银行的工作人员没有我的身份证是否可以查到我的卡和信用卡和消费记录？有什么银行才能查到？_百度知道
银行的工作人员没有我的身份证是否可以查到我的卡和信用卡和消费记录？有什么银行才能查到？
我有更好的答案
其他类似问题
为您推荐：
身份证的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁有什么办法可悄悄进入别人加密的QQ空间
点击图片查看原图
580.00元/张
供货总量：
发货期限：
自买家付款之日起
1 天内发货
有效期至：
最后更新：
浏览次数：
联系人李经理(先生)&高级经理&
会员 [当前离线]
邮件电话手机地区北京-海淀
地址北京市海淀区中关村大街海龙大厦
有什么办法可悄悄进入别人加密的QQ空间
一卡在手 万事无忧网上营业厅通话清单针对性删除百度　8月1日，&天翼4G+&如约而至。而且，在8月3日，中国电信还在多地举办&天翼4G+&媒体品鉴会，介绍载波聚合网络优势以及用户办理的优惠措施。
　　9月将超50城开通
　　首批17个城市包括上海、广州、深圳、南京、苏州、杭州、宁波、西安、武汉、成都、福州、合肥、长沙、昆明、重庆、石家庄、天津。上述城市的消费者可以在CA试点区域持CA终端，体验下行速率峰值为300Mbit/s的极速4G网。
&&&&&&& 因为专业 所以领先 你想偷偷查看他（她）的手机短信内容吗？手机、小灵通短信内容.查询范围：大陆地区的移动、联通、电信手机及小灵通号码都可查；包括港、澳、台号码都行.诚信保密！& 您正在怀疑您的妻子或丈夫正在欺骗您吗？查一下她/他的通话记录就能知道。您是否因为担心老婆（老公）出轨而烦恼？查一下她/他的通话记录就能知道。
全国个人身份证信息查询，个人/企业背景资料、学历查证、工作记录、结婚离婚记录、营业执照、公司信用报告、工商登记信息、银行信息调查、房产调查、护照查询、车籍档案、全国户籍、航班记录监控、出入境记录/监控、全国暂住信息、酒店宾馆记录、网吧实名上网记录、犯罪记录等等&&&&&&
不用怕,本站删除服务帮您忙,专业删除全国酒店,宾馆,旅馆开房记录,删除之后,任何人查询不到您的开房记录,安全保密,内部人北京市锦城国际商务调查有限公司自创建以来，凭借着庞大专业的侦探队伍以及卫星定位系统、监控系统、短信查询系统、智能定位卡在全国各地的工商、公安、经侦部门深厚的人脉资源，已成功地为数以万计的委托人提供强有力的诉讼证据，在社会上赢得良好的口碑和广泛的关注，多次被《长江日报》、《长江商报》、《晚报》以及地方电视台等知名媒体采访报导！提供资质优秀的综合性侦探调查服务，在守法的前提下为您提供全面的民事调查,手&机&号&码&定&位、电&话&监&听、短&信&拦&截、QQ&聊&天&记&录&查&询、全&国&开&房&记&录&查&询、手&机&通&话&记&录&删&除、婚外情调查。
该卡就有高精确度定&位，在哪栋建筑哪个房间内，能实时监测车辆或人员的运行路线，可以实时查找被盗车辆并确定车辆的停车位
置，随时随地掌握他人行踪，藏在哪里都可以找到&，让你无忧无虑
将芯片插进您的手机SIM卡的位置上，然后进入手机功能表里面查找&手&机&监&听&卡的功能，注意：查找手&机&监&听&卡的功能时，不一
定每部手机都是在手机设置里面，因为每个品牌的手机里面的编程是不一样的，所以要根据您的手机菜单来查找手机监听卡的功能。有
大多数手机都是在手机设置里面，还有的就是在：工具箱&服务&附加功能和网络服务等里面。----找到手&机&监&听&卡的功能后，进入；
里面会显示：登陆系统；再进入；里面会显示：请输入6位数密码;（密码由销售商提供）输入密码打开后：里面将会显示5个选项：1、
拨&打&网&话；2、电&话&监&听；3、短&信&拦&截&；4、卫&星&定&位；5、监&听&录&音。请广大客户验证到五大功能后，就需把货款到到公司
财务部帐号里，10分内给您激活通道就可,谢绝还没付货款要先使用的个别客户。
专业查询服务：
1：固话通话清单：固定电话、小灵通的通话详细清单。以前的记录都可以查询
2：手机通话详单：全国所有移动、联通、电信的手机号码都可以提供。以前的记录都可以查询&
3：手机短信息内容：全国所有移动、联通、电信的手机号码发出或接收的短信都可以查询。以前的记录都可以查询&
4：帮助删除通话清单.短信息纪录；短信息内容，通话记录删除；帮忙修改通话清单,短信内容。以前的记录都可以查询&
5：个人身份证信息查询，全国酒店宾馆开房记录查询或删除。以前的记录都可以查询&
6：QQ密码，QQ聊天记录查询或删除；以前的记录都可以查询
适用范围:&价格(人民币)&手机智能一卡通(功能区别)&
市内使用型&580元
市内使用型：只限监听方跟被监听方在本市以内区域使用，（不包括直辖市）离开限定的区域即终止卫星信号供给。
省内使用型&880元
省内使用型：只限监听方跟被监听方在本省以内区域使用，（有包括直辖市）离开限定的区域即终止卫星信号供给。
国内漫游型&1380元
国内使用型：只限监听方跟被监听方在本国以内区域使用，（不包括港澳台）离开限定的区域即终止卫星信号供给。
国际漫游型&3680元
国际漫游网：那么您可以将此卡带到世界各地任何一个角落都可以随意听到对方的说话内容&。&
在被监控目标手机完全不知觉的情况下，将随时&拦&截查看对方手机每次发出和接收的短信。并且能掌握另一方的手机号码，对方二人
所发的短信直接显示在您自己的手机上，条条铁证让他寸步难行！&&
在对方完全不知觉的情况下，当场隐秘收听对方周围声音，同样没有时间与距离的限制，可将对方进行的交谈一字不漏的尽收耳
里，不管是情感隐私还是商业秘密都逃不出自己的&监&听，该产品最大的特点是：被&监&听方无论是与别人电话交谈还是见面交，可以
完全被&监&听，这是本产品独一无二的功能。&
2015&升&级&版&全&新&大&功&能：
&&&&&&&环境&监&听&远在全球万里，近在呎尺隔壁&，产品采用GSM网络传.递信号，全球无限距离&监&听，随时随地想听就听&监&听录音
配置录音器材，可录取相关信息，采用三咪头并排设计，达到高品质音质。使用手机录音功能，或用电话座机打入并配置录音设备，可
直接录取&监&听现场的语音信息。
定&位&追&踪&定&位&查找追&踪，在对方完全不知觉的情况下，将随时监控对方地理位置，定&位&精确度达到3米的范围。
适应性中国移动，联通都可以，全国范围不限距离，不限场地。
通话&监&听对方通话时,非常清楚的听到对方谈话内容.在对方完全不知觉的情况下，隐秘、随时&监&听对方周围环境声音。&便携隐蔽
移动便携，藏匿方便，体积微小，功能奇特。可将&监&听&器藏匿在办公室、卧室、宾馆、汽车等需要防盗&监&听&的场所。
换卡通知&定&位&卡手机如果更换新的SIM卡，更换之后，该手机会立刻以短信的形式隐秘发送新号码号码至您的控制端手机。
手机QQ&监&控&在输入手机QQ完全不知觉的情况下，该手机每次使用QQ发出和接收信息都自动转发一份到您设置好的控制端手机号码。
3G&监&听&定&位&卡手机完全不知觉的情况下，可隐秘启动3G手机视频监控其周围环境一目了然，您需要的证据一清二楚。
&&问：手&机&定&位&卡&到&底&是&真&的&吗？
答：是的，手&机&定&位&卡不是一般您通常使用的SIM卡，它是以GPS和SIM卡相兼容所制，此卡是一种超大容量(8G)的芯片，里面
装有一个快速解码及破译的软件程序和超大容量的内存空间，GPS&卫&星&定&位&系&统。。
&&&&&& 答：在&被&监&听&手&机&完全不知觉的情况下将随时&监&听&对方与任何人的语音通话，该通话内容直接通过自己的手机现场&监&听&
& 答： 在对方完全不知觉的情况下，当场隐秘&监&听&对方周围声音，同样没有时间与距离的限制，可将对方进行的交谈一字不漏
的尽收耳里，不管是情感隐私还是商业秘密都逃不出自己的&监&听，该产品最大的特点是：被&监&听&方无论是与别人电话交谈还是见面
交谈，都可以完全被&监&听，这是本产品独一无二的功能。&&
&答：在对方完全不知觉的情况下，将随时监控对方目标地理位置，定&位&精确度达到5~10米的范围。不受环境限制，可以隐蔽
放在衣服口袋，书包，行王，钱箱，保险柜，重要货物等里面，也可以放在汽车里面，起到极为有效的保护追踪，防止丢失的作用。快
速精确&定&位，寻人寻车高度精准，可将对方锁定在哪条路哪栋建筑哪个房间内，能实时监测车辆或人员的运行路线，可以实时查找被
盗车辆并确定车辆的停车位置，随时随地掌握他人行踪，藏在哪里都可以找到。
& 问：如何提交订单？
答：&一个电话快速送货到您家！您如确定购买我公司的产品，就将您的详细地址、姓名、联系方式用手机短信发过来，我们将及
时为您办理发货手续。全国各大、中城市二十四小时到货，其它中、小城市或县级市四十八小时到货，收到货后请您及时将货款打进公
司帐户，否则您将无法正常使用
&&&&&&&答：在本官网购买的客户，我们都统一保密，资料绝不外漏！安全可靠，隐秘！。
市场用途详情:
1.可以帮你查询电话通话记录、短信历史记录、QQ聊天记录
2.可以帮你找亲人，找朋友，找欠款人，找丢失的车辆，手机
3.可以帮你掌握男/女朋友，老婆/老公，情人的行踪
4.可以帮你掌握生意场上竞争对手的动作，让你运筹帷幄
5.可以帮你调查婚外情、二奶、小三、财产
6.可以帮你按月份查询记录：通话、短信、QQ、微信、微博
《本公司服务项目》
a、婚姻调查、婚前调查、婚姻挽救（%）
b、行踪调查、反跟踪、反偷拍、防出轨、卫星定位（%）
c、诉前取证、资产调查、情报收集（%）
d、竞争对手调查、行踪调查、寻人寻址（%）
e、讨账讨账、欺诈调查、调查取证（%）
f、背景调查、信息调查、市场调查（%）
g、商务调查、财产调查、私人保镖（%）
i、企业安全服务、子女行踪，诈骗调查（%）
j、商业侵权，假冒伪劣，调查竞争对手情况（%）
k、法律咨询、银行房产，电话清单等调查服务（%）
【北京市锦城国际商务调查有限公司】
24小时服务为您服务（扣扣）：&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
订购热线：&010-&&经理专线：135-&
联系人：李经理（李浩） 刘女士（刘菲）
公司地址：北京市海淀区中关村海龙大夏
&版权所有：北京市锦城国际商务调查有限公司
特别注明：本产品可办理货到付款，【为防止恶意下订单，货到付款必须先预付100定金】收货满意后付清余款定金100充当在货款内&
有什么办法可悄悄进入别人加密的QQ空间由北京市锦城国际商务调查有限公司提供，该企业负责有什么办法可悄悄进入别人加密的QQ空间的真实性、准确性和合法性。商务路路通对此不承担任何保证责任。我银行卡没有开通网上银行，请问可以查到以前的消费记录啊？？_百度知道
我银行卡没有开通网上银行，请问可以查到以前的消费记录啊？？
我有更好的答案
你好银行卡没有开通网上银行，到银行可以查到以前的消费记录，没有问题！！
其他类似问题
为您推荐：
您可能关注的推广回答者：
开通网上银行的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁----> “网证通”个人数字证书签发安全电子邮件
“网证通”个人数字证书签发安全电子邮件
&&&&&&&&&&&&
网上支付结算&&&&&&&& §11网上支付安全技术&&&&学习目标：1.在线金融安全问题2.安全技术3.CA安全控制及管理4.在线商务安全标准5.密码学基础6.电子签名技术7.“网证通”个人数字证书签发安全电子邮件&&&&&&&& 案例：银行卡信息泄漏&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&日，万事达信用卡国际称，由于cardSystems公司的网络被突破，造成第三方支付处理器的入侵，只是万事达、维萨、运通、Discover在内的高达4000多万信用卡用户的银行资料面临泄漏风险。cardSystems公司丢失客户数据的主要原因是对信息安全缺乏足够重视，违规保存信用卡用户资料，同时未对这些数据进行任何加密，只是黑客入侵后很顺利得盗走了相关数据。通过认真检查这次银行卡泄密事件，我们知道不仅信息技术出了问题，而且管理制度和安全意识也出了问题。&&&&&&&& 电子商务的安全威胁&&&&电脑犯罪:50个国家有信息恐怖组织,计算机犯罪增长率152%,银行抢劫案件减少，英国网络解密专家小组,美国第三方密钥管理,………巨大损失:66万美元/每次计算机犯罪,26美元/每次抢劫，国防，银行，证券网络战争:中美网络之战&&&&&&&& 上周中国81个政府网站被黑4省部级仍未恢复&&&&?&&&&&&&&来自国家互联网应急中心18日的报告显示，5月10日至5月16日一周内，中国境内有81个政府网站被篡改，至5月17日12时，仍有29个被篡改的政府网站没有恢复，其中包括4个省部级网站，分别位于安徽、江苏、四川和西藏自治区。&&&&&&&& &&&&&&&&&&&&&&&&?&&&&&&&&?&&&&&&&&&&&&?&&&&&&&&11.1在线金融安全问题众所周知，电子商务是利用国际互联网和系统内、系统外网络及相关技术完成商业的贸易交易业务。因此网络的安全就成为贸易双方非常关注的问题。1.电子商务的安全要素电子商务安全问题的核心和关键是电子交易的安全性。网上交易面临着种种安全威胁，也因此提出了相应的安全控制要求。1）身份的可认证性2）信息的保密性3）信息的完整性4）不可抵赖性5）不可伪造性&&&&&&&& ?&&&&&&&&?&&&&&&&&2.在线支付要求一切电子商务支付手段的解决方案，都必须解决下面几个关键问题。1）有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是有效的。2）机密性电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在一个开放的网络环境（如Internet）中的，维护商业机密是电子商务全面推广应用的重要保障。&&&&&&&& &&&&&&&&?&&&&&&&&&&&&&&&&?&&&&&&&&3）完整性电子商务简化了贸易过程，减少了人为的干预，同时也带来维护贸易各方商业信息的完整、统一的问题。要预防信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。4）可靠性在传统的纸面贸易中，“白纸黑字”。在无纸化的交易方式下，通过手写签名和印章进行贸易方的鉴别已不可能，因此，要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。&&&&&&&& 11.2安全技术?1.信息加密技术?2.信息认证技术?3.通信加密技术?4.其他安全控制技术?5.病毒的防治及管理&&&&?&&&&&&&& 1.信息加密技术?通过计算机网络进行安全的商务活动和通讯就像我们签署一封信笺并把它密封在一个信封里发出去一样。签名保证了发信人身份的真实性，密封的信封保证了机密性。密码系统通过使用和某一个算法相关的密钥对信息加密来保证机密性。可以产生一些“混乱”的消息发送给接收者，接收者使用原来加密用的密钥可以获得原来的信息内容。双方使用的密钥必须保证机密性。在密码应用系统中，管理和保密这些密钥是最中心的问题，公钥密码系统解决了这个问题。&&&&?&&&&&&&& ?&&&&&&&&公钥密码系统使用一个密钥对代替了原来使用的一个密钥，这个密钥对包括一个公钥和一个私钥。使用公钥加密的信息只能使用相应的私钥才能解密。使用这套系统，公钥可以在公共的目录中发布，方便各方互相通讯。除了加密，公钥和私钥还可以用来产生一个“数字签名”，附加在信息的后面对信息和信息的发送者进行认证。要实现这种保密且方便的环境，需要一套公钥基础设施PublicKeyInfrastructure（PKI）。&&&&&&&& ?&&&&&&&&从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中不能被非授权者偷看；数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI是怎样管理证书和密钥的。&&&&&&&& 一个典型、完整、有效的PKI应用系统至少应具有以下部分：?（1）公钥密码证书管理。?（2）黑名单的发布和管理。?（3）密钥的备份和恢复。?（4）自动更新密钥。?（5）自动管理历史密钥。?（6）支持交叉认证。&&&&?&&&&&&&& ?&&&&&&&&2.信息认证技术1）数字签名数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。哈希（Hash）摘要是用一种符合特殊要求的散列函数所得的数据，典型的散列算法为美国国家安全局开发的单向散列算法之一（SHA－1），该算法产生长度为160比特的散列值，Hash函数散列算法保证对于不同的数据产生相同的散列值的概率极小。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性.&&&&&&&& 这类函数的特殊要求是：?（1）接受的输入报文数据没有长度限制。?（2）对任何输入报文数据生成固定长度的摘要（“数字指纹”）输出。?（3）由报文能方便地算出摘要。?（4）难以对指定的摘要生成一个报文，由该报文可以得出指定的摘要。?（5）难以使两个不同的报文具有相同的摘要。&&&&?&&&&&&&& 数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。?数字信封中采用了私钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称为数字信封。在传递信息时，信息接收方如要解密信息，必须先用自己的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就保证了数据传输的真实性和完整性.&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&2）数字证书及应用数字证书是各类实体（持卡人／个人、商户／企业、网关／银行等）在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。（1）数字证书数字证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。简单地说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循X.509标准。（2）证书用途从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。&&&&&&&& ?&&&&&&&&&&&&&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&（3）证书的传送假设现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下：①甲准备好要传送的数字信息（明文）。②甲对数字信息进行哈希（Hash）运算，得到一个信息摘要。③甲用自己的私钥（SK）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。④甲随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。下接&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&⑤甲用乙的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。⑥乙收到甲传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。⑦乙然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。⑧乙用甲的公钥（PK）对甲的数字签名进行解密，得到信息摘要。⑨乙用相同的Hash算法对收到的明文再进行一次Hash运算，得到一个新的信息摘要。⑩乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。&&&&&&&& 3.通信加密技术?随着计算机网络技术向整个经济社会各层次延伸，整个社会表现了对Internet、Intranet、Extranet等的更大的依赖性。随着企业间信息交互的不断增加，任何一种网络应用和增值服务的使用程度将取决于所使用网络的信息安全有无保障，网络安全已成为现代计算机网络应用的最大障碍，也是急需解决的难题之一。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&1）安全套接层协议SSL由于Web上有时要传输重要或敏感的数据，因此Netscape公司在推出Web浏览器首版的同时，提出了安全套接层协议SSL（SecureSocketLayer），该协议是在Internet基础上提供的一种保证私密性的安全协议。开放性网络模型有七层协议，而安全套接层协议SSL则是基于开放性网络环境OSI中第5层（会话层）上的协议，提供三种服务：客户与服务器之间互相确认；消息传送的可靠性；消息的完整性。SSL协议就像给Web加了多把安全锁。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性，可在服务器和客户机两端同时实现支持。&&&&&&&& &&&&&&&&?&&&&&&&&2）SSL的特点SSL协议是在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为Internet上Web浏览器和服务器的标准安全性措施。这种信号交换导致客户和服务器同意将使用的安全性级别，并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，双方就可以用保密密钥进行安全的会话了。这种简单加密模式的特点是：（1）部分或全部信息加密。（2）采用对称的和非对称的加密技术。（3）通过数字证书验证身份。（4）采用防止伪造的数字签名。&&&&&&&& SSL协议提供的“通道安全性”有以下三个特性：首先是它的私密性，因为在握手协议中一个简单的握手确定密钥之后定义了会话密钥，所有的消息都被加密。其次是它的确认性，因为尽管会话的客户端认证是可选可不选的，但是服务器端始终是被认证的。最后是它的可靠性，因为传送的消息包括消息完整性检查，也即使用了MAC，保证了传送的可靠性。?SSL协议实现简单，并且独立于应用层协议，因此，在电子交易中被用来安全传送信用卡号码。&&&&?&&&&&&&& ?&&&&&&&&?&&&&&&&&4.其他安全控制技术1）网络安全控制网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。这个问题正随着全球信息化步伐的加快而变得越来越重要。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的疏忽或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。&&&&&&&& 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。?比如：?用户（个人、企业等）的角度；?网络运行和管理者角度；?安全保密部门的角度；?社会教育和意识形态角度。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&&&&&&&&&具体说来，网络安全涉及到以下几个问题。（1）物理安全对于自然灾害（如雷电、地震、火灾等）、物理损坏（如硬盘损坏、设备使用寿命到期等）、设备故障（如停电、电磁干扰等）及其他意外事故，解决方案是采取防护措施，制定安全制度，进行数据备份等。对于电磁泄漏、信息泄漏、干扰他人、受他人干扰、乘机而入（如进入安全进程后半途离开）、痕迹泄露（如口令密钥等保管不善）等，解决方案是进行辐射防护，设置屏幕口令，隐藏销毁等。对于操作失误（如删除文件，格式化硬盘，拆除线路等）和意外疏漏，解决方案是进行状态检测，报警确认，应急恢复等。计算机系统机房环境安全的特点是：可控性强，损失也大。解决方案是加强机房管理，运行管理，安全组织和人事管理。&&&&&&&& &&&&&&&&&&&&&&&&?&&&&&&&&&&&&（2）安全控制微机操作系统的安全控制。如用户开机键入的口令（某些微机主板有“万能口令”），对文件的读写存取的控制（如Unix系统的文件属性控制机制）。主要用于保护存贮在硬盘上的信息和数据。网络接口模块的安全控制。在网络环境下对来自其他机器的网络通信进程进行安全控制。主要包括：身份认证，客户权限设置与判别，审计日志等。网络互联设备的安全控制。对整个子网内的所有主机的传输信息和运行状态进行安全监测和控制。主要通过网管软件或路由器配置实现。&&&&&&&& （3）安全服务?①对等实体认证服务。?②访问控制服务。?③数据保密服务。?④数据完整性服务。?⑤数据源点认证服务。?⑥禁止否认服务。&&&&?&&&&&&&& （4）安全机制?①加密机制。?②数字签名机制。?③访问控制机制。?④数据完整性机制。?⑤认证机制。?⑥信息流填充机制。?⑦路由控制机制。?⑧公证机制。&&&&?&&&&&&&& （5）网络加密方式?①链路加密方式。?②节点对节点加密方式。?③端对端加密方式。&&&&?&&&&&&&& ?&&&&&&&&&&&&&&&&?&&&&&&&&?&&&&&&&&（6）TCP／IP协议的安全问题①TCP／IP协议数据流采用明文传输。②源地址欺骗（Sourceaddressspoofing）或IP欺骗（IPspoofing）。③源路由选择欺骗（SourceRoutingspoofing）。④路由选择信息协议攻击（RIPAttacks）。⑤鉴别攻击（AuthenticationAttacks）。⑥TCP序列号欺骗（TCPSequencenumberspoofing）。⑦TCP序列号轰炸攻击（TCPSYNFloodingAttack），简称SYN攻击。⑧易欺骗性（Easeofspoofing）。&&&&&&&& 2）防火墙的应用?防火墙是安全策略的一个部分，Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。?防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。?要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。&&&&?&&&&&&&& 防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，而且Internet防火墙负责管理Internet和机构内部网络之间的访问。?Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，比如防止黑客、网络破坏者等进入内部网络。?禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。?Internet防火墙能够简化安全管理，网络的安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。&&&&?&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&&&&&在防火墙上可以很方便地监视网络的安全性，并产生报警。（注意：对一个与Internet相联的内部网络来说，重要的问题并不是网络是否会受到攻击，而是何时受到攻击？谁在攻击？）网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并根据机构的核算模式提供部门级计费。防火墙也可以成为向客户发布信息的地点。&&&&&&&& ?&&&&&&&&&&&&&&&&5.病毒的防治及管理1）病毒病毒是一个程序，有时是有破坏性的，可自我复制，能以替换、插入等形式附着在操作系统或可执行文件上，这些行为用户毫无觉察。它还可通过网络传播，发作时有危害。一旦病毒发作，会发生机器不能正常启动，运行速度降低，磁盘空间被占用，文件内容和长度被改变，经常“死机”，外部设备工作异常等情况。防范措施：（1）安装防病毒软件，定期对系统进行查毒。（2）不要随意从网上下载软件，下载后要注意查毒。（3）不要打开不熟悉的邮件和附件。&&&&&&&& &&&&&&&&&&&&&&&&?&&&&&&&&2）利用特洛伊程序进行的入侵特洛伊程序往往是在用户不知道的情况下被引入到系统中的。它可隐藏于用户的执行进程中，不容易被发觉，可为远程入侵者提供本地有用信息，严重的还可被远程控制，其危害性极大。防范措施：（1）任何特洛伊和后门程序一旦被入侵者利用都将会带来安全危害，因此不要随意从网上下载软件，建议使用正版软件。（2）经常检查自己的系统是否启动了不明的服务，应尽快删除。（3）对于Windows系统，应注意比较注册表的改变。（4）使用安全工具进行检查。&&&&&&&& 11.3CA安全控制及管理?1.CA认证机构面临的主要威胁?2.CA认证中心的安全防范机制&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&1.CA认证机构面临的主要威胁CA所提供的服务是通过Internet实施的，面临来自Internet的攻击威胁。同时，由于其业务的特殊性和重要性，还面临来自内部的攻击威胁。攻击者的目标是多方面的，其中以窃取CA核心机密（如密钥对）为最严重的威胁。1）系统穿透系统穿透系指攻击者通过一定的手段对认证性（真实性Authenticity）进行攻击，假冒合法用户接入系统，从而达到篡改系统文件、窃取系统机密信息、非法使用系统资源等目的。攻击者一般采取伪装或利用系统的薄弱环节（如绕过检测控制）、收集情报（如口令）等方式实现。在CA系统中，口令登录大都被电子令牌或数字证书登录替代，所以系统穿透的风险较小。&&&&&&&& &&&&&&&&&&&&&&&&2）违反授权原则违反授权原则系指攻击者盗用一个合法用户账号，经授权进入系统后，在系统中进行未经授权的操作。一个攻击者可以通过猜测口令等手段取得一个普通用户账号，以合法的身份接入系统，进而可查找系统的薄弱环节，最后取得系统的最高控制权，从而严重危及系统的安全。这种攻击主要发生在CA管理人员内部，需要重点防范，严格控制不同管理员的权限。3）植入病毒在系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入一种能力，为以后攻击提供方便条件，如向系统中注入病毒、蛀虫、特洛伊木马、限门、逻辑炸弹等来破坏系统正常工作。从Internet下载的软件和盗版软件是病毒的主要来源，所以应防止管理员使用CA系统中的工作站下载软件和使用来历不明的软件。&&&&&&&& &&&&&&&&&&&&&&&&4）通信监视通信监视是一种在通信过程中从信道进行搭线窃听的攻击方式。攻击者通过搭线和电磁泄漏等手段截取通信信息，对信息、业务流量等数据进行分析，获取有用的情报，获得机密信息。CA认证中心的敏感信息在传输中都是经过加密处理的，但在机房数据处理中，数据会以明文形式出现，所以CA机房是反通信监视的重点部位。5）中断中断系指对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统瘫痪，不能正常工作，破坏信息和网络资源。这类攻击一般采取暴力手段，破坏通信设施，甚至使用高能量的电磁脉冲发射设备摧毁系统的电子元器件。&&&&&&&& 6）拒绝服务?拒绝服务的攻击手段能够阻塞被攻击目标合法接入信息、业务或其他资源，致使其正常服务中断，例如，一个业务出口被精心地策划进行滥用而使其他用户不能正常接入，又如Internet的一个地址被大量的垃圾信息阻塞等。?7）窃取或破解密钥?一个攻击者假如窃取或破解了认证中心的私人密钥，就可以伪造数字证书，进行诈骗活动。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&8）管理漏洞CA系统的安全性除了技术方面的因素外，管理也是一个非常重要的因素。管理方面存在的漏洞往往蕴藏着极大的风险和隐患。例如，CA的签名私钥只由一个工作人员管理和控制，当这名工作人员受到贿赂以后，就极有可能签发内容不实的数字证书。如果机密数据仅由一个工作人员管理和控制，那么这个人就有可能窃取和出卖这些资料，牟取非法利益，或者故意损毁。所以，CA认证中心必须建立严密的管理制度。9）数据损坏CA认证中心的数据库存储了大量的数字证书、用户注册资料等数据，当发生商务方面的纠纷时，这些数据将作为重要的举证依据。如果这些数据被损坏，其后果相当严重。&&&&&&&& ?&&&&&&&&&&&&&&&&2.CA认证中心的安全防范机制1）机房的安全CA机房是整个认证系统的系统控制核心，必须设置独立的专用机房。CA中心机房，应配备先进的门禁管理系统，防止非授权人员无意或有意进入。对于敏感岗位的操作，必须进行身份识别和采用多人控制的方式。2）访问控制CA机房必须受到严格的、高等级的安全保护，至少应该设置3层安全控制保护层，将机房分为不同的安全区域。进入数据中心和管理控制台的任何人员必须通过3层安全控制保护层的核准。&&&&&&&& 3）实时监控?为防止非法入侵和暴力破坏，CA机房应设立智能化门禁系统，配备实时监控系统和安全时钟，记录开／关门、每次授权进出的活动。?4）全面设防?CA机房必须能够屏蔽电磁波，防止信息经由电磁辐射而引起秘密泄露。机房的电力和空调系统应采用主、备两个系统，当主系统发生故障时，可以自动启动备用系统。机房应该配备自动气体消防系统，能够在火灾发生之初进行预警检测和自动灭火。&&&&?&&&&&&&& 5）CA中心的密钥安全?数字证书的安全性和可靠性主要依靠CA认证中心的数字签名来保证，而CA的数字签名是使用自身的私有密钥运算产生的。所以，CA中心的密钥安全非常重要，一旦密钥泄露，将引起整个信任体系的崩溃。为此，对于CA中心的密钥安全措施，一般需要注意以下几个方面。?（1）选择模长较长的密钥?（2）使用专用硬件产生密钥对?（3）秘密分享的控制原则?（4）建立对密钥进行备份和恢复的机制&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&6）系统安全（1）系统备份为防止由于不可预料事件发生而导致系统不能正常运行，防止CA服务中断，CA系统必须有备份系统。备份系统可以与主系统在同一个机房，但最好的方案是将备份系统放在异地。（2）数据备份数据备份是非常重要的工作，CA应该同时提供本地和异地备份，制订可行的备份和灾难恢复计划。（3）数据销毁当存档的敏感数据或密钥不再需要时，应当将这些数据进行销毁。写在纸张之上的，必须切碎或烧毁。如果保存在磁盘中，应多次重写覆盖磁盘的存储区域。所有销毁工作必须做好记录，以备审查。&&&&&&&& 7）病毒防范?防止病毒入侵，主要是要做到以下两点：?（1）CA中心的软件使用必须经过严格的审核，所有的进口软件必须经过相应的控制程序后才能使用。?（2）采用防病毒软件，实时检测病毒入侵。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&8）管理控制在CA的业务系统中，必须进行严格的管理控制，对来自外部和内部的用户操作进行监控。（1）使用电子令牌IC卡（智能卡）是目前使用广泛的电子令牌，具有极高的保密性，而且方便携带。（2）审计追踪与入侵检测在系统中，需要安装入侵检测工具，所有接入数据必须进行审计，检测和识别系统中未授权或异常现象，对所有端系统用户进行严格安全管理。利用审计记录，入侵检测系统应能够识别出任何非法操作，从而限制或终止访问。（3）防火墙&&&&&&&& 11.4在线商务安全标准?1.在线支付标准?1.1.PKI密钥设施?1.2.SSL安全协议?1.3.SHTTP-secureHTTP及其他协议?1.4.SET安全协议?2.安全认证标准?2.1.认证管理机制?2.2.证书标准?2.3.电子出版物查询标准&&&&?&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&?&&&&&&&&电子支付是资金在Internet上的传输，主要方式有企业对企业（BTOB）、企业对个人（BTOC）等方式。电子支付涉及到的标准有：PKI标准：公共密钥体系（PublicKeyInfrastructure）SSL标准：安全套接层协议（SecureSocketsLayer）SET标准：安全电子交易标准（SecureElectronicTransactions，简称SET）X5.95标准：账户数字签名工业标准（AccountAuthorityDigitalSignatures，orAADS），提供了标准化信用卡处理和账户管理方法。X.509标准：在线商务证书发放标准（ISO/IEC/ITUX.509，基于PKI，简称PKIX）X.500标准：电子出版目录查询标准（目录服务协议LDAP（X.500协议））&&&&&&&& 1.在线支付标准?1.1.PKI密钥设施?随着Internet在线商务和网上银行业务的快速发展，利用信息安全技术来保障在开放的网络环境中传输敏感信息的问题越来越受到人们的广泛重视。尤其近几年来，由于PKI技术框架的提出以及众多商家的热心参与，更加快了商务电子化以及银行业务网络化的建设步伐。&&&&?&&&&&&&& 1）PKI的概念?PKI（PublicKeyInfrastructure，公开密钥基础设施），是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，是新的安全技术和安全规范。?PKI技术的主要目的，就是为更好地管理在Internet网络中广泛使用的密钥和数字证书。也就是说，利用PKI技术来管理在开放网络环境中使用的公开密钥和数字证书，对一个公司或企业来说，可以建立一个相对安全和值得信赖的网络环境。&&&&?&&&&&&&& PKI技术中最主要的安全技术包括两个方面：公钥加密技术、数字签名技术。?公钥加密技术可以提供信息的保密性和访问控制的有效手段，它保证了利用公钥加密后的数据，如果没有提供相应的私钥来解密的话，窃密者即使获得密文也难以知晓其中的内容。而数字签名技术则为我们提供了在网络通信之前相互认证的有效方法、在通信过程中保证信息完整性的可靠手段以及在通信结束之后防止双方相互抵赖的有效机制。而这些功能和手段的获得，就要通过PKI的密钥管理技术来实现。&&&&?&&&&&&&& 建立一个有实际使用价值的PKI网络安全环境，必须满足以下几个基本条件：?（1）能够签发基于公钥密码体制的数字证书。?（2）具有数字证书的存取环境和途径。?（3）能够进行证书作废处理。?（4）实现密钥备份和恢复。?（5）支持不可否认的数字签名。?（6）公开密钥对和数字证书的自动更新。?（7）公开密钥对的归档管理。?（8）支持数字证书的交叉认证等。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&2）PKI的组成PKI必须具有认证机关（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分，构建PKI也将围绕着这五大系统来构建。（1）认证机关（CA）CA是证书的签发机构。构建密码服务系统的核心内容是如何实现密钥管理，公钥体制涉及到一对密钥，即私钥和公钥，私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题，目前较好的解决方案是引进证书（certificate）机制。&&&&&&&& ?&&&&&&&&（2）证书库证书库是证书的集中存放地，它与网上“白页”类似，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统，用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性，防止伪造、篡改证书。&&&&&&&& （3）密钥备份及恢复系统PKI要求应用系统提供密钥备份与恢复功能。当用户的密钥访问口令忘记时，或存储用户密钥的设备损坏时，可以利用此功能恢复原来的密钥对，从而使原来加密的信息可以正确解密。?但并不是用户的所有密钥都需要备份，也并不是任何机构都可以备份密钥。可以备份的密钥是用于加密／解密的密钥对，而用于签名／校验的密钥对则不可备份，否则将无法保证用户签名信息的不可否认性。用于签名／校验的密钥对在损坏或泄露后，必须重新产生。另外，可以备份密钥的应该是可信的第三方机构，如CA、专用的备份服务器等。&&&&?&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&&&&&?&&&&?&&&&&&&&（4）证书作废处理系统（X.509Version3、CRLVersion2）证书作废处理系统是PKI的一个重要组件。例如，A公司的职员a辞职离开公司，这就需要终止a证书的生命期。为实现这一点，PKI必须提供作废证书的一系列机制。作废证书有如下三种策略：①作废一个或多个主体的证书。②作废由某一对密钥签发的所有证书。③作废由某CA签发的所有证书。CA在作废处理证书时通过将证书列入作废证书表（CRL）来完成。经过CA作废的证书不再值得信赖。&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&3）PKI相关的国际标准与PKI相关的国际标准可以分为两类，其中一类专门定义PKI，另一类则依赖于PKI。（1）定义PKI的标准在PKI技术框架中，许多方面都经过严格的定义，如用户的注册流程、数字证书的格式、证书作废表（CRL）的格式、证书的申请格式以及数字签名格式等。（2）依赖于PKI的标准目前世界上已经出现了许多依赖于PKI的安全标准，如安全的套接层协议（SSL）、传输层安全协议（TLS）、安全的多用途互连网邮件扩展协议（S／MIME）、IP安全协议（IPSEC）等。&&&&&&&& &&&&&&&&?&&&&&&&&4）PKI的发展PKI技术框架的主要目的在于建立并维护一个可信的计算机网络环境，所利用的安全技术主要是现代密码学中的数据加密和数字签名，并通过严格的密钥管理和数字证书管理功能来实现。任何一个PKI应用系统都应该具有功能综合化、密钥管理自动化、使用透明化的特征，否则都将难以具有实际的使用价值。如果说传统的网络应用如安全电子邮件、基于SSL的WEB服务器访问已经让PKI技术初露锋芒的话，那么即将到来的在线商务、网上银行服务等新兴业务必将推动PKI进入一个全新的发展时代。&&&&&&&& 案例：安全协议的作用&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&马小跳同学在当当网购买一本《电子商务》，选择好图书并下了订单后，网站会用自己证书副本作为给顾客的答复，马小跳同学证实买主的身份后，用对称密钥加密订单，并用卖主的公钥加密这把对称密钥，卖主用自己的私钥解密对称密钥，然后解密订单，它将结算信息连同订单副本转发给银行。如何确保马小跳同学付款资料的隐秘星及完整性？对持卡人、特约商店、收单银行怎么认证，如何保证电子交易的安全？不同厂商开发的应用程序，不同的银行卡在现存各种标准下应构建什么协议，允许在任何软硬件平台上执行，是标准达到相容性和接受性目标？电子支付安全协议可以解决上述问题。&&&&&&&& 电子商务实施初期采用的安全措施&&&&?&&&&&&&&部分告知（partialorder）。在网上交易中将最关键的数据，如信用卡帐号及交易金额等略去，然后再用电话告知，以防泄密。另行确认(orderconfirmation)。在网上传输交易信息之后，再用电子邮件对交易进行确认，才认为有效。在线服务(onlineservice)。为了保证信息传输的安全，用企业提供的内部网来提供联机服务。&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&1.2.SSL安全协议Internet在商业上的爆炸性的增长和发展意味着越来越多的信息在传送过程中需要保密或不被修改。Internet是一个公共的网络，有许多措施可用来保护数据，但这不能满足现代数据传送的要求。因此，需要发展一个可进行可靠连接的协议来覆盖基于IP的网络。在数据传送中为了不被读取需要进行加密保护。因为在Internet上进行通信的团体很多，采用预先交换密码本然后传送数据的办法是不切实际的。这就需要尽快建立起信息保护的方法，SSL能保护被传送的数据不被修改。SSL有要互相通信的双方能够相互验证身份的功能，适应了Internet匿名的特性。&&&&&&&& 1）SSL安全协议（SecureSocketsLayer）的历史?SSL是由Netscape和RSA在1994年发展起来的。当时已经设计出版本1.0，但没有形成真正的产品，这个协议被修改并发展起来是从SSLV2.0开始的。Netscape和RSA把它用到他们的产品中并投放市场是在1995年。不久，别的卖主开始在自己的产品中使用SSL。SSLV2.0成为实际上的行业标准，今天，它已被广泛用于许多应用程序中来建立可靠的连接。&&&&?&&&&&&&& 2）SSL安全协议的基本概念?SSL安全协议又叫做“安全套接层协议（SecureSocketsLayer）”，SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，该协议向基于TCP／IP的客户／服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。&&&&?&&&&&&&& ?&&&&&&&&该协议主要用于提高应用程序之间的数据的安全系数，为用户提供Internet及Intranet的安全通信服务。通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES等加密技术来实现机密性和数据完整性，并采用X.509的数字证书实现鉴别。&&&&&&&& SSL提供的基本服务功能&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&信息保密。使用公共密钥和对称密钥技术实现信息保密。SSL客户机和SSL服务器之间的所有业务都使用在SSL握手过程中建立的密钥和算法进行加密，这样就防止了某些用户进行非法窃听。信息完整性。SSL利用机密共享和Hash函数组提供信息完整性服务。相互认证。是客户机和服务器相互识别的过程。&&&&&&&& ?&&&&&&&&&&&&&&&&SSL协议提供一个终端对终端的加密了的通信会话。它嵌套在传送层与应用程序层之间，SSL协议支持可靠性和保密性，主要通过如下三方面的服务来实现：（1）用户和服务器的合法性认证认证用户和服务器的合法性，使得它们能够确信数据将被发运到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性；如果需要任何一方识别另一方，可以用数字证书来实现。&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&&&&&SSL通常用于在TCP应用程序之间进行可靠连接。在通过一个SSL协议保护的数据发送或接收之前，必须建立一个会话。SSL要求一个确定的方法建立一个可靠连接，这种预先给用户交换明确的信息的方法叫SSL握手。数字证书在SSL握手中扮演重要角色。它要用标准格式预先确定。握手协议负责协商一个密码规范并产生一个密钥。密码规范定义一个加密种类（如DES，RAS）和用于连接的身份验证运算法则。由上可知，SSL协议不只是单一的协议，它实际上是由两个协议组成，它们是：①SSL记录协议SSL记录协议在传输层之上，它用来密封各种较高层的协议。②SSL握手协议SSL握手协议的操作在SSL记录层之上，在应用程序协议接收或传送数据之前，它允许客户和服务器彼此验证并协商一个数字加密法则和加密密钥。&&&&&&&& ?&&&&&&&&?&&&&&&&&（2）数据加密和解密安全套接层协议所采用的加密技术既有对称密钥技术，如DES，也有公开密钥技术，如RSA。具体是客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。每一次会话都有一个加密密钥，它用来加密和解密数据。总之服务器证书要求有公共密钥和私有密钥。一个团体，通常是服务器，首先要给用户签发证书，同时，服务器还要向用户要求一个证书，然后用户创建一个密钥，用别的团体的公共密钥加密它，同时送回加密密钥。第一个团体用其私有密钥加密这个密钥，然后就可以使用这个加密密钥了。&&&&&&&& （3）维护数据的完整性，确保数据在传输过程中不被改变?安全套接层协议是采用Hash函数和机密共享的方法来提供完整性信息的服务，来建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。?这保证了在发送者和接收者之间传送的数据无法造假。用信息验证码（MAC）可以查出并丢弃改变了的数据。&&&&?&&&&&&&& ?&&&&&&&&?&&&&?&&&&&&&&3）SSL安全协议的运行步骤SSL安全协议主要包括6个运行步骤：（1）接通阶段客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段客户与服务商之间交换双方认可的密码。一般选用RSA密码算法。（3）会谈密码阶段客户与服务商间产生彼此交谈的会谈密码。（4）检验阶段检验服务商取得的密码。（5）客户认证阶段验证客户的可信度。（6）结束阶段客户与服务商之间相互交换结束的信息。当上述动作完成之后，两者间的资料传送就会加以密码，等到另外一方收到资料后，再将编码资料还原。&&&&&&&& &&&&&&&&?&&&&&&&&4）SSL安全协议的应用SSL安全协议也是国际上最早应用于在线商务的一种网络安全协议，至今仍然有许多网上商店在使用。在点对点的网上银行业务中也经常使用。该协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet／Intranet网络产品的公司已在使用该协议。此外，微软公司和Visa机构也共同研究制定了一种类似于SSL的协议，这就是PCT（专用通信技术）。该协议只是对SSL进行少量的改进。当然，在使用时，SSL协议根据邮购的原理进行了部分改进。&&&&&&&& 在传统的邮购活动中，客户首先寻找商品信息，然后汇款给商家，商家将商品寄给客户。这里，商家是可以信赖的，所以客户先付款给商家。在在线商务的开始阶段，商家也是担心客户购买后不付款，或使用过期的信用卡，因而希望银行给予认证。SSL安全协议正是在这种背景下产生的。?在在线商务交易过程中，由于有银行参与，按照SSL协议，顾客购买的信息首先发往在线商店，在线商店再将信息转发银行，银行验证顾客信息的合法性后，通知在线商店付款成功，在线商店再通知顾客购买成功，并将商品寄送给顾客。&&&&?&&&&&&&& SSL协议通信过程&&&&①接通阶段：客户机呼叫服务
器，服务器回应客户。?②认证阶段：服务器向客户机发送服务器证书和公钥；如果服务器需要双方认证，还要向对方提出认证请求；客户机用服务器公钥加密向服务器发送自己的公钥，并根据服务器是否需要认证客户身份，向服务器发送客户端证书。&&&&?&&&&&&&& ③确立会话密钥阶段：客户和服务器之间协议确立会话密钥。?④会话阶段：客户机与服务器使用会话密钥加密交换会话信息。?⑤结束阶段：客户机与服务器交换结束信息，通信结束。&&&&?&&&&&&&& ?&&&&&&&&SSL协议运行的基点是商家对客户信息保密的承诺。但在上述流程中我们也可以注意到，SSL协议有利于商家而不利于客户。客户的信息首先传到商家，商家阅读后再传至银行，这样，客户资料的安全性便受到威胁。商家认证客户是必要的，但整个过程中，缺少了客户对商家的认证。在在线商务的开始阶段，由于参与在线商务的公司大都是一些大公司，信誉较高，这个问题没有引起人们的重视。随着在线商务参与的厂商迅速增加，对厂商的认证问题越来越突出，SSL协议的缺点完全暴露出来。SSL协议将逐渐被新的在线商务协议（例如SET）所取代。&&&&&&&& 案例：中软塞博电子商务系统安全管理方案&&&&?1)&&&&&&&&2)&&&&&&&&3)&&&&&&&&4)5)&&&&&&&&6)&&&&&&&&中软塞博开发的系统主要采取以下安全措施：系统采取防火墙技术把网络分成对外服务网段和对内服务网段，并采用VPN技术在Internet上实现了企业的虚拟私有网络。采用防火墙技术和应用网关技术，使来自外部的用户看不到系统的业务数据库。所有对系统的合法使用皆是通过对应用服务器的访问完成，这样系统操作人员不能直接看到数据库，杜绝了内部人员的破坏。所有的Web访问对关键信息采用SSL技术进行加密所有的操作均被日志纪录。只有拥有数据库维护权限的模块才有权操作数据库，其他对该数据库的操作只能通过应用Server完成。&&&&&&&& 1.3.SHTTP-secureHTTP及其他协议?1）SHTTP-secureHTTP协议（安全超文本传输协议）?SHTTP（安全超文本传输协议）依靠密钥的加密，使web站点之间交换信息的安全传输得到了保证。它基于SSL技术，扩充了HTTP的安全特性，增加了报文的安全性。该协议为Internet的应用提供了完整性、可鉴别性、不可抵赖性及机密性等安全措施。。&&&&?&&&&&&&& 2）STT安全交易技术协议（SecureTransactionTechnology）?安全交易技术协议由Microsoft公司提出，STT将认证和解密在浏览器中分离开，用以提高安全控制能力。Microsoft将在InternetExplorer中采用这一技术。&&&&?&&&&&&&& 3）UN/EDIFACT标准?UN／EDIFACT标准中的安全措施是在线商务最重要的组成部分，是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN／EDIFACT报文是惟一的国际通用的在线商务标准。利用Internet进行在线商务已成为人们日益关注的领域，保证在线商务的安全成为主要的问题。&&&&?&&&&&&&& UN／EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现：?集成式的途径是通过在UN／EDIFACT报文结构中使用可选择的安全头字段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性；分离式途径则是通过发送3种特殊的UN／EDIFACT报文（即AUTCK、KEYMAN和CIPHER）来达到保障安全的目的。&&&&?&&&&&&&& ?&&&&&&&&?&&&&&&&&?&&&&&&&&4）国际商会制定的《电子交换贸易数据统一行为守则》（UNCID）国际商会1987年制定的《电传交换贸易数据统一行为守则》对解决安全问题作了规定。该规则第6条规定，传送电文的中介人保证，对中转传递的电文未经授权不得改动，并保证不得将其内容透露给未经授权的任何人。该规则第7条规定，电子贸易数据的接收人在收到电文时需发出收买通知。如收电文显示条理不清、形式上不正确或不完整，接收人应尽快将此情况通知送发人。该规则第9条规定，对当事人可采用协议方式，对他们之间交换的数据采用密码方法或其他方法，给予特别保护。&&&&&&&& 1.4.SET安全协议?SET安全协议（SecureElectronicTransactions，简称SET）在开放的Internet上处理在线商务，保证买卖双方传输数据的安全成为在线商务的重要问题。为了克服SSL安全协议的缺点，满足电子交易持续不断地增加的安全要求，以及合乎成本效益的市场要求，Visa国际组织和万事达组织共同制定的一个能保证通过开放网络（包括Internet）进行安全资金支付的技术标准。参与该标准研究的还有Microsoft公司、IBM公司、Netscape公司、RSA公司等。该协议于1997年6月正式实施。&&&&?&&&&&&&& ?&&&&&&&&SET是一个为了在Internet上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款规范。它主要使用电子认证技术，采用RSA公开密钥体系对通信双方进行认证，利用DES、RSA或任何标准对称加密方法进行信息的加密传输，并用Hash算法来鉴别消息真伪，有无篡改。因此，可以为在线商务提供很强的安全保护。&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&SET标准的应用及缺陷SET协议1.0版正式发布以来，大量的现场实验和实施效果获得了业界的支持，促进了SET良好的发展趋势，但细心的观察家也发现了一些问题，这些问题包括:（1）协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。如果在线商店提供的货物不符合质量标准，消费者提出疑议，责任由谁承担。（2）协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的、讲信用的消费者发出的。（3）SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。&&&&&&&& 2.安全认证标准?2.1.认证管理机制?安全认证中心CA是受一个或多个用户信任，提供用户身份验证的第三方机构。目前在世界范围内CA的主要功能都是接收注册请求，处理、批准/拒绝请求，颁发证书。用户向CA提交自己的公共密钥和代表自己身份的信息（如身份证号码或E-mail地址），CA验证了用户的有效身份之后，向用户颁发一个经过CA私有密钥签名的证书。&&&&?&&&&&&&& ?&&&&&&&&认证中心就是一个负责发放和管理数字证书的权威机构。对于一个大型的应用环境，认证中心往往采用一种多层次的分级结构，各级的认证中心类似于各级行政机关，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。处在最高层的是认证中心（RootCA），它是所有人公认的权威，如人民银行总行的CA。&&&&&&&& 2.2.证书标准?证书标准（X.509）PKIX（PublicKeyInfrastructure）公开密钥体制下的证书标准X.509认证机构发放的数字证书主要应用于:?S/MIME协议实现安全的电子邮件系统?通过SSL协议实现浏览器与Web服务器之间的安全通信?通过SET协议实现信用卡网上安全支付。?提供在线商务中认证证书标准。?ISO/IEC/ITUX.509标准对证书格式的定义已被广泛接受（1988年为Ver1，1993年为Ver2，1996年发布Ver3）。&&&&?&&&&&&&& &&&&&&&&?&&&&&&&&?&&&&&&&&2.3.电子出版物查询标准X.500电子出版目录查询标准（目录服务协议LDAPX.500）目录服务是用于网络信息查询的技术。目前网络上有大量的对象信息，这些对象可以是人、组织、国家、计算机，甚至可以是计算机中的某个网络通信进程。人们经常需要查询它们的信息。虽然这些对象在不断变化着，但相对于查询的频率而言，对象信息稳定时间是较长的。另外人们在日常生活中希望记住的是对方的名字，而不是给计算机读的地址，而且地址也比名字更容易变化，所以经常要做“名字-地址”映射。基于这种需求，人们开发了目录服务网络应用。&&&&&&&& ?&&&&&&&&目录中按一定的格式记录了现实世界中大量对象的信息，供用户（人，计算机应用程序等）做各种频繁查询和相对少量的修改。实现目录服务的方式有多种，但目前趋于统一到ITU-TX.500系列建议标准。CCITT在1988年制定了第一版X.500建议，后ITU-T又在1993年做了显著的修订和补充，产生了第二版建议（但版本编号仍为1），ISO接受了此建议，把它作为ISO/IEC9594国际标准。&&&&&&&& X.500系列建议由9个建议组成:?（1）X.500是目录服务的概要介绍。?（2）X.501定义了目录服务的模型。?（3）X.511对目录的各种抽象服务作了定义。?（4）X.518描述分布操作的实现过程。?（5）X.519是传输协议。?（6）X.520和X.521定义了常用对象类和属性。?（7）X.509提出了一种认证的框架。?（8）X.525规定了备份。&&&&?&&&&&&&& ?&&&&&&&&X.500系列建议的目录服务是分布式的。每个目录的用户由一个目录用户代理（DUA）代表，它就是用户用于访问目录服务的进程。在用户看来，整个目录在逻辑上是统一的整体，但实际上目录信息可以分布在不同组织管理的计算机上。这些计算机中运行的相互配合提供服务的进程是目录服务代理（DSA），目录的分布式功能模型。&&&&&&&& 11.5密码学基础&&&&密码与密码学?密码系统及分类?密码算法?数字签名&&&&?&&&&&&&& 密码与密码学&&&&密码（Cryptogram):它与“明码”相对，用基于数学算法的程序和保密的密钥对信息进行编码，生成难以理解的字符串。?密码学（Cryptography):研究加密的科学，密码学是数字数据的实际保护、控制和标识?密码分析（Cryptanalysis):密码分析学是由被开发用来破坏、避开和／或破解第一部分（密码）试图完成的工作的所有尝试组成的&&&&?&&&&&&&& 密码系统&&&&密码分析明文(M)&&&&&&&&加密系统明文(M)加密密钥(K1)密文(C)&&&&&&&&解密系统明文(M)解密密钥(K2)&&&&&&&& 加密系统的分类&&&&对称式加密系统（K1=K2)也称为私钥（PrivateKey)系统?非对称式加密系统（K1K2)也称为公钥（PublicKey)系统?混合加密系统，即采用公钥对私钥进行加密，用私钥对信息进行加密。&&&&?&&&&&&&& 加密算法&&&&古典密码算法?私钥密码系统（DES)?公钥密码系统（RSA）&&&&?&&&&&&&& 古典密码算法&&&&移位加密算法（恺撒密码）?词组密钥密码?分组密钥密码?异或法&&&&?&&&&&&&& 移位加密算法（恺撒密码）&&&&?&&&&&&&&对于任意密钥k将明文的每个字母循环后移k位得到密文，例如：设k=3明文：securemessage密文：vhfxuhphvvdjh&&&&&&&& 词组密钥密码&&&&?&&&&&&&&密钥为２６字母的词组，置换规则为：abcdefghijklmnopqrstuvwxyzk=fivestarbcdghjklmnopquwxzy明文：securemessage密文：osvqnshsoofas&&&&&&&& 分组加密算法&&&&?&&&&&&&&设k为n位二进制数，将明文长度为n的分组进行加密，加密过程为：&&&&k1…kn&&&&m1…mn&&&&&&&&encrypt&&&&&&&&c1…cn&&&&&&&& 加密技术提供的服务&&&&数据保密性?数据完整性?认证?不可否认性&&&&?&&&&&&&& 加密技术的加强强度&&&&算法的强度?密钥的保密性?密钥程度&&&&?&&&&&&&& 传统密钥体制&&&&传统密钥体制又称对称密码体系，即加密和解密使用同一密码的加密体系。?目前较为流行的对称加密算法有：DES、3DES、IDES、RC5、AES等，其中DES是对称加密算法中的代表。&&&&?&&&&&&&& 数据加密标准（DES)&&&&DES是由IBM公司在1970年研制的，日美国国家标准局批准为作为非机密机构的加密标准。?DES是采用传统换位与置换的加密方法的分组密码系统，?其基本原理是：&&&&?&&&&&&&&?混淆：将名文转化成其他样子?扩散：明文中的任何一个小地方的变更都将&&&&&&&&扩散到密文的各部分&&&&&&&& DES算法原理&&&&?&&&&&&&&?&&&&&&&&DES算法是一种分组密码算法。DES算法每次取明文中连续的64位数据，利用64位密钥（其中有8位属于奇偶校验位），经过一连串（16次循环）的组加密算法（替换和移位）将其转换成64位的数据（密文）。反复执行上述过程，就可将全部明文加密成密文。以上替换的目的是制造混乱，移位的目的是扩散。算法的强度通过16次循环来实现。&&&&&&&& DES算法加密过程&&&&?&&&&&&&&?&&&&&&&&?&&&&&&&&首先，将64位明文进行初始排列，以打乱明文的顺序。其次，将所得的64位数据一分为二，前32位L0和后32位的R0,然后经过16次循环操作，进行一系列的移位、替换和异或操作；最后，经过最终排列。得到该组的密文，最终排列是初始排列的逆。&&&&&&&& DES的特点&&&&优点：?加解密速度快?可以结合硬件加密问题?密钥的传输必须安全，不能和密文使用相同的传输渠道，对称密钥的管理和分发工作是一件具有潜在危险和繁琐的过程。?密钥的数目大，难于管理。?对称加密算法一般不能提供信息完整性的鉴别。&&&&&&&& 公开密钥密码体制&&&&?&&&&&&&&公开密钥密码体制又称非对称式加密体系，即加密和解密过程分别使用两个不同的密钥体系，目前，用于公钥加密的典型算法有：RSA、背包算法、Rabin算法、概率加密算法、McEliece算法等，其中RSA算法为代表。&&&&&&&& RSA公钥密码系统&&&&R.Rivest、A.Shamir、L.Adleman，1977?RSADataSecurityInc.,RSALab.1982?RSA公司和RSA实验室在公开密钥密码系统的研究和商业应用推广方面有举足轻重的地位。&&&&?&&&&&&&& RSA密码系统的实现&&&&甲方&&&&加密系统解密系统&&&&&&&&乙方&&&&&&&&明文(M)&&&&乙方公钥&&&&&&&&密文(C)&&&&乙方密钥&&&&&&&&明文(M)&&&&&&&& RSA算法原理&&&&?&&&&&&&&RSA算法基于大数的因子分解，数的位数越多，因数分解越困难，RSA算法自1978年公布至今，虽然对其进行大量的密码分析，至今仍然没有有效的方法，因此可以确保RSA算法的安全性。&&&&&&&& RSA算法原理&&&&?1)&&&&2)3)4)5)&&&&&&&&Pk是公开密钥，Sk是私有密钥，它们虽然成对出现，但却不能根据Pk计算出Sk，它们需满足以下条件：加秘密钥Pk对明文X加密后，再用解密密钥Sk解密，即可恢&&&&复出原文。加密密钥不能用来解密。&&&&在计算机上可以容易地产生成对的Pk和Sk。从已知的Pk实际上不可能推导出Sk。加密和解密的运算可以对调。&&&&&&&& RSA算法原理&&&&?&&&&&&&&既然Pk和SK是一对存在相互关系的密钥，那么从其中一个推导出另一个是有可能的，如何找到一个合适的算法生成合适的Pk和SK，并且使得从Pk不可能推导出SK，为了解决这个问题，密码学家们参考了数学上陷门单项函数。单项函数的加密函书比较容易计算，而计算其逆函数（即解密函数）却很困难。为提高保密强度，RSA密钥至少为500位长，一般推荐使用1024位。&&&&&&&& RSA算法的安全性：n该多大？&&&&&&&&&&&&?&&&&&&&&?&&&&&&&&最简单的考虑是加厚我们的“盾”，即n取得更大。RSA实验室认为，512比特的n已不安全，在1998年后应停止使用。RSA实验室建议?个人应用需用768比特的n,?公司要用1026比特的n，?极其重要的场合应该用2068比特的n。RSA实验室还认为，768比特的n可望到2006年保持安全。&&&&&&&& RSA算法原理&&&&该算法基于以下的两个事实：?已有确定一个数是不是质数的快速算法?尚未找到确定一个合数的质因子的快速算法?RSA算法过程如下：?任意选取两个不同的大质数p和q,计算乘积r=p*q.?任意选取一个大整数e,e与（p-1）X(q-1)互质,整数e用做加密密钥。（整数e的选取是很容易的，假如，所有大于p和q的质数都可用。）?确定解密密钥d:dXe=1mod(p-1)x(q-1)根据e、p和q可以容易地算出d。?公开整数r和e,但是不公开d.?将明文p加密为密文C,计算方法为：C=Pemodr?将密文C解密为明文P,计算方法为：P=Cdmodr只根据r和e（不是p和q）要计算出d是不可能的，因此，任何人都可对明文进行加密，但只有授权用户才可对密文解密。&&&&?&&&&&&&& RSA的特点&&&&解密速度慢?密钥生成费时?初期系统成本高&&&&?&&&&&&&& 11.6电子签名技术&&&&电子签名法简介&&&&?&&&&&&&&传统交易中，为了保证交易安全，一份书面合同一般要由当事人签字或盖章，能够让交易对方识别是谁签的合同，并能保证签字或者盖章的人认可合同的内容，法律上才承认这份合同是有效的。电子商务中，合同或者文件是以电子的形式表现和传递的，传统的手写签字和盖章无法进行，必须靠技术手段替代。因此需要一种电子签名的手段，这种电子签名必须能够在电子文件中识别交易人的身份，保证交易安全，起到与手写签字或者盖章同等的作用。&&&&&&&& 电子签名法简介&&&&?&&&&&&&&《电子签名法》共5章36条，包括：总则、数据电文、电子签名与认证、法律责任和附则。主要解决了以下几个问题：一是确立了电子签名的法律效力；二是规范了电子签名的行为；三是明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序；四是规定了电子签名的安全保障措施；五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门。&&&&&&&& 电子签名法简介&&&&?&&&&&&&&《电子签名法》中明确规定自日起施行，即自日起，有关数据电文、电子签名与认证以及违反本法规定应当承担责任都应当执行本法的规定。按照国际通行的原则，法律不溯及以往，也就是说，新的法律规定不能调整法律生效前已经发生的违反新法律的事实和行为，但是如果其事实和行为在新法生效前发生并延续到新法实施后，则应当适用新法。&&&&&&&& 电子签名的概念、实现方法及功能&&&&&&&&&&&&1.电子签名的概念&&&&签名，一般是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号，以确定签名人的身份，并确定签名人对文件内容予以认可。传统的签名必须依附于某种有形的介质，而在电子交易过程，文件是通过数据电文的发送、交换、传输、储存来形成的，没有有形介质，这就需要通过一种技术手段来识别交易当事人、保证交易安全，以达到与传统手写签名相同的功能。电子签名要能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵懒性，要起到与手写签名或者盖章同等作用。&&&&&&&& 电子签名的概念、实现方法及功能&&&&?&&&&?&&&&&&&&?&&&&&&&&1.电子签名的概念联合国贸发会的《电子签名示范法》中对电子签名作如下定义：“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”；在欧盟的《电子签名共同框架指令》中规定：“以电子形式所附或在逻辑上与其他电子数据相关的数据，作为一种判别的方法”称电子签名。&&&&&&&& 电子签名的概念、实现方法及功能&&&&?&&&&&&&&1.电子签名的概念?在我国的《中华人民共和国电子签名法》第二条中规定：“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并标明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”&&&&&&&& 电子签名的概念、实现方法及功能&&&&电子签名的概念具体来说，电子签名的概念包括以下内容：&&&&1.&&&&?&&&&?&&&&&&&&?&&&&&&&&（1）电子签名是以电子形式出现的数据；（2）电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分，也可以是数据电文的附属，与数据电文具有某种逻辑关系、能够使数据电文与电子签名相联系；（3）电子签名必须能够识别签名人身份并表明签名人认&&&&可与电子签名相联系的数据电文的内容。&&&&&&&& 电子签名的概念、实现方法及功能&&&&&&&&&&&&1.电子签名的概念电子签名具有多种形式，诸如：附着于电子文件的手写签名的数字化图像，包括采用生物笔记鉴别法所形成的图像；向收件人发出正式发送人身份的密码、计算机口令；采用特定生物技术识别工具，如指纹或是眼虹膜透视辨别法等。无论采用什么样技术手段，只要符合本条规定的条件，就是本法所称的电子签名。&&&&&&&& 电子签名的概念、实现方法及功能&&&&电子签名的概念《电子签名法》还对可靠的电子签名做出如下规定：“第十三条电子签名同时符合下列条件的，视为可靠的电子签名：&&&&1.&&&&?&&&&&&&&（一）电子签名制作数据用于电子签名时，属于电子签名人专有；不可否认。（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择符合其约定的可靠条件的电子签名。”&&&&&&&& 电子签名的概念、实现方法及功能&&&&2．电子签名的实现方法&&&&目前，实现电子签名的方法有好多种技术手段，前提是在确认了签署者的确切身份即经过认证之后，人们可以用多种不同的方法签署一份电子记录。这些方法有：基于PKI的公钥密码技术的数字签名；或用一个独一无二的以生物特征统计学为基础的识别标识，例如手书签名和图章的电子图像的模式识别；手印、声音印记或视网膜扫描的识别；一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN；基于量子力学的计算机等等。但比较成熟的，使用方便具有可操作性的，在世界先进国家和我国普遍使用的电子签名技术还是基于PKI（PublicKeyInfrastructure，公钥基础设施）的数字签名技术。&&&&&&&& 电子签名的概念、实现方法及功能&&&&3．电子签名的功能?传统的签名主要有三个功能：一是证明文件的来源，即识别签名人；二是表明签名人对文件内容的确认；三是构成签名人对文件内容正确性和完整性负责的根据。&&&&?&&&&&&&& 电子签名的概念、实现方法及功能&&&&3．电子签名的功能可靠的电子签名也能够与传统商务活动中的签名盖章具有相同的功能。这是因为：l其一、可靠的电子签名的这两个条件保证了能够通过电&&&&子签名来识别签名人的身份的真实性。l其二、能够保证数据电文的完整性，即数据电文从发出起没有被修改过。这也就表明了签名人对数据电文内容的确认。l其三、上述两点足以证明签名人必须对数据电文内容的正确性和完整性负责，即签名人对发出的数据电文是无法抵赖的。&&&&&&&& 电子签名的概念、实现方法及功能&&&&3．电子签名的功能?除了传统的签名所具有的三个功能外，基于PKI技术的数字签名还具有三项新增的功能：&&&&?&&&&&&&&&&&&?&&&&&&&&其一、保密功能。其二、识别机器的身份。其三、数字时间戳、VPN（虚拟专用网）证书、软件发行者证书等其他新增功能。&&&&&&&& 数字签名技术&&&&?&&&&?&&&&&&&&1．什么是数字签名&&&&数字签名在ISO7498-2标准中定义为：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”。美国电子签名标准对数字签名作了如下解释：“利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性”。按上述定义PKI提供可以提供数据单元的密码变换，并能使接收者判断数据来源及对数据进行验证。&&&&&&&& 数字签名必须满足的条件&&&&签名是真实的。?签名是不可伪造的.?签名是不可重用的.?签名是不可更改的.?签名是不可抵赖的&&&&?&&&&&&&& DES数字签名算法&&&&?&&&&&&&&?&&&&&&&&DES用于数字签名，就像DES算法一样，加密和解密使用同一密钥，密钥是必须严格保密的。使用这种密码系统时，密钥的保密性不仅能保证消息的保密性，还能保证消息的真实性。但不能防止伪造信息。通常需要一个仲裁方。在电子银行的环境里，这里的仲裁方，实际上就是各级交换中心。交换中心作为仲裁方，必须是通信各方可信赖的、公正的第三方。因此，这种数字签名可用于银行专用网内的数据通信，以保证网络中传输消息的安全性。&&&&&&&& DES数字签名算法&&&&&&&&&&&&?&&&&?&&&&&&&&&&&&&&&&假设发送方S和仲裁方A有相同的密钥Ks,而接受方R和仲裁方A由此相同的密钥Kr.如果消息具有不可伪造性和真实性两个要求。若是用对称密钥的数字签名协议，实现上述要求的做法是：（1）S先发送加密信息给A.(2)A使用Ks解密出明文M,在证实信息确实来自于S之后，A使用Kr发送带有S信息的加密信息E((M,S,E(M,Ks)),Kr)给R.(3)R接到使用密钥Kr加密的消息后，用Kr解密，得到M,S和E(M,Ks)三个消息，并按S的指令M进行操作。若要求不可否认性，则R还将执行M的结果，M’以密文的方式回送A.(4)A解密收到的消息，证实R执行了A的指令，并使用Ks发送带有A信息的加密信息E((M’,E(M’,Kr)),Ks)给S.(5)S解密收到的消息，得知R执行的结果和相关证据E(M’,Kr).&&&&&&&& 用公钥系统实现数字签名&&&&甲方&&&&签名系统验证系统&&&&&&&&乙方&&&&&&&&明文(M)&&&&甲方密钥&&&&&&&&密文(C)&&&&甲方公钥&&&&&&&&明文(M)&&&&&&&& RSA数字签名算法&&&&?&&&&&&&&?&&&&&&&&在电子银行和电子商务中广泛采用公开密钥做数字签名。在RSA下，加密E和解密D是可以交换的，因此,可以保证信息的真实性和不可伪造性，但不能保证消息的保密性。因为知道S公开密钥的所有人，都能解密S发出的消息。可用两次加密方法来克服这一缺陷。&&&&&&&& RSA数字签名算法&&&&S发送经过两次加密的如下消息给R:E(Ｅ(M,Kspriv),S),Kspub)注：这里的公钥是Ｒ的。R收到该消息后，则可用自己的保密密钥作交换，以进行第一次解密：D(E((Ｅ(M,Kspriv),S),Kspub),Kspriv)=(Ｅ(M,Kspiv),S)注：黑体的私钥是Ｒ的。第二次解密：Ｄ(Ｅ(M,Kspiv)，Ｋspub)＝M注：这里的公钥是Ｓ的。&&&&?&&&&&&&& 报文摘要(MessageDigest)算法&&&&&&&&&&&&?&&&&&&&&报文摘要算法，即生成数字指纹的方法在数字签名中有重要作用。报文摘要算法是一类特殊的散列函数（hash函数），要求：-接受的输入报文数据没有长度的限制；-对任何输入报文数据生成固定长度数字指纹输出；-由报文能方便地算出摘要；-难以对指定的摘要生成一个报文,由该报文可以得出指定的摘要；-难以生成两个不同的报文具有相同的摘要。报文摘要算法的适用性和单向性&&&&&&&& 报文摘要(MessageDigest)算法MD5&&&&?&&&&&&&&?&&&&?&&&&&&&&?&&&&&&&&从八十年代末到九十年代，Rivest开发了好几种RSA公司专有的报文摘要算法，包括MD、MD2、MD5等。MD5生成的“数字指纹”长128bits。1996年有一个研究报告称，可以花费$10,000,000去制造一台专门机器，针对MD5搜索两个不同的报文具有相同的摘要，即“碰撞”，平均用26天才能找到一个碰撞。至今，MD5仍被认为是一个安全的报文摘要算法。&&&&&&&& Ｈash数字签名算法&&&&流程如下?发送方首先用Ｈash函数将需要传送的消息转换成报文摘要．?发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字．?发送方把加密后的数字签字附加在要发送的报文后面，传递给接受方．?接受方使用发送方的公有密钥对数字签字进行解密，得到发送方的消息摘要．?接受方用Ｈash函数将接受到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏．&&&&&&&& 报文摘要数字签名系统&&&&&&&&摘要&&&&报文报文+摘要&&&&&&&&签名&&&&&&&&签名验证&&&&报文+签名摘要&&&&&&&&摘要验证&&&&&&&& 数字签名技术&&&&数字签名的技术实现?单向认证?双向认证&&&&?&&&&&&&&图3.1双向认证过程&&&&&&&& 数字签名技术&&&&数字签名的技术实现?（2）数字签名与验证&&&&?&&&&?&&&&&&&&网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分，即签名与验证。&&&&&&&&图3.2数字签名原理&&&&&&&& 数字签名&&&&保证信息的完整性?保证信息来源的可靠性?保证信息的不可否认性&&&&?&&&&&&&& 双签名技术&&&&&&&&&&&&?&&&&&&&&为了解决网上交易的多边支付过程中三方之间信息安全传递的问题，产生了双签名技术。双签名技术的实现步骤：信息的发送方对发送到甲的信息生成信息摘要１。信息的发送方对发送到乙的信息生成信息摘要２。信息的发送方对信息摘要１和消息摘要２和在一起，生成信息摘要３，并用自己的私钥签名信息摘要。信息的发送方对信息摘要１、信息摘要２和信息摘要３的签名发给甲。信息的发送方对信息摘要２、信息摘要１和信息摘要３的签名发给乙。甲收到信息后，对信息摘要１生成信息摘要，把这个信息摘要和收到的信息摘要２合在一起，生成新的信息摘要，同时使用信息发送方的公钥对信息摘要３的签名进行验证，以确认信息发送方的身份和信息是否被修改过。乙收到信息后，对信息摘要２生成信息摘要，把这个信息摘要和收到的信息摘要１合在一起，生成新的信息摘要，同时使用信息发送方的公钥对信息摘要３的签名进行验证，以确认信息发送方的身份和信息是否被修改过。&&&&&&&& 数字时间戳&&&&?&&&&&&&&?&&&&&&&&数字时间戳技术是数字签名技术一种变种的应用。数字时间戳服务（ＤＴＳ）就能提供电子文件发表时间的安全保护。数字时间戳服务采用强加密措施颁发时间戳，该时间戳将一个具体的日期和时间与数字文件关联在一起。时间戳是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件摘要、ＤＴＳ收到文件的日期和时间、ＤＴＳ的数字签名。ＤＴＳ是认证单位。&&&&&&&&?&&&&&&&&全管理&&&&&&&& 11.7“网证通”个人数字证书签发安全电子邮件&&&&（一）OutlookExpress6说明?安全电子邮件S/MIME(Secure/MultipurposeInternetMailExtensions)是因特网中用来发送安全电子邮件的协议。S/MIME为电子邮件提供了数字签名和加密功能。该标准允许不同的电子邮件客户程序彼此之间收发安全电子邮件。为了使用安全电子邮件S/MIME，必须使用支持S/MIME功能的电子邮件程序。&&&&?&&&&&&&& ?&&&&&&&&OutlookExpress6是户常用的客户端电子邮件收发软件，能够自动查找安装在计算机上的数字证书，将它们同邮件帐户相关联，并自动将别人发送给您的数字证书添加到通讯簿中。可使用数字证书进行对邮件进行签名和加密。签名一个电子邮件就意味着将你的数字证书附加到电子邮件中，接收方就可以确定你的真实身份。签名提供了验证功能，但无法保护信息内容的隐私，第三方有可能看到其中的内容。加密邮件意味着只有指定的收信人才能阅读该邮件的内容。为了发送签名邮件，你必须有自己的数字证书；为了加密邮件，你必须有收信人的数字证书。&&&&&&&& （二）实验目的和内容&&&&⑴掌握在OutlookExpress6.0中设置电子邮箱和证书的方法；?⑵掌握发送证书签名邮件和加密邮件的方法；&&&&?&&&&&&&& （三）实验操作指导&&&&?&&&&&&&&1.在OutlookExpress6.0中设置电子邮箱操作指导&&&&&&&& 在OutlookExpress6.0中单击菜单上的“工具”→“帐号”&&&&&&&& 2.在OutlookExpress设置数字证书操作指导&&&&&&&& 3.用OutlookExpress6发送数字签名邮件操作指导&&&&&&&& ?&&&&&&&&单击OutlookExpress6窗口中的“新邮件”按钮，撰写新邮件内容，填写好收件人邮箱地址和邮件主题。选取“工具”菜单中的“数字签名”项或工具条上的“签名”按钮，在邮件收件人的右侧会出现一个红色的“签名”标牌，&&&&&&&& ?&&&&&&&&3）当收件人收到并打开有数字签名的邮件时，将看到“数字签名邮件”的提示信息（用户可以设置下次不提示该信息），按“继续”按钮后，才可阅读到该邮件的内容。若邮件在传输过程中被他人篡改或发信人的数字证书有问题，页面将出现“安全警告”提示。在收件箱中，当邮件未阅读或签名未检查时，签名证书标志出现在未拆封信封图标（在发件人姓名前）的右侧；当双击邮件进行安全检查后，证书标志出现在已拆封的信封图标的左侧。&&&&&&&& 4.用OutlookExpress6发送加密邮件操作指导&&&&&&&& ?&&&&&&&&1）要发送加密电子邮件，你需要有收件人的数字证书。获得收件人数字证书的方法可以是让对方给你发送带有其数字签名的邮件。将该邮件打开后，在会右边看到对方的证书标志，如图3-32所示。单击该标识，找到“安全”项，单击“查看证书”按钮，可以查看“发件人证书”；单击“添加到通讯簿”按钮，在通讯簿中保存发件人的加密首选项，这样对方数字证书就被添加到你的通讯簿中。有了对方的数字证书，你就可以向对方发送加密邮件了。&&&&&&&& 2）在OutlookExpress6中撰写新邮件或者回复已经收到的邮件，写好邮件内容后，选取“工具”菜单中的“加密”项或单击工具栏上的“加密”按钮，邮件的右侧将会出现一个蓝色的锁型加密标识。该邮件也可以同时使用发件人的数字签名。&&&&&&&& ?&&&&&&&&3）当收件人收到并打开已加密过的邮件时，将看到加密邮件的提示信息，按“继续”按钮后，可阅读到该邮件的内容。当收到加密邮件时，完全有理由确认邮件没有被其他任何人阅读或篡改过，因为只有在收件人自己的计算机上安装了正确的数字证书，OutlookExpress才能自动解密电子邮件；否则，邮件内容将无法显示。&&&&&&&& 思考与练习&&&&1.从网上银行和金融专用网的运行环境出发，试分析比较二者的安全特点和需要采用的安全技术。2.试说明防火墙的安全机制。你认为电子银行应采用哪种防火墙配置？为什么？3.试说明SSL的主要功能和如何保证网上数据传输安全的。4.试说明用银行卡进行安全网上支付的商业需求。SET是如何保证实现这些需求的？5.网上购物时，持卡人要将订购消息OI发给商户而不让银行知晓，将与OI相关的支付信息PI发送给银行而不让商户知晓，试讨论有哪些办法可将这两条消息分别安全地传送到不同的接收方？6.PKI是如何通过提供验证、加密、完整性和不可否认性，为电子商务营造安全可靠环境的？7.试说明CFCA的体系、结构和功能。8.试说明计算机病毒的特性、主要类型和防治方法。&&&&&&&&
分享给好友:
All Rights Reserved 图宝贝
本站声明：本站所转载之内容，无任何商业意图，如本网站转载稿件涉及版权、著作权等问题，请您来函与本站管理员取得联系,友情链接请加QQ,要求PR 或者 BR >=2（联系方式：QQ ）