电子科技大学中山学院电子商务安全技术复习.doc

1. 电子商务安全需求：真实性（数字证书）、保密性（加密和解密技术）、完整性（散列函数）、不可否认性（数字签名技术）、可靠性（完善开发程序）、及时性（加强防火墙）、不可拒绝性（加强防火墙）。2. 电子商务系统安全层次：a)电子商务系统安全：网上交易，网上身份认证，数据安全（信 息流，资金流） b)网络系统安全：实体安全：i:计算机（服务器安全：www.FTP,EMALL服务器； 客户机安全）ii: 通信设备（路由器、交换机、集线器等）3、几种常见协议：安全电子商务交易协议SET、安全协议（SSL协议、S/MIME协议等） 公钥基础设施PKI（数字签名、数字信封、CA认证等）4、几种常见的安全技术问题：黑客的恶意攻击、软件的漏洞和后门网络协议的安全漏洞计算机病毒的攻击5、信息加密技术是电子商务安全交易的核心，实现交易的保密性、完整性、不可否认性等。6、对称加密的特点： 加解密速度快 缺陷 ：首先是密钥数目的问题 n(n-1)/2 安全传输密钥也是一个难题 第三是无法鉴别彼此身份7、公开密钥密码算法RSA：（M明文，C密文）n=PQ， (n) =(P-1)(Q-1)，因为de=1(mod(n),可设de=k(n)+1,(k=1的整数)或 e的逆元d (e*d)mod (n)=1 8、RSA的密钥很长，加密速度慢. DES用于明文加密，RSA用于DES密钥的加密。RSA又解决了DES密钥分配的问题。8、码攻击方法：穷举攻击、计分析攻击、数学分析攻击9、认证技术是解决电子商务活动中的安全问题的技术基础，认证可分为消息认证（也称数据源认证）和身份认证.10、认证技术：身份认证术、字签名、字签名11、密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程12、电子商务认证技术相关的技术：对称密钥加密(如凯撒密码)、公开密钥加密(如RSA)、散列函数(信息摘要算法)、数字签名、数字证书、认证机构（CA）、数字信封13、 散列函数(信息摘要算法)确保信息未被篡改，特点：a. 能处理任意大小的信息，并能生成固定长度的信息摘要。 b. 具有不可预见性。 c. 具有不可逆性。14、数字签名形成过程（用数字证书来绑定公钥和公钥所属人确保验证过程中使用的公钥一定是属于某个确定的对象的15、 数字证书是网上交易双方真实身份证明的依据，是一个由认证中心颁发并经认证中心(CA)数字签名的、包含证书申请者个人信息及其公开密钥等相关信息的电子文件功能：1. 文件加密2、数字签名3. 身份认证类型：企业证书、个人证书、安全代码证书、Web站点证书、Web站点证书、服务器证书16、 认证机构又称认证中心（Certificate Authority）,它负责产生、分配并管理所有参与网上交易的实体所需要的数字证书，实现身份认证、数字签名和信息加密。17、 数字信封就是信息发送端用接收端的公钥，将一个通信密钥(SK)给予加密，生成一个数字信封。然后接收端用自己的私钥打开数字信封，获取该对称密钥SK，用它来解读收到的信息。Bob将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给Alice，而Alice则通过验证证书上权威机构的签名来检查此证书的有效性，如果证书检查一切正常，那么就可以相信包含在该证书中的公钥的确属于Bob。BobAlice比 较 18、 PKI是利用公钥密码理论和技术为电子商务、电子政务、网上银行和网上证券等所有网络应用提供一整套安全措施的基础平台,它是创建、颁发、管理、撤消公钥证书等一系列基础服务的所有软件、硬件的集合体 PKI的组成认证机构（CA）证书库、应用程序接口、密钥备份和恢复系统、证书废除系统PKI/CA应用安全的Web浏览安全的软件下载安全的电子邮件虚拟专网（VPN）19、管理数字证书管理包含：:证书注册、证书生成、证书颁发、证书使用、证书验证、证书存放20、证书验证：（1）一个可信的CA已经在证书上签名，注意这可能包括证书路径处理。（2）证书有良好的完整性。（3）证书处在有效期内。（4）证书没有被吊销。（5）证书的使用方式与任何声明的策略和或使用限制相一致。20、电子支付指从事电子商务交易的当事人, 包括消费者、厂商和金融机构,使用安全的电子支付手段，通过网络所进行的货币支付或资金转移。21、网上银行，又称网络银行，指银行以自己的计算机系统为主体，以单位和个人的计算机为操作终端，借助互联网技术，通过网络向客户提供开户、销户、查询等银行服务的虚拟银行。网络银行实现： 为任何人(whoever) 随时(whenever) 随地(wherever) 何帐户(whomever) 用任何方式(whatever)的安全支付和结算。22、 网络银行不同支付方式对比：1、帐号登陆密码支付密码（简称“静态密码方式”） 坏人只要利用钓鱼网站等获取你“帐号登陆密码支付密码”，便可盗取。2. 帐号登陆密码动态口令卡（简称“动态口令卡方式” 动态口令卡获取难。除非周边能接触到你动态口令卡的人。3. 帐号登陆密码电子密码器 （简称“电子密码器方式”）坏人只有获取了你的“帐号登陆密码电子密码器的随机密码”才可，且必须在1分钟内完成盗取。4. 帐号登陆密码U盾（使用密码）（简称“U盾方式”）坏人利用木马控制了你的电脑；等你一插上U盾，便操作盗取你账户的钱23、网络银行的特点：采用Internet/Intranet技术突破传统银行的操作模式使用简单服务多样化用户使用成本低银行成本降低365天24小时服务24、SSL加密客户机和服务器之间的通信数据！具体有三方面：（1）客户和服务器的合法性认证（2）加密传输的数据（3）保护数据的完整性 SSL协议的构成（1）SSL握手协议 负责客户机和服务器通信之前的准备工作.具体用来协商密钥，就是通信双方如何利用它来安全的协商出一份用于加密正式通信内容的对称密钥。（2）SSL记录协议 定义客户机和服务器之间通信的数据包格式。1、SSL协议自身的缺陷（1）客户端假冒（2）无法提供基于UDP应用的保护（3）不能对抗通信流量分析（4）基于PKCS的自适应选择密文攻击（5）进程中的主钥泄密（6）磁盘上的临时文件可能遭受攻击2 、不规范应用引起的问题1）对证书的攻击和窃取（2）中间人攻击(黑客利用自签发的仿证书冒充服务器,证书是否可信靠用户判断web信任模型,用户误判就会攻击成功)（3）安全盲点（4）IE浏览器的SSL身份鉴别缺陷25、SET协议它 确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET交易的参与者持卡人（Cardholder）商家（Merchant）发卡行（Issuing Bank）收单行（Acquiring Bank）支付网关（Payment Gateway）认证机构项目SSL 协议 SET 协议工作层次传输层与应用层之间应用层是否透明透明 不透明过程简单 复杂效率高 低安全性商家掌握消费者消费者对商家保密认证机制双方认证多方认证是否专为 EC 设计否是SET的主要缺陷：SET协议过于复杂，对商户、用户和银行的要求比较高；处理速度慢，支持SET的系统费用较大。26、防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统,它决定内部服务中哪些可以被外界访问,外界的哪些人可以访问内部的哪些服务,同时还决定内部人员可以访问哪些外部服务。 以达到保证内部网络安全的目的。 防火墙可以是硬件、也可以是软件 防火墙应具备的条件 内部和外部之间的所有网络数据流必须经过防火墙只有符合防火墙安全策略的数据流才能通过防火墙防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击，例:内部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的传递 。防火墙不能防止数据驱动式攻击。例:特洛伊木马。 防火墙的类别包过滤型防火墙 （在网络层和传输层对进出内部网络的数据包进行监控.）应用层网关(代理服务器)线路层网关包过滤规则一般是基于部分或全部报头的内容。例如，对于TCP报头信息可以是：源IP地址 目的IP地址协议类型 IP选项内容 源TCP端口号 目的TCP端口号 TCP ACK标识 应用层网关也经常称为堡垒主机.27、计算机病毒的特点 可执行性传染性 潜伏性可触发性破坏性攻击的主动性针对性衍生性(变种性) 计算机网络中最主要的软硬件实体就是服务器和工作站，所