《电子支付与信息安全复习》由会员分享,可在线阅读,更多相关《电子支付与信息安全复习(12页珍藏版)》请在金锄头文库上搜索。
1、电子支付与信息安全复习纲要第一章 电子商务安全概论 6 分内容 电子商务安全要素:1.真实性四种:2.保密性选择题20*1 = 203.完整性填空题10*2=204.不可否认性简单题4*5 = 205.可靠性综合题3*?=406.及时性总评 8070%+2030% = 100%7.不可拒绝性电子商务安全措施:(保密,完整性,不可否认,鉴别性)1. 保证交易双方身份的真实性2. 保证信息的机密性3. 保证信息的完整性4. 保证信息的真实性、不可否认性5. 保证信息存储、传输的安全性电子商务安全技术手段 7个点1. 加密技术2. 认证技术3. 数字签名4. 防火墙技术5. 虚拟专用网络6. 身份认
2、证7. 数字时间戳第二章 信息加密技术与应用24 分内容密码学分支:密码编码学 & 密码分析学 明文M/P:加密的信息,有意义的字符流或比特流 密文C:经过伪装后的明文 加密E(X):对明文实施的变换过程 解密D(X):对密文实施的变换过程按照密码机制分成两类: 对称加密(单钥密码体制、秘密密钥密码体制) 公钥加密(非对称密码体制、公开密钥密码体制)DES加密:用56位密钥来加密64位数据的方法16轮,64位明文,64位密钥(有效位数 56)置换,S盒子3DES,加密密钥有2个而不是3个,AES 加密原理: P28AES 密钥长度 128, 192, 256分组长度 128, 192, 256
3、AES 每轮迭代的四步变换: AES每轮要经过四次变换,分别是字节代换运算(SubByte () ShftRows()(行移位)变换 I MixColumns()(列混合)变换1AddRoundKeyO (轮密钥的混合)变换RSA* 模运算,指数运算,求乘法的逆,欧拉函数 模运算对于 OP 为+、-、x、/ (a OP b) mod n =(a mod n OP b mod n) mod n 例如: ( 9+3) mod 5 =( 9 mod 5+3 mod 5) mod 5 = (4+3) mod 5 = 2 mod 5计算 ax mod n求 a8 mod n (a*a*a*a*a*a*a
4、*a) mod n 或: (a2 mod n)2 mod n)2 mod n欧拉函数 (n) 表示与 n 互素的小于 n 的正整数的数目 如果n是素数,那么 (n)=n-l 如果n=pq,且p, q互素,则 V (n)=(p-1)(q-1) 如果 n=plalp2a2.psas, pl.ps 为素数,al.as 为整数,则 V (n)=n(1-l/pl).(l-1/ps)由于15=3X5Q (15)= (3-1)X(5-1) =8由于 24=23X31Q (24)=22X(2-1)X30X(3-1)求乘法逆元若(a, n) =1,贝I a x = 1 mod n有解,且为唯一解 说明:( a,
5、 n) =1,表示 a, n 的最大公约数是 1,即 a, n 互素 a x = 1 mod n表示x是a的乘法逆元a x = 1 mod n x=aV (n)-1 mod n 例女口 3x= 1 mod 5 x=aV (n)-1 mod n =3 V (5)-1 mod 5 =34-1 mod 5 =27 mod 5 =211d=1 mod 8 d= 11 (p (8) -1 mod 8 =11 4-1 mod 8 =3RSA过程:求乘法的逆,进行加密得到密文,进行解密得到明文例题:已知 p=?, q=?,e=?, M=?,求e的逆,和加密,解密的过程 选 p=7, q=17则 n=pq=1
6、19且申(n) = (p_1)(q_1)=6x16=96取 e=5则 d=77 (5x77 = 385=4x96+1三1 mod 96) 公钥(5, 119),私钥(77, 119) 加密 m= 19则 c= me mod n= 195 mod 119 = 66 mod 119 解密 c= 66m= cd mod n = 6677mod 119= 19 mod 119数字签名概念:通过一个单项函数对要传送的报文进行处理,得到用于认证报文来源并核实报文是否 发生变化的一个字母数字串,用这个字符串来代替书写签名或印章,祈祷与书写签名或印章 同样的法律效用。作用:(1) 签名是可以被确认的,即收方可
7、以确认或证实签名确实是由发方签名的;(2) 签名是不可伪造的,即收方和第三方都不能伪造签名;(3) 签名不可重用,即签名是消息(文件)的一部分,不能把签名移到其它消息(文件) 上;(4) 签名是不可抵赖的,即发方不能否认他所签发的消息;(5) 第三方可以确认收发双方之间的消息传送但不能篡改消息。分类:1. 以验证方式分直接数字签名 direct digital signature仲裁数字签名 arbitrated digital signature2. 计算能力分无条件安全的数字签名计算上安全的数字签名3. 以可签名次数分一次性的数字签名多次性的数字签名4. 具有特殊性质的数字签名RSA签名和
8、认证的过程P44图2-7身份认证技术:(身份识别) 身份认证又叫身份识 别,它是正确识别通信 用户或终端身份的重要 途径。方式:1. 口令认证2. 持证认证3. 生物识别认证第三章 计算机网络安全18 分国际评价标准ABCD (表3-1)可信任计算机标准评价准则 ( Trusted Computer Standards Evaluation Criteria:TCSEC)类别级别名称主要特征DD低级保护没有安全保护CC1自主安全保护自主存储控制C2受控存储控制单独的可査性,安全标识BB1标识的安全保护强制存取控制,安全标识B2结构化保护面向安全的体系结构,较好的抗渗 透能力B3安全区域存取监控
9、、高抗渗透能力AA验证设计形式化的最高级描述和验证防火墙概念: 防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统。(Ppt)防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安 全域之间的一系列部件的组合。作用:1. 内容过滤2. 用户认证3. VPN4. 日志5.IDS 与报警6. NAT (网络地址转换)7. 应用程序代理8. 包过滤&状态检测有包过滤(访问控制表) 实现原理:路由器按照系统内部设置的分组过滤规则(即访问控制表),检查每个分组的源IP地址、目的IP地址,决定该分组是否应该转发;数据包过滤(Packet Filtering)是在网络层对
10、数据包进行选择,选择的依据是系统内设置的过 滤规则,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、 目的地址、所用的端口号、 协议类型,或它们的组合等来确定是否允许该数据包通过。应用层网关(堡垒主机)实现原理:以存储转发方式,检查和确定网络请求的合法性,以决定是否转发或丢弃应用级网关应用程序 访问控制内部网络;工作站; 服务器VPN (虚拟专用网):名称:virtual private network虚拟专用网VPN,就是建立在公共网络上的私有专用网。它是一个利用基于公众基 础架构的网络,例如Internet,来建立一个安全的、可靠的和可管理
11、的企业间通信的 通道。作用:1. 提供防火墙和地址转换2. 提供数据的加密、认证和授权VPN的协议:1. 点对点隧道协议 PPTP(Point to Point Tunneling Protocol): 1996 年 Microsoft 和 Ascend 等 在 PPP 协议上开发的。2. 第二层转发协议 L2F(Layer 2 Forwarding): 1996 年 Cisco 开发的。3. 第二层隧道协议 L2TP(Layer 2 Tunneling Protocol): 1997 年底,Microsoft 和 Cisco 共同开 发。防火墙的主要目的:在于判断来源IP,阻止危险或未经授权
12、的IP的访问和交换数据。 VPN主要解决的是:数据传输的安全问题,其目的在于内部的敏感关键数据能够安 全地借助公共网络进行频繁地交换。计算机病毒:概念:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并 且能够自我复制的一组计算机指令或者程序代码。电子邮件安全:了解IPSEC 协议:IPSec处理实际上是对IP数据包进行加密和认证。保证在互联网上传输数据包的机 密性,真实性,完整性,保证通过Internet进行通信的安全性。主要功能是实现IP层的加密和认证,为了进行加密和认证IPSec还提供了密钥管理和交换 的功能 。这三个功能分别由三个协议来实现:ESP (安全加载封
13、装)AH (认证协议头)IKE (互联网密钥交换)IPsec工作模式:传输模式和隧道模式第四章 公钥基础设施 14 分PKI名称:公开密钥基础设施(public key infrastructure)PKI 作用:定义和建立身份认证和授权规则,然后分发、交换这些规则、并在网络之间解释 和管理这些规则。(主要任务是在开放环境中为开放性业务提供数字签名服务。)PKI的功能:1. 根据 X.509 标准发放证书,有证书与认证中心产生密钥对2. 密钥备份及恢复3. 证书、密钥对的自动更换4. 加密密钥和签名的分割5. 管理密钥和证书6. 根据相关标准实现数字签名和身份认证7. 为用户提供各种PKI服务
14、(用户安全登录,增加和删除用户,恢复密钥,检验证书)8. 交叉认证、支持轻型目录访问协议LDAP、支持用于认证的智能卡PKI的组成:1. CA 认证机构2. CR 证书库3. API应用程序接口4. CRL (作废证书表)证书废除系统5. 密钥备份及恢复系统6. 客户端证书处理系统7. 自动密钥更新8. 密钥历史档案9. 最终用户PKI的数字证书(公钥证书):格式(包括部分) 数字证书的一般格式证书的版本信息; 证书的序列号,每个用户都有一个唯一的证书序列号; 证书所使用的签名算法;证书的发行机构名称,命名规则一般采用X.400格式;证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为19502049; 证书所有人的名称,命名规则一般采用X.400格式;证书所有人的公开密钥(关于公开密钥的信息详见非对称密码算法的有关内容); 证书发行者对证书的签名。-此外,X.509证书格式还预留了扩展,用户可以根据自己的需要进行扩展。证书采用格式辨识数字证书的标识确保证书资料不被篡改数字证书的功能:1. 文件加密2. 数字签名3. 身份认证认证机构CA:(认证中心 核心)CA是证书的签发机构,它是PKI的核心,是PKI应用中权威的、可信任的、公正 的第三方机构 ,通常被
