电子商务安全

《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点:数据加密技术参见讲稿章节：2-1附1.1.1（考核知识点解释）：所谓数据加密（DataEncryption）技术是指将一个信息（或称明文，plaintext）经过加密钥匙（Encryptionkey）及加密函数转换，变成无意义的密文（ciphertext），而接收方则将此密文经过解密函数、解密钥匙（Decryptionkey）还原成明文。加密技术是网络安全技术的基石。★考核知识点:ELGamal算法参见讲稿章节：2-1附1.1.2（考核知识点解释）：ElGamal算法，是一种较为常见的加密算法，它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名，其安全性依赖于计算有限域上离散对数这一难题。在加密过程中，生成的密文长度是明文的两倍，且每次加密后都会在密文中生成一个随机数K，在密码中主要应用离散对数问题的几个性质：求解离散对数（可能）是困难的，而其逆运算指数运算可以应用平方-乘的方法有效地计算。也就是说，在适当的群G中，指数函数是单向函数★考核知识点:数字签名参见讲稿章节：2-4附1.1.3（考核知识点解释）：数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。★考核知识点:VPN参见讲稿章节：7-3附1.1.4（考核知识点解释）：虚拟专用网络的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。★考核知识点:数字证书参见讲稿章节：2-4附1.1.5（考核知识点解释）：数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（CertificateAuthority）中心发行的，人们可以在网上用它来识别对方的身份★考核知识点:非对称加密技术参见讲稿章节：2-1附1.1.6（考核知识点解释）：RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。★考核知识点:认证技术参见讲稿章节：2-4附1.1.7（考核知识点解释）：CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。CA也拥有一个证书（内含公钥）和私钥。网上的公众用户通过验证CA的签字从而信任CA，任何人都可以得到CA的证书（含公钥），用以验证它所签发的证书。★考核知识点:PKI参见讲稿章节：2-1附1.1.8（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。★考核知识点:PKI参见讲稿章节：2-1附1.1.9（考核知识点解释）：PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中，将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。★考核知识点:交易安全中的不可否认性参见讲稿章节：4-2附1.1.10（考核知识点解释）：不可否认性，又称抗抵赖性，即由于某种机制的存在，人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在电子商务环境下，可以通过数字证书机制进行的数字签名和时间戳，保证信息的抗抵赖。★考核知识点:安全套接层协议SSL参见讲稿章节：3-4附1.1.11（考核知识点解释）：SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。★考核知识点:安全电子交易协议SET参见讲稿章节：3-5附1.1.12（考核知识点解释）：SET协议是B2C上基于信用卡支付模式而设计的，它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户，商家，银行之间通过信用卡的交易而设计的，它具有的保证交易数据的完整性，交易的不可抵赖性等种种优点，因此它成为目前公认的信用卡网上交易的国际标准。★考核知识点:数据加密技术参见讲稿章节：2-1附1.1.13（考核知识点解释）：数据加密，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。★考核知识点:公钥密码体系参见讲稿章节：2-1附1.1.14（考核知识点解释）：密钥对在基于公钥体系的安全系统中，密钥是成对生成的，每对密钥由一个公钥和一个私钥组成。在实际应用中，私钥由拥有者自己保存，而公钥则需要公布于众。为了使基于公钥体系的业务（如电子商务等）能够广泛应用，一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记，仅从公钥本身不能判别公钥的主人是谁。★考核知识点:散列算法参见讲稿章节：2-1附1.1.15（考核知识点解释）：产生一些数据片段（例如消息或会话项）的散列值的算法。好的散列算法具有根据输入数据中的变动来更改散列值结果的特性；因此，散列对于检测在诸如消息等大型信息对象中的任何变化很有用。MD4是麻省理工学院教授RonaldRivest于1990年设计的一种信息摘要算法。它是一种用来测试信息完整性的密码散列函数的实行。其摘要长度为128位，一般128位长的MD4散列被表示为32位的十六进制数字。这个算法影响了后来的算法如MD5、SHA家族和RIPEMD等。★考核知识点:SHA算法参见讲稿章节：2-1附1.1.16（考核知识点解释）：SHA将输入流按照每块512位（64个字节）进行分块，并产生20个字节的被称为信息认证代码或信息摘要的输出。该算法输入报文的长度不限，产生的输出是一个160位的报文摘要。输入是按512位的分组进行处理的。SHA-1是不可逆的、防冲突，并具有良好的雪崩效应。对于长度小于2^64位的消息，SHA1会产生一个160位的消息摘要。该算法经过加密专家多年来的发展和改进已日益完善，并被广泛使用。该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。★考核知识点:计算机病毒参见讲稿章节：6-3附1.1.17（考核知识点解释）：计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。★考核知识点:IPSec参见讲稿章节：7-3附1.1.18（考核知识点解释）：IPSec是IETF（InternetEngineeringTaskForce，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPSec的安全服务要求支持共享密钥完成认证和/或保密，并且手工输入密钥的方式是必须要支持的，其目的是要保证IPSec协议的互操作性。当然，手工输入密钥方式的扩展能力很差，因此在IPSec协议中引入了一个密钥管理协议，称Internet密钥交换协议——IKE，该协议可以动态认证IPSec对等体，协商安全服务，并自动生成共享密钥。★考核知识点:访问控制技术参见讲稿章节：7-3附1.1.19（考核知识点解释）：防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用。意指，用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术，如UniNAC，网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。★考核知识点:安全认证技术参见讲稿章节：2-4附1.1.20（考核知识点解释）：身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证技术就是为了解决这个问题。★考核知识点:密钥管理技术参见讲稿章节：2-3附1.1.21（考核知识点解释）：密钥管理包括，从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。★考核知识点:认证技术参见讲稿章节：2-4附1.1.22（考核知识点解释）：数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构—CA机构，又称为证书授权（CertificateAu