自學考試 電子商務安全導論 00997 重點整理 考試必過
《自學考試 電子商務安全導論 00997 重點整理 考試必過》由會員分享,可在線閱讀,更多相關(guān)《自學考試 電子商務安全導論 00997 重點整理 考試必過(54頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more. ------------------------------------------author ------------------------------------------date 自學考試 電子商務安全導論 00997 重點整理 考試必過 自學考試 電子商務安全導論 00997 重點整理 考試必過 第一章 電子商務安全基礎 商務:是經(jīng)濟領(lǐng)域特別是
2、市場經(jīng)濟環(huán)境下的一種社會活動,它涉及貨品、服務、金融、知識信息等的交易。 電子商務:是建立在電子技術(shù)基礎上的商業(yè)運作,是利用電子技術(shù)加強、加快、擴展、增強、改變了其有關(guān)過程的商務。 電子商務主客體關(guān)系分為:1、B2B企業(yè)、機構(gòu)之間2、B2C企業(yè)與消費者之間3、C2C個人用戶之間4、B2G企業(yè)政府之間。 電子商務的技術(shù)要素組成:1、網(wǎng)絡2、應用軟件3、硬件。 電子商務的常見模式:1、大字報或告示牌模式2、在線黃頁簿模式3、電腦空間上的小冊子模式4、虛擬百貨店模式5、預定或訂購模式6、廣告推銷模式。 因特網(wǎng)的優(yōu)劣勢:1、優(yōu)勢:廣袤覆蓋及開放結(jié)構(gòu),由于它是開放結(jié)構(gòu),許多企業(yè)及用戶可以按統(tǒng)一
3、的技術(shù)標準和較合理的費用連接上網(wǎng),使網(wǎng)上的主機服務器和終端用戶以滾雪球的速度增加,也使其覆蓋率增長至幾乎無限2、劣勢:因特網(wǎng)的管理松散,網(wǎng)上內(nèi)容難以控制,私密性難以保障,從電子商務等應用看,安全性差也是因特網(wǎng)的又一大缺點。 內(nèi)域網(wǎng)(Intranet):是由某一企業(yè)或機構(gòu)利用因特網(wǎng)的技術(shù),即因特網(wǎng)的標準和協(xié)議等,建立起來的該企業(yè)專用的計算機網(wǎng)絡。 防火墻:是一個介乎內(nèi)域網(wǎng)和因特網(wǎng)其他部分之間的安全服務器。 外域網(wǎng)(Extranet):用內(nèi)域網(wǎng)同樣的辦法建立的一個連接相關(guān)企業(yè)、單位、機構(gòu)的專用網(wǎng)絡。 EDI的信息傳輸方式:存儲-轉(zhuǎn)發(fā)。 電子商務的驅(qū)動力:1、信息產(chǎn)品硬件制造商2、信息產(chǎn)品
4、軟件廠商3、大型網(wǎng)上服務廠商4、銀行及金融機構(gòu)5、大企業(yè)6、政府。 電子商務的安全隱患:1、數(shù)據(jù)的安全2、交易的安全。 電子商務系統(tǒng)可能遭受的攻擊:1、系統(tǒng)穿透2、違反授權(quán)原則3、植入4、通信監(jiān)視5、通信竄擾6、中斷7、拒絕服務8、否認9、病毒。 電子商務安全的中心內(nèi)容:1、商務數(shù)據(jù)的機密性2、完整性3、商務對象的認證性4、商務服務的不可否認性5、商務服務的不可拒絕性6、訪問的控制性等。 產(chǎn)生電子商務安全威脅的原因:1、internet在安全方面的缺陷2、Internet的安全漏洞3、TCP/IP協(xié)議極其不安全性4、E-mail,Telnet及網(wǎng)頁的不安全性。 Internet系統(tǒng)的
5、構(gòu)建組成:1、客戶端軟件(Web瀏覽器)2、客戶端的操作系統(tǒng)3、客戶端的局域網(wǎng)(LAN)4、Internet網(wǎng)絡5、服務器端的局域網(wǎng)(LAN)6、服務器上的Web服務器軟件。 對安全的攻擊:主動攻擊、被動攻擊。 對internet攻擊的四種類型:1、截斷信息2、偽造3、篡改4、介入。 IP協(xié)議的安全隱患:1、針對IP的拒絕服務攻擊2、IP地址的順序號預測攻擊3、TCP協(xié)議劫持入侵4、嗅探入侵。 HTTP協(xié)議:是客戶機請求服務器和服務器如何應答請求的各種方法的定義。 WEB客戶機的任務:1、為客戶提出一個服務請求2、將客戶的請求發(fā)送給服務器3、解釋服務器傳送的HTML等格式文檔,通過瀏
6、覽器顯示給客戶。 WEB服務器的任務:1、接收客戶機來的請求2、檢查請求的合法性3、針對請求,獲取并制作數(shù)據(jù),包括使用CGI腳本等程序、為文件設置適當?shù)腗IME類型來對數(shù)據(jù)進行前期處理和后期處理4、把信息發(fā)送給提出請求的客戶機。 WEB站點的安全隱患:1、機密信息被竊取2、數(shù)據(jù)及軟硬件系統(tǒng)被破壞。 攻擊WEB站點的幾種方式:1、安全信息被破譯2、非法訪問3、交易信息被截獲4、軟件漏洞被攻擊者利用等。 E-mail和Telnet及網(wǎng)頁的不安全性:1、E-mail的不安全性2、入侵Telnet會話3、網(wǎng)頁作假4、電子郵件炸彈和電子郵件列表鏈接。 對電子商務威脅的相應對策:1、保密業(yè)務2、
7、認證業(yè)務3、接入控制業(yè)務4、數(shù)據(jù)完整性業(yè)務5、不可否認業(yè)務6、加快我國自主知識產(chǎn)權(quán)的計算機網(wǎng)絡和電子商務安全產(chǎn)品的研制和開發(fā)等。 《可信任的計算機安全評估標準》:美國,為計算機安全的不同等級制訂了四個標準分別為D、C、B、A級,由低到高,C級氛圍C1和C2兩個子集,C2比C1提供更多的保護,總體由低到高為D、C1、C2、B1、B2、B3、A。 第二章 電子商務安全需求與密碼技術(shù) 電子商務的安全需求:1、可靠性2、真實性3、機密性4、完整性5、有效性6、不可抵賴性7、內(nèi)部網(wǎng)的嚴重性。 加密:用基于數(shù)學算法的程序和加密的密鑰對信息進行編碼,生成別人難以理解的符號,即把明文變成密文的過程。
8、 加密的基本概念縮寫:1、明文M 2、密文C 3、加密E 4、解密D 5、密鑰K。 加密的表示方法:C=Ek(M) 密文=加密k(明文)。 解密的表示方法:M=Dk(C) 明文=解密k(密文)。 加密方法:1、替換加密(單字母加密方法、多字母加密方法)2、轉(zhuǎn)換加密。 單鈅密碼體制特點:1、加解密速度快,效率高2、單鈅密碼體制的加解密過程使用同一個密鑰。 單鈅密碼體制的幾種算法:1、DES加密算法2、IDEA加密算法3、RC-5加密算法4、AES加密算法。 雙鈅密碼體制:又稱作公共密鑰體制或非對稱加密體制,在加解密過程中要使用一對密鑰,一個用于加密,一個用于解密。 雙鈅密碼體制的特
9、點:1、適合密鑰的分配和管理2、算法速度慢,只適合加密小數(shù)量的信息。 雙鈅密碼體制的幾種算法:1、RSA密碼算法2、ELGamal密碼體制3、橢圓曲線密碼體制(ECC)。 密鑰管理包括:密鑰的設置、產(chǎn)生、分配、存儲、裝入、保護、使用以及銷毀等。 密鑰管理方案:一般采用層次的密鑰設置。 多層次密鑰系統(tǒng)中密鑰的分類:1、數(shù)據(jù)加密密鑰DK2、密鑰加密密鑰KK。 多層次密鑰系統(tǒng)中密鑰的劃分:按照他們的控制關(guān)系,劃分為一級密鑰、二級密鑰、n級密鑰,其中一級密鑰用算法n保護二級密鑰,二級密鑰用算法n保護三級密鑰,最底層密鑰也叫做工作密鑰,也就是數(shù)據(jù)加密密鑰,所有上層密鑰都是密鑰加密密鑰,最高層密
10、鑰也叫做主密鑰。 自動密鑰分配途徑:1、集中式分配方案2、分布式分配方案。 集中式分配方案:利用網(wǎng)絡中的密鑰管理中心KMC來集中管理系統(tǒng)中的密鑰,密鑰管理中心接受系統(tǒng)中用戶的請求,為用戶提供安全分配蜜月的服務。 分布式分配方案:網(wǎng)絡中各主機具有相同的地位,它們之間的密鑰分配取決于它們自己的協(xié)商,不接受任何其他方面的限制。 第三章 密碼技術(shù)的應用 數(shù)據(jù)的完整性:在有自然或人為干擾的條件下,網(wǎng)絡系統(tǒng)保持發(fā)送方和接收方傳送數(shù)據(jù)一致性的能力,是保護數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除及重復傳送,或防止由于其他原因使原始數(shù)據(jù)被更改。 數(shù)據(jù)完整性被破壞的后果:1、造成直接的經(jīng)濟損失2、影響一
11、個供應鏈上許多廠商的經(jīng)濟活動3、可能造成不過不了“關(guān)”4、會牽涉到經(jīng)濟案件中5、造成電子商務經(jīng)營的混亂與不信任。 散列函數(shù):是將一個長度不確定的輸入串轉(zhuǎn)換成一個長度確定的輸出串(輸出串要不輸入串短),也稱哈希值、雜湊值和消息摘要,其安全性在于它的單向性和無沖突性。 數(shù)字簽名的原理:用散列函數(shù)處理消息得到消息摘要,再用雙鈅密碼體制的私鈅加密。 常用的散列函數(shù):1、MD-4和MD-5散列算法2、安全散列算法SHA等。 數(shù)字簽名:利用數(shù)字技術(shù)實現(xiàn)網(wǎng)絡傳送文件時,附加個人標記,完成傳統(tǒng)上手書簽名蓋章的作用,以表示確認、負責、經(jīng)手等。 各種技術(shù)的應用:保障傳遞文件的機密性用加密技術(shù),保障其完整
12、性用信息摘要技術(shù),保障認證性和不可否認性用數(shù)字簽名技術(shù)。 數(shù)字簽名分為:確定性數(shù)字簽名、隨機化式數(shù)字簽名。 數(shù)字簽名應滿足的要求:1、接收方B能夠確認或認證發(fā)送方A的簽名,但不能由B或第三方C偽造2、發(fā)送方A發(fā)出簽名的消息給接收方B后,A就不能再否認自己所簽發(fā)的消息3、接收方B對已收到的簽名消息不能否認,即有收報認證4、第三者C可以確認收發(fā)雙方之間的消息傳送,但不能偽造這一過程。 數(shù)字簽名可以解決的安全界別問題:1、接收方偽造2、發(fā)送者或接受者否認3、第三方冒充4、接收方篡改。 ELGamal簽名體制:美國NIST把它作為數(shù)字簽名標準DDS,是Rabin體制的一種變形。 RSA簽名體
13、制:利用雙鈅密碼體制的RSA加密算法實現(xiàn)數(shù)字簽名。 無可爭辯簽名:在沒有簽名者自己合作下不可能驗證簽名的簽名。 盲簽名:要某人對一個文件簽名,而不讓其知道文件內(nèi)容。 數(shù)字信封:發(fā)送方用一個隨機產(chǎn)生的DES密鑰加密消息,然后用接受方的公鑰加密DES密鑰,稱為消息的數(shù)字信封。 數(shù)字時戳應當保證:1、數(shù)據(jù)文件加蓋的時戳與存儲數(shù)據(jù)的物理媒體無關(guān)2、對已加蓋時戳的文件不可能做絲毫改動3、要相對某個文件加蓋與當前日期和時間不同時戳是不可能的。 第四章 網(wǎng)絡系統(tǒng)物理安全與計算機病毒的防治 網(wǎng)絡系統(tǒng)物理設備的安全包括:運行環(huán)境、容錯、備份、歸檔、數(shù)據(jù)完整性預防。 計算機機房的設計依據(jù)文件:1、電
14、子計算機房設計規(guī)范GB50174-93 2、計算機場、地、站安全要求GB9361-88 3、計算機房場、地、站技術(shù)要求GB2887-89 4、電氣裝置安裝工程、接地裝置施工及驗收規(guī)范GB50169-92 5、建筑內(nèi)部裝修設計防火規(guī)范GB50222-95 6、氣體滅火系統(tǒng)施工、驗收規(guī)范 7、閉路監(jiān)控工程設計、施工規(guī)范8、高層建筑電氣設計手冊。 容錯技術(shù)的目的:當系統(tǒng)發(fā)生某些錯誤或故障時,在不排除錯誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進入應急工作狀態(tài)。 基本的備份系統(tǒng):1、簡單的網(wǎng)絡備份系統(tǒng):在網(wǎng)絡上的服務器直接把數(shù)據(jù)通過總線備份到設備中,也可把數(shù)據(jù)通過對網(wǎng)絡經(jīng)過專用的工作站備份到工作站
15、的設備中2、服務器到服務器的備份:網(wǎng)絡上的服務器除了把數(shù)據(jù)通過總線備份到自己設備中以外,同時有備份到另一個服務器上3、使用專用的備份服務器。 數(shù)據(jù)備份:指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失,而將全系統(tǒng)或部分數(shù)據(jù)集合從應用主機的硬盤或陣列復制到其他的存儲介質(zhì)的過程。 常見的備份方式:1、定期磁帶備份數(shù)據(jù)2、遠程磁帶庫、光盤庫備份3、遠程關(guān)鍵數(shù)據(jù)并兼有磁帶備份4、遠程數(shù)據(jù)庫備份5、網(wǎng)絡數(shù)據(jù)鏡像6、遠程鏡像磁盤。 容滅方案:本地容滅、異地容滅。 歸檔:將文件從計算機的存儲介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上,以便長期保存的過程。 提高數(shù)據(jù)完整性預防措施:1、鏡像技術(shù)2、故障前兆分析3、
16、奇偶校驗4、隔離不安全的人員5、電源保障。 計算機病毒:指編制者在計算機程序中插入的破壞計算機功能,或毀壞數(shù)據(jù),影響計算機使用,并能自我復制的一組計算機指令或者程序代碼。 病毒特征:1、非授權(quán)可執(zhí)行性2、隱蔽性3、傳染性4、潛伏性5、表現(xiàn)性或破壞性6、可觸發(fā)性。 計算機病毒的分類:1、按寄生方式分為引導型病毒、文件型病毒和復合型病毒2、按破壞性分為良性病毒和惡性病毒。 引導型病毒:寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒,按其寄生位置分為主引導記錄病毒和分區(qū)引導記錄病毒。 文件型病毒:指能夠寄生在文件中的計算機病毒。 復合型病毒:指具有引導型病毒和文件型病毒寄生方式的計算機病毒。
17、良性病毒:指只是為了表現(xiàn)自身,并不徹底破壞系統(tǒng)數(shù)據(jù),但會大量占用CPU時間,增加系統(tǒng)開銷,降低系統(tǒng)工作效率的計算機病毒。 惡性病毒:指一旦發(fā)作后,就會破壞系統(tǒng)或數(shù)據(jù),造成計算機系統(tǒng)癱瘓的計算機病毒。 病毒的主要來源:1、引進的計算機系統(tǒng)和軟件中帶有病毒2、各類出國人員帶回的機器和軟件染有病毒3、一些染有病毒的游戲軟件4、非法拷貝中毒5、計算機生產(chǎn)、經(jīng)營單位銷售的機器和軟件染有病毒6、維修部門交叉感染7、有人研制、改造病毒8、敵對分子以病毒進行宣傳和破壞9、通過互聯(lián)網(wǎng)絡傳入。 計算機病毒的防治策略:1、依法制毒2、建立一套行之有效的病毒防治體系3、制定嚴格的病毒防治技術(shù)規(guī)范。 第五章 防
18、火墻與VPN技術(shù) 防火墻:是一類防范措施的總稱,它使得內(nèi)部網(wǎng)絡與internet之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪,用來保護內(nèi)部網(wǎng)絡。 防火墻的設計原則:1、由內(nèi)到外和由外到內(nèi)的業(yè)務流必須經(jīng)過防火墻2、只允許本地安全政策認可的業(yè)務流通過防火墻3、盡可能控制外部用戶訪問內(nèi)域網(wǎng),應嚴格限制外部用戶進入內(nèi)域網(wǎng)4、具有足夠的透明性,保證正常業(yè)務的流通5、具有抗穿透攻擊能力、強化記錄、審計和告警。 防火墻的基本組成:1、安全操作系統(tǒng)2、過濾器3、網(wǎng)管4、域名服務5、E-mail處理。 防火墻的分類:1、包過濾型2、包檢驗性3、應用層網(wǎng)管型。 防火墻不能解決的問題:1、無法防范通過防火
19、墻意外的其他途徑的攻擊2、不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅3、不能防止傳送已感染病毒的軟件或文件4、無法防范數(shù)據(jù)驅(qū)動型的攻擊。 虛擬專用網(wǎng)VPN:通過一個公共網(wǎng)絡建立一個臨時的、安全的連接,是一條穿過混亂的功用網(wǎng)絡的安全、穩(wěn)定的隧道,它是對企業(yè)內(nèi)部網(wǎng)的擴展。 VPN功能:1、加密數(shù)據(jù)2、信息認證和身份認證3、提供訪問控制。 VPN優(yōu)點:1、成本較低2、網(wǎng)絡結(jié)構(gòu)靈活3、管理方便。 隧道協(xié)議分為:第2層隧道協(xié)議PPTP、L2F、L2TP和第3層隧道協(xié)議GRE、IPSec,其本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中傳輸?shù)摹? 隧道協(xié)議主要包括:1、互聯(lián)網(wǎng)協(xié)議安全IPSec
20、 2、第2層轉(zhuǎn)發(fā)協(xié)議L2F 3、點對點隧道協(xié)議PPTP 4、通用路由封裝協(xié)議GRE。 隧道的基本組成:1、一個隧道啟動器2、一個路由網(wǎng)絡3、一個可選的隧道交換機4、一個或多個隧道終結(jié)器。 IPSec:是一系列保護IP通信的規(guī)則的集合,制定了通過公用網(wǎng)路傳輸私有加密信息的途徑和方式。 IPSec提供的安全服務:私有性(加密)、真實性(驗證發(fā)送者的身份)、完整性(放數(shù)據(jù)篡改)和重傳保護(防治未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送)等,并制定了密鑰管理的方法。 IPSec的兩種工作模式:1、傳輸模式2、隧道模式。 VPN解決方案分為:VPN服務器和VPN客戶端。 選擇VPN解決方案時需要考慮:1、認證方
21、法2、支持的加密算法3、支持的認證算法4、支持的IP壓縮算法5、易于部署6、兼容分布式或個人防火墻的可用性。 VPN的適用范圍:1、位置眾多2、用戶或站點分布范圍廣3、帶寬和時延要求相對適中的用戶4、對線路保密性和可用性有一定要求的用戶。 VPN不適用于:1、非常重視傳輸數(shù)據(jù)的安全性2、不管價格多少,性能都被放在第一位的情況3、采用不常見的協(xié)議,不能在IP隧道中傳送應用的情況4、大多數(shù)通信是是是通信的應用。 VPN的分類:1、按部署模式分為端到端模式、供應商-企業(yè)模式、內(nèi)部供應商模式2、按服務類型分為Internet VPN、Access VPN、Extranet VPN 3、按接入方式
22、分為虛擬專用撥號網(wǎng)絡VPDN、虛擬專用路由網(wǎng)絡VPRN、虛擬租用線路VLL、虛擬專用LAN子網(wǎng)段VPLS。 Internet VPN:即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng);其對用戶的吸引力在于減少WAN帶寬的費用、能使用靈活的拓撲結(jié)構(gòu),包括全網(wǎng)絡連接、新的站點能更快更容易的被連接。 Access VPN:又稱為撥號VPN,指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)筑的虛擬網(wǎng);包括模擬、撥號、ISDN、數(shù)字用戶線路、移動IP和電纜技術(shù);其對用戶的吸引力在于減少用于相關(guān)的調(diào)制解調(diào)器和終端服務設備的資金及費用,簡化網(wǎng)絡、實現(xiàn)本地撥號接入的功能來取代遠距離接入或800電話接入,顯
23、著降低遠距離通信的費用、極大地可擴展性,簡便的對加入網(wǎng)絡的新用戶進行調(diào)度、遠端驗證撥入用戶服務基于標準,基于策略功能的安全服務、將工作重心從管理和保留運作撥號網(wǎng)絡的工作人員轉(zhuǎn)到公司的核心業(yè)務上來。 Extranet VPN:即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng);其對用戶的吸引力在于能容易的對外部網(wǎng)進行部署和管理,外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠端訪問VPN相同的架構(gòu)和協(xié)議進行部署;主要的不同是接入許可,外部網(wǎng)的用戶被許可只有一次機會連接到其合作人的網(wǎng)絡。 VPN的設計原則:1、安全性2、網(wǎng)絡優(yōu)化3、VPN管理。 VPN的管理目標:1、減少網(wǎng)
24、絡風險2、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。 VPN管理主要包括:安全管理、設備管理、配置管理、訪問控制列表管理、Qos服務質(zhì)量管理等。 VPN應用前景:1、客觀因素(包括因特網(wǎng)帶寬和服務質(zhì)量Qos問題)2、主觀因素(用戶害怕自己內(nèi)部的數(shù)據(jù)在internet上傳輸不安全;客戶自身的應用跟不上)。 第六章 接入控制與數(shù)據(jù)庫加密 接入控制:是保證網(wǎng)絡安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權(quán)訪問,在對主體認證之后實施網(wǎng)絡資源安全管理使用。 接入控制主要對付三類入侵者:1、偽裝者2、違法者3、地下用戶。 接入控制的功能:1、組織非法用戶進入系統(tǒng)2、允許合法用
25、戶進入系統(tǒng)3、使合法人按其權(quán)限進行各種信息活動。 接入控制機構(gòu)的組成:1、用戶的認證與識別2、對認證的用戶進行授權(quán)。 接入控制機構(gòu)的建立根據(jù)三種類型信息:主體、客體、接入權(quán)限。 接入控制策略包括:1、最小權(quán)益策略:按主體執(zhí)行任務所需權(quán)利最小化分配權(quán)力2、最小泄露策略:按主體執(zhí)行任務所知道的信息最小化原則分配權(quán)力3、多級安全策略:主題和客體按普通、秘密、機密、絕密級劃分,進行權(quán)限和流向控制。 接入控制的實現(xiàn)方式:1、自主式接入控制DAC(由資源擁有者分配接入權(quán)) 2、強制式接入控制MAC(由系統(tǒng)管理員分配接入權(quán)限和實施控制)。 數(shù)據(jù)加密的必要性:1、解決外部黑客侵入網(wǎng)絡后盜竊計算機數(shù)據(jù)
26、的問題2、解決外部黑客侵入網(wǎng)絡后篡改數(shù)據(jù)的問題3、解決內(nèi)部黑客在內(nèi)連網(wǎng)上盜竊計算機數(shù)據(jù)的問題4、解決內(nèi)部黑客在內(nèi)連網(wǎng)上篡改數(shù)據(jù)的問題5、解決CPU、操作系統(tǒng)等預先安置了黑客軟件或無線發(fā)射裝置的問題。 數(shù)據(jù)加密的作用:1、解決外部黑客侵入網(wǎng)絡后盜竊計算機數(shù)據(jù)的問題2、解決外部黑客侵入網(wǎng)絡后篡改數(shù)據(jù)的問題3、解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計算機數(shù)據(jù)的問題4、解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問題5、解決CPU、操作系統(tǒng)等預先安置了黑客軟件或無線發(fā)射裝置的問題。 對數(shù)據(jù)庫加密的方法:1、使用加密軟件加密數(shù)據(jù)2、使用專用軟件加密數(shù)據(jù)庫數(shù)據(jù)3、加密橋技術(shù)。 加密橋技術(shù):是一個數(shù)據(jù)庫加密應用設計平臺,根據(jù)
27、應用系統(tǒng)開發(fā)環(huán)境不同,提供不同接口,實現(xiàn)對不同環(huán)境下數(shù)據(jù)庫數(shù)據(jù)加密以后的數(shù)據(jù)操作。 第七章 證書系統(tǒng)與身份確認 身份證明系統(tǒng)的組成:1、出示證件的人2、驗證者3、可信賴者。 實體認證與消息認證的差別:消息認證本身不提供時間性,而實體認證一般都是實時的,實體認證通常證實實體本身,而消息認證除了證實消息的合法性和完整性外,還要知道消息的含義。 對身份證明系統(tǒng)的要求:1、驗證者正確識別合法示證者的概率極大化2、不具可傳遞性3、攻擊者偽裝示證者欺騙驗證者成功的概率小到可以忽略4、計算有效性5、通信有效性6.秘密參數(shù)安全存儲7、交互識別8、第三方的實時參與9、第三方的可信賴性10、可證明安全性。
28、 身份證明的分類:1、身份證實2、身份識別。 實現(xiàn)身份證明的基本途徑:1、所知2、所有3、個人特征。 身份證明系統(tǒng)的質(zhì)量指標:1、拒絕率及非法用戶為早身份成功的概率2、漏報率。 一個大系統(tǒng)的通行字選擇原則:1、易記2、難于被別人猜中或發(fā)現(xiàn)3、抗分析能力強。 通行字PIN的控制措施:1、系統(tǒng)消息2、限制試探次數(shù)3、通行字有效期4、雙通行字系統(tǒng)5、最小長度6、封鎖用戶系統(tǒng)7、根通行字的保護8、通行字的檢驗。 通行字的安全存儲:1、加密形式存儲2、存儲通行字的單向雜湊值。 Kerberos:是一種典型的用于客戶機和服務器認證的認證體系協(xié)議,它是一種基于對稱密碼體制的安全認證服務系統(tǒng);其
29、最大的優(yōu)點是使用方便、易于實施。 Kerberos的作用:提供中心認證服務,并應用傳統(tǒng)的加密方法,在客戶機和服務器之間構(gòu)造起一個安全橋梁的作用。 Kerberos系統(tǒng)的組成:1、認證服務器AS 2、票據(jù)授權(quán)服務器TGS 3、用戶Client 4、服務器Server。 Kerberos的認證服務包括:域內(nèi)認證和域間認證。 Kerberos的局限性:1、時間同步2、重放攻擊3、認證域之間的信任4、系統(tǒng)程序的安全性和完整性5、口令猜測攻擊6、密鑰的存儲。 第八章 公鑰證書與證書機構(gòu) 數(shù)字認證:指用數(shù)字辦法確認、鑒定、認證網(wǎng)絡上參與信息交流者或服務器的身份。 數(shù)字證書:是一個擔保個人、計
30、算機系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。 公鑰數(shù)字證書:是網(wǎng)絡上的證明文件,證明雙鑰體制中的公鑰所有者就是證書上所記錄的使用者。 公鑰證書體統(tǒng)的分類:單公鑰證書系統(tǒng)、多公鑰證書系統(tǒng)。 單公鑰證書系統(tǒng):一個系統(tǒng)中所有的用戶公用同一個CA。 證書有效需滿足的條件:1、證書沒有超過有效期2、密鑰沒有被修改3、證書不在CA發(fā)行的無效證書清單中。 公鑰證書的類型:1、客戶證書2、服務器證書3、安全郵件證書4、CA證書。 公鑰證書的內(nèi)容:申請證書個人的信息和發(fā)行證書的CA信息。 證書數(shù)據(jù)的組成:1、版本信息2、證書序列號3、CA所使用的簽名算法4、發(fā)證者的識別碼5、有效使用期限6、證書
31、主題名稱7、公鑰信息8、使用者Subject 9、使用者識別碼10、額外的特別擴展信息。 密鑰對生成的途徑:1、密鑰對持有者自己生成2、密鑰對由通用系統(tǒng)生成。 公鑰-私鑰對的管理包括:公鑰-私鑰對生成、發(fā)行、分配、更新、暫停使用、吊銷注冊等。 證書吊銷表CRL:包括名稱、發(fā)布時間、已吊銷證書號、吊銷時戳、CA簽名等;其吊銷方式有廣播、立即吊銷。 VeriSign將數(shù)字證書分為:個人、服務器、軟件三類。 證書機構(gòu)CA:用于創(chuàng)建和發(fā)布證書,它通常為一個稱為安全域的有限群體發(fā)放證書。 CA的組成:1、安全服務器2、CA服務器3、注冊機構(gòu)RA 4、LDAP服務器5、數(shù)據(jù)庫服務器。 認證機
32、構(gòu):指一些不直接從電子商務中獲利的受法律承認的可信任的權(quán)威機構(gòu),負責發(fā)放和管理電子證書,使網(wǎng)上通信的各方能互相確認身份。 認證機構(gòu)提供的服務:1、證書申請2、證書更新(包括證書的更換、證書的延期)3、證書吊銷或撤銷(分為主動申請吊銷、被動強制性吊銷)4、證書的公布和查詢。 第九章 公鑰基礎設施 公鑰基礎設施PKI:是一種遵循既定標準的利用公鑰密碼技術(shù)為電子商務的開展提供一套安全基礎平臺的技術(shù)和規(guī)范,他能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所需的密鑰和證書管理體系。 PKI的基礎技術(shù)包括:加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。 PKI的構(gòu)成:1、政策審批機
33、構(gòu)2、證書使用規(guī)定3、證書政策4、證書中心CA 5、單位注冊機構(gòu)6、密鑰備份及恢復系統(tǒng)7、證書作廢系統(tǒng)8、應用接口9、端實體。 PKI的性能:1、支持多政策2、透明性和易用性3、互操作性4、簡單的風險管理5、支持多平臺6、支持多應用。 PKI服務:1、認證2、數(shù)據(jù)完整性服務(主要方法是數(shù)字簽名)3、數(shù)據(jù)保密性服務4、不可否認性服務5、公證服務。 PKI的應用:1、虛擬專用網(wǎng)絡VPN 2、安全電子郵件3、Web安全4、電子商務的應用5、應用編程接口API。 密鑰管理的目的:維持系統(tǒng)中各實體之間的密鑰關(guān)系。 密鑰管理借助的技術(shù):加密、認證、簽字、協(xié)議、公證等。 不可否認業(yè)務的類型:源的
34、不可否認性、遞送的不可否認性、提交的不可否認性。 實現(xiàn)不可否認性的證據(jù)機制:1、業(yè)務需求2、證據(jù)生成3、證據(jù)遞送4、證據(jù)證實5、證據(jù)保存。 實現(xiàn)源的不可否認業(yè)務的方法:1、源的數(shù)字簽字2、可信賴第三方的數(shù)字簽字3、可信賴第三方對消息的雜湊值進行簽字4、可信賴第三方的持證5、線內(nèi)可信賴第三方6、組合。 實現(xiàn)遞送的不可否認性的方式:1、收信人簽字認可2、收信人利用持證認可3、可信賴遞送代理4、逐級遞送報告。 可信賴第三方在實現(xiàn)不可否認業(yè)務中的重要作用:1、公鑰證書2、身份證實3、時戳4、證據(jù)保存5、中介遞送6、解決糾紛7、仲裁 解決糾紛的步驟:1、檢索不可否認證據(jù)2、向?qū)Ψ匠鍪咀C據(jù)3、向
35、解決糾紛的仲裁人出示證據(jù)4、裁決。 第十章 電子商務的安全協(xié)議 安全套接層協(xié)議SSL提供的安全內(nèi)容:1、SSL把客戶機和服務器之間的所有通信都進行加密,保證了機密性2、SSL提供完整性檢驗,可防止數(shù)據(jù)在通信過程中被改動3、SSL提供認證性—使用數(shù)字證書—用以正確識別對方。 SSL的體系結(jié)構(gòu):1、SSL記錄協(xié)議:定義了信息交換中所有數(shù)據(jù)項的格式2、SSL更改密碼規(guī)格協(xié)議:其目的是使未決狀態(tài)拷貝為當前狀態(tài),更新用于當前連接的密碼組3、SSL警告協(xié)議:用于傳送SSL的有關(guān)警告4、SSL握手協(xié)議:用于客戶-服務器之間相互認證,協(xié)商加密和MAC算法,傳送所需的公鑰證書,建立SSL記錄協(xié)議處理完整性
36、校驗和加密所需的會話密鑰。 安全數(shù)據(jù)交換協(xié)議SET的目標:1、信息的安全傳輸2、多方認證的解決3、交易的實時性4、效仿EDI貿(mào)易形勢,規(guī)范協(xié)議和消息格式。 SET:是一種以信用卡為基礎的,在internet上交易的付款協(xié)議,是授權(quán)業(yè)務信息傳輸?shù)陌踩珮藴?;它采用RSA密碼算法,利用公鑰體系對通信雙方進行認證,用DES等標準加密算法對信息加密傳輸,并用散列函數(shù)算法來鑒別信息的完整性。 參與SET交易的成員:1、持卡人-消費者2、網(wǎng)上商店3、收單銀行4、發(fā)卡銀行-電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行5、認證中心CA-可信賴、公正的組織6、支付網(wǎng)關(guān)-支付轉(zhuǎn)接站。 SET的技術(shù)范圍:1、加密
37、算法的應用2、證書信息和對象格式3、購買信息和對象格式4、認可信息和對象格式5、劃賬信息和對象格式6、對話實體之間消息的傳輸協(xié)議。 SET軟件的組件:1、電子錢包2、商店服務器3、支付網(wǎng)關(guān)4、認證中心軟件。 SET的認證過程:1、注冊登記2、動態(tài)認證3、商業(yè)機構(gòu)處理流程。 SET的安全保障來自于:1、將所有消息文本用雙鑰密碼體質(zhì)加密2、將密鑰的公鑰和私鑰字長增加到512B-2048B 3、采用聯(lián)機動態(tài)的授權(quán)和認證檢查。 SET規(guī)范的電子錢包的功能:1、與商店端的SET軟件溝通,以激活SET交易2、向商店端查詢有關(guān)付款和訂貨的相關(guān)信息3、接受來自商店端的響應信息4、向認證中心要求申請數(shù)字
38、證書,并下載數(shù)字證書的申請表5、從認證中心下載持卡人的數(shù)字證書6、與認證正中心溝通,查詢數(shù)字證書目前的狀態(tài)。 電子錢包功能分類:1、電子證書的管理(電子證書的申請、存儲以及刪除等)2、進行交易(SET交易時分辨商家身份并發(fā)送交易信息)3、保存交易記錄(保存交易記錄以供查詢)。 商店服務器:是商店提供SET服務的軟件。 SET商店服務器的功能:1、聯(lián)系客戶端的電子錢包2、聯(lián)系支付網(wǎng)關(guān)3、向商店的認證中心查詢數(shù)字證書的狀態(tài)4、處理SET的錯誤信息。 支付網(wǎng)關(guān):是Internet電子商務網(wǎng)絡上的一個站點,負責接收來自商店服務器送來的SET付款數(shù)據(jù),再轉(zhuǎn)換成銀行網(wǎng)絡的格式,傳送給收單銀行處理。
39、 SET購物步驟:1、安裝電子錢包2、申請信用卡及電子證書SETID 3、購物。 SET購物過程:1、持卡人訂貨2、通過電子商務服務器與有關(guān)在線商店聯(lián)系,在線商店作出應答3、持卡人選擇付款方式,確認訂單,簽發(fā)付款指令4、商店通過收單銀行檢查信用卡的有效性5、收單銀行的確認6、在線商店發(fā)送訂單確認信息給持卡人7、結(jié)賬。 SET與SSL的比較:1、使用目的和場合;前者主要用于信用卡交易,傳送電子現(xiàn)金,后者用于購買信息的交流,傳送電子商貿(mào)信息2、安全性;前者要求很高,整個交易過正中都要保護,后者要求很低,因為保護范圍只是持卡人到商家一端的信息交換3、必須具有認證資格對象;前者安全需求高,因此所
40、有參與者與SET交易的成員都必須先申請數(shù)字證書來識別身份,后者通常只是商家一段的服務器,客戶端認證是可選的4、實施時所需的設置費用;前者較高,持卡人必須先申請數(shù)字證書,然后在計算機上安裝符合SET規(guī)格的電子錢包軟件,后者較低,不需要另外安裝軟件5、當前使用情況;前者由于設置成本高和引入時間短,目前普及率較低,后者普及率較高。 第十一章 國內(nèi)CA認證中心及CFCA金融認證服務相關(guān)業(yè)務規(guī)則 中國金融認證中心CFCA:是國內(nèi)唯一一家能夠全面支持電子商務安全支付業(yè)務的第三方網(wǎng)上專業(yè)信任服務機構(gòu);其認證系統(tǒng)采用基于PKI技術(shù)的雙密鑰機制;具有完善的證書管理功能,提供證書申請、審核、生成、頒發(fā)、存儲、
41、查詢、廢止等全程自動審計服務。 CFCA體系結(jié)構(gòu):1、根CA 2、政策CA 3、運營CA(CA系統(tǒng)、整數(shù)注冊審批機構(gòu)RA)。 CFCA證書:是CFCA用其私鑰進行了數(shù)字簽名的包含用戶身份、公開密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件,是各實體在網(wǎng)上的電子身份證。 CFCA證書種類:企業(yè)高級證書、個人高級證書、企業(yè)普通證書、個人普通證書、服務器證書、手機證書、安全E-mail證書、VPN設備證書、代碼簽名證書。 網(wǎng)上證券交易分為:網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬。 CTCA:中國電信CA安全認證系統(tǒng)。 CTCA體系:1、全國CA安全認證中心2、省級RA中心3、地市業(yè)務受理點。 CTCA提
42、供的幾種證書:安全電子郵件證書、個人數(shù)字證書、企業(yè)數(shù)字證書、服務器數(shù)字證書、SSL服務器數(shù)字證書。 SHECA:上海市電子商務安全證書管理中心有限公司。 SHECA提供的證書系統(tǒng):1、SET證書系統(tǒng)2、通用證書系統(tǒng)。 證書存放的介質(zhì):可以使硬盤、軟盤、IC卡、加密卡、加密機。 證書管理器將證書分為:個人證書、他人證書、根證書。 CFCA金融認證服務相關(guān)業(yè)務規(guī)則:1、網(wǎng)關(guān)(銀行)業(yè)務規(guī)則2、商戶(企業(yè))業(yè)務規(guī)則3、持卡人(個人)業(yè)務規(guī)則4、中介機構(gòu)業(yè)務規(guī)則。 持卡人證書申請分為:網(wǎng)上申請和面對面申請。 --------------------------------------------------
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2023年六年級數(shù)學下冊6整理和復習2圖形與幾何第7課時圖形的位置練習課件新人教版
- 2023年六年級數(shù)學下冊6整理和復習2圖形與幾何第1課時圖形的認識與測量1平面圖形的認識練習課件新人教版
- 2023年六年級數(shù)學下冊6整理和復習1數(shù)與代數(shù)第10課時比和比例2作業(yè)課件新人教版
- 2023年六年級數(shù)學下冊4比例1比例的意義和基本性質(zhì)第3課時解比例練習課件新人教版
- 2023年六年級數(shù)學下冊3圓柱與圓錐1圓柱第7課時圓柱的體積3作業(yè)課件新人教版
- 2023年六年級數(shù)學下冊3圓柱與圓錐1圓柱第1節(jié)圓柱的認識作業(yè)課件新人教版
- 2023年六年級數(shù)學下冊2百分數(shù)(二)第1節(jié)折扣和成數(shù)作業(yè)課件新人教版
- 2023年六年級數(shù)學下冊1負數(shù)第1課時負數(shù)的初步認識作業(yè)課件新人教版
- 2023年六年級數(shù)學上冊期末復習考前模擬期末模擬訓練二作業(yè)課件蘇教版
- 2023年六年級數(shù)學上冊期末豐收園作業(yè)課件蘇教版
- 2023年六年級數(shù)學上冊易錯清單十二課件新人教版
- 標準工時講義
- 2021年一年級語文上冊第六單元知識要點習題課件新人教版
- 2022春一年級語文下冊課文5識字測評習題課件新人教版
- 2023年六年級數(shù)學下冊6整理和復習4數(shù)學思考第1課時數(shù)學思考1練習課件新人教版