电子商务安全简略梳理

电子商务的基本两素：电子技术；商务活动电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全。计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是以保证计算机网络自身的安全性为目标。从层次体系上，可以将网络安全分成四个层次上的安全：物理安全；逻辑安全；操作系统安全；联网安全。电子商务的安全需求：完整性、认证性、机密性、不可否认性、不可拒绝性、访问控制性分组密码是将明文按一定的位长分组，输出也是固定长度的密文。明文组和密钥组经过加密运算得到密文组。解密时密文组和密钥组经过解密运算（加密运算的逆运算），还原成明文组。分组密码的优点是：密钥可以在一定时间内固定，不必每次变换，因此给密钥配发带来了方便。但是，由于分组密码存在着密文传输错误在明文中扩散的问题，因此在信道质量较差的情况下无法使用。置换运算实际上就是把一个二进制串中二进制位的位置作一下调换，在DES算法中有三种类型：①位数不发生变化的置换：有初始变换IP，逆初始变换IP-1，置换运算P；②位数增加的置换：有选择运算E；③位数减少的置换：有置换选择函数PC-1，置换选择函数PC-2常用分组密码体制：DES、IDEA、AES的加密原理。典型公开钥密码体制：RSA、ElGamal、椭圆曲线加密原理。非数学的加密理论和技术：信息隐藏、生物识别技术、量子密码体制。数字签名特点：难否认、可防假冒、可仲裁。常用数字签名方案：RSA数字、Hash签名、美国数字签名标准、椭圆曲线数字签名。特殊签名方法：盲签名、双联签名、团体签名、不可争辩签名、代理签名、数字时间戳等。数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。数字签名提供了对信息来源的确定并能检测信息是否被篡改。数字签名的特点：数字签名与书面文件签名有相同之处，采用数字签名能确认以下三点：第一，信息是由签名者发送的；第二，信息自签发后到收到为止未曾作过任何修改；第三，如果A否认对信息的签名，可以通过仲裁解决A和B之间的争议。数字签名和手写签名的区别：数字签名随文本的变化而变化，手写签字反映个人特征，是不变的；数字签名与文本信息是不可分割的，而用手写签字是附加在文本之后的，与文本信息是分离的。数字签名的功能：身份认证；保密；完整性；不可抵赖认证的三项主要内容：消息认证，身份验证和数字签名。两种主要认证模式：单向验证和双向验证。三类认证函数：信息加密函数、信息认证码、散列函数。三类常见身份认证手段分析：口令认证、持证认证和生物识别密钥管理技术分类：对称密钥管理、公开密钥管理、第三方托管技术。两种对称密钥管理方法：RSA密钥传输法和Diffie-Hellman密钥交换技术公开密钥分发方法：公开宣布、公开可用目录、公钥管理机构、公钥证书。著名密钥交换协议：Diffie-Hellman密钥交换协议、Internet密钥交换协议、工作密钥：最底层的密钥，直接对数据进行加密和解密；密钥加密密钥：最底层上所有的密钥，对下一层密钥进行加密；主密钥：最高层的密钥，是密钥系统的核心。4类典型的公开密钥分配方案：（1）公开宣布；（2）公开可以得到的目录；（3）公开密钥管理机构；（4）公开密钥证书。密钥托管有时也叫做密钥恢复，是一种能够在紧急情况下提供获取信息解密密文新途径的技术。DDoS采用一种三层客户服务器结构：最下层是攻击的执行者；攻击服务器；攻击主控台SSL被设计用来使用TCP提供一个可靠的端到端安全服务，为两个通讯个体之间提供保密性和完整性(身份鉴别)SSL协议使用通信双方的客户证书以及CA根证书，允许客户/服务器应用以一种不能被偷听的方式通信，在通信双方间建立起了一条安全的、可信任的通信通道SSL协议实现的六步骤⑴接通阶段：客户机通过网络向服务器打招呼，服务器回应；⑵密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法；⑶会谈密码阶段：客户机器与服务器间产生彼此交谈的会谈密码；⑷检验阶段：客户机检验服务器取得的密码；⑸客户认证阶段：服务器验证客户机的可信度；⑹结束阶段：客户机与服务器之间相互交换结束的信息。SSL提供了用于启动TCP/IP连接的安全性“信号交换”，通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。SSL协议定义了两个通信主体：客户（client）和服务器（server）。其中，客户是协议的发起者。SSL握手协议包含四个阶段:第一个阶段建立安全能力;第二个阶段服务器鉴别和密钥交换;第三个阶段客户鉴别(可选的)和密钥交换;第四个阶段完成握手协议签名方法是符合可靠性原则的即：签字是可以被确认的；签字是无法被伪造的；签字是无法重复使用的；文件被签字以后是无法被篡改的；签字具有不可否认性PKI（公钥基础设施）的基本组成：证书颁发机构（CA）、注册权威机构（RA）证书管理协议（CMP）、证书吊销、证书存储库、时间戳权威机构（TSA）