第一章。
1.电子商务系统可能遭受的攻击。
系统穿透:未经授权人通过一定手段假冒合法用户接入系统,对文件进行篡改、窃取机密信息、非法使用资源等。
违反授权原则:一个被授权进入系统做某件事的用户,在系统中做未经授权的其他事情。
植入:在系统穿透或违反授权攻击成功后,入侵者常要在系统中植入一种能力,为其以后攻击系统提供方便条件。
通信监视:这是一种在通信过程中从信道进行搭线窃听的方式。
通信窜扰:攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中数据的内容,修正信息次序、时间(延时和重放),注入伪造信息。
中断:对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作,破坏信息和网络资源。
拒绝服务:指合法接入信息、业务和其他资源受阻。
否认:一个实体进行某种信息通信或交易活动,稍后否认曾进行过这一活动,不管着中国行为是有意的还是无意的,一旦出现再要解决双方的争执就不太容易。
病毒:由于internet的开放性,病毒在网络上的传播比以前快了许多,而且internet的出现又促进了病毒制造者之间的交流,使新病毒层出不穷,杀伤力也大有提高。
2.电子商务安全的中心内容:机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。
商务数据的机密性或称保密性:是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露未未经授权的人或组织,或者进过加密伪装后,使未经授权者无法了解其内容。
商务数据的完整性或称正确性:是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
商务数据的认证性:是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。认证性用数字签名和身份认证技术实现。
商务服务的不可否认性:是指信息的发送方不能否认已发送的信息,接受方不能否认已收到的信息,这是一种法律有效性要求。
商务服务的不可拒绝性或称可用性:是保证授权用户在正常访问信息或资源时不被拒绝,即保证为用户提供稳定的服务。
访问的控制性:是指在网络上限制和控制通信链路对主机系统和应用的访问,用户保护计算机系统的资源不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。
第二章。1.电子商务的安全需求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、内部网的严密性。
2.加密的基本概念:
明文:原始的、未被伪装的消息称做明文,也称信源。通常用m表示。
密文:通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为密文。通常用c表示。
加密:把明文变成密文的过程。通常用e表示。
加密算法:对明文进行加密所采用的一组规则,称为解密。通常用d表示。
解密算法:消息传送给接受者后,要对密文进行解密时所采用的一组规则称做解密算法。
密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。通常用k表示。
加密:c=ek(m)
解密:m=dk(c)
3.单钥密码体质是加密和解密使用相同或实质上等同的密钥加密体质。
单钥密码体质特点:①加密和解密的速度快,效率高;②加密和解密过程使用同一个密钥。
单钥密码体质的算法:
des加密算法。
des加密算法是美国国家标准化局nbs于2023年11月23日作为一个官方的联邦标准颁布的。des的加密运算法则是,每次取明文中的连续64位数据,利用64位密钥(其中8位是校验位,56位是有效密钥信息),经过16次循环(每一次循环包括一次替换和一次转换)加密运算,将其变为64位的密文数据。
双重des加密方法是在des加密算法上的改进,是用两个密钥对明文进行两次加密,假设两个密钥是k1和k2,其算法步骤是:①用密钥k1进行des加密;②用k2对步骤1的结果进行des加密。
三重des加密方法是在双重des加密算法上的改进,是用两个密钥对明文进行三次加密,加色两个密钥是k1和k2其算法步骤是:①用密钥k1进行des加密;②用k2对步骤1的结果进行des加密;③用步骤2的结果使用密钥k1进行des加密。
idea加密算法。
idea国际数据加密算法是2023年由瑞士联邦技术学院提出的。idea采用了三种基本运算:抑或运算、模加、模乘。
idea的设计思想是在不同的代数组中进行混合运算。idea的加密过程是,首先将明文分为64位的数据块,然后进行轮迭代的一个输出变换。idea的输出和输入都是64位,密钥长度为128位。
rc-5加密算法。
rc-5加密算法是使用可变参数的分组迭代密码体质,其中的可变参数为:分组长、密钥长和迭代轮数。rc-5加密算法适用于不同字长的处理器。
aes加密算法。
2023年9月,美国国家标准技术局(nist)将rijndael密码算法指定为高级加密标准(aes),用来替代des。
4.双钥密码体质又称作公共密钥体质或非对称加密体质,这种加密算法在加密和解密过程中要使用一对(两个)密钥,一个用于加密,一个用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。
双钥密码体质算法的特点:①适合密钥的分配和管理;②算法速度慢,只适合加密小数量的信息。
双密钥体质的几种算法:
1 rsa密码算法。
rsa密码算法是第一个既能用于数据加密也能用于数字签名的算法。rsa密码体质是基于群zn中大整数因子分解的困难性。
2 elgamal密码体质。
elgamal密码体质由elgamal提出,是一种基于有限域上的离散对数问题的双钥密码体质。elgamal密码体质的一个缺点是“消息扩散”,即密文长度是对应的明文长度的两倍。
3 椭圆曲线密码体质(ecc)
椭圆曲线密码体质的依据就是定义在椭圆曲线点群上的离散对数问题的难解性。
5.密钥分配:集中式分配方案和分布式分配方案。
集中式分配方案是指利用网络中的“密钥管理中心(kmc)”来集中管理系统中的密钥,“密钥管理中心”接受系统中用户的请求,为用户提供安全分配密钥的服务,分布式分配方案是指网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不受任何其他方面的限制。
电子商务安全导论
第1章电子商务安全基础。一。商务和电子商务的概念。1.电子商务的含义。2.组成电子商务的技术要素。3.电子商务的模式。因特网 intranet 内连网 和extranet 外连网 的特点。5.电子商务的发展历史。二。电子商务安全基础。1.电子商务存在的安全隐患。1.1计算机系统的安全隐患。1.2电子...
电子商务安全导论
电子商务安全导论 实践考核要求。一 电子商务安全基础。根据案例分析 判断以下内容 1 计算机系统的安全隐患。2 电子商务的安全隐患。3 电子商务系统可能遭受的攻击。4 电子商务安全的中心内容。5 产生电子商务安全威胁的原因。6 对电子商务安全威胁可采取的相应对策。二 安全需求与密码技术及其应用。1 ...
电子商务安全导论
1,what保持数据完整性?是保护数据不被未授权者修改 建立 嵌入 删除 重复传送或其他原因使原始数据被更改。存储时,防止非法篡改,防止 信息被破坏。传输过程中,若接收端收到的信息与发送的信息一样,说明传输过程中信息没遭到破坏,具有完整性。加密信息在传输过程虽能保证机密性,但并不能保证不被修改。保护...