希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（二十五）：電子商務(wù)安全，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

電子商務(wù)安全

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)電子商務(wù)安全相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．電子商務(wù)安全概念、特點(diǎn)：電子商務(wù)安全從整體上可分為兩大部分：網(wǎng)絡(luò)安全和商務(wù)交易安全。

2．網(wǎng)絡(luò)安全的內(nèi)容包括：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。

3．電子商務(wù)安全是以網(wǎng)絡(luò)安全為基礎(chǔ)的。電子商務(wù)安全與肉絡(luò)安全又是有區(qū)別的：首先，網(wǎng)絡(luò)不可能絕對(duì)安全，在這種情況下，還需要運(yùn)行安全的電子商務(wù)。其次，即使網(wǎng)絡(luò)絕對(duì)安全，也不能保障電子離務(wù)的安全。

4．電子商務(wù)安全具有如下四大特性：

① 電子離務(wù)安全是一個(gè)系統(tǒng)概念；

② 電子商務(wù)安全是柏對(duì)的；

③ 電子商務(wù)安全是有代價(jià)的；

④ 電子商務(wù)安全是發(fā)展的、動(dòng)態(tài)的。

5．安全需求：

① 交易實(shí)體身份可認(rèn)證性需求；

② 信息保密性的需求；

③ 信息完整性的需求；

④ 交易信息的不可抵賴性需求；

⑤ 商務(wù)服務(wù)的有效性需求；

⑥ 訪問(wèn)控制性需求。

電子商務(wù)要安全地展開(kāi)，以上幾個(gè)最基本的安全要素必須實(shí)現(xiàn)。也就是說(shuō)，數(shù)據(jù)和信息的隱私必須受到保護(hù)，交易者身份必須得到認(rèn)證，并且具有可認(rèn)證性，未被授權(quán)的進(jìn)入應(yīng)該進(jìn)行控制和拒絕。

6．身份認(rèn)證過(guò)程指的是當(dāng)用戶試匱訪問(wèn)資源的時(shí)候，系統(tǒng)確定用戶的身份是否真實(shí)的過(guò)程。認(rèn)證對(duì)所有需要安全的服務(wù)來(lái)說(shuō)是至關(guān)重要的，因?yàn)檎J(rèn)證是訪問(wèn)控制執(zhí)行的前提，是判斷用戶是否有權(quán)訪問(wèn)信息的先決條件，同時(shí)也為日后追究責(zé)任提供不可抵賴的證據(jù)。

7．通常可以根據(jù)以下5 種信息進(jìn)行認(rèn)證：

① 用戶所知道的。

② 用戶所擁有的。

③ 用戶本身的特征。

④ 根據(jù)特定地點(diǎn)(或特定時(shí)間)。

⑤ 通過(guò)信任的第三方。

認(rèn)證技術(shù)決定了系統(tǒng)的安全程度。

8．所謂數(shù)字證書(shū)就是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，提供了一種在Intemet 上驗(yàn)證用戶身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)一CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別彼此的身份。

9．CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。

10．?dāng)?shù)字證書(shū)采用公鑰體制，即利用一對(duì)互相匹配的密鋁進(jìn)行加密、解密。

11．?dāng)?shù)字證書(shū)與傳輸密鑰和簽名密鑰對(duì)的產(chǎn)生相對(duì)應(yīng)。對(duì)每一個(gè)公鑰做一張數(shù)字證書(shū)，私鑰用最安全的方式交給用戶或用戶自己生產(chǎn)密鑰對(duì)。在公開(kāi)密鑰密碼體制中，常用的一種是RSA體制。

12．目前有兩種安全在線支付協(xié)議被廣泛采用，分別為安全電子交易協(xié)議(SET) 和安全套接字協(xié)議(SSL) ，二者均是成熟和實(shí)用的安全協(xié)議。

13．SET 協(xié)議是應(yīng)用層的協(xié)議，是一種基于消息流的協(xié)議，它是面向B2C (企業(yè)對(duì)消費(fèi)者)模式的，完全針對(duì)信用卡來(lái)制定，涵蓋了信用卡在電子商務(wù)交易中的交易協(xié)議信息保密、資料完整等各個(gè)方面。

14．SET 協(xié)議主要使用的技術(shù)包括：對(duì)稱密鑰加密、公鑰加密、Hash 算法、數(shù)字簽名、數(shù)字信封以及數(shù)字證書(shū)等技術(shù)。

15．SET 協(xié)議是一個(gè)基于可信的第三方認(rèn)證中心的方案，其主要的實(shí)現(xiàn)目標(biāo)是：

① 保證電子離務(wù)參與者信息的相互隔離；

② 保證信息在Internet 上安全傳輸；

③ 解決多方認(rèn)證問(wèn)題；

④ 保證網(wǎng)上交易的實(shí)時(shí)性；

⑤ 提供一個(gè)開(kāi)放式的標(biāo)準(zhǔn)。

16．SET交易的參與方包括持卡人、發(fā)卡機(jī)構(gòu)、離家、收單銀行、支付網(wǎng)關(guān)和數(shù)字證書(shū)認(rèn)證中心CA。

17．SET 協(xié)議分為三個(gè)部分：

① 商業(yè)描述；② 程序員指導(dǎo)；③ 正式的協(xié)議定義。

18．SET 協(xié)議是一種電子支付系統(tǒng)的安全協(xié)議，因此它涉及加密、認(rèn)證等多種技術(shù)。

① 加密技術(shù)：加密技術(shù)是SET 協(xié)議中的核心技術(shù)，在SET 中使用的主要包括對(duì)稱加密、非對(duì)稱加密、數(shù)字簽名、消息摘要、數(shù)字信封、雙重簽名等。

② 認(rèn)證技術(shù)：網(wǎng)上交易的買(mǎi)賣雙方在進(jìn)行每一筆交易時(shí)，為了保證交易的可靠性，買(mǎi)方和賣方都要鑒別對(duì)方的身份。

19．CA的主要功能有：收注冊(cè)請(qǐng)求處理、批準(zhǔn)/拒絕請(qǐng)求、發(fā)行證書(shū)。

20．認(rèn)證技術(shù)具體涉及以下一些內(nèi)容：

① 證書(shū)信息：

持卡人證書(shū)：持卡人證書(shū)表明持卡人擁有的支付卡是合法的，它是由權(quán)威的金融機(jī)構(gòu)數(shù)字簽署的，不能由其他非法第三方產(chǎn)生。

商家證書(shū)：商家證書(shū)與持卡人證書(shū)基本一樣。

支付網(wǎng)關(guān)證書(shū)：支付網(wǎng)關(guān)證書(shū)由收單行或收單行的處理系統(tǒng)擁有。

收單行證書(shū)：一個(gè)收單銀行必須擁有證書(shū)，才能使一個(gè)CA 接收和處理商家從公共和專用網(wǎng)絡(luò)發(fā)出的證書(shū)請(qǐng)求。

發(fā)卡行證書(shū)：一個(gè)發(fā)卡銀行必須擁有證書(shū)， CA 才能接收和處理來(lái)自持卡人的證書(shū)請(qǐng)求(通過(guò)公共或?qū)Ｓ镁W(wǎng)絡(luò))，那些選擇支付卡品牌來(lái)代理處理證書(shū)請(qǐng)求的發(fā)卡行不需要證書(shū)。

② 證書(shū)的發(fā)行。

③ 認(rèn)證信息和驗(yàn)證結(jié)構(gòu)：

認(rèn)證信息：在SET 中，交易雙方的身份必須要驗(yàn)證， CA 是提供身份驗(yàn)證的第三方機(jī)構(gòu)。

21．SET協(xié)議主要是通過(guò)使用密碼技術(shù)和數(shù)字證書(shū)方式來(lái)保證信息的機(jī)密性和安全性，它實(shí)現(xiàn)了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和不可否認(rèn)性。

22．SSL 安全套接層協(xié)議是安全通信協(xié)議。在SSL中，采用了公開(kāi)密鑰和私有密鑰兩種加密方式，它對(duì)計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密，從而保證了安全傳輸。SSL 的安全服務(wù)位于TCP 和應(yīng)用層之間，可為應(yīng)用層(如HTTP 、FTP 、SMTP) 提供安全業(yè)務(wù)，服務(wù)對(duì)象主要是Web 應(yīng)用，即客戶瀏覽器和服務(wù)器。

23．SSL 服務(wù)器認(rèn)證允許用戶確認(rèn)服務(wù)器身份。SSL 客戶機(jī)認(rèn)證允許服務(wù)器確認(rèn)用戶身份。

24．一個(gè)加密的SSL 連接要求所有在客戶機(jī)與服務(wù)器之間發(fā)送的信息由發(fā)送方軟件加密和由接受方軟件解密，對(duì)稱加密法用于數(shù)據(jù)如密(如用DES 和RC4 等)，從而連接是保密的。

25．SSL主要工作流程包括：網(wǎng)絡(luò)連接建立；與該連接柜關(guān)的加密方式和壓縮方式選擇；雙方的身份識(shí)別；本次傳輸密鈣的確定；加密的數(shù)據(jù)傳輸；網(wǎng)絡(luò)連接的關(guān)閉。

26．SSL是一個(gè)兩層協(xié)議，包括SSL 握手層協(xié)議和SSL 記錄層協(xié)議。

27．SSL協(xié)議提供的服務(wù)可以歸納為如下三個(gè)方面：

① 用戶和服務(wù)器的合法性認(rèn)證；

② 加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；

③ 維護(hù)數(shù)據(jù)的完整性。

28．SSL 協(xié)議自身的缺陷：

① 客戶端假冒；

② SSL 協(xié)議無(wú)法提供基于四P 應(yīng)用的安全保護(hù)；

③ SSL 協(xié)議不能對(duì)抗通信流量分析；

④ 可能受到針對(duì)基于公鑰加密標(biāo)準(zhǔn)（PKCS) 的協(xié)議的自適應(yīng)選擇密文攻擊；

⑤ 進(jìn)程中的主密鑰泄漏；

⑥ 磁盤(pán)上的臨時(shí)文件可能遭受攻擊。

29．SSL 加密算法和會(huì)話密鑰是在握手協(xié)議中協(xié)商并由Cipher-Choice 指定的?，F(xiàn)有的SSL 版本中所用到的加密算法包括：RC4、RC2、IDEA、DES 和3DES ，而加密算法所用的密鑰由消息散列函數(shù)MD5 產(chǎn)生。

30．SSL 協(xié)議中對(duì)稱加密用于加密應(yīng)用數(shù)據(jù)，非對(duì)稱加密用于驗(yàn)證實(shí)體和交換密鑰。非對(duì)稱加密算法按用途分為密鑰交換算法和數(shù)字簽名算法。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。