没有合适的资源?快使用搜索试试~ 我知道了~
电子商务安全.docx
资源推荐
资源详情
资源评论
电子商务安全
1●1 黑客常用的攻击手段
第一类是信息收集型攻击,主要采用刺探、扫描和监听技术。包括 地址扫描:
运用 ping、端口扫描、体系结构探测、DNS 域名转换、LDAP 服务(轻量目录访
问协议 LDAP)、伪造电子邮件。
第二类是利用型攻击,利用操作系统、网络服务协议、系统软件、数据库的漏
洞进行攻击。包括 口令猜测、特洛伊木马、缓冲区溢出。
第三类是拒绝服务攻击,拒绝服务目的在于使系统瘫痪,最基本的 DoS 攻击就
是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的
响应。包括 死亡之 ping、泪滴(teardrop) 、UDP 洪水、电子邮件炸弹。
2 电子商务安全要素 7 个
真实性、保密性、完整性、不可否认性、可靠性、及时性、不可拒绝性
3 电子商务安全措施
1.保证交易双方身份的真实性:常用技术是身份认证,依赖于认证中心发放的
数字证书。2.保证信息的机密性:常用加密和解密技术,安全性依赖于算法种类
和密钥长度。3.保证信息的完整性:常用散列函数实现,4.保证信息的真实性、
不可否认性:常用数字签名技术,5.保证信息存储、传输的安全性:规范管理、
建立日志、加密存储、数据备份和恢复。
4 电子商务安全问题分类
从技术上看,电子商务安全主要包括:网络安全技术、信息加密技术、公钥基
础设施、电子安全交易协议 网络安全和数据库安全是最重要的。
从整体上电子商务安全可分为两大部分,计算机网络安全和电子商务交易安全。
5 电子商务安全问题
电子商务的交易特征所带来的安全问题,即网络安全。
安全技术、人员和设备管理、法律法规等安全问题。
安全问题是制约电子商务发展的关键问题。
6 目前存在的主要安全问题 4 类
黑客恶意攻击、软件的漏洞和后门、网络协议的安全漏洞、计算机病毒的攻击
7 设备的安全问题
一是:物理实体的安全: 1 设备的功能失常 2 意外原因 3 由电磁泄漏引起的信
息失密 4 搭线窃听。
二是:自然灾害的威胁。
8 电子商务安全技术
信息加密技术、认证技术、数字签名、防火墙技术、虚拟专用网、身份认证、
数字时间戳
2●9 信息加密技术是电子商务安全交易的核心,可实现电子商务交易的保密性、
完整性、可用性,不可否认性等。
EC 包括三个实体:买方、卖方和金融中介。
在信息的传输过程中,信息保密的任务由密码技术来完成。数字签名、认证技
术也由密码技术来完成。
10 密码学的概念和分类
密码学是研究通信安全保密的学科。分类:密码编码学、密码分析学。
11 密码系统的组成
明文空间:加密的信息为明文,明文的全体称为明文空间。用 M(Message)表
示
电子商务安全
密文空间:经过伪装后的明文,密文的集合称为密文空间,用 C(Cipher)表示,
可被认为是字符流或比特流。
密码方案:描述加密和解密的具体规则(加密算法和解密算法)。
密钥空间:密钥是控制加密和解密算法操作的元素,用 K(Key)表示,密钥的
全体成为密钥空间
12 加密、解密概念:
加密算法:对明文进行加密时所使用的规则。
加密:对明文实施的变化过程,记为 E(X)(X 为明文)。
解密算法:对密文还原时所使用的规则。
解密:对密文实施的变换过程,记为 D(X)(X 为加密后的密文)。
13 密码体制的分类
根据密码的发展史: 古典密码、近现代密码
根据加解密算法所使用的密钥是否相同: 对称密钥密码体制(加密密钥和解密
密钥相同)、非对称密钥密码体制(加密密钥和解密密钥不同)
根据加密方式: 流密码(逐位地加密明文消息字符(二进制))、分组密码(把
明文消息分组,逐组加密)
根据加密变换是否可逆: 单向函数密码(明文-容易-密文,密文-困难-明文
单向函数包括:MD4、MD5、SHA-1。)、双向变换密码体制
14 密码攻击类别(强度按序递增,唯密文最弱)
唯密文攻击:分析者有一个或一些密文。
已知明文攻击:分析者有一些明文及对应的密文。
选择明文攻击:分析者选择一些对攻击有利的特定明文,并产生对应的密文。
选择密文攻击:分析者选择一些对攻击有利的特定密文,并得到对应的明文。
15 对称密码体制的概念及分类(ppt 44-82)
对称密码体制(单钥密码体制、秘密密钥密码体制):加密密钥与解密密钥的密
码体制相同,这种体制中只要知道家(解)密算法,就可以反推(解)加密算法。
分类:古典密码、流密码、分组密码
古典密码:移位密码、代换密码、仿射密码、维吉尼亚密码、置换密码。
流密码:算法: 流密码采用密钥生成器,根据初始密钥生成一系列密钥流来加
密信息,每个明文可以选用不同的密钥加密。典型二进制流密码:A5、SEAL。
分组密码:特点: 加密时,先对明文分组,每组长度都相同,然后对分组加密
得到等长的密文,分组密码的特点是加密密钥与解密密钥相同。安全性主要依赖
于密钥。对密码算法的要求: 分组长度 m 足够大、密钥空间足够大、密码变换必
须足够复杂。典型的分组密码 DES、AES。
16 非对称密码体制概念(ppt83-106)
使用两个密钥:公开密钥、私有密钥;加解密的非对称性
有:RSA 公钥密码体制。单向陷门函数。(Ppt89-103)
公钥密码体制特点(与对称密码体制相比):密钥分发和管理简单。用户保存
的密钥量减少。满足互不相识的的用户之间进行保密通信。容易完成数字签名和
认证。加密和解密的效率比对称密码体制差。
3●17 认证技术的分类
认证可分为消息认证(也称数据源认证)和身份认证。
消息认证用于保证信息的完整性与抗否认性;这消息真的是他发出来的吗?是
不是假冒的?
电子商务安全
身份认证则用于鉴别用户身份。和我通话/信的这个人真的是他吗?
18 常见的身份认证技术
基于口令的身份认证(口令)、基于硬件令牌的认证方式(持证)、生物特征识
别认证(生物识别)。
19 数字签名的概念、作用、方法
概念:数字签名就是通过一个单向函数对要传送的报文进行处理,得到用于认
证报文来源并核实报文是否发生变化的一个字符串,用这个字符串来代替手写签
名或印章,起到与手写签名或印章同样的法律效用。
作用:数字签名是实现电子交易安全的核心技术之一,它在身份认证、数据完
整性、不可否认性以及匿名性等方面有着重要的应用。
方法:数字签名算法有很多种,目前应用最广泛的三种是:RSA 签名、DSS 签
名和基于 ECC 密码体制的 ECDSA 数字签名。
数字签名必须能保证:接收者能够核实发送者对报文的签名;发送者事后不能
抵赖对报文的签名;接收者不能伪造对报文的签名。
19 消息认证机制的方法、概念
消息认证是指消息的接收者能够检验收到的消息是否真实的方法。消息认证具
有两层含义:检验消息来源的真实,即对消息的发送者的身份进行认证;检验消
息的完整性,即验证消息在传送或存储过程中是否被篡改、重放或延迟等。
在对消息提供完整性检验时,根据所使用的密码算法的不同,可以分为基于对
称密码体制的消息认证和基于非对称密码体制的消息认证。
4●20 密钥管理遵循的原则
1 密钥难以被窃取;
2 在一定条件下窃取了密钥也没有用,密钥有使用范围和时间的限制;
3 密钥的分配和更换过程对用户透明,用户不一定要亲自掌管密钥;密钥永远
不可以以明文的形式出现在密码装置之外;
4 密码装置是一种保密工具,即可以是硬件,也可以是软件。
21 密钥保护的基本原则
1 密钥永远不可以以明文的形式出现在密码装置之外。
2 密码装置是一种保密工具,既可以是硬件,也可以是软件。
22 密钥分类
三个等级:初级密钥、二级密钥、主密钥(高级密钥)
23 密钥管理过程
密钥的产生、密钥的分配、密钥的存储、密钥的备份、密钥的更新、密钥的
恢复、密钥的销毁。
24 非对称密钥管理
又称公钥密码体制。公共密钥加密的用途:公共密钥的分配,使用公开密钥加
密方法分配秘密密钥。
25 公开密钥的分配
公钥的公开发布、公开可访问目录、公开密钥管理机构、公钥证书
5●26 网络安全体系
从层次体系上,可以将网络安全分成四个层次上:
1、物理安全;2、逻辑安全;3、操作系统安全;4、联网安全。
物理安全有:1)防盗;2)防火;3)防静电;4)防雷击;5)防电磁泄漏:
27 网络安全的必要性
剩余14页未读,继续阅读
资源评论
是空空呀
- 粉丝: 178
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功