1电子商务安全概述 1
引例:八成网民看好电子商务 七成网民质疑安全 1
本章要点 1
1.1电子商务安全概况 2
1.1.1电子商务安全概念与特点 2
1.1.2电子商务面临的安全威胁 4
1.1.3电子商务的安全需求 5
1.2电子商务安全基础 7
1.2.1电子商务安全基础技术 8
1.2.2电子商务安全体系结构 9
1.2.3电子商务安全基础服务 10
1.3电子商务安全应用 11
1.3.1政务信息化 11
1.3.2社会信息化 11
1.3.3企业信息化 12
1.3.4社区信息化 12
本章小结 13
思考与练习 13
2现代加密技术 14
引例:秘密是一种力量 14
本章要点 14
2.1加密技术概述 15
2.1.1密码基本概念 15
2.1.2密码技术的分类 16
2.1.3密码系统的设计原则 17
2.2分组密码体制 18
2.2.1数据加密标准(DES) 18
2.2.2国际数据加密算法(IDEA) 23
2.2.3高级加密标准(AES) 24
2.3公开密钥密码体制 29
2.3.1公开密钥密码系统原理 30
2.3.2RSA加密系统 31
2.3.3ElGamal加密系统 32
2.3.4椭圆曲线加密体制 33
2.4非数学的加密理论与技术 36
2.4.1信息隐藏 36
2.4.2生物识别 37
2.4.3量子密码 38
本章小结 39
思考与练习 40
3数字签名技术 41
引例:中国首例电子邮件案 41
本章要点 41
3.1数字签名概述 42
3.1.1数字签名的概念和特点 42
3.1.2数字签名方案的分类 44
3.1.3数字签名使用模式 45
3.1.4数字签名使用原理 45
3.2常规数字签名方法 46
3.2.1RSA数字签名系统 46
3.2.2Hash签名 47
3.2.3美国数字签名标准(DSA) 49
3.2.4椭圆曲线数字签名算法(ECDSA) 51
3.3特殊数字签名方法 52
3.3.1盲签名 52
3.3.2双联签名 53
3.3.3团体签名 53
3.3.4不可争辩签名 54
3.3.5多重签名方案 54
3.3.6数字时间戳 55
3.4电子签名法 56
3.4.1电子签名立法原则 56
3.4.2欧盟与美国电子签名法的内容和特点 57
3.4.3中国《电子签名法》的内容与特点 59
本章小结 60
思考与练习 61
4身份认证技术 62
引例:认证的信任危机 62
本章要点 62
4.1消息认证 63
4.1.1消息认证的概念 63
4.1.2消息认证的模式 64
4.1.3消息认证的函数 65
4.2身份认证 68
4.2.1身份认证的概念 68
4.2.2身份认证的模式 69
4.3身份认证协议 72
4.3.1一次一密机制 72
4.3.2X.509证书认证机制 72
4.3.3Kerberos认证协议 73
4.3.4零知识身份识别 74
本章小结 75
思考与练习 76
5密钥管理技术 77
引例:密钥管理备受关注 77
本章要点 77
5.1概述 78
5.2密钥管理类型 79
5.2.1对称密钥管理 79
5.2.2公开密钥管理 80
5.2.3混合密钥管理方案 83
5.2.4第三方托管技术 84
5.3密钥交换协议 85
5.3.1Diffie-Hellman密钥交换协议 85
5.3.2IKE密钥管理协议 86
5.3.3因特网简单密钥交换协议(SKIP) 87
5.3.4秘密共享协议 87
5.3.5量子密钥分配BB84协议 88
5.3.6组密钥管理协议 89
5.4PGP密钥管理技术 90
5.4.1PGP的安全机制 91
5.4.2PGP公钥管理系统 93
5.4.3PGP软件使用简介 94
本章小结 96
思考与练习 96
6安全协议与安全标准 98
引例:匿名汇票“双重花费”问题 98
本章要点 98
6.1商务安全协议概述 99
6.2安全套接层协议 99
6.2.1SSL协议提供的安全服务 99
6.2.2SSL协议的运行步骤 100
6.2.3SSL协议的体系结构 101
6.2.4SSL协议的安全措施 103
6.2.5Windows2000中SSL协议的配置与应用 104
6.3安全电子交易规范 106
6.3.1SET协议提供的安全服务 106
6.3.2SET协议的运行步骤 107
6.3.3SET协议的体系结构 108
6.3.4SET协议的安全措施 108
6.3.5SET协议和SSL协议的比较 110
6.4电子支付专用协议 111
6.4.1NetBill协议 112
6.4.2First Virtual协议 113
6.4.3iKP协议 113
6.5安全超文本传输协议 114
6.5.1S-HTTP协议概述 114
6.5.2SSL与S-HTTP的比较 115
6.6安全电子邮件协议 116
6.6.1保密增强邮件(PEM) 116
6.6.2安全多功能Internet电子邮件扩充(S/MIME) 116
6.6.3OutlookExpress下的安全电子邮件传送 117
6.7Internet电子数据交换协议 119
6.7.1EDI系统面临的安全威胁 120
6.7.2EDI系统的安全策略 121
6.7.3InternetEDI安全服务的实现 121
6.8IPSec安全协议 122
6.8.1IPSec的组成 122
6.8.2IPSec的工作原理 123
6.8.3IP认证协议 124
6.8.4IP安全封装负载协议(ESP) 125
6.8.5Windows的IPSec策略 127
6.9安全技术评估标准 128
6.9.1典型安全评估标准 128
6.9.2电子商务安全标准研究进展 129
本章小结 131
思考与练习 131
7公钥基础设施与应用 133
引例:电子商务安全,怎么迈过这道槛? 133
本章要点 133
7.1公钥基础设施概述 134
7.1.1PKI的基本概念 134
7.1.2PKI的基本组成 135
7.1.3PKI的基本服务 136
7.1.4PKI的相关标准 137
7.2PKI系统的常用信任模型 137
7.2.1认证机构的严格层次结构模型 138
7.2.2分布式信任结构模型 139
7.2.3Web模型 139
7.2.4以用户为中心的信任模型 140
7.3PKI管理机构——认证中心 141
7.3.1CA的功能 141
7.3.2CA的组成 142
7.3.3CA的体系结构 143
7.4PKI核心产品——数字证书 143
7.4.1数字证书的概念 143
7.4.2X.509证书类型 144
7.4.3数字证书的功能 145
7.4.4数字证书的格式 145
7.4.5数字证书管理 146
7.4.6数定证书应用实例 147
7.5PKI的应用方案 148
7.5.1虚拟专用网络(VPN) 148
7.5.2安全电子邮件 149
7.5.3Web安全 149
7.5.4电子商务应用 149
7.5.5电子政务应用 150
7.5.6Windows的PKI/CA结构 150
7.6PKI服务新技术 152
7.6.1密钥托管技术 152
7.6.2时间戳技术 152
7.6.3数据验证功能增强技术 152
7.6.4用户漫游技术 153
7.6.5支持WPKI及有线网络的互操作技术 153
7.6.6对授权管理基础设施的支持 154
7.7PKI存在的风险与缺陷 154
7.7.1公钥技术风险 154
7.7.2使用风险 155
7.7.3X.509的缺陷 155
7.7.4政策缺陷 157
本章小结 157
思考与练习 158
8移动商务安全与应用 159
引例:移动商务安全——“高温”下的炸弹 159
本章要点 159
8.1移动商务安全概述 160
8.1.1移动商务的安全威胁 160
8.1.2移动商务的安全需求 161
8.1.3移动商务安全解决方案 162
8.1.4移动商务面临的隐私和法律问题 164
8.2移动终端安全策略 164
8.2.1手机病毒的种类及症状 165
8.2.2手机病毒的原理 166
8.2.3手机病毒的攻击模式 166
8.2.4手机病毒的防护措施 167
8.3无线商务安全策略 168
8.3.1蓝牙技术安全策略 168
8.3.2无线应用协议和无线传输层安全 169
8.3.3无线PKI 172
8.3.4Mobile 3-D Secure标准 172
8.3.5无线网络标准IEEE 802.11b 172
8.43G系统安全 173
8.4.13G面临的主要攻击 173
8.4.23G安全结构 175
8.4.33G安全算法 176
本章小结 177
思考与练习 177
9互联网安全技术 178
引例:互联网安全状况令人担忧 178
本章要点 178
9.1网络安全基础 179
9.1.1网络安全的定义 179
9.1.2网络安全服务内涵 179
9.1.3网络安全防范机制 180
9.1.4网络安全关键技术 181
9.2防火墙技术 182
9.2.1防火墙的功能特征 182
9.2.2防火墙的基本类型 184
9.2.3防火墙的基本技术 186
9.2.4防火墙的配置结构 187
9.2.5防火墙的安全策略 190
9.3VPN技术 191
9.3.1VNP的功能特征 191
9.3.2VPN的基本类型 192
9.3.3VPN的基本技术 193
9.3.4VPN的配置结构 195
9.3.5VPN的安全策略 196
9.4网络入侵检测 197
9.4.1入侵检测系统的概念 197
9.4.2入侵检测系统的原理 197
9.4.3入侵检测系统的分类 198
9.4.4入侵检测的主要方法 198
9.4.5入侵检测系统的实现步骤 200
9.5防病毒技术 201
9.5.1计算机病毒定义 201
9.5.2计算机病毒的分类 202
9.5.3计算机病毒的特点 203
9.5.4计算机病毒的传播途径 204
9.5.5计算机病毒的预防 205
本章小结 205
思考与练习 206
10电子商务安全管理 207
引例:全美最大的电脑流氓落网 207
本章要点 209
10.1电子商务安全管理框架 209
10.2资产识别 210
10.2.1资产定义 210
10.2.2资产分类 210
10.2.3资产赋值 211
10.3风险评估 212
10.3.1风险评估的概念 212
10.3.2风险评估要素关系模型 212
10.3.3风险计算模型 213
10.3.4风险评估实施流程 214
10.3.5风险评估结果纪录 214
10.4安全策略 216
10.4.1电子商务安全策略原则 216
10.4.2电子商务技术安全策略 217
10.4.3电子商务管理安全策略 218
10.5应急响应 219
10.5.1应急响应的概念 219
10.5.2应急响应的流程 219
10.5.3应急响应组织结构 221
10.6灾难恢复 222
10.6.1灾难恢复的概念 222
10.6.2灾难恢复策略 223
10.6.3灾难恢复计划 224
本章小结 225
思考与练习 225
11电子安全应用 227
引例:发改委官员声称“我国信息化水平大幅提高” 227
本章要点 227
11.1电子政务安全 228
11.1.1电子政务安全概述 228
11.1.2电子政务的信息安全目标 230
11.1.3电子政务的信息安全机制 230
11.1.4电子政务安全框架 231
11.2社会信息化安全 234
11.2.1社会信息化安全概述 234
11.2.2金融信息化与安全 235
11.2.3网上证券交易与安全 237
11.2.4电信信息化与安全 237
11.2.5电力行业信息化与安全 239
11.2.6居民身份证与安全 240
11.2.7公安信息化与安全 241
11.3企业信息化安全 241
11.3.1企业信息化安全需求概述 241
11.3.2企业信息化安全现状 243
11.3.3企业网络安全策略 244
11.3.4企业信息安全策略的核心 245
11.3.5中小企业安全管理实施方案 246
11.4社区信息化安全 247
11.4.1社区信息化安全概述 247
11.4.2社区信息化安全特点 248
11.4.3社区信息化安全需求 248
11.4.4小区安全防范框架体系 249
本章小结 250
思考与练习 251
12电子商务安全解决方案 252
引例:面对众多的安全解决方案,何去何从? 252
本章要点 252
12.1国外公司电子商务安全解决方案 253
12.1.1IBM公司OA数据安全解决方案 253
12.1.2CA公司的eTrust企业管理安全解决方案 264
12.1.3CISCO公司解决方案(SAFE蓝图) 268
12.1.43Com网络安全解决方案 275
12.1.5爱立信Mobile e-Pay解决方案 279
12.1.6美国联邦PKI解决方案 283
12.2国内公司电子商务安全解决方案 286
12.2.1清华得实公司的WebST B2B安全解决方案 286
12.2.2广东电子商务认证中心银行信息化安全解决方案 294
12.2.3中国金融认证中心(CFCA)的CA解决方案 297
12.2.4联想电子政务安全解决方案 301
12.2.5华为电子政务安全解决方案 304
12.2.6华为“i3安全”端到端安全解决方案 307
12.2.7中国PKI解决方案 311
本章小结 314
思考与练习 314
13电子商务安全产品的选择 315
引例:安全防范适可而止 315
本章要点 315
13.1流行安全产品介绍 315
13.1.1防火墙 315
13.1.2虚拟专用网 319
13.1.3安全路由器 321
13.1.4入侵检测系统 324
13.1.5病毒防治软件 329
13.1.6漏洞扫描工具 332
13.2安全产品选购策略 334
13.2.1防火墙的选购策略 334
13.2.2虚拟专用网的选购策略 336
13.2.3入侵检测产品的选购策略 338
13.2.4防病毒软件的选购策略 339
13.2.5安全路由器的选购策略 341
13.2.6漏洞扫描工具的选购策略 342
本章小结 343
思考与练习 344
参考文献 345
编后记 346