【学习目标】

       1．了解电子商务面临的安全威胁以及安全需求。 

       2．了解电子商务安全的体系结构。 

       3．了解电子商务网络安全的相关知识。 

       4．掌握数字加密技术、数字摘要、数字签名、数字信封、数字时间戳和认证技术。 

       5．掌握电子商务安全协议

学习重点：
       1．电子商务安全体系结构
       2．数字加密技术
       3．数字认证技术
       4．电子商务安全协议

学习难点：
       1．数字签名和数字信封技术的工作原理
       2．SSL和SET的工作流程

建议学习次序：

       一、实验目的

       (1)熟悉数字证书的获取和保存 

       (2)学会数字证书的导入 

       (3)掌握数字证书安装。 

       二、实验过程

       (1)在中国数字认证网申请合适的数字证书。 

       ① 登录中国数字认证网（http://www.ca365.com）。 

       ② 点击“立即注册”，注册成为会员。 

       ③ 下载并按照向导安装根CA证书。 

       ④ 点击免费证书项下的“用表格申请证书”，填写个人信息申请获取数字证书序列号并下载合适的数字证书。 

       ⑤ 按照向导进行操作，生成证书。 

       (2)从下载的证书中获得并保存适合本地机使用的数字证书文件。 

       ① 按照证书安装向导安装证书。 

       ② 如果证书下载后成功安装，从浏览器的“工具”菜单中选择“Internet选项”，然后选择“内容”标签，点击“证书”，选择“个人”标签，列表中应该有相应的根证书。 

       ③ 选择所要证书，点击“导出”按钮。 

       注意：“私钥”为用户个人所有，不能给泄露其他人，否则别人可以用它以你的名义签名。如果是为了保留证书备份而复制证书，选择“导出私钥”，如果为了给其他人你的“公钥”，为你发送加密邮件或其它用途，不要导出私钥。如果在申请证书时没有选择“标记密钥为可导出”，则不能导出私钥。 

       ④ 选择导出文件格式。 

       ⑤ 输入私钥保护密码，如果在申请证书时没有选择“启用严格密钥保护”，没有密码提示，点击“下一步”。 

       ⑥ 输入文件名，按提示进行操作，直至导出证书。 

       (3)将适合自身使用的数字证书文件中导入本地机安装的数字证书。 

       ① 点击“导入”按钮，出现证书导入向导。 

       ② 输入文件名，按提示进行操作，直至导入成功。 

       (4) 将根证书安装到本地计算机。 

       这部分内容只对需要进行客户认证的服务器有用，即：只有当服务器需要对访问的用户进行身份认证时（需要用户在访问服务器时出示自己的证书），才需要将根证书安装到服务器的本地计算机。 

       ① 从Windows桌面选择“开始”、“运行”，在“运行”窗口里输入“mmc”，点击“确定”，弹出控制台窗口。 

       ② 从“文件”菜单选择“添加/删除管理单元”，选择“证书”，添加到管理单元中。 

       ③ 选择“计算机帐户”，点击“下一步”，选择“本地计算机”，点击“完成”。 

       ④ 关闭其它窗口后，在“控制台”窗口，控制台根节点的下面多了“证书（本地计算机）”，打开后选择“受信任的根证书颁发机构”中的“证书”，选择“操作”、“所有任务”、“导入”，按照提示导入根证书。

1．你在上网的时候是否遇到过诸如账户被盗、信息被篡改、钓鱼网站等网络不安全的问题，你觉得你遇到的问题应该如何解决？

2．分析一下数字签名方式是否安全，数字签名和纸面签名有何相同之处，又有哪些区别？

                                                山东大学王小云教授成功破解MD5

      2004年8月17日，在美国加州圣巴巴拉，正在召开的国际密码学会议安排了三场关于杂凑函数的特别报告。在国际著名密码学家Eli Biham和Antoine Joux相继做了对SHA-1的分析与给出SHA-0的一个碰撞的报告之后，来自山东大学的王小云教授做了破译MD5、HAVAL-128、MD4和RIPEMD算法的报告。 

      王小云教授的研究成果作为密码学领域的重大发现宣告了固若金汤的世界通行密码标准MD5的堡垒轰然倒塌，引发了密码学界的轩然大波。 

       Hash函数，又称杂凑函数，是在信息安全领域有广泛和重要应用的密码算法，它有一种类似于指纹的应用。在网络安全协议中，杂凑函数用来处理电子签名，将冗长的签名文件压缩为一段独特的数字信息，像指纹鉴别身份一样保证原来数字签名文件的合法性和安全性。在前面提到的SHA-1和MD5都是目前最常用的杂凑函数。经过这种算法的处理，原始信息即使只更动一个字母，对应的压缩信息也会变为截然不同的“指纹”，这就保证了经过处理的信息的唯一性，为电子商务等提供了数字认证的可能性。 

       MD5曾是一个在国内外有着广泛应用的杂凑函数算法，它曾一度被认为是非常安全的。然而，王小云教授发现，可以很快地找到MD5的漏洞，那就是两个文件可以产生相同的“指纹”。这意味着，当你在网络上使用电子签名签署一份合同后，还可能找到另外一份具有相同签名但内容迥异的合同，这样两份合同的真伪性便无从辨别。王小云教授的研究成果证实了利用MD5算法的漏洞可以严重威胁信息系统安全，这一发现使目前电子签名的法律效力和技术体系受到了挑战。因此，业界专家普林斯顿大学计算机科学教授Edward Felten等强烈呼吁信息系统的设计者尽快更换签名算法，而且他们强调这是一个需要立即解决的问题。 

       一石击起千层浪，MD5的破译引起了密码学界的强烈反响。专家称这是密码学界近年来“最具实质性的研究进展”，各个密码学相关网站竞相报导这一惊人突破。 

       MD5破解工程权威网站http：//www.md5crk.com是为了公开征集专门针对MD5的攻击而设立的，网站于2004年8月17日宣布：“中国研究人员发现了完整MD5算法的漏洞；Wang，Feng，Lai与Yu公布了MD5、MD4、HAVAL-128、RIPEMD-128几个Hash函数的漏洞。这是近年来密码学领域最具实质性的研究进展。使用他们的技术，在数个小时内就可以找到MD5的漏洞……由于这个里程碑武的发现，MD5CRK项目将在随后48小时内结束。”

      思考问题： 

      1．根据案例的描述，Hash函数具有哪些特点？ 

      2．案例中的问题体现了系统安全所存在的哪些问题？

Q：什么是电子商务安全？ 

A：电子商务安全是指计算机系统结构、网络通信、应用环境等保证电子商务实现的要素不受威胁，没有危险、危害和损失。

Q：防火墙的基本思想是什么？ 

A：防火墙技术的基本思想是让所有对系统的访问都通过保护层，尽可能地对所保网络的信息和结构进行屏蔽。

Q：什么是入侵检测技术？ 

A：入侵检测系统（Intrusion Detection System，IDS）是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性。

Q：什么是数字证书？ 

A：数字证书也称公开密钥证书或称为数字凭证、数字标识，是一个经证书认证机构数字签名的、包含用户身份信息以及公开密钥信息的电子文件。

Q：电子商务安全协议都包括哪些？ 

A：安全嵌套层协议 

      安全电子交易协议