电子商务安全课程期末复习资料.docx
《电子商务安全课程期末复习资料.docx》由会员分享,可在线阅读,更多相关《电子商务安全课程期末复习资料.docx(39页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、电子商务安全课程期末复习资料电子商务安全课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节
2、电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动
3、电子商务的安全策略第四节移动电子商务的安全管理第十章实验考核知识点: 数据加密技术参见讲稿章节:2-1附1.1.1(考核知识点解释):所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。考核知识点: ELGamal算法参见讲稿章节:2-1附1.1.2(考核知识点解释):ElGamal算法,是一种较为常见的加密算法,它是基于1984年提
4、出的公钥密码体制和椭圆曲线加密体系。既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。在加密过程中,生成的密文长度是明文的两倍,且每次加密后都会在密文中生成一个随机数K,在密码中主要应用离散对数问题的几个性质:求解离散对数(可能)是困难的,而其逆运算指数运算可以应用平方-乘的方法有效地计算。也就是说,在适当的群G中,指数函数是单向函数考核知识点: 数字签名参见讲稿章节:2-4附1.1.3(考核知识点解释):数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被
5、人(例如接收者)进行伪造。数字签名一般是基于公钥密码体制的。考核知识点: VPN参见讲稿章节:7-3附1.1.4(考核知识点解释):虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。考核知识点: 数字证书参见讲稿章节:2-4附1.1.5(考核知识点解释):数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在
6、数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份考核知识点: 非对称加密技术参见讲稿章节:2-1附1.1.6(考核知识点解释):RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。考核知识点: 认证技术参见讲稿章节:2-4附1.1.7(考核知识点解释):C
7、A中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书。考
8、核知识点: PKI参见讲稿章节:2-1附1.1.8(考核知识点解释):PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: PKI参见讲稿章节:2-1附1.1.9(考核知识点解释):PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。考核知识点: 交易安全中的不可否认性参见讲稿章节:4-2附1.1.10(考核知识点
9、解释):不可否认性,又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在电子商务环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。考核知识点: 安全套接层协议SSL参见讲稿章节:3-4附1.1.11(考核知识点解释):SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。考核知识点: 安全电子交易协议SET参见讲稿章节:3-5附1.1.1
10、2(考核知识点解释):SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 数据加密技术参见讲稿章节:2-1附1.1.13(考核知识点解释):数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到
11、保护信息的安全的作用。考核知识点: 公钥密码体系参见讲稿章节:2-1附1.1.14(考核知识点解释):密钥对在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。考核知识点: 散列算法参见讲稿章节:2-1附1.1.15(考核知识点解释):产生一些数据片段(例如消息或会话项)的散列值的算法。好的散列算法具有根据输入数据中的变动来更改散列值结果的特性;因此,散列
12、对于检测在诸如消息等大型信息对象中的任何变化很有用。MD4是麻省理工学院教授Ronald Rivest于1990年设计的一种信息摘要算法。它是一种用来测试信息完整性的密码散列函数的实行。其摘要长度为128位,一般128位长的MD4散列被表示为32位的十六进制数字。这个算法影响了后来的算法如MD5、SHA 家族和RIPEMD等。考核知识点: SHA算法参见讲稿章节:2-1附1.1.16(考核知识点解释):SHA将输入流按照每块512位(64个字节)进行分块,并产生20个字节的被称为信息认证代码或信息摘要的输出。该算法输入报文的长度不限,产生的输出是一个160位的报文摘要。输入是按512 位的分组
13、进行处理的。SHA-1是不可逆的、防冲突,并具有良好的雪崩效应。对于长度小于264位的消息,SHA1会产生一个160位的消息摘要。该算法经过加密专家多年来的发展和改进已日益完善,并被广泛使用。该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。考核知识点: 计算机病毒参见讲稿章节:6-3附1.1.17(考核知识点解释):计算
14、机病毒是一个程序,一段可执行码。就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。考核知识点: IPSec参见讲稿章节:7-3附1.1.18(考核知识点解释):IPSec是IETF(Internet Engineering Task Force,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证
15、、数据完整性检查和防止重放攻击。IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称Internet密钥交换协议IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。考核知识点: 访问控制技术参见讲稿章节:7-3附1.1.19(考核知识点解释):防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指,用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的
16、一种技术,如UniNAC,网络准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。考核知识点: 安全认证技术参见讲稿章节:2-4附1.1.20(考核知识点解释):身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。 计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题。考核知识点: 密钥管
17、理技术参见讲稿章节:2-3附1.1.21(考核知识点解释):密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。考核知识点: 认证技术参见讲稿章节:2-4附1.1.22(考核知识点解释):数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。考核知识点: 数字签名参见讲稿章节:2-4附1.1.23(考核知识点解释):代码签名证书是VeriSign针对网上
18、发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品,能满足各种数字签名的应用需要,让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。考核知识点: 电子邮件安全协议参见讲稿章节:3-2附1.1.24(考核知识点解释):安全多媒体Internet邮件扩展协议(S/MIME),主要用于保障电子邮件的安全传输。采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术,构成一种签名加密的邮件收发方式。S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。考核知识点: 数字签名参见讲稿章节:2-4附1.1.
19、25(考核知识点解释):PGP技术不但可以对电子邮件加密,防止非授权者阅读信件;还能对电子邮件附加数字签名,使收信人能明确了解发信人的真实身份;也可以在不需要通过任何保密渠道传递密钥的情况下,使人们安全地进行保密通信。PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来,在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计,使其几乎成为最为流行的公钥加密软件包。考核知识点: 安全套接层协议参见讲稿章节:3-5附1.1.26(考核知识点解释):SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。SET主要是为了解决用户,商家,银行
20、之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。考核知识点: 电子商务参见讲稿章节:1-1附1.1.27(考核知识点解释):电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 电子商务参见讲稿章节:1-1附1.1.28(考核知识点解释):电子商务是以信息网络技术为手段,以
21、商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,Value Added Network)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。考核知识点: 数据加密参见讲稿章节:2-1附1.1.29(考核知识点解释):数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。考核知识点: 散列函数参
22、见讲稿章节:2-1附1.1.30(考核知识点解释):散列值是将值从一个大的(可能很大)定义域映射到一个较小值域的(数学)函数。“好的”散列函数是把该函数应用到大的定义域中的若干值的(大)集合的结果可以均匀地(和随机地)被分布在该范围上。考核知识点: 散列函数参见讲稿章节:2-1附1.1.31(考核知识点解释):SHA (Secure Hash Algorithm,译作安全散列算法) 是美国国家安全局 (NSA) 设计,美国国家标准与技术研究院(NIST) 发布的一系列密码散列函数。SHA 散列函数已被做为 SHACAL 分组密码算法的基础。考核知识点: 电子商务网络安全技术参见讲稿章节:7-3
23、附1.1.32(考核知识点解释):所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。这里所说的外网一般是指不受信任的外部Internet网络,而内网是完全受信任的企业内部网络。考核知识点: IP安全协议体系参见讲稿章节:3-1附1.1.33(考核知识点解释):Internet 协议安全性 (IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 课程 期末 复习资料
限制150内