本书从系统工程的视角来研究和讨论电子商务的安全问题,从全局视角来介绍电子商务安全的原理、技术和实施方法;从安全威胁、安全风险的分析着手,挖掘电子商务的安全需求,选择适用的安全技术来构建电子商务安全防护体系,同时重视电子商务安全管理的作用;全面介绍了密码技术、电子商务安全认证体系、网络安全技术、系统安全技术、移动商务安全、云安全、电子商务安全管理等内容,并通过PKI/CA、电子支付等安全应用案例,帮助读者掌握基本的安全技术及其应用方法。
样章试读
目录
- 目录
丛书序
前言
第1章 概论 1
1.1 安全性概念 1
1.1.1 密码安全 1
1.1.2 计算机安全 1
1.1.3 网络安全 2
1.1.4 信息安全 2
1.1.5 电子商务安全 3
1.2 电子商务安全威胁与防护措施 3
1.2.1 安全威胁 3
1.2.2 电子商务的安全风险 5
1.2.3 电子商务面临的安全威胁 5
1.2.4 防护措施 6
1.3 安全策略 6
1.3.1 授权 7
1.3.2 访问控制策略 7
1.3.3 责任 8
1.4 安全服务 8
1.4.1 电子商务的安全服务 8
1.4.2 安全服务与安全威胁的关系 9
1.4.3 安全服务与网络层次间的关系 9
1.5 安全机制 10
1.5.1 电子商务的安全机制 10
1.5.2 安全服务与安全机制的关系 12
1.6 电子商务安全体系结构 12
习题 13
第2章 电子商务密码技术 15
2.1 密码学概述 15
2.1.1 密码学基本概念 15
2.1.2 密码学发展历程 16
2.1.3 密码体制分类 17
2.1.4 密码分析基础 19
2.2 古典密码算法 20
2.2.1 代替密码 20
2.2.2 换位密码 22
2.3 对称密钥算法 23
2.3.1 数据加密标准 23
2.3.2 三重 28
2.3.3 国际数据加密算法 29
2.3.4 高级加密标准 29
2.3.5 分组密码工作模式 30
2.4 公开密钥算法 30
2.4.1 RSA算法 31
2.4.2 椭圆曲线密码体制 32
2.4.3 其他公开密钥算法 32
2.5 密钥管理 33
2.5.1 密钥种类 33
2.5.2 密钥的生成 34
2.5.3 对称密钥分发 35
2.5.4 密钥协定 37
2.6 机密性服务 37
2.6.1 机密性措施 38
2.6.2 机密性机制 39
2.7 网络数据加密技术 40
2.7.1 链路加密 40
2.7.2 节点—节点加密 40
2.7.3 端—端加密 41
习题 42
第3章 数字证书 43
3.1 证书概述 43
3.1.1 证书的定义 43
3.1.2 证书的类型 43
3.2 证书的格式 44
3.2.1 证书的表示 44
3.2.2 证书的结构 44
3.2.3 字段的语义和作用 46
3.3 密钥和证书生命周期管理 48
3.3.1 初始化阶段 48
3.3.2 颁发阶段 49
3.3.3 取消阶段 49
3.4 证书发行 50
3.4.1 证书申请 50
3.4.2 证书创建、密钥和证书签发 51
3.5 证书验证 52
3.5.1 拆封证书 52
3.5.2 证书链的验证 52
3.5.3 序列号验证 53
3.5.4 有效期验证 53
3.5.5 证书撤销列表查询 53
3.5.6 证书使用策略的验证 53
3.5.7 终端实体证书的确认 53
3.6 证书撤销 54
3.6.1 撤销请求 54
3.6.2 证书撤销列表 55
3.6.3 完全CRL 56
3.6.4 机构撤销列表 57
3.6.5 CRL分布点 57
3.6.6 重定向CRL 57
3.6.7 增量CRL 58
3.6.8 间接CRL 58
3.6.9 在线查询机制 59
3.7 证书策略和认证惯例声明 59
3.7.1 证书策略 60
3.7.2 认证惯例声明 60
3.7.3 CP和CPS的关系 61
习题 61
第4章 电子商务认证技术 62
4.1 认证服务 62
4.1.1 认证与认证系统 62
4.1.2 认证系统的分类 62
4.1.3 认证系统的层次模型 63
4.2 哈希函数 63
4.2.1 哈希函数的分类 64
4.2.2 MD-5哈希算法 65
4.2.3 安全哈希算法 66
4.3 数字签名 66
4.3.1 数字签名的基本概念 66
4.3.2 RSA签名体制 67
4.3.3 EIGamal签名体制 68
4.3.4 数字签名标准 69
4.3.5 盲签名 69
4.3.6 双联签名 69
4.3.7 SM2数字签名 70
4.3.8 SM9数字签名 70
4.4 时间戳 71
4.4.1 时间戳概念 71
4.4.2 时间戳服务 72
4.5 消息认证 72
4.5.1 基于对称密钥密码体制的消息认证 73
4.5.2 基于公开密钥密码体制的消息认证 74
4.5.3 完整性服务 74
4.6 身份认证 76
4.6.1 身份认证概念 76
4.6.2 口令认证 77
4.6.3 基于个人特征的身份认证技术 79
4.6.4 基于密钥的认证机制 79
4.6.5 零知识证明 80
4.6.6 身份认证协议 81
4.6.7 认证的密钥交换协议 81
4.7 不可否认服务 82
4.7.1 不可否认服务的类型 83
4.7.2 可信赖的第三方 83
4.7.3 实现不可否认服务的过程 84
4.7.4 源的不可否认服务的实现 85
4.7.5 传递的不可否认服务的实现 86
习题 88
第5章 PKI基础 89
5.1 PKI概述 89
5.1.1 PKI定义 89
5.1.2 PKI组成 89
5.2 PKI的基本功能 90
5.2.1 PKI的核心服务 90
5.2.2 PKI的支撑服务 91
5.3 PKI标准 93
5.4 CA的体系结构 94
5.4.1 CA认证中心的功能 94
5.4.2 CA认证中心的层次 94
5.5 信任模型 97
5.5.1 概念 97
5.5.2 严格层次结构模型 98
5.5.3 分布式信任结构模型 99
5.5.4 Web模型 99
5.5.5 以用户为中心的信任模型 100
5.5.6 交叉认证 100
习题 101
第6章 电子商务网络安全 102
6.1 网络安全协议 102
6.1.1 安全套接层协议 102
6.1.2 安全电子交易协议 105
6.1.3 SSL与SET的比较 107
6.1.4 IPsec 108
6.1.5 传输层安全 112
6.2 虚拟专用网技术 114
6.2.1 VPN概述 114
6.2.2 VPN的安全技术 116
6.2.3 VPN的隧道协议 116
6.2.4 IPsec VPN与SSL VPN 118
6.3 防火墙技术 120
6.3.1 防火墙概述 120
6.3.2 基本的防火墙技术 121
6.3.3 防火墙的类型 125
6.3.4 WEB应用防火墙 126
6.4 入侵检测与防护 131
6.4.1 入侵检测系统概述 131
6.4.2 入侵检测系统的体系结构 132
6.4.3 入侵检测系统的分类 134
6.4.4 入侵检测技术 138
6.4.5 入侵防御系统IPS 143
6.4.6 统一威胁管理 144
习题 145
第7章 系统安全技术 147
7.1 操作系统安全技术 147
7.1.1 访问控制技术 147
7.1.2 安全审计技术 150
7.1.3 漏洞扫描技术 152
7.1.4 系统加固技术 156
7.2 计算机病毒及防范技术 164
7.2.1 计算机病毒概述 164
7.2.2 计算机病毒特点 166
7.2.3 计算机病毒的传播 166
7.2.4 计算机病毒的防范 167
7.3 Web安全技术 168
7.3.1 Web服务器安全 169
7.3.2 Web客户端安全 170
7.3.3 Web传输协议安全 172
7.4 电子邮件安全 173
7.4.1 电子邮件的安全威胁 173
7.4.2 电子邮件的安全措施 174
7.4.3 电子邮件安全协议 175
7.4.4 Outlook Express安全特性 175
7.5 数据库安全技术 179
7.5.1 数据库加密技术 179
7.5.2 数据库访问控制技术 180
7.5.3 数据库审计 182
7.5.4 数据脱敏技术 183
7.5.5 数据库备份与恢复 186
习题 189
第8章 移动网络安全 190
8.1 移动网络安全概述 190
8.1.1 移动网络安全威胁 190
8.1.2 移动网络安全需求 191
8.2 移动设备安全 191
8.2.1 移动设备面临的风险 192
8.2.2 主要的安全攻击 192
8.2.3 安全防范对策与方法 193
8.3 移动安全框架 195
8.3.1 蓝牙安全框架 195
8.3.2 WiFi安全框架 199
8.4 WiFi安全解决方案 201
8.4.1 易被入侵 201
8.4.2 非法的AP 201
8.4.3 未经授权使用服务 201
8.4.4 服务和性能的限制 202
8.4.5 地址欺骗和会话拦截 202
8.4.6 流量分析与流量侦听 202
8.4.7 高级入侵 203
习题 203
第9章 云安全基础 204
9.1 云安全风险分析 204
9.1.1 网络虚拟化安全 204
9.1.2 主机虚拟化安全 204
9.1.3 虚拟化平台安全 205
9.1.4 存储虚拟化安全 205
9.2 云安全总体架构 205
9.3 云平台安全 205
9.3.1 物理与环境安全 205
9.3.2 操作系统安全 206
9.3.3 虚拟化平台安全 207
9.3.4 分布式系统安全 208
9.3.5 账号体系安全 208
9.3.6 容器安全 208
9.3.7 安全审计 209
9.4 云平台网络安全 209
9.4.1 网络架构设计 209
9.4.2 基础网络安全 209
9.4.3 网络设备安全 210
9.4.4 网络边界安全 210
9.4.5 流量安全监控 210
9.5 云平台应用安全 211
9.6 数据安全 211
9.6.1 多副本冗余存储 211
9.6.2 全栈加密 212
9.6.3 残留数据清除 212
9.6.4 运维数据安全 212
9.6.5 租户隔离 212
9.6.6 数据传输加密 212
9.6.7 数据库审计 212
9.6.8 数据脱敏 212
9.6.9 数据查询安全 213
9.6.10 数据变更安全 213
9.6.11 数据备份 214
习题 214
第10章 电子支付安全 215
10.1 电子支付系统概述 215
10.1.1 电子支付系统模型 215
10.1.2 电子支付手段 216
10.1.3 电子支付安全需求 219
10.2 电子支付安全服务 220
10.2.1 用户匿名性与地址不可跟踪性 220
10.2.2 买方匿名性 221
10.2.3 支付交易不可跟踪性 223
10.2.4 支付交易信息的不可否认性 223
10.2.5 支付交易消息的不可重用性 225
10.3 电子现金安全 226
10.3.1 电子现金概述 226
10.3.2 电子现金的基本流程 227
10.3.3 电子现金的特点 227
10.3.4 电子现金的安全机制 228
10.3.5 基于零知识证明和盲签名的电子现金系统 228
10.4 电子支票安全 230
10.4.1 电子支票支付系统模型 230
10.4.2 电子支票安全机制 230
10.5 安全微支付 232
10.5.1 微支付模型 232
10.5.2 微支付的特点 233
10.5.3 安全微支付系统 234
习题 238
第11章 电子商务安全管理 240
11.1 安全评估 240
11.1.1 系统的安全评估方法 241
11.1.2 安全评估标准 242
11.1.3 可信计算机系统评估准则 243
11.1.4 信息技术安全评估准则 246
11.1.5 中国测评认证标准 247
11.2 电子商务安全法律法规 249
11.2.1 中华人民共和国计算机信息系统安全保护条例 249
11.2.2 中华人民共和国电子签名法 251
11.2.3 电子认证服务法规 251
11.2.4 网络安全法 251
11.2.5 电子商务法 253
11.3 与电子商务安全相关的安全标准 254
11.3.1 ISO/IEC 27000系列标准 254
11.3.2 SSE-CMM 258
11.3.3 ITIL 258
11.3.4 等级保护 259
11.3.5 计算机信息系统安全技术和专用产品管理制度 260
11.3.6 计算机案件报告制度 264
11.3.7 有害数据防治管理制度 266
11.4 安全管理 268
11.4.1 安全策略 268
11.4.2 安全管理的实施 271
11.4.3 系统备份和紧急恢复 273
11.4.4 审计与评估 278
习题 281
参考文献 282
京公网安备 11010102004214号