电子商务安全导论知识点整理

第一章电子商务安全基础

商务：是经济领域特别是市场经济环境下的一种社会活动，它涉及货品、服务、金融、知识信息等的交易。

电子商务：是建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。

电子商务主客体关系分为：

1、B2B企业、机构之间

2、B2C企业与消费者之间

3、C2C个人用户之间

4、B2G企业政府之间。

电子商务的技术要素组成：

1、网络

2、应用软件

3、硬件。

电子商务的常见模式：

1、大字报或告示牌模式

2、在线黄页簿模式

3、电脑空间上的小册子模式

4、虚拟百货店模式

5、预定或订购模式

6、广告推销模式。

因特网的优劣势：

1、优势：广袤覆盖及开放结构，由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖率增长至几乎无限

2、劣势：因特网的管理松散，网上容难以控制，私密性难以保障，从电子商务等应用看，安全性差也是因特网的又一大缺点。

域网（Intranet）：是由某一企业或机构利用因特网的技术，即因特网的标准和协议等，建立起来的该企业专用的计算机网络。

防火墙：是一个介乎域网和因特网其他部分之间的安全服务器。

外域网（Extranet）：用域网同样的办法建立的一个连接相关企业、单位、机构的专用网络。

EDI的信息传输方式：存储-转发。

电子商务的驱动力：1、信息产品硬件制造商2、信息产品软件厂商3、大型网上服务厂商4、银行及金融机构5、大企业6、政府。

电子商务的安全隐患：

1、数据的安全

2、交易的安全。

电子商务系统可能遭受的攻击：

1、系统穿透

2、违反授权原则

3、植入

4、通信监视

5、通信窜扰

6、中断

7、拒绝服务

8、否认

9、病毒。电子商务安全的中心容：

1、商务数据的性

2、完整性

3、商务对象的认证性

4、商务服务的不可否认性

5、商务服务的不可拒绝性

6、访问的控制性等。

产生电子商务安全威胁的原因：

1、internet在安全方面的缺陷

2、Internet的安全漏洞

3、TCP/IP协议极其不安全性

4、E-mail，Telnet及网页的不安全性。

Internet系统的构建组成：

1、客户端软件（Web浏览器）

2、客户端的操作系统

3、客户端的局域网（LAN）

4、Internet网络

5、服务器端的局域网（LAN）

6、服务器上的Web服务器软件。

对安全的攻击：主动攻击、被动攻击。

对internet攻击的四种类型：

1、截断信息

2、伪造

3、篡改

4、介入。

IP协议的安全隐患：

1、针对IP的拒绝服务攻击

2、IP地址的顺序号预测攻击

3、TCP协议劫持入侵

4、嗅探入侵。

HTTP协议：是客户机请求服务器和服务器如何应答请求的各种方法的定义。

WEB客户机的任务：

1、为客户提出一个服务请求

2、将客户的请求发送给服务器

3、解释服务器传送的HTML等格式文档，通过浏览器显示给客户。

WEB服务器的任务：

1、接收客户机来的请求

2、检查请求的合法性

3、针对请求，获取并制作数据，包括使用CGI脚本等程序、为文件设置适当的MIME 类型来对数据进行前期处理和后期处理

4、把信息发送给提出请求的客户机。

WEB站点的安全隐患：

1、信息被窃取

2、数据及软硬件系统被破坏。

攻击WEB站点的几种方式：

1、安全信息被破译

2、非法访问

3、交易信息被截获

4、软件漏洞被攻击者利用等。

E-mail和Telnet及网页的不安全性：

1、E-mail的不安全性

2、入侵Telnet会话

3、网页作假

4、电子炸弹和电子列表。

对电子商务威胁的相应对策：

1、业务

2、认证业务

3、接入控制业务

4、数据完整性业务

5、不可否认业务

6、加快我国自主知识产权的计算机网络和电子商务安全产品的研制和开发等。

《可信任的计算机安全评估标准》：美国，为计算机安全的不同等级制订了四个标准分别为D、C、B、A级，由低到高，C级氛围C1和C2两个子集，C2比C1提供更多的保护，总体由低到高为D、C1、C2、B1、B2、B3、A。

第二章电子商务安全需求与密码技术

电子商务的安全需求：

1、可靠性

2、真实性

3、性

4、完整性

5、有效性

6、不可抵赖性

7、部网的严重性。

加密：用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程。

加密的基本概念缩写：1、明文M2、密文C3、加密E4、解密D5、密钥K。加密的表示方法：C=Ek(M)密文=加密k（明文）。

解密的表示方法：M=Dk(C)明文=解密k（密文）。

加密方法：

1、替换加密（单字母加密方法、多字母加密方法）

2、转换加密。

单鈅密码体制特点：

1、加解密速度快，效率高

2、单鈅密码体制的加解密过程使用同一个密钥。

单鈅密码体制的几种算法：

1、DES加密算法

2、IDEA加密算法

3、RC-5加密算法

4、AES加密算法。

双鈅密码体制：又称作公共密钥体制或非对称加密体制，在加解密过程中要使用一对密钥，一个用于加密，一个用于解密。

双鈅密码体制的特点：

1、适合密钥的分配和管理

2、算法速度慢，只适合加密小数量的信息。

双鈅密码体制的几种算法：

1、RSA密码算法

2、ELGamal密码体制

3、椭圆曲线密码体制（ECC）

密钥管理包括：密钥的设置、产生、分配、存储、装入、保护、使用以及销毁等。密钥管理方案：一般采用层次的密钥设置。

多层次密钥系统中密钥的分类：1、数据加密密钥DK 2、密钥加密密钥KK。

多层次密钥系统中密钥的划分：按照他们的控制关系，划分为一级密钥、二级密钥、n级密钥，其中一级密钥用算法n保护二级密钥，二级密钥用算法n保护三级密钥，最底层密钥也叫做工作密钥，也就是数据加密密钥，所有上层密钥都是密钥加密密钥，最高层密钥也叫做主密钥。