正版新书]电子商务安全胡伟雄 著9787030694294

丛书序

前言

第1章 概论 1

1.1 安全性概念 1

1.1.1 密码安全 1

1.1.2 计算机安全 1

1.1.3 网络安全 2

1.1.4 信息安全 2

1.1.5 电子商务安全 3

1.2 电子商务安全威胁与防护措施 3

1.2.1 安全威胁 3

1.2.2 电子商务的安全风险 5

1.2.3 电子商务面临的安全威胁 5

1.2.4 防护措施 6

1.3 安全策略 6

1.3.1 授权 7

1.3.2 访问控制策略 7

1.3.3 责任 8

1.4 安全服务 8

1.4.1 电子商务的安全服务 8

1.4.2 安全服务与安全威胁的关系 9

1.4.3 安全服务与网络层次间的关系 9

1.5 安全机制 10

1.5.1 电子商务的安全机制 10

1.5.2 安全服务与安全机制的关系 12

1.6 电子商务安全体系结构 12

习题 13

第2章 电子商务密码技术 15

2.1 密码学概述 15

2.1.1 密码学基本概念 15

2.1.2 密码学发展历程 16

2.1.3 密码体制分类 17

2.1.4 密码分析基础 19

2.2 古典密码算法 20

2.2.1 代替密码 20

2.2.2 换位密码 22

2.3 对称密钥算法 23

2.3.1 数据加密标准 23

2.3.2 三重 28

2.3.3 靠前数据加密算法 29

2.3.4 不错加密标准 29

2.3.5 分组密码工作模式 30

2.4 公开密钥算法 30

2.4.1 RSA算法 31

2.4.2 椭圆曲线密码体制 32

2.4.3 其他公开密钥算法 32

2.5 密钥管理 33

2.5.1 密钥种类 33

2.5.2 密钥的生成 34

2.5.3 对称密钥分发 35

2.5.4 密钥协定 37

2.6 机密性服务 37

2.6.1 机密性措施 38

2.6.2 机密性机制 39

2.7 网络数据加密技术 40

2.7.1 链路加密 40

2.7.2 节点—节点加密 40

2.7.3 端—端加密 41

习题 42

第3章 数字证书 43

3.1 证书概述 43

3.1.1 证书的定义 43

3.1.2 证书的类型 43

3.2 证书的格式 44

3.2.1 证书的表示 44

3.2.2 证书的结构 44

3.2.3 字段的语义和作用 46

3.3 密钥和证书生命周期管理 48

3.3.1 初始化阶段 48

3.3.2 颁发阶段 49

3.3.3 取消阶段 49

3.4 证书发行 50

3.4.1 证书申请 50

3.4.2 证书创建、密钥和证书签发 51

3.5 证书验证 52

3.5.1 拆封证书 52

3.5.2 证书链的验证 52

3.5.3 序列号验证 53

3.5.4 有效期验证 53

3.5.5 证书撤销列表查询 53

3.5.6 证书使用策略的验证 53

3.5.7 终端实体证书的确认 53

3.6 证书撤销 54

3.6.1 撤销请求 54

3.6.2 证书撤销列表 55

3.6.3 接近CRL 56

3.6.4 机构撤销列表 57

3.6.5 CRL分布点 57

3.6.6 重定向CRL 57

3.6.7 增量CRL 58

3.6.8 间接CRL 58

3.6.9 在线查询机制 59

3.7 证书策略和认证惯例声明 59

3.7.1 证书策略 60

3.7.2 认证惯例声明 60

3.7.3 CP和CPS的关系 61

习题 61

第4章 电子商务认证技术 62

4.1 认证服务 62

4.1.1 认证与认证系统 62

4.1.2 认证系统的分类 62

4.1.3 认证系统的层次模型 63

4.2 哈希函数 63

4.2.1 哈希函数的分类 64

4.2.2 MD-5哈希算法 65

4.2.3 安全哈希算法 66

4.3 数字签名 66

4.3.1 数字签名的基本概念 66

4.3.2 RSA签名体制 67

4.3.3 EIGamal签名体制 68

4.3.4 数字签名标准 69

4.3.5 盲签名 69

4.3.6 双联签名 69

4.3.7 SM2数字签名 70

4.3.8 SM9数字签名 70

4.4 时间戳 71

4.4.1 时间戳概念 71

4.4.2 时间戳服务 72

4.5 消息认证 72

4.5.1 基于对称密钥密码体制的消息认证 73

4.5.2 基于公开密钥密码体制的消息认证 74

4.5.3 完整性服务 74

4.6 身份认证 76

4.6.1 身份认证概念 76

4.6.2 口令认证 77

4.6.3 基于个人特征的身份认证技术 79

4.6.4 基于密钥的认证机制 79

4.6.5 零知识证明 80

4.6.6 身份认证协议 81

4.6.7 认证的密钥交换协议 81

4.7 不可否认服务 82

4.7.1 不可否认服务的类型 83

4.7.2 可信赖的第三方 83

4.7.3 实现不可否认服务的过程 84

4.7.4 源的不可否认服务的实现 85

4.7.5 传递的不可否认服务的实现 86

习题 88

第5章 I基础 89

5.1 I概述 89

5.1.1 I定义 89

5.1.2 I组成 89

5.2 I的基本功能 90

5.2.1 I的核心服务 90

5.2.2 I的支撑服务 91

5.3 I标准 93

5.4 CA的体系结构 94

5.4.1 CA认证中心的功能 94

5.4.2 CA认证中心的层次 94

5.5 信任模型 97

5.5.1 概念 97

5.5.2 严格层次结构模型 98

5.5.3 分布式信任结构模型 99

5.5.4 Web模型 99

5.5.5 以用户为中心的信任模型 100

5.5.6 交叉认证 100

习题 101

第6章 电子商务网络安全 102

6.1 网络安全协议 102

6.1.1 安全套接层协议 102

6.1.2 安全电子交易协议 105

6.1.3 SSL与SET的比较 107

6.1.4 IPsec 108

6.1.5 传输层安全 112

6.2 虚拟专用网技术 114

6.2.1 VPN概述 114

6.2.2 VPN的安全技术 116

6.2.3 VPN的隧道协议 116

6.2.4 IPsec VPN与SSL VPN 118

6.3 防火墙技术 120

6.3.1 防火墙概述 120

6.3.2 基本的防火墙技术 121

6.3.3 防火墙的类型 125

6.3.4 WEB应用防火墙 126

6.4 入侵检测与防护 131

6.4.1 入侵检测系统概述 131

6.4.2 入侵检测系统的体系结构 132

6.4.3 入侵检测系统的分类 134

6.4.4 入侵检测技术 138

6.4.5 入侵防御系统IPS 143

6.4.6 统一威胁管理 144

习题 145

第7章 系统安全技术 147

7.1 操作系统安全技术 147

7.1.1 访问控制技术 147

7.1.2 安全审计技术 150

7.1.3 漏洞扫描技术 152

7.1.4 系统加固技术 156

7.2 计算机病毒及防范技术 164

7.2.1 计算机病毒概述 164

7.2.2 计算机病毒特点 166

7.2.3 计算机病毒的传播 166

7.2.4 计算机病毒的防范 167

7.3 Web安全技术 168

7.3.1 Web服务器安全 169

7.3.2 Web客户端安全 170

7.3.3 Web传输协议安全 172

7.4 电子邮件安全 173

7.4.1 电子邮件的安全威胁 173

7.4.2 电子邮件的安全措施 174

7.4.3 电子邮件安全协议 175

7.4.4 Outlook Express安全特性 175

7.5 数据库安全技术 179

7.5.1 数据库加密技术 179

7.5.2 数据库访问控制技术 180

7.5.3 数据库审计 182

7.5.4 数据脱敏技术 183

7.5.5 数据库备份与恢复 186

习题 189

第8章 移动网络安全 190

8.1 移动网络安全概述 190

8.1.1 移动网络安全威胁 190

8.1.2 移动网络安全需求 191

8.2 移动设备安全 191

8.2.1 移动设备面临的风险 192

8.2.2 主要的安全攻击 192

8.2.3 安全防范对策与方法 193

8.3 移动安全框架 195

8.3.1 蓝牙安全框架 195

8.3.2 WiFi安全框架 199

8.4 WiFi安全解决方案 201

8.4.1 易被入侵 201

8.4.2 非法的AP 201

8.4.3 未经授权使用服务 201

8.4.4 服务和性能的 202

8.4.5 地址欺骗和会话拦截 202

8.4.6 流量分析与流量侦听 202

8.4.7 不错入侵 203

习题 203

第9章 云安全基础 204

9.1 云安全风险分析 204

9.1.1 网络虚拟化安全 204

9.1.2 主机虚拟化安全 204

9.1.3 虚拟化平台安全 205

9.1.4 存储虚拟化安全 205

9.2 云安全总体架构 205

9.3 云平台安全 205

9.3.1 物理与环境安全 205

9.3.2 操作系统安全 206

9.3.3 虚拟化平台安全 207

9.3.4 分布式系统安全 208

9.3.5 账号体系安全 208

9.3.6 容器安全 208

9.3.7 安全审计 209

9.4 云平台网络安全 209

9.4.1 网络架构设计 209

9.4.2 基础网络安全 209

9.4.3 网络设备安全 210

9.4.4 网络边界安全 210

9.4.5 流量安全监控 210

9.5 云平台应用安全 211

9.6 数据安全 211

9.6.1 多副本冗余存储 211

9.6.2 全栈加密 212

9.6.3 残留数据清除 212

9.6.4 运维数据安全 212

9.6.5 租户隔离 212

9.6.6 数据传输加密 212

9.6.7 数据库审计 212

9.6.8 数据脱敏 212

9.6.9 数据查询安全 213

9.6.10 数据变更安全 213

9.6.11 数据备份 214

习题 214

第10章 电子支付安全 215

10.1 电子支付系统概述 215

10.1.1 电子支付系统模型 215

10.1.2 电子支付手段 216

10.1.3 电子支付安全需求 219

10.2 电子支付安全服务 220

10.2.1 用户匿名性与地址不可跟踪性 220

10.2.2 买方匿名性 221

10.2.3 支付交易不可跟踪性 223

10.2.4 支付交易信息的不可否认性 223

10.2.5 支付交易消息的不可重用性 225

10.3 电子现金安全 226

10.3.1 电子现金概述 226

10.3.2 电子现金的基本流程 227

10.3.3 电子现金的特点 227

10.3.4 电子现金的安全机制 228

10.3.5 基于零知识证明和盲签名的电子现金系统 228

10.4 电子支票安全 230

10.4.1 电子支票支付系统模型 230

10.4.2 电子支票安全机制 230

10.5 安全微支付 232

10.5.1 微支付模型 232

10.5.2 微支付的特点 233

10.5.3 安全微支付系统 234

习题 238

第11章 电子商务安全管理 240

11.1 安全评估 240

11.1.1 系统的安全评估方法 241

11.1.2 安全评估标准 242

11.1.3 可信计算机系统评估准则 243

11.1.4 信息技术安全评估准则 246

11.1.5 中国测评认证标准 247

11.2 电子商务安全法律法规 249

11.2.1 中华人民共和国计算机信息系统安全保护条例 249

11.2.2 中华人民共和国电子签名法 251

11.2.3 电子认证服务法规 251

11.2.4 网络安全法 251

11.2.5 电子商务法 253

11.3 与电子商务安全相关的安全标准 254

11.3.1 ISO/IEC 27000系列标准 254

11.3.2 SSE-CMM 258

11.3.3 ITIL 258

11.3.4 等级保护 259

11.3.5 计算机信息系统安全技术和专用产品管理制度 260

11.3.6 计算机案件报告制度 264

11.3.7 有害数据防治管理制度 266

11.4 安全管理 268

11.4.1 安全策略 268

11.4.2 安全管理的实施 271

11.4.3 系统备份和紧急恢复 273

11.4.4 审计与评估 278

习题 281

参考文献 282