电商安全与支付复习资料

1、复习 电子商务(din z shn w)安全考试题型：一、单项选择题（每道2分，共20分）二、多项选择题（每道2分，共14分）三、名词解释题（每题3分，共18分）四、简述题（每道5分，共25分）五、案例(n l)分析（第1题13分，第2题10分，共23分）共七十二页第一章 电子商务(din z shn w)基础知识电子商务系统的组成(z chn)与层次共七十二页第二章 电子商务安全(nqun)知识（重点）电子商务安全(nqun)法律法规建设安全问题、原因与现状电子商务的安全威胁和需求电子商务安全防治措施共七十二页1、电子商务(din z shn w)出现的安全问题网络内部、外部泄密拒绝服务攻击

2、逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫共七十二页2、计算机系统面临(minlng)的安全威胁（1）物理(wl)实体的安全 （2）自然灾害的威胁（3）黑客的恶意攻击（4）软件的漏洞和“后门” （5）网络协议的安全漏洞 （6）计算机病毒的攻击共七十二页3、电子商务(din z shn w)面临的安全威胁（1）信息的截获和窃取（2）篡改交易信息（3）假冒(jimo)商家或客户（4）商家抵赖交易共七十二页4、电子商务的安全(nqun)需求 共七十二页5、 电子商务基本安全(nqun)技术安全(nqun)技术认证技术虚拟专网技术电子交易协议反病毒技术加密技术防火墙技术

3、共七十二页6、管理(gunl)措施人员管理制度保密制度跟踪、审计制度日常维护制度备份(bi fn)制度病毒防范制度应急措施共七十二页7、法律法规建设(jinsh)中华人民共和国电子签名法共七十二页一、传统(chuntng)签名 签名是指为了表示负责而在文件、单据上亲自写上姓名或画上记号。签名，一般是具有(jyu)法律意义的行为，它首先是一种证明行为，签署者可借以证明物品、行为，或意思的归属；又以表明对其内容的同意。共七十二页A正确的名字。B书面形式，在纸面上的签名永远固定地保存着。C本人亲手书写，排除了打印名字或印章。 因此,每个传统的手书(shush)签名，都是独特的、不可重复的，1、传统(

4、chuntng)签名的法律要求共七十二页它必须以纸面为介质，无论是书写还是传送，都较之电子(dinz)通讯媒介的成本要高得多；它必须由个人亲笔书写，这虽然对于法律行为的发生具有证据法上的意义，但是从交易数量与频率上看，由于受书写人的精力、时间、及其行动空间的约束，不适合于大规模的交易行为的进行；传统签名存在着相当大的被信冒的可能性，一方面仿冒签名并不需要很高的技术或成本，另一方面对伪造签名的鉴定，却需要一不定期的前提条件和较专业的技术，并且其鉴定的准确性绝非万无一失。2、传统签名(qin mng)的的局限性及风险共七十二页二、电子签名的百科名片(mngpin) -指数据电文中以电子形式所含、所

5、附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是(jish)通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是(jish)电子印章。共七十二页电子商务的安全(nqun)要求：A 信息的保密性B 交易各方身份的认证C 信息的防抵赖(dli)性D 信息的完整性、防篡改性（一）电子签名的必要性共七十二页广义的电子签名：是指包括各种电子手段(shudun)在内的电子签名，通过签名，实现两个目的：鉴别数据电文发送人的身份；确认签署人与数据电文的内容具有法律联系。它是电子商务法“技术中立”原则和“功能等同”原则，在电子签名概

6、念上的反映。狭义的电子签名即技术特定(tdng)化意义上的数字签名。（二）电子签名的广义与狭义共七十二页A电子签名一般是通过在线签署的，是一种远离的认证方式。它不能像传统签名一样，保证签名人亲监交易现场，即便是生物特征法电子签名，也不能如此。B电子签名本身是一种数据，它很难像纸面签名一样，将原件向法庭提交。因此，传统证据规则拒绝将电子签名与传统签名相等同。C大多数人只有一种手书签名的样式，但一个人可能同时拥有许多个电子签名，每使用一个信息系统，就有可能配发一个。D传统签名几乎(jh)不存在签署者完全忘记的情况，而电子签名则有可能被遗忘。E传统手书签名可凭视觉比较，而电子签名一般需要计算机系统进

7、行鉴别。3、电子签名与传统(chuntng)签名的差异共七十二页三、中国电子签名法内容(nirng)和特点 2005年4月1日起实施(shsh)。共七十二页第4章 信息(xnx)加密技术的应用古典密码(m m) （恺撒密码(m m)）现代密码 （DES与RSA）加密技术的应用 （四个“数字”）信息隐藏与数字水印共七十二页4.2 古典(gdin)密码1、恺撒密码 原理:恺撒大帝把26个拉丁字母写在内外两个圆盘的对应位置，然后转动内盘，移动一个角度。 例：m明文 c密文 K移位的距离(jl) 恺撒加密算法： c=m+k mod 26,k=23 恺撒解密算法： m=c+h mod 26,h=3,h+

8、k=0 mod 26 K-加密密码 h-解密密码 共七十二页1、已知加密算法：字母3密文2、已知解密(ji m)算法：密文3字母3、问题：“ohwv jr wr wkh wrjd sduwb!”解密后是什么？答案： l e t s go to the toga party! 例1：请用恺撒密码方法(fngf)解密C语言程序共七十二页4.3 现代(xindi)密码1、对称(duchn)加密体制2、非对称加密体制RSA算法DES算法共七十二页1、DES原理(yunl) DES采用传统的换位和转换(zhunhun)的方法进行加密，在56位密钥控制下，将64位明文块变换到64位密文块，加密过程包括16

9、轮加密迭代，每轮都采用一种乘积密码方式。 公式： DES(m)=IP-1. T16.T15. T2.T1.IP(m)共七十二页 是指用于加密的密钥和用于解密的密钥是不一样的，每个参与信息交换的人都拥有一对密钥，这一对密钥是以一定的算法同时生成的，相互配合才能使用，用其中的一个密钥加密的信息，只有用与其配对的另一个密钥才能解密，并且从其中一个密钥无法推导出另一个密钥，所以可以将其中一个密钥公开(公开的密钥称为“公钥”)，只要妥善保管另一个密钥(称为“私钥”)，是不会影响(yngxing)安全的。2、 公开密钥密码(m m)体制原理共七十二页 RSA加密算法是一种非对称加密算法。是1977年由罗纳

10、德李维斯特（Ron Rivest）、阿迪萨莫尔（Adi Shamir）和伦纳德阿德曼（Leonard Adleman）一起提出(t ch)的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 主要应用在数据加密与数字签名中。3、 第一个成熟(chngsh)的，理论上最成功的公钥加密算法-RSA共七十二页 RSA算法运用了数论(shln)中的Euler定理，即a、r是两个互素的正整数，则az 1（mod r），其中z为与r互素且不大于r的正整数的个数（即Euler函数）。取用两个大素数的乘积，而不取用一个大素数来作为模数r。 大数(d sh)分解与素数检测欧拉定理

11、思考？什么是素数？RSA算法的数学基础共七十二页4.4 加密技术的应用(yngyng)1、数字签名2、数字摘要3、数字信封(xnfng)4、数字时间戳共七十二页 数字签名的基本原理: 发送方首先用HASH函数对原文件生成数字摘要,用自己的私钥对这个数字摘要进行加密来形成发送方的电子签名,附在文件后.然后(rnhu)用一个对称密钥对带有电子签名的原文件加密,再用接收方的公钥给对称密钥加密,然后把加密后的密钥文件传送给接受方.接收方用自己的私钥对密钥密文解密,得到对称密钥,用对称密钥对原文件密文进行解密,同时得到原文件的电子签名,再用发送方的公钥对电子签名解密,得到电子签名的HASH 值,然后用H

12、ASH函数对得到的原文件重新计算HASH值,并与解密电子签名得到的HASH值进行对比. 它用来保证信息的不可抵赖性和完整性. 一、数字签名共七十二页（四）数字签名原理(yunl)示意图共七十二页数字信封技术对称加密与非对称加密的结合 -数字信封（也称电子信封） 技术是一种结合了对称加密和非对称加密的优点的技术，它使用(shyng)两个层次的加密来获得非对称密钥技术的灵活性和对称密钥技术的高效性。二、数字(shz)信封共七十二页 数字信封的基本原理: 发送端使用对称密钥来加密数据,然后将此对称密钥用接收者的公钥加密,称为加密数据的”数字信封”,将其和加密数据一起(yq)发送给接受者,接受者先用自

13、己的私钥解密数字信封,得到对称密钥,然后使用对称密钥解密数据. 它用来保证信息的保密性. 数字(shz)信封基本原理共七十二页加密(非对称加密)对称密钥接收方的公钥接收方的私钥解密(非对称解密)对称密钥公开信道(Internet)加密后密钥信息加密后密钥信息加密(对明文对称加密)解密(对密文对称解密)公开信道(Internet)密文密文明文明文发送方接收方原理(yunl)(如图所示)共七十二页 数字时间戳是用来证明信息的收发时间的。它是一个凭证文档,它能够保证信息文件加上去的时间戳与储存信息的物理媒介无关；它对已加上的数字时间戳的信息文件不能作任何改动和伪造；在某个信息文件中加上与当前日期和时

14、间不同(b tn)的时间戳是不可能的。数字(shz)时间戳在签名时加上一个时间标记共七十二页三、数字(shz)时间戳 P132 -时间(shjin)戳（time-stamp）是一个经加密后形成的凭证文 档，它包括三个部分： 需加时间戳的文件的摘要（digest）； DTS收到文件的日期和时间； DTS的数字签名。 问题：什么是时间戳？共七十二页三、数字水印它有哪些(nxi)特性？ 共七十二页第5章 网络安全知识(zh shi)与安全组网技术网络安全问题(wnt)概述 防火墙技术入侵检测技术网络常见的攻防技术共七十二页1、计算机网络通信面临(minlng)的危险截获、中断(zhngdun)、篡改

15、、伪造共七十二页1、防火墙基本概念 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在的破坏性侵入。通常是指由软件和硬件设备(shbi)组合而成的一个系统，并且通过这个系统在Internet与Intranet之间建立了一个安全网关，以控制对受保护网络的非法访问。防火墙是一种由计算机软件与硬件(yn jin)的组合。共七十二页防火墙是网络安全的屏障 防火墙可以强化网络安全策略对网络存取和访问进行监控审计 防止内部(nib)信息外泄 向客户发布信息 防火墙的抗攻击能力2、防火墙的基本功能共七十二页防火墙不能完成的工作：1、源于内部的攻击2、不通过防火墙的连接(linji)

16、3、完全新的攻击手段4、不能防病毒3、防火墙是万能(wnnng)的吗？共七十二页4、防火墙常见(chn jin)体系结构 基本概念：非军事区、堡垒(boli)主机防火墙在网络中的放置方式（拓朴位置）。共七十二页二、 网络入侵(rqn)检测 入侵检测（intrusion detection）是对入侵行为的发觉。通过对计算机网络(wnglu)或计算机系统中的若干关键点收集信息并进行分析，从中发现网络(wnglu)或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。共七十二页入侵检测基本工作(gngzu)原理见图5-22下图所示是一个通用的入侵(rqn)检

17、测系统结构 数据数据采集数据数据预处理事件数据分析事件结果处理数据事件共七十二页三、网络(wnglu)常见的攻防技术5-5-1 缓冲区溢出5-5-2 蠕虫 5-5-3 IP欺骗5-5-4 拒绝服务DoS攻击(gngj)5-5-5 网络侦听Sniffer攻击5-5-6 端口扫描技术5-5-7 特洛伊木马5-5-8 口令破译共七十二页1、缓冲区溢出(y ch)P168 指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量，溢出(y ch)的数据覆盖到了合法数据上。那应如何预防缓冲区溢出呢？P174175共七十二页传播(chunb)性隐蔽性破坏极大不利用文件寄生易与黑客技术相结合2、蠕虫(r chn

18、)病毒Worm蠕虫是一种通过网络传播的恶性病毒。（一）特征：共七十二页3、计算机病毒 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏(phui)作用的一组程序或指令集合 。共七十二页计算机病毒的预防(yfng)1、管理方法上防范(fngfn)2、从技术方法上防范共七十二页4、 IP欺骗(qpin)-IP欺骗就是通过伪造(wizo)其他系统的IP地址，使得攻击者能够获得未被授权访问的信息。IP欺骗是利用了主机间的信任关系发动的。 共七十二页5、拒绝服务攻击(gngj) （Denial of Service）- 拒绝服务DoS指

19、任何(rnh)对服务的干涉并且使得其可用性降低或者失去可用性均称为拒绝服务。 共七十二页6、 网络(wnglu)侦听Sniffer攻击及防范P190-网络侦听Sniffer攻击是一种威胁性极大的被动攻击。通过它可以监视网络的状态、数据流动情况(qngkung)以及网络上传输的信息。-在向内网入侵渗透时，经常会用到嗅探手法，也就是利用嗅探器来截获网络上传输的口令。共七十二页7、端口扫描技术(jsh) 端口扫描是黑客搜集信息(xnx)的几种常用手法之一，黑客一般先使用扫描工具扫描待入侵主机，掌握目标主机的端口打开情况，然后采取相应的入侵措施。哪些端口是开放？共七十二页8、 特洛伊木马 （Troja

20、n Horse）-简称木马，其名称(mngchng)来源于希腊神话 。一种恶意程序，一旦侵入用户的计算机，就悄悄地在用户计算机上运行，在用户毫无察觉的情况下攻击者便获得了远程访问和控制系统的权限。共七十二页第6章 电子商务的认证机制主要(zhyo)内容：网上认证与认证体系数字证书认证机构(jgu)PKI(公钥基础设施)共七十二页1、基于你所知道的（What you know ）-口令、密码2、基于你所拥有的（What you have ） -身份证、信用卡、钥匙、智能卡、令牌等3、基于你的个人生物特征（What you are） -指纹，笔迹，声音，手型，脸型(lin xn)，视网膜，虹膜一、

21、身份认证(rnzhng)方法P212共七十二页图6-1 数字证书示意图二、 数字证书 数字证书又称数字凭证，用电子手段来证实一个用户的身份和对网络资源的访问权限，是一种(y zhn)数字标识，提供的是网络身份证明。共七十二页X.509证书结构(jigu)与内容P215X509版本号证书序列号：用于标识证书数字签名算法算法规定的参数证书发行机构名称的ID超始时间终止时间证书持有者即主体的名称签名用的公钥算法算法的参数验证签名用的公钥证书发行机构对该证书的签名数字签名算法的标识符证书的有效期证书持有者的公钥信息图6-2 X.509的证书(zhngsh)结构 共七十二页三 认证(rnzhng)机构C

22、A 电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定，维护交易活动的安全，从根本上保障(bozhng)电子商务交易活动顺利进行而设立的机构，负责发放和管理数字证书。Certificate Authority共七十二页CA系统(xtng)的组成 注册(zhc)服务器注册机构RA数据库服务器CA系统主要由三部分组成：注册服务器、安全服务器、注册机构RA、CA服务器、LDAP目录服务器和数据库服务器。（图6-4）安全服务器CA服务器LDAP服务器数据库服务器LDAP服务器共七十二页四、PKI PKI(Public key infrastructure)-是一套为电子商务的开展

23、提供安全基础平台的技术和规范。一个包括硬件、软件、人员、政策和手续的集合，用来(yn li)实现基于公钥密码体制的公钥身份证书产生、管理存储、发行和作废等功能。共七十二页PKI的基本(jbn)组成-图6-5(1)认证中心CA(Certification Authority)(2)注册机构RA(Registration Authority)(3)证书(zhngsh)库(4)密钥备份及恢复系统P223(5)证书撤销列表CRL(Certificate Revocation List) (6)PKI应用(7)安全策略共七十二页第7章 电子商务安全协议(xiy)技术7.1 安全套接层协议(xiy)SSL

24、7.2 安全电子交易协议SET7.3 SSL和SET协议的比较 共七十二页7.1 安全套接层协议(xiy)SSL（ Security Socket Layer ） SSL协议是网景公司1994年推出在网络传输层之上提供的一种基于RSA的用于浏览器和Web服务器之间的安全通信协议，它能够对信用卡和个人信息提供较强的保护。 它是国际上最早应用(yngyng)于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL协议运行的基点是商家对客户信息保密的承诺， SSL协议有利于商家而不利于客户。 共七十二页7.2 安全电子(dinz)交易SET协议 是美国Visa和MasterCard两大信用卡组织等联合于1997年5月31日推出的用于电子商务的行业规范，其实质是一种应用(yngyng)在Internet上、以信用卡为基础的电子付款系统规范，目的是为了保证网络交易的安全。SET妥善地解决了信用卡在电子商务交易中的交易协议、信息保密、资料完整以及身份认证等问题。SET已获得IETF标准的认可，是电子商务的发展方向。共七十二页7.3 SSL和SE