电子商务安全案例总结

电子商务安全案例总结

电子商务从产生至今虽然时间不长,但发展十分迅速,已经引起各国政府和企业的广泛关注和参与。但是,由于电子商务交易平台的虚拟性和匿名性,其安全问题也变得越来越突出,近些年的案例层出不穷。

1.台湾黑客对某政府网站的攻击 (19xx年x月) 该网站运行的系统是SunOS,版本比较旧。当时大陆黑客出于对李登辉"quot;两国论"quot;谬论的愤慨,为谴责李登辉的分裂行径,于8月份某日,一夜之间入侵了数十个台湾政府站点。台湾黑客采取了报复行动,替换了这个网站的首页。经本站技术人员P分析,在该系统上实际存在至少4个致命的弱点可以被黑客利用。其中有两个RPC守护进程存在缓冲区溢出漏洞,一个CGI程序也有溢出错误。对这些漏洞要采用比较特殊的攻击程序。但台湾黑客并没有利用这些比较高级的攻击技巧,而是从一个最简单的错误配置进入了系统。原来,其缺省帐号infomix的密码与用户名相同!这个用户的权限足以让台湾黑客对web网站为所欲为。从这件事情可以看出,我们有部分系统管理员不具备最起码的安全素质。

2.东亚某银行(19xx年x月)

该网站为WindowsNT 4.0,是这个国家最大的银行之一。该网站BankServer实际上有两道安全防线,首先在其路由器的访问控制表中(ACL)做了严格的端口过滤限制,只允许对80、443、65300进行incoming访问,另一道防火墙为全世界市场份额最大的软件防火墙FW,在FW防火墙上除了端口访问控制外,还禁止了很多异常的、利用已知CGI bug的非法调用。在12月某日,该银行网站的系统管理员Ymouse(呢称)突然发现在任务列表中有一个杀不死的CMD.exe进程,而在BankServer系统上并没有与CMD.exe相关的服务。该系统管理员在一黑客聊天室向本站技术人员F求救。F认为这是一个典型的NT系统已经遭受入侵的迹象。通过Email授权,F开始分析该系统的安全问题,从外部看,除WWW服务外,BankServer并没有向外开放任何有安全问题的服务。但F在该网站的上游路由器发现一个安全问题,允许入侵者获取该路由器的配置文件和破解密码。经过系统管理员Ymouse的再次授权确认,F仅用了3分钟,就获取了该路由器的访问密码;登录路由器后,经过复杂的分析发现,虽然该银行网站没有incoming的可疑通信,却发现BankServer正在向外连接着另一台NT服务器Wserver的139端口。通过进一步的分析,证实有人从BankServer登录到了Wserver的C盘。Wserver是一台韩国的NT服务器,不受任何安全保护的裸机。F对Wserver进行了一次简单的扫描,结果意外地发现Wserver的管理员帐号的密码极为简单,可以轻易获取对该系统的完全控制。更令人吃惊的是,在这台韩国的服务器的C盘上,保存着上面提到的东亚某银行的一个重要数据库文件!更多的文件正在从BankServer上往这台韩国的Wserver上传送!

3.借刀杀人,破坏某电子公司的数据库 (20xx年x月x日)

19xx年x月该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份,网站运行半年来积累的用户和资料全部丢失。系统管理员反复检查原因,通过web日志发现破坏者的调用web程序记录,确定了当时用户的IP是

202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位),而这个IP来自于某地一个ISP的一台代理服务器。这个202.103.xxx.xx的服务器安装了Wingate的代理软件。破坏者浏览电子公司的网站是用该代理访问的。这件事情给电子公司带来的损失是很严重的,丢失了半年的工作成果。入侵者同时给

202.103.xxx.xxx带来了麻烦,电子公司报了案,协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。该代理服务器的系统管理员是本站一位技术人员F的朋友。F通过对受害者的服务器进行安全检查发现了原因。首先,其端口1433为开放,SQL数据库服务器允许远程管理访问;其次,其IIS服务器存在ASP的bug,允许任何用户查看ASP源代码,数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。有了这两个条件,破坏者可以很容易地连上SQL数据库,以最高身份对数据库执行任意操作。对于该漏洞的补丁,请下载本站的ASP bug补丁修复程序。

4.熊猫烧香 (20xx年x月)

20xx年x月初,我国互联网上大规模爆发"熊猫烧香"病毒及其变种.一只憨态可掬,颔首敬香的"熊猫"在互联网上疯狂"作案".在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,"烧香"潮波及上千万个人用户,网吧及企业局域网用户,造成直接和间接损失超过1亿元.20xx年x月x日,"熊猫烧香"病毒的制造者李俊落网.李俊向警方交代,他曾将"熊猫烧香"病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有"熊猫烧香"病毒的新变种出现.李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元.而在链条下端的涉案人员张顺目前已获利数十万了.一名涉案人员说,该产业的利润率高于目前国内的房地产业.有了大量盗窃来的游戏装备,账号,并不能马上兑换成人民币.只有通过网上交易,这些虚拟货币才得以兑现.盗来的游戏装备,账号,QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖.一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币.李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元.经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播.据估算,被"熊猫烧香"病毒控制的电脑数以百万计

5.华硕官方网站遭黑客攻击 公司被迫关闭服务器 (20xx年x月x日) Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该代码隐藏在网站主页的一个HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。4月x日据外电报道电脑零部件生产商华硕的网站遭到黑客攻击,黑客利用本周才修复的一个Windows系统中的紧急漏洞,通过该网站的服务器发送恶意代码。Exploit Prevention Labs的首席技术官罗杰-汤姆森(Roger Thompson)透露,该攻击代码隐藏在网站主页的一个

HTML元素中,并试图从另一台服务器上下载恶意代码。截止周五下午,这台服务器已经停止工作,虽然黑客们还可转移攻击目标,不过此次攻击的危险性已经下降。

通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的.目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白.除了下载补丁,升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全.

电子商务交易安全的一些典型技术和协议都是对有关电子商务交易安全的外部防范,但是要想使一个商用网络真正做到安全,不仅要看它所采用的防范措施,而且还要看它的管理措施。只有将这两者综合起来考察,才能最终得出该网络是否安全的结论。因此,只有每个电子商务系统的领导、网络管理员和用户都能提高安全意识,健全并严格有关网络安全措施,才能在现有的技术条件下,将电子商务安全风险降至最低.

 

第二篇:电子商务安全总结

什么是公开密钥,对称密钥及各自的特点, 主要运用的地方,是怎么使用的.

非对称密码体制的特点是加密密钥和解密密钥不同,但存在着对应关系,即用某个加密秘钥加密的信息必须用其所对应的解密密钥才能解开,但在计算机上不能由加密密钥退出解密密钥。把这样的一对密钥称为公有密钥和私有密钥,企业需要自己保存的密钥称为私有密钥,对外公布的密钥称为共开密钥。

对称加密方法的特点是无论加密还是解密都使用同一把密钥。比较著名的对称加密算法就是DES,其分组长度为64位,实际的密钥长度为56位,还有8位校验码(16次加密)。.对称密钥优点是速度快,效率高。缺点是保存和管理密钥是一大难题;需要一条安全的途径传送密钥;无法鉴别发送方和接收方的身份。

非对称加密体制的特点(不能提供无条件的安全性) 优点: 1、可以支持众多的安全服务(如保密性、完整性、起源认证、不可抵赖性和数字签名等)2、简化了密钥发布和管理的难度 3、非常适合于再分布系统下使用

缺点:1、与对称密码算法相比,非对称(即公有密钥)密码算法相对加解密速度较慢,他们可能要比同等强度的对称密码算法慢10到100倍。 2、要想让非对称密钥算法相同的安全强度,就必须使用更长的密钥。 3、非对称加密会导致得到的密文变长。 数字时间戳流程,打在什么上145.

数字时间戳是一个经加密后形成的凭证文档,它包括三部分:需要加时间戳的文件的摘要,DTS(数字时间戳服务)收到文件的日期和时间,DTS的数字签名。能提供电子文件发表时间的安全保护。

数字时间戳产生流程:用户首先将需要加时间戳的文件用哈希编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。 Hash算法是把任意长度的的输入数据经过算法压缩,输出一个尺寸小了很多的固定长度的数据,即哈希值。哈希值也称为输入数据的数字指纹或消息摘要等。

单项哈希函数基本特征:1、单项哈希函数能够处理任意长度的明文(至少是在实际应用中可能碰到的长度的明文),其生成的消息摘要数据长度具有固定的大小,而且,对同一个消息反复执行该函数总能得到相同的信息摘要。2、单项哈希函数生成的信息摘要是不可预见的,消息摘要看起来和原始的数据没有任何的关系。而且,原始数据的任何微小变化都会对生成的信息摘要产生很大的影响。3、具有不可逆性,即通过生成的报文摘要得到原始数据的任何信息在计算机上是完全不可行的。

通过哈希值来“代表”信息本身,保证信息安全。

典型哈希函数(MD5、SHA、)

哈希函数的应用:文件效验、数字签名、鉴权协议

Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。

Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。 1、通过加密保证信息机密性 2、应用数字签名技术进行鉴别 3、使用X.509v3数字证书来提供信任 4、应用散列函数保证数据完整性。Set协议的加密技术:密钥加密系统、公钥加密系统、数字信封、数字签名、信息摘要、双重签名。

双联签名的基本原理及其使用过程ppt.

1、持卡人将发给商家的信息m1和发给第三方的信息m2分别生成报文摘要md1和md2

2、持卡人将md1和md2合在一起生成md,并签名

3、将m1,md2和md发给商家,m2,md1和md发给第三方

接收者根据接收到的报文生成报文摘要,再与收到的报文摘要合在一起,比较结合后的报文摘要和收到的md,确定持卡人身份和信息是否被修改。解决了三方参加电子贸易过程中安全通信的问题。 双重签名技术:在一项安全电子商务交易中,持卡人的定购信息和支付指令是相互对应的。商家只有确认了对应于持卡人的支付指令对应的定购信息才能够按照定购信息发货;而银行只有确认了与该持卡人支付指令对应的定购信息是真实可靠的才能够按照商家的要求进行支付。为了达到商家在合法验证持卡人支付指令和银行在合法验证持卡人订购信息的同时不会侵犯顾客的私人隐私这一目的,SET协议采用了双重签

名技术来保证顾客的隐私不被侵犯。

数据完整性的保障,接收方怎么比较,怎么实现及定义11、143,

数据完整性就是确认没有修改,即无论是传输还是存储过程中的数据经过检查没有被修改过。采用奇偶校验或循环用余编码(crc)的机制也可以保证一定程度上的数据完整性,但主要用于检测偶发位错误,无法防范为了达到某种目的而故意修改数据内容的行为。通常希望提供数据完整性的实体和需要验证数据完整性的实体,需要协商合适的算法和密钥

Set协议(安全电子交易规范)主要目的是解决信用卡电子付款的安全保障性问题。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。

ssl协议(安全套接层)主要用于提高应用程序之间数据的安全系数。提供的服务归纳为:用户和服务器的合法性认证,加密数据以隐藏被传送的数据,保护数据的完整性

区别:SET和SSL两种协议都能应用于电子商务中都通过认证进行身份的识别,都通过对传输数据的加密实现保密性。

SSL位于传输层与应用层之间,能很好的封装应用层数据,对用户是透明的。SSL只需要一次“握手”过程即建立一条安全通信的通道,保证数据传输的安全。SSL并不是专为支持电子商务而设计,只支持双方认证,商家完全掌握用户的帐号信息。

SET协议专为电子商务系统设计,位于应用层,认证体系完善,能实现多方认证。用户账户信息对商家保密。SET协议复杂,要用到多个密钥以及多次加解密。SET中还有发卡行、CA、支付网关等其它参与者。 分为单向认证和双向认证过程

1:客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通信所需要的各类信息。 2:服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送本身的证书。 3:客户利用服务器传过来的信息验证服务器的合法性4:用户端随机产生一个用于后面通信的“对称密码”,然后用服务器的公钥对其加密,然后将加密后的“预主密码”传给服务器。

5:如果服务器请求客户的身份认证,用户可以建立一个随机数然后对其进行数据签名6:如果服务器请求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性7:服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通信的加解密通信。8:客户端向服务器端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥9:服务器向客户端发出信息,指明后面的数据通信将使用的步骤⑦中的主密码为对称密钥

10:SSL 的握手部分结束,SSL 安全通道的数据通信开始,客户和服务器开始使用相同的对称密钥进行数据通信,同时进行通信完整性的检验。

SSL协议采用加密技术保障信息安全,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用各种加密技术,以保证其机密性和数据完整性,并且经数字证书鉴别,防止非法用户破译。采用密码哈希函数和机密共享的方法,提供信息完整性的服务,建立客户机遇服务器之间的安全通道。

安全套接字层(SSL)协议,是对计算机之间整个会话进行加密的协议,它能提供Internet上通信的保密性。该协议允许客户∕服务器应用程序在通信时,能够阻止窃听、报文伪造等安全攻击。

重放攻击 :光靠使用报文鉴别码(MAC)不能防止对方重复发送过时的信息包。SSL通过在生成MAC的数据中加入隐藏的序列号,来防止重放攻击。这种机制也可以防止被耽搁的,被重新排序的,或者是被删除数据的干扰。序列号的长度是64bit,因此打包不会有问题。另外,序列号由每个连接方向分别维护,而且在每一次新的密钥交换时进行更新,所以不会有明显的弱点。

实体认证,数据来源认证79.

1、实体认证:身份由参与通信的一方提交的,用来认证实体本身的身份,决定是否进行访问及相应的授权;保障系统使用与管理的安全性,认证信息和具体实体对应,不会和实体要进行的活动联系起来。

2、数据来源认证:认证数据项提交者的实体身份,确定实体与数据项间的静态关系;保证数据的完整性,保障实体的身份是特点数据项的来源。

CA:认证授权中心,是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构,负责为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。数字证书保障信息的安全性、真实性、可靠性、完整性和不可抵赖性 CA证书的格式遵循X.509标准

层次结构,它由跟CA、品牌CA、地方CA及持卡人CA、商家CA、支付网关CA等不同层次构成,自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。

交易双方向CA提交自己的公钥和其他代表自己身份的信息;CA验证双方身份,颁发一个用CA私钥加密的数字证书;

交易双方用CA的公钥验证CA,验证了CA就信任其签发了数字证书的每一个用户;交易双方从信任的CA处获得了数字证书,通过交换数字证书获取对方的公钥;当用户私钥/公钥到期或证书有效期到,CA公布用户证书作废。

动态口令识别(主要了解)86.

动态口令方式:采用动态令牌的硬件,内置电源、密码生成芯片和显示屏,根据当前时间或次数生成当前密码,即“一次一密”,使用不太方便。

指纹识别两个基本原理88.

指纹:手指末端正面皮肤上凹凸不平产生的纹路。总体特征,有可能相同 局部特征,不可能完全相同 指纹识别技术涉及的四个功能:读取指纹图像、提取特征、保存数据和比对。

什么是拒识率、误识率,及两者的关系89。

拒识率是指将相同的指纹误认为是不同的,而加以拒绝的出错概率,FRR=(拒识的指纹数目/考察的指纹总数目)

误识率是指将不同的指纹误认为是相同的指纹,而加以接受的出错概率,FAR=(错判的指纹数目/考察的指纹总数目

循环测试方法给定一组图像,依次两两组合,提交进行比对,统计总的提交比对的次数及发生错误的次数,并计算出出错的比例,即FRR和FAR。两个指标互为相关的,FRR与FAR成反比关系。

什么是IC卡,IC卡存在的安全问题,与USB KEY的区别103.

IC卡:智能卡,在特定材料制成的塑料卡中嵌入微处理器和存储器等IC芯片的数据卡

安全问题:失或被窃的IC卡,冒充合法用户进入应用系统,获得非法利益;用伪造的或空白卡非法复制数据,进入应用系统;使用系统外的IC卡读写设备,对合法卡上的数据进行修改,改变操作级别等;在IC卡交易过程中,用正常卡完成身份认证后,中途变换IC卡,从而使卡上存储的数据与系统中不一致;在IC卡读写操作中,对接口设备与IC卡通信时所作交换的信息流进行截听,修改,甚至插入非法信息,以获取非法利益,或破坏系统。

常用的安全技术有: 身份鉴别和IC卡合法性确认,指纹鉴别技术,数据加密通讯技术等。总体上,IC卡的安全包括物理安全和逻辑安全。

USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。

数字签名的定义112。

数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。

RSA是世界上第一个最为成功的公有密钥密码体制,基于“求两个素数的乘积是很容易计算,但要分解两

个大素数的乘积却是非常困难的,它属于NP-完全类,是一种幂模运算的加密体制”

什么是盲签名,盲签名的过程119.

盲签名是一种特殊的数字签名,他与通常的数字签名的不同之处在于,签名者并不知道它所要签发文件的具体内容。(不可伪造性、不可抵赖性、盲性、不可跟踪性)

过程:消息 →用户盲交换 →签名者生成签名 →用户脱盲交换 →最后签名

电子现金的三方及他们之间的关系126,1、取款? U 用身份认证协议向B证明身份? U将N份电子现金文件m(内含金额、用户ID及唯一的随机数等信息)用不同的盲因子盲化后交给B?B随机选择一部分(如:N一1个)文件,向U 索要盲因子,恢复出文件(去盲),审查内容是否符合要求.? 如果审查通过,B从未审查的文件中任取一份盲签名,并发给U,从U 的帐户中减去相应金额;否则协议终止? U对收到的签名文件去盲,得到电子现金。

2、支付 U 与C交易时,把电子现金交给C

? C验证B的签名,如是伪造的,则拒收;否则进一步检测用户(可选),通过后接受电子现金,提供等价的服务。

3、存款 C向B递交电子现金和帐户信息

? B验证签名,若是伪造的,则拒收;否则查询数据库是否有相同的签名(防止重复使用电子现金),若找到则C或U 重用电子现金,拒收;否则接受,在C的帐户中加上相应金额,在数据库中添加签名。 电子投票协议过程,是怎样实现的(简答题)127

使用盲签名的情况下,一个电子选举方案的实施均可按照以下4个基本步骤来完成。

U:投票人;R:注册机构,审核投票人资格;V:投票机构,接受投票

1、注册:U-R:U证明自己的身份,并提交两张内容分别为yes和no的选票,选票分别盲化;

R-U:R确认U的身份合法,并尚未参加投票,若符合条件则将两张选票签名后返回给U,否则拒绝U的请求。

2、投票U:去盲后得到两张合法选票;

U-V:U按照自己的意愿向V提交一张选票,并用V的公钥加密后发送给V;

V-U:V用私钥解密后,验证签名。若签名有效,再查看数据库,选票中的序列号是否有记录。若有则为重复选票,否则,计票,并记录该序列号。

3、计票 V统计选票,并公布结果,以及选票对应的序列号。

4、验证 投票者验证自己的选票是否被正确统计在选举结果中。

代理签名的分类129(选择题)代理签名分为三大类:完全代理签名、部分代理签名和具有证书的代理签名。

什么是PK,PKI的目标及优势

PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。任何以公钥技术为基础的安全基础设施都是PKI。

PKI的主要目标:通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性。

PKI的优势:密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。

由于密码技术的采用,保护机密性是PKI最得天独厚的优点。

由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。

PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。

PKI具有极强的互联能力。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。 .PKI是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。

一个标准的X.509数字证书包含以下一些内容:

①证书版本号:②证书序列号:③签名算法标示符:④颁发机构名称:这是必须说明的;⑤有效期:证书

有效的时间段,包括生效日期、时间和失效日期、时间⑥证书用户名(包括国家、省市、地区、组织机构、单位部门、通用名还可以包括E-mail地址和个人信息)⑦证书持有者公钥信息:证书持有者的公有密钥值和公有密钥使用的算法标识符–这是必须说明的;⑧颁发者唯一标识符:⑨证书持有者唯一标识符:⑩签名值,证书签发机构对证书上述内容的签名值。

申请:在线申请,离线申请。在线申请通过浏览器或其他应用系统,用于普通用户证书。离线申请一般通过人工方式去证书机构受理点办理证书申请手续,用于比较重要的场合,如服务器证书和商家证书。

撤销:用户向特定操作员发一份加密签名邮件,声明自己希望撤销。操作员打开邮件,填写CRL注册表,并且进行数字签名,提交给CA,CA操作员验证注册机构操作员的数字签名,批准用户撤销证书,并且更新CRL,然后CA将不同格式的CRL输出给注册机构,公布到安全服务器上,这样其他人可以通过访问服务器得到CRL。

将客户端发来的数据解密;将解密后的数据分解成原始数据,签名数据和客户证书三部分;用CA根证书验证客户证书的签名完整性;检查客户证书是否有效(当前时间在证书结构中所定义的有效期内);检查客户证书是否作废;验证客户证书结构中的证书用途;客户证书验证原始数据的签名完整性。

1.通过PKI可以构建一个可管、可控、安全的互联网络;

通过认证机制建立证书服务系统,利用证书绑定每个网络实体的公钥,使网络的每个实体均可识别,从而解决“你是谁”的问题。2.通过PKI可以在互联网中构建一个完整的授权服务体系;构建授权服务系统,利用私钥的唯一性,保证使用者的权限。解决“你能干什么”的授权问题,保障领导的权益。3.通过PKI可以建设一个普适性好、安全性高的统一平台;可以对物理层、网络层和应用层进行系统的安全结构设计,构建统一的安全域。可以在元素级实现签名和加密等功能,通过XML技术提供跨平台和移植的业务数据,提高平台的普适性、安全性和可移植性。

(ipsec隧道模式及ipsec传输模式)

ESP同AH一样是提供IP的安全性,但它比AH有更强的安全性。ESP的认证服务是通过使用消息认证码(MAC)来实现,这与AH认证的使用一样通过使用HMAC来达到对数据包的认证和完整性检测。ESP协议可以单独使用也可以与AH结合使用。

ESP 头可以放置在 IP 头之后、上层协议头之前 (传送层),或者在被封装的 IP 头之前 (隧道模式)。 ESP 包含一个非加密协议头,后面是加密数据。

EDI(电子数据交换协议)是一种在公司之间传输订单、#5@p等作业文件的电子化手段。

包含了三个方面的内容:计算机应用、通信、网络和数据标准化。计算机应用是EDI的条件,通信环境是EDI的应用基础,标准化是EDI的特征。

数字信封(问答)212.

数字信封是用来确保信息安全传输的一种机制。克服了对称密钥体制中的对称密钥分发困难和公有密钥加密中加密时间过长的问题。实现过程如下:a.加密信息:产生一个对称密钥K;用对称密钥加密信息I,得到I~;获得接收方的公约;用接收方的公钥对对称密钥K加密,得到K~(数字信封);发送{K~,I~};b.解密信息:收至{K~,I~};用自己的私钥解密K~,得到原来的对称密钥K;再用K解密I~,得到原来的I。 数字签名(问答)213. a.签名信息:对信息M进行哈希函数处理,生成摘要K;用发送者的私钥加密K来获取数字签名S;发送(M,S);b.验证签名信息:接收(M,S),并且把它们区分开;对接收到的信息M进行哈希函数处理,生成摘要K~;获取发送者的公钥;用公钥解密S,来获取K;比较K和K~,如果两者是一样的,及说明信息在发送过程中没有被篡改,反之则说明信息已被篡改或信息发送方并不是你所期待的发送者。

电子商务支付安全6要素ppt,

机密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性

电子商务环境体系安全: a.法律体系b.信用体系c.隐形体系d.道德体系e.应急响应体系f.风险控制体系 什么是诚实、诚信、尊信用42.道德的作用43.什么叫做应急响应44.

诚实就是以本真面目为人处世,以真心待人接物,不做假、不虚伪

信用是一种德行,就是要遵守自己做出的承诺

尊重:电子商务活动中,尊重具体化为对于人(包括法人)的特定权力的尊重,如对电子商务主体的人格权、隐私权、知识产权的尊重等

公正:即不偏私,不以不平等的尺度分别要求自己与他人。电子商务中公正表现为参与交易活动的双方在权利和义务上是对等的。

道德的作用机制两个方面:1、社会的道德舆论;2、主体的道德良心。

应急响应:“Incident Response”或“Emergengcy Response”,通常是指一个组织为了应对各种意外事件的发生所做的准备及在事件发生后所采取的措施。

应急响应活动的内容:1.“未雨绸缪”:事前做好准备;2.“亡羊补牢”:事后采取措施。

应急响应活动的分类1、公益性应急响应活动:政府或公益性组织资助的,对社会提供的公益性的服务

2、内部应急响应活动:组织内部的应急响应活动

3、商业的应急响应活动:专门的商业机构开展的应急服务,提供外包应急服务

电子商务企业风险管理程序50.。(风险识别、风险分析、风险应对、风险监控)

电子商务的定义:电子商务(Electronic Commerce)是各种具有商业活动能力和需求的实体为了跨越时空限制,提高商务活动效率,而采用计算机网络和各种数字化传媒技术等电子方式实现商品交易和服务交易的一种贸易形式。电商道德问题:商业欺诈、商业诽谤、网上隐私、商业信息的安全、商业信用问题 电子商务的安全涉及两个方面:

? Internet安全威胁:1、黑客攻击:破坏性攻击与非破坏性攻击,主要手段如

下:木马程序攻击、信息炸弹攻击、拒绝服务攻击、网络监听攻击、密码破解攻击;2、计算机病毒的攻击:具有传染性的一段程序,破坏计算机系统的正常运行;3、安全产品使用不当:安全产品的配置具有一定的专业性;4、缺乏网络安全管理制度)

? (商务交易安全威胁:1、在线交易主体的市场准入机制;2、信用风险;3、电

子合同风险;4、电子支付风险;5、虚拟财产保护风险)

电子商务交易安全要求:①交易数据的传输安全:交易数据和信息的保密要求、交易数据和信息的完整性要求、交易各方身份的可认证性要求、交易本身的不可抵赖性要求、交易过程的有效性、访问控制性。②电子商务的支付安全

电子商务安全主要体系在四个方面:

1.环境体系安全;2.技术安全;3.管理安全;4.应用安全;

? 1)法律体系:安全的电子商务必须依靠法律手段、行政手段和技术手段的完美结合

来保障各方的利益。(2)信用体系 商业信用的缺乏已经严重制约着中国电子商务的发展。(3)隐私体系 网络隐私数据的安全保障,成为电子商务发展首要解决的问题。(4)道德体系 传统商务中的道德问题在电子商务中变得更为严重。(5)应急响应体系 建立电子商务赖以生存的网络和计算机系统的应急响应机制。(6)风险控制体系

? 技术安全:(1)密码学技术:对称密码体制和非对称密码体制(2) 认证机制;数学方式、物理方式、

生物方式;(3)数字签名:哈希函数,不同长度的数据生成定长的摘要,不同文件的摘要不同。(4)PKI:“公钥基础设施”,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。(5)通信和交易协议:IPSec协议、SSL协议、SET协议、EDI协议; RADIUS协议:AAA (Authentication认证,Authorization授权, Accounting 计费)

? 务安全、电子邮件安全。管理安全

电子商务企业风险管理程序:风险识别—风险分析—风险应对—风险监控

1、风险识别:收集整理可能的风险,形成风险列表

2、风险分析:确定风险对企业的影响,进行量化估计;风险影响指标、风险概率、风险值

3、风险应对:制定风险应对策略,编制风险应对计划;可规避性、可转移性、可缓解性、可接受性

相关推荐

专栏推荐