希賽小編為考生整理了2022年信息安全工程師考試知識點（二十五）：電子商務(wù)安全，希望對大家備考信息安全工程師考試會有幫助。

電子商務(wù)安全

【考法分析】

本知識點主要是對電子商務(wù)安全相關(guān)內(nèi)容的考查。

【要點分析】

1．電子商務(wù)安全概念、特點：電子商務(wù)安全從整體上可分為兩大部分：網(wǎng)絡(luò)安全和商務(wù)交易安全。

2．網(wǎng)絡(luò)安全的內(nèi)容包括：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。

3．電子商務(wù)安全是以網(wǎng)絡(luò)安全為基礎(chǔ)的。電子商務(wù)安全與肉絡(luò)安全又是有區(qū)別的：首先，網(wǎng)絡(luò)不可能絕對安全，在這種情況下，還需要運行安全的電子商務(wù)。其次，即使網(wǎng)絡(luò)絕對安全，也不能保障電子離務(wù)的安全。

4．電子商務(wù)安全具有如下四大特性：

① 電子離務(wù)安全是一個系統(tǒng)概念；

② 電子商務(wù)安全是柏對的；

③ 電子商務(wù)安全是有代價的；

④ 電子商務(wù)安全是發(fā)展的、動態(tài)的。

5．安全需求：

① 交易實體身份可認證性需求；

② 信息保密性的需求；

③ 信息完整性的需求；

④ 交易信息的不可抵賴性需求；

⑤ 商務(wù)服務(wù)的有效性需求；

⑥ 訪問控制性需求。

電子商務(wù)要安全地展開，以上幾個最基本的安全要素必須實現(xiàn)。也就是說，數(shù)據(jù)和信息的隱私必須受到保護，交易者身份必須得到認證，并且具有可認證性，未被授權(quán)的進入應該進行控制和拒絕。

6．身份認證過程指的是當用戶試匱訪問資源的時候，系統(tǒng)確定用戶的身份是否真實的過程。認證對所有需要安全的服務(wù)來說是至關(guān)重要的，因為認證是訪問控制執(zhí)行的前提，是判斷用戶是否有權(quán)訪問信息的先決條件，同時也為日后追究責任提供不可抵賴的證據(jù)。

7．通?？梢愿鶕?jù)以下5 種信息進行認證：

① 用戶所知道的。

② 用戶所擁有的。

③ 用戶本身的特征。

④ 根據(jù)特定地點(或特定時間)。

⑤ 通過信任的第三方。

認證技術(shù)決定了系統(tǒng)的安全程度。

8．所謂數(shù)字證書就是在互聯(lián)網(wǎng)通信中標志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Intemet 上驗證用戶身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個由權(quán)威機構(gòu)一CA機構(gòu)，又稱為證書授權(quán)中心發(fā)行的，人們可以在網(wǎng)上用它來識別彼此的身份。

9．CA機構(gòu)，又稱為證書授權(quán)中心，作為電子商務(wù)交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

10．數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鋁進行加密、解密。

11．數(shù)字證書與傳輸密鑰和簽名密鑰對的產(chǎn)生相對應。對每一個公鑰做一張數(shù)字證書，私鑰用最安全的方式交給用戶或用戶自己生產(chǎn)密鑰對。在公開密鑰密碼體制中，常用的一種是RSA體制。

12．目前有兩種安全在線支付協(xié)議被廣泛采用，分別為安全電子交易協(xié)議(SET) 和安全套接字協(xié)議(SSL) ，二者均是成熟和實用的安全協(xié)議。

13．SET 協(xié)議是應用層的協(xié)議，是一種基于消息流的協(xié)議，它是面向B2C (企業(yè)對消費者)模式的，完全針對信用卡來制定，涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)議信息保密、資料完整等各個方面。

14．SET 協(xié)議主要使用的技術(shù)包括：對稱密鑰加密、公鑰加密、Hash 算法、數(shù)字簽名、數(shù)字信封以及數(shù)字證書等技術(shù)。

15．SET 協(xié)議是一個基于可信的第三方認證中心的方案，其主要的實現(xiàn)目標是：

① 保證電子離務(wù)參與者信息的相互隔離；

② 保證信息在Internet 上安全傳輸；

③ 解決多方認證問題；

④ 保證網(wǎng)上交易的實時性；

⑤ 提供一個開放式的標準。

16．SET交易的參與方包括持卡人、發(fā)卡機構(gòu)、離家、收單銀行、支付網(wǎng)關(guān)和數(shù)字證書認證中心CA。

17．SET 協(xié)議分為三個部分：

① 商業(yè)描述；② 程序員指導；③ 正式的協(xié)議定義。

18．SET 協(xié)議是一種電子支付系統(tǒng)的安全協(xié)議，因此它涉及加密、認證等多種技術(shù)。

① 加密技術(shù)：加密技術(shù)是SET 協(xié)議中的核心技術(shù)，在SET 中使用的主要包括對稱加密、非對稱加密、數(shù)字簽名、消息摘要、數(shù)字信封、雙重簽名等。

② 認證技術(shù)：網(wǎng)上交易的買賣雙方在進行每一筆交易時，為了保證交易的可靠性，買方和賣方都要鑒別對方的身份。

19．CA的主要功能有：收注冊請求處理、批準/拒絕請求、發(fā)行證書。

20．認證技術(shù)具體涉及以下一些內(nèi)容：

① 證書信息：

持卡人證書：持卡人證書表明持卡人擁有的支付卡是合法的，它是由權(quán)威的金融機構(gòu)數(shù)字簽署的，不能由其他非法第三方產(chǎn)生。

商家證書：商家證書與持卡人證書基本一樣。

支付網(wǎng)關(guān)證書：支付網(wǎng)關(guān)證書由收單行或收單行的處理系統(tǒng)擁有。

收單行證書：一個收單銀行必須擁有證書，才能使一個CA 接收和處理商家從公共和專用網(wǎng)絡(luò)發(fā)出的證書請求。

發(fā)卡行證書：一個發(fā)卡銀行必須擁有證書， CA 才能接收和處理來自持卡人的證書請求(通過公共或?qū)Ｓ镁W(wǎng)絡(luò))，那些選擇支付卡品牌來代理處理證書請求的發(fā)卡行不需要證書。

② 證書的發(fā)行。

③ 認證信息和驗證結(jié)構(gòu)：

認證信息：在SET 中，交易雙方的身份必須要驗證， CA 是提供身份驗證的第三方機構(gòu)。

21．SET協(xié)議主要是通過使用密碼技術(shù)和數(shù)字證書方式來保證信息的機密性和安全性，它實現(xiàn)了電子交易的機密性、數(shù)據(jù)完整性、身份的合法性和不可否認性。

22．SSL 安全套接層協(xié)議是安全通信協(xié)議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方式，它對計算機之間整個會話進行加密，從而保證了安全傳輸。SSL 的安全服務(wù)位于TCP 和應用層之間，可為應用層(如HTTP 、FTP 、SMTP) 提供安全業(yè)務(wù)，服務(wù)對象主要是Web 應用，即客戶瀏覽器和服務(wù)器。

23．SSL 服務(wù)器認證允許用戶確認服務(wù)器身份。SSL 客戶機認證允許服務(wù)器確認用戶身份。

24．一個加密的SSL 連接要求所有在客戶機與服務(wù)器之間發(fā)送的信息由發(fā)送方軟件加密和由接受方軟件解密，對稱加密法用于數(shù)據(jù)如密(如用DES 和RC4 等)，從而連接是保密的。

25．SSL主要工作流程包括：網(wǎng)絡(luò)連接建立；與該連接柜關(guān)的加密方式和壓縮方式選擇；雙方的身份識別；本次傳輸密鈣的確定；加密的數(shù)據(jù)傳輸；網(wǎng)絡(luò)連接的關(guān)閉。

26．SSL是一個兩層協(xié)議，包括SSL 握手層協(xié)議和SSL 記錄層協(xié)議。

27．SSL協(xié)議提供的服務(wù)可以歸納為如下三個方面：

① 用戶和服務(wù)器的合法性認證；

② 加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；

③ 維護數(shù)據(jù)的完整性。

28．SSL 協(xié)議自身的缺陷：

① 客戶端假冒；

② SSL 協(xié)議無法提供基于四P 應用的安全保護；

③ SSL 協(xié)議不能對抗通信流量分析；

④ 可能受到針對基于公鑰加密標準（PKCS) 的協(xié)議的自適應選擇密文攻擊；

⑤ 進程中的主密鑰泄漏；

⑥ 磁盤上的臨時文件可能遭受攻擊。

29．SSL 加密算法和會話密鑰是在握手協(xié)議中協(xié)商并由Cipher-Choice 指定的?，F(xiàn)有的SSL 版本中所用到的加密算法包括：RC4、RC2、IDEA、DES 和3DES ，而加密算法所用的密鑰由消息散列函數(shù)MD5 產(chǎn)生。

30．SSL 協(xié)議中對稱加密用于加密應用數(shù)據(jù)，非對稱加密用于驗證實體和交換密鑰。非對稱加密算法按用途分為密鑰交換算法和數(shù)字簽名算法。

【備考點撥】

了解并理解相關(guān)知識點內(nèi)容。