第一章电子商务安全基础
商务:是经济领域特别是市场经济环境下的一种社会活动,它涉及货品、服务、金融、知识信息等的交易。
电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
电子商务主客体关系分为:1、B2B企业、机构之间2、B2C企业与消费者之间3、C2C个人用户之间4、B2G企业政府之间。
电子商务的技术要素组成:1、网络2、应用软件3、硬件。
电子商务的常见模式:1、大字报或告示牌模式2、在线黄页簿模式3、电脑空间上的小册子模式4、虚拟百货店模式5、预定或订购模式6、广告推销模式。
因特网的优劣势:1、优势:广袤覆盖及开放结构,由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖率增长至几乎无限2、劣势:因特网的管理松散,网上内容难以控制,私密性难以保障,从电子商务等应用看,安全性差也是因特网的又一大缺点。
内域网(Intranet):是由某一企业或机构利用因特网的技术,即因特网的标准和协议等,建立起来的该企业专用的计算机网络。
防火墙:是一个介乎内域网和因特网其他部分之间的安全服务器。
外域网(Extranet):用内域网同样的办法建立的一个连接相关企业、单位、机构的专用网络。
EDI的信息传输方式:存储-转发。
电子商务的驱动力:1、信息产品硬件制造商2、信息产品软件厂商3、大型网上服务厂商4、银行及金融机构5、大企业6、政府。
电子商务的安全隐患:1、数据的安全2、交易的安全。
电子商务系统可能遭受的攻击:1、系统穿透2、违反授权原则3、植入4、通信监视5、通信窜扰6、中断7、拒绝服务8、否认9、病毒。
电子商务安全的中心内容:1、商务数据的机密性2、完整性3、商务对象的认证性4、商务服务的不可否认性5、商务服务的不可拒绝性6、访问的控制性等。
产生电子商务安全威胁的原因:1、internet在安全方面的缺陷2、Internet的安全漏洞3、TCP/IP 协议极其不安全性4、E-mail,Telnet及网页的不安全性。
Internet系统的构建组成:1、客户端软件(Web浏览器)2、客户端的操作系统3、客户端的局域网(LAN)4、Internet网络5、服务器端的局域网(LAN)6、服务器上的Web服务器软件。
对安全的攻击:主动攻击、被动攻击。
对internet攻击的四种类型:1、截断信息2、伪造3、篡改4、介入。
IP协议的安全隐患:1、针对IP的拒绝服务攻击2、IP地址的顺序号预测攻击3、TCP协议劫持入侵4、嗅探入侵。
HTTP协议:是客户机请求服务器和服务器如何应答请求的各种方法的定义。
WEB客户机的任务:1、为客户提出一个服务请求2、将客户的请求发送给服务器3、解释服务器传送的HTML等格式文档,通过浏览器显示给客户。
WEB服务器的任务:1、接收客户机来的请求2、检查请求的合法性3、针对请求,获取并制作数据,包括使用CGI脚本等程序、为文件设置适当的MIME类型来对数据进行前期处理和后期处理4、把信息发送给提出请求的客户机。
WEB站点的安全隐患:1、机密信息被窃取2、数据及软硬件系统被破坏。
攻击WEB站点的几种方式:1、安全信息被破译2、非法访问3、交易信息被截获4、软件
漏洞被攻击者利用等。
E-mail和Telnet及网页的不安全性:1、E-mail的不安全性2、入侵Telnet会话3、网页作假4、电子邮件炸弹和电子邮件列表链接。
对电子商务威胁的相应对策:1、保密业务2、认证业务3、接入控制业务4、数据完整性业务5、不可否认业务6、加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发等。
《可信任的计算机安全评估标准》:美国,为计算机安全的不同等级制订了四个标准分别为D、C、B、A级,由低到高,C级氛围C1和C2两个子集,C2比C1提供更多的保护,总体由低到高为D、C1、C2、B1、B2、B3、A。
第二章电子商务安全需求与密码技术
电子商务的安全需求:1、可靠性2、真实性3、机密性4、完整性5、有效性6、不可抵赖性7、内部网的严重性。
加密:用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。
加密的基本概念缩写:1、明文M 2、密文C 3、加密E 4、解密D 5、密钥K。
加密的表示方法:C=Ek(M) 密文=加密k(明文)。
解密的表示方法:M=Dk(C) 明文=解密k(密文)。
加密方法:1、替换加密(单字母加密方法、多字母加密方法)2、转换加密。
单鈅密码体制特点:1、加解密速度快,效率高2、单鈅密码体制的加解密过程使用同一个密钥。
单鈅密码体制的几种算法:1、DES加密算法2、IDEA加密算法3、RC-5加密算法4、AES 加密算法。
双鈅密码体制:又称作公共密钥体制或非对称加密体制,在加解密过程中要使用一对密钥,一个用于加密,一个用于解密。
双鈅密码体制的特点:1、适合密钥的分配和管理2、算法速度慢,只适合加密小数量的信息。
双鈅密码体制的几种算法:1、RSA密码算法2、ELGamal密码体制3、椭圆曲线密码体制(ECC)。
密钥管理包括:密钥的设置、产生、分配、存储、装入、保护、使用以及销毁等。
密钥管理方案:一般采用层次的密钥设置。
多层次密钥系统中密钥的分类:1、数据加密密钥DK2、密钥加密密钥KK。
多层次密钥系统中密钥的划分:按照他们的控制关系,划分为一级密钥、二级密钥、n级密钥,其中一级密钥用算法n保护二级密钥,二级密钥用算法n保护三级密钥,最底层密钥也叫做工作密钥,也就是数据加密密钥,所有上层密钥都是密钥加密密钥,最高层密钥也叫做主密钥。
自动密钥分配途径:1、集中式分配方案2、分布式分配方案。
集中式分配方案:利用网络中的密钥管理中心KMC来集中管理系统中的密钥,密钥管理中心接受系统中用户的请求,为用户提供安全分配蜜月的服务。
分布式分配方案:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不接受任何其他方面的限制。
第三章密码技术的应用
数据的完整性:在有自然或人为干扰的条件下,网络系统保持发送方和接收方传送数据一致性的能力,是保护数据不被未授权者修改、建立、嵌入、删除及重复传送,或防止由于其他原因使原始数据被更改。
