电子商务安全实践「电子商务安全课程｜|不完整课堂笔记｜学习」

今天给大家普及一下电子商务安全实践「电子商务安全课程｜|不完整课堂笔记｜学习」相关知识，最近很多在问电子商务安全实践「电子商务安全课程｜|不完整课堂笔记｜学习」，希望能帮助到您。

数字摘要

完整性

通过单向散列函数（Hash）

缺点：身份假冒

特征：相同的信息

不可否认性：数字签名（大量数据）（公开密钥），用私钥加密（签名过程）用公钥打开是验证过程。

机密性：对称密钥，数字信封

将自己的公钥告诉别人：

身份认证：口令（账户攻击：各个网站相同密码）、标记（智能卡：电脑芯片）、网站证书、密钥或人的生物特征参数如指纹、声纹、视网膜纹等。

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。（电子文件，保存在u盘）

包含主体身份信息和合法公钥、认证机构（CA）的数字签名

类型：个人证书（网银盾）

服务器证书/站点证书（服务器身份和公钥）

安全电子邮件证书

代码数字证书（软件开发者身份）

数字认证中心的作用：

申请 查询 更新 作废 归档

行业：中国金融认证中心

广东省

商业：面向各行业

遵循X.509标准

包含：版本号、证书序列号（同一CA发行有唯一序列号）、发放者（X.500名称）、有效期、主体、主体公钥信息、颁发机构签名信息

根证书

CRL

CA：证书全生命周期管理

PKI公钥基础设施（身份认证平台：证书）

严格层次信任模型（认证路径）

网状信任模型

桥接信任模型

CA是KPI核心管理机构

数字证书是KPI核心产品

标准：基本协议标准和应用协议标准

WPKI无线公钥基础设施

PKI体系构成：政策批准机构；策略证书机构；认证机构；注册机构；验证机构；目录服务

主要功能：密钥管理；签名与验证；证书的获取；验证证书；保存证书；本地证书的获取；证书撤销的申请；密钥更新；获取CRL

SSL/TLS协议

SSL：安全套接层协议，最早用于www通讯安全。主要任务是提供私密性（记录，信息（记录）完整性和身份认证（握手。

TLS：安全传输层协议。保密性，数据完整性，身份认证。不依赖任何平台。

位于（4层）TCP/IP协议与各种应用层协议之间。

应用层

SSL

TCP/IP

http SSL=https（加密）

SSL采用对称密钥技术和公开密钥技术，数字签名，数字证书等手段。

私密性

完整性：hash算法

认证性：数字证书

子协议：

TLS记录协议：机密性，消息完整性。为高层协议提供安全服务。

握手协议层：包括握手协议（身份认证，算法协商，密钥生成）、更改密钥规范协议和警告协议

TLS协议无需客户端专门软件。开发成本小，但并不是完全安全的。

应用在银行

SET协议：安全电子交易协议（安全但麻烦，现在较少用）

主要目标：银行卡安全支付问题

机密性：安全传输

保护隐私

完整性（hash）

多方认证

标准性：各方需安装专门软件，制定严格的标准。

参与方：用户 商家 支付网关 收单 CA

双重数字签名（两次HASH）实现保护用户隐私。

自身缺陷：复杂性和认证机制决定完全采用SET实施的应用系统廖廖无几，对其他安全协议不兼容，效率低。

比较：

用户接口TLS更方便

处理速度TLS更快

认证要求SET更高

安全性SET更高

协议层次和功能TLS（传输）传输层之上应用层之下，用户透明，不具备商务性，协调性和集成性；SET（卡支付）位于应用层。

新型电子商务安全

移动电商安全

RFID无线射频识别技术（ETC）

因特网、移动通信技术、短距离通信技术（NFC）

无线网络自身安全问题：窃听，假冒身份，信息篡改，重传攻击

移动设备的不安全

病毒

平台运营

法律制度不完善

策略：

端到端的安全

无线公共密钥技术

加强身份认证和移动设备识别管理

病毒防护技术

规范移动电子商务管理

完善相关法律

1G（第一代） 1980

5G需求与挑战

增强移动宽带（挑战：更高的安全处理性能，外部网络二次认证，已知漏洞的修补）

低功耗大连接（IOT物联网）（轻量化安全，群组认证，抗DDos攻击）

低时延高可靠（低时延安全算法协议，边缘计算安全架构，隐私数据保护）

对网络切片严格隔离

无线局域网安全技术

MAC地址过滤技术

SSID匹配技术

WEP安全机制

IEEE

WAP

无线通信

云计算（虚拟化）-虚拟机逃逸

云的基本知识：

5个基本特征（自助服务，资源池化，快速弹性，网络访问，计费服务）

3种服务模式（软件即服务Saas，平台即服务Paas，基础设施即服务IaaS）

4种部属模型（公有云，私有云，社区云，混合云）

数据安全-

存储数据安全（服务商非授权访问；恶意租户或黑客非法使用）

剩余数据安全（退租处理）

传输数据安全（窃取，篡改，80%云安全问题发生原因）

信息内容安全-规范管理和监督

物联网安全

最基本的层：感知层（识别层），关键组件为传感器

第二层：网络层

第三层：支撑层（云计算，人工智能）

最顶层和终端层：应用层（智能电网，智能家居）

大数据安全

4V

安全：大数据存储

传输

可信计算问题（数据来源可信度分析：确保来源真实可靠；数据分析结果的可信度分析）

用户隐私保护（技术：数据脱敏：对某些敏感信息通过脱敏规则进行数据变形，包括K匿名，L多样性，数据抑制，数据扰动，差分隐私），安全性和可用性的平衡。

区块链

特点：

去中心化（无需通过第三方中心机构）

不可篡改（哈希函数，非对称加密）

可追溯（包含上一个区块的hash值，可运用于商品）

C/S

B/S

P2P 点对点分布式共享技术

核心技术：

Ad hoc（智能家居）分布式共享技术

哈希算法

时间戳（标明数据写入的具体时间，一条链中的区块按时间顺序相连）

非对称加密

共识机制（所有节点对数据共同）

智能合约（预设了触发条件的条款合约）

架构

应用层：可编程货币 可编程金融 可编程社会

合约层：脚本代码 智能合约 算法机制

激励层：鼓励节点参与区块链的安全验证工作，如比特币

共识层

网络层

数据层

BaaS “区块链即服务”，一套完整的解决方案包括设备接入、访问控制、服务监控和区块链平台四个主要环节。