本書全面、系統(tǒng)地分析了電子商務(wù)面臨的安全問題,以及問題產(chǎn)生的根源。在此基礎(chǔ)上,本書從技術(shù)和管理兩個方面,深入闡述了實現(xiàn)電子商務(wù)安全的思想、技術(shù)、方法和策略。本書共13章,主要內(nèi)容有電子商務(wù)及安全體系、密碼學(xué)基礎(chǔ)、密鑰管理、公鑰基礎(chǔ)設(shè)施與應(yīng)用、身份認(rèn)證技術(shù)、訪問控制技術(shù)、互聯(lián)網(wǎng)安全技術(shù)、電子商務(wù)安全協(xié)議、移動電子商務(wù)安全、數(shù)據(jù)高可用技術(shù)、區(qū)塊鏈技術(shù)、電子商務(wù)安全評估與管理和電子商務(wù)安全解決方案。通過本書的學(xué)習(xí),讀者可具備確保電子商務(wù)安全的能力。本書既可作為電子商務(wù)及IT等相關(guān)專業(yè)本科生、研究生的參考書,又可供專業(yè)科研人員、管理人員參考使用。
王麗芳,教授,任職于西北工業(yè)大學(xué)計算機(jī)學(xué)院。2018-2022、2013-2017連任兩屆教育部高等學(xué)校電子商務(wù)類教學(xué)指導(dǎo)委員會委員,工信部網(wǎng)絡(luò)空間安全重點專項核心專家,中國信息經(jīng)濟(jì)學(xué)會電子商務(wù)專業(yè)委員會副秘書長。主持項目多項。曾出版《電子商務(wù)安全技術(shù)》(工業(yè)和信息化部"十二五”規(guī)劃教材)、《模糊數(shù)學(xué)理論與方法》(工業(yè)和信息化部"十二五”規(guī)劃教材)、《電子商務(wù)安全》(普通高等教育"十一五”國家及規(guī)劃教材)等。
第1章 電子商務(wù)及安全體系 1
1.1 電子商務(wù)的產(chǎn)生和發(fā)展 1
1.1.1 電子商務(wù)的產(chǎn)生 1
1.1.2 電子商務(wù)的概念 2
1.1.3 電子商務(wù)的蓬勃發(fā)展 2
1.2 電子商務(wù)的類型、環(huán)境和基礎(chǔ)設(shè)施 4
1.2.1 電子商務(wù)的類型 4
1.2.2 電子商務(wù)的環(huán)境 4
1.2.3 電子商務(wù)基礎(chǔ)設(shè)施 5
1.3 電子商務(wù)安全 6
1.3.1 電子商務(wù)的風(fēng)險和威脅 7
1.3.2 電子商務(wù)安全的要素 8
1.3.3 電子商務(wù)安全體系 11
1.4 電子交易中的常見問題及解決方法 11
本章小結(jié) 12
思考題 13
第2章 密碼學(xué)基礎(chǔ) 14
2.1 密碼學(xué)基礎(chǔ) 14
2.1.1 密碼學(xué)的基本概念 14
2.1.2 傳統(tǒng)加密技術(shù) 15
2.2 對稱密碼技術(shù) 16
2.2.1 對稱密碼技術(shù)概論 16
2.2.2 數(shù)據(jù)加密標(biāo)準(zhǔn) 17
2.2.3 高級加密標(biāo)準(zhǔn) 19
2.2.4 SM4算法 20
2.2.5 流密碼與RC4 20
2.3 單向散列函數(shù) 23
2.3.1 MD5算法 24
2.3.2 SHA家族 25
2.3.3 SM3密碼Hash算法 26
2.3.4 MAC算法 29
2.4 非對稱密碼技術(shù) 31
2.4.1 公鑰密碼體制的原理 31
2.4.2 RSA密碼 32
2.4.3 ELGamal密碼 33
2.4.4 橢圓曲線密碼體制 34
2.4.5 數(shù)字簽名 38
本章小結(jié) 42
思考題 42
第3章 密鑰管理 43
3.1 密鑰管理的目標(biāo)和內(nèi)容 43
3.2 密鑰的組織 43
3.3 密鑰的產(chǎn)生 44
3.3.1 密鑰的隨機(jī)性要求 44
3.3.2 噪聲源產(chǎn)生密鑰 44
3.4 密鑰分配 45
3.5 密鑰保護(hù) 46
本章小結(jié) 48
思考題 48
第4章 公鑰基礎(chǔ)設(shè)施與應(yīng)用 49
4.1 公鑰基礎(chǔ)設(shè)施基礎(chǔ) 49
4.1.1 安全基礎(chǔ)設(shè)施的概念 49
4.1.2 公鑰基礎(chǔ)設(shè)施的概念 50
4.1.3 PKI的意義 51
4.2 數(shù)字證書 52
4.2.1 數(shù)字證書的概念 52
4.2.2 數(shù)字證書的格式 53
4.2.3 證書撤銷列表 54
4.2.4 數(shù)字證書的存放 55
4.3 PKI的內(nèi)容 55
4.3.1 CA 55
4.3.2 證書庫 58
4.3.3 密鑰備份及恢復(fù) 58
4.3.4 證書撤銷 59
4.3.5 密鑰更新 60
4.3.6 應(yīng)用接口系統(tǒng) 60
4.4 PKI信任模型 61
4.4.1 什么是信任模型 61
4.4.2 交叉認(rèn)證 63
4.4.3 常用的信任模型 63
4.5 PKI的服務(wù)和實現(xiàn) 66
4.6 PKI應(yīng)用 70
4.6.1 PKI相關(guān)標(biāo)準(zhǔn) 70
4.6.2 基于PKI的應(yīng)用領(lǐng)域 73
4.6.3 PKI技術(shù)的發(fā)展 75
本章小結(jié) 77
思考題 78
第5章 身份認(rèn)證技術(shù) 79
5.1 身份認(rèn)證技術(shù)概述 79
5.1.1 身份認(rèn)證的含義及其重要性 79
5.1.2 身份認(rèn)證的原理 80
5.1.3 身份認(rèn)證的方法 80
5.2 認(rèn)證口令 81
5.2.1 關(guān)鍵問題 81
5.2.2 挑戰(zhàn)/響應(yīng)認(rèn)證機(jī)制 82
5.3 認(rèn)證令牌 83
5.3.1 術(shù)語 83
5.3.2 時間令牌 83
5.4 生物特征認(rèn)證 84
本章小結(jié) 87
思考題 87
第6章 訪問控制技術(shù) 88
6.1 訪問控制的概念與原理 88
6.1.1 訪問控制的概念 88
6.1.2 訪問控制的原理 89
6.2 訪問控制的結(jié)構(gòu) 89
6.2.1 訪問控制矩陣 89
6.2.2 訪問能力表 90
6.2.3 訪問控制表 91
6.2.4 授權(quán)關(guān)系表 91
6.3 訪問控制策略 92
6.3.1 基于身份的策略 92
6.3.2 基于規(guī)則的策略 93
6.4 訪問控制模型 94
6.4.1 自主訪問控制模型 94
6.4.2 強(qiáng)制訪問控制模型 95
6.4.3 基于角色的訪問控制模型 96
本章小結(jié) 98
思考題 98
第7章 互聯(lián)網(wǎng)安全技術(shù) 99
7.1 網(wǎng)絡(luò)安全概述 99
7.1.1 網(wǎng)絡(luò)安全的概念 99
7.1.2 網(wǎng)絡(luò)系統(tǒng)面臨的威脅 100
7.1.3 網(wǎng)絡(luò)安全的基本原則 101
7.1.4 網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 101
7.2 防火墻 102
7.2.1 防火墻概述 102
7.2.2 防火墻實現(xiàn)技術(shù) 103
7.2.3 防火墻結(jié)構(gòu) 108
7.3 入侵檢測系統(tǒng) 110
7.3.1 入侵檢測系統(tǒng)概述 110
7.3.2 入侵檢測系統(tǒng)的數(shù)據(jù)源 112
7.3.3 入侵檢測技術(shù) 113
7.3.4 入侵檢測系統(tǒng)結(jié)構(gòu) 116
7.4 虛擬專用網(wǎng)絡(luò) 118
7.4.1 虛擬專用網(wǎng)絡(luò)概述 118
7.4.2 VPN的分類 120
7.4.3 隧道技術(shù) 121
7.4.4 常用的隧道協(xié)議 123
7.5 計算機(jī)病毒及其防護(hù) 126
7.5.1 計算機(jī)病毒的產(chǎn)生和發(fā)展 126
7.5.2 計算機(jī)病毒及其類型 127
7.5.3 計算機(jī)病毒防護(hù) 130
本章小結(jié) 131
思考題 132
第8章 電子商務(wù)安全協(xié)議 133
8.1 電子商務(wù)安全協(xié)議概述 133
8.2 SET協(xié)議 134
8.2.1 SET協(xié)議概述 134
8.2.2 SET協(xié)議交易的參與者 135
8.2.3 SET協(xié)議的相關(guān)技術(shù) 135
8.2.4 SET協(xié)議的交易流程 138
8.3 SSL協(xié)議 139
8.3.1 SSL協(xié)議概述 139
8.3.2 SSL握手協(xié)議 140
8.3.3 SSL記錄協(xié)議 141
8.3.4 SSL協(xié)議與SET協(xié)議的比較 142
8.4 HTTPS協(xié)議 143
8.4.1 HTTPS協(xié)議概述 143
8.4.2 HTTPS協(xié)議結(jié)構(gòu) 144
8.4.3 HTTPS協(xié)議的工作原理 144
8.4.4 HTTPS協(xié)議的安全性分析 145
本章小結(jié) 147
思考題 147
第9章 移動電子商務(wù)安全 148
9.1 移動電子商務(wù) 148
9.2 移動電子商務(wù)的安全威脅 149
9.2.1 移動通信系統(tǒng)威脅 149
9.2.2 移動設(shè)備自身隱患 149
9.2.3 外部因素的威脅 150
9.3 IEEE 802.11協(xié)議及其安全機(jī)制 151
9.3.1 IEEE 802.11協(xié)議 151
9.3.2 無線局域網(wǎng)的組網(wǎng)方式 152
9.3.3 IEEE 802.11協(xié)議的安全機(jī)制 153
本章小結(jié) 155
思考題 155
第10章 數(shù)據(jù)高可用技術(shù) 156
10.1 數(shù)據(jù)備份和恢復(fù)技術(shù) 156
10.1.1 數(shù)據(jù)備份 156
10.1.2 數(shù)據(jù)恢復(fù) 157
10.2 網(wǎng)絡(luò)備份系統(tǒng) 158
10.2.1 單機(jī)備份和網(wǎng)絡(luò)備份 158
10.2.2 網(wǎng)絡(luò)備份系統(tǒng)的組成 159
10.2.3 網(wǎng)絡(luò)備份系統(tǒng)方案 160
10.3 數(shù)據(jù)容災(zāi) 162
10.3.1 數(shù)據(jù)容災(zāi)概述 162
10.3.2 數(shù)據(jù)容災(zāi)技術(shù) 162
本章小結(jié) 164
思考題 164
第11章 區(qū)塊鏈技術(shù) 165
11.1 區(qū)塊鏈的產(chǎn)生與發(fā)展 165
11.1.1 區(qū)塊鏈的產(chǎn)生 165
11.1.2 比特幣的關(guān)鍵要素 166
11.1.3 區(qū)塊鏈與比特幣交易 168
11.2 區(qū)塊與區(qū)塊鏈 170
11.2.1 區(qū)塊的數(shù)據(jù)結(jié)構(gòu) 170
11.2.2 區(qū)塊鏈的特點 171
11.2.3 區(qū)塊鏈的應(yīng)用 172
11.2.4 區(qū)塊鏈的類型 173
11.2.5 區(qū)塊鏈平臺 173
11.3 區(qū)塊鏈的核心技術(shù) 174
11.3.1 公鑰密碼學(xué) 174
11.3.2 分布式交互 175
11.3.3 共識機(jī)制 176
11.3.4 加密Hash函數(shù) 176
11.3.5 計算機(jī)體系結(jié)構(gòu) 177
11.4 區(qū)塊鏈安全問題與防御技術(shù) 177
11.4.1 區(qū)塊鏈現(xiàn)存安全隱患 177
11.4.2 區(qū)塊鏈安全攻擊的主要方式 180
11.4.3 區(qū)塊鏈安全目標(biāo) 182
11.4.4 傳統(tǒng)的區(qū)塊鏈防御技術(shù) 185
11.4.5 新型區(qū)塊鏈防御技術(shù) 186
11.5 新興區(qū)塊鏈技術(shù) 186
11.5.1 公鏈解決方案 186
11.5.2 聯(lián)盟鏈解決方案 189
11.5.3 跨鏈技術(shù) 190
11.6 典型區(qū)塊鏈解決方案 191
11.6.1 騰訊區(qū)塊鏈方案 191
11.6.2 京東區(qū)塊鏈方案 193
本章小結(jié) 196
思考題 196
第12章 電子商務(wù)安全評估與管理 197
12.1 電子商務(wù)安全評估與管理的基本概念 197
12.2 電子商務(wù)安全風(fēng)險評估 197
12.2.1 安全風(fēng)險分析 197
12.2.2 安全風(fēng)險評估 203
12.3 電子商務(wù)安全風(fēng)險評估方法 204
12.3.1 層次分析法 205
12.3.2 模糊綜合評價法 206
12.3.3 貝葉斯網(wǎng)絡(luò)方法 208
12.3.4 故障樹分析法 209
12.4 電子商務(wù)安全管理 210
12.4.1 安全管理的目標(biāo) 211
12.4.2 安全意識和培訓(xùn) 212
12.4.3 創(chuàng)建安全域 213
12.4.4 應(yīng)急預(yù)案 213
本章小結(jié) 214
思考題 214
第13章 電子商務(wù)安全解決方案 215
13.1 IBM電子商務(wù)安全解決方案 215
13.1.1 身份管理 215
13.1.2 單點登錄 217
13.1.3 IBM預(yù)防性安全方案ISS 217
13.2 阿里云安全解決方案 220
13.2.1 數(shù)據(jù)安全 220
13.2.2 訪問控制 221
13.2.3 云安全服務(wù) 222
13.2.4 系統(tǒng)安全及開發(fā)維護(hù) 223
13.2.5 其他安全措施 223
13.3 Microsoft Azure安全解決方案 224
13.3.1 計算、存儲和服務(wù)管理 224
13.3.2 Microsoft Azure的視角:Fabric 226
13.3.3 云安全設(shè)計 226
13.3.4 安全開發(fā)生命周期 231
本章小結(jié) 231
思考題 232
附錄A 233
參考文獻(xiàn) 238