第1章 导论 1
1.1 电子商务的优点 1
1.2 电子商务的缺点 2
1.3 电子商务与传统商务的比较 3
1.4 保障电子商务安全 4
1.5 本书的组织 5
1.6 注释 6
第2章 因特网 7
2.1 计算机网络 7
2.1.1 分布式应用程序 7
2.1.2 计算机网络 8
2.1.3 因特网 9
2.1.4 内部网、外部网与虚拟专用网 10
2.2 因特网应用程序 10
2.2.1 万维网 10
2.2.2 电子消息传送 11
2.3 因特网社会 12
2.3.1 服务提供商 12
2.3.2 因特网标准 13
2.3.3 因特网域名分配 14
2.3.4 保护因特网安全 15
2.3.5 移动的无线接入因特网 15
2.4.1 B-C电子商务 16
2.4 因特网商务 16
2.4.2 B-B电子商务 17
2.4.3 因特网上的EDI 17
2.4.4 开放的因特网商务 18
2.5 交易方案举例 19
2.6 总结 20
2.7 注释 21
第3章 商务活动与法律原则 24
3.1 电子商务交易 24
3.2 形成具有约束力的义务 25
3.2.1 相当的功能 25
3.2.2 法律溯源 26
3.3.1 要约与接受 27
3.3 协议的有效性与可执行性 27
3.3.2 对价 28
3.3.3 欺诈条例 29
3.3.4 执行 30
3.3.5 遵守 31
3.3.6 违约 31
3.4 强制执行 31
3.4.1 责任与赔偿 31
3.4.2 证据 32
3.5 其他法律问题 34
3.5.1 通告和标明 34
3.5.2 隐私及其他的消费者问题 35
3.5.4 可转让性 36
3.5.3 个人司法权 36
3.5.5 知识产权 37
3.5.6 征税 37
3.5.7 非法交易与刑法 38
3.6 处理合法的不确定性 38
3.6.1 协议 39
3.6.2 示范协议中的安全条款 39
3.7 两种商业模式 40
3.7.1 形式模式 40
3.7.2 风险模式 40
3.7.3 对这些模式的分析 41
3.7.4 数字环境中的商业控制 41
3.9 注释 42
3.8 总结 42
第4章 信息安全技术 56
4.1 信息安全原理 56
4.1.1 基本概念 56
4.1.2 威胁 57
4.1.3 安全措施 58
4.1.4 不可否认 59
4.2 密码技术概论 60
4.2.1 对称加密系统 60
4.2.2 消息验证码 62
4.2.3 公开密钥加密系统 63
4.2.4 RSA算法 64
4.3 数字签名 65
4.3.1 RSA数字签名 66
4.3.2 数字签名算法(DSA) 67
4.3.3 椭圆曲线数字签名算法(ECDSA) 68
4.3.4 散列函数 68
4.4 密钥管理 69
4.4.1 基础 69
4.4.2 RSA密钥传输 70
4.4.3 Diffie-Hellman密钥协议 71
4.4.4 公开密钥的分发 72
4.5 验证 72
4.5.1 口令和个人识别码(PINs) 73
4.5.2 验证协议 74
4.5.3 Kerberos 75
4.5.4 个人令牌 76
4.5.5 生物统计学 77
4.5.6 漫游协议 78
4.5.7 基于地址的验证 79
4.6 系统信任 79
4.7 总结 80
4.8 注释 80
第5章 Internet安全 85
5.1 问题的分解 85
5.1.1 网络层安全 85
5.1.2 应用层安全 86
5.1.3 系统安全 87
5.2 防火墙 88
5.3 IPsec和虚拟专用网络 89
5.3.1 安全政策和安全关联 90
5.3.2 验证报头(AH)协议 90
5.3.3 分组加密协议 91
5.3.4 IPsec密钥管理 91
5.4 Web安全协议SSL/TLS 92
5.5 其他Web安全协议 94
5.5.1 无线传输层安全 95
5.5.2 已签名的下载对象 95
5.5.3 客户数字签名协议 96
5.5.4 隐私保护宣言 96
5.6.1 消息传送安全服务 97
5.6 安全消息传送和S/MIME 97
5.6.2 S/MIME 98
5.7 其他消息传送安全协议 100
5.7.1 基于Web的安全邮件 100
5.7.2 PGP(Pretty Good Privacy) 101
5.7.3 以前的安全消息传送协议 101
5.8 Internet上的安全支付 102
5.8.1 安全支付数据捕获 102
5.8.2 在线支付处理 102
5.8.3 银行卡支付-SET协议 102
5.8.4 安全EDI交易 104
5.10 注释 105
5.9 总结 105
第6章 证书 110
6.1 公钥证书简介 110
6.1.1 认证路径 111
6.1.2 证书的有效期及证书的撤消 113
6.1.3 法律关系 113
6.2 公有-私有密钥对管理 114
6.2.1 密钥对的生成 114
6.2.2 私钥保护 114
6.2.3 密钥对的更新 115
6.2.4 用户需要的密钥对数目 115
6.3.1 注册机构 116
6.3 证书的发放 116
6.3.2 注册 117
6.3.3 证书生成 117
6.3.4 主体身份确定 118
6.3.5 证书的更新 118
6.4 证书的分发 119
6.4.1 附在数字签名中的证书 119
6.4.2 利用目录服务分发证书 119
6.4.3 其他的证书分发方法 120
6.5 X.509证书格式 120
6.5.1 基本证书格式 121
6.5.2 X.500名称 122
6.5.3 对象注册 123
6.5.4 扩展的(版本3)证书格式 125
6.5.5 X.509版本3的命名 127
6.5.6 标准证书扩展 128
6.5.7 PKIX证书简规 130
6.5.8 资格证书Qualified Certificates 130
6.5.9 ASN.1表示法和编码法 131
6.6 证书撤消 131
6.6.1 请求证书撤消 132
6.6.2 证书撤消表 132
6.6.3 广播证书撤消表 133
6.6.4 在线状态检查 134
6.6.5 短期证书 135
6.6.6 其他证书撤消方法 135
6.6.7 证书撤消过程的时间流 136
6.7 X.509证书撤消表 137
6.7.1 证书撤消表格式 137
6.7.2 一般扩展 139
6.7.3 证书撤消表分发点 140
6.7.4 Delta-证书撤消表 141
6.7.5 间接证书撤消表 142
6.7.6 证书暂停 142
6.7.7 状态提名 143
6.8 密钥对和证书有效期 143
6.8.1 与加密有关的密钥对 144
6.8.2 数字签名密钥对 144
6.10 证书授权信息 145
6.9 X.509以外的证书格式 145
6.8.3 认证机构数字签名密钥对 145
6.10.1 X.509公钥证书的授权信息 146
6.10.2 属性证书 146
6.10.3 简单公钥基础设施 147
6.11 总结 148
6.12 注释 149
第7章 公开密钥基础设施 153
7.1 应用于传统电子商务企业的PKI 153
7.2 认证机构的组织结构:传统模型 154
7.2.1 层次(树)型结构 155
7.2.2 森林型结构 156
7.3.1 认证路径的发现 158
7.3 认证机构的组织结构:通用模式 158
7.3.2 认证路径的确认 160
7.4 认证策略 160
7.4.1 认证策略概念 161
7.4.2 认证策略扩展 161
7.4.3 策略映射扩展 162
7.4.4 策略约束与任意策略扩展的禁止 163
7.4.5 认证策略的内容 163
7.5 名称约束 164
7.6 认证管理协议 165
7.6.1 PKCS标准 165
7.6.2 认证管理协议(CMP) 165
7.6.4 基于服务器的公钥确认 167
7.7 PGP的信任的Web 167
7.6.3 CMS之上的认证管理(CMC) 167
7.8 多企业PKI的应用实例 169
7.8.1 增强的私人邮件 169
7.8.2 安全电子交易(SET) 170
7.8.3 Identrus 171
7.8.4 VeriSign的信任网络 172
7.8.5 Federal Bridge认证机构 172
7.8.6 加拿大政府的PKI 173
7.9 PKI互操作与社团建立的实用研究 173
7.10 总结 174
7.11 注释 175
8.1 电子商务立法和法规概述 177
第8章 立法、法规与准则 177
8.1.1 电子资金转帐条例和E规则 178
8.1.2 UCC第4A条:转帐 178
8.1.3 电子签名立法 179
8.1.4 UCC草案修正条款 179
8.1.5 UCITA 179
8.1.6 联合国电子商务示范法 180
8.1.7 UETA 181
8.1.8 美国联邦立法 181
8.1.9 欧盟电子签名规程 183
8.1.10 联合国电子签名示范法草案 184
8.2 数字签名法律 184
8.2.1 适用范围和细节 185
8.2.2 文字和签名 186
8.2.3 认证机构的质量和标准 187
8.2.4 用户要求 187
8.2.5 责任的分摊 188
8.3 电子商务指导原则概要 189
8.4 有关PKI的标准和指导原则 190
8.4.1 美国律师联合会《数字签名指导原则》 190
8.4.2 《国际商务数字保证的一般应用》 190
8.4.3 IETF认证政策及实践框架 190
8.4.4 美国律师联合会PKI评估指导原则 191
8.4.5 英国标准BS 7799-1:1999:信息安全管理实践条例 191
8.4.9 系统可靠性的WebTrust原则和标准 192
8.4.10 金融服务行业文件 192
8.4.6 对发放合格证书的认证服务提供者的标准合格证书政策 192
8.4.8 CS2:实用商业保障 192
8.4.7 《联邦信息处理标准 第140号文件》 192
8.4.11 医疗保健行业文件 193
8.5 总结 193
8.6 注释 194
第9章 不可否认机制 203
9.1 基本概念及定义 203
9.2 不可否认机制的种类 205
9.2.1 来源的不可否认机制 206
9.2.2 送递的不可否认机制 207
9.3 活动和角色 208
9.2.3 提交的不可否认机制 208
9.3.1 不可否认的请求 209
9.3.2 记录的生成 209
9.3.3 记录的分发 210
9.3.4 记录的核实 210
9.3.5 记录的保存 210
9.4 来源不可否认机制 210
9.4.1 发送方的数字签名 210
9.4.2 可信任的第三方的数字签名 211
9.4.3 可信任的第三方摘要的数字签名 212
9.4.4 内嵌可信任的第三方 212
9.4.5 各种机制的结合 213
9.5 送递不可否认机制 214
9.5.1 接收者的签名确认 214
9.5.2 可信任的送递代理 214
9.5.3 累进的送递报告 214
9.5.4 提交不可否认机制 215
9.6 可信任的第三方 215
9.6.1 公钥认证 215
9.6.2 身份确认 216
9.6.3 时间戳 216
9.6.4 记录的保留 217
9.6.7 可信任的第三方的应有属性 218
9.6.8 公证人 218
9.6.6 争议解决 218
9.6.5 送递中介 218
9.7 争议解决 219
9.7.1 基于技术的证据 220
9.7.2 对于基于技术证据的专家证词 220
9.8 总结 222
9.9 注释 222
第10章 认证策略和操作 232
10.1 概念 232
10.1.1 增强的私密电子邮件(PEM)策略规定 232
10.1.2 认证操作规定 233
10.1.3 证书策略(CP) 233
10.1.4 CPS和CP的相互关系 233
10.1.5 保证等级 234
10.1.6 证书等级 235
10.1.7 CP或CPS内容的体系结构 235
10.2 CP和CPS主题:CP或CPS介绍 236
10.2.1 域成员和互操作性 236
10.2.2 证书使用 237
10.2.3 数字签名验证过程 237
10.2.4 记录和签名 237
10.2.5 标识符 238
10.3 CP和CPS主题:一般条款 238
10.3.1 义务 238
10.3.2 责任 239
10.3.3 支付能力 240
10.3.5 证书发行和证书库 241
10.3.6 符合性审计 241
10.3.4 解释和实施 241
10.3.7 机密性 242
10.3.8 调查损害的权利 242
10.3.9 犯罪活动 243
10.4 CP和CPS主题:身份识别和身份验证 243
10.4.1 初始注册:命名 243
10.4.2 初始注册:身份验证 243
10.5 CP和CPS主题:操作要求 244
10.5.1 证书申请 244
10.5.2 证书发行 245
10.5.4 证书中止和撤消 246
10.5.3 证书接受 246
10.5.5 记录归档 247
10.5.6 损害和灾难恢复 247
10.5.7 认证机构终结 248
10.6 CP和CPS主题:物理、过程和人员的安全控制 248
10.7 CP和CPS问题:技术安全控制 249
10.7.1 密钥对的产生和安装 250
10.7.2 私钥保护 250
10.7.3 其他技术安全控制 250
10.8 CP和CPS主题:证书和证书撤消表CRL简介 250
10.9 CP和CPS主题--规范管理 251
10.10 系统化的CP和CPS开发 251
10.11 总结 252
10.12 注释 253
11.1 公开密钥基础设施中评估的作用 259
第11章 公开密钥基础设施的评估和鉴定 259
11.1.1 评估使用者 260
11.1.2 评估员资格 260
11.1.3 评估目标 261
11.1.4 评估标准 262
11.1.5 评估类型和要求 262
11.1.6 评估模型 263
11.2 信息系统评估标准的发展 264
11.2.1 通用标准的特征和使用 265
11.2.2 通用标准证书的相互承认 266
11.2.3 商业许可的评估设备的责任 266
11.3.1 国家的计划 267
11.3 值得注意的评估和鉴定计划 267
11.3.2 地域性计划 271
11.3.3 区域计划 272
11.4 评估方案的合理性 273
11.5 总结 274
11.6 注释 274
附录A 合同形式 280
A.1 贸易伙伴合同 281
A.2 增值网合同 282
A.3 互联协议 283
A.4 因特网服务提供商(ISP)合同 283
A.4.2 其他网络的使用 285
A.4.3 安全性 285
A.4.1 信息质量 285
A.4.4 滥用和误用 286
A.4.5 其他条款 286
A.5 支付协议 287
A.6 注释 288
附录B 美国联邦电子签名法 290
第1章 商务活动中的电子记录与签名 290
第2章 可转让的记录 297
第3章 国际电子商务的促进 298
第4章 对网上儿童的保护义务 299
C.1 引言 300
C.2 基本表示法 300
附录C ASN.1表示法 300
C.2.1 构造类型 301
C.2.2 ASN.1用法举例 302
C.3 ASN.1表示法的先进特点 303
C.4 ASN.1编码规则 303
C.5 对象标识符与注册 303
C.5.1 对象标识符 303
C.5.2 注册程序 304
C.6 参考资料 304
附录D ASN.1表示法的X.509 305
附录E 联合国电子商务示范法 329
第1部分 电子商务的一般规则 329
第1章 一般条款 329
第2章 与数据消息有关的法律要求的适用 330
第3章 数据消息通信 332
第2部分 特殊领域中的电子商务 334
第1章 货物运输 334
注释 335
附录F 如何获取参考文件 336
F.1 美国律师协会(ABA)出版物 336
F.2 美国国家标准协会(ANSI)标准 336
F.3 因特网出版物 337
F.4 ISO和ISO/IEC标准 337
F.5 ITU(国际电信联盟)标准 338
F.6 美国联邦政府出版物 338
G.2 X.400安全标准 339
G.1 增强的私密电子邮件(PEM) 339
附录G 历史上的安全应用标准 339
G.3 消息安全协议(MSP) 340
G.4 安全超文本传输协议(S-HTTP) 340
G.5 注释 341
附录H PKI信息披露说明 342
附录I 否认的法律含义 343
注释 344
附录J 公开密钥加密方法 346
J.1 RSA算法 346
J.2 数字签名算法(DSA) 346
J.3 Diffie-Hellman密钥协议 348
J.4 注释 349
附录K 欧洲电子签名指南 350