信息安全复习十:Web与电子商务安全

于 2023-04-27 00:33:56 发布
阅读量646 收藏 2
点赞数
分类专栏: 信息安全 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51184727/article/details/130397023
版权

一、章节梗概

1.信息安全的学科内容
2.Web和电子商务安全问题提出
3.安全套接字协议SSL与传输层安全协议TLS
4.安全电子交易(SET)简要介绍

复习:
密码学内容:对称密钥密码、公开密钥密码、报文鉴别
PKI:数字签名、数字证书、信任关系
身份认证协议:基于口令的身份认证、质询与应答技术、基于可靠第三方的身份认证

在这里插入图片描述
信息安全学科的主要内容如下:
在这里插入图片描述

二、Web与电子商务安全问题提出

关键点:Web&EC定义、威胁有哪些、哪里会有威胁

2.1 Web系统脆弱性讨论

Web是外网可见的
复杂的软件会隐藏漏洞
Web站点容易配置和管理
可被用作跳板发起对内网的攻击
用户没有意识到威胁存在

2.2 Web安全威胁有哪些、在哪里

1.哪里有威胁?

原生的基于Http协议的Web应用面临多种威胁:保密性、完整性、可用性、可认证(半对)

结论:需要安全机制

2.威胁在哪里?
①网络上:网络窃听、报文纂改
②服务端:恶意的钓鱼站点或安全性弱的站点

钓鱼:使用相同的口令
安全性弱的网站B容易泄露用户的口令
获得用户口令后尝试用同样的用户名和口令进入安全性高的网站(BankA)
在这里插入图片描述
③客户端:恶意软件,如Spyware、Trojan Horse等

2.3 电子商务

在Web应用之前
早在1839年,当电报出现,电子商务的讨论如电子资金清算系统(基于金融专线传输)
EFT ( electronic funds transfers ) ,Electronic data interchange (EDI )等
这里主要考虑基于Internet(公众网络)的商务活动

1990年后, Internet及其上商务的发展带来了电子商务新概念
Internet上的 web,是电子商务发展的一个转折点
WEB使得商务活动的成本降低
方便、快捷
多种多样的经济活动

电子商务所存在的安全威胁问题以及电子商务活动里这些安全威胁问题存在在哪些地方?
在这里插入图片描述

3.安全套接字协议SSL与传输层安全协议 TLS

关键点:SSL/TLS协议提供的安全服务、SSL记录协议、SSL握手协议

3.1 SSL/TLS协议提供的安全服务

安全套接字协议SSL ( Secure Socket Layer )协以最初由网景公司开发,有V1.0.V2.0,V3.0三个版本
后来成为Internet标准,名称改为TLS(TransportLayer Security),即传输层安全协议
TLS working group in lETF
TLS第一版V1.0(1999年)可以认为是SSL V3.1

3.2 安全机制在哪一层实现/在不同的网络层实现安全机制有什么区别

1.安全机制在哪一层实现?
答:在网络层、传输层、应用层分别有相应的实现方案
在这里插入图片描述

2.在不同的网络层实现安全机制,有什么区别?
在这里插入图片描述
放到网络设备上去实现有什么好处?
答:保护整个子网里的所有主机

在IP层做安全加固可以在路由器上实现,可以保护整个子网;
在传输层做安全加固只能在主机上实现,保护这台主机里的所有基于TCP的应用;

保护范围不同:应用层做加固,应用层数据本身做了加密;

在传输层做加密的时候,应用层数据本身是明文的没有保密的,交给传输层之后才会做加密,安全的保护;路由器上做了IPSEC加固,报文在校内网传递的时候,它是没有加密的,是明文传递的,只有经过路由器之后才会被加密;

lpsec除了可以在路由器上实现安全加固之外,也可以在主机上做ipsec加固,进行保护

3.3 SSL or TLS 所处的位置

3.4 协议的设计目标

为两个通讯个体之间提供保密性,数据完整性、身份认证
互操作性、可扩展性、相对效率

在这里插入图片描述
在这里插入图片描述

4.SSL记录协议

SSL/TLS的子协议
1.协议分为两层
底层:SSL记录协议
上层:SSL握手协议、SSL密码变化协议、ssl警告协议

2.SSL记录协议
建立在可靠的传输协议(如TCP)之上它提供连接安全性,有两个特点:
1.保密性,使用了对称加密算法
2.完整性,使用MAC算法
用来封装高层的协议

3.SSL握手协议(最复杂
客户和服务器之间相互认证>协商加密算法和密钥
它提供连接安全性,有三个特点:
①身份认证,至少对一方实现认证,也可以是双向认证
②协商得到的共享密钥是安全的,中间人不能够知道
③协商过程是可靠的
在这里插入图片描述

记录协议它的目标就是用来封装上层协议的在封装上层协议的时候对数据做了保密性的保护,对数据做了完整性的保护

SSL记录协议封装

在这里插入图片描述
SSL Record Format
在这里插入图片描述
SSL Record Protocol Payload

在这里插入图片描述

5.SSL握手协议

SSL协议最复杂的部分
在应用数据传输之前最先开始工作

问题1:握手协议使用的加密算法是什么?
答:握手协议我们之前提到了它所使用的加密算法是公开密钥加密算法

SSL握手协议的流程
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、安全电子交易(SET)简要介绍

关键点:SET概述、隐私保护:双重数字签名

6.1 SET概述

在这里插入图片描述

SET服务

在这里插入图片描述
在这里插入图片描述

6.2 隐私保护:双重数字签名

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

付款授权:授权请求、授权响应
付款捕获:捕获请求、捕获响应

liuaa41
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全知识点复习.docx
06-09
清除当前配置 安全保护的对象 网络资源:路由器 交换机 无线设备 服务器资源:Web服务器 邮件服务器 FTP服务器 信息存储资源:政务信息数据库 人力资源数据库 电子商务数据库 财务数据库 常用的安全技术手段 使用复杂...
2010电子商务设计师复习重点整理
10-19
5、 电子商务的概念模型是建立在电子信息技术基础上的商务运作模式一般抽象描述。 6、 VISA与MASTER CARD两大国际信用卡组织共同发起制定了保障在因特网上B to C模式下进行安全电子交易的SET协议。 7、 目前,电子...
第四届全国高校电子商务“三创赛”优秀作品.doc
10-16
"第四届全国高校电子商务“三创赛”优秀作品" 从标题和描述中,我们可以提取出以下知识点: 1. 互联网的发展:社交网络的兴起、Web2.0 的发展对信息交流的影响。 2. 社交网络的应用:社交网络在高校领域的应用、...
浙江计算机三级网络技术复习资料
04-22
1.网络安全技术基本概念:信息安全的基本概念和5个基本要素,计算机系统的安全等级,网络安全的念及策略; 2.网络管理:网络故障管理,网络配置管理,网络性能管理,网络安全管理和网络计费管理,管理协议; 3....
2018年4月自考互联网软件应用与开发串讲复习(1)-自考串讲笔记.docx
12-07
本节课主要介绍了互联网软件应用与开发的知识点,涵盖了项目规划、电子商务模型、信息出版模型、项目规划、界标、风格漂移等重要概念。 第一章:调度 调度是互联网软件应用与开发过程中的一种活动,对人员、资源、...
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
06-15
患者发生输液反应的应急预案及护理流程(医院护理资料).docx
chromedriver-win64_121.0.6105.0.zip
06-15
chromedriver-win64_121.0.6105.0.zip
chromedriver-win64_120.0.6099.35.zip
06-15
chromedriver-win64_120.0.6099.35.zip
php+sql成绩查询系统(系统+论文+答辩PPT).zip
06-15
php+sql成绩查询系统(系统+论文+答辩PPT).zip
这是一个使用java开发的简单帝国古典象棋游戏.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
医院骨科资料:关节镜患者健康教育.docx
06-15
医院骨科资料:关节镜患者健康教育.docx
chromedriver-win64_121.0.6139.0.zip
最新发布
06-15
chromedriver-win64_121.0.6139.0.zip
Java Swing实现的生命游戏.zip
06-15
该资源内项目源码是个人的课程设计、毕业设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 该资源内项目源码是个人的课程设计,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! ## 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。
html匀速轮播案例js代码
06-15
js代码
用C语言开发的基于文件存储的图书馆管理系统.zip
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操作 C语言中通过文件操作函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操作。文件操作函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操作。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
(基于C语言版的YoloV3-tiny的口罩检测包含口罩VOC数据集).zip
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操作 C语言中通过文件操作函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操作。文件操作函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操作。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
chromedriver-win64_117.0.5857.0.zip
06-15
chromedriver-win64_117.0.5857.0.zip
HPC集群性能测试工具-Clusbench-2.0.git845e7c8.x86-64.run
06-15
Clusbench 是曙光开发的HPC性能测试工具,目前Clusbench支持主流X86平台(如Intel,AMD,Hygon)linpack基准测试、内存stream测试、dgemm测试、hpcg测试、IB带宽和聚合通信(alltoall)测试,且支持批量单机测试和整体(联机)测试。 自1.5版本起,Clusbench内置了测试需要的MPI并行库、运行时依赖,以及针对各个平台优化的linpack、stream、dgemm、hpcg、alltoall等程序,无需依赖于外部软件包即可完成测试。 当前最新版本为Clusbench-2.0,支持CentOS7.x/8.x、RedHat7.x/8.x、NFS3.x/4.x系统。
html网页制作案例分享
06-15
HTML个人简介网页案例简介 目的: 向初学者展示如何使用HTML语言创建一个基本的网页,用于展示个人信息。 案例内容: 一个HTML文档,包含以下部分: <!DOCTYPE html>:文档类型声明,标识HTML5文档。 <html>:根元素,包含整个网页内容。 <head>:包含文档的元数据,如字符集声明和文档标题。 <body>:包含网页的主体内容,用户可以直接看到的部分。 标题(<h1> 和 <h2>):用于展示网页的主要标题和子标题。 段落(<p>):包含文本段落。 无序列表(<ul> 和 <li>):列出个人信息,如姓名、年龄和职业。 关键点: HTML的基本结构和语法。 如何使用不同的HTML标签来组织内容。 文档的标题和元数据的重要性。 技术实现: 使用文本编辑器创建一个新的HTML文件。 编写HTML代码,包括文档声明、结构和内容。 保存文件,并使用浏览器打开以查看效果。 学习目标: 理解HTML文档的基本构成。 学习如何使用HTML标签来创建和格式化网页内容。 掌握基本的网页制作技能。
信息安全技术与应用怎么复习
06-11
复习信息安全技术与应用需要掌握以下几个方面: 1. 网络安全基础知识:了解网络协议、攻击手段、安全威胁、网络拓扑结构、安全策略等基础知识。 2. 加密技术:掌握对称加密和非对称加密的原理及应用,了解数字签名、证书、密钥管理等相关知识。 3. 认证和访问控制:掌握身份认证、访问控制、授权管理等相关知识,了解安全认证协议、安全传输协议等相关知识。 4. 安全管理和风险评估:掌握安全管理和风险评估的基本概念和方法,了解安全管理规范、安全审计等相关知识。 5. 应用安全:了解常见的应用安全漏洞和攻击手段,掌握应用安全的测试和评估方法。 在复习过程中,可以参考相关的教材、论文或者在线课程,进行系统化的学习和练习,同时也可以通过实验和模拟演练来加深对知识的理解和掌握。同时,多参加安全社区和活动,与同行交流和分享经验也是提高技能的有效途径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值