新興電子商務——安全體系與電子認證技術

從安全的角度分析，新興電子商務與傳統電子商務相比，呈現出一些特點： 以電子零售的規模化為突破，新模式不斷湧現；與新興信息技術結合，需求創新；電子認證技術使一切皆有可能；以經濟利益為驅動，適度安全。本書圍繞新興電子商務中的安全問題，從新興電子商務安全體系的要素出發，即安全標準體系、政策法規體系、基礎安全、系統級安全以及套用級安全等角度，展現新興電子商務安全體系中的身份認證技術、交易安全、信用保障技術、密碼技術、安全方案系統建模與仿真技術、相關安全標準以及電子認證服務商業交易證書策略等方面的研究成果。研究內容以當前新興電子商務中的突出安全問題為基礎，從電子商務的安全需求入手，重點研究密碼技術和電子認證技術在電子商務中的套用方法、模式、關鍵技術等問題，旨在為學界和業界提供電子商務安全解決方案、安全技術以及驗證方法與理論。

本書主要面向高校和科研單位的碩士生、博士生和相關學者，對政府管理、企業套用和研發人員也具參考價值。

第1章引言

1.1新興電子商務的特點

1.2新興電子商務的安全需求

1.3新興電子商務的安全體系要素

1.4章節說明

第2章電子商務中的身份認證

2.1為什麼需要身份認證

2.2現有的身份認證技術

2.2.1你是誰

2.2.2你知道什麼

2.2.3你擁有什麼

2.3電子認證對電子商務的支持

2.3.1電子認證技術

2.3.2電子認證技術的法律環境

2.3.3電子認證技術發展的幾個階段

第3章電子商務中的交易安全

3.1電子商務中的終端安全

3.1.1主機/IE安全

3.1.2移動終端安全

3.1.3銀行卡安全

3.1.4其他支付卡安全

3.2電子商務中的過程安全

3.2.1常見的電子商務交易形式

3.2.2安全套接層（SSL）協定

3.2.3安全電子交易（SET）協定

3.3電子商務中的數據存儲安全

3.3.1用戶本地存儲安全

3.3.2服務端存儲安全

3.3.3密鑰數據安全

3.4基於RFID的物流數據安全

3.4.1基於RFID的丟失貨物檢測方案

3.4.2基於RFID的組證據問題

第4章電子商務中的信用保障技術

4.1電子商務中的信任發展

4.1.1電子商務中的支付模式和信任關係

4.1.2電子商務中的信用保障需求

4.1.3樸素的證書分類與分級

4.1.4電子商務對證書策略的需求

4.2證書策略與認證業務聲明

4.2.1證書策略的定義

4.2.2證書策略的基本構成

4.2.3證書策略需要認證業務聲明的支持

4.2.4證書策略和認證業務聲明的關係

4.3證書策略保障和CA認定

4.3.1CA認定的概念和方法

4.3.2典型的CA認定方案

4.4如何規劃證書策略體系

4.4.1影響證書策略的要素

4.4.2證書策略體系的一般設計方法

4.5商業交易證書策略體系

4.5.1商業交易證書策略體系概要

4.5.2證書策略與電子商務安全需求

4.5.3選取核心安全因素

4.5.4證書策略體系分級要點

第5章電子商務中的信息安全能力

5.1電子商務中的信息安全能力需求

5.2密碼算法實現技術的發展

5.2.1密碼算法的標準與實現

5.2.2密碼算法的硬體實現與新興技術

5.2.3密碼算法的硬體實現與軟體實現

5.3密碼算法硬體實現的基礎

5.3.1FPGA技術

5.3.2密碼算法硬體實現的評價指標

5.4國產密碼算法的硬體實現和最佳化

5.4.1SM3算法的硬體實現和最佳化

5.4.2SM4算法的硬體實現和最佳化

5.4.3ZUC算法的硬體實現和最佳化

第6章電子商務中安全方案的仿真與系統建模技術

6.1電子商務與密碼套用技術方案的驗證

6.2商用密碼套用技術方案的仿真驗證系統

6.2.1仿真驗證系統概述

6.2.2仿真驗證系統的組成

6.2.3密碼套用場景仿真

6.2.4密碼性能參數庫

6.2.5套用方案流程仿真

6.2.6仿真技術

第7章電子商務中的安全標準

7.1電子商務中的安全標準概述

7.2電子認證標準體系

7.2.1電子認證標準體系概況

7.2.2PKI組件最小互操作

7.2.3PKI互操作評估標準

7.2.4證書代理驗證

7.2.5電子檔案的簽名加密

7.3商用密碼標準體系

第8章電子認證服務商業交易證書策略

8.1導言

8.1.1概要

8.1.2文檔名稱和標識

8.1.3電子認證活動的參與方

8.1.4證書的使用

8.1.5策略管理

8.1.6定義和縮寫

8.2信息發布和證書資料庫職責

8.2.1證書資料庫

8.2.2證書信息的發布

8.2.3發布信息的時間或頻率

8.2.4證書資料庫的訪問控制

8.3身份標識與鑑別

8.3.1命名

8.3.2初始申請證書的身份鑑別

8.3.3密鑰更新請求的身份鑑別

8.3.4證書撤銷請求的身份鑑別

8.4證書生命周期的操作要求

8.4.1證書申請

8.4.2證書申請的處理

8.4.3證書籤發

8.4.4證書接受

8.4.5密鑰對和證書的使用

8.4.6證書更新

8.4.7證書密鑰更換

8.4.8證書變更

8.4.9證書撤銷與掛起

8.4.10證書狀態服務

8.4.11訂購的終止

8.4.12密鑰託管和恢復

8.5設施、管理和運作控制

8.5.1物理安全控制

8.5.2流程控制

8.5.3人員控制

8.5.4審計日誌的處理流程

8.5.5記錄歸檔

8.5.6電子認證服務機構密鑰的更替

8.5.7事故和災難恢復

8.5.8電子認證服務的終止

8.6技術安全控制

8.6.1密鑰對的生成和安裝

8.6.2私鑰保護和密碼模組的工程控制

8.6.3密鑰對管理的其他方面

8.6.4激活數據

8.6.5計算機的安全控制

8.6.6電子認證服務系統生命周期的技術控制

8.6.7網路的安全控制

8.6.8時間標記

8.7證書、證書撤銷列表和線上證書狀態協定

8.7.1證書

8.7.2證書撤銷列表

8.7.3OCSP服務

8.8合規性審計和相關評估

8.8.1評估的頻率和情況

8.8.2評估者的身份/資質

8.8.3評估者與被評估者的關係

8.8.4評估內容

8.8.5對不足採取的措施

8.8.6評估結果的傳達

8.9其他商業和法律事宜

8.9.1費用

8.9.2財務責任

8.9.3業務信息保密

8.9.4個人隱私保護

8.9.5智慧財產權

8.9.6陳述與擔保

8.9.7免責聲明

8.9.8有限責任

8.9.9賠償

8.9.10有效期限和終止

8.9.11對各參與者的個別通告與溝通

8.9.12修訂

8.9.13爭議處理

8.9.14管轄法律

8.9.15與適用法律的符合性

8.9.16雜項條款

8.9.17其他條款

參考文獻

索引

Emerging EBusiness——Security Architecture and Certification Techniques

Contents

Contents

1Introduction

1.1Features of Emerging ECommerce

1.2Security Requirements for Emerging ECommerce

1.3Elements of Emerging ECommerce Security Architecture

1.4Chapter Arrangement

2Identity Authentication in ECommerce

2.1Purpose of Identity Authentication

2.2Identity Authentication Technologies

2.2.1Something You Are

2.2.2Something You Know

2.2.3Something You Have

2.3Support from Electronic Certification to ECommerce

2.3.1Electronic Certification Technology

2.3.2CertificationRelated Legal Environment of

ECommerce

2.3.3Stages of Electronic Certification Technology

3Transaction Security in ECommerce

3.1Terminal Security in ECommerce

3.1.1Host/IE Security

3.1.2Mobile Terminal Security

3.1.3Bankcard Security

3.1.4Other Payment Card Security

3.2Process Security in ECommerce

3.2.1Common Transaction Forms of ECommerce

3.2.2Secure Socket Layer (SSL) Protocol

3.2.3Secure Electronic Transaction (SET) Protocol

3.3Data Storage Security in ECommerce

3.3.1User Local Storage Security

3.3.2Server Storage Security

3.3.3Cryptographic Key Security

3.4RFIDBased Logistics Data Security

3.4.1RFIDBased Missing Goods Detection Scheme

3.4.2RFIDBased Grouping Proof Problem

4Credit Assurance Technology in ECommerce

4.1Trust Development in ECommerce

4.1.1Payment Modes and Trust Relationships in

ECommerce

4.1.2Credit Assurance Requirements in ECommerce

4.1.3Nave Certificate Categorization and

Classification

4.1.4Requirements for Certificate Policies in

ECommerce

4.2Certificate Policies and Certification Practice Statements

4.2.1Definition of Certificate Policy

4.2.2Basic Composition of Certificate Policy

4.2.3Certificate Policies Require Support of

Certification Practice Statements

4.2.4Relationship between Certificate Policies and

Certification Practice Statements

4.3Certificate Policy Assurance and CA Accreditation

4.3.1Concepts and Methods of CA Accreditation

4.3.2Representative Schemes of CA Accreditation

4.4How to Plan Certificate Policy

4.4.1Factors Related to Certificate Policies

4.4.2General Design Method of Certificate Policy

4.5Certificate Policy System in Commercial Transaction

4.5.1Overview of Certificate Policy for Commercial

Transaction

4.5.2Certificate Policies and Security Requirements for

ECommerce

4.5.3Selecting Core Security Factors

4.5.4Basics for Certificate Policy Classification

5Information Security Capacities in ECommerce

5.1Requirements for Information Security Capacities in

ECommerce

5.2Development of Cryptographic Algorithm Implementation

Technology

5.2.1Cryptographic Algorithm Standards and

Cryptographic Algorithm Implementation

5.2.2HardwareBased Implementation of Cryptographic

Algorithms and Emerging Technology

5.2.3HardwareBased and SoftwareBased

Implementation of Cryptographic Algorithms

5.3Fundamentals on HardwareBased Implementation of

Cryptographic Algorithms

5.3.1FPGA Technology

5.3.2Evaluation Indicators for HardwareBased

Implementation of Cryptographic Algorithms

5.4HardwareBased Implementation and Optimization of

National Cryptographic Algorithms

5.4.1HardwareBased Implementation and Optimization

of SM3 Algorithm

5.4.2HardwareBased Implementation and Optimization

of SM4 Algorithm

5.4.3HardwareBased Implementation and Optimization

of ZUC Algorithm

6Simulation and Modeling Technologies of ECommerce

Security Schemes

6.1ECommerce and Cryptographic Application

Scheme Validation

6.2Simulation and Validation System of Commercial

Cryptographic Application Scheme

6.2.1Overview of Simulation and Validation System

6.2.2Composition of Simulation and Validation System

6.2.3Cryptographic Application Scenario Simulation

6.2.4Cryptographic Performance Parameter Library

6.2.5Simulation for Application Scheme Flows

6.2.6Simulation Techniques

7SecurityRelated Standards for ECommerce

7.1Overview of SecurityRelated Standards for ECommerce

7.2Electronic Authentication Standard System

7.2.1Electronic Authentication Standard System Profile

7.2.2Minimum Interoperability of PKI Components

7.2.3PKI Interoperability Evaluation

7.2.4Delegate Validation for Certificate

7.2.5Electronic Document Signing and Encryption

7.3Commercial Cryptographic Standard System

8Electronic Authentication Commercial Transaction

Certificate Policy

8.1Introduction

8.1.1Overview

8.1.2Document Name and Identification

8.1.3PKI Participants

8.1.4Certificate Usage

8.1.5Policy Administration

8.1.6Definitions and Acronyms

8.2Publication and Repository Responsibilities

8.2.1Repository

8.2.2Publication of Certificate Information

8.2.3Time or Frequency of Publication

8.2.4Access Control on Repositories

8.3Identification and Authentication

8.3.1Naming

8.3.2Initial Identity Validation

8.3.3Identification and Authentication for

ReKey Requests

8.3.4Identification and Authentication for

Revocation Requests

8.4Certificate LifeCycle Operational Requirements

8.4.1Certificate Application

8.4.2Certificate Application Processing

8.4.3Certificate Issuance

8.4.4Certificate Acceptance

8.4.5Key Pair and Certificate Usage

8.4.6Certificate Renewal

8.4.7Certificate ReKey

8.4.8Certificate Modification

8.4.9Certificate Revocation and Suspension

8.4.10Certificate Status Services

8.4.11End of Subscription

8.4.12Key Escrow and Recovery

8.5Facility, Management, and Operational Controls

8.5.1Physical Security Controls

8.5.2Procedural Controls

8.5.3Personnel Controls

8.5.4Audit Logging Procedures

8.5.5Records Archival

8.5.6Key Changeover

8.5.7Compromise and Disaster Recovery

8.5.8CA or RA Termination

8.6Technical Security Controls

8.6.1Key Pair Generation and Installation

8.6.2Private Key Protection and Cryptographic

Module Engineering Controls

8.6.3Other Aspects of Key Pair Management

8.6.4Activation Data

8.6.5Computer Security Controls

8.6.6Life Cycle Security Controls

8.6.7Network Security Controls

8.6.8Timestamping

8.7Certificate, CRL, and OCSP Profiles

8.7.1Certificate Profile

8.7.2CRL Profile

8.7.3OCSP Profile

8.8Compliance Audit and Other Assessment

8.8.1Frequency and Circumstances of Assessment

8.8.2Identity/Qualification of Assessor

8.8.3Assessors Relationship to Assessed Entity

8.8.4Topic Covered by Assessment

8.8.5Actions Taken as a Result of Deficiency

8.8.6Communication of Results

8.9Other Business and Legal Matters

8.9.1Fees

8.9.2Financial Responsibility

8.9.3Confidentiality of Business Information

8.9.4Privacy of Personal Information

8.9.5Intellectual Property Rights

8.9.6Representations and Warranties

8.9.7Disclaimers of Warranties

8.9.8Limitations of Liability

8.9.9Indemnities

8.9.10Term and Termination

8.9.11Individual Notices and Communications with

Participants

8.9.12Amendments

8.9.13Dispute Resolution Provisions

8.9.14Governing Law

8.9.15Compliance with Applicable Law

8.9.16Miscellaneous Provisions

8.9.17Other Provisions

References

Index