安全导论

116、不可否认业务类型：源的不可否认性、递送的不可否认性、提交的不可否认性 源的不可否认性是为保护收信人，提供证据解决下述可能的纠纷：（1）接收者宣称曾收到一个消息，但是被认定的发信者声称未发过任何消息（2）接收者宣称所收到的消息不同于发信者所说的曾送的消息（3）接收者宣称在特定日期和特定时间接收到某个特定发信者所发的信息，但被认定的发信者宣称在那个特定日期和时间未曾发过那个特定消息 递送的不可否认性是为了保护发信人，解决下述纠纷：（1）发信人宣称曾发送了一个消息，但被认定的收信人宣称未收到过该消息（2）发信人宣称曾发送了一个消息，但和收信人宣称所收到的消息不一样（3）发信人宣称在某特定日期和特定时间曾发过一个特定消息，单被认定的收信人宣称在该特定日期和特定时间未曾收到过那个特定消息 提交的不可否认性用于保护发信人，解决下述可能的纠纷：（1）发信人宣称曾发过一个消息，单被认定的收信人宣称不仅未收到该消息，而且发信人就不曾发过该消息（2）发信人宣称在特定日期和时刻曾发过一个特定消息，但被认定的收信人宣称在该日期和该时刻发信人未曾送过该消息

117、实现源的不可否认业务的方法：（1）源的数字签字；（2）可信赖第三方的数字签字；（3）可信赖第三方对消息的杂凑值进行签字；（4）可信赖第三方的持证；（5）线内可信赖第三方；（6）组合

118、实现递送的不可否认性的方法：（1）收信人签字认可（2）收信人利用持证认可（3）可信赖递送代理（4）逐级递送报告

119、可信赖第三方在实现不可否认业务中起重要作用，他的公正性、独立性、可靠性和为所有成员所接受是实现安全电子商务的保证 120、仲裁活动：（1）收取认可证据，以建立某人对一个文件的认可和对文件签字的真实性（2）进行证实，确定文件的真实性（3）作证或公布签字（4）证实或公布文件复本（5）做出声明，裁定协议书或契约的合法性 121、解决纠纷的步骤：（1）检索不可否认证据（2）向对方出示证据（3）向解决纠纷的仲裁人出示证据（4）裁决

122、SSL是由Netscape开发的协议，可以插入到Internet应用协议中，成为运行于InternetTCP/IP网络层协议之上的一个全新应用协议层，可用于保护正常运行于TCP上的任何应用协议

123、SSL依靠证书来验证通信双方的身份。例如当浏览器和服务器开始SSL会话时，服务器送给浏览器来证实服务器的身份。如果服务器要求客户认证，则浏览器也要将它的证书送给服务器来证实浏览器的身份。在验证证书时，浏览器和服务器都检查证书，看它是否由它们所信任的CA发行。如果CA是可信任的，则证书被接受。

124、SSL保证了Internet上浏览器/服务器会话中三大安全中心内容：机密性、完整性、认证性

125、SSL体系结构：记录协议（定义了信息交换中所有数据项的格式）握手协议（用于客户—服务器之间相互认证，协商加密和MAC算法，传送所需的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。

126、SSL握手协议的四个主要步骤：客户机Hello;服务器Hello；加密解密数据；HTTP数据流

127、对SSL提供支持的服务器和浏览器：(1)Netscape Communicator(2)Microsoft Internet Explorer(3) Microsoft IIS(4)Lotus Domino Server(5) Lotus Notes Server(6)Apache(7)Open Marhet

130、SET是一种以信用卡为基础的、在Internet上交易的付款协议，是授权业务信息传输的安全标准，它采用RSA密码算法，利用公钥体系对通信双方进行认证，用DES等标准加密算法对信息加密传输，并用散列函数算法来鉴别信息的完整性。 131、SET的技术范围：（1）加密算法的应用（2）证书信息和对象格式（3）购买信息和对象格式（4）认可信息和对象格式（5）划账信息和对象格式（6）对话实体之间消息的传输协议

132、基于SET协议电子商务系统的业务过程可分为注册登记申请数字证书、动态认证和商业机构的处理

133、SET证工作步骤：（1）持卡人单击“购买”按钮（2）商业机构从应用程序接口收到购买申请（3）通过电子收银把有关信息发送给商业机构（4）商业机构给持卡人传送相关信息（5）购买者打开电子钱包（6）电子钱包通过密码与电子收银联系（7）电子收银通过密码向电子钱包发送回执（8）电子钱包向电子收银发送付款信息（9）电子收银发送认证要求给支付网关（10）支付网关发送认证回执给电子收银（11）电子收银发送支付回执给电子钱包（12）电子钱包告诉持卡人支付和购买成功 134、SET协议的安全技术：（1）通过加密方式确保信息机密性（2）通过数字化签名确保数据的完整性（3）通过数字化签名和商家认证确保交易各方身份的真实性（4）通过特殊的协议和消息形式确保动态交互式系统的可操作性

135、支付网关是Internet电子商务网络上的一个站点，负责接收来自商店服务器。送来的SET付款数据，再转换成银行网络的格式，传送给收单银行处理 136、SET实际操作的全过程：（1）买卖双方的准备工作（2）网络注册登记过程（3）信用卡及电子证书SET ID的申请过程（4）电子证书SET ID的申请案例（5）SET购物过程 137、SET购物过程（1）持卡人订货（2）通过电子商务服务器与有关在线商店联系，在线商店作出应答，告诉消费者所填写的订货单的货物单价、应付款数、交货方式等信息是否正确，是否有变化（3）持卡人选择付款方式，确认订单，签发付款指令，此时SET介入；这时“电子钱包”软件自动打开；在SET中，消费者必须对订单和付款指令进行数字签名，同时利用双重签名技术以保证商家看不到消费者的账号信息；并将信用卡信息以及订单信息分别加密传送给商店B（4）商店B通过收单银行检查信用卡的有效性（5）收单银行的确认（6）在线商店发送订单确认信息给持卡人，持卡人端的软件可以记录交易日志，以备将来查询（7）结账 138、

SET SSL

使用目的和场合 主要用于信用卡交易，传送电子现金 主要用于购买信息的交流：传送 电子商贸信息

安全性 要求很高：整个交易过程中都要保护 要求很低：因为保护范围只是持

卡人到商家一端的信息交换

必须具有认证资 安全需求高，因此所有参与者与SET 通常只是商家一端的服务器；而 格对象 交易的成员都必须先申请数字证书来 客户端认证是可选的

别身份

实施时所需的设 较高：持卡人必须先申请数字证书， 较低：不需要另外安装软件 置费用 然后在计算机上安装符合SET规格 的电子钱包软件

当前使用情况 由于SET的设置成本较SSL高许多 目前SSL的普及率较高 和引入国内的时间段，目前普及率较 低

139、中国金融认证中心CFCA是由中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构

140、中国金融认证中心的建立是我国电子商务走向成熟的重要里程碑，尤其是对我国网上银行、电子商务的深入发展起着巨大的推动作用

141、CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，（1）根CA（2）政策CA（3）运营CA

142、目前CFCA业务领域已延伸至银行、证券、税务、保险、企业集团、政府机构、电子商务平台等金融和非金融行业 143、CFCA典型应用：（1）网上银行（2）网上证券（3）网上申报与缴税（4）网上企业购销（5）安全移动商务（6）企业级VPN部署（7）基于数字签名的安全E-mail、安全文档管理系统（8）基于数字签名的TruePass系统（9）CFCA时间戳服务

144、中国电信CA安全认证系统（CTCA）于2000年5月12日正式向社会发放CA证书，并向社会免费公布CTCA安全认证系统的接口标准

145、中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成

146、CTCA目前主要提供如下几种证书：安全电子邮件证书（密钥位长为512位）个人数字证书（密钥位长为1024位）、企业数字证书、服务器证书、SSL服务器证书（密钥位长为512位或1024位）

147、上海市电子商务安全证书管理证书SHECA 148、SHECA提供了两种证书系统：（1）SET证书系统（2）通用证书系统 149、证书相关技术标准：对称加密算法；128位 非对称加密算法；1024位 150、SHECA证书管理器主要有如下操作：（1）个人证书的操作（2）对他人证书的操作（3）对根证书的操作

151、CFCA金融认证服务相关业务规则按电子商务中的较色不同可划分为网管业务规则、商户业务规则、持卡人业务规则和中介机构业务规则

152、网管业务规则根据其使用的证书以及在网上交易是否遵循SETCo标准分为SET标准支付网关业务规则和Non-SET标准银行业务规则

153、商户业务规则根据其使用的证书以及在网上交易是否遵循SETCo标准分为SET标准商户业务规则和Non-SET标准业务规则