《电子科技大学中山学院电子商务安全技术复习》由会员分享,可在线阅读,更多相关《电子科技大学中山学院电子商务安全技术复习(7页珍藏版)》请在金锄头文库上搜索。
1、1.电子商务安全需求:真实性(数字证书) 、保密性(加密和解密技术) 、完整性(散列 函数) 、不可否认性(数字签名技术) 、可靠性(完善开发程序) 、及时性(加强防火墙) 、不可拒绝性(加强防火墙) 。 2.电子商务系统安全层次:a)电子商务系统安全:网上交易,网上身份认证,数据安全 (信 息流,资金流) b)网络系统安全:实体安全:i:计算机(服 务器安全:www.FTP,EMALL 服务器; 客户机安全)ii: 通信设备(路由器、交换机、 集线器等)3、几种常见协议:安全电子商务交易协议 SET、安全协议(SSL 协议、S/MIME 协议等) 公钥基础设施 PKI(数字签名、数字信封、C
2、A 认证等)4、几种常见的安全技术问题:黑客的恶意攻击、软件的漏洞和后门网络协议的安全漏洞计 算机病毒的攻击5、信息加密技术是电子商务安全交易的核心,实现交易的保密性、完整性、不可否认性等。6、对称加密的特点:对称加密的特点: 加解密速度快加解密速度快 缺陷缺陷 :首先是密钥数目的问题:首先是密钥数目的问题 n(n-1)/2安全传输密钥也是一个难题安全传输密钥也是一个难题 第三是无法鉴别彼此身份第三是无法鉴别彼此身份7、公开密钥密码算法、公开密钥密码算法 RSA:(M 明文,明文,C 密文)密文)n=PQ,(n) =(P-1)(Q-1),因为,因为 de=1(mod(n),可设可设 de=k(
3、n)+1,(k=1 的整数的整数)或或e 的逆元的逆元 d (e*d)mod (n)=1 8、RSA 的密钥很长,加密速度慢的密钥很长,加密速度慢. DES 用于明文加密,用于明文加密,RSA 用于用于 DES 密钥的加密。密钥的加密。RSA 又又 解决了解决了 DES 密钥分配的问题。密钥分配的问题。8、码攻击方法:穷举攻击、计分析攻击、数学分析攻击、码攻击方法:穷举攻击、计分析攻击、数学分析攻击 9、认证技术是解决电子商务活动中的安全问题的技术基础,认证可分为消息认证(也称数、认证技术是解决电子商务活动中的安全问题的技术基础,认证可分为消息认证(也称数 据源认证)和身份认证据源认证)和身份
4、认证. 10、认证技术:身份认证术、字签名、字签名、认证技术:身份认证术、字签名、字签名 11、密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程、密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程 12、电子商务认证技术相关的技术:对称密钥加密、电子商务认证技术相关的技术:对称密钥加密(如凯撒密码如凯撒密码)、公开密钥加密、公开密钥加密(如如 RSA) 、散列函数、散列函数(信息摘要算法信息摘要算法)、数字签名、数字证书、认证机构(、数字签名、数字证书、认证机构(CA) 、数字信封、数字信封 13、散列函数散列函数(信息摘要算法信息摘要算法)确保信息未被篡改,确保信息未被
5、篡改, 特点:特点:a. 能处理任意大小的信息,并能生成固定长度的信息摘要。能处理任意大小的信息,并能生成固定长度的信息摘要。b. 具有不可预见性。具有不可预见性。 c. 具有不可逆性。具有不可逆性。 14、数字签名形成过程(用数字证书来绑定公钥和公钥所属人确保验证过程中使用的公钥、数字签名形成过程(用数字证书来绑定公钥和公钥所属人确保验证过程中使用的公钥 一定是属于一定是属于 某个确定的对象的某个确定的对象的15、数字证书是网上交易双方真实身份证明的依据,是一个由认证中心颁发并经认证中心数字证书是网上交易双方真实身份证明的依据,是一个由认证中心颁发并经认证中心 (CA)数字签名的、包含证书申
6、请者个人信息及其公开密钥等相关信息的电子文件数字签名的、包含证书申请者个人信息及其公开密钥等相关信息的电子文件 功能:功能:1. 文件加密文件加密 2、数字签名、数字签名 3. 身份认证身份认证 类型:企业证书、个人证书、安全代码证书、类型:企业证书、个人证书、安全代码证书、Web 站点证书、站点证书、Web 站点证书、服务器站点证书、服务器 证书证书 16、认证机构又称认证中心(认证机构又称认证中心(Certificate Authority),它负责产生、分配并管理所有参与网它负责产生、分配并管理所有参与网 上交易的实体所需要的数字证书,实现身份认证、数字签名和信息加密。上交易的实体所需要
7、的数字证书,实现身份认证、数字签名和信息加密。 17、数字信封就是信息发送端用接收端的公钥,将一个通信密钥数字信封就是信息发送端用接收端的公钥,将一个通信密钥(SK)给予加密,生成一个给予加密,生成一个 数字信封。数字信封。 然后接收端用自己的私钥打开数字信封,获取该对称密钥然后接收端用自己的私钥打开数字信封,获取该对称密钥 SK,用它来解读收到的信息。,用它来解读收到的信息。加密过程对称密钥明文数据 密文发发送送方方解密过程接收方 私钥接接收收方方加密过程接收方 公钥被加密 的密钥数据 密文解密过程对称密钥明文密文密文对称 密钥 被加密 的密钥对称 密钥Bob 将一份自己的数字证书的拷贝连同
8、密文、摘要等放在一起发送给将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给 Alice,而,而 Alice 则通过验证证书上权威机构的签名来检查此证书的有效性,如果证书检查一切正常,那么则通过验证证书上权威机构的签名来检查此证书的有效性,如果证书检查一切正常,那么 就可以相信包含在该证书中的公钥的确属于就可以相信包含在该证书中的公钥的确属于 Bob。BobAlice比 较18、 PKI 是利用公钥密码理论和技术为电子商务、电子政务、网上银行和网上证券等所有 网络应用提供一整套安全措施的基础平台,它是创建、颁发、管理、撤消公钥证书等一系列 基础服务的所有软件、硬件的集合体PKI 的组成认
9、证机构(CA)证书库、应用程序接口、密钥备份和恢复系统、证书废 除系统 PKI/CA 应用安全的 Web 浏览 安全的软件下载 安全的电子邮件 虚拟专网(VPN)19、管理数字证书管理包含::证书注册、证书生成、证书颁发、证书使用、证书验证、证 书存放20、证书验证:(1)一个可信的 CA 已经在证书上签名,注意这可能包括证书路径处理。 (2)证书有良好的完整性。 (3)证书处在有效期内。 (4)证书没有被吊销。 (5)证书的使用方式与任何声明的策略和或使用限制相一致。 20、电子支付指从事电子商务交易的当事人, 包括消费者、厂商和金融机构,使用安全的电 子支付手段,通过网络所进行的货币支付或
10、资金转移。 21、网上银行,又称网络银行,指银行以自己的计算机系统为主体,以单位和个人的计算 机为操作终端,借助互联网技术,通过网络向客户提供开户、销户、查询等银行服务的虚 拟银行。 网络银行实现:为任何人(whoever)随时(whenever)随地(wherever)何帐户(whomever)用任何方式(whatever) 的安全支付和结算。22、网络银行不同支付方式对比: 1、帐号登陆密码支付密码 (简称“静态密码方式” ) 坏人只要利用钓鱼网站等获取你“帐号登陆密码 支付密码” ,便可盗取。2. 帐号登陆密码动态口令卡 (简称“动态口令卡方式” 动态口令卡获取难。除非周边能接触到你动态
11、口令 卡的人。3. 帐号登陆密码电子密码器 (简称“电子密码器方式” )坏人只有获取了你的“帐号登陆密码电子密码器 的随机密码”才可,且必须在 1 分钟内完成盗取。4. 帐号登陆密码U 盾(使用密码) (简称“U 盾方式” )坏人利用木马控制了你的电脑;等你一插上 U 盾,便操作盗 取你账户的钱 23、网络银行的特点:采用 Internet/Intranet 技术 突破传统银行的操作模式 使用简单 服务多样化 用户使用成本低 银行成本降低 365 天 24 小时服务 24、SSL 加密客户机和服务器之间的通信数据! 具体有三方面: (1)客户和服务器的合法性认证(2)加密传输的数据 (3)保护
12、数据的完整性SSL 协议的构成(1)SSL 握手协议负责客户机和服务器通信之前的准备工作.具体用来协商密钥,就是通信双方如 何利用它来安全的协商出一份用于加密正式通信内容的对称密钥。(2)SSL 记录协议定义客户机和服务器之间通信的数据包格式。1、SSL 协议自身的缺陷 (1)客户端假冒 (2)无法提供基于 UDP 应用的保护 (3)不能对抗通信流量分析 (4)基于 PKCS 的自适应选择密文攻击 (5)进程中的主钥泄密 (6)磁盘上的临时文件可能遭受攻击 2 、不规范应用引起的问题 1)对证书的攻击和窃取 (2)中间人攻击(黑客利用自签发的仿证书冒充服务器,证书是否可信靠用户判断 web 信
13、任模型,用户误判就会攻击成功) (3)安全盲点 (4)IE 浏览器的 SSL 身份鉴别缺陷25、SET 协议它 确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交 易的身份认证。 SET 交易的参与者持卡人(Cardholder) 商家(Merchant) 发卡行(Issuing Bank) 收单行(Acquiring Bank) 支付网关(Payment Gateway) 认证机构持持卡卡人人商商家家支支付付网网关关收收单单银银行行发发卡卡行行认认证证机机构构1 1 定定单单及及 支支付付信信息息6 6 确确认认认认证证认认证证认认证证认认证证认认证证认认证证5 5 确确认认2
14、 2 支支付付信信 息息审审核核3 3 审审核核4 4 批批准准7 7. . 结结算算 请请求求8 8. . 结结算算项目SSL 协议 SET 协议 工作层次传输层与应用层之间应用层 是否透明透明 不透明 过程简单 复杂 效率高 低 安全性商家掌握消费者消费者对商家保密 认证机制双方认证多方认证 是否专为 EC 设计否是 SET 的主要缺陷:SET 协议过于复杂,对商户、用户和银行的要求比较高;处理速度慢,支持 SET 的系统费用较大。 26、防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统,它决定 内部服务中哪些可以被外界访问,外界的哪些人可以访问内部的哪些服务,同时还决
15、定内部人 员可以访问哪些外部服务。 以达到保证内部网络安全的目的。防火墙可以是硬件、也可以是软件防火墙应具备的条件 内部和外部之间的所有网络数据流必须经过防火墙 只有符合防火墙安全策略的数据流才能通过防火墙 防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部 分。 防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服务。 防火墙不能防范来自内部人员恶意的攻击。 防火墙不能阻止被病毒感染的程序或文件的传递 。 防火墙不能防止数据驱动式攻击。例:特洛伊木马。 防火墙的类别 包过滤型防火墙 (在网络层和传输层对进出内部网络的数据包进行监控.) 应用层网关(代理服务器) 线路
16、层网关包过滤规则一般是基于部分或全部报头的内容。例如,对于 TCP 报头信息可以是:源 IP 地址 目的 IP 地址 协议类型 IP 选项内容 源 TCP 端口号 目的 TCP 端口号 TCP ACK 标识 应用层网关也经常称为堡垒主机. 27、计算机病毒的特点 可执行性 传染性 潜伏性 可触发性 破坏性 攻击的主动性 针对性 衍生性(变种性) 计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机病毒应 该首先考虑这两个部分, 计算机病毒的检测方法:(1)特征代码法 (2)校验和法 (3)行为监测法 (4)软件模拟法 28、电子邮件使用的协议 SMTP POP3 PGP(Pretty Good Privacy) S/MIME(Secure MultiPart Intermail Mail
