第1章 引言 1
1.1 新兴电子商务的特点 1
1.2 新兴电子商务的安全需求 3
1.3 新兴电子商务的安全体系要素 5
1.4 章节说明 7
第2章 电子商务中的身份认证 8
2.1 为什么需要身份认证 8
2.2 现有的身份认证技术 9
2.2.1 你是谁 9
2.2.2 你知道什么 12
2.2.3 你拥有什么 13
2.3 电子认证对电子商务的支持 16
2.3.1 电子认证技术 16
2.3.2 电子认证技术的法律环境 19
2.3.3 电子认证技术发展的几个阶段 26
第3章 电子商务中的交易安全 30
3.1 电子商务中的终端安全 30
3.1.1 主机IE安全 30
3.1.2 移动终端安全 35
3.1.3 银行卡安全 37
3.1.4 其他支付卡安全 41
3.2 电子商务中的过程安全 42
3.2.1 常见的电子商务交易形式 42
3.2.2 安全套接层(SSL)协议 46
3.2.3 安全电子交易(SET)协议 48
3.3 电子商务中的数据存储安全 50
3.3.1 用户本地存储安全 51
3.3.2 服务端存储安全 53
3.3.3 密钥数据安全 64
3.4 基于RFID的物流数据安全 67
3.4.1 基于RFID的丢失货物检测方案 69
3.4.2 基于RFID的组证据问题 82
第4章 电子商务中的信用保障技术 93
4.1 电子商务中的信任发展 93
4.1.1 电子商务中的支付模式和信任关系 93
4.1.2 电子商务中的信用保障需求 98
4.1.3 朴素的证书分类与分级 100
4.1.4 电子商务对证书策略的需求 102
4.2 证书策略与认证业务声明 103
4.2.1 证书策略的定义 103
4.2.2 证书策略的基本构成 104
4.2.3 证书策略需要认证业务声明的支持 105
4.2.4 证书策略和认证业务声明的关系 107
4.3 证书策略保障和CA认定 109
4.3.1 CA认定的概念和方法 109
4.3.2 典型的CA认定方案 112
4.4 如何规划证书策略体系 119
4.4.1 影响证书策略的要素 119
4.4.2 证书策略体系的一般设计方法 122
4.5 商业交易证书策略体系 124
4.5.1 商业交易证书策略体系概要 124
4.5.2 证书策略与电子商务安全需求 126
4.5.3 选取核心安全因素 127
4.5.4 证书策略体系分级要点 129
第5章 电子商务中的信息安全能力 135
5.1 电子商务中的信息安全能力需求 135
5.2 密码算法实现技术的发展 136
5.2.1 密码算法的标准与实现 136
5.2.2 密码算法的硬件实现与新兴技术 138
5.2.3 密码算法的硬件实现与软件实现 139
5.3 密码算法硬件实现的基础 140
5.3.1 FPGA技术 140
5.3.2 密码算法硬件实现的评价指标 145
5.4 国产密码算法的硬件实现和优化 147
5.4.1 SM3算法的硬件实现和优化 147
5.4.2 SM4算法的硬件实现和优化 152
5.4.3 ZUC算法的硬件实现和优化 158
第6章 电子商务中安全方案的仿真与系统建模技术 165
6.1 电子商务与密码应用技术方案的验证 165
6.2 商用密码应用技术方案的仿真验证系统 166
6.2.1 仿真验证系统概述 166
6.2.2 仿真验证系统的组成 167
6.2.3 密码应用场景仿真 169
6.2.4 密码性能参数库 171
6.2.5 应用方案流程仿真 172
6.2.6 仿真技术 173
第7章 电子商务中的安全标准 175
7.1 电子商务中的安全标准概述 175
7.2 电子认证标准体系 176
7.2.1 电子认证标准体系概况 176
7.2.2 PKI组件最小互操作 180
7.2.3 PKI互操作评估标准 182
7.2.4 证书代理验证 190
7.2.5 电子文件的签名加密 197
7.3 商用密码标准体系 201
第8章 电子认证服务商业交易证书策略 204
8.1 导言 204
8.1.1 概要 204
8.1.2 文档名称和标识 205
8.1.3 电子认证活动的参与方 205
8.1.4 证书的使用 206
8.1.5 策略管理 207
8.1.6 定义和缩写 207
8.2 信息发布和证书资料库职责 209
8.2.1 证书资料库 209
8.2.2 证书信息的发布 209
8.2.3 发布信息的时间或频率 210
8.2.4 证书资料库的访问控制 210
8.3 身份标识与鉴别 210
8.3.1 命名 210
8.3.2 初始申请证书的身份鉴别 212
8.3.3 密钥更新请求的身份鉴别 214
8.3.4 证书撤销请求的身份鉴别 215
8.4 证书生命周期的操作要求 215
8.4.1 证书申请 215
8.4.2 证书申请的处理 216
8.4.3 证书签发 217
8.4.4 证书接受 217
8.4.5 密钥对和证书的使用 218
8.4.6 证书更新 218
8.4.7 证书密钥更换 219
8.4.8 证书变更 220
8.4.9 证书撤销与挂起 221
8.4.10 证书状态服务 224
8.4.11 订购的终止 225
8.4.12 密钥托管和恢复 225
8.5 设施、管理和运作控制 225
8.5.1 物理安全控制 225
8.5.2 流程控制 228
8.5.3 人员控制 229
8.5.4 审计日志的处理流程 231
8.5.5 记录归档 233
8.5.6 电子认证服务机构密钥的更替 234
8.5.7 事故和灾难恢复 234
8.5.8 电子认证服务的终止 235
8.6 技术安全控制 235
8.6.1 密钥对的生成和安装 235
8.6.2 私钥保护和密码模块的工程控制 238
8.6.3 密钥对管理的其他方面 242
8.6.4 激活数据 243
8.6.5 计算机的安全控制 244
8.6.6 电子认证服务系统生命周期的技术控制 244
8.6.7 网络的安全控制 245
8.6.8 时间标记 245
8.7 证书、证书撤销列表和在线证书状态协议 246
8.7.1 证书 246
8.7.2 证书撤销列表 247
8.7.3 OCSP服务 247
8.8 合规性审计和相关评估 247
8.8.1 评估的频率和情况 247
8.8.2 评估者的身份资质 247
8.8.3 评估者与被评估者的关系 248
8.8.4 评估内容 248
8.8.5 对不足采取的措施 248
8.8.6 评估结果的传达 248
8.9 其他商业和法律事宜 249
8.9.1 费用 249
8.9.2 财务责任 249
8.9.3 业务信息保密 250
8.9.4 个人隐私保护 251
8.9.5 知识产权 251
8.9.6 陈述与担保 252
8.9.7 免责声明 253
8.9.8 有限责任 253
8.9.9 赔偿 253
8.9.10 有效期限和终止 253
8.9.11 对各参与者的个别通告与沟通 254
8.9.12 修订 254
8.9.13 争议处理 254
8.9.14 管辖法律 254
8.9.15 与适用法律的符合性 254
8.9.16 杂项条款 254
8.9.17 其他条款 255
参考文献 256
索引 260