新兴电子商务

从安全的角度分析，新兴电子商务与传统电子商务相比，呈现出一些特点：以电子零售的规模化为突破，新模式不断涌现；与新兴信息技术结合，需求创新；电子认证技术使一切皆有可能；以经济利益为驱动，适度安全。《新兴电子商务——安全体系与电子认证技术(精)》围绕新兴电子商务中的安全问题，从新兴电子商务安全体系的要素出发，即安全标准体系、政策法规体系、基础安全、系统级安全以及应用级安全等角度，展现新兴电子商务安全体系中的身份认证技术、交易安全、信用保障技术、密码技术、安全方案系统建模与仿真技术、相关安全标准以及电子认证服务商业交易证书策略等方面的研究成果。研究内容以当前新兴电子商务中的突出安全问题为基础，从电子商务的安全需求入手，重点研究密码技术和电子认证技术在电子商务中的应用方法、模式、关键技术等问题，旨在为学界和业界提供电子商务安全解决方案、安全技术以及验证方法与理论。
本书主要面向高校和科研单位的硕士生、博士生和相关学者，对政府管理、企业应用和研发人员也具参考价值。

荆继武，男，博导，教授。现任中国科学院信息工程研究所总工，信息安全国家重点实验室副主任，中国科学院数据与通信保护研究教育中心（DCS）主任／法人代表，数据安全技术研究室主任，“十二五”863计划主题专家组信息安全技术主题召集人，亚洲PKI联盟互操作工作组组长，国家科技重大专项电子和信息板块监督评估组专家，亚洲PKI联盟秘书长（2007-2010年），亚洲PKI联盟互操作工作组组长，中国计算机学会计算机安全专业委员会常务委员，国家自然科学基金委员会专家评审组成员，科技部重大专项考核专家组信息领域专家，国家商用密码有杰出贡献的专家学者等。多年来从事电子认证、入侵容忍技术等信息安全研究，主持或参与国家科技支撑计划、国家自然基金重大计划、863项目、发改委、工信部、国家密码管理局、中国科学院及省部级以上项目60余项，经费约6500万元；获国家和省部级等奖励9项（国家科技进步奖3项）；获发明专利20项，软件著作权60项；发表学术论文百余篇，出版专著3部，国家标准14项，培养研究生42人。

第1章 引言
1.1 新兴电子商务的特点
1.2 新兴电子商务的安全需求
1.3 新兴电子商务的安全体系要素
1.4 章 节说明
第2章 电子商务中的身份认证
2.1 为什么需要身份认证
2.2 现有的身份认证技术
2.2.1 你是谁
2.2.2 你知道什么
2.2.3 你拥有什么
2.3 电子认证对电子商务的支持
2.3.1 电子认证技术
2.3.2 电子认证技术的法律环境
2.3.3 电子认证技术发展的几个阶段
第3章 电子商务中的交易安全
3.1 电子商务中的终端安全
3.1.1 主机/IE安全
3.1.2 移动终端安全
3.1.3 银行卡安全
3.1.4 其他支付卡安全
3.2 电子商务中的过程安全
3.2.1 常见的电子商务交易形式
3.2.2 安全套接层（SSL）协议
3.2.3 安全电子交易（SET）协议
3.3 电子商务中的数据存储安全
3.3.1 用户本地存储安全
3.3.2 服务端存储安全
3.3.3 密钥数据安全
3.4 基于RFID的物流数据安全
3.4.1 基于RFID的丢失货物检测方案
3.4.2 基于RFID的组证据问题
第4章 电子商务中的信用保障技术
4.1 电子商务中的信任发展
4.1.1 电子商务中的支付模式和信任关系
4.1.2 电子商务中的信用保障需求
4.1.3 朴素的证书分类与分级
4.1.4 电子商务对证书策略的需求
4.2 证书策略与认证业务声明
4.2.1 证书策略的定义
4.2.2 证书策略的基本构成
4.2.3 证书策略需要认证业务声明的支持
4.2.4 证书策略和认证业务声明的关系
4.3 证书策略保障和CA认定
4.3.1 CA认定的概念和方法
4.3.2 典型的CA认定方案
4.4 如何规划证书策略体系
4.4.1 影响证书策略的要素
4.4.2 证书策略体系的一般设计方法
4.5 商业交易证书策略体系
4.5.1 商业交易证书策略体系概要
4.5.2 证书策略与电子商务安全需求
4.5.3 选取核心安全因素
4.5.4 证书策略体系分级要点
第5章 电子商务中的信息安全能力
5.1 电子商务中的信息安全能力需求
5.2 密码算法实现技术的发展
5.2.1 密码算法的标准与实现
5.2.2 密码算法的硬件实现与新兴技术
5.2.3 密码算法的硬件实现与软件实现
5.3 密码算法硬件实现的基础
5.3.1 FPGA技术
5.3.2 密码算法硬件实现的评价指标
5.4 国产密码算法的硬件实现和优化
5.4.1 SM3算法的硬件实现和优化
5.4.2 SM4算法的硬件实现和优化
5.4.3 ZUC算法的硬件实现和优化
第6章 电子商务中安全方案的仿真与系统建模技术
6.1 电子商务与密码应用技术方案的验证
6.2 商用密码应用技术方案的仿真验证系统
6.2.1 仿真验证系统概述
6.2.2 仿真验证系统的组成
6.2.3 密码应用场景仿真
6.2.4 密码性能参数库
6.2.5 应用方案流程仿真
6.2.6 仿真技术
第7章 电子商务中的安全标准
7.1 电子商务中的安全标准概述
7.2 电子认证标准体系
7.2.1 电子认证标准体系概况
7.2.2 PKI组件最小互操作
7.2.3 PKI互操作评估标准
7.2.4 证书代理验证
7.2.5 电子文件的签名加密
7.3 商用密码标准体系
第8章 电子认证服务商业交易证书策略
8.1 导言
8.1.1 概要
8.1.2 文档名称和标识
8.1.3 电子认证活动的参与方
8.1.4 证书的使用
8.1.5 策略管理
8.1.6 定义和缩写
8.2 信息发布和证书资料库职责
8.2.1 证书资料库
8.2.2 证书信息的发布
8.2.3 发布信息的时间或频率
8.2.4 证书资料库的访问控制
8.3 身份标识与鉴别
8.3.1 命名
8.3.2 初始申请证书的身份鉴别
8.3.3 密钥更新请求的身份鉴别
8.3.4 证书撤销请求的身份鉴别
8.4 证书生命周期的操作要求
8.4.1 证书申请
8.4.2 证书申请的处理
8.4.3 证书签发
8.4.4 证书接受
8.4.5 密钥对和证书的使用
8.4.6 证书更新
8.4.7 证书密钥更换
8.4.8 证书变更
8.4.9 证书撤销与挂起
8.4.10 证书状态服务
8.4.11 订购的终止
8.4.12 密钥托管和恢复
8.5 设施、管理和运作控制
8.5.1 物理安全控制
8.5.2 流程控制
8.5.3 人员控制
8.5.4 审计日志的处理流程
8.5.5 记录归档
8.5.6 电子认证服务机构密钥的更替
8.5.7 事故和灾难恢复
8.5.8 电子认证服务的终止
8.6 技术安全控制
8.6.1 密钥对的生成和安装
8.6.2 私钥保护和密码模块的工程控制
8.6.3 密钥对管理的其他方面
8.6.4 激活数据
8.6.5 计算机的安全控制
8.6.6 电子认证服务系统生命周期的技术控制
8.6.7 网络的安全控制
8.6.8 时间标记
8.7 证书、证书撤销列表和在线证书状态协议
8.7.1 证书
8.7.2 证书撤销列表
8.7.3 OCSP服务
8.8 合规性审计和相关评估
8.8.1 评估的频率和情况
8.8.2 评估者的身份/资质
8.8.3 评估者与被评估者的关系
8.8.4 评估内容
8.8.5 对不足采取的措施
8.8.6 评估结果的传达
8.9 其他商业和法律事宜
8.9.1 费用
8.9.2 财务责任
8.9.3 业务信息保密
8.9.4 个人隐私保护
8.9.5 知识产权
8.9.6 陈述与担保
8.9.7 免责声明
8.9.8 有限责任
8.9.9 赔偿
8.9.10 有效期限和终止
8.9.11 对各参与者的个别通告与沟通
8.9.12 修订
8.9.13 争议处理
8.9.14 管辖法律
8.9.15 与适用法律的符合性
8.9.16 杂项条款
8.9.17 其他条款
参考文献
索引