当前位置：首页 > news >正文

信息安全复习十：Web与电子商务安全

news 2025/11/4 21:30:07

一、章节梗概

1.信息安全的学科内容
2.Web和电子商务安全问题提出
3.安全套接字协议SSL与传输层安全协议TLS
4.安全电子交易(SET)简要介绍

复习：
密码学内容：对称密钥密码、公开密钥密码、报文鉴别
PKI：数字签名、数字证书、信任关系
身份认证协议：基于口令的身份认证、质询与应答技术、基于可靠第三方的身份认证

在这里插入图片描述
信息安全学科的主要内容如下：

二、Web与电子商务安全问题提出

关键点：Web&EC定义、威胁有哪些、哪里会有威胁

2.1 Web系统脆弱性讨论

Web是外网可见的
复杂的软件会隐藏漏洞
Web站点容易配置和管理
可被用作跳板发起对内网的攻击
用户没有意识到威胁存在

2.2 Web安全威胁有哪些、在哪里

1.哪里有威胁？

原生的基于Http协议的Web应用面临多种威胁：保密性、完整性、可用性、可认证（半对）

结论：需要安全机制

2.威胁在哪里？
①网络上：网络窃听、报文纂改
②服务端：恶意的钓鱼站点或安全性弱的站点

钓鱼：使用相同的口令
安全性弱的网站B容易泄露用户的口令
获得用户口令后尝试用同样的用户名和口令进入安全性高的网站（BankA）
在这里插入图片描述
③客户端：恶意软件，如Spyware、Trojan Horse等

2.3 电子商务

在Web应用之前
早在1839年，当电报出现，电子商务的讨论如电子资金清算系统（基于金融专线传输)
EFT ( electronic funds transfers ) ,Electronic data interchange (EDI )等
这里主要考虑基于Internet(公众网络)的商务活动

1990年后， Internet及其上商务的发展带来了电子商务新概念
Internet上的 web，是电子商务发展的一个转折点
WEB使得商务活动的成本降低
方便、快捷
多种多样的经济活动

电子商务所存在的安全威胁问题以及电子商务活动里这些安全威胁问题存在在哪些地方?
在这里插入图片描述

3.安全套接字协议SSL与传输层安全协议 TLS

关键点：SSL/TLS协议提供的安全服务、SSL记录协议、SSL握手协议

3.1 SSL/TLS协议提供的安全服务

安全套接字协议SSL ( Secure Socket Layer )协以最初由网景公司开发，有V1.0.V2.0,V3.0三个版本
后来成为Internet标准，名称改为TLS(TransportLayer Security)，即传输层安全协议
TLS working group in lETF
TLS第一版V1.0(1999年)可以认为是SSL V3.1