《电子商务》第6章 电子商务的安全措施

China-pul coM 下载 第6章电子商务的安全措施 6.1引子 吉姆·洛克哈特( Jim loc khart)在周二晚上发现出了问题,开发各项目的软件工程师不 断报怨说计算机死机了,文件也不见了。吉姆仔细询问每个软件工程师,有些人说他们在 Windows2000桌面上一直打开着一个电子邮件客户机程序,但只是偶尔读一下邮件。所有软 件工程师遇到的情况都类似:他们正在读电子邮件,但打开一个电子邮件的附件时计算机就 开始不正常了,第一个症状是当前所打开文件的长度变成了0字节 吉姆·洛克哈特所在的CSD公司受到了Worm. ExploreZip病毒的攻击。此病毒既是蠕虫又 是病毒,它隐藏在一个电子邮件里,此电子邮件作为其他电子邮件的附件,名为 zipped_ files. exe”。当一个用户向一台感染了worm. ExploreZip病毒的计算机发送电子邮件时, 发件人就会收到一个回复的电子邮件,内有破坏性的内容,回复邮件的信息看起来是无害的 Hi (Recipient Name)! I received your email and I shall send you a reply ASAP. Till then take a look at the attached zipped docs.Bye”大意是“(接收者的名字),你好!我收到了你的 邮件,我会尽快给你回复。请先看一下压缩的附件,再见。”一旦毫无警惕的收件者打开这个 附件,蠕虫就开始破坏工作:检査硬盘并删除文件。当用户注意到这个破坏性程序时,一切 都太晚了。洛克哈特把这个程序称作“病毒”或者“蠕虫”,破坏的结果是不同的,每种情况 需要不同的解决办法。从此案例得到的教训是所有用户都要尽可能不间断地使用所有的安全 工具。包括时间和金钱在内的资源都处在威胁中 保护构成电子商务系统的电子资产对电子商务的生存是必需的。电子世界一定要对付那 些旨在破坏、延迟或拒绝在消费者和生产者之间的信息传输和信息流的病毒、蠕虫、特洛伊 木马、窃听者和破坏程序。这些破坏会带来高达数十亿美元的损失,因此,我们必须不断开 发各种各样的安全保护措施,使消费者在与这些在线系统交互或交易时提高信心。本章讲述 保护客户机、商业信息传输所经的因特网及电子商务服务器的安全措施。 学习目标 什么安全措施可降低或消除侵犯知识产权的行为。 ·如何保护客户机不受病毒和下载页面而带来的有恶意的程序和脚本的攻击。 如何向服务器认证用户,如何认证服务器。 保护客户机和服务器之间安全传输信息的机制。 ·如何保证消息的完整性,防止消息在因特网上传输时被别的程序改变。 可供电子商务服务器认证用户的保护措施。 防火墙如何保护内部网和公司服务器不受来自因特网的攻击 安全套接层( Secure Socket Layer,SSL)、安全HTP和安全电子交易协议在保护电子商 务中起什么作用

下载 第6章 电子商务的安全措施 6.1 引子 吉姆·洛克哈特（Jim Lockhart）在周二晚上发现出了问题，开发各项目的软件工程师不 断报怨说计算机死机了，文件也不见了。吉姆仔细询问每个软件工程师，有些人说他们在 Windows 2000桌面上一直打开着一个电子邮件客户机程序，但只是偶尔读一下邮件。所有软 件工程师遇到的情况都类似：他们正在读电子邮件，但打开一个电子邮件的附件时计算机就 开始不正常了，第一个症状是当前所打开文件的长度变成了 0字节。 吉姆·洛克哈特所在的 C S D公司受到了Wo r m . E x p l o r e Z i p病毒的攻击。此病毒既是蠕虫又 是病毒，它隐藏在一个电子邮件里，此电子邮件作为其他电子邮件的附件，名为 “z i p p e d _ f i l e s . e x e”。当一个用户向一台感染了 Wo r m . E x p l o r e Z i p病毒的计算机发送电子邮件时， 发件人就会收到一个回复的电子邮件，内有破坏性的内容，回复邮件的信息看起来是无害的： “H i（Recipient Name）! I received your email and I shall send you a reply ASAP. Till then， take a look at the attached zipped docs. Bye.”大意是“（接收者的名字），你好！我收到了你的 邮件，我会尽快给你回复。请先看一下压缩的附件，再见。”一旦毫无警惕的收件者打开这个 附件，蠕虫就开始破坏工作：检查硬盘并删除文件。当用户注意到这个破坏性程序时，一切 都太晚了。洛克哈特把这个程序称作“病毒”或者“蠕虫”，破坏的结果是不同的，每种情况 需要不同的解决办法。从此案例得到的教训是所有用户都要尽可能不间断地使用所有的安全 工具。包括时间和金钱在内的资源都处在威胁中。 保护构成电子商务系统的电子资产对电子商务的生存是必需的。电子世界一定要对付那 些旨在破坏、延迟或拒绝在消费者和生产者之间的信息传输和信息流的病毒、蠕虫、特洛伊 木马、窃听者和破坏程序。这些破坏会带来高达数十亿美元的损失，因此，我们必须不断开 发各种各样的安全保护措施，使消费者在与这些在线系统交互或交易时提高信心。本章讲述 保护客户机、商业信息传输所经的因特网及电子商务服务器的安全措施。 学习目标 • 什么安全措施可降低或消除侵犯知识产权的行为。 • 如何保护客户机不受病毒和下载页面而带来的有恶意的程序和脚本的攻击。 • 如何向服务器认证用户，如何认证服务器。 • 保护客户机和服务器之间安全传输信息的机制。 • 如何保证消息的完整性，防止消息在因特网上传输时被别的程序改变。 • 可供电子商务服务器认证用户的保护措施。 • 防火墙如何保护内部网和公司服务器不受来自因特网的攻击。 • 安全套接层（Secure Socket Layer, SSL）、安全H T T P和安全电子交易协议在保护电子商 务中起什么作用

inapub.com 第电子南务的安全错133 载 62保护电子商务资产 不管公司是在因特网上做生意还是面对面地开展业务,安全都是很重要的问题。消费类 电子商务中的消费者和企业间电子商务中的企业都需要对交易不被窥探和更改感到放心。目 前在线交易的销售额非常高,而且未来几年内会更高。在电子商务出现前就存在的某些传统 的零售和批发企业未来甚至会在特定的细分市场中消失 30年前,安全主要是指物理安全,即有警报器的门窗、守卫、许可进入敏感地区的人员 所戴的安全徽标和监视摄像机等。那时人与计算机之间的交互主要局限在连接在大型计算机 的哑终端,当时还没有别的计算机连接的方式。那时计算机安全只涉及能访问终端的少数 人。如果想运行程序,需要将程序以穿孔卡的形式提交给读卡器,用户需要从负责输入输出 的人员手里要回自己的输出结果,这些通常是折叠的绿色纸堆。那时安全是很简单的问题。 此后,计算机用户的范围和访问计算资源的手段都发生了巨大变化。现在成千上万的人 都能访问连接了数以万计的计算机网络上的计算资源,但要确定谁在使用哪台计算机上的计 算资源是很不容易的事,因为用户可能身在南非的好望角,用的却是加州伯克利的一台计算 机。今天已有一系列全新的安全工具和方法,并且很好地用于电子资产的保护。诸如电子发 票、采购订单、信用卡号和订单确认等有重要价值的信息传输极大地改变了人们对安全的看 法,并促使新的电子化和自动化的方法应用于安全威胁的处理 数据安全措施可追溯到罗马帝国时代,当时恺撒对信息进行编码,以防止敌人了解到战 争计划。现代的电子安全方法也起源于国防部门,美国国防部一直是安全需求和进步的主要 推动力量。早在20年前,美国国防部就成立了专门的委员会来制订计算机安全制度和处理计 算机上的信息分类。这个委员会的工作成果是可信计算机评价标准,在国防部系统内被称为 橙皮书”(因其封面是橙色),它规定了强制执行的访问控制,把信息分成秘密、机密和绝密 等级别,并制订了计算机认证级别的标准,范围从D(不能处理多级分类文档)到AI(最可 信的级别) 虽然这个工作突破性地定义了安全术语、安全状况和安全测试等内容,但它并没有明确 处理电子商务计算机安全的方式。这个早期的安全工作是卓有成效的,因为这是电子商务安 全研究的雏形,最终导致商用并且实用的安全解决方案。它还提供了较规范的安全研究方法, 如安全专家已明确:如果没有书面的安全策略,就别想构造出安全的电子商务系统,安全 策略内容包括明确哪些资产要进行保护、用什么措施进行保护、分析各种安全威胁的可能性 以及保护这些资产所要执行的各种规定。必须经常检査安全策略,并根据安全威胁的变化而 更新。如果没有书面的安全策略,就很难实现电子商务的安全。 国防安全指南和商业安全指南都声明要保护资产不被泄露、破坏和修改。但军方的安全 策略与商业安全策略不同:军方的应用更强调安全分级:而公司信息通常只分成公开和保密 两级,企业保密信息的安全措施也很简单,即不能将公司的保密信息透露给公司外的任何人。 如第5章所述,安全策略应当保护系统的保密、完整和即需,并能确认用户的身份。具体 到电子商务领域,这些安全目标的形式如图6-1所示。珀杜大学计算机科学系教授、计算机安 全专家尤金·斯帕福德( Eugene Spafford)博士对安全地开展电子商务的重要性有精辟的见 解,他在最近接受“珀杜观察”( Purdue University Perspective)杂志采访时说:“信息的保护 对国防、商务甚至我们的私生活来说都是重要的问题,它同时也是有巨大增长潜力的行业

6.2 保护电子商务资产 不管公司是在因特网上做生意还是面对面地开展业务，安全都是很重要的问题。消费类 电子商务中的消费者和企业间电子商务中的企业都需要对交易不被窥探和更改感到放心。目 前在线交易的销售额非常高，而且未来几年内会更高。在电子商务出现前就存在的某些传统 的零售和批发企业未来甚至会在特定的细分市场中消失。 3 0年前，安全主要是指物理安全，即有警报器的门窗、守卫、许可进入敏感地区的人员 所戴的安全徽标和监视摄像机等。那时人与计算机之间的交互主要局限在连接在大型计算机 上的哑终端，当时还没有别的计算机连接的方式。那时计算机安全只涉及能访问终端的少数 人。如果想运行程序，需要将程序以穿孔卡的形式提交给读卡器，用户需要从负责输入输出 的人员手里要回自己的输出结果，这些通常是折叠的绿色纸堆。那时安全是很简单的问题。 此后，计算机用户的范围和访问计算资源的手段都发生了巨大变化。现在成千上万的人 都能访问连接了数以万计的计算机网络上的计算资源，但要确定谁在使用哪台计算机上的计 算资源是很不容易的事，因为用户可能身在南非的好望角，用的却是加州伯克利的一台计算 机。今天已有一系列全新的安全工具和方法，并且很好地用于电子资产的保护。诸如电子发 票、采购订单、信用卡号和订单确认等有重要价值的信息传输极大地改变了人们对安全的看 法，并促使新的电子化和自动化的方法应用于安全威胁的处理。 数据安全措施可追溯到罗马帝国时代，当时恺撒对信息进行编码，以防止敌人了解到战 争计划。现代的电子安全方法也起源于国防部门，美国国防部一直是安全需求和进步的主要 推动力量。早在 2 0年前，美国国防部就成立了专门的委员会来制订计算机安全制度和处理计 算机上的信息分类。这个委员会的工作成果是可信计算机评价标准，在国防部系统内被称为 “橙皮书”（因其封面是橙色），它规定了强制执行的访问控制，把信息分成秘密、机密和绝密 等级别，并制订了计算机认证级别的标准，范围从 D（不能处理多级分类文档）到 A 1（最可 信的级别）。 虽然这个工作突破性地定义了安全术语、安全状况和安全测试等内容，但它并没有明确 处理电子商务计算机安全的方式。这个早期的安全工作是卓有成效的，因为这是电子商务安 全研究的雏形，最终导致商用并且实用的安全解决方案。它还提供了较规范的安全研究方法， 例如安全专家已明确：如果没有书面的安全策略，就别想构造出安全的电子商务系统，安全 策略内容包括明确哪些资产要进行保护、用什么措施进行保护、分析各种安全威胁的可能性 以及保护这些资产所要执行的各种规定。必须经常检查安全策略，并根据安全威胁的变化而 更新。如果没有书面的安全策略，就很难实现电子商务的安全。 国防安全指南和商业安全指南都声明要保护资产不被泄露、破坏和修改。但军方的安全 策略与商业安全策略不同：军方的应用更强调安全分级；而公司信息通常只分成公开和保密 两级，企业保密信息的安全措施也很简单，即不能将公司的保密信息透露给公司外的任何人。 如第5章所述，安全策略应当保护系统的保密、完整和即需，并能确认用户的身份。具体 到电子商务领域，这些安全目标的形式如图 6 - 1所示。珀杜大学计算机科学系教授、计算机安 全专家尤金·斯帕福德（ Eugene Spaff o r d）博士对安全地开展电子商务的重要性有精辟的见 解，他在最近接受“珀杜观察”（Purdue University Perspective）杂志采访时说：“信息的保护 对国防、商务甚至我们的私生活来说都是重要的问题，它同时也是有巨大增长潜力的行业。 第6章 电子商务的安全措施 1 3 3 下载

134电子商多 Chia° 下载 2000年美国在线商务交易额会超过150亿美元…”显然,稳健的安全对电子商务的健康和持续 发展是至关重要的(可在本书在线版中的 CERIAS链接下了解这个世界最大的信息安全中心的 资料)。 The JavaScript or Java applet was digitally signed with the following certificate The certificate proves who the applet or scnpt is from 认证中心 证书持有 his Certificate belongs to This Certificate was issued b 者姓名 VeriSign, Inc. ensIgn Object Signing CA- Class enSign Object Signing CA- Class www.verisigncom/cpsIncorp.by rial Number: 73: 2F- 8E 7F F5 91: C7-F9: 4E-F8: AB: C2- 32: 66:AB: B5 Certificate Fingerprint: 28: D2 D1: 70:03: 04: 08: 88: 58: 6E44: 51: 94:5D: CE 37 证书有效期 This certificate expires on Tue Jul 06, 1999 图6-1安全目标的形式 本章从资产保护方法的角度来考查安全问题。首先探讨客户机的安全保护方法,然后再 看载体即因特网的安全措施,最后探讨服务器的安全问题 63保护知识产权 保护数字化的知识产权和保护传统的知识产权不同。传统的知识产权(如文字作品、艺 术和音乐等)主要通过国内法律甚至国际法来保护。数字知识产权(包括网站上的艺术图形、 图标和音乐)也受到法律保护。虽然这些法律起到了威慑作用,但并不能阻止侵犯知识产权 的行为发生,无法提供可靠的跟踪罪犯侵犯知识产权的有效方法。数字化的知识产权所面临 的困境是如何在网站上发表知识产权作品的同时又能保护这些作品。迄今为止,绝对的保护 是不现实的,但有些措施可提供一定程度的保护。 美国国会试图通过立法来处理数字化版权的问题。世界知识产权组织(WPO)一直在推 进和监督国际数字化版权的问题。也有些公司为数字化版权持有人提供第一、二代的保护产 品。虽然目前版权案件的数量还不大,但有迹象表明,在美国,版权法已开始应用到因特网 和其他数字媒体上了。代表美国信息技术的贸易组织一一美国信息技术协会(ITAA)已发表 了一部涉及保护数字信息版权的内容广泛的文章,其中的“电脑空间知识产权保护”一节讨 论了目前数字化版权保护的若干问题,并提出了一些解决方案。它描述了三种方案:主机名 阻塞、包过滤和代理服务器。因特网服务提供商(ISP)可用IP阻塞、包过滤或代理服务器来 阻止某个违法网站的访问(参见本书在线版上到这篇文章的链接)。但这些方法无法防止未经 版权所有者允许的盗窃,也无法进行资产识别 还有些方法有希望能保护数字化作品,例如软件测量、数字化水印和数字信封(有时也

2 0 0 0年美国在线商务交易额会超过 1 5 0亿美元…”显然，稳健的安全对电子商务的健康和持续 发展是至关重要的（可在本书在线版中的 C E R I A S链接下了解这个世界最大的信息安全中心的 资料）。 图6-1 安全目标的形式 本章从资产保护方法的角度来考查安全问题。首先探讨客户机的安全保护方法，然后再 看载体即因特网的安全措施，最后探讨服务器的安全问题。 6.3 保护知识产权 保护数字化的知识产权和保护传统的知识产权不同。传统的知识产权（如文字作品、艺 术和音乐等）主要通过国内法律甚至国际法来保护。数字知识产权（包括网站上的艺术图形、 图标和音乐）也受到法律保护。虽然这些法律起到了威慑作用，但并不能阻止侵犯知识产权 的行为发生，无法提供可靠的跟踪罪犯侵犯知识产权的有效方法。数字化的知识产权所面临 的困境是如何在网站上发表知识产权作品的同时又能保护这些作品。迄今为止，绝对的保护 是不现实的，但有些措施可提供一定程度的保护。 美国国会试图通过立法来处理数字化版权的问题。世界知识产权组织（ W P O）一直在推 进和监督国际数字化版权的问题。也有些公司为数字化版权持有人提供第一、二代的保护产 品。虽然目前版权案件的数量还不大，但有迹象表明，在美国，版权法已开始应用到因特网 和其他数字媒体上了。代表美国信息技术的贸易组织——美国信息技术协会（ I TA A）已发表 了一部涉及保护数字信息版权的内容广泛的文章，其中的“电脑空间知识产权保护”一节讨 论了目前数字化版权保护的若干问题，并提出了一些解决方案。它描述了三种方案：主机名 阻塞、包过滤和代理服务器。因特网服务提供商（ I S P）可用I P阻塞、包过滤或代理服务器来 阻止某个违法网站的访问（参见本书在线版上到这篇文章的链接）。但这些方法无法防止未经 版权所有者允许的盗窃，也无法进行资产识别。 还有些方法有希望能保护数字化作品，例如软件测量、数字化水印和数字信封（有时也 1 3 4 电 子 商 务 下载 认证中心 证书持有 者姓名 证书指纹 证书有效期

inapub.com 第电子南务的安全错135 载 叫信息认证码)。当然,这些方法所提供保护的程度差异很大,所有方法都有各自的缺陷,但 确实都能提供一定程度的保护。 人们还在不断地开发新的方法。其中一个很有前途的技术是用信息隐蔽法(参见第5章) 来生成数字水印。数字水印是隐蔽地嵌入在数字图像或声音文件里的数字码或数字流。可对 其内容加密或简单地隐藏在图像或声音文件的字节里。ARIS技术公司提供的数字化音频水印 系统可用来保护因特网上的音频文件,其系统可识别、认证和保护知识产权。ARIS公司的 MusiCode系统可让艺术家监视、识别、控制对其数字化作品的使用,水印不会改变作品声音 的逼真效果。ARIS公司的 Sonicode产品提供了验证和认证工具, Sonicode可保证电话中的对 话不被改变,也可保证声像制品不被修改 Digimarc公司也提供数字水印保护系统和软件,这些产品可在WWW跟踪嵌入数字水印的 作品。另外,数字水印可将浏览者同商务网站和数据库链接起来,也可控制软件和播放设备。 数字水印中还可包含有版权信息和到创作者的链接,这就使作品著作权不能否认,保证了作 品的电子采购和注册。 Softlock服务公司的技术可锁住要在WWW上出售的数字信息文件。使用 Softlock,作者 和版权所有者可只允许采购者打开文件。这就为传输文件提供了一种安全措施,因为这些文 件没有钥匙根本就打不开。图6-2所示为 Softlock公司的主页 Jo7L。cR Digital content its best come to SoftLock.t able digtal content over the Intemet. he e-commerce leader in merchandising breakthrough, patented electronic tem and service offer tively markets and sells brand-name Content Providers benefit from the SoftLock CyberSales Soluton 's ability to SoftLock Affiliates rate,premium digit. utlity and popularity of their web sites And rather Consumers reap the benefits of a universe full of valuable, superior online paper document, it's very easy to use all the valuable information elsewhere 图62 Softlock公司的主页 64保护客户机 客户机(一般指PC机)应当受保护,不受网上下载的软件和数据的安全威胁。第5章已详

叫信息认证码）。当然，这些方法所提供保护的程度差异很大，所有方法都有各自的缺陷，但 确实都能提供一定程度的保护。 人们还在不断地开发新的方法。其中一个很有前途的技术是用信息隐蔽法（参见第 5章） 来生成数字水印。数字水印是隐蔽地嵌入在数字图像或声音文件里的数字码或数字流。可对 其内容加密或简单地隐藏在图像或声音文件的字节里。 A R I S技术公司提供的数字化音频水印 系统可用来保护因特网上的音频文件，其系统可识别、认证和保护知识产权。 A R I S公司的 M u s i C o d e系统可让艺术家监视、识别、控制对其数字化作品的使用，水印不会改变作品声音 的逼真效果。A R I S公司的S o n i C o d e产品提供了验证和认证工具， S o n i C o d e可保证电话中的对 话不被改变，也可保证声像制品不被修改。 D i g i m a r c公司也提供数字水印保护系统和软件，这些产品可在 W W W跟踪嵌入数字水印的 作品。另外，数字水印可将浏览者同商务网站和数据库链接起来，也可控制软件和播放设备。 数字水印中还可包含有版权信息和到创作者的链接，这就使作品著作权不能否认，保证了作 品的电子采购和注册。 S o f t L o c k服务公司的技术可锁住要在 W W W上出售的数字信息文件。使用 S o f t L o c k，作者 和版权所有者可只允许采购者打开文件。这就为传输文件提供了一种安全措施，因为这些文 件没有钥匙根本就打不开。图 6 - 2所示为S o f t L o c k公司的主页。 图6-2 SoftLock公司的主页 6.4 保护客户机 客户机（一般指P C机）应当受保护，不受网上下载的软件和数据的安全威胁。第 5章已详 第6章 电子商务的安全措施 1 3 5 下载

136电子商多 Chinapub.com 下载 细介绍了客户机所面临的各种安全威胁,这里再简单回顾一下:响应浏览器请求而传输到客 户机上的普通页面都是信息的静态显示,这是完全无害的。以动态页面形式从因特网上传输 来的活动内容就不同了,这可能对客户机造成最严重的安全威胁 前面已讲过,活动内容是嵌在WWW页面上的程序,它能为页面提供动态的内容和显示 效果。大多数情况下这些程序只完成指定的任务。但有时有些安全威胁伪装成无害的活动内 容,在客户机上运行时就会进行破坏。可为页面添加动态特性的程序通常有Java、 JavaScript 或 Active X控件。除了www页面嵌入程序带来的安全威胁外,下载的图形文件、浏览器插件 和电子邮件附件都可能是安全威胁的隐身之处,这些隐藏的程序激活后就可能破坏客户机 第5章介绍了 Cookie,这些小文本文件存储在客户机上,里面有未加密的敏感信息。这意 味着有人可能会阅读这些 Cookie来收集和记录其中的信息。这些信息可能是信用卡号、口令 和登录信息。由于大多数 Cookie的作用类似进入曾访问过网站的门票,这就向任何掌握 Cookie的人提供了入口。虽然 Cookie一般情况下不会直接危害客户机,但会引起一些破坏。 对客户机的另一种安全威胁是伪装成合法网站的服务器。用户和客户机被欺骗向非法网 站提供敏感信息的案例很多。这实际上是属于客户机的安全问题,因为客户机有责任去了解 它所访问的网站和服务器,以防止被欺骗。下面几节讨论一些内置的防止或减少客户机安全 威胁的保护机制。 641监测活动内容 网景公司的 Navigator和微软公司的 Internet Explorer浏览器都能识别带有活动内容的页面。 在你下载和运行嵌在页面中的程序时,应当牢记确认此程序是否来自你所了解和信任的网站。 这两种常用浏览器的安全方式有一些差异,所以在本节中分别讲述。你既可全面阅读这两种 浏览器的安全特性,也可只了解你所使用浏览器的安全特性。首先来看数字认证,它对客户 机和服务器确认彼此身份非常关键 1.数字证书 数字证书是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份。另外 数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。下载的程序内有数字证 书,就可识别出软件出版商(以确认软件出版商的身份同证书相符)并确认证书是否有效。 如果电子邮件消息或网页含有数字证书,就称之为签名消息或签名代码。签名消息或签名代 码的用途同驾驶执照或护照上相片的用途相同,是用来验证执有人是否为证书指定人。证书 并不保证所下载软件的功能或质量,只是证明所提供的软件是一个真实的,不是伪造的。使 用证书意味着:如果你相信这家软件开发商,证书就可帮你确认签名的软件确实来自这家开 发商。 软件开发商不必是证书签署者。证书只表明对这段程序的认同,而不需标明作者是谁 签署软件的公司需要从若干一级或二级的认证中心处得到软件出版商证书。认证中心可向组 织或个人发行数字证书。如果把数字证书比作护照,认证中心就相当于美国国务院。需要护 照的人向美国国务院提供若干张表明身份的表格和照片。同样,申请数字证书的实体要向认 证中心提供相应的身份证明。如果符合条件,认证中心就会签署一个证书。认证中心以公开 加密密钥的方式来签署证书,收到软件出版商程序上所附证书的人可用公开加密密钥来打开 这个程序。加密密钥就是一个简单的数字,通常是一个很大的二进制数字,它和特定的加密

细介绍了客户机所面临的各种安全威胁，这里再简单回顾一下：响应浏览器请求而传输到客 户机上的普通页面都是信息的静态显示，这是完全无害的。以动态页面形式从因特网上传输 来的活动内容就不同了，这可能对客户机造成最严重的安全威胁。 前面已讲过，活动内容是嵌在 W W W页面上的程序，它能为页面提供动态的内容和显示 效果。大多数情况下这些程序只完成指定的任务。但有时有些安全威胁伪装成无害的活动内 容，在客户机上运行时就会进行破坏。可为页面添加动态特性的程序通常有 J a v a、J a v a S c r i p t 或Active X控件。除了W W W页面嵌入程序带来的安全威胁外，下载的图形文件、浏览器插件 和电子邮件附件都可能是安全威胁的隐身之处，这些隐藏的程序激活后就可能破坏客户机。 第5章介绍了C o o k i e，这些小文本文件存储在客户机上，里面有未加密的敏感信息。这意 味着有人可能会阅读这些 C o o k i e来收集和记录其中的信息。这些信息可能是信用卡号、口令 和登录信息。由于大多数 C o o k i e的作用类似进入曾访问过网站的门票，这就向任何掌握 C o o k i e的人提供了入口。虽然C o o k i e一般情况下不会直接危害客户机，但会引起一些破坏。 对客户机的另一种安全威胁是伪装成合法网站的服务器。用户和客户机被欺骗向非法网 站提供敏感信息的案例很多。这实际上是属于客户机的安全问题，因为客户机有责任去了解 它所访问的网站和服务器，以防止被欺骗。下面几节讨论一些内置的防止或减少客户机安全 威胁的保护机制。 6.4.1 监测活动内容 网景公司的N a v i g a t o r和微软公司的Internet Explorer浏览器都能识别带有活动内容的页面。 在你下载和运行嵌在页面中的程序时，应当牢记确认此程序是否来自你所了解和信任的网站。 这两种常用浏览器的安全方式有一些差异，所以在本节中分别讲述。你既可全面阅读这两种 浏览器的安全特性，也可只了解你所使用浏览器的安全特性。首先来看数字认证，它对客户 机和服务器确认彼此身份非常关键。 1. 数字证书 数字证书是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。另外， 数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。下载的程序内有数字证 书，就可识别出软件出版商（以确认软件出版商的身份同证书相符）并确认证书是否有效。 如果电子邮件消息或网页含有数字证书，就称之为签名消息或签名代码。签名消息或签名代 码的用途同驾驶执照或护照上相片的用途相同，是用来验证执有人是否为证书指定人。证书 并不保证所下载软件的功能或质量，只是证明所提供的软件是一个真实的，不是伪造的。使 用证书意味着：如果你相信这家软件开发商，证书就可帮你确认签名的软件确实来自这家开 发商。 软件开发商不必是证书签署者。证书只表明对这段程序的认同，而不需标明作者是谁。 签署软件的公司需要从若干一级或二级的认证中心处得到软件出版商证书。认证中心可向组 织或个人发行数字证书。如果把数字证书比作护照，认证中心就相当于美国国务院。需要护 照的人向美国国务院提供若干张表明身份的表格和照片。同样，申请数字证书的实体要向认 证中心提供相应的身份证明。如果符合条件，认证中心就会签署一个证书。认证中心以公开 加密密钥的方式来签署证书，收到软件出版商程序上所附证书的人可用公开加密密钥来打开 这个程序。加密密钥就是一个简单的数字，通常是一个很大的二进制数字，它和特定的加密 1 3 6 电 子 商 务 下载

inapub.com 第电了商务的安全错盾137 载 算法一起使用就可把想保护的字符串锁起来,使别人无法看到其内容。加密密钥越长,保护 得信赖。本书在线版还列出了其他认证中心。图6-3所示为Ⅴesgn的主色的身份相符。认 效果就越好。实际上,认证中心就是保证提交证书的个人或组织同其所声明 证中心数量很少,最早也是最知名的认证中心是 VeriSign,他所签署的证书和 VeriSign一样值 erl sIgn Products Products Enterprise PKI Solutions VeriSign On Site for Server Certificates ariSign On Site for IPSec Certificates Training Consult SET Services ndividual Digital Certificates DigitaL IDs Class 1 Server Digital Certificates Server IDs Secure Server ID Global Server ID(128-bit) OFX Server ID EDI Server ID 图6-3著名认证中心 VeriSign的主页 各认证中心对证件的要求都不一样。某家认证中心可能要求个人申请者提供驾驶执照 而另一家认证中心则可能要求提供公证书或指纹。认证中心通常会公布对证件的要求,这样 就让各认证中心收到证书的人了解到这家认证中心的验证手续的严格程度。证书按照对其申 请者提供证件要求的不同分为高、中、低三档 VeriSign提供一到四类证书。一类证书最低,仅为电子邮件地址提供一个公开密钥;四类 证书主要用于服务器和其组织,四类证书的要求比一类证书严格得多。例如, VeriSign的四类 证书提供对个人身份认证及此人同指定公司或组织之间关系的认证。图6-4所示为 VeriSign证 书的基本结构。在后面几节里,你还会了解支持客户机和服务器间认证而要求的证书交换方 式和时机 下面我们看两个重要的浏览器(微软公司的 Internet Explore和网景公司的 Navigator)的 内置安全特性 2.微软公司的 Internet Explorer 微软公司的 Internet Explorer在浏览器内部提供了对客户机端的保护。 Internet Explorer除 了为防止儿童接触成人网站而提供内容警告外,还可对基于 Active x或Java的活动内容做出反 应。 Internet Explorer采用微软公司的 Authenticode技术来验证所下载活动内容的身份

第6章 电子商务的安全措施 1 3 7 下载 算法一起使用就可把想保护的字符串锁起来，使别人无法看到其内容。加密密钥越长，保护 效果就越好。实际上，认证中心就是保证提交证书的个人或组织同其所声明的身份相符。认 证中心数量很少，最早也是最知名的认证中心是 Ve r i S i g n，他所签署的证书和 Ve r i S i g n一样值 得信赖。本书在线版还列出了其他认证中心。图 6 - 3所示为Ve r i S i g n的主页。 图6-3 著名认证中心VeriSign的主页 各认证中心对证件的要求都不一样。某家认证中心可能要求个人申请者提供驾驶执照， 而另一家认证中心则可能要求提供公证书或指纹。认证中心通常会公布对证件的要求，这样 就让各认证中心收到证书的人了解到这家认证中心的验证手续的严格程度。证书按照对其申 请者提供证件要求的不同分为高、中、低三档。 Ve r i S i g n提供一到四类证书。一类证书最低，仅为电子邮件地址提供一个公开密钥；四类 证书主要用于服务器和其组织，四类证书的要求比一类证书严格得多。例如， Ve r i S i g n的四类 证书提供对个人身份认证及此人同指定公司或组织之间关系的认证。图 6 - 4所示为Ve r i S i g n证 书的基本结构。在后面几节里，你还会了解支持客户机和服务器间认证而要求的证书交换方 式和时机。 下面我们看两个重要的浏览器（微软公司的 Internet Explore和网景公司的N a v i g a t o r）的 内置安全特性。 2. 微软公司的Internet Explorer 微软公司的Internet Explorer在浏览器内部提供了对客户机端的保护。 Internet Explorer除 了为防止儿童接触成人网站而提供内容警告外，还可对基于 Active X或J a v a的活动内容做出反 应。 Internet Explorer 采用微软公司的 A u t h e n t i c o d e技术来验证所下载活动内容的身份

138电子商多 Chinapub.com 下载 个人身份信息:姓名、组织和地址 个人公开密钥 证书有效期 证书编号 认证中心的数字签名和身份信息 图6-4 VeriSign证书的结构 Authenticode可检查下载的 Active x控件里的两个重要项目:谁在这段程序上签名:签名后是 否被修改过。 Authenticode技术可验证程序是否具备有效的证书,但不能阻止恶意程序的下载 和运行。也就是说, Authenticode技术只能验证你所信任的XYZ公司是否签署了这段程序代码。 如果软件出版商没有在活动内容上附加证书,你就可把 Internet Explorer设置成不下载页面上 的代码:但 Authenticode不能保证ⅹYZ公司的Java或 Active x控件会正确运行。保证其正确运 行的责任在你,你得决定是否相信来自某公司的活动内容。 现在介绍一下 Authenticode的工作原理。当你下载了一个带有证书和活动内容的页面时, Authenticode取下这个证书(有时也称作签名块),验证认证中心的身份、验证这段内容是否 来自发布者并确认此程序在此之后未被修改过。 Internet Explorer内置有可信认证中心的清单 及其公开密钥, Authenticode扫描此清单,找到提供证书的认证中心。如果清单上的公开密钥 和证书上的相符,就可认为认证中心的身份是真实的。认证中心的公开密钥可用来对证书解 密,证书内附有软件出版商的签名摘要(即证书本身的摘要)。如果签名摘要可证明软件出版 商签署了所下载的代码,证书就将显示出来。此显示向你保证了软件提供者是有效的。 图6-5所示为安全警告和证书验证的对话框。 Authenticode确认了活动内容有一个签名的 点击可查看产品来源|um 的详细信息 点击可查看出版商 的详细信息 Microsoft Corporator 表明证书有效 Publisher authenicity vented by veriSign Commercial Software Publishers CA safe. You should only nstall/view this content f you trust Microsoft Corporaton to make that assertion 点击此处就会自动接 受此出版商的所有产 Always trust content from Microsoft Corporation 点击此按钮可查看更 多信息 图6-5安全警告和证书验证

A u t h e n t i c o d e可检查下载的Active X控件里的两个重要项目：谁在这段程序上签名；签名后是 否被修改过。A u t h e n t i c o d e技术可验证程序是否具备有效的证书，但不能阻止恶意程序的下载 和运行。也就是说，A u t h e n t i c o d e技术只能验证你所信任的X Y Z公司是否签署了这段程序代码。 如果软件出版商没有在活动内容上附加证书，你就可把 Internet Explorer设置成不下载页面上 的代码；但A u t h e n t i c o d e不能保证X Y Z公司的J a v a或Active X控件会正确运行。保证其正确运 行的责任在你，你得决定是否相信来自某公司的活动内容。 现在介绍一下A u t h e n t i c o d e的工作原理。当你下载了一个带有证书和活动内容的页面时， A u t h e n t i c o d e取下这个证书（有时也称作签名块），验证认证中心的身份、验证这段内容是否 来自发布者并确认此程序在此之后未被修改过。 Internet Explorer内置有可信认证中心的清单 及其公开密钥，A u t h e n t i c o d e扫描此清单，找到提供证书的认证中心。如果清单上的公开密钥 和证书上的相符，就可认为认证中心的身份是真实的。认证中心的公开密钥可用来对证书解 密，证书内附有软件出版商的签名摘要（即证书本身的摘要）。如果签名摘要可证明软件出版 商签署了所下载的代码，证书就将显示出来。此显示向你保证了软件提供者是有效的。 图6 - 5所示为安全警告和证书验证的对话框。 A u t h e n t i c o d e确认了活动内容有一个签名的 1 3 8 电 子 商 务 下载 图6-4 VeriSign证书的结构 个人身份信息：姓名、组织和地址 个人公开密钥 证书有效期 证书编号 认证中心的数字签名和身份信息 图6-5 安全警告和证书验证 点击可查看产品来源 的详细信息 点击可查看出版商 的详细信息 表明证书有效 点击此处就会自动接 受此出版商的所有产 品 点击此按钮可查看更 多信息

00N69139 载 有效证书。在这个例子中,软件出版商是微软公司,认证中心是 VeriSign,下载的软件是 Microsoft Internet Explorer5 Power Tweaks Web Accessory。如果你所下载页面里的活动内容 没有签名,此对话框就显示出没有有效证书。 Internet Explorer能否显示一个安全警告取决于 你对浏览器安全特性的配置 证书是有有效期的。你可点击链接来查看公司的时间标记。时间标记标明证书何时失效 公司必须定期向认证中心申请更新其证书。证书除了在到期后失效,还可宣布废弃。如果认 证中心发现某公司曾发过有恶意的代码,就可单方面拒绝颁发新证书,并且废弃其所有正在 使用的证书 你可按所下载文件的来源指定不同的安全设置,以确定 Internet Explorer处理所下载程序 或文件的方式。微软公司的 Internet Explorer将因特网分成不同的区(类别)。这样,你就能把 特定网站分到某个区,并为每个区指定不同的安全级别。共有四个区,即因特网区、本地内 部网区、可信网站区和限制网站区。因特网区是不在你的计算机上、不在内部网里或未分到 其他区的所有网站。本地内部网区通常包含不需要代理服务器的网站(如在“ Connections 选项卡内的所有网站,参见图6-6)、你的客户机所接的公司内部网和其他本地内部网的网站。 可信网站区内是你所信任的网站。你知道可不必担心安全地从这些网站中下载内容,因为你 认为它们是可信赖的。限制网站区内是你不信任的网站,它们未必有破坏性,只是你不熟悉 的网站。如图6-6所示,安全级别分为“低”、“中低”、“中”及“高”等四级。如果想进一步 调整安全级别的设置,可按下“ Custom level”按钮。图6-6中还有四个 Internet Explorer区和 允许定制某一安全级别的对话框。 General Secuity Content] Connections Progams Advancedl Security Setti 区 Select a web contend zone to specl ts securty settings Trusted ste O Enat contains al web ties you 9 Download unsigned Activex controls placed n other one Move the aider to met the security level or this zone y Intake and sapt Activex controls not marked as sale Disable ate for most Intenet thes Reset custom settings 图66 Internet Explorer区及其安全级别 如果你相信在公司内部网中下载的任何内容,就可将内部网区的安全级别设置为“低”。 表6-1总结了四种安全级别的缺省设置

有效证书。在这个例子中，软件出版商是微软公司，认证中心是 Ve r i S i g n，下载的软件是 Microsoft Internet Explorer 5 Power Tweaks Web Accessory。如果你所下载页面里的活动内容 没有签名，此对话框就显示出没有有效证书。 Internet Explorer能否显示一个安全警告取决于 你对浏览器安全特性的配置。 证书是有有效期的。你可点击链接来查看公司的时间标记。时间标记标明证书何时失效。 公司必须定期向认证中心申请更新其证书。证书除了在到期后失效，还可宣布废弃。如果认 证中心发现某公司曾发过有恶意的代码，就可单方面拒绝颁发新证书，并且废弃其所有正在 使用的证书。 你可按所下载文件的来源指定不同的安全设置，以确定 Internet Explorer处理所下载程序 或文件的方式。微软公司的 Internet Explorer将因特网分成不同的区（类别）。这样，你就能把 特定网站分到某个区，并为每个区指定不同的安全级别。共有四个区，即因特网区、本地内 部网区、可信网站区和限制网站区。因特网区是不在你的计算机上、不在内部网里或未分到 其他区的所有网站。本地内部网区通常包含不需要代理服务器的网站（如在“ C o n n e c t i o n s” 选项卡内的所有网站，参见图 6 - 6）、你的客户机所接的公司内部网和其他本地内部网的网站。 可信网站区内是你所信任的网站。你知道可不必担心安全地从这些网站中下载内容，因为你 认为它们是可信赖的。限制网站区内是你不信任的网站，它们未必有破坏性，只是你不熟悉 的网站。如图6 - 6所示，安全级别分为“低”、“中低”、“中”及“高”等四级。如果想进一步 调整安全级别的设置，可按下“ Custom Level”按钮。图6 - 6中还有四个Internet Explorer区和 允许定制某一安全级别的对话框。 图6-6 Internet Explorer区及其安全级别 如果你相信在公司内部网中下载的任何内容，就可将内部网区的安全级别设置为“低”。 表6 - 1总结了四种安全级别的缺省设置。 第6章 电子商务的安全措施 1 3 9 下载

140电子商多 China°pde 下载 表6-1 nternet Explorer安全区的缺省设置 安全级别 缺省的安全设置 最安全的浏览方式,但实用性较差:禁止次级安全性能:禁止 Cookie 高中中低 实用的安全浏览方式:下载潜在的不安全内容前会提示:不下载未签名的 Active X控件 下载任何内容时都不提示:大多数活动内容运行前都不提示:不下载未签名的 Active x控件 提供最低程度的保护和警告:大多数活动内容下载和运行前都不提示;所有活动内容都可运行 Authenticode技术只能对你所信任的人或网站进行是/否判断。虽然你可以调整安全级别 的设置,但保护措施还是局限在是否允许活动代码的运行。 Authenticode没有对运行状态代码 的监测功能,所以对于 Authenticode许可进入你的计算机的表面安全的代码,还是会因编程错 误或有意破坏使你的计算机失效。换句话说,一旦你决定信任某个网站、某个区或某个厂商, 在你接受下载的内容时你也就打开了安全的大门。从计算机应急小组(CERT)在因特网上发 布建议(参见第5章)中,我们会发现大多数警告都是由于开发者自己发现的错误。这就意味 着,对计算机的大多数破坏都是由粗心造成的程序错误,这是因为软件没有经过充分检验。 3.网景公司的 Navigator 网景公司的 Navigator可以允许你控制是否将活动内容下载到客户机上。如果你决定用 Navigator下载活动内容,就可查看附在Java或 JavaScript控件上的签名( Active X控件不能在 Navigator上运行)。安全级别可在浏览器的 Preferences对话框中设置。在Edit菜单下选择 “ Preferences”就打开了 Preferences对话框,然后点击左侧的“ Advanced”项,右侧就会显示 出当前的安全设置,如图6-7所示。可选择是否允许使用Java或 JavaScript。在同一对话框中可 确定对 cookie的处理措施。 cookie有三种处理选择:无条件接受所有 cookie、接受要发回服务 器的 cookie或完全不接受 cookie。另外,还可用复选框决定在接收 cookie前是否警告。 选择接受或 F Automaticaly load mages 拒绝活动内 容(Java和 F Enable JavaScript javaScript) F Enable JavaScript for Mad and New Cookies 控制 cookie martUpdate Accept all cookies 案 C Accept gnly cookies that get sent back to the originating server C Disable cookies 点击此处可 载的警告 咪K]ca 图67设置 Navigator活动内容和 cookie的选择 如果选择允许Java或 JavaScript活动内容,将会收到 Navigator的警告。它指出某个活动内

表6-1 Internet Explorer安全区的缺省设置 安全级别 缺省的安全设置 高 最安全的浏览方式，但实用性较差；禁止次级安全性能；禁止 C o o k i e 中 实用的安全浏览方式；下载潜在的不安全内容前会提示；不下载未签名的 Active X控件 中低 下载任何内容时都不提示；大多数活动内容运行前都不提示；不下载未签名的 Active X控件 低 提供最低程度的保护和警告；大多数活动内容下载和运行前都不提示；所有活动内容都可运行 A u t h e n t i c o d e技术只能对你所信任的人或网站进行是 /否判断。虽然你可以调整安全级别 的设置，但保护措施还是局限在是否允许活动代码的运行。 A u t h e n t i c o d e没有对运行状态代码 的监测功能，所以对于 A u t h e n t i c o d e许可进入你的计算机的表面安全的代码，还是会因编程错 误或有意破坏使你的计算机失效。换句话说，一旦你决定信任某个网站、某个区或某个厂商， 在你接受下载的内容时你也就打开了安全的大门。从计算机应急小组（ C E RT）在因特网上发 布建议（参见第5章）中，我们会发现大多数警告都是由于开发者自己发现的错误。这就意味 着，对计算机的大多数破坏都是由粗心造成的程序错误，这是因为软件没有经过充分检验。 3. 网景公司的N a v i g a t o r 网景公司的 N a v i g a t o r可以允许你控制是否将活动内容下载到客户机上。如果你决定用 N a v i g a t o r下载活动内容，就可查看附在 J a v a或J a v a S c r i p t控件上的签名（Active X控件不能在 N a v i g a t o r上运行）。安全级别可在浏览器的 P r e f e r e n c e s对话框中设置。在 E d i t菜单下选择 “P r e f e r e n c e s”就打开了P r e f e r e n c e s对话框，然后点击左侧的“ A d v a n c e d”项，右侧就会显示 出当前的安全设置，如图 6 - 7所示。可选择是否允许使用 J a v a或J a v a S c r i p t。在同一对话框中可 确定对c o o k i e的处理措施。c o o k i e有三种处理选择：无条件接受所有 c o o k i e、接受要发回服务 器的c o o k i e或完全不接受cookie 。另外，还可用复选框决定在接收 c o o k i e前是否警告。 图6-7 设置Navigator活动内容和cookie的选择 如果选择允许J a v a或J a v a S c r i p t活动内容，将会收到 N a v i g a t o r的警告。它指出某个活动内 1 4 0 电 子 商 务 下载 点击此处可 收到c o o k i e下 载的警告 选择控制cookie 的方案 选择接受或 拒绝活动内 容（Java 和 JavaScript）

inapub.com 第6章电子商务的安全措施 141 载 容是否有签名,并允许你查看活动内容所附的证书,以便你决定是否允许下载活动内容。图 6-8所示为下载 Headspace公司的 Beatnik插件时 Navigator所发的警告。注意, Navigator将其定 为高风险,用鼠标点击安全警告上的“ Details”按钮会显示出当前下载请求的详细信息;用 鼠标点击“ Grant”按钮即允许下载继续进行;用鼠标点击“Deny”按钮意即拒绝访问,不允 许下载Java小应用程序或 JavaScript也可用鼠标点击“ Certificate”按钮来查看活动内容上所 附的证书(参见图6-8)。图6-9所示为在 Beatnik安装程序上所附的 Headspace公司证书 提供活动内容的软件公司 风险评估十 Granting the following is high risk: stalling and running software on your compute 点击可同意或拒 绝下载活动内容厂 Remember this decision dentity verified by Verisign, Ine, 点击可查看证书 图6-8 Navigator典型的Java安全警告 The JavaScript or Java applet was digitally signed with the following certificate The 认证中心(CA certificate proves who the applet or script is from 证书持有者姓名 /This Certificate belongs to Thuis Certifcate was issued bt sIgn Object Signing CA-Class Serial Number: 73: 2F 8E7F F5 91: C7F94E F8 AB C2. 32 66: AB B5 证书指纹 Certificate Fingerprint: 28 D2:D1: 70: 03:04:08:88-58:6 E44 5194: D: CE37 D 证书有效期 This certificate expires on Tue Jul 06, 1999 Close Help 图6-9查看内容提供商的证书 注意内容提供商的证书上有惟一的序列号和签名(在“ Certificate Fingerprint”标签后的 数字/字母表)。此证书标明了有效期。证书一般要每年更新,但也有些证书有效期在一年以

容是否有签名，并允许你查看活动内容所附的证书，以便你决定是否允许下载活动内容。图 6 - 8所示为下载H e a d s p a c e公司的B e a t n i k插件时N a v i g a t o r所发的警告。注意，Navigator 将其定 为高风险，用鼠标点击安全警告上的“ D e t a i l s”按钮会显示出当前下载请求的详细信息；用 鼠标点击“G r a n t”按钮即允许下载继续进行；用鼠标点击“ D e n y”按钮意即拒绝访问，不允 许下载J a v a小应用程序或J a v a S c r i p t。也可用鼠标点击“ C e r t i f i c a t e”按钮来查看活动内容上所 附的证书（参见图6 - 8）。图6 - 9所示为在B e a t n i k安装程序上所附的H e a d s p a c e公司证书。 图6-8 Navigator典型的Java安全警告 图6-9 查看内容提供商的证书 注意内容提供商的证书上有惟一的序列号和签名（在“ Certificate Fingerprint”标签后的 数字/字母表）。此证书标明了有效期。证书一般要每年更新，但也有些证书有效期在一年以 上。 第6章 电子商务的安全措施 1 4 1 下载 提供活动内容的软件公司 风险评估 点击可同意或拒 绝下载活动内容 点击可查看证书 认证中心（CA） 证书持有者姓名 证书指纹 证书有效期