電子商務(wù)安全技術(shù)復(fù)習(xí)要點(diǎn)

1、電子商務(wù)安全技術(shù)復(fù)習(xí)要點(diǎn)第一章 電子商務(wù)安全概述1、電子商務(wù)安全的含義或需求（6/7個特性，及相關(guān)的技術(shù)）2、電子商務(wù)安全問題有哪些?能舉例說明3、電子商務(wù)安全的構(gòu)成（從安全等級劃分，從電子商務(wù)系統(tǒng)構(gòu)成劃分）4、電子商務(wù)安全特點(diǎn)第二章 信息安全技術(shù)概念：對稱加密，非對稱加密，數(shù)字簽名RSA加密算法計算（擴(kuò)展歐幾里德算法）數(shù)字簽名目的、原理、特點(diǎn)、類型、常用數(shù)字簽名方法（有哪些？）RSA數(shù)字簽名原理驗證技術(shù)：目的、身份驗證原理基于個人令牌的驗證（類型、功能）基于生物特征的驗證（類型）基于數(shù)字時間戳的驗證（時間戳、目的、構(gòu)成）基于數(shù)字證書的驗證（驗證過程）第三章 互聯(lián)網(wǎng)安全技術(shù)1、網(wǎng)絡(luò)層安全、應(yīng)用

2、層安全、系統(tǒng)安全2、防火墻技術(shù)（目的、特點(diǎn)、功能、類型）3、IP協(xié)議安全（IP層安全、IPsec基本功能及應(yīng)用與特點(diǎn)、安全關(guān)聯(lián)SA概念、AH與ESP協(xié)議提供的安全服務(wù)及工作模式）4、VPN技術(shù)（VPN概念、應(yīng)用、原理、類型）5、SSL、SET協(xié)議（安全服務(wù)或功能、交易參與方、二者的比較）第四章 數(shù)字證書數(shù)字證書的概念、主要內(nèi)容、類型及其作用、格式證書管理機(jī)構(gòu)證書申請、分發(fā)、撤銷第五章 公鑰基礎(chǔ)設(shè)施與應(yīng)用1、PKI的概念、PKI平臺構(gòu)成2、CA結(jié)構(gòu)3、認(rèn)證路徑的概念4、什么是CP、CPS第六章 電子商務(wù)安全策略與管理電子商務(wù)安全策略的概念制定安全策略的原則制定安全策略考慮的有關(guān)項目網(wǎng)絡(luò)安全策略、

3、主機(jī)安全策略、設(shè)施安全策略、數(shù)據(jù)管理策略、安全交易策略題型：名詞解釋、填空、問答、計算題、案例分析第一章 電子商務(wù)安全概述1、電子商務(wù)安全的含義或需求（6/7個特性，及相關(guān)的技術(shù)）(1)機(jī)密性（ Confidentiality，保密性）:信息傳輸或存儲過程中不被竊取、泄露，或未經(jīng)授權(quán)者無法了解其內(nèi)容。(2)完整性（Integrity，真實性）:信息不被未授權(quán)者修改（更改、嵌入、刪除、重傳）、假冒。(3)認(rèn)證性（Authentication）:對電子商務(wù)參與者（企業(yè)或個人）的身份進(jìn)行確認(rèn)，保證信息發(fā)送與接受者的身份真實性。(4)不可抵賴性（Non-Repudiation，不可爭辯性）:電子商務(wù)交

4、易法律有效性的要求。接收者不可否認(rèn)已收到信息，發(fā)送者不可否認(rèn)已發(fā)送信息。(5)不可拒絕性（Availability，有效性，可用性）:保證授權(quán)用戶在正常訪問信息和其他資源時不被拒絕，為用戶提供穩(wěn)定的服務(wù)。(6)訪問控制性（Controllability）:在網(wǎng)絡(luò)上限制和控制通信鏈路對主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的訪問；用于保護(hù)計算機(jī)系統(tǒng)的資源（信息、計算和通信資源）不被未經(jīng)授權(quán)人或未經(jīng)授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序。(7)匿名性（Anonymity）:隱匿參與者身份，保護(hù)個人、組織隱私。相關(guān)的技術(shù):(1)密碼技術(shù)：信息安全的核心技術(shù)。包括加密、簽名認(rèn)證和密鑰管理三大技術(shù)。加密技術(shù)：用

5、數(shù)學(xué)方法對原數(shù)據(jù)重組，實現(xiàn)信息的保密性。簽名認(rèn)證：用公鑰密碼技術(shù)，保證信息的真實性，包括信息發(fā)送者身份的真實性，信息的完整性（是否篡改）和不可否認(rèn)性。密鑰管理：密碼技術(shù)的關(guān)鍵。包括密鑰的產(chǎn)生、分發(fā)、更新、歸檔、恢復(fù)、審計的處理。(2)網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)是電子商務(wù)基礎(chǔ)。包括所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全技術(shù)，常用的包括防火墻技術(shù)、VPN技術(shù)、入侵檢測技術(shù)。(3)公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure，PKI)技術(shù)：通過認(rèn)證機(jī)構(gòu)簽發(fā)、管理數(shù)字證書，為電子商務(wù)提供一套安全基礎(chǔ)平臺。電子商務(wù)安全技術(shù)體系2、電子商務(wù)安全問題有哪些?能舉例說明電商網(wǎng)站安全環(huán)境與信息泄露(漏洞)黑客針對電

6、商網(wǎng)站攻擊網(wǎng)上交易服務(wù)安全信息安全問題安全管理問題安全法律保障問題3、電子商務(wù)安全的構(gòu)成（從安全等級劃分，從電子商務(wù)系統(tǒng)構(gòu)成劃分）從安全等級劃分，包括計算機(jī)密碼安全、局域網(wǎng)安全、互聯(lián)網(wǎng)安全、信息安全。從電子商務(wù)系統(tǒng)劃分，包括實體安全、運(yùn)行安全、信息安全、交易安全。電子商務(wù)系統(tǒng)安全電子商務(wù)系統(tǒng)安全實體安全運(yùn)行安全信息安全設(shè)備安全環(huán)境安全媒體安全風(fēng)險分析應(yīng)急備份與恢復(fù)審計跟蹤操作系統(tǒng)安全數(shù)據(jù)庫安全鑒別加密訪問控制病毒防護(hù)網(wǎng)絡(luò)安全4、電子商務(wù)安全特點(diǎn)基礎(chǔ)性企業(yè)實施電子商務(wù)的前提條件。電子商務(wù)系統(tǒng)分析設(shè)計實施的必不可少的重要內(nèi)容。系統(tǒng)性技術(shù)：安全技術(shù)體系完整程度及安全有效程度。管理：安全意識及內(nèi)部監(jiān)控

7、制度完善程度。社會：法律體系、監(jiān)管體系、服務(wù)體系、行業(yè)規(guī)范等完善程度。個人：社會責(zé)任、行為道德、法律意識。相對性沒有不受攻擊的系統(tǒng)、攻不破的系統(tǒng)、不出安全問題的系統(tǒng)。動態(tài)性安全攻防技術(shù)此消彼長，在對抗中共同發(fā)展。電子商務(wù)安全需要持續(xù)檢查、評估和改進(jìn)。效用性用1單位的安全投入保護(hù)10個單位的企業(yè)利益而不是相反。第二章 信息安全技術(shù)概念：對稱加密，非對稱加密，數(shù)字簽名對稱加密：收發(fā)雙方相同密鑰。非對稱加密：收發(fā)雙方不同密鑰。數(shù)字簽名：在數(shù)據(jù)電文中，以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，和與數(shù)據(jù)電文有關(guān)的任何方法，它可以用于數(shù)據(jù)電文有關(guān)的簽字持有人和表明此人認(rèn)可數(shù)據(jù)電文所含信息。RS

8、A加密算法計算（擴(kuò)展歐幾里德算法）原理：找一個大數(shù)的質(zhì)因數(shù)很困難 算法： 任選兩個很大的質(zhì)數(shù)p、q，取公共模數(shù)(加密/解密用)n = pq 任選一個大數(shù)e，(1, (p - 1) * (q - 1) ), 與(p - 1) * (q - 1)互質(zhì)，與 n 共同構(gòu)成公鑰 （e,n）找一個大數(shù) d, 與n互質(zhì), 且使： (d*e - 1) mod (p - 1)*(q - 1) = 0 與 n 共同構(gòu)成密鑰(d,n)。 用模數(shù)運(yùn)算方法和公鑰對明文M(0(n-1)加密,得到密文M : M = Me mod n。用模數(shù)運(yùn)算方法和密鑰對密文M解密,得到明文M: M = Md mod n。例： 加密的明文

9、m = 14選擇： p = 5，q = 11， e =3；計算： n = pq = 55，(p1)(q1) = 40，d = 27；公鑰： (3, 55) ；私鑰： (27, 55)驗證：(ed) mod (p1)(q1) = 81 mod 40 = 1；加密：m = me mod n = 143 mod 55 = 49；解密：m = md mod n = 4927 mod 55 = 14。擴(kuò)展歐幾里德算法求e的乘法逆元d：(e*d 1) mod f = 0RSA算例：p = 5，q = 7， e =11, m = 3. n=pq=35, f=(p-1)(q-1)=24X1(1)X2(0)X3

10、(f)Y1(0)Y2(1)Y3(e)Q(X3/Y3)T1(X1-Q*Y1)T2(X2-Q*Y2)T3(X3-Q*Y3)1024011121-2*0=10-2*1=-224-2*11=201111-2250-5*1=-51-5*(-2)=1111-5*2=11-22-5111加密:m=me mod n=311mod 35 = 12解密：m= md mod n = 1211 mod 35 = 3如果y3=1,y20,則d=f+y2;如果y3=0,則無逆元數(shù)字簽名目的、原理、特點(diǎn)、類型、常用數(shù)字簽名方法（有哪些？）目的：身份鑒別：接收方通過發(fā)送方的數(shù)字簽名能確認(rèn)發(fā)送方的確切身份，但無法偽造。完整性：

11、信息內(nèi)容無法篡改。機(jī)密性：信息內(nèi)容保密，第三方無法知道。不可抵賴：發(fā)送方對已發(fā)送的信息無法否認(rèn)。原理：數(shù)字簽名特點(diǎn)（與書面簽名比較）由簽名者隨信息發(fā)出，與信息不可分離。簽名隨信息內(nèi)容改變而不同，可確認(rèn)信息自發(fā)出至接收未做過任何修改。不可假冒、不可篡改、不可抵賴。電子簽名相關(guān)法律仲裁的依據(jù)。數(shù)字簽名類型 基于數(shù)學(xué)難題的簽名類型DSA數(shù)字簽名：基于離散對數(shù)問題的簽名。RSA數(shù)字簽名：基于質(zhì)因數(shù)分解問題的簽名?；诤灻脩舻暮灻愋蛦蝹€用戶的數(shù)字簽名多個用戶的數(shù)字簽名基于數(shù)字簽名所涉及角色的簽名類型直接數(shù)字簽名(通信雙方)需仲裁的數(shù)字簽名(通信雙方+第三方/仲裁方)其他簽名類型消息自動恢復(fù)的簽名無消

12、息自動恢復(fù)的簽名常用數(shù)字簽名方法：RSA數(shù)字簽名：RSA+Hash函數(shù)數(shù)字簽名簽名與驗證過程:發(fā)送方對消息用Hash函數(shù)加密，形成固定長度的數(shù)字摘要。發(fā)送方用自己的私鑰對數(shù)字摘要加密，形成數(shù)字簽名。發(fā)送方將消息附上數(shù)字簽名發(fā)送給接收方。接收方用發(fā)送方的公鑰對數(shù)字簽名解密，得到數(shù)字摘要。接收方對收到的消息用Hash函數(shù)加密，得到數(shù)字摘要，并將該摘要與解密得到的數(shù)字摘要對比，驗證消息是否篡改。數(shù)字簽名算法DSA(Digital Signature Algorithm)橢圓曲線數(shù)字簽名ECDSARSA數(shù)字簽名原理簽名與驗證過程發(fā)送方用私鑰對消息加密，形成數(shù)字簽名。發(fā)送方將消息附上數(shù)字簽名發(fā)送給接收方

13、。接收方用發(fā)送方的公鑰對數(shù)字簽名解密，得到消息明文。接收方將解密得到的消息明文與接收到的消息對比，驗證消息是否篡改。驗證技術(shù)：目的、身份驗證原理目的：完整性身份鑒別、訪問控制不可否認(rèn)驗證方法：基于個人令牌的驗證（類型、功能）USB令牌/加密卡： USB接口，有處理和存儲能力。內(nèi)含安全文件系統(tǒng)，可以存儲數(shù)字證書、密鑰和其它機(jī)密信息。可應(yīng)用于存儲數(shù)字證書、個人機(jī)密資料、數(shù)字簽名、電子商務(wù)身份認(rèn)證、銀行在線交易 、安全電子郵件、VPN 、安全通信系統(tǒng)集成、內(nèi)部系統(tǒng)權(quán)限管理。 智能卡(SC卡)：含處理器和存儲器。類似的信用卡。除接口外（讀卡器），功能與USB-Token類似PCMCIA卡(PC卡)：移

14、動設(shè)備網(wǎng)絡(luò)接入接口。可存儲個人及移動設(shè)備地址信息，帶有加解密功能。允許移動用戶通過因特網(wǎng)安全地訪問企業(yè)網(wǎng)絡(luò)。人機(jī)界面令牌：手持式移動輸入設(shè)備，帶有輸入界面、口令驗證。軟件令牌： 在智能卡等硬件設(shè)備上安裝的、在客戶端上運(yùn)行的，或作為 Web 瀏覽器插件運(yùn)行的二進(jìn)制程序。軟件令牌運(yùn)行時，顯示一個用戶可以輸入個人識別號碼（PIN）的窗口，軟件令牌計算其通行代碼。該用戶可以通過將通行代碼輸入登錄表單而得到認(rèn)證 ?；谏锾卣鞯尿炞C（類型）生理特征：手形、手紋、指紋、臉型、耳廓、視網(wǎng)膜、虹膜、脈搏。行為特征：簽字、聲音、步態(tài)。驗證技術(shù)：手形識別、指紋識別、面容識別、耳形識別、視網(wǎng)膜識別、虹膜識別、語音識

15、別。統(tǒng)稱模式識別。即生物識別系統(tǒng)對生物特征取樣，并將其數(shù)字化，形成特征模板，保存在數(shù)據(jù)庫中。身份驗證時，識別系統(tǒng)提取用戶特征，并將它與數(shù)據(jù)庫中相應(yīng)用戶特征模板比較?；跀?shù)字時間戳的驗證（時間戳、目的、構(gòu)成）由受信任的第三方（數(shù)字時間戳服務(wù)機(jī)構(gòu)）（Digital Time-stamp Service，DTS）提供的經(jīng)加密后形成的憑證，是數(shù)字簽名的一種應(yīng)用。目的：對交易信息的時間驗證。構(gòu)成：交易信息的數(shù)字摘要；DTS機(jī)構(gòu)收到信息的日期和時間； DTS機(jī)構(gòu)的數(shù)字簽名?；跀?shù)字證書的驗證（驗證過程）1.拆封證書所謂證書的拆封，是驗證發(fā)行者CA的公鑰能否正確解開客戶實體證書中的“發(fā)行者的數(shù)字簽名”。兩個

16、證書在交換傳遞之后，要進(jìn)行拆封，看是否能夠拆封。一個證書或證書鏈的拆封操作，是為了從中獲得一個公鑰。可示為X1pX1,這為一個中綴操作，其左操作數(shù)為一個認(rèn)證機(jī)構(gòu)的公鑰，右操作數(shù)則為該認(rèn)證機(jī)構(gòu)所頒發(fā)的一個證書。如果能正確解開，輸出結(jié)果為用戶的公鑰。從證書內(nèi)容列表中可以看出，證書結(jié)構(gòu)的最后內(nèi)容是認(rèn)證機(jī)構(gòu)CA的數(shù)字簽名，即一個可信任的CA已經(jīng)在證書上用自己的私鑰做了簽名。如果用該CA的公鑰就可以拆封一個用戶實體的證書，那么，這個簽名被驗證是正確的。因為它證明了這個證書是由權(quán)威的、可信任的認(rèn)證機(jī)構(gòu)所簽發(fā)。因此，這個實體證書是真實可信的。2.證書鏈的驗證所謂證書鏈的驗證，是想通過證書鏈追溯到可信賴的CA

17、的根（ROOT）。換句話說，要驗證簽發(fā)用戶實體證書的CA是否是權(quán)威可信的CA，如CFCA。證書鏈驗證的要求是，路徑中每個證書從最終實體到根證書都是有效的，并且每個證書都要正確地對應(yīng)發(fā)行該證書的權(quán)威可信任性CA。操作表達(dá)式為ApAB,指出該操作使用A的公鑰，從B的證書中獲得B的公鑰Bp，然后再通過Bp來解封C的證書。操作的最終結(jié)果得到了C的公鑰Cp。這就是一個證書鏈的認(rèn)證拆封過程。第三章 互聯(lián)網(wǎng)安全技術(shù)1、網(wǎng)絡(luò)層安全、應(yīng)用層安全、系統(tǒng)安全互聯(lián)網(wǎng)安全：網(wǎng)絡(luò)層安全、應(yīng)用層安全、系統(tǒng)安全系統(tǒng)安全：網(wǎng)絡(luò)終端系統(tǒng)的安全。不依賴應(yīng)用與網(wǎng)絡(luò)層安全，包括系統(tǒng)本身即系統(tǒng)環(huán)境的安全。網(wǎng)絡(luò)層安全：網(wǎng)絡(luò)終端之間的通信安

18、全，不包括終端系統(tǒng)內(nèi)部的安全問題。從最終系統(tǒng)角度提高網(wǎng)絡(luò)安全。不依賴最終系統(tǒng)安全。應(yīng)用層安全：互聯(lián)網(wǎng)應(yīng)用程序（瀏覽器、郵件管理程序、FTP程序等等）內(nèi)部的安全。不依賴于網(wǎng)絡(luò)層安全。2、防火墻技術(shù)（目的、特點(diǎn)、功能、類型）目的：通過訪問控制將可信網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）與不可信網(wǎng)絡(luò)（外部互聯(lián)網(wǎng)/公眾網(wǎng)）隔離外部防火墻；也可用于在內(nèi)部網(wǎng)不同的子網(wǎng)之間或關(guān)鍵設(shè)備進(jìn)行隔離 內(nèi)部防火墻。特點(diǎn)：被隔離網(wǎng)絡(luò)之間的唯一出入口；有較強(qiáng)的抗攻擊能力；能根據(jù)安全策略，控制（允許、拒絕、檢測）出入網(wǎng)絡(luò)的信息流。功能：過濾不安全的服務(wù)和非法用戶；控制對特殊站點(diǎn)的訪問，限制內(nèi)部重點(diǎn)或敏感或漏洞網(wǎng)絡(luò)/站點(diǎn)的安全問題對全局網(wǎng)絡(luò)造成的

19、影響；防止內(nèi)部信息外泄。對網(wǎng)絡(luò)訪問進(jìn)行集中監(jiān)控和審計；抗攻擊能力：IP地址假冒攻擊、病毒攻擊、口令探詢攻擊、郵件炸彈攻擊等等。局限：不能防范撥號連接的訪問、攜帶病毒的文件/軟件/數(shù)據(jù)的攻擊、內(nèi)部攻擊?；绢愋停簲?shù)據(jù)包過濾（Packet Filtering）型防火墻：應(yīng)用：安裝在路由器，通常與應(yīng)用網(wǎng)關(guān)配合使用，適用安全性要求較低的小型電子商務(wù)系統(tǒng)。應(yīng)用層網(wǎng)關(guān)(Application Level Gateway)型防火墻應(yīng)用：安裝在專用網(wǎng)絡(luò)工作站上代理服務(wù)(Proxy Service)型防火墻克服了包過濾防火墻和應(yīng)用代理服務(wù)器的局限性狀態(tài)檢測防火墻：3、IP協(xié)議安全（IP層安全、IPsec基本功能

20、及應(yīng)用與特點(diǎn)、安全關(guān)聯(lián)SA概念、AH與ESP協(xié)議提供的安全服務(wù)及工作模式）IP層安全: 實現(xiàn)IP層多種安全服務(wù)。IPsec(IP安全標(biāo)準(zhǔn))基本功能在IP層提供安全服務(wù)。選擇安全協(xié)議。確定加密算法。管理加密密鑰。IPsec的特點(diǎn)可應(yīng)用于所有的數(shù)據(jù)通信，內(nèi)部通信不影響安全處理負(fù)荷；安裝IPsec的防火墻可抵制旁路；IPsec在傳輸層以下，因此對應(yīng)用透明、用戶透明?？梢詾閱蝹€用戶提供安全性。便于建立基于內(nèi)部網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)的虛擬網(wǎng)絡(luò)。IPsec的應(yīng)用應(yīng)用：遠(yuǎn)程登錄(Telnet)、客戶機(jī)/服務(wù)器應(yīng)用（C/S）、電子郵件（mail）、文件傳輸（FTP）、Web應(yīng)用（HTTP）。安全關(guān)聯(lián)SA兩個IPsec

21、系統(tǒng)之間的一個邏輯連接的相關(guān)安全信息參數(shù)的集合，包括：IPSec協(xié)議、協(xié)議的操作模式（傳輸、隧道）、加密/認(rèn)證算法、密鑰、密鑰的生存期等等AH與ESP協(xié)議提供的安全服務(wù)AH的兩種模式傳輸模式(Transport Mode)：僅對上層協(xié)議數(shù)據(jù)和選擇的IP頭字段提供保護(hù)，適用于兩個主機(jī)（IPSec終點(diǎn)）之間的端到端通信。隧道模式(Tunnel Mode)：對整個IP數(shù)據(jù)項提供認(rèn)證保護(hù)。既適用于主機(jī)、也適用于安全網(wǎng)關(guān)。且當(dāng)通信雙方只要有一方是安全網(wǎng)關(guān)時，就必須用隧道模式。ESP的兩種模式傳輸模式(Transport Mode)：僅對上層協(xié)議數(shù)據(jù)，不包括選擇的IP頭，適用于兩個主機(jī)之間。隧道模式(Tu

22、nnel Mode)：對整個IP數(shù)據(jù)項提供認(rèn)證保護(hù)。既適用于主機(jī)、也適用于安全網(wǎng)關(guān)。且當(dāng)通信雙方只要有一方是安全網(wǎng)關(guān)時，就必須用隧道模式。分組加密協(xié)議ESP功能:提供IP數(shù)據(jù)的機(jī)密性、驗證性、無連接的完整性、抗重放服務(wù)。認(rèn)證頭協(xié)議(AH，Authentication Header )功能:為IP數(shù)據(jù)項提供強(qiáng)認(rèn)證、無連接完整性、數(shù)據(jù)源認(rèn)證、抗重放。4、VPN技術(shù)（VPN概念、應(yīng)用、原理、類型）VPN：Virtual Private Network，虛擬專用網(wǎng)。指在公共網(wǎng)絡(luò)中建立一個專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。解決內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)如何在Internet上安全傳輸問題。VPN

23、應(yīng)用：遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司內(nèi)部網(wǎng)絡(luò)建立安全連接,并保證數(shù)據(jù)安全傳輸。VPN原理：發(fā)送進(jìn)程通過可信任內(nèi)部網(wǎng)發(fā)送明文到VPN服務(wù)器。VPN根據(jù)安全策略對數(shù)據(jù)包（包括源和目的IP）加密并附上數(shù)字簽名，然后VPN服務(wù)器對數(shù)據(jù)包加上新的數(shù)據(jù)包頭，其中包括一些安全信息和參數(shù)，對加密后的數(shù)據(jù)包重新封裝，通過Internet上的隧道傳輸?shù)竭_(dá)目的方的VPN服務(wù)器。目的方VPN服務(wù)器解包，核對數(shù)字簽名，并解密。最后，明文信息通過內(nèi)部網(wǎng)傳輸?shù)侥康牡?。VPN的基本類型按接入方式專線VPN。為通過專線接入ISP的用戶提供的VPN。撥號VPN。為撥號方式通過PSTN/ISDN接入ISP的用戶提供

24、的VPN。按VPN業(yè)務(wù)類型Intranet VPN。公司總部與分支機(jī)構(gòu)之間通過公共網(wǎng)絡(luò)建立的VPN。Access VPN。公司員工或小的分支機(jī)構(gòu)與公司總部之間通過撥號方式建立的VPN。Extranet VPN。公司與客戶、供應(yīng)商、商業(yè)伙伴等等之間通過公共網(wǎng)絡(luò)建立的VPN。按VPN應(yīng)用平臺軟件VPN。利用軟件VPN產(chǎn)品實現(xiàn)。硬件VPN。利用VPN專用硬件產(chǎn)品實現(xiàn)。5、SSL、SET協(xié)議（安全服務(wù)或功能、交易參與方、二者的比較）安全套接層協(xié)議 (Secure Socket Layer，SSL)SSL處于應(yīng)用層與傳輸層之間。對應(yīng)用層協(xié)議(如HTTP、FTP、Telnet等)透明。在應(yīng)用層協(xié)議通信前，

25、即完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證。之后對應(yīng)用層協(xié)議傳輸?shù)娜繑?shù)據(jù)都會被加密。SSL協(xié)議的功能用戶和服務(wù)器認(rèn)證?？蛻魴C(jī)與服務(wù)器使用公鑰密碼技術(shù)驗證對方的數(shù)字證書的合法性。允許它們之間建立加密連接。數(shù)據(jù)傳輸?shù)臋C(jī)密性。SSL協(xié)議采用對稱和公開密鑰技術(shù)加密，并且用數(shù)字證書進(jìn)行鑒別。數(shù)據(jù)的完整性。SSL采用Hash函數(shù)和機(jī)密共享的方法提供信息的完整性服務(wù)。安全電子交易協(xié)議 (Secure Electronic Transaction，SET)以信用卡為基礎(chǔ)的安全電子支付協(xié)議，實現(xiàn)電子商務(wù)交易中的加密、認(rèn)證機(jī)制、密鑰管理機(jī)制，保證在開放網(wǎng)絡(luò)中使用信用卡在線購物的安全。SET協(xié)議的安全服務(wù)通過加

26、密、雙重數(shù)字簽名，保證支付系統(tǒng)中的支付信息與訂購信息的安全性；通過數(shù)字簽名，保證數(shù)據(jù)傳輸過程中的完整性；對參與方身份認(rèn)證；保證參與方的合法性；不依賴于傳輸安全技術(shù)；SET交易參與方：SET與SSL比較SET認(rèn)證要求比較高，要求對所有參與方身份認(rèn)證。SSL只要求對商戶的服務(wù)器認(rèn)證，對客戶認(rèn)證可選。對商家而言，可免受欺詐。降低運(yùn)營成本。對消費(fèi)者而言，SET保證商戶的合法性，并且支付信息對商戶保密。SET對參與各方定義了互操作接口，系統(tǒng)可由不同廠商的產(chǎn)品構(gòu)筑。SET要求在各方配置相應(yīng)的軟件，配置成本較高。SET與SSL結(jié)合：商戶與消費(fèi)者之間采用SSL，在于銀行之間采用SET。第四章 數(shù)字證書數(shù)字證書

27、的概念、主要內(nèi)容、類型及其作用、格式數(shù)字證書概念 基于公鑰技術(shù)、數(shù)字簽名技術(shù)的電子商務(wù)參與各方、設(shè)備或其他實體的身份證書。由認(rèn)證機(jī)構(gòu)（CA）在確認(rèn)了數(shù)字證書持有者（或稱為證書主體）的身份或其他屬性并用數(shù)字方式簽名簽發(fā)和統(tǒng)一管理。數(shù)字證書是公鑰技術(shù)、數(shù)字簽名技術(shù)廣泛應(yīng)用于電子商務(wù)的關(guān)鍵。主要內(nèi)容 證書序列號、持有者的名稱、公開密鑰、有效期、認(rèn)證機(jī)構(gòu)（發(fā)行者）的名稱與數(shù)字簽名。類型個人證書：頒發(fā)給個人，用于身份驗證和安全電子郵件的數(shù)字證書。服務(wù)器證書：頒發(fā)給指定Web服務(wù)器，用于聲明特定的網(wǎng)站服務(wù)器是安全的及安全站點(diǎn)的身份。開發(fā)者證書（代碼簽名數(shù)字證書）：頒發(fā)給軟件開發(fā)者，并用作其軟件身份的數(shù)字標(biāo)

28、識。匹配發(fā)布者的身份與軟件身份證書。單位證書: 頒發(fā)給單位、組織，包括單位員工。證書管理機(jī)構(gòu)證書申請、分發(fā)、撤銷數(shù)字證書的生成步驟：數(shù)字證書申請人將申請數(shù)字證書所需要的數(shù)字證書內(nèi)容信息提供給認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)確認(rèn)申請人所提交信息的正確性，這些信息將包含在數(shù)字證書中。由持有認(rèn)證機(jī)構(gòu)私鑰的簽證設(shè)備給數(shù)字證書加上數(shù)字簽名。將數(shù)字證書的一個副本傳送給用戶，必要時，用戶在收到數(shù)字證書后返回確認(rèn)信息。將數(shù)字證書的一個副本傳送到數(shù)字證書數(shù)據(jù)庫/目錄服務(wù)，以便公布。作為一種可供選擇的服務(wù)，數(shù)字證書的一個副本可以由認(rèn)證機(jī)構(gòu)或其他實體存檔，以加強(qiáng)檔案服務(wù)、提供證據(jù)服務(wù)以及不可否認(rèn)服務(wù)。認(rèn)證機(jī)構(gòu)將數(shù)字證書生成過程中

29、的相關(guān)細(xì)節(jié)，以及其他在數(shù)字證書發(fā)放過程中的原始活動都記錄在審計日志中。請求撤銷數(shù)字證書用戶請求撤銷自己的數(shù)字證書。認(rèn)證機(jī)構(gòu)撤銷用戶的數(shù)字證書。其他人請求撤銷數(shù)字證書。認(rèn)證機(jī)構(gòu)在撤銷數(shù)字證書后，通過定期公布的數(shù)字證書撤銷表（CRL）通知數(shù)字證書用戶。第五章 公鑰基礎(chǔ)設(shè)施與應(yīng)用1、PKI的概念、PKI平臺構(gòu)成公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure):指用公鑰技術(shù)通過認(rèn)證機(jī)構(gòu)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。PKI平臺：為PKI體系中的各成員提供安全服務(wù)（身份認(rèn)證、數(shù)據(jù)的完整性、不可否認(rèn)性以及保密性等）所需要的全部硬件、軟件、人力資源、相關(guān)政策和操作程序

30、。具體包括：認(rèn)證機(jī)構(gòu)CA(Certificate Authority)。PKI的核心。電子商務(wù)中權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu)，檢查核實實體身份，通過數(shù)字證書把實體的身份信息與其公鑰捆綁在一起，負(fù)責(zé)頒發(fā)、管理所有參與網(wǎng)上活動的實體所需的數(shù)字證書。X.500目錄服務(wù)器。發(fā)布用戶的數(shù)字證書和數(shù)字證書撤銷表信息。Web安全通信平臺。包括應(yīng)用安全保護(hù)的Client和www Server(RA、CA服務(wù)器、證書作廢系統(tǒng)、密鑰備份與恢復(fù)系統(tǒng)、數(shù)字證書數(shù)據(jù)庫、應(yīng)用接口API)。安全應(yīng)用系統(tǒng)。這是指各行業(yè)自行開發(fā)的各種具體應(yīng)用系統(tǒng)，如銀行、證券的應(yīng)用系統(tǒng)等。認(rèn)證政策（包括遵循的技術(shù)標(biāo)準(zhǔn)。各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架等）、認(rèn)證規(guī)則、運(yùn)作制度、所涉及的各方法律關(guān)系等。2、CA結(jié)構(gòu)CA結(jié)構(gòu): CA認(rèn)證關(guān)系，又稱為信任模型。樹形層次結(jié)構(gòu)、森林型層次結(jié)構(gòu)、通用結(jié)構(gòu)、Web、用戶中心。 通用結(jié)構(gòu)有多個獨(dú)立的完成不同任務(wù)或支持不同應(yīng)用的PKI。Web結(jié)構(gòu)瀏覽器預(yù)裝了許多C