电子商务安全与支付Word格式.docx
《电子商务安全与支付Word格式.docx》由会员分享,可在线阅读,更多相关《电子商务安全与支付Word格式.docx(8页珍藏版)》请在冰点文库上搜索。
MD4,MD5散列函数:
1990年,Rivest提出了散列函数MD4(MessageDigest),MD4输入任意长度消息,输出128比特消息摘要,它是一个强无碰撞散列函数。
1992年Rivest提出改进算法MD5,它比MD4复杂,但思想类似。
输入:
任意长度的消息
输出:
128位消息摘要
处理:
以512位输入数据块为单位
SASA算法
防火墙--p84
VPN--p85
访问控制--p94
利用SSL登录XX
病毒分类
1.按照计算机病毒的危害程度分类:
良性病毒、恶性病毒
2.按照传染方式分类:
引导型病毒、文件型病毒、宏病毒
3.按照计算机病毒的寄生方式分类:
源码型病毒、嵌入型病毒、外壳型病毒
4.其他一些分类方式:
按照攻击的操作系统可分为:
攻击DOS操作系统的、攻击Windows系统的、攻击UNIX系统的、攻击OS/2系统的病毒。
按照计算机病毒激活的时间可分为:
定时发作的病毒和不由时钟来激活的随机病毒。
按照传播媒介可分为:
以磁盘为载体的单机病毒和以网络为载体的网络病毒。
按攻击的机型还可将病毒分为:
攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒。
Key-brose密钥分配方法;
其他密钥分配方法
大题:
对称/非对称加密
对称加密体制中,加密密钥与解密密钥相同。
非对称加密体制中,加密过程与解密过程不同,当算法公开时,在计算上不可能由加密密钥求得解密秘钥。
换位密码
数字签名,数字证书,数字信封
数字签名(digitalsignature),也称电子签名,就是对电子文档利用电子手段进行签名,电子签名必须至少具备手写签名的两个性质,即可验证性与不可伪造性.。
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档。
它由权威公正的第三方机构,即CA中心签发,类似于现实生活中的身份证。
数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术。
电子现金,电子钱包
电子现金是一种以数字形式流通的货币。
它把现金数值转换成为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值。
用户在开展电子现金业务的银行开设账户,并在账户内存钱后就可以在接受电子现金的商店购物。
电子钱包(E-wallet)是一个顾客用来进行安全网络交易和储存交易记录的特殊计算机软件或硬件设备。
电子钱包的功能和实际钱包一样,可存放信用卡信息、电子现金、钱包所有者身份证、地址及其他信息。
如何实现双重签名?
双重签名:
就是消息发送方对发给不同接受方的两条信息报文分别进行HASH运算,得到各自的消息摘要,然后将这两条数字摘要连接起来,再进行HASH运算,生成新的数字摘要,即双重数字摘要,最后用发送方的私钥对新的双重数字摘要加密,得到一个基于两条数字摘要基础上的数字签名。
发送方:
双重签名+一条信息报文(密文)+另外一条信息的摘要
接受方:
HASH((HASH(信息报文)+另一消息摘要))->
双重摘要MD’
解密双重签名->
双重摘要MD
比较MD和MD’
什么是报文,消息认证?
报文认证指通信双方之间建立联系后,每个通信者对收到的消息进行验证,以保证所收到的信息是真实的过程。
网络安全模型,PDI
PKI是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。
PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务,包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。
加密技术和认证技术是PKI的基础技术,PKI的核心机构是认证中心,数字证书是PKI最关键的产品和服务。
网络扫描(3模块扫描,攻击,复制,FIN扫描是什么?
SYN洪水,泪滴,dos攻击是什么?
(1)地址扫描
地址扫描就是判断某个IP地址上有无活动主机,以及某台主机是否在线。
(2)端口扫描
入侵者知道了被攻击主机的地址后,还需要知道通信程序的端口号;
只要扫描到相应的端口被打开着,就知道目标主机上运行着什么服务,以便采取针对这些服务的攻击手段。
(3)漏洞扫描
漏洞是系统所存在的安全缺陷或薄弱环节。
入侵者通过扫描可以发现可以利用的漏洞,并进一步通过漏洞收集有用信息或直接对系统实施威胁。
FIN扫描
FIN是中断连接的数据报文。
很多日志不记录这类报文。
“TCPFIN扫描”的原理是向目标端口发送FIN报文,如果收到了RST的回复,表明该端口没有开放;
反之(没有回复),该端口是开放的,因为打开的端口往往忽略对FIN的回复。
这种方法还可以用来区别操作系统是Windows,还是Unix。
“泪滴”也称为分片攻击。
这是一个利用TCP/IP的缺陷进行拒绝服务攻击的典型。
“泪滴”攻击就是入侵者伪造数据报文,向目标机发送含有重叠偏移的畸形数据分片。
如图所示。
当这样的畸形分片传送到目的主机后,在堆栈中重组时,就会导致重组出错,引起协议栈的崩溃。
SYN洪水——p156
DoS(DenialofService)
定义:
通过某些手段使得目标系统或者网络不能提供正常的服务,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃
蠕虫病毒基本模块有哪些?
如何传播?
一个蠕虫程序的基本功能包括传播模块、隐藏模块和目的模块三部分。
(1)传播模块
传播模块由扫描模块、攻击模块和复制模块组成。
扫描模块负责探测存在漏洞的主机。
当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就会得到一个可传播的对象。
攻击模块按照漏洞攻击步骤自动攻击已经找到的攻击对象,获得对整个系统的控制权。
复制模块通过原主机和新主机的交互,将蠕虫程序复制到新主机并启动,实际上是一个文件传输过程。
(2)隐藏模块:
侵入主机后,隐藏蠕虫程序,防止被用户发现。
(3)目的模块:
实现对计算机的控制、监视或破坏等功能。
蠕虫程序的一般传播过程为:
(1)扫描:
由蠕虫的扫描功能模块负责探测存在漏洞的主机。
当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
(2)攻击:
攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
(3)复制:
复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
木马如何传播?
如何伪装自己?
木马的传播都是先进行伪装或改头换面(如利用exe文件绑定将木马捆绑在小游戏上,或将木马的图标直接改为html,txt,jpg等文件的图标),然后进行传播。
(1)手工放置:
手工放置比较简单,是最常见的做法。
手工放置分本地放置和远程放置两种。
本地安装就是直接在计算机上进行安装。
远程安装就是通过常规攻击手段使获得目标主机的上传权限后,将木马上传到目标计算机上,然后通过其他方法使木马程序运行起来。
(2)以邮件附件的形式传播:
控制端将木马改头换面后,然后将木马程序添加到附件中,发送给收件人。
(3)通过OICQ对话,利用文件传送功能发送伪装了的木马程序。
(4)将木马程序捆绑在软件安装程序上,通过提供软件下载的网站(Web/FTP/BBS)传播。
(5)通过病毒或蠕虫程序传播。
(6)通过磁盘或光盘传播。
木马的隐藏与欺骗技术
(1)进程隐蔽
服务器端想要隐藏木马,可以伪隐藏,也可以是真隐藏。
伪隐藏,就是指程序的进程仍然存在,只不过是让它消失在进程列表里。
真隐藏则是让程序彻底的消失,不以一个进程或者服务的方式工作。
(2)伪装成图像文件
即将木马图标修改成图像文件图标。
(3)伪装成应用程序扩展组件
将木马程序写成任何类型的文件(如dll,ocx等),然后挂在十分出名的软件中。
因为人们一般不怀疑这些软件。
(4)错觉欺骗
利用人的错觉,例如故意混淆文件名中的1(数字)与l(L的小写)、0(数字)与o(字母)或O(字母)。
(5)合并程序欺骗
合并程序就是将两个或多个可执行文件结合为一个文件,使这些可执行文件能同时执行。
木马的合并欺骗就是以合并程序的方式将木马绑定到应用程序中。
SET和SSL协议各自优缺点?
SSL协议用到了对称密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段。
目前几乎所有操作平台上的Web浏览器(IE、Netscape)以及流行的Web服务器(IIS、NetscapeEnterpriseServer等)都支持SSL协议。
该协议既便宜,开发成本也很小,应用简单(无需客户端专门软件)极广。
SET
优点:
(1)SET对商家提供了保护自己的手段,使商务免受欺诈的困扰,使商家的运营成本降低。
(2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取。
(3)SET使得信用卡网上支付具有更低的欺骗概率,使得它比其他支付方式具有更大的竞争力。
(4)SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。
缺点:
SET协议过于复杂,对商户、用户和银行的要求比较高;
处理速度慢,支持SET的系统费用较大。
SSL协议底层如何实现?
服务器自份必须验证,客户端身份可选?
电子现金支付方案e-cash,sab-cash方案及sab-cash如何实现?