自學(xué)考試 電子商務(wù)安全導(dǎo)論 00997 重點(diǎn)整理 考試必過(guò)

《自學(xué)考試 電子商務(wù)安全導(dǎo)論 00997 重點(diǎn)整理 考試必過(guò)》由會(huì)員分享，可在線閱讀，更多相關(guān)《自學(xué)考試 電子商務(wù)安全導(dǎo)論 00997 重點(diǎn)整理 考試必過(guò)（54頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more. ------------------------------------------author ------------------------------------------date 自學(xué)考試 電子商務(wù)安全導(dǎo)論 00997 重點(diǎn)整理 考試必過(guò) 自學(xué)考試 電子商務(wù)安全導(dǎo)論 00997 重點(diǎn)整理 考試必過(guò) 第一章 電子商務(wù)安全基礎(chǔ) 商務(wù)：是經(jīng)濟(jì)領(lǐng)域特別是

2、市場(chǎng)經(jīng)濟(jì)環(huán)境下的一種社會(huì)活動(dòng)，它涉及貨品、服務(wù)、金融、知識(shí)信息等的交易。 電子商務(wù)：是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用電子技術(shù)加強(qiáng)、加快、擴(kuò)展、增強(qiáng)、改變了其有關(guān)過(guò)程的商務(wù)。 電子商務(wù)主客體關(guān)系分為：1、B2B企業(yè)、機(jī)構(gòu)之間2、B2C企業(yè)與消費(fèi)者之間3、C2C個(gè)人用戶之間4、B2G企業(yè)政府之間。 電子商務(wù)的技術(shù)要素組成：1、網(wǎng)絡(luò)2、應(yīng)用軟件3、硬件。 電子商務(wù)的常見模式：1、大字報(bào)或告示牌模式2、在線黃頁(yè)簿模式3、電腦空間上的小冊(cè)子模式4、虛擬百貨店模式5、預(yù)定或訂購(gòu)模式6、廣告推銷模式。 因特網(wǎng)的優(yōu)劣勢(shì)：1、優(yōu)勢(shì)：廣袤覆蓋及開放結(jié)構(gòu)，由于它是開放結(jié)構(gòu)，許多企業(yè)及用戶可以按統(tǒng)一

3、的技術(shù)標(biāo)準(zhǔn)和較合理的費(fèi)用連接上網(wǎng)，使網(wǎng)上的主機(jī)服務(wù)器和終端用戶以滾雪球的速度增加，也使其覆蓋率增長(zhǎng)至幾乎無(wú)限2、劣勢(shì)：因特網(wǎng)的管理松散，網(wǎng)上內(nèi)容難以控制，私密性難以保障，從電子商務(wù)等應(yīng)用看，安全性差也是因特網(wǎng)的又一大缺點(diǎn)。 內(nèi)域網(wǎng)（Intranet）：是由某一企業(yè)或機(jī)構(gòu)利用因特網(wǎng)的技術(shù)，即因特網(wǎng)的標(biāo)準(zhǔn)和協(xié)議等，建立起來(lái)的該企業(yè)專用的計(jì)算機(jī)網(wǎng)絡(luò)。 防火墻：是一個(gè)介乎內(nèi)域網(wǎng)和因特網(wǎng)其他部分之間的安全服務(wù)器。 外域網(wǎng)（Extranet）：用內(nèi)域網(wǎng)同樣的辦法建立的一個(gè)連接相關(guān)企業(yè)、單位、機(jī)構(gòu)的專用網(wǎng)絡(luò)。 EDI的信息傳輸方式：存儲(chǔ)-轉(zhuǎn)發(fā)。 電子商務(wù)的驅(qū)動(dòng)力：1、信息產(chǎn)品硬件制造商2、信息產(chǎn)品

4、軟件廠商3、大型網(wǎng)上服務(wù)廠商4、銀行及金融機(jī)構(gòu)5、大企業(yè)6、政府。 電子商務(wù)的安全隱患：1、數(shù)據(jù)的安全2、交易的安全。 電子商務(wù)系統(tǒng)可能遭受的攻擊：1、系統(tǒng)穿透2、違反授權(quán)原則3、植入4、通信監(jiān)視5、通信竄擾6、中斷7、拒絕服務(wù)8、否認(rèn)9、病毒。 電子商務(wù)安全的中心內(nèi)容：1、商務(wù)數(shù)據(jù)的機(jī)密性2、完整性3、商務(wù)對(duì)象的認(rèn)證性4、商務(wù)服務(wù)的不可否認(rèn)性5、商務(wù)服務(wù)的不可拒絕性6、訪問(wèn)的控制性等。 產(chǎn)生電子商務(wù)安全威脅的原因：1、internet在安全方面的缺陷2、Internet的安全漏洞3、TCP/IP協(xié)議極其不安全性4、E-mail，Telnet及網(wǎng)頁(yè)的不安全性。 Internet系統(tǒng)的

5、構(gòu)建組成：1、客戶端軟件（Web瀏覽器）2、客戶端的操作系統(tǒng)3、客戶端的局域網(wǎng)（LAN）4、Internet網(wǎng)絡(luò)5、服務(wù)器端的局域網(wǎng)（LAN）6、服務(wù)器上的Web服務(wù)器軟件。 對(duì)安全的攻擊：主動(dòng)攻擊、被動(dòng)攻擊。 對(duì)internet攻擊的四種類型：1、截?cái)嘈畔?、偽造3、篡改4、介入。 IP協(xié)議的安全隱患：1、針對(duì)IP的拒絕服務(wù)攻擊2、IP地址的順序號(hào)預(yù)測(cè)攻擊3、TCP協(xié)議劫持入侵4、嗅探入侵。 HTTP協(xié)議：是客戶機(jī)請(qǐng)求服務(wù)器和服務(wù)器如何應(yīng)答請(qǐng)求的各種方法的定義。 WEB客戶機(jī)的任務(wù)：1、為客戶提出一個(gè)服務(wù)請(qǐng)求2、將客戶的請(qǐng)求發(fā)送給服務(wù)器3、解釋服務(wù)器傳送的HTML等格式文檔，通過(guò)瀏

6、覽器顯示給客戶。 WEB服務(wù)器的任務(wù)：1、接收客戶機(jī)來(lái)的請(qǐng)求2、檢查請(qǐng)求的合法性3、針對(duì)請(qǐng)求，獲取并制作數(shù)據(jù)，包括使用CGI腳本等程序、為文件設(shè)置適當(dāng)?shù)腗IME類型來(lái)對(duì)數(shù)據(jù)進(jìn)行前期處理和后期處理4、把信息發(fā)送給提出請(qǐng)求的客戶機(jī)。 WEB站點(diǎn)的安全隱患：1、機(jī)密信息被竊取2、數(shù)據(jù)及軟硬件系統(tǒng)被破壞。 攻擊WEB站點(diǎn)的幾種方式：1、安全信息被破譯2、非法訪問(wèn)3、交易信息被截獲4、軟件漏洞被攻擊者利用等。 E-mail和Telnet及網(wǎng)頁(yè)的不安全性：1、E-mail的不安全性2、入侵Telnet會(huì)話3、網(wǎng)頁(yè)作假4、電子郵件炸彈和電子郵件列表鏈接。 對(duì)電子商務(wù)威脅的相應(yīng)對(duì)策：1、保密業(yè)務(wù)2、

7、認(rèn)證業(yè)務(wù)3、接入控制業(yè)務(wù)4、數(shù)據(jù)完整性業(yè)務(wù)5、不可否認(rèn)業(yè)務(wù)6、加快我國(guó)自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)安全產(chǎn)品的研制和開發(fā)等。 《可信任的計(jì)算機(jī)安全評(píng)估標(biāo)準(zhǔn)》：美國(guó)，為計(jì)算機(jī)安全的不同等級(jí)制訂了四個(gè)標(biāo)準(zhǔn)分別為D、C、B、A級(jí)，由低到高，C級(jí)氛圍C1和C2兩個(gè)子集，C2比C1提供更多的保護(hù)，總體由低到高為D、C1、C2、B1、B2、B3、A。 第二章 電子商務(wù)安全需求與密碼技術(shù) 電子商務(wù)的安全需求：1、可靠性2、真實(shí)性3、機(jī)密性4、完整性5、有效性6、不可抵賴性7、內(nèi)部網(wǎng)的嚴(yán)重性。 加密：用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過(guò)程。

8、 加密的基本概念縮寫：1、明文M 2、密文C 3、加密E 4、解密D 5、密鑰K。 加密的表示方法：C=Ek(M) 密文=加密k（明文）。 解密的表示方法：M=Dk(C) 明文=解密k（密文）。 加密方法：1、替換加密（單字母加密方法、多字母加密方法）2、轉(zhuǎn)換加密。 單鈅密碼體制特點(diǎn)：1、加解密速度快，效率高2、單鈅密碼體制的加解密過(guò)程使用同一個(gè)密鑰。 單鈅密碼體制的幾種算法：1、DES加密算法2、IDEA加密算法3、RC-5加密算法4、AES加密算法。 雙鈅密碼體制：又稱作公共密鑰體制或非對(duì)稱加密體制，在加解密過(guò)程中要使用一對(duì)密鑰，一個(gè)用于加密，一個(gè)用于解密。 雙鈅密碼體制的特

9、點(diǎn)：1、適合密鑰的分配和管理2、算法速度慢，只適合加密小數(shù)量的信息。 雙鈅密碼體制的幾種算法：1、RSA密碼算法2、ELGamal密碼體制3、橢圓曲線密碼體制（ECC）。 密鑰管理包括：密鑰的設(shè)置、產(chǎn)生、分配、存儲(chǔ)、裝入、保護(hù)、使用以及銷毀等。 密鑰管理方案：一般采用層次的密鑰設(shè)置。 多層次密鑰系統(tǒng)中密鑰的分類：1、數(shù)據(jù)加密密鑰DK2、密鑰加密密鑰KK。 多層次密鑰系統(tǒng)中密鑰的劃分：按照他們的控制關(guān)系，劃分為一級(jí)密鑰、二級(jí)密鑰、n級(jí)密鑰，其中一級(jí)密鑰用算法n保護(hù)二級(jí)密鑰，二級(jí)密鑰用算法n保護(hù)三級(jí)密鑰，最底層密鑰也叫做工作密鑰，也就是數(shù)據(jù)加密密鑰，所有上層密鑰都是密鑰加密密鑰，最高層密

10、鑰也叫做主密鑰。 自動(dòng)密鑰分配途徑：1、集中式分配方案2、分布式分配方案。 集中式分配方案：利用網(wǎng)絡(luò)中的密鑰管理中心KMC來(lái)集中管理系統(tǒng)中的密鑰，密鑰管理中心接受系統(tǒng)中用戶的請(qǐng)求，為用戶提供安全分配蜜月的服務(wù)。 分布式分配方案：網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密鑰分配取決于它們自己的協(xié)商，不接受任何其他方面的限制。 第三章 密碼技術(shù)的應(yīng)用 數(shù)據(jù)的完整性：在有自然或人為干擾的條件下，網(wǎng)絡(luò)系統(tǒng)保持發(fā)送方和接收方傳送數(shù)據(jù)一致性的能力，是保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除及重復(fù)傳送，或防止由于其他原因使原始數(shù)據(jù)被更改。 數(shù)據(jù)完整性被破壞的后果：1、造成直接的經(jīng)濟(jì)損失2、影響一

11、個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)3、可能造成不過(guò)不了“關(guān)”4、會(huì)牽涉到經(jīng)濟(jì)案件中5、造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任。 散列函數(shù)：是將一個(gè)長(zhǎng)度不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的輸出串（輸出串要不輸入串短），也稱哈希值、雜湊值和消息摘要，其安全性在于它的單向性和無(wú)沖突性。 數(shù)字簽名的原理：用散列函數(shù)處理消息得到消息摘要，再用雙鈅密碼體制的私鈅加密。 常用的散列函數(shù)：1、MD-4和MD-5散列算法2、安全散列算法SHA等。 數(shù)字簽名：利用數(shù)字技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)上手書簽名蓋章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。 各種技術(shù)的應(yīng)用：保障傳遞文件的機(jī)密性用加密技術(shù)，保障其完整

12、性用信息摘要技術(shù)，保障認(rèn)證性和不可否認(rèn)性用數(shù)字簽名技術(shù)。 數(shù)字簽名分為：確定性數(shù)字簽名、隨機(jī)化式數(shù)字簽名。 數(shù)字簽名應(yīng)滿足的要求：1、接收方B能夠確認(rèn)或認(rèn)證發(fā)送方A的簽名，但不能由B或第三方C偽造2、發(fā)送方A發(fā)出簽名的消息給接收方B后，A就不能再否認(rèn)自己所簽發(fā)的消息3、接收方B對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證4、第三者C可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過(guò)程。 數(shù)字簽名可以解決的安全界別問(wèn)題：1、接收方偽造2、發(fā)送者或接受者否認(rèn)3、第三方冒充4、接收方篡改。 ELGamal簽名體制：美國(guó)NIST把它作為數(shù)字簽名標(biāo)準(zhǔn)DDS，是Rabin體制的一種變形。 RSA簽名體

13、制：利用雙鈅密碼體制的RSA加密算法實(shí)現(xiàn)數(shù)字簽名。 無(wú)可爭(zhēng)辯簽名：在沒有簽名者自己合作下不可能驗(yàn)證簽名的簽名。 盲簽名：要某人對(duì)一個(gè)文件簽名，而不讓其知道文件內(nèi)容。 數(shù)字信封：發(fā)送方用一個(gè)隨機(jī)產(chǎn)生的DES密鑰加密消息，然后用接受方的公鑰加密DES密鑰，稱為消息的數(shù)字信封。 數(shù)字時(shí)戳應(yīng)當(dāng)保證：1、數(shù)據(jù)文件加蓋的時(shí)戳與存儲(chǔ)數(shù)據(jù)的物理媒體無(wú)關(guān)2、對(duì)已加蓋時(shí)戳的文件不可能做絲毫改動(dòng)3、要相對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同時(shí)戳是不可能的。 第四章 網(wǎng)絡(luò)系統(tǒng)物理安全與計(jì)算機(jī)病毒的防治 網(wǎng)絡(luò)系統(tǒng)物理設(shè)備的安全包括：運(yùn)行環(huán)境、容錯(cuò)、備份、歸檔、數(shù)據(jù)完整性預(yù)防。 計(jì)算機(jī)機(jī)房的設(shè)計(jì)依據(jù)文件：1、電

14、子計(jì)算機(jī)房設(shè)計(jì)規(guī)范GB50174-93 2、計(jì)算機(jī)場(chǎng)、地、站安全要求GB9361-88 3、計(jì)算機(jī)房場(chǎng)、地、站技術(shù)要求GB2887-89 4、電氣裝置安裝工程、接地裝置施工及驗(yàn)收規(guī)范GB50169-92 5、建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范GB50222-95 6、氣體滅火系統(tǒng)施工、驗(yàn)收規(guī)范 7、閉路監(jiān)控工程設(shè)計(jì)、施工規(guī)范8、高層建筑電氣設(shè)計(jì)手冊(cè)。 容錯(cuò)技術(shù)的目的：當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。 基本的備份系統(tǒng)：1、簡(jiǎn)單的網(wǎng)絡(luò)備份系統(tǒng)：在網(wǎng)絡(luò)上的服務(wù)器直接把數(shù)據(jù)通過(guò)總線備份到設(shè)備中，也可把數(shù)據(jù)通過(guò)對(duì)網(wǎng)絡(luò)經(jīng)過(guò)專用的工作站備份到工作站

15、的設(shè)備中2、服務(wù)器到服務(wù)器的備份：網(wǎng)絡(luò)上的服務(wù)器除了把數(shù)據(jù)通過(guò)總線備份到自己設(shè)備中以外，同時(shí)有備份到另一個(gè)服務(wù)器上3、使用專用的備份服務(wù)器。 數(shù)據(jù)備份：指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過(guò)程。 常見的備份方式：1、定期磁帶備份數(shù)據(jù)2、遠(yuǎn)程磁帶庫(kù)、光盤庫(kù)備份3、遠(yuǎn)程關(guān)鍵數(shù)據(jù)并兼有磁帶備份4、遠(yuǎn)程數(shù)據(jù)庫(kù)備份5、網(wǎng)絡(luò)數(shù)據(jù)鏡像6、遠(yuǎn)程鏡像磁盤。 容滅方案：本地容滅、異地容滅。 歸檔：將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上，以便長(zhǎng)期保存的過(guò)程。 提高數(shù)據(jù)完整性預(yù)防措施：1、鏡像技術(shù)2、故障前兆分析3、

16、奇偶校驗(yàn)4、隔離不安全的人員5、電源保障。 計(jì)算機(jī)病毒：指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 病毒特征：1、非授權(quán)可執(zhí)行性2、隱蔽性3、傳染性4、潛伏性5、表現(xiàn)性或破壞性6、可觸發(fā)性。 計(jì)算機(jī)病毒的分類：1、按寄生方式分為引導(dǎo)型病毒、文件型病毒和復(fù)合型病毒2、按破壞性分為良性病毒和惡性病毒。 引導(dǎo)型病毒：寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒，按其寄生位置分為主引導(dǎo)記錄病毒和分區(qū)引導(dǎo)記錄病毒。 文件型病毒：指能夠寄生在文件中的計(jì)算機(jī)病毒。 復(fù)合型病毒：指具有引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒。

17、良性病毒：指只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)數(shù)據(jù)，但會(huì)大量占用CPU時(shí)間，增加系統(tǒng)開銷，降低系統(tǒng)工作效率的計(jì)算機(jī)病毒。 惡性病毒：指一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的計(jì)算機(jī)病毒。 病毒的主要來(lái)源：1、引進(jìn)的計(jì)算機(jī)系統(tǒng)和軟件中帶有病毒2、各類出國(guó)人員帶回的機(jī)器和軟件染有病毒3、一些染有病毒的游戲軟件4、非法拷貝中毒5、計(jì)算機(jī)生產(chǎn)、經(jīng)營(yíng)單位銷售的機(jī)器和軟件染有病毒6、維修部門交叉感染7、有人研制、改造病毒8、敵對(duì)分子以病毒進(jìn)行宣傳和破壞9、通過(guò)互聯(lián)網(wǎng)絡(luò)傳入。 計(jì)算機(jī)病毒的防治策略：1、依法制毒2、建立一套行之有效的病毒防治體系3、制定嚴(yán)格的病毒防治技術(shù)規(guī)范。 第五章 防

18、火墻與VPN技術(shù) 防火墻：是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。 防火墻的設(shè)計(jì)原則：1、由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過(guò)防火墻2、只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過(guò)防火墻3、盡可能控制外部用戶訪問(wèn)內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)4、具有足夠的透明性，保證正常業(yè)務(wù)的流通5、具有抗穿透攻擊能力、強(qiáng)化記錄、審計(jì)和告警。 防火墻的基本組成：1、安全操作系統(tǒng)2、過(guò)濾器3、網(wǎng)管4、域名服務(wù)5、E-mail處理。 防火墻的分類：1、包過(guò)濾型2、包檢驗(yàn)性3、應(yīng)用層網(wǎng)管型。 防火墻不能解決的問(wèn)題：1、無(wú)法防范通過(guò)防火

19、墻意外的其他途徑的攻擊2、不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來(lái)的威脅3、不能防止傳送已感染病毒的軟件或文件4、無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。 虛擬專用網(wǎng)VPN：通過(guò)一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的功用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。 VPN功能：1、加密數(shù)據(jù)2、信息認(rèn)證和身份認(rèn)證3、提供訪問(wèn)控制。 VPN優(yōu)點(diǎn)：1、成本較低2、網(wǎng)絡(luò)結(jié)構(gòu)靈活3、管理方便。 隧道協(xié)議分為：第2層隧道協(xié)議PPTP、L2F、L2TP和第3層隧道協(xié)議GRE、IPSec，其本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中傳輸?shù)摹? 隧道協(xié)議主要包括：1、互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec

20、 2、第2層轉(zhuǎn)發(fā)協(xié)議L2F 3、點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP 4、通用路由封裝協(xié)議GRE。 隧道的基本組成：1、一個(gè)隧道啟動(dòng)器2、一個(gè)路由網(wǎng)絡(luò)3、一個(gè)可選的隧道交換機(jī)4、一個(gè)或多個(gè)隧道終結(jié)器。 IPSec：是一系列保護(hù)IP通信的規(guī)則的集合，制定了通過(guò)公用網(wǎng)路傳輸私有加密信息的途徑和方式。 IPSec提供的安全服務(wù)：私有性（加密）、真實(shí)性（驗(yàn)證發(fā)送者的身份）、完整性（放數(shù)據(jù)篡改）和重傳保護(hù)（防治未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。 IPSec的兩種工作模式：1、傳輸模式2、隧道模式。 VPN解決方案分為：VPN服務(wù)器和VPN客戶端。 選擇VPN解決方案時(shí)需要考慮：1、認(rèn)證方

21、法2、支持的加密算法3、支持的認(rèn)證算法4、支持的IP壓縮算法5、易于部署6、兼容分布式或個(gè)人防火墻的可用性。 VPN的適用范圍：1、位置眾多2、用戶或站點(diǎn)分布范圍廣3、帶寬和時(shí)延要求相對(duì)適中的用戶4、對(duì)線路保密性和可用性有一定要求的用戶。 VPN不適用于：1、非常重視傳輸數(shù)據(jù)的安全性2、不管價(jià)格多少，性能都被放在第一位的情況3、采用不常見的協(xié)議，不能在IP隧道中傳送應(yīng)用的情況4、大多數(shù)通信是是是通信的應(yīng)用。 VPN的分類：1、按部署模式分為端到端模式、供應(yīng)商-企業(yè)模式、內(nèi)部供應(yīng)商模式2、按服務(wù)類型分為Internet VPN、Access VPN、Extranet VPN 3、按接入方式

22、分為虛擬專用撥號(hào)網(wǎng)絡(luò)VPDN、虛擬專用路由網(wǎng)絡(luò)VPRN、虛擬租用線路VLL、虛擬專用LAN子網(wǎng)段VPLS。 Internet VPN：即企業(yè)的總部與分支機(jī)構(gòu)間通過(guò)公網(wǎng)構(gòu)筑的虛擬網(wǎng)；其對(duì)用戶的吸引力在于減少WAN帶寬的費(fèi)用、能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接、新的站點(diǎn)能更快更容易的被連接。 Access VPN：又稱為撥號(hào)VPN，指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)；包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路、移動(dòng)IP和電纜技術(shù)；其對(duì)用戶的吸引力在于減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)、實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入或800電話接入，顯

23、著降低遠(yuǎn)距離通信的費(fèi)用、極大地可擴(kuò)展性，簡(jiǎn)便的對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度、遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)、將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)。 Extranet VPN：即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)；其對(duì)用戶的吸引力在于能容易的對(duì)外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問(wèn)VPN相同的架構(gòu)和協(xié)議進(jìn)行部署；主要的不同是接入許可，外部網(wǎng)的用戶被許可只有一次機(jī)會(huì)連接到其合作人的網(wǎng)絡(luò)。 VPN的設(shè)計(jì)原則：1、安全性2、網(wǎng)絡(luò)優(yōu)化3、VPN管理。 VPN的管理目標(biāo)：1、減少網(wǎng)

24、絡(luò)風(fēng)險(xiǎn)2、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。 VPN管理主要包括：安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、Qos服務(wù)質(zhì)量管理等。 VPN應(yīng)用前景：1、客觀因素（包括因特網(wǎng)帶寬和服務(wù)質(zhì)量Qos問(wèn)題）2、主觀因素（用戶害怕自己內(nèi)部的數(shù)據(jù)在internet上傳輸不安全；客戶自身的應(yīng)用跟不上）。 第六章 接入控制與數(shù)據(jù)庫(kù)加密 接入控制：是保證網(wǎng)絡(luò)安全的重要手段，它通過(guò)一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問(wèn)，在對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源安全管理使用。 接入控制主要對(duì)付三類入侵者：1、偽裝者2、違法者3、地下用戶。 接入控制的功能：1、組織非法用戶進(jìn)入系統(tǒng)2、允許合法用

25、戶進(jìn)入系統(tǒng)3、使合法人按其權(quán)限進(jìn)行各種信息活動(dòng)。 接入控制機(jī)構(gòu)的組成：1、用戶的認(rèn)證與識(shí)別2、對(duì)認(rèn)證的用戶進(jìn)行授權(quán)。 接入控制機(jī)構(gòu)的建立根據(jù)三種類型信息：主體、客體、接入權(quán)限。 接入控制策略包括：1、最小權(quán)益策略：按主體執(zhí)行任務(wù)所需權(quán)利最小化分配權(quán)力2、最小泄露策略：按主體執(zhí)行任務(wù)所知道的信息最小化原則分配權(quán)力3、多級(jí)安全策略：主題和客體按普通、秘密、機(jī)密、絕密級(jí)劃分，進(jìn)行權(quán)限和流向控制。 接入控制的實(shí)現(xiàn)方式：1、自主式接入控制DAC（由資源擁有者分配接入權(quán)） 2、強(qiáng)制式接入控制MAC（由系統(tǒng)管理員分配接入權(quán)限和實(shí)施控制）。 數(shù)據(jù)加密的必要性：1、解決外部黑客侵入網(wǎng)絡(luò)后盜竊計(jì)算機(jī)數(shù)據(jù)

26、的問(wèn)題2、解決外部黑客侵入網(wǎng)絡(luò)后篡改數(shù)據(jù)的問(wèn)題3、解決內(nèi)部黑客在內(nèi)連網(wǎng)上盜竊計(jì)算機(jī)數(shù)據(jù)的問(wèn)題4、解決內(nèi)部黑客在內(nèi)連網(wǎng)上篡改數(shù)據(jù)的問(wèn)題5、解決CPU、操作系統(tǒng)等預(yù)先安置了黑客軟件或無(wú)線發(fā)射裝置的問(wèn)題。 數(shù)據(jù)加密的作用：1、解決外部黑客侵入網(wǎng)絡(luò)后盜竊計(jì)算機(jī)數(shù)據(jù)的問(wèn)題2、解決外部黑客侵入網(wǎng)絡(luò)后篡改數(shù)據(jù)的問(wèn)題3、解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計(jì)算機(jī)數(shù)據(jù)的問(wèn)題4、解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問(wèn)題5、解決CPU、操作系統(tǒng)等預(yù)先安置了黑客軟件或無(wú)線發(fā)射裝置的問(wèn)題。 對(duì)數(shù)據(jù)庫(kù)加密的方法：1、使用加密軟件加密數(shù)據(jù)2、使用專用軟件加密數(shù)據(jù)庫(kù)數(shù)據(jù)3、加密橋技術(shù)。 加密橋技術(shù)：是一個(gè)數(shù)據(jù)庫(kù)加密應(yīng)用設(shè)計(jì)平臺(tái)，根據(jù)

27、應(yīng)用系統(tǒng)開發(fā)環(huán)境不同，提供不同接口，實(shí)現(xiàn)對(duì)不同環(huán)境下數(shù)據(jù)庫(kù)數(shù)據(jù)加密以后的數(shù)據(jù)操作。 第七章 證書系統(tǒng)與身份確認(rèn) 身份證明系統(tǒng)的組成：1、出示證件的人2、驗(yàn)證者3、可信賴者。 實(shí)體認(rèn)證與消息認(rèn)證的差別：消息認(rèn)證本身不提供時(shí)間性，而實(shí)體認(rèn)證一般都是實(shí)時(shí)的，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身，而消息認(rèn)證除了證實(shí)消息的合法性和完整性外，還要知道消息的含義。 對(duì)身份證明系統(tǒng)的要求：1、驗(yàn)證者正確識(shí)別合法示證者的概率極大化2、不具可傳遞性3、攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略4、計(jì)算有效性5、通信有效性6.秘密參數(shù)安全存儲(chǔ)7、交互識(shí)別8、第三方的實(shí)時(shí)參與9、第三方的可信賴性10、可證明安全性。

28、 身份證明的分類：1、身份證實(shí)2、身份識(shí)別。 實(shí)現(xiàn)身份證明的基本途徑：1、所知2、所有3、個(gè)人特征。 身份證明系統(tǒng)的質(zhì)量指標(biāo)：1、拒絕率及非法用戶為早身份成功的概率2、漏報(bào)率。 一個(gè)大系統(tǒng)的通行字選擇原則：1、易記2、難于被別人猜中或發(fā)現(xiàn)3、抗分析能力強(qiáng)。 通行字PIN的控制措施：1、系統(tǒng)消息2、限制試探次數(shù)3、通行字有效期4、雙通行字系統(tǒng)5、最小長(zhǎng)度6、封鎖用戶系統(tǒng)7、根通行字的保護(hù)8、通行字的檢驗(yàn)。 通行字的安全存儲(chǔ)：1、加密形式存儲(chǔ)2、存儲(chǔ)通行字的單向雜湊值。 Kerberos：是一種典型的用于客戶機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議，它是一種基于對(duì)稱密碼體制的安全認(rèn)證服務(wù)系統(tǒng)；其

29、最大的優(yōu)點(diǎn)是使用方便、易于實(shí)施。 Kerberos的作用：提供中心認(rèn)證服務(wù)，并應(yīng)用傳統(tǒng)的加密方法，在客戶機(jī)和服務(wù)器之間構(gòu)造起一個(gè)安全橋梁的作用。 Kerberos系統(tǒng)的組成：1、認(rèn)證服務(wù)器AS 2、票據(jù)授權(quán)服務(wù)器TGS 3、用戶Client 4、服務(wù)器Server。 Kerberos的認(rèn)證服務(wù)包括：域內(nèi)認(rèn)證和域間認(rèn)證。 Kerberos的局限性：1、時(shí)間同步2、重放攻擊3、認(rèn)證域之間的信任4、系統(tǒng)程序的安全性和完整性5、口令猜測(cè)攻擊6、密鑰的存儲(chǔ)。 第八章 公鑰證書與證書機(jī)構(gòu) 數(shù)字認(rèn)證：指用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。 數(shù)字證書：是一個(gè)擔(dān)保個(gè)人、計(jì)

30、算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。 公鑰數(shù)字證書：是網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書上所記錄的使用者。 公鑰證書體統(tǒng)的分類：?jiǎn)喂€證書系統(tǒng)、多公鑰證書系統(tǒng)。 單公鑰證書系統(tǒng)：一個(gè)系統(tǒng)中所有的用戶公用同一個(gè)CA。 證書有效需滿足的條件：1、證書沒有超過(guò)有效期2、密鑰沒有被修改3、證書不在CA發(fā)行的無(wú)效證書清單中。 公鑰證書的類型：1、客戶證書2、服務(wù)器證書3、安全郵件證書4、CA證書。 公鑰證書的內(nèi)容：申請(qǐng)證書個(gè)人的信息和發(fā)行證書的CA信息。 證書數(shù)據(jù)的組成：1、版本信息2、證書序列號(hào)3、CA所使用的簽名算法4、發(fā)證者的識(shí)別碼5、有效使用期限6、證書

31、主題名稱7、公鑰信息8、使用者Subject 9、使用者識(shí)別碼10、額外的特別擴(kuò)展信息。 密鑰對(duì)生成的途徑：1、密鑰對(duì)持有者自己生成2、密鑰對(duì)由通用系統(tǒng)生成。 公鑰-私鑰對(duì)的管理包括：公鑰-私鑰對(duì)生成、發(fā)行、分配、更新、暫停使用、吊銷注冊(cè)等。 證書吊銷表CRL：包括名稱、發(fā)布時(shí)間、已吊銷證書號(hào)、吊銷時(shí)戳、CA簽名等；其吊銷方式有廣播、立即吊銷。 VeriSign將數(shù)字證書分為：個(gè)人、服務(wù)器、軟件三類。 證書機(jī)構(gòu)CA：用于創(chuàng)建和發(fā)布證書，它通常為一個(gè)稱為安全域的有限群體發(fā)放證書。 CA的組成：1、安全服務(wù)器2、CA服務(wù)器3、注冊(cè)機(jī)構(gòu)RA 4、LDAP服務(wù)器5、數(shù)據(jù)庫(kù)服務(wù)器。 認(rèn)證機(jī)

32、構(gòu)：指一些不直接從電子商務(wù)中獲利的受法律承認(rèn)的可信任的權(quán)威機(jī)構(gòu)，負(fù)責(zé)發(fā)放和管理電子證書，使網(wǎng)上通信的各方能互相確認(rèn)身份。 認(rèn)證機(jī)構(gòu)提供的服務(wù)：1、證書申請(qǐng)2、證書更新（包括證書的更換、證書的延期）3、證書吊銷或撤銷（分為主動(dòng)申請(qǐng)吊銷、被動(dòng)強(qiáng)制性吊銷）4、證書的公布和查詢。 第九章 公鑰基礎(chǔ)設(shè)施 公鑰基礎(chǔ)設(shè)施PKI：是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，他能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需的密鑰和證書管理體系。 PKI的基礎(chǔ)技術(shù)包括：加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。 PKI的構(gòu)成：1、政策審批機(jī)

33、構(gòu)2、證書使用規(guī)定3、證書政策4、證書中心CA 5、單位注冊(cè)機(jī)構(gòu)6、密鑰備份及恢復(fù)系統(tǒng)7、證書作廢系統(tǒng)8、應(yīng)用接口9、端實(shí)體。 PKI的性能：1、支持多政策2、透明性和易用性3、互操作性4、簡(jiǎn)單的風(fēng)險(xiǎn)管理5、支持多平臺(tái)6、支持多應(yīng)用。 PKI服務(wù)：1、認(rèn)證2、數(shù)據(jù)完整性服務(wù)（主要方法是數(shù)字簽名）3、數(shù)據(jù)保密性服務(wù)4、不可否認(rèn)性服務(wù)5、公證服務(wù)。 PKI的應(yīng)用：1、虛擬專用網(wǎng)絡(luò)VPN 2、安全電子郵件3、Web安全4、電子商務(wù)的應(yīng)用5、應(yīng)用編程接口API。 密鑰管理的目的：維持系統(tǒng)中各實(shí)體之間的密鑰關(guān)系。 密鑰管理借助的技術(shù)：加密、認(rèn)證、簽字、協(xié)議、公證等。 不可否認(rèn)業(yè)務(wù)的類型：源的

34、不可否認(rèn)性、遞送的不可否認(rèn)性、提交的不可否認(rèn)性。 實(shí)現(xiàn)不可否認(rèn)性的證據(jù)機(jī)制：1、業(yè)務(wù)需求2、證據(jù)生成3、證據(jù)遞送4、證據(jù)證實(shí)5、證據(jù)保存。 實(shí)現(xiàn)源的不可否認(rèn)業(yè)務(wù)的方法：1、源的數(shù)字簽字2、可信賴第三方的數(shù)字簽字3、可信賴第三方對(duì)消息的雜湊值進(jìn)行簽字4、可信賴第三方的持證5、線內(nèi)可信賴第三方6、組合。 實(shí)現(xiàn)遞送的不可否認(rèn)性的方式：1、收信人簽字認(rèn)可2、收信人利用持證認(rèn)可3、可信賴遞送代理4、逐級(jí)遞送報(bào)告。 可信賴第三方在實(shí)現(xiàn)不可否認(rèn)業(yè)務(wù)中的重要作用：1、公鑰證書2、身份證實(shí)3、時(shí)戳4、證據(jù)保存5、中介遞送6、解決糾紛7、仲裁 解決糾紛的步驟：1、檢索不可否認(rèn)證據(jù)2、向?qū)Ψ匠鍪咀C據(jù)3、向

35、解決糾紛的仲裁人出示證據(jù)4、裁決。 第十章 電子商務(wù)的安全協(xié)議 安全套接層協(xié)議SSL提供的安全內(nèi)容：1、SSL把客戶機(jī)和服務(wù)器之間的所有通信都進(jìn)行加密，保證了機(jī)密性2、SSL提供完整性檢驗(yàn)，可防止數(shù)據(jù)在通信過(guò)程中被改動(dòng)3、SSL提供認(rèn)證性—使用數(shù)字證書—用以正確識(shí)別對(duì)方。 SSL的體系結(jié)構(gòu)：1、SSL記錄協(xié)議：定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式2、SSL更改密碼規(guī)格協(xié)議：其目的是使未決狀態(tài)拷貝為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密碼組3、SSL警告協(xié)議：用于傳送SSL的有關(guān)警告4、SSL握手協(xié)議：用于客戶-服務(wù)器之間相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性

36、校驗(yàn)和加密所需的會(huì)話密鑰。 安全數(shù)據(jù)交換協(xié)議SET的目標(biāo)：1、信息的安全傳輸2、多方認(rèn)證的解決3、交易的實(shí)時(shí)性4、效仿EDI貿(mào)易形勢(shì)，規(guī)范協(xié)議和消息格式。 SET：是一種以信用卡為基礎(chǔ)的，在internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)；它采用RSA密碼算法，利用公鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息加密傳輸，并用散列函數(shù)算法來(lái)鑒別信息的完整性。 參與SET交易的成員：1、持卡人-消費(fèi)者2、網(wǎng)上商店3、收單銀行4、發(fā)卡銀行-電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行5、認(rèn)證中心CA-可信賴、公正的組織6、支付網(wǎng)關(guān)-支付轉(zhuǎn)接站。 SET的技術(shù)范圍：1、加密

37、算法的應(yīng)用2、證書信息和對(duì)象格式3、購(gòu)買信息和對(duì)象格式4、認(rèn)可信息和對(duì)象格式5、劃賬信息和對(duì)象格式6、對(duì)話實(shí)體之間消息的傳輸協(xié)議。 SET軟件的組件：1、電子錢包2、商店服務(wù)器3、支付網(wǎng)關(guān)4、認(rèn)證中心軟件。 SET的認(rèn)證過(guò)程：1、注冊(cè)登記2、動(dòng)態(tài)認(rèn)證3、商業(yè)機(jī)構(gòu)處理流程。 SET的安全保障來(lái)自于：1、將所有消息文本用雙鑰密碼體質(zhì)加密2、將密鑰的公鑰和私鑰字長(zhǎng)增加到512B-2048B 3、采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)和認(rèn)證檢查。 SET規(guī)范的電子錢包的功能：1、與商店端的SET軟件溝通，以激活SET交易2、向商店端查詢有關(guān)付款和訂貨的相關(guān)信息3、接受來(lái)自商店端的響應(yīng)信息4、向認(rèn)證中心要求申請(qǐng)數(shù)字

38、證書，并下載數(shù)字證書的申請(qǐng)表5、從認(rèn)證中心下載持卡人的數(shù)字證書6、與認(rèn)證正中心溝通，查詢數(shù)字證書目前的狀態(tài)。 電子錢包功能分類：1、電子證書的管理（電子證書的申請(qǐng)、存儲(chǔ)以及刪除等）2、進(jìn)行交易（SET交易時(shí)分辨商家身份并發(fā)送交易信息）3、保存交易記錄（保存交易記錄以供查詢）。 商店服務(wù)器：是商店提供SET服務(wù)的軟件。 SET商店服務(wù)器的功能：1、聯(lián)系客戶端的電子錢包2、聯(lián)系支付網(wǎng)關(guān)3、向商店的認(rèn)證中心查詢數(shù)字證書的狀態(tài)4、處理SET的錯(cuò)誤信息。 支付網(wǎng)關(guān)：是Internet電子商務(wù)網(wǎng)絡(luò)上的一個(gè)站點(diǎn)，負(fù)責(zé)接收來(lái)自商店服務(wù)器送來(lái)的SET付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收單銀行處理。

39、 SET購(gòu)物步驟：1、安裝電子錢包2、申請(qǐng)信用卡及電子證書SETID 3、購(gòu)物。 SET購(gòu)物過(guò)程：1、持卡人訂貨2、通過(guò)電子商務(wù)服務(wù)器與有關(guān)在線商店聯(lián)系，在線商店作出應(yīng)答3、持卡人選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令4、商店通過(guò)收單銀行檢查信用卡的有效性5、收單銀行的確認(rèn)6、在線商店發(fā)送訂單確認(rèn)信息給持卡人7、結(jié)賬。 SET與SSL的比較：1、使用目的和場(chǎng)合；前者主要用于信用卡交易，傳送電子現(xiàn)金，后者用于購(gòu)買信息的交流，傳送電子商貿(mào)信息2、安全性；前者要求很高，整個(gè)交易過(guò)正中都要保護(hù)，后者要求很低，因?yàn)楸Ｗo(hù)范圍只是持卡人到商家一端的信息交換3、必須具有認(rèn)證資格對(duì)象；前者安全需求高，因此所

40、有參與者與SET交易的成員都必須先申請(qǐng)數(shù)字證書來(lái)識(shí)別身份，后者通常只是商家一段的服務(wù)器，客戶端認(rèn)證是可選的4、實(shí)施時(shí)所需的設(shè)置費(fèi)用；前者較高，持卡人必須先申請(qǐng)數(shù)字證書，然后在計(jì)算機(jī)上安裝符合SET規(guī)格的電子錢包軟件，后者較低，不需要另外安裝軟件5、當(dāng)前使用情況；前者由于設(shè)置成本高和引入時(shí)間短，目前普及率較低，后者普及率較高。 第十一章 國(guó)內(nèi)CA認(rèn)證中心及CFCA金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則 中國(guó)金融認(rèn)證中心CFCA：是國(guó)內(nèi)唯一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機(jī)構(gòu)；其認(rèn)證系統(tǒng)采用基于PKI技術(shù)的雙密鑰機(jī)制；具有完善的證書管理功能，提供證書申請(qǐng)、審核、生成、頒發(fā)、存儲(chǔ)、

41、查詢、廢止等全程自動(dòng)審計(jì)服務(wù)。 CFCA體系結(jié)構(gòu)：1、根CA 2、政策CA 3、運(yùn)營(yíng)CA（CA系統(tǒng)、整數(shù)注冊(cè)審批機(jī)構(gòu)RA）。 CFCA證書：是CFCA用其私鑰進(jìn)行了數(shù)字簽名的包含用戶身份、公開密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實(shí)體在網(wǎng)上的電子身份證。 CFCA證書種類：企業(yè)高級(jí)證書、個(gè)人高級(jí)證書、企業(yè)普通證書、個(gè)人普通證書、服務(wù)器證書、手機(jī)證書、安全E-mail證書、VPN設(shè)備證書、代碼簽名證書。 網(wǎng)上證券交易分為：網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬。 CTCA：中國(guó)電信CA安全認(rèn)證系統(tǒng)。 CTCA體系：1、全國(guó)CA安全認(rèn)證中心2、省級(jí)RA中心3、地市業(yè)務(wù)受理點(diǎn)。 CTCA提

42、供的幾種證書：安全電子郵件證書、個(gè)人數(shù)字證書、企業(yè)數(shù)字證書、服務(wù)器數(shù)字證書、SSL服務(wù)器數(shù)字證書。 SHECA：上海市電子商務(wù)安全證書管理中心有限公司。 SHECA提供的證書系統(tǒng)：1、SET證書系統(tǒng)2、通用證書系統(tǒng)。 證書存放的介質(zhì)：可以使硬盤、軟盤、IC卡、加密卡、加密機(jī)。 證書管理器將證書分為：個(gè)人證書、他人證書、根證書。 CFCA金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則：1、網(wǎng)關(guān)（銀行）業(yè)務(wù)規(guī)則2、商戶（企業(yè)）業(yè)務(wù)規(guī)則3、持卡人（個(gè)人）業(yè)務(wù)規(guī)則4、中介機(jī)構(gòu)業(yè)務(wù)規(guī)則。 持卡人證書申請(qǐng)分為：網(wǎng)上申請(qǐng)和面對(duì)面申請(qǐng)。 --------------------------------------------------