第1章 电子商务安全概述 1
1.1 电子商务安全的现状 1
1.1.1 电子商务安全的重要性 2
1.1.2 威胁电子商务安全的案例 5
1.1.3 我国电子商务安全现状分析 6
1.1.4 电子商务安全课程的知识结构 8
1.2 电子商务安全的内涵 9
1.2.1 计算机网络安全 9
1.2.2 电子交易安全 11
1.2.3 电子商务安全的特点 12
1.3 电子商务安全的基本需求 13
1.3.1 电子商务面临的安全威胁 13
1.3.2 电子商务安全要素 14
1.4 电子商务安全技术 17
1.5 电子商务安全体系 18
1.5.1 电子商务安全体系结构 18
1.5.2 电子商务安全的管理架构 19
1.5.3 电子商务安全的基础环境 21
习题 22
第2章 密码学基础 24
2.1 密码学的基本知识 24
2.1.1 密码学的基本概念 24
2.1.2 密码体制的分类 26
2.1.3 密码学的发展历程 28
2.1.4 密码分析与密码系统的安全性 28
2.2 对称密码体制 30
2.2.1 古典密码 30
2.2.2 分组密码与DES 37
2.2.3 流密码 42
2.3 密码学的数学基础 44
2.3.1 数论的基本概念 44
2.3.2 欧拉定理与费马定理 47
2.3.3 欧几里得算法 48
2.3.4 离散对数 50
2.4 公钥密码体制 52
2.4.1 公钥密码体制的基本思想 52
2.4.2 RSA公钥密码体制 54
2.4.3 Diffie-Hellman密钥交换算法 57
2.4.4 ElGamal算法 59
2.5 公钥密码体制解决的问题 60
2.5.1 密钥分配 60
2.5.2 密码系统密钥管理问题 62
2.5.3 数字签名问题 63
2.6 数字信封 64
2.7 单向散列函数 65
2.7.1 单向散列函数的性质 65
2.7.2 对散列函数的攻击 66
2.7.3 散列函数的设计及MD5算法 68
2.7.4 散列函数的分类 70
2.7.5 散列链 71
2.8 数字签名 71
2.8.1 数字签名的特点 72
2.8.2 数字签名的过程 72
2.8.3 RSA数字签名算法 74
2.8.4 ElGamal数字签名算法 75
2.8.5 Schnorr签名体制 76
2.8.6 前向安全数字签名 77
2.8.7 特殊的数字签名 80
2.9 密钥管理与密钥分配 85
2.9.1 密钥管理 85
2.9.2 密钥的分配 87
2.10 信息隐藏技术 91
习题 93
第3章 认证技术 95
3.1 消息认证 95
3.1.1 利用对称密码体制实现消息认证 95
3.1.2 利用公钥密码体制实现消息认证 96
3.1.3 基于散列函数的消息认证 97
3.1.4 基于消息认证码的消息认证 99
3.2 身份认证 100
3.2.1 身份认证的依据 101
3.2.2 身份认证系统的组成 101
3.2.3 身份认证的分类 102
3.3 口令机制 102
3.3.1 口令的基本工作原理 102
3.3.2 对口令机制的改进 103
3.3.3 对付重放攻击的措施 106
3.3.4 基于挑战-应答的口令机制 110
3.3.5 口令的维护和管理措施 112
3.4 常用的身份认证协议 113
3.4.1 一次性口令 114
3.4.2 零知识证明 116
3.4.3 认证协议设计的基本要求 117
3.4.4 其他身份认证的机制 118
3.5 单点登录技术 120
3.5.1 单点登录的好处 120
3.5.2 单点登录系统的分类 121
3.5.3 单点登录的实现方式 123
3.5.4 Kerberos认证协议 124
3.5.5 SAML标准 129
习题 133
第4章 数字证书和PKI 135
4.1 数字证书 135
4.1.1 数字证书的概念 135
4.1.2 数字证书的原理 136
4.1.3 数字证书的生成步骤 138
4.1.4 数字证书的验证过程 139
4.1.5 数字证书的内容和格式 143
4.1.6 数字证书的类型 144
4.2 数字证书的功能 145
4.2.1 数字证书用于加密和签名 145
4.2.2 利用数字证书进行身份认证 146
4.3 公钥基础设施 149
4.3.1 PKI的组成和部署 149
4.3.2 PKI管理机构——CA 152
4.3.3 注册机构——RA 155
4.3.4 证书/CRL存储库 156
4.3.5 PKI的信任模型 157
4.3.6 PKI的技术标准 159
4.4 个人数字证书的使用 160
4.4.1 申请数字证书 160
4.4.2 查看个人数字证书 162
4.4.3 证书的导入和导出 163
4.4.4 USB Key的原理 166
4.4.5 利用数字证书实现安全电子邮件 166
4.5 安装和使用CA服务器 170
习题 175
第5章 网络安全基础 177
5.1 网络安全体系模型 177
5.1.1 网络体系结构及其安全缺陷 178
5.1.2 ISO/OSI安全体系结构 180
5.1.3 网络安全的分层配置 182
5.1.4 网络安全的加密方式 183
5.2 网络安全的常见威胁 184
5.2.1 漏洞扫描 184
5.2.2 Windows网络检测和管理命令 185
5.2.3 拒绝服务攻击 189
5.2.4 嗅探 191
5.2.5 欺骗 194
5.2.6 伪装 194
5.3 计算机病毒及其防治 195
5.3.1 计算机病毒的定义和特征 195
5.3.2 计算机病毒的分类 196
5.3.3 计算机病毒的防治 199
5.3.4 计算机病毒的发展趋势 200
习题 201
第6章 防火墙和IDS 202
6.1 访问控制概述 202
6.1.1 访问控制和身份认证的区别 202
6.1.2 访问控制的相关概念 203
6.1.3 访问控制的具体实现机制 204
6.1.4 访问控制策略 205
6.1.5 属性证书与PMI 208
6.2 防火墙 210
6.2.1 防火墙的概念 210
6.2.2 防火墙的用途 211
6.2.3 防火墙的弱点和局限性 212
6.2.4 防火墙的设计准则 213
6.3 防火墙的主要技术 213
6.3.1 静态包过滤技术 213
6.3.2 动态包过滤技术 215
6.3.3 应用层网关 216
6.3.4 防火墙的实现技术比较 217
6.4 防火墙的体系结构 217
6.4.1 包过滤防火墙 217
6.4.2 双重宿主主机防火墙 218
6.4.3 屏蔽主机防火墙 218
6.4.4 屏蔽子网防火墙 219
6.5 入侵检测系统 220
6.5.1 入侵检测系统概述 221
6.5.2 入侵检测系统的数据来源 223
6.5.3 入侵检测技术 224
6.5.4 入侵检测系统的结构 225
6.5.5 入侵检测系统面临的问题 227
习题 228
第7章 电子商务安全协议 230
7.1 SSL协议概述 230
7.2 SSL协议的工作过程 231
7.2.1 SSL握手协议 232
7.2.2 SSL记录协议 236
7.2.3 SSL协议的应用模式 237
7.2.4 为IIS网站启用SSL协议 238
7.3 SET协议 241
7.3.1 SET协议概述 242
7.3.2 SET系统的参与者 242
7.3.3 SET协议的工作流程 243
7.3.4 对SET协议的分析 247
7.4 3-D Secure协议及各种协议的比较 249
7.4.1 3-D Secure协议 249
7.4.2 SSL与SET协议的比较 250
7.4.3 SSL在网上银行的应用案例 252
7.5 IPSec协议 253
7.5.1 IPSec协议概述 253
7.5.2 IPSec的体系结构 254
7.5.3 IPSec的工作模式 255
7.6 虚拟专用网 257
7.6.1 VPN概述 257
7.6.2 VPN的类型 258
7.6.3 VPN的关键技术 260
7.6.4 隧道技术 261
习题 263
第8章 电子支付及其安全 265
8.1 电子支付安全概述 265
8.1.1 电子支付与传统支付的比较 265
8.1.2 电子支付系统的分类 266
8.1.3 电子支付的安全性需求 267
8.2 电子现金 268
8.2.1 电子现金的基本特性 269
8.2.2 电子现金系统中使用的密码技术 269
8.2.3 电子现金的支付模型和实例 271
8.3 电子现金安全需求的实现 273
8.3.1 不可伪造性和独立性 273
8.3.2 匿名性 274
8.3.3 多银行性 276
8.3.4 不可重用性 277
8.3.5 可转移性 278
8.3.6 可分性 279
8.3.7 电子现金的发展趋势 280
8.4 电子支票 281
8.4.1 电子支票的支付过程 281
8.4.2 电子支票的安全方案和特点 282
8.4.3 NetBill电子支票 283
8.5 微支付 285
8.5.1 微支付的交易模型 285
8.5.2 基于票据的微支付系统 286
8.5.3 MicroMint微支付系统 290
8.5.4 基于散列链的微支付模型 292
8.5.5 PayWord微支付系统 294
习题 297
第9章 电子商务网站的安全 298
9.1 网站的安全风险和防御措施 299
9.1.1 网站的安全性分析 299
9.1.2 网站服务器的基本安全设置 300
9.2 SQL注入攻击 305
9.2.1 SQL注入攻击的特点 306
9.2.2 SQL注入攻击的方法 307
9.2.3 SQL注入攻击的检测与防范 310
9.2.4 防止数据库被下载的方法 314
9.3 跨站脚本攻击 315
9.3.1 跨站脚本攻击的原理及危害 316
9.3.2 防范跨站脚本攻击的方法 318
9.4 网页挂马及防范 319
9.4.1 网页挂马的常见形式 320
9.4.2 网页挂马的方法 321
习题 322
第10章 移动电子商务安全 323
10.1 移动电子商务的实现技术 323
10.1.1 无线应用通信协议 323
10.1.2 WAP的应用模型和结构 325
10.1.3 移动网络技术 329
10.2 移动电子商务面临的安全威胁 330
10.2.1 无线网络面临的安全威胁 331
10.2.2 移动终端面临的安全威胁 333
10.2.3 移动商务管理面临的安全威胁 334
10.3 移动电子商务的安全需求 335
10.4 移动电子商务安全技术 336
10.4.1 无线公钥基础设施 336
10.4.2 WPKI与PKI的技术对比 340
10.4.3 WTLS协议 343
10.4.4 无线网络的物理安全技术 348
习题 350
第11章 电子商务安全管理 351
11.1 电子商务安全管理体系 351
11.1.1 电子商务安全管理的内容 352
11.1.2 电子商务安全管理策略 353
11.1.3 安全管理的PDCA模型 354
11.2 电子商务安全评估 355
11.2.1 电子商务安全评估的内容 355
11.2.2 安全评估标准 355
11.2.3 信息管理评估标准 357
11.3 电子商务安全风险管理 358
11.3.1 风险管理概述 358
11.3.2 风险评估 359
11.4 电子商务信用管理 361
11.4.1 电子商务信用管理概述 361
11.4.2 电子商务信用管理的必要性 362
11.4.3 信用管理体系的构成 363
11.4.4 信用保障和评价机制 364
习题 366
附录A 实验 367
A.1 实验1:密码学软件的使用和开发 367
A.2 实验2:个人数字证书的使用 368
A.3 实验3:CA的安装和使用 368
A.4 实验4:网络扫描和网络嗅探 369
A.5 实验5:为IIS网站配置SSL 369
A.6 实验6:配置安全Web服务器和网站 370
参考文献 371