本書結(jié)合電子商務(wù)本科專業(yè)的教學(xué)實踐,圍繞保障電子商務(wù)活動的安全性���,對電子商務(wù)應(yīng)用的基本安全問題及解決方案進(jìn)行了詳細(xì)介紹和闡述���。在密碼學(xué)方面,本書從密碼學(xué)的基本原理入手����,介紹了各種密碼體制,密鑰分配和密鑰管理�,認(rèn)證技術(shù),證書和公鑰基礎(chǔ)設(shè)置���,在網(wǎng)絡(luò)安全方面�,主要介紹了網(wǎng)絡(luò)安全模型體系、防火墻和入侵檢測系統(tǒng)����、電子商務(wù)安全協(xié)議和Web服務(wù)器安全等知識,并對電子商務(wù)安全管理進(jìn)行了簡要介紹��。
前言Foreword電子商務(wù)正在迅速普及��,但安全問題一直是電子商務(wù)發(fā)展的□大障礙���。電子商務(wù)在給人們的生活和工作帶來便利的同時����,安全問題也日漸突出���。
為此�,大多數(shù)高校的電子商務(wù)�、信息安全等專業(yè)都開設(shè)了“電子商務(wù)安全”課程。這門課程在電子商務(wù)專業(yè)的課程體系中具有承前啟后的作用�����!半娮由虅(wù)安全”的先修課程是“電子商務(wù)概論”和“計算機(jī)網(wǎng)絡(luò)”����,后繼課程有“電子商務(wù)系統(tǒng)設(shè)計”等。學(xué)習(xí)“電子商務(wù)安全”課程有兩方面的重要意義: 一方面����,可以加深學(xué)生對“電子商務(wù)概論”和“計算機(jī)網(wǎng)絡(luò)”課程中相關(guān)知識的理解;另一方面���,由于安全是電子商務(wù)系統(tǒng)設(shè)計中□重要的考慮因素,電子商務(wù)系統(tǒng)中很多實現(xiàn)技術(shù)都與安全有關(guān)��,因此“電子商務(wù)安全”課程又能加深學(xué)生對電子商務(wù)系統(tǒng)和電子商務(wù)關(guān)鍵技術(shù)的理解��。
“電子商務(wù)安全”課程起源于“密碼學(xué)與網(wǎng)絡(luò)安全”課程���,因為沒有密碼學(xué)(特別是公鑰密碼學(xué))理論和網(wǎng)絡(luò)安全技術(shù)��,當(dāng)今的電子商務(wù)安全就失去了技術(shù)基礎(chǔ)而不可能存在���。直到現(xiàn)在,“電子商務(wù)安全”課程的基礎(chǔ)內(nèi)容還是以密碼學(xué)理論與網(wǎng)絡(luò)安全技術(shù)為主����,只是將這些知識放在電子商務(wù)的環(huán)境中進(jìn)行介紹����!半娮由虅(wù)安全”和“密碼學(xué)與網(wǎng)絡(luò)安全”這兩門課程在內(nèi)容上密切相關(guān)��!懊艽a學(xué)與網(wǎng)絡(luò)安全”課程的教材中也出現(xiàn)了越來越多的關(guān)于電子商務(wù)安全方面的知識,這表明電子商務(wù)安全已越來越受到重視�。
當(dāng)然,“電子商務(wù)安全”和“密碼學(xué)與網(wǎng)絡(luò)安全”這兩門課程又是有所區(qū)別的����。電子商務(wù)安全的目的是保障電子商務(wù)活動的安全,因此�,密碼學(xué)中一些與保障電子商務(wù)安全關(guān)系不大的技術(shù)就不是電子商務(wù)安全的研究范圍,同時����,密碼學(xué)研究的內(nèi)容側(cè)重于底層密碼算法或密碼協(xié)議的實現(xiàn)和安全證明,而電子商務(wù)安全研究的內(nèi)容則側(cè)重于上層應(yīng)用(如密碼技術(shù)的應(yīng)用)����。因此,“電子商務(wù)安全”課程在教學(xué)中應(yīng)把握住這一側(cè)重點���,才能促進(jìn)該門課程的進(jìn)一步完善����。本書在寫作過程中力求突出“電子商務(wù)安全”課程的特色,這表現(xiàn)在以下幾點: ◆電子商務(wù)安全(第2版)(1) 將“密碼學(xué)與網(wǎng)絡(luò)安全”課程中涉及較深數(shù)學(xué)知識及較復(fù)雜的密碼算法部分從略�,但保留了一些基本的密碼學(xué)原理和一些必要的數(shù)學(xué)知識。例如�,在公鑰密碼算法方面,主要介紹RSA和DH兩種算法���,因為這兩種算法比較簡單����,但又能使學(xué)生明白公鑰密碼體制的原理��,而且在目前仍然是使用□廣泛的密碼算法�。這是考慮到電子商務(wù)專業(yè)學(xué)生學(xué)習(xí)基礎(chǔ)而確定的����。
(2) 處理好電子商務(wù)安全原理和應(yīng)用之間的關(guān)系。原理是基礎(chǔ)����,對電子商務(wù)安全的基礎(chǔ)問題,如加密和認(rèn)證技術(shù),做了詳細(xì)���、通俗且符合認(rèn)知邏輯的闡述���,使讀者能更深刻地理解電子商務(wù)安全問題產(chǎn)生的根源。同時增加了單點登錄技術(shù)��、電子現(xiàn)金與微支付的安全機(jī)制和電子商務(wù)網(wǎng)站安全等富有特色和實用性的內(nèi)容���,并對一些特殊的數(shù)字簽名和散列鏈進(jìn)行了論述��,因為這些技術(shù)在電子商務(wù)前沿領(lǐng)域應(yīng)用很廣泛����。在編寫形式上��,敘述詳細(xì)����,重點突出。在闡述基本原理時大量結(jié)合實例來分析����,力求通俗��、生動���。采用問題啟發(fā)式教學(xué),一步步引出各種加密���、認(rèn)證技術(shù)的用途����。
(3) 辯證地看待電子商務(wù)安全在技術(shù)和管理方面的教學(xué)需要����。雖然說電子商務(wù)安全是“三分技術(shù)、七分管理”����,但毋庸置疑的事實是��,絕大多數(shù)電子商務(wù)安全教材在篇幅安排上都是“七分技術(shù)��、三分管理”�,這樣安排是有道理的。因為大學(xué)教育的主要目是為學(xué)生打基礎(chǔ)��,對于技術(shù)知識,學(xué)生要通過自學(xué)掌握是比較困難的���,因此教師有必要對其加以重點闡述��,使學(xué)生能理解這部分知識���,而管理知識可以在實際工作中掌握,有了一定的實踐經(jīng)驗才能更有效地學(xué)習(xí)和理解安全管理方面的內(nèi)容�。
本書從知識結(jié)構(gòu)上可分為概述、原理����、應(yīng)用三大塊。全書共11章���,具體如下: □□章為概述����,第2~4章為密碼學(xué)�,第5~7章為網(wǎng)絡(luò)安全技術(shù),第8~10章為電子商務(wù)安全的具體應(yīng)用��,□□1章為電子商務(wù)安全管理���。
本書的理論教學(xué)課時以54課時為宜���!半娮由虅(wù)安全”課程還可以適當(dāng)安排實驗課,但建議以理論講授為主����,實驗課時不超過總課時的1/4。附錄A中給出了6個實驗項目的設(shè)計和安排���。
作為教材����,本書注重教材立體化建設(shè)����。本書每章后都提供了豐富的習(xí)題,并能為授課教師提供PPT課件���、習(xí)題答案���、考試試卷���、教學(xué)大綱和實驗指導(dǎo)等配套資料�,授課教師可在清華大學(xué)出版社網(wǎng)站免費下載。
本書由唐四薪���,鄭光勇��,唐瓊編著��。唐四薪編寫了第3~9章的內(nèi)容���,鄭光勇編寫了第2章的內(nèi)容,唐瓊編寫了□□1章的內(nèi)容��,湖南中興網(wǎng)信科技有限公司歐陽宏編寫了□□0章的內(nèi)容����。譚曉蘭、喻緣���、劉燕群�、唐滬湘���、劉旭陽���、陸彩琴����、唐金娟����、謝海波、尹軍����、唐瓊、何青�、唐佐芝、舒清健等編寫了□□章的內(nèi)容�。
本書的寫作得到衡陽師范學(xué)院教學(xué)改革研究項目(JYKT201711)的支持。
限于作者的水平和教學(xué)經(jīng)驗��,書中難免有不妥之處���,敬請廣大讀者和同行批評指正�。
作者2019年10月
目錄Contents□□章電子商務(wù)安全概述1
1.1電子商務(wù)安全的現(xiàn)狀1
1.1.1電子商務(wù)安全的重要性2
1.1.2電子商務(wù)安全現(xiàn)狀分析4
1.1.3電子商務(wù)安全課程的知識結(jié)構(gòu)6
1.2電子商務(wù)安全的內(nèi)涵7
1.2.1計算機(jī)網(wǎng)絡(luò)安全7
1.2.2電子交易安全9
1.2.3電子商務(wù)安全的特點10
1.3電子商務(wù)安全的基本需求11
1.3.1電子商務(wù)面臨的安全威脅11
1.3.2電子商務(wù)安全要素12
1.4電子商務(wù)安全技術(shù)15
1.5電子商務(wù)安全體系16
1.5.1電子商務(wù)安全體系結(jié)構(gòu)16
1.5.2電子商務(wù)安全的管理架構(gòu)17
1.5.3電子商務(wù)安全的基礎(chǔ)環(huán)境19
習(xí)題20第2章密碼學(xué)基礎(chǔ)22
2.1密碼學(xué)的基本知識22
2.1.1密碼學(xué)的基本概念22
2.1.2密碼體制的分類24
2.1.3密碼學(xué)的發(fā)展歷程26
2.1.4密碼分析與密碼系統(tǒng)的安全性26
2.2對稱密碼體制28
2.2.1古典密碼體制28◆電子商務(wù)安全(第2版)目錄2.2.2分組密碼體制與DES36
2.2.3流密碼體制40
2.3密碼學(xué)的數(shù)學(xué)基礎(chǔ)43
2.3.1數(shù)論的基本概念43
2.3.2數(shù)論四大定理46
2.3.3歐幾里得算法47
2.3.4離散對數(shù)50
2.4公鑰密碼體制51
2.4.1公鑰密碼體制的基本思想51
2.4.2RSA公鑰密碼體制53
2.4.3DiffieHellman密鑰交換算法56
2.4.4ElGamal公鑰密碼算法58
2.4.5橢圓曲線密碼體制60
2.5公鑰密碼體制解決的問題65
2.5.1密鑰分配65
2.5.2密碼系統(tǒng)密鑰管理問題67
2.5.3數(shù)字簽名問題68
2.6數(shù)字信封69
2.7單向散列函數(shù)70
2.7.1單向散列函數(shù)的性質(zhì)70
2.7.2對單向散列函數(shù)的攻擊71
2.7.3單向散列函數(shù)的設(shè)計及MD5算法73
2.7.4單向散列函數(shù)的分類75
2.7.5散列鏈76
2.8數(shù)字簽名77
2.8.1數(shù)字簽名的特點77
2.8.2數(shù)字簽名的過程78
2.8.3RSA數(shù)字簽名算法79
2.8.4ElGamal數(shù)字簽名算法80
2.8.5Schnorr數(shù)字簽名算法82
2.8.6前向安全數(shù)字簽名83
2.8.7特殊的數(shù)字簽名85
2.9密鑰管理與密鑰分配90
2.9.1密鑰管理91
2.9.2密鑰的分配93
2.10信息隱藏技術(shù)97
習(xí)題99第3章認(rèn)證技術(shù)101
3.1消息認(rèn)證101
3.1.1利用對稱密碼體制實現(xiàn)消息認(rèn)證101
3.1.2利用公鑰密碼體制實現(xiàn)消息認(rèn)證102
3.1.3利用散列函數(shù)實現(xiàn)消息認(rèn)證103
3.1.4利用消息認(rèn)證碼實現(xiàn)消息認(rèn)證105
3.2身份認(rèn)證106
3.2.1身份認(rèn)證的依據(jù)106
3.2.2身份認(rèn)證系統(tǒng)的組成107
3.2.3身份認(rèn)證的分類107
3.3口令機(jī)制108
3.3.1口令的基本工作原理108
3.3.2對口令機(jī)制的改進(jìn)109
3.3.3對抗重放攻擊的措施111
3.3.4基于挑戰(zhàn)應(yīng)答的口令機(jī)制116
3.3.5口令的維護(hù)和管理措施118
3.4常用的身份認(rèn)證協(xié)議119
3.4.1一次性口令119
3.4.2零知識證明122
3.4.3認(rèn)證協(xié)議設(shè)計的基本要求123
3.4.4其他身份認(rèn)證的機(jī)制124
3.5單點登錄技術(shù)126
3.5.1單點登錄的好處126
3.5.2單點登錄系統(tǒng)的分類127
3.5.3單點登錄的實現(xiàn)方式129
3.5.4Kerberos認(rèn)證協(xié)議130
3.5.5SAML標(biāo)準(zhǔn)135
習(xí)題140第4章數(shù)字證書和公鑰基礎(chǔ)設(shè)施141
4.1數(shù)字證書141
4.1.1數(shù)字證書的概念141
4.1.2數(shù)字證書的原理142
4.1.3數(shù)字證書的生成144
4.1.4數(shù)字證書的驗證145
4.1.5數(shù)字證書的內(nèi)容和格式149
4.1.6數(shù)字證書的類型150
4.2數(shù)字證書的功能151
4.2.1數(shù)字證書用于加密和簽名152
4.2.2利用數(shù)字證書進(jìn)行身份認(rèn)證153
4.3公鑰基礎(chǔ)設(shè)施155
4.3.1PKI的組成和部署156
4.3.2PKI管理機(jī)構(gòu)——CA159
4.3.3注冊機(jī)構(gòu)——RA162
4.3.4證書/CRL庫163
4.3.5PKI的信任模型164
4.3.6PKI的技術(shù)標(biāo)準(zhǔn)167
4.4個人數(shù)字證書的使用168
4.4.1申請數(shù)字證書168
4.4.2查看個人數(shù)字證書169
4.4.3數(shù)字證書的導(dǎo)入和導(dǎo)出171
4.4.4U盾的原理172
4.4.5利用數(shù)字證書實現(xiàn)安全電子郵件174
4.5安裝和使用CA服務(wù)器177
習(xí)題182第5章網(wǎng)絡(luò)安全基礎(chǔ)184
5.1網(wǎng)絡(luò)安全體系模型184
5.1.1網(wǎng)絡(luò)體系結(jié)構(gòu)及其安全缺陷185
5.1.2OSI安全體系結(jié)構(gòu)187
5.1.3網(wǎng)絡(luò)安全的分層配置189
5.1.4網(wǎng)絡(luò)安全的加密方式190
5.2網(wǎng)絡(luò)安全的常見威脅191
5.2.1漏洞掃描191
5.2.2拒絕服務(wù)攻擊192
5.2.3□□195
5.2.4欺騙197
5.2.5偽裝198
5.3Windows網(wǎng)絡(luò)檢測和管理命令198
5.4計算機(jī)病毒及其防治202
5.4.1計算機(jī)病毒的定義和特征202
5.4.2計算機(jī)病毒的分類203
5.4.3計算機(jī)病毒的防治205
習(xí)題207第6章防火墻和入侵檢測系統(tǒng)208
6.1訪問控制概述208
6.1.1訪問控制的相關(guān)概念208
6.1.2訪問控制的具體實現(xiàn)機(jī)制210
6.1.3訪問控制策略211
6.1.4屬性證書與PMI214
6.2防火墻215
6.2.1防火墻的概念216
6.2.2防火墻的用途216
6.2.3防火墻的弱點和局限性218
6.2.4防火墻的設(shè)計準(zhǔn)則219
6.3防火墻的主要技術(shù)219
6.3.1靜態(tài)包過濾技術(shù)219
6.3.2動態(tài)包過濾技術(shù)222
6.3.3應(yīng)用層網(wǎng)關(guān)223
6.3.4防火墻的實現(xiàn)技術(shù)比較223
6.4防火墻的體系結(jié)構(gòu)224
6.4.1包過濾防火墻224
6.4.2雙重宿主主機(jī)防火墻225
6.4.3屏蔽主機(jī)防火墻225
6.4.4屏蔽子網(wǎng)防火墻226
6.5入侵檢測系統(tǒng)227
6.5.1入侵檢測系統(tǒng)概述227
6.5.2入侵檢測系統(tǒng)的數(shù)據(jù)來源229
6.5.3入侵檢測技術(shù)230
6.5.4入侵檢測系統(tǒng)的結(jié)構(gòu)232
習(xí)題234第7章電子商務(wù)安全協(xié)議236
7.1SSL概述236
7.2SSL的工作過程237
7.2.1SSL握手協(xié)議238
7.2.2SSL記錄協(xié)議242
7.2.3SSL的應(yīng)用模式243
7.2.4SSL在網(wǎng)上銀行的應(yīng)用案例245
7.2.5為IIS網(wǎng)站啟用SSL246
7.3SET249
7.3.1SET概述249
7.3.2SET系統(tǒng)的參與者250
7.3.3SET的工作流程251
7.3.4對SET的分析256
7.3.5SSL與SET的比較257
7.43D Secure258
7.5IPSec260
7.5.1IPSec概述260
7.5.2IPSec的體系結(jié)構(gòu)261
7.5.3IPSec的工作模式262
7.6虛擬專用網(wǎng)264
7.6.1VPN概述265
7.6.2VPN的類型266
7.6.3VPN的關(guān)鍵技術(shù)267
7.6.4隧道技術(shù)268
習(xí)題271第8章電子支付及其安全272
8.1電子支付安全概述272
8.1.1電子支付與傳統(tǒng)支付的比較272
8.1.2電子支付系統(tǒng)的分類273
8.1.3電子支付的安全性274
8.2電子現(xiàn)金275
8.2.1電子現(xiàn)金的基本特性275
8.2.2電子現(xiàn)金系統(tǒng)中使用的密碼技術(shù)276
8.2.3電子現(xiàn)金的支付模型和實例277
8.3電子現(xiàn)金安全需求的實現(xiàn)280
8.3.1不可偽造性和獨立性280
8.3.2匿名性280
8.3.3多銀行性283
8.3.4不可重用性284
8.3.5可轉(zhuǎn)移性285
8.3.6可分性286
8.3.7電子現(xiàn)金的發(fā)展趨勢287
8.4電子支票288
8.4.1電子支票的支付過程288
8.4.2電子支票的安全方案和特點289
8.4.3NetBill電子支票290
8.5微支付292
8.5.1微支付的交易模型292
8.5.2基于票據(jù)的微支付系統(tǒng)293
8.5.3基于散列鏈的微支付模型299
8.5.4常見微支付協(xié)議的比較303
習(xí)題304第9章電子商務(wù)網(wǎng)站和移動App的安全305
9.1網(wǎng)站的安全風(fēng)險和防御措施305
9.1.1網(wǎng)站的安全性分析305
9.1.2網(wǎng)站服務(wù)器的基本安全設(shè)置307
9.2SQL注入攻擊310
9.2.1SQL注入攻擊的特點311
9.2.2SQL注入攻擊的方法312
9.2.3SQL注入漏洞檢測與SQL注入攻擊的防范314
9.3跨站腳本攻擊318
9.3.1跨站腳本攻擊的原理及危害318
9.3.2防范跨站腳本攻擊的方法320
9.4網(wǎng)頁掛馬322
9.4.1網(wǎng)頁掛馬的常見形式322
9.4.2網(wǎng)頁掛馬的方法324
9.5移動App的安全325
9.5.1Android系統(tǒng)的結(jié)構(gòu)和組件325
9.5.2Android系統(tǒng)的安全機(jī)制326
9.5.3移動App面臨的安全威脅327
習(xí)題328□□0章云計算與移動電子商務(wù)安全329
10.1云計算的安全329
10.1.1云計算的概念和特點329
10.1.2云計算環(huán)境下的電子商務(wù)安全架構(gòu)331
10.2云計算安全的內(nèi)涵332
10.2.1云數(shù)據(jù)安全333
10.2.2云計算的授權(quán)管理��、訪問控制和多租戶共享335
10.3移動電子商務(wù)面臨的安全威脅335
10.3.1無線網(wǎng)絡(luò)技術(shù)336
10.3.2無線網(wǎng)絡(luò)的安全威脅337
10.4移動電子商務(wù)安全技術(shù)339
10.4.1移動電子商務(wù)的安全需求339
10.4.2無線公鑰基礎(chǔ)設(shè)施340
10.4.3WPKI與PKI的技術(shù)對比343
10.4.4WTLS協(xié)議346
10.4.5無線網(wǎng)絡(luò)的物理安全技術(shù)350
習(xí)題352□□1章電子商務(wù)安全管理353
11.1電子商務(wù)安全管理體系353
11.1.1電子商務(wù)安全管理的內(nèi)容354
11.1.2電子商務(wù)安全管理策略355
11.1.3安全管理的PDCA模型356
11.2電子商務(wù)安全評估357
11.2.1電子商務(wù)安全評估的內(nèi)容357
11.2.2安全評估標(biāo)準(zhǔn)357
11.2.3信息管理評估標(biāo)準(zhǔn)359
11.3電子商務(wù)安全風(fēng)險管理360
11.3.1風(fēng)險管理概述360
11.3.2風(fēng)險評估361
11.4電子商務(wù)信用管理363
11.4.1電子商務(wù)信用管理概述363
11.4.2電子商務(wù)信用管理的必要性364
11.4.3信用管理體系的構(gòu)成365
11.4.4信用保障和評價機(jī)制366
習(xí)題368附錄A實驗369
A.1實驗1: 密碼學(xué)軟件的使用和開發(fā)369
A.2實驗2: 個人數(shù)字證書的使用370
A.3實驗3: CA的安裝和使用370
A.4實驗4: 網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)□□371
A.5實驗5: 為IIS網(wǎng)站配置SSL371
A.6實驗6: Web服務(wù)器和網(wǎng)站的安全配置372
參考文獻(xiàn)373
書單推薦
