《电子商务安全导论复习必看自考》由会员分享,可在线阅读,更多相关《电子商务安全导论复习必看自考(12页珍藏版)》请在金锄头文库上搜索。
1、电子商务安全导论复习必看自考小抄EDI:电子数据交换是第一代电子商务技术,实现BTOB方式交易。intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的
2、商务商务数据的机密性(保密性):信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织或经加密伪装后,使未经授权者无法了解其内容。可用加密和信息隐匿技术实现商务数据的完整性(正确性):保护数据不被授权者修改、建立、嵌入、删除、重复传送货由于其他原因使原始数据被更改商务对象的认证性:网络两端的使用者在沟通之前相互确认对方的身份的正确性,分辨参与者所称身份的真伪,防止伪装攻击商务服务的不可否认性:信息的发送方不能否认已发送的信息,接收方不能否认已接收到的信息。是一种法律有效性要求商务服务的不可拒绝性(可用性):是保证授权用户在正常访问信息资源时不被拒绝,即保证为用户提供稳定
3、的服务访问的控制性:在网络上限制和控制通信链路对主机系统的访问主动攻击:攻击者直接介入internet中的信息流动,攻击后,被攻击的通信双方可以发现攻击的存在被动攻击:攻击者不直接介入internet中的信息流动,只是窃听其中信息,被动攻击后,被攻击的通信双方往往无法发现攻击的存在TCP协议劫持入侵:控制一台连接于入侵目标网的计算机然后断开,让网络服务器误以为黑客就是实际客户端电子邮件炸弹:攻击者向同一个邮箱发送大量垃圾邮件,以堵塞该邮箱电商安全需求的可靠性:电商系统的可靠性,为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等所产生的潜在威胁加以控制和预防
4、,确保系统的安全可靠电商安全需求的真实性:商务活动中交易者身份的真实性电商安全需求的机密性:交易过程中必须保证信息不会泄露给非授权的人或实体电商安全需求的完整性:数据在输入和传输过程中,要求保证数据的一致性,防止数据被非授权者建立、修改和破坏双钥密码加密:它是一对匹配使用的密钥。一个是公钥,是公开的,其他人可以得到;另一个是私钥,为个人所有。这对密钥经常一个用来加密,一个用来解密。数字时间戳:如何对文件加盖不可篡改的数字时间戳是一项重要的安全技术。完全盲签名:设1是一位仲裁人,2要1签署一个文件,但不想让他知道所签的文件内容是什么,而1并不关心所签的内容,他只是确保在需要时可以对此进行仲裁,这
5、时便可通过完全盲签名协议实现。完全盲签名就是当前对所签署的文件内容不关心,不知道,只是以后需要时,可以作证进行仲裁。明文:又信源。原始的,未被伪装的信息(M)密文:通过一个密钥和加密算法将明文变成一种伪装信息(C)加密:用基于数学算法的程序和加密的密钥对信息进行编码。生成别人难以理解的符号(E)解密:由密文恢复明文的过程(D)密钥:加密和解密算法通常都是在一组密钥的控制下进行的分别称作加密密钥和解密密钥(K)加密算法:对明文进行加密多采用的一组规则。即加密程序的逻辑解密算法:消息传给接受者后要对密文进行解密时采用的一组规则单钥密码体制:又秘密密钥体制,对称密钥体制。加密和解密使用相同或实际上等
6、同的密钥的加密体制双钥密码体制:又公共密钥体制,非对称加密体制。在加密和解密过程中要使用一对密钥,一个用于加密另一个用于解密,用户将公共密钥交给发送方或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密集中式分配:利用网络中密钥管理中心(KMC)来集中管理系统中的密钥,“密钥管理中心”接受系统用户的请求,为用户提供安全分配密钥的服务分布式分配:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商不受任何其它方面的限制无条件安全:若它对于拥有无限计算资源的破译者来说是安全的则该密码体制无条件安全是理论上安全的计算上安全:若一个密码体制对于拥有优先计算资源的破译者来说是
7、安全的则该密码体制计算上安全表明破译的难度很大是实用的安全性多级安全:这种安全防护安装在不同的网络,应用程序工作站等方面对敏感信息提供更高的保护,让每个对象都有一个敏感标签而每个用户都有个许可级别数据完整性:又真确性,是数据处于“一种未受损的状态”和保持完整或被分割的品质或状态散列函数:又哈希函数,杂凑函数,压缩函数,收缩函数,消息摘要,数字指纹,是将一个长度不同的输入串转换成一个长度确定的输出串散列值(哈希值,杂凑值,消息摘要)输出串比输入串短。h=H(M)数字签名:利用数字技术实现在网络传送文件时附加个人标记完成传统上手书签名签章作用以表确定,负责,经手等确定性数字签名:其文明与密文一一对
8、应,对特定消息的签名不变化。REA/Rabin随机化式数字签名:(概率)根据签名算法中的随机参数值对同一消息的签名也对应的变化,一个明文可能有多个合法数字签名。ELGamalRSA签名体制:利用双钥密码体制的RSA加密算法实现数字签名无可争辩签名:在没有签名者自己的合作下不可能验证签名的签名盲签名:一般数字签名总是要先知道文件内容后才签署,这是通常所需的,但有时要某人对一文件签名,但又不让他知道文件内容,则称盲签名双联签名:在一次电商活动过程中可能同时有两个有联系的消息M1和M2要对它们同时进行数字签名数字信封:发送方用一个随机产生的DES密钥加密消息后用接收方的公钥加密DES密钥混合加密系统
9、:在一次信息传送过程中可综合利用消息加密数字信封散列函数和数字签名实现安全性,完整性,可鉴别和不可否认网络物理安全:指物理设备可靠,稳定运行环境,容错,备份,归档和数据完整性预防。容错技术:当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或进入应急工作状态冗余系统:系统除配置正常部件外还配置备件部件数据备份:为防止系统出现操作失误或系统故障导致数据丢失而将全系统或部分数据集合冲应用用主机的硬盘或阵列复制到其他的存储介质的过程备份:恢复出错系统的办法之一,可用备份系统将最近一次系统备份恢复到机器上去归档:将文件从计算机的存储介质中转移到其他永久性的介质上,以便长期保存
10、的过程镜像技术:将数据原样地从一台设备机器拷贝到另一台设备机器上奇偶效验:是服务器的一个特性,提供一种机器机制来保证检测,因此不会引起因服务器出错而造成的数据完整性丧失计算机病毒:编制者在计算机程序中插入的破坏计算机的功能或破坏数据影响计算机使用并能自我复制的一组计算机指令或程序代码引导性病毒:寄生在磁盘引导区或引导区的计算机病毒(主引导记录病毒、分区引导记录病毒)(2708、火炬、大麻、小球、Girl)文件性病毒:能够寄生在文件中的计算机病毒(157511591、848、com/cept)复合型病毒:具有引导型病毒和文件型病毒寄生方式的计算机病毒。(Flip,One_half,新世纪)良性病
11、毒:只为表现自身,并不彻底破坏系统和数据,当会大量占用CPU时间,增加系统开销降低系统工作效率的一类计算机病毒(小球、157511591、救护车、扬基、Dabi)恶性病毒:一旦发作后就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒(火炬、黑色星期五、米开朗基罗)防火墙:一类防范措施的总称,使内部网络在Znternrt之间或与其他外部网络互相隔离限制网咯互访用来保护内部网络外网(非受信网络):防火墙外的网络内网(受信网络):防火墙内的网络非军事化区(DMZ):为配置管理方便,内网中需要向外提供服务的服务器常放在一个单独的网段该网段便是非军事化区扼制点:提供内、外两个网络间的访问控制VPN(
12、虚拟专用网):通过一个公共网络建立一个临时安全连接IPSEC(互联网协议安全):一系列保护IP通信规则的集合,制定了通过共有网络传输私有加密信息的途径和方式INTRANET VPN:即企业的总部与分支机构通过公网构成的虚拟网Access VPN:又拨号VPN(VPDN),企业员工或企业小分支机构通过公网远程拨号方式构成虚拟网Extranet VPN:企业间发生收购兼并或企业间建立战略联盟后使不同企业网通过公网构成的虚拟网接入控制:接入或访问控制是保证网络安全的重要手段,它通过一组机制不同级别的主体对目标资源的不同授权访问在对主体认证后实施网络资源安全管理使用接入控制的主体:是对目标进行访问的实
13、体(用户,用户组,终端主机或应用程序)接入控制的客体:是一个可接受访问的实体(数据文件程序组或数据库)接入权限:表示主体对客体访问时可拥有的权利,接入权要按每一对主体客体分别限定权利包括读,写,执行。读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行多级安全策略:主体和客体按普通秘密、机密、绝密级划分,进行权限和流向控制自主式接入控制:(DAC)由资源拥有者分配接入权在分辨各用户的基础上实现接入控制每个用户的接入权由数据的拥有者建立常以接入控制表或权限表实现。强制接入控制(MAC):由系统管理员来分配接入权限和实施控制易于网络安全策略协调常用敏感标记实现多级安全控制。加密桥技术:一种
14、在加解密卡的基础上开发加密桥的技术可实现在不存在降低加密安全强度旁路条件下位数据库加密字段的存储、检索、索引、运算、删除、修改、等功能的实现提供接口且它的实现与密码算法设备无关。身份识别:输入个人信息经处理提取成末班信息试着在存储数据库中搜索找出个与之匹配的模板而后给出定论。通行字:又口令,护字符。是一种根据已知事物验证身份的方法,也是一种研究一种是用最广的身份验证方法。Kerbcros:是一种典型的用于客户机和服务器认证体系协议是一种基于对称密码体制的安全认证服务系统。域内认证:Client向本Kerberos的认证域以内的Server申请服务。拒绝率或虚报率:是指身份证明系统的质量指标为合
15、法用户遭拒绝的概率。漏报率:是指非法用户伪造身份成功的概率。域间认证:是指CLIENT向本KERBEROS的认证域以内的SERVER申请服务。客户证书:证明客户身份和密钥所有权。服务器证书:证实服务器的身份和公钥。安全邮件证书:证实电子邮件用户的身份和公钥。CA证书:证实CA身份和CA的签名密钥。数据库服务:是认证机构的核心部分,用于认证机构数据,日志和统计信息的存储和管理。公钥用户:公钥用户需要知道公钥的实体为公钥用户。数字认证:用数字办法确认、鉴定、认证网络上参与信息交流者货服务器的身份,是一个担保个人,计算机系统或组织的身份和密钥所有权的电子文档。公钥证书:将公开密钥与特定的人,器件或其他实体联系起来,是有证书机构签置的,其中包含持证者的确切身份。公钥数字证书:是网络上的证明文件,证明双钥体制中的公钥所有者就是证书上所记录的使用者。单公钥证书系统:一个系统中所有用户共同一个CA.多公钥证书系统:用于不同证书的用户的互相认证。证书机构CA:用于创建和发布证书,通常为一个称为安全域的有限群体发放证书。安全服务器:面向普通用户用于提供证书申请浏览。CRL以及证书下载等安全服务。CA服务器:整个证书服机构的核心,负责证书的签发。LDAP服务器:提供目录浏览服务、负责将注册机构服务器传输过来的用户信息及数只证书加到服务器上。数据库服务器,认证机构的核心,用于认证机
