (6)建立认证中心，并建立证书的认证与发放。 (7)建立合理的鉴别机制。(8)通信流的控制。 除此之外，还有保护传输线路安全、访问控制、路由选择机制、端口保护、安全检测、审查和跟踪等措施。179．网络安全的技术对策1810．电子商务安全的法律保护

电子商务安全法律制度是电子交易安全的又一道防线。主要涉及的法律要素有：（1）有关认证(CA)中心的法律。（2）有关保护个人隐私、个人秘密的法律。（3）有关电子合同的法律。（4）有关电子商务的消费者权益保护法。（5）有关网络知识产权保护的法律。1810．电子商务安全的法律保护198.2电子商务网络安全1.网络安全概述2.防火墙技术3.身份识别技术4.虚拟专用网VPN技术5.病毒防范技术198.2电子商务网络安全1.网络安全概述201.网络安全概述

（1）开放的网络环境：

所谓开放系统是指计算机和计算机通信环境根据行业标准的接口所建立起来的计算机系统。201.网络安全概述（1）开放的网络环境：21开放系统的特征：-符合各类标准；-技术公开；-可移植性；-兼容性；-互操作性；-可延伸性。

开放的Internet使得无穷的资源访问成为可能，因此它带来了无限商机。

开放系统是人们渴望的，但是开放也会带来一些问题。21开放系统的特征：22Internet与IntranetInternet

a)全球性的网络，唯一；

b)资源共享，开放；

c)安全机制松散，没有统一的管理。Intranet

a)企业内部网络；

b)大量单位内容敏感信息，安全保密至关重要；

c)集中管理。

如何解决Internet与Intranet之间的连通，为用户提供应有的服务，同时又能保证内部资源和信息的安全性，这是网络中一个非常关键的技术，也是一个难点。22Internet与IntranetInternetInt232.防火墙技术（1）防火墙的基本概念（2）防火墙的组成（3）防火墙的主要功能（4）实现防火墙的主要技术（5）防火墙类型（6）防火墙应用策略（7）防火墙局限性与自身安全232.防火墙技术（1）防火墙的基本概念24（1）防火墙的基本概念:

防火墙(Firewall)是在Internet与Intranet之间构筑的一道屏障,用以保护Intranet中的信息、资源等不受来自Internet中非法用户的侵犯。

24（1）防火墙的基本概念:25

防火墙控制Internet和Intranet之间的所有数据流量，既控制和防止Intranet中有价值数据流向Internet，也控制和防止来自Internet的无用垃圾流入Intranet。25防火墙控制Internet和Intranet26（2）防火墙的组成

不同站点的防火墙构造大都是不相同的，通常由一套硬件和适当软件组成，主要包括五部分：安全操作系统、过滤器、网关、域名服务器和Email处理。

防火墙本身必须建立在安全操作系统所提供的安全环境中，安全操作系统可以保护防火墙的代码和文件免遭入侵者的攻击。26（2）防火墙的组成防火墙本身必须建立在安全27防火墙的构成

27防火墙的构成28（3）防火墙的主要功能1）过滤进出网络的数据包，是网络安全的屏障。2）管理进出网络的访问行为，强化网络安全策略。3）封堵某些禁止的访问行为，对网络存取和访问进行监控审计。4）记录通过防火墙的信息内容和行为，防止内部信息的外泄。5）对网络攻击进行检测和告警。28（3）防火墙的主要功能1）过滤进出网络的数据包，是网络安29（4）实现防火墙的主要技术

防火墙可由硬件实现，也可由软件实现，一般是软件、硬件结合的产物。实现防火墙的主要技术：

1）包过滤技术（Packetfilter）

2）应用级网关（applicationgateway)

3）代理服务器技术（proxyserver）29（4）实现防火墙的主要技术防火墙可由硬件实现，也301）包过滤技术（Packetfilter）:

在网络层对通过的数据包进行过滤，把满足过滤规则的数据包都发送到目的地址端口，把不满足规则的数据包从数据流中除掉。301）包过滤技术（Packetfilter）:31数据包过滤应用位置31数据包过滤应用位置32包过滤工作原理32包过滤工作原理33入站包过滤工作流程33入站包过滤工作流程34出站包过滤工作流程34出站包过滤工作流程353）代理服务器技术（proxyserver）

利用一个应用级网关作为代理服务器，防止Internet上的非法用户直接获取Intranet中的情况。353）代理服务器技术（proxyserver）36代理服务工作位置36代理服务工作位置37代理服务工作原理图37代理服务工作原理图38（5）防火墙类型按实现技术可分为（4类）：

a)数据包过滤型防火墙：在网络层对数据包进行选择，可以动态地检测流过的TCP/IP报文头。

b)应用网关型防火墙：通过对特定的网络应用服务协议使用指定的数据过滤逻辑。

数据包过滤和应用网关型防火墙有个共同特点，都是依靠特定的逻辑判定是否允许数据包通过。38（5）防火墙类型按实现技术可分为（4类）：39

c)代理服务型防火墙：针对数据包过滤和应用网关技术存在的缺点，将所有跨越防火墙的网络链路分为两段，外部计算机的网络链路只能到达代理服务器，与内部计算机的网络链路的所有通信都通过代理完成，从而起到隔离防火墙内外计算机系统的作用。d)复合型防火墙：常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。39c)代理服务型防火墙：针对数据包过滤和应用网关技40（6）防火墙应用策略

为使防火墙发挥更好的安全作用，应用防火墙时要考虑合适的应用策略。1）每一个与互联网的连接处都要有防火墙，保证整个网络有一个安全的边界。2）对于同一个被保护网络应遵循同样的安全策略，避免出现漏洞。

40（6）防火墙应用策略为使防火墙发挥更好的安全作用41

3）安装防火墙的计算机应当专用，并且只保留系统软件和防火墙软件。4）把对防火墙的访问控制在直接连到防火墙的控制台上，不允许远程访问。5）防火墙需要积极地维护和升级（保护网络安全是动态的过程）。413）安装防火墙的计算机应当专用，并且只保留系统软42（7）防火墙局限性与自身安全

防火墙只是网络安全策略中的一个组成部分，它也有自身的局限性，主要表现在其无法理解数据内容和无法控制绕过它的数据流两种情况。首先，防火墙主要是保护网络系统安全的，不能保证数据安全，缺乏一整套身份认证和授权管理系统。42（7）防火墙局限性与自身安全防火墙只是网络安全43

其次，它无法防范来自防火墙以外的通过其它途径刻意进行的人为攻击，无法防范来自内部用户的攻击，或内部用户因误操作而造成口令失密受到的攻击，以及病毒或者受病毒感染的文件的传输入，都可能使防火墙的安全防范失效。43其次，它无法防范来自防火墙以外的通过其它途径刻44

其三，数据在防火墙之间更新是一个难题，如果延迟太大将无法支持实时系统；防火墙采用过滤技术，常会使系统性能降低50%以上。（防火墙常作为辅助安全策略）44其三，数据在防火墙之间更新是一个难题，如果延迟太453.身份识别技术常用身份识别技术：

（1）口令（2）标记法（3）生物特征法基本思想：通过验证被识别对象的属性来确认被识别对象是否真实有效。453.身份识别技术常用身份识别技术：基本思想：46（1）口令：是传统的认证技术。要求被认证对象提交口令，认证方（提供服务方）将其与系统中存储的用户口令进行比较，以确认是否为合法的访问者。口令以明文方式输入，易泄密，或被截获，被盗用。3.身份识别技术46（1）口令：是传统的认证技术。3.身份识别技术47（2）标记法：

标记：是记录着用于机器识别的个人信息的介质，其作用类似于钥匙，用于启动电子设备。由于易被修改和转录，逐渐被智能卡代替。47（2）标记法：48（3）生物特征法：

采用模式识别技术，基于物理特征和行为特征自动识别人员。每个人都有唯一且稳定的特征，如指纹、眼睛以及说话和书写等做事的标准方法，这些特征非常难以伪造并且几似一直可用。是数字证书和智能卡未来的选择。48（3）生物特征法：494.虚拟专用网技术（VPN）（1）VPN的定义

虚拟专用网（VirtualPrivateNetwork，VPN）是在公用的网络中建立专用的数据通信网络技术。

VPN利用开放、公共、不设防的Internet作为基本传输介质，通过安全网络协议，形成专用的虚拟链路，在网上传送IP数据包，能够为最终用户提供类似于通常专用网络性能的网络服务技术。

494.虚拟专用网技术（VPN）（1）VPN的定义50

在VPN中任意两个节点之间并没有端到端的物理连接，它是逻辑专用网络，并不是物理上的专用网络。非常适合于EDI。50在VPN中任意两个节点之间并没有端到端的物理连51VPN典型结构图51VPN典型结构图52VPN的优点52VPN的优点53VPN工作原理53VPN工作原理54隧道技术54隧道技术站点到站点的VPN55站点到站点的VPN55远程访问VPN56远程访问VPN5657（2）VPN的特点

在虚拟引用网中交易双方比较熟悉，而且彼此之间的数据通信量、很大。只要交易双方取得一致在虚拟专用完整能够中就可以使用比较复杂的加密和认证技术，从而大大提高电子商务的安全性。例：原料供应商生产厂产品批发商（降低成本、提高效率、比Internet安全性更强）57（2）VPN的特点在虚拟引用网中交易585.病毒防范技术（1）网络反病毒技术

1）预防病毒技术

2）检测病毒技术3）消除病毒技术

585.病毒防范技术（1）网络反病毒技术59（2）计算机病毒的防范措施

1）给自己的电脑安装防病毒软件2）认真执行病毒定期清理制度3）控制权限4）高度警惕网络陷阱5）不打开陌生地址的电子邮件6）加强数据备份和恢复措施7）对敏感设备和数据要建立物理或逻辑隔离措施等59（2）计算机病毒的防范措施1）给自己的电脑安装防病60小结本节主要介绍了电子商务的安全体系结构和计算机网络安全技术，着重介绍了防火墙技术。有关商务交易安全技术将在后面的课程教学中陆续介绍。60小结61思考题1.计算机网络安全的关键技术有哪些？2.防火墙的主要功能是什么？防火墙可以完成的安全业务有哪些？3.当前许多病毒是通过网络感染的，你认为通过购置防火墙或者VPN产品能有效地预防病毒吗？为什么？61思考题628.3电子商务交易安全

在计算机网络安全的基础上，如何实现电子商务的保密性、完整性，可鉴别性、不可伪造性和不可抵赖性，这是安全交易必须解决的问题。628.3电子商务交易安全在计算机网63本节主要教学内容：1.加密技术

（1）加密技术简介（2）单钥密码体制（3）双钥密码体制3.认证中心CA

2.安全认证技术

（1）数字摘要（2）数字信封（3）数字时间戳（4）数字签名（5）数字证书

4.交易安全技术应用（1）安全电子邮件证书（2）常用安全工具PGP(选修)63本节主要教学内容：1.加密技术2.安全认证技术641.加密技术

加密技术是保护信息安全的主要手段之一，它是结合数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。采用密码的方法可以隐蔽和保护需要保密的信息，使未授权者不能提取信息。

641.加密技术加密技术是保护信息安651.加密技术（1）密码学概述：

密码学包括编码学和密码分析学，是编码和破码的学问。密码编码技术和密码分析技术是相互依存、密不可分的两个方面。加密学有着悠久而灿烂的历史。关于完整的加密学史，Kahn的著作（1967）仍值得一读；对于加密学现状的全面了解，可参见Kaufman等（1995）、Schneier1996、Stinson1995。651.加密技术（1）密码学概述：661.加密技术（1）密码学概述：

密码学需要高深的数学知识支持，但加密的概念本身却很简单。

1）几个基本概念：被传递的消息称为明文。经过以密钥（key）为参数的函数加以转换，将明文换成另一种隐蔽的形式输出，称为密文。由明文到密文的变换过程称为加密；而其逆过程就称为解密。加密时用一个算法，即通过一个加密密钥K，将明文转换成不可辨识的密文，使收发双方之外的人无法懂得其含义；当密文到到达目的地后，收信人用一个解密算法通过一个解密过程密钥H，将密文再来转变为明文。661.加密技术（1）密码学概述：672）加、解密过程模型发信人加密方法解密方法密文收信人明文明文被动侵犯者只能监听主动侵犯者可以修改消息加密密钥K解密密钥HC=EK（P）侵犯者密文密文672）加、解密过程模型发加解密收明文明文被动侵犯者主动侵犯683）加密和解密的示范

以一个简单实例来看看加密和解密的过程。一个简单的加密方法是把英文字母按字母表的顺序编号作为明文，将密钥定为17，加密算法为将明文加上密钥17，就得到一个密码表。表1一个简单的密码表

字母

ABC…Z空格，./:?明文

010203…26272829303132密文

181920…43444546474849683）加密和解密的示范以一个简单实例来看看加密694）加密的分类

传统的加密方法可分为两类：替换密码和位移密码。

现代密码学采用的基本思想和古典密码学相同：替换和变位，但侧重点不同。旧时使用的算法简单，靠长密钥保密；今天恰恰相反，使用的算法设计得十分复杂。按密钥和相关加密程序类型可把加密分为：散列编码、对称加密和非对称加密。

散列编码是用散列算法求出某个消息的散列值的过程。散列编码对于判别信息是否在传输时被改变非常方便。如果信息被改变，原散列值就会与由接收者所收消息计算出的散列值不匹配。694）加密的分类传统的加密方法可分为两类：替70（2）对称加密（单钥密码体制）

对称加密又称私有密钥加密，它用且只用一个密钥对信息进行加密和解密，加密密钥和解密密钥相同，即K=H。对称加密技术可参见下图：对称加密技术示意图70（2）对称加密（单钥密码体制）对称加密71（2）对称加密（单钥密码体制）

这种体制中，系统的保密性主要取决于系统的安全性。必须通过安全可靠的途径（如信使递送）将密钥送至接收端。如果不能有效地传递密钥，其应用将大大地受到限制。单钥体制目前常用算法是DES、IDEA等。

DES是美国数据加密标准，是一种分组加密（即将明文消息分组逐组进行加密）算法。DES采用矩阵运算，其密钥长度是56位。

IDEA是欧洲数据加密标准，采用128位加密，即密钥长度是128bit。

71（2）对称加密（单钥密码体制）这种体制中，72（2）对称加密（单钥密码体制）

DES的最大缺陷是它的密钥长度只有56bit（较短），强力攻击的代价低于100万美元。1990年S.Biham和A.Shamir提出了差分攻击的方法，采用选择明文247次攻击，最终找到了可能的密钥。目前，安全强度高于DES的算法有IDEA、RC2、RC4、SKIPJACK等。72（2）对称加密（单钥密码体制）DES73（2）对称加密（单钥密码体制）

单钥体制的缺点是：1）在进行保密通信之前，双方必须通过安全信道传递所用的密钥，这对于相距较远的用户可能要付出较大的代价，甚至难以实现。

2）在有众多用户的网络通信下，为了使N个用户之间相互进行保密通信，将需要Nж（N-1）/2个密钥，当N值很大时，会占用系统很大的开销，代价也会很高。73（2）对称加密（单钥密码体制）单钥体制的缺点是：74（3）非对称加密（双钥密码体制）

在数学的指数运算中，顺着运算容易，而反过来计算难，这种特性叫做非对称性。1977年麻省理工学院的三位教授（Rivest、Shamir和Adleman）发明了RSA公开密钥密码系统，其原理就是利用指数运算难度的非对称性。在此系统中有一对密码，给别人用（可以公开）的就叫公钥，给自己用（秘密）的，就叫私钥，由收信人保管理。双钥密码体制又叫公钥密码体制。74（3）非对称加密（双钥密码体制）75（3）非对称加密（双钥密码体制）

收信人先公开一把自己的密钥，发信人用收信人的公钥加密；而收件人用自己的私钥解密。

用公钥加密后的密文，只有私钥能解。公钥体制解决了密钥的发布与管理问题。商家可以公开公钥，而保留私钥。购物者用公钥对发送者的信息加密，安全地传递给商家，然后由商家用自己的私钥解密。公钥体制克服了单钥体制的缺点，特别适合多用户的网络环境。因特网上使用最广泛的公钥体制是RSA。

75（3）非对称加密（双钥密码体制）收信人76（3）非对称加密（双钥密码体制）RSA的算法如下：

①

选取两个足够大的质数P和Q；②

计算n＝P×Q和z=（P－1）×（Q－1）；③

找出一个小于n的数e，使其符合与z互为质数；④

另找一个数d，使其满足（e×d）MODz＝1，其中MOD（模）为相除取余。

加密和解密的运算方式为：

加密过程：密文C＝Me（MODn

）；

（其中M为明文，C为密文）解密过程：明文M＝Cd（MODn）。

(n，e)

为公钥；

（n，d）为私钥。76（3）非对称加密（双钥密码体制）RSA的算法如下：77（3）非对称加密（双钥密码体制）RSA的算法举例：假定P＝3，Q＝11，则n=P×Q＝33，z=(P－1)×(Q－1)=20，选择e=3，因为3和20没有公共因子。（3×d）MOD（20）＝1，得出d＝7。从而得到（33，3）为公钥；（33，7）为私钥。加密过程为将明文M的3次方模33得到密文C，解密过程为将密文C的7次方模33得到明文。

下表显示了非对称加密和解密的过程。明文M

密文C

解密

字母

序号

M3

M3（MOD33）

C7

C7（MOD33）

字母

A01101101AE0512526803181017605EN142744057812514NS196859281349292851219SZ125261175762012800000026Z77（3）非对称加密（双钥密码体制）RSA的算法举78

RSA算法解决了大量网络用户密钥管理的难题，但是它存在的主要问题是算法的运算速度较慢，较对称密码算法慢几个数量级。因此，在实际的应用中通常不采用这一算法对信息量大的信息(如大的EDI交易)进行加密。对于加密量大的应用通常用对称加密方法。78RSA算法解决了大量网络用户密钥管理的难79

非对称加密有若干优点：在多人之间进行保密信息传输所需的密钥组合数量很小；公钥没有特殊的发布要求，可以在网上公开；可实现数字签名。

非对称加密技术可参见下图：

但是，非对称性加密算法的指数运算量太大，尤其是在密钥长度长的情况下，所以一般不宜用来直接加密长篇原文。（密钥越长，加密效果越好，但开销也越大）（3）非对称加密（双钥密码体制）79非对称加密有若干优点：在多人之间进行保密802.安全认证技术安全认证技术是为了满足电子商务系统的安全性要求而进行的信息认证，其目的主要有：1）确定信息发送者身份；2）验证信息的完整性，确认信息在传递或存储过程中没有被修改过。

常见安全认证技术有：数字摘要、数字签名、数字信封、数字时间戳、数字证书等。802.安全认证技术安全认证技术是为了81（1）数字摘要（DigitalDigest）

数字摘要：是确保信息完整性的技术，它采用单向散列函数（Hash函数）对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（也称数字指纹FingerPrint）,并在传输信息时将之加入原文件（明文）一同传给接收方。

不同的明文，其数字摘要不同；相同的明文，其数字摘要一定相同！！81（1）数字摘要（DigitalDigest）82（1）数字摘要（DigitalDigest）

数字摘要的一般过程为：

(1)对原文使用Hash算法得到信息摘要；(2)发送端将消息（明文）和摘要一同发送；(3)接收方收到后，用同样的Hash函数对所收到的消息产生一个摘要； (4)用接收方产生的摘要与发送方发来的摘要进行对比，若两者相同则表明所收到的消息是完整的，原文在传输过程中没有被修改，否则就说明原文被修改过，不是原消息。

82（1）数字摘要（DigitalDigest）数字83数字摘要过程83数字摘要过程84

数字摘要解决了信息传输的完整性是否被破坏的安全问题，但是没有解决信息的保密问题。84数字摘要解决了信息传输的完整性是否被破坏的安全问85（2）数字签名（DigitalSignature）

1）为什么电子交易中要使用数字签名？2）数字签名的概念3）数字签名工作原理4）数字签名应满足的三个条件5）数字签名常用算法6）数字签名的特点85（2）数字签名（DigitalSignature）86（2）数字签名（DigitalSignature）

1）为什么电子交易中要使用数字签名？

数字摘要技术中使用了散列函数（Hash函数），由于散列算法是公开的，任何人都可中途拦截交易文件，更改或替换内容后重新生成数字摘要，再与更改或替换后的文件一同发送，接收者会发现摘要完全匹配而无法防止欺诈的发生。所以还需要量对所收到的信息的真实性进行确认。数字签名就是提供对信息发送者的身份进行辨识的重要手段，同时也能保证信息传输过程中的完整性。86（2）数字签名（DigitalSignature）87（2）数字签名（DigitalSignature）

2）数字签名的概念

数字签名：是由签名算法和验证算法组成的双重加密的防伪、防赖算法，可以证明电子文件是由签名者发送，并且自签名后到收到为至没有做任何的修改。它是发送者用自己的私钥对欲发送报文的数字摘要进行加密而得到的，并与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。由于私有密钥仅为发送者本人所有，因此，只要接收者用该私钥对应的公钥解密成功，就能证明发送者的身份，发送者不能否认自己发送了该信息。

87（2）数字签名（DigitalSignature）

88

3）数字签名工作原理与过程：（2）数字签名（DigitalSignature）接收方发送方Hash加密明文加密解密加密发报人私钥发报人公钥Hash信息（明文）信息（明文）报文摘要数字签名数字签名报文摘要报文摘要比较883）数字签名工作原理与过程：（2）数字签名（Digi89

(1)对原文使用Hash算法得到数字摘要；(2)发送者用自己的私钥对数字摘要加密；(3)发送者将加密后的数字摘要与原文一起发送；(4)接收者用发送者的公钥对收到的加密摘要进行解密；(5)接收者对收到的原文用Hash算法得到接收方的数字摘要；(6)将解密后的摘要与接收方摘要进行对比，相同说明信息完整且发送者身份是真实的，否则说明信息被修改或不是该发送者发送的。由于发送者的私钥是自己严密管理的，他人无法仿冒，同时发送者也不能否认用自己的私钥加密发送的信息，所以数字签名解决了信息的完整性和不可否认性问题。89(1)对原文使用Hash算法得到数字摘要；90（2）数字签名（DigitalSignature）

4）数字签名应满足的三个条件：

a)接收方能够验证发送方所宣称的身份（其它人不能伪造签名）；

b)发送方以后不能否认报文是他发送的（即签名者事后不能否认自己的签名）；

c)接收方自己不以伪造该报文（当双方关于签名的真伪性发生争执时，法官或第三方能解决双方之间的争执）。90（2）数字签名（DigitalSignature）

91（2）数字签名（DigitalSignature）

5）数字签名常用算法：主要有3种应用广泛的方法：RSA签名、DSS签名和Hash签名。RSA数字签名源于RSA公开密钥系统，是目前网络上最为流行的一种数字签名方法，签名时使用私钥，验证时使用公钥。DSS（DigitalSignatureStandard）是在1991年8月由美国NIST公布，1994年12月1日正式采用的美国联邦信息处理标准，由Kravitz设计,这类签字标准具有较大的兼容性和适用性，已成为网络安全体系的基本构件之一。91（2）数字签名（DigitalSignature）92（2）数字签名（DigitalSignature）

Hash签名是主要的数字签名方法,也称数字摘要或数字指纹法（digitalfingerprint)。它的主要方式是，报文的发送方从明文文件中生成一个128比特的散列值（数字摘要）。发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后将该数字签名作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出128比特的散列值（数字摘要），接着用发送方的公钥来对报文附加的数字签名解密。

92（2）数字签名（DigitalSignature）

93

Hash签名法将数字签名与要发送的信息紧密联系在一起，它与RSA数字签名人作为一种单独的签名方式不同，具有更高的可信度和安全性，因此更适合于电子商务活动。93Hash签名法将数字签名与要发送的信息紧密联系在94（2）数字签名（DigitalSignature）

6）数字签名的特点：它代表了文件的特征，文件如果发生了改变，数字签名的值也会发生变化。即：不同的文件将得到不同的数字签名。数字签名能够实现对原始报文的鉴别、不可抵赖性和匿名性，具有易更换、难伪造、可进行远程线路传递等优点。数字签名与手工签名的区别在于：手书签名是模拟的，且因人而异；数字签名是0和1的数字串，因消息而异。

思考：“数字签名是用发送者私钥进行加密后的消息摘要。”这个表述是否正确？94（2）数字签名（DigitalSignature）

695（3）数字信封（DigitalEnvelop）(补充)

1）什么是数字信封？

是采用双重加密技术来保证只有规定的特定收信人才能阅读信息内容的一种安全认证技术。它先采用对称加密技术对信息加密，然后将对称加密密钥用接收者的公开密钥进行封装，并将其和对称加密了的数据一齐传送给接收者，称为消息的“数字信封”。

95（3）数字信封（DigitalEnvelop）(补充)96

接收者先用自己的私钥解密数字信封，得到对称密钥后，再使用对称密钥解开数据。数字信封把单钥和双钥结合起来使用。96接收者先用自己的私钥解密数字信封，得到对称密钥97（3）数字信封（DigitalEnvelop）

2）数字信封与数字签名综合使用的方法：

a）发送方首先用哈希函数从明文文件中生成一个数字摘要，用自己的私钥对这个数字摘要进行加密来形成发送方的数字签名。b）发送方选择一个对称密钥对文件加密，用接收方的公钥给对称密钥加密，然后通过网络将该报文密文、加密后的对称密钥和之前生成的数字签名作为附件一起发送给接收方。

97（3）数字信封（DigitalEnvelop）98

c）接收方使用自己的私钥对密钥信息进行解密，得到对称密钥；再用对称密钥对文件进行解密，得到原文件明文。d）接收方用发送方的公钥对数字签名进行解密，得到数字签名的明文。98c）接收方使用自己的私钥对密钥信息进行解密，得到对99（4）数字时间戳（time-stamp）

1）数字时间戳的概念：

数字时间戳(DTS，DigitalTime-Stamp)是由专门机构提供的电子商务安全服务项目，用于证明信息的发送时间。它是一个经加密后形成的凭证文档，包括三个部分：时间戳的文件摘要、DTS收到文件的日期和时间、DTS的数字签名。

99（4）数字时间戳（time-stamp）

1）数字100

数字时间戳服务（DigitalTime－StampServiceDTSS）是一种提供确认电子文件发表时间的安全保护，用来证明信息的收发时间。

打上时间戳就是将一个可信赖的日期和时间与数据绑定在一起的过程，需要一个第三方来提供可信赖的且不可抵赖的时间戳服务。100数字时间戳服务（DigitalTime1012）时间戳产生的过程

用户首先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTSS认证单位；DTSS认证单位在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。1012）时间戳产生的过程

用户首先将需要加时间戳的文件用H1022）时间戳产生的过程数字时间戳的应用过程1022）时间戳产生的过程数字时间戳的应用过程103

a）数据文件加盖的时间戳与存储数据的物理媒体无关；

b）对已加盖时间戳的文件不可能做丝毫改动；c）要想对某个文件加盖与当前日期和时间不同的时间戳是不可能的。3）数字时间戳的特点：103a）数据文件加盖的时间戳与存储数据的物理媒1044）数字时间戳与书面签署时间的区别：

书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由DTSS认证单位来加的，并以收到文件的时间为依据。1044）数字时间戳与书面签署时间的区别：105(5)数字证书（digitalcertificate）

———身份认证技术

1）什么是数字证书？2）为什么电子交易中要采用数字证书？3）数字证书的原理（了解）

4）数字证书的格式与内容（了解）

5）数字证书的类型（了解）105(5)数字证书（digitalcertificate106(5)数字证书（digitalcertificate）

1）什么是数字证书？

数字证书是一种由权威机构——证书授证(CA，即CertificateAuthority）中心发行的，在Internet上识别、验证通讯各方身份的方式，其实质是一个经证书授权中心数字签名的包含公开密钥拥有者身份信息以及公开密钥的数据文件。

数字证书用电子的手段来证实一个用户的身份和对网络资源访问的权限。106(5)数字证书（digitalcertificate1071071081081091091101101111111122）数字证书的作用：

-证明在电子商务或信息交换中参与者的身份；-授权进入保密的信息资源库；-提供网上发送信息的不可否性的依据；-验证网上交换信息的完整性；-使用包含公开密钥的数字证书来交换公开密钥。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。1122）数字证书的作用：-证明在电子商务或信息交换1133）数字证书的原理：

数字证书采用公开密钥密码体制，即利用一对密钥进行解密和数字签名。每个用户自己设定一把私钥用于解密和数字签名，同时将对应的公钥向交互对方发布，用于加密和验证签名。

1133）数字证书的原理：数字证书采用114

当发送一份保密文件时，发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥进行解密，这样，信息就可以安全无误地到达目的地，即使被第三方截获，由于没有相应的私钥，也无法进行解密。

114当发送一份保密文件时，发送方使用接收1154）数字证书的格式与内容：

数字证书的格式遵循ITUTX.509国际标准。一个标准的X.509数字证书一般包含以下内容：

-证书的版本信息；-证书的序列号；-证书所使用的签名算法；-证书的发行机构名称；-证书的有效期；-证书所有者的名称；-证书所有者的公开密钥；-证书发行者对证书的签名。1154）数字证书的格式与内容：数字证书的格式1165）数字证书的类型：

a)个人数字证书（Email证书、身份证书）

b)单位证书（企业身份证书、企业安全电子邮件证书、单位[服务器]数字证书）

c)信用卡身份证书：用于安全网上信用卡支付。代表信用卡交易中单位或个人信用卡持有者的身份，符合SET标准。

d)

CA证书：用于证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)1165）数字证书的类型：a)个人数字证书（Em117 3．认证中心CA(CertificateAuthority) 1)CA概述

CA是一个负责发放和管理数字证书的权威机构。

在电子商务交易中，商家、客户、银行的身份都要由CA认证。例如，持卡人要与商家通信，就要从公共媒体上获得商家的公开密钥，但持卡人无法确定商家不是冒充的(有信誉)，于是持卡人请求CA对商家认证。CA对商家进行调查、验证和鉴别后，将包含商家公钥的证书传给持卡人。同样，商家也可对持卡人进行验证。这个过程如下图所示。117 3．认证中心CA(CertificateAuth118CA认证118CA认证119

CA通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实际运作中，CA可由大家都信任的一方担当。

例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系或有账号。在这种情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理他的卡客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则由商家自己担当CA角色。119 CA通常是企业性的服务机构，主要任务是受理数字凭证120

2)CA的树形验证结构

认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

在进行交易时，通过出示由某个CA签发的证书来证明自己的身份，如果对签发证书的CA本身不信任，可逐级验证CA的身份，一直到公认的权威CA处，就可确信证书的有效性。120 2)CA的树形验证结构121证书的树形验证结构121证书的树形验证结构1223)国内外CA中心简介

世界上较早的数字认证中心是美国Verisign公司()，该公司成立于1995年。它为全世界50个国家提供数字认证服务，有超过45000个Internet的服务器接受该公司的服务器数字证书，使用它提供的个人数字证书的人数已经超过200万。1223)国内外CA中心简介123123124124125

4)数字证书的申请

不同CA类型数字证书的申请步骤略有不同，一般有下列步骤： (1)下载并安装CA的根证书：为了建立数字证书的申请人与CA的信任关系，保证申请证书时信息传输的安全性，在申请数字证书前，客户端计算机要下载并安装CA的根证书。 (2)填交证书申请表：不需身份验证的申请表可在线填写后提交；需要个人或单位身份验证的，下载申请表填写后连同身份证明材料一起送达CA。125 4)数字证书的申请126

(3)CA进行身份审核。

(4)下载或领取证书：普通证书，可以用身份审核后得到的序列号和密码，从网上下载证书；使用特殊介质(如IC卡)存储的证书，需要到CA领取证书。126 (3)CA进行身份审核。127127128小结1.电子交易安全的四要素：

信息传输的保密性、数据交换的完整性、发送住处的不可否认性、交易者身份的确认性（真实性）。2.加密技术：解决交易信息的保密性问题；

数字摘要：保证交易信息的完整性；

数字签名：解决信息的完整性和不可否认性（没有解决保密性问题）；

数字时间戳：解决交易时间上的不可否认性；

数字信封：解决数字签名技术没有解决的保密性问题；

数字证书：解决交易者身份的确认性问题。128小结1.电子交易安全的四要素：1294.交易安全技术的应用安全电子邮件证书的申领和使用1294.交易安全技术的应用安全电子邮件证书的申领和使用1304.交易安全技术的应用案例1：安全电子邮件证书的申领和使用（以SHECA为例）

SHECA上海电子商务安全证书管理中心有限公司的简称，是全国首家经中央批准进行CA建设试点的、正规的数字证书专业机构，负责电子证书的申请、签发、制作、废除、认证和管理，提供网上身份认证、数字签名、电子公证、电子邮件等服务，承接电子商务系统集成等业务。

1304.交易安全技术的应用案例1：安全电子邮件证书的131

安全电子邮件证书是CA中心为确保E-mail安全交互而提供的一种解决方案，即通过数字证书确保其邮件信息的保密性、完整性和确认发信方身份的真实性，可用以发送签名邮件或加密的电子邮件。131安全电子邮件证书是CA中心为确保E-mail安全交第八章本节内容（1）SSL（2）SET（3）PGP（4）电子商务信用安全132第八章本节内容132（1）安全套接层协议SSL（1）安全套接层协议SSL

SSL在客户机和服务器开始交换一个简短信息时提供一个安全的握手信号，双方确定将要使用的安全级别并交换数字证书。每个计算机都要正确识别对方。

在SSL对SSL所支持的客户机和服务器间的所有通讯都加密后，窃听者得到的是无法识别的信息。SSL在客户机和服务器开始交换一个简短信息时2）安全套接层协议SSL的工作原理

SSL安全加密机制主要是使用数字证书来实现的。当采用了SSL加密机制后，客户机首先要与IIS服务器建立通信连接，IIS服务器会把数字证书和公开密钥发送给客户机，与客户机交换密码，一般选用的是RSA密码算法（也有选用Diffie-Hellman和Fortezza-KEA密码算法），当身份验证确认后，这个公开密钥对用户端的会话密钥进行加密并将其传送到IIS服务器，IIS服务器接到这个会话密钥后会对会话密钥进行解密，这时用户就和IIS服务器建立了一条加密通信通道。2）安全套接层协议SSL的工作原理SSL安全加密机制主要是

SSL协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认证技术。SSL协议既用到了公钥加密技术又用到了对称加

SSL协议对基于TCP／IP网络的客户机/服务器提供下列安全服务:●认证用户和服务器：用服务器端证书认证Web服务器的资格(在电子商务中就是认证网上商店的资格)，用客户端证书认证客户身份，以能确信数据被发送到正确的客户机和服务器上。

●对通信数据进行加密：SSL协议采用了对称加密技术(DES)和公、私钥加密技术(RSA)。 ●维护数据的完整性：使用消息摘要技术确保数据在传输过程中不被改变。

3）SSL协议提供的安全服务 SSL协议对基于TCP／IP网络的客户机/服务器很多浏览器使用了SSL和TLS138很多浏览器使用了SSL和TLS138139139140140

(1)客户机向服务器打招呼，并将本机可支持的安全模块告诉服务器。 (2)服务器回应客户机，向客户机发送本机的服务器数字证书、公钥，如果服务器需要双方认证，还要向对方提出认证请求。 (3)客户机用服务器公钥加密向服务器发送自己的公钥，根据服务器是否需要认证客户身份，发送客户端数字证书。4）SSL协议的通信过程 (1)客户机向服务器打招呼，并将本机可支持的安全模块告

(4)双方根据前面联络的情况，确定专门用于本次会话的专用密钥。 (5)双方使用专用密钥进行会话。 (6)会话结束时双方交换结束信息。 在电子商务交易中，客户、商家和银行之间都遵从SSL协议进行通信。客户信息先发送到商家，商家再将信息发送到银行，银行验证客户信息(如信用卡信息)的合法性后，通知商家付款成功，商家再通知客户交易成功，并将商品配送给客户。

(4)双方根据前面联络的情况，确定专门用于本次会话的专

首先，客户的信息先到商家，让商家阅读，这样，客户资料的安全性就得不到保证；第二，SSL只能保证资料传递过程的安全性，而传递过程是否有人截取就无法保证了；第三，系统安全性差，SSL协议的数据安全性其实就是建立在RSA等算法的安全性之上，因此，从本质上来讲，攻破RSA等算法就等同于攻破此协议。

由于美国政府的出口限制，因此，目前进入我国的实现了SSL的产品(Web浏览器和服务器)的公钥和对称密钥的比特位位数有限。目前已有攻破此协议的例子。

5)SSL协议的缺点 首先，客户的信息先到商家，让商家阅读，这样，（2）安全电子交易协议SET

为了克服SSL安全协议的缺点，更为了达到交易安全及合乎成本效益之市场要求，VISA和MasterCard联合其他国际组织，共同制定了安全电子交易（SecureElectronicTransaction，SET）协议。

（2）安全电子交易协议SET为了克服SSL安全协议

在SET中采用了双重签名技术，支付信息和订单信息是分别签署的，这样保证了商家看不到支付信息，而只能看到订单信息。支付指令中包括了交易ID、交易金额、信用卡数据等信息，这些涉及到与银行业务相关的保密数据对支付网关是不保密的，因此支付网关必须由收单银行或其委托的信用卡组织来担当。在SET中采用了双重签名技术，支付信息和订单信息是分

(1)SET协议提供如下安全保障：

●所有信息在Internet上加密安全传输，保证数据不被他人窃取。 ●数字签名保证信息的完整性和不可否认性。 ●订单信息和个人信用卡信息的隔离，商家看不到客户的信用卡信息。 ●参与交易各方的身份认证，保证各方身份不可假冒。 (1)SET协议提供如下安全保障：(2)采用SET协议的交易有如下对象： ●消费者(持卡人)：持信用卡在网上购物的人。 ●网上商店：网上构建的符合SET协议要求的商店。 ●发卡银行：发行信用卡给持卡人的银行，网上交易时负责查验持卡人的有关卡的信息。 ●收单银行：网上商店的开户银行，交易时接收商店传送来的付款数据，向发卡银行查验信用卡，请求转账清算。 ●支付网关：银行内部网与Internet的连接设备，负责将商店传送的付款信息转送到内部网络进行处理。 ●认证中心CA：第三方权威机构，提供持卡人、商店、银行、支付网关的身份认证服务。(2)采用SET协议的交易有如下对象：SET协议的参与对象SET协议的参与对象

(3)SET协议的工作程序：

①消费者利用自己的PC通过因特网浏览网上商店，选定所要购买的物品，并在计算机上输入订单。订单上需包括网上商店、购买物品名称及数量、交货时间及地点等相关信息。 ②消费者选择付款方式，确认订单，签发付款指令，此时SET开始介入。 ③在SET中，客户端软件自动对订单和付款指令进行数字签名，将信息加密传送给网上商店，同时利用双重签名技术保证商家看不到消费者的账号信息。 (3)SET协议的工作程序：

④网上商店接受加密订单后，只能对订单解密，信用卡信息则传送到收单银行请求支付认可。信用卡信息通过支付网关到收单银行，再到发卡银行确认。批准交易后，返回确认信息给网上商店。 ⑤网上商店发送订单确认信息给消费者。消费者端软件可记录交易日志，以备将来查询。 ⑥网上商店发送货物或提供服务，并通知收单银行将款项从消费者的账号转到商店账号，或通知发卡银行请求支付。 ④网上商店接受加密订单后，只能对订单解密，信用卡信息则

在上述处理过程中，SET对通信协议、请求信息的格式、数据类型的定义等都有明确的规定。在操作的每一步，消费者、在线商店、支付网关都通过CA来验证通信主体的身份，以确保通信的对方不是冒名顶替。所以，也可以简单地认为，SET规格充分发挥了认证中心的作用，维护了在任何开放网络上的电子商务参与者所提供信息的真实性和保密性。 在上述处理过程中，SET对通信协议、请求信息的格

(4)SET协议的不足之处： ①协议没有说明收单银行给商家付款前，是否必须收到客户的货物接受证书。如果在客户没收到货款前，收单银行已把货款付给了商家，一旦客户对货物的质量标准提出疑义，责任由谁承担。 ②协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的客户发出的。

(4)SET协议的不足之处：

③SET技术规范没有提及在事务处理完成后如何安全地保存或销毁此类数据，是否应当将数据保存在客户、商家或收单银行的计算机里。 ④协议复杂，使用成本高，且只适用于客户安装了“电子钱包”的场合。根据统计，在一个典型的SET交易过程中，需验证数字证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密，整个交易过程可能需要花费1.5～2分钟。③SET技术规范没有提及在事务处（3）PGP单向报文的安全问题怎么解决PGP简介PGP工作原理154（3）PGP单向报文的安全问题怎么解决154PGP使用一篇：安装PGP6.5.8。

155PGP使用一篇：安装PGP6.5.8。

1552.然后就会让你选择密钥存储的目录，可以点取消，使用默认路径。1562.然后就会让你选择密钥存储的目录，可以点取消，使用默认路径3.这个提示是说：是不是马上创建密钥？选否，等汉化后再新建密钥。157第三篇：汉化PGP6.5.8。

把目录DLL文件夹的6个DLL文件，覆盖到C:windowssystem32.

把main文件夹的3个文件覆盖到安装目录。汉化完成。3.这个提示是说：是不是马上创建密钥？选否，等汉化后再新建密第四篇：创建一对密钥。

PGP加密与解密是通过一对公钥和私钥来实现的。自己创建一对密钥：私钥自己保管，公钥可以发布出去。创建一对密钥。

双击PGPKeys.exe158单击密钥—>新建密钥

第四篇：创建一对密钥。

PGP加密与解密是通过一对公钥和私钥159159160160161161162162163163第四篇：导出、导入公钥及密钥（包含公钥及密钥）

1.导出密钥：

在需要导出的密钥上右击选择导出…

,弹出导出对话框。2.导入密钥：

很简单双击密钥文件即可导入。164第四篇：导出、导入公钥及密钥（包含公钥及密钥）

164第五篇：使用公钥加密文件。

最好在加密前打包成一个文件，比如用RAR压缩下。然后在需要加密的文件上右击选择：PGP->Encrypt

弹出加密对话框。165第五篇：使用公钥加密文件。

最好在加密前打包成一个文件，比如如果不选择自动解密文档，那就要选择一个加密用的公钥。在要用的公钥上双击就可以了。选择一个只有公钥的密钥。166如果不选择自动解密文档，那就要选择一个加密用的公钥。在要用的确定加密完成。生成后缀名为.pgp的文件。此时我们双击这个文件想对其解密，便会出现这个错误提示框。167确定加密完成。生成后缀名为.pgp的文件。此时我们双击这个文因为我们虽然有他的公钥，可以加密，但是没有它的私钥，无法解密。我们现在用我的公钥创建个加密文件，双击进行解密。输入管理密码。

168因为我们虽然有他的公钥，可以加密，但是没有它的私钥，无法解密六、通过PGP进行电子邮件加密通信

邮件加密就是对邮件的文本进行加密处理。这个需要用到PGP的托盘图标，托盘没有一个锁的图标，去PGP的安装目录双击PGPtray文件即可。

1.首先进入QQ邮箱，写好邮件标题、正文。然后选中需要加密的邮件正文，就是普通的文字选中。169六、通过PGP进行电子邮件加密通信

邮件加密就是对邮件的文本然后直接在托盘的锁图标上单击右键选择，当前的窗口–>加密。

170然后直接在托盘的锁图标上单击右键选择，当前的窗口–>加密。1弹出选择公钥对话框。选择相应的公钥，和加密文件相同，然后点确定即可看到被加密过的文本171弹出选择公钥对话框。选择相应的公钥，和加密文件相同，然后点确开始发送，打开Gmail邮箱，如法炮制，选择所有加密过的文本，只不过这次选的是解密&认证。

172开始发送，打开Gmail邮箱，如法炮制，选择所有加密过的文本然后在弹出的对话框中输入密钥的管理密码。当然你必须有与加密公钥相对应的私钥。然后确定即可看到原文，解密成功。

173然后在弹出的对话框中输入密钥的管理密码。当然你必须有与加密公(4)电子商务信用安全信用缺失问题174(4)电子商务信用安全信用缺失问题174信用管理模式措施175信用管理模式175176本章小结

(1)安全是电子商务的核心和灵魂。要使电子商务健康、顺利发展，必须解决好电子商务所需的以下几种关键的安全性需求：保密性、完整性、不可抵赖性、真实性、可靠性、内部网的严密性等。要解决电子商务的安全问题需要从电子商务安全管理、安全技术和法律等多方面开展工作。176本章小结 (1)安全是电子商务的核心和灵魂。要使177

(2)防火墙在需要保护的网络与可能带来安全威胁的Internet或其他网络之间建立了一层保护，通常也是电子商务系统的第一道保护。防火墙主要包括安全操作系统、过滤器、网关、域名服务和E-mail处理五部分。目前