希賽小編為考生整理了2022年信息安全工程師考試知識點（二十五）：電子商務安全，希望對大家備考信息安全工程師考試會有幫助。

電子商務安全

【考法分析】

本知識點主要是對電子商務安全相關內容的考查。

【要點分析】

1．電子商務安全概念、特點：電子商務安全從整體上可分為兩大部分：網絡安全和商務交易安全。

2．網絡安全的內容包括：網絡設備安全、網絡系統安全、數據庫安全等。

3．電子商務安全是以網絡安全為基礎的。電子商務安全與肉絡安全又是有區別的：首先，網絡不可能絕對安全，在這種情況下，還需要運行安全的電子商務。其次，即使網絡絕對安全，也不能保障電子離務的安全。

4．電子商務安全具有如下四大特性：

① 電子離務安全是一個系統概念；

② 電子商務安全是柏對的；

③ 電子商務安全是有代價的；

④ 電子商務安全是發展的、動態的。

5．安全需求：

① 交易實體身份可認證性需求；

② 信息保密性的需求；

③ 信息完整性的需求；

④ 交易信息的不可抵賴性需求；

⑤ 商務服務的有效性需求；

⑥ 訪問控制性需求。

電子商務要安全地展開，以上幾個最基本的安全要素必須實現。也就是說，數據和信息的隱私必須受到保護，交易者身份必須得到認證，并且具有可認證性，未被授權的進入應該進行控制和拒絕。

6．身份認證過程指的是當用戶試匱訪問資源的時候，系統確定用戶的身份是否真實的過程。認證對所有需要安全的服務來說是至關重要的，因為認證是訪問控制執行的前提，是判斷用戶是否有權訪問信息的先決條件，同時也為日后追究責任提供不可抵賴的證據。

7．通常可以根據以下5 種信息進行認證：

① 用戶所知道的。

② 用戶所擁有的。

③ 用戶本身的特征。

④ 根據特定地點(或特定時間)。

⑤ 通過信任的第三方。

認證技術決定了系統的安全程度。

8．所謂數字證書就是在互聯網通信中標志通信各方身份信息的一系列數據，提供了一種在Intemet 上驗證用戶身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構一CA機構，又稱為證書授權中心發行的，人們可以在網上用它來識別彼此的身份。

9．CA機構，又稱為證書授權中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

10．數字證書采用公鑰體制，即利用一對互相匹配的密鋁進行加密、解密。

11．數字證書與傳輸密鑰和簽名密鑰對的產生相對應。對每一個公鑰做一張數字證書，私鑰用最安全的方式交給用戶或用戶自己生產密鑰對。在公開密鑰密碼體制中，常用的一種是RSA體制。

12．目前有兩種安全在線支付協議被廣泛采用，分別為安全電子交易協議(SET) 和安全套接字協議(SSL) ，二者均是成熟和實用的安全協議。

13．SET 協議是應用層的協議，是一種基于消息流的協議，它是面向B2C (企業對消費者)模式的，完全針對信用卡來制定，涵蓋了信用卡在電子商務交易中的交易協議信息保密、資料完整等各個方面。

14．SET 協議主要使用的技術包括：對稱密鑰加密、公鑰加密、Hash 算法、數字簽名、數字信封以及數字證書等技術。

15．SET 協議是一個基于可信的第三方認證中心的方案，其主要的實現目標是：

① 保證電子離務參與者信息的相互隔離；

② 保證信息在Internet 上安全傳輸；

③ 解決多方認證問題；

④ 保證網上交易的實時性；

⑤ 提供一個開放式的標準。

16．SET交易的參與方包括持卡人、發卡機構、離家、收單銀行、支付網關和數字證書認證中心CA。

17．SET 協議分為三個部分：

① 商業描述；② 程序員指導；③ 正式的協議定義。

18．SET 協議是一種電子支付系統的安全協議，因此它涉及加密、認證等多種技術。

① 加密技術：加密技術是SET 協議中的核心技術，在SET 中使用的主要包括對稱加密、非對稱加密、數字簽名、消息摘要、數字信封、雙重簽名等。

② 認證技術：網上交易的買賣雙方在進行每一筆交易時，為了保證交易的可靠性，買方和賣方都要鑒別對方的身份。

19．CA的主要功能有：收注冊請求處理、批準/拒絕請求、發行證書。

20．認證技術具體涉及以下一些內容：

① 證書信息：

持卡人證書：持卡人證書表明持卡人擁有的支付卡是合法的，它是由權威的金融機構數字簽署的，不能由其他非法第三方產生。

商家證書：商家證書與持卡人證書基本一樣。

支付網關證書：支付網關證書由收單行或收單行的處理系統擁有。

收單行證書：一個收單銀行必須擁有證書，才能使一個CA 接收和處理商家從公共和專用網絡發出的證書請求。

發卡行證書：一個發卡銀行必須擁有證書， CA 才能接收和處理來自持卡人的證書請求(通過公共或專用網絡)，那些選擇支付卡品牌來代理處理證書請求的發卡行不需要證書。

② 證書的發行。

③ 認證信息和驗證結構：

認證信息：在SET 中，交易雙方的身份必須要驗證， CA 是提供身份驗證的第三方機構。

21．SET協議主要是通過使用密碼技術和數字證書方式來保證信息的機密性和安全性，它實現了電子交易的機密性、數據完整性、身份的合法性和不可否認性。

22．SSL 安全套接層協議是安全通信協議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方式，它對計算機之間整個會話進行加密，從而保證了安全傳輸。SSL 的安全服務位于TCP 和應用層之間，可為應用層(如HTTP 、FTP 、SMTP) 提供安全業務，服務對象主要是Web 應用，即客戶瀏覽器和服務器。

23．SSL 服務器認證允許用戶確認服務器身份。SSL 客戶機認證允許服務器確認用戶身份。

24．一個加密的SSL 連接要求所有在客戶機與服務器之間發送的信息由發送方軟件加密和由接受方軟件解密，對稱加密法用于數據如密(如用DES 和RC4 等)，從而連接是保密的。

25．SSL主要工作流程包括：網絡連接建立；與該連接柜關的加密方式和壓縮方式選擇；雙方的身份識別；本次傳輸密鈣的確定；加密的數據傳輸；網絡連接的關閉。

26．SSL是一個兩層協議，包括SSL 握手層協議和SSL 記錄層協議。

27．SSL協議提供的服務可以歸納為如下三個方面：

① 用戶和服務器的合法性認證；

② 加密數據以隱藏被傳送的數據；

③ 維護數據的完整性。

28．SSL 協議自身的缺陷：

① 客戶端假冒；

② SSL 協議無法提供基于四P 應用的安全保護；

③ SSL 協議不能對抗通信流量分析；

④ 可能受到針對基于公鑰加密標準（PKCS) 的協議的自適應選擇密文攻擊；

⑤ 進程中的主密鑰泄漏；

⑥ 磁盤上的臨時文件可能遭受攻擊。

29．SSL 加密算法和會話密鑰是在握手協議中協商并由Cipher-Choice 指定的。現有的SSL 版本中所用到的加密算法包括：RC4、RC2、IDEA、DES 和3DES ，而加密算法所用的密鑰由消息散列函數MD5 產生。

30．SSL 協議中對稱加密用于加密應用數據，非對稱加密用于驗證實體和交換密鑰。非對稱加密算法按用途分為密鑰交換算法和數字簽名算法。

【備考點撥】

了解并理解相關知識點內容。