電子商務安全復習題答案

1、電子商務安全認證系統(tǒng)復習題第 1 章 概論1、電子商務安全問題主要涉及哪些方面 ? p5 答：信息的安全問題、信用的安全問題、安全的管理問題、安全的法律問題。2、電子商務系統(tǒng)安全由系統(tǒng)有哪些部分組成 ? p7 答：實體安全、系統(tǒng)運行安全、系統(tǒng)信息安全。3、電子商務安全的基本需求包括哪些 ? P16 答：保密性、完整性、認證性、可控性、不可否認性。4、電子商務安全依靠哪些方面支持 ? P17 答：技術措施、管理措施、法律環(huán)境。5、什么是身份鑒別，什么是信息鑒別？ p15 答：所謂身份鑒別， 是提供對用戶身份鑒別， 主要用于阻止非授權用戶對系統(tǒng)資 源的訪問。信息鑒別則是提供對信息的正確性、 完整性

2、和不可否認性的鑒別。第 2 章 信息安全技術1、信息傳輸中的加密方式主要有哪些 ? P27 答：鏈路 - 鏈路加密、節(jié)點加密、端 - 端加密。2、簡述對稱加密和不對稱加密的優(yōu)缺點。 P35 p40 答：（1）對稱加密 優(yōu)點：由于加密算法相同，從而計算機速度非常快，且使用方便、 計算量小 、 加密與解密效率高。缺點：1） 密鑰管理較困難； 2） 新密鑰發(fā)送給接收方也是件較困難的事情， 因為需 對新密鑰進行加密； 3）其規(guī)模很難適應互聯(lián)網(wǎng)這樣的大環(huán)境。（2）不對稱加密 優(yōu)點：由于公開密鑰加密必須由兩個密鑰的配合使用才能完成加密和解密的全過 程，因此有助于加強數(shù)據(jù)的安全性。缺點：加密和解密的速度很慢

3、， 不適合對大量的文件信息進行加密。3、常見的對稱加密算法有哪些 ? P35答：DES AES 三重 DES4 、什么是信息驗證碼，有哪兩種生成方法？P36答：信息驗證碼（MAC校驗值和信息完整校驗。MA（是附加的數(shù)據(jù)段，是由信 息的發(fā)送方發(fā)出，與明文一起傳送并與明文有一定的邏輯聯(lián)系。兩種生成方式 :1）j 基于散列函數(shù)的方法； 2）基于對稱加密的方法。5、如何通過公開密鑰加密同時實現(xiàn)信息的驗證和加密？ P39電子商務安全認證系統(tǒng)復習題 答：1）發(fā)送方用自己的私有密鑰對要發(fā)送的信息進行加密， 得到一次加密信息。2）發(fā)送方用接收方的 公開密鑰對已經(jīng)加密的信息再次加密；3）發(fā)送方將兩次加密后的信息

4、通過 網(wǎng)絡傳送給接收方；4）接收方用自己的私有密鑰對接收到的兩次加密信息進行解密，得到一次加密 信息；5）接收方用發(fā)送方的公開密鑰對一次加密信息進行解密，得到信息明文。6、信息驗證碼與數(shù)字簽名有何區(qū)別？ P42 答：數(shù)字簽名類似于信息驗證碼，但它們也有不同之處。主要的不同在于，數(shù)字 簽名可以支持不可否認服務， 也就是說， 信息的接收方可以用數(shù)字簽名來證明作 為發(fā)送方第三方的身份。 如果數(shù)字簽名來解決電子商務交易中發(fā)送方與接收方在 交易信息上的爭端，則最可能得到偽造信息的一般是接收方， 所以對接收方來說， 應該不能生成與發(fā)送方所生成的簽名信息一樣的數(shù)字簽名。 但信息驗證碼不具有 進行數(shù)字簽名的功

5、能， 因為接收方知道用于生成信息驗證碼的密鑰。7、如何通過兩種加密方法聯(lián)合實現(xiàn)低耗費的信息的驗證和加密？p40答：1）發(fā)送方生成一個秘密密鑰， 并對要發(fā)送的信息用秘密密鑰進行加密；2）發(fā)送方用接收方的公開密鑰對秘密密鑰進行加密；3）發(fā)送方吧加密后的信息和加密后的秘密密鑰通過網(wǎng)絡傳輸?shù)浇邮辗剑?）接收方用自己的私有密鑰對發(fā)送方傳送過來的秘密密鑰進行解密，得到秘密 密鑰。5）接收方用秘密密鑰對接受到的加密信息進行解密，得到信息的明文。8、什么是數(shù)字簽名 ?與手寫簽名有何區(qū)別？ P46 答：數(shù)字簽名其實是伴隨著數(shù)字化編碼的信息一起發(fā)送并與發(fā)送的信息有一定邏 輯關聯(lián)的數(shù)據(jù)項。區(qū)別：手寫簽名是模擬的，且

6、因人而異。數(shù)字簽名是 0 和 1 的數(shù)字串，因消息 而異。9、電子商務應用中的特殊數(shù)字簽名包括哪些 ? P51 答：盲簽名、多重簽名、代理簽名、定向簽名、雙聯(lián)簽名、團體簽名、不可爭辯 簽名。10、密鑰的生命周期包括哪幾個階段 ? P56 答：密鑰建立、密鑰備份 /恢復、密鑰替換 /更新、密鑰吊銷、密鑰期滿 / 終止。電子商務安全認證系統(tǒng)復習題11、簡述雙聯(lián)簽名的過程和作用。 P54答：1）持卡人將發(fā)給商家的信息M1和發(fā)給第三方的信息M2分別生成保溫摘要MD1和報文摘要 MD22）持卡人將MD1和MD2合在一起生成 MD并簽名；3）將Ml MD2和MD發(fā)送給商家，將M2 MD1和MD發(fā)送給第三方

7、。接收者根 據(jù)收到的報文生成報文摘要， 再與收到的報文摘要合在一起， 比較結合后的報文 摘要和收到的MD確定持卡人的身份和信息是否被修改過。作用：雙聯(lián)簽名解決了參加電子商務貿(mào)易過程中的安全通信問題。12、常用的數(shù)字簽名算法有哪些 ?答：RSA DSA ECDSA13、信息安全的五種服務是什么？采用什么技術實現(xiàn)？ P27答： 1）信息的保密 加密；2） 探測信息是否被篡改 數(shù)字摘要；3）驗證身份 - 數(shù)字簽名，提問應答， 口令，生物測定法；4）不能否認信息的發(fā)送 接收及信息內容 數(shù)字簽名，數(shù)字證書，時間戳；5） 只有授權用戶才能訪問 防火墻，口令，生物測定法。第 3章 Internet 安全1

8、、從技術上說， Internet 安全的保護可分哪幾類 ? P70 答：網(wǎng)絡層安全、應用層安全、系統(tǒng)安全。2 、典型的網(wǎng)絡層安全服務包括哪幾部分 ? P70 答：認證和完整性、保密性、訪問控制。3、一般地說，防火墻包括哪幾種類型 ? P74 答：包過濾型、應用網(wǎng)關型、代理服務器型。4、根據(jù)服務類型，可將VPN分為哪幾類？ P80答：遠程訪問VPN企業(yè)內部VPN擴展的企業(yè)內部 VPN5、VPN主要采用來哪些技術保證通信安全？ P82 答：隧道技術、加解密技術、密鑰管理技術、 身份認證技術。6、網(wǎng)絡入侵檢測的主要方法有哪兩種 ? P86 答：異常檢測和誤用檢測。7、簡述 IPsec 兩種模式的作用

9、和區(qū)別？ P答：隧道模式 （Tunneling Mode） 和傳送模式 （Transport Mode）（1）隧道模式可以在兩個 Security Gateway間建立一個安全"隧道"，經(jīng)由這兩 個 Gateway Proxy 的傳送均在這個隧道中進行。 隧道模式下的 IPSec 報文要進行 分段和重組操作， 并且可能要再經(jīng)過多個安全網(wǎng)關才能到達安全網(wǎng)關后面的目的電子商務安全認證系統(tǒng)復習題主機。隧道模式下， 除了源主機和目的地主機之外， 特殊的網(wǎng)關也將執(zhí)行密碼操作。 在 這種模式里， 許多隧道在網(wǎng)關之間是以系列的形式生成的， 從而可以實現(xiàn)網(wǎng)關對 網(wǎng)關安全。+ +| 新 IP

10、 頭 | IPsec 頭 | IP 頭 | TCP 頭 | 數(shù)據(jù) |+ + （2）傳送模式加密的部份較少，沒有額外的IP 報頭，工作效率相對更好，但安全性相對于隧道模式會有所降低。傳送模式下，源主機和目的地主機必須直接執(zhí)行所有密碼操作。加密數(shù)據(jù)是通 過使用L2TP（第二層隧道協(xié)議）而生成的單一隧道來發(fā)送的。 數(shù)據(jù)（密碼文件） 則是由源主機生成并由目的地主機檢索的。+ +| IP 頭 | IPsec 頭 | TCP 頭 | 數(shù)據(jù) |+ +8、IPsec提供AH和ESP兩種安全協(xié)議有何區(qū)別？ P93-P97答：IPsec使用兩種協(xié)議來提供通信安全一一認證頭標（AH和封裝安全凈載（ESP。兩種安全協(xié)

11、議都分為隧道模式和傳輸模式。 傳輸模式用在主機到主機的 IPsec 通信，隧道模式用在其它任何方式的通信。（1）認證頭標（AH提供：數(shù)據(jù)源鑒別認證： 聯(lián)合數(shù)據(jù)完整性保護及在發(fā)送接收端使用共享密鑰來保證身份 的真實性。數(shù)據(jù)完整性保護：通過對數(shù)據(jù)包長度進行單向散列算法計算進行保護，使用 MD5 或 SHA-1 算法。在AH的傳輸模式下，AH散列算法計算范圍是整個數(shù)據(jù)包（包括 IP報頭）中在 傳輸過程中不改變的所有域。AH包頭被插入在IP報頭之后，ESP報頭（如果有） 和其它高層協(xié)議之前。在AH的隧道模式下，AH散列算法計算整個原始數(shù)據(jù)包，并產(chǎn)生一個新的 IP報 頭（新IP報頭也在計算范圍內，除易變

12、字段）。AH包頭被插入在新IP報頭之后。（2）封裝安全凈載（ESP提供：有限的數(shù)據(jù)源鑒別認證： 聯(lián)合數(shù)據(jù)完整性保護及在發(fā)送接收端使用共享密鑰來保 證身份的真實性。（只有在ESP的隧道模式下可以對加密后的IP報頭進行鑒別）數(shù)據(jù)完整性保護：ESP通過可選的鑒別域來提供數(shù)據(jù)包鑒別服務（HMAC,使用 MD5和SHA-1算法。私密性（加密）：在 IP 層通過對數(shù)據(jù)包進行加密來提供私密性。缺省使用 DES， Cisco還提供3DES加密。3DES加密強度是DES的 2倍。在ESP中，先進行加密電子商務安全認證系統(tǒng)復習題后進行鑒別。（防止DOS攻擊時更快）在ESP傳輸模式下，只有IP凈載被加密（不包括IP

13、報頭、ESP報頭），ESP報頭 被插入在 IP 報頭之后、上層協(xié)議報頭之前。在ESP隧道模式下，整個IP數(shù)據(jù)包被加密（不包括ESP報頭），并產(chǎn)生一個新的 IP報頭，ESP報頭被插入在新IP報頭之后。9、AH格式中的序列號有什么作用？ P94答：用于IP數(shù)據(jù)包的重放檢查，防止重放攻擊。10、從電子商務應用方面比較 SET和SSL? P 113答：1）在認證方面.SET的安全需求較高。所有參與 SET交易的成員都必須先申 請數(shù)字證書來識別身份，而在SSL中，只有商戶端的服務器需要認證，客戶認證 則是由選擇性的；2）對消費者而言，SET保證了商戶的合法性，并且用戶的信用卡號不會被竊取， SET替消費

14、者保守了更多的秘密使其在線購物更加輕松；3）在安全性方面，一般公認 SET的安全性較SSL高，主要原因是在整個交易過 程中，包括持卡人到商家 商家到支付網(wǎng)關再到銀行網(wǎng)絡，都受到嚴密的保護，而SSL的安全范圍只限于持卡人到商家的信息交流；4）SET對于參與交易的各方定義了互操作接口，一個系統(tǒng)可以由不同廠商的產(chǎn) 品構筑；5）在采用比率方面，由于 SET的設置成本較SSL高很多，并且進入國內市場的 時間尚短，因此目前還是SET的普及率高。但是，由于網(wǎng)上交易的安全性需求不 斷提高。SET的市場占有率會增加。11、支付網(wǎng)關在SET購物流程中的作用。P108 答：支付網(wǎng)關具有確認商戶身份， 解密持卡人的支

15、付指令， 驗證持卡人的證書與 在購物中所使用的賬號是否匹配， 驗證持卡人和商戶信息的完整性， 簽署數(shù)字響 應等功能。12、SET交易的參與方包括哪些？ P108答：持卡人、商戶、支付網(wǎng)關、 收單行、發(fā)卡行、認證機構。13.SSL握手協(xié)議數(shù)據(jù)是按照SSL記錄協(xié)議封的嗎？ P105答：正確。SSL握手協(xié)議是位于SSL記錄協(xié)議之上的最重要的子協(xié)議，被 SSL記 錄協(xié)議所封裝。14、SSL握手協(xié)議有什么作用？ P105答： 1）向客戶機認證服務器；2）允許客戶機于服務器選擇它們都支持的加密算法或密碼；3）可由選擇地向服務器認證客戶；4）使用公鑰加密技術生成共享密碼；5）建立加密SSL連接。第4章 數(shù)字

16、證書電子商務安全認證系統(tǒng)復習題1、什么是數(shù)字證書？ P118答：在電子商務中， 數(shù)字證書是一個由使用數(shù)字證書的用戶群所公認和信任的權 威機構（CA簽署了其數(shù)字簽名的信息集合。2、數(shù)字證書一般包括哪些種類？ P 120答：個人數(shù)字證書、 單位數(shù)字證書、 服務器證書、 安全郵件證書、 代碼簽名證書。3、數(shù)字證書中的數(shù)字簽名是如何生成的 ?答：數(shù)字證書也必須具有唯一性和可靠性。 為了達到這一目的， 需要采用很多技 術來實現(xiàn)。通常，數(shù)字證書采用公鑰體制， 即利用一對互相匹配的密鑰進行加密、 解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰（私鑰） ，用它進 行解密和簽名；同時設定一把公共密鑰（公

17、鑰）并由本人公開，為一組用戶所共 享，用于加密和驗證簽名。 當發(fā)送一份保密文件時， 發(fā)送方使用接收方的公鑰對 數(shù)據(jù)加密，而接收方則使用自己的私鑰解密， 這樣信息就可以安全無誤地到達目 的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程， 即只有用私有密鑰才 能解密。公開密鑰技術解決了密鑰發(fā)布的管理問題，用戶可以公開其公開密鑰， 而保留其私有密鑰。4、 簡述數(shù)字證書密鑰對生成的兩種方法及優(yōu)缺點P130答：（ 1 ）由密鑰對持有者系統(tǒng)生成；（ 2）由密鑰管理中心系統(tǒng)生成；答：（ 1 ）由密鑰對持有者系統(tǒng)生成優(yōu)點：利用這一方法來生成密鑰， 可以保證任何其他的通信方都不會獲得該密鑰。（ 2）由密鑰管理

18、中心系統(tǒng)生成優(yōu)點：（ 1）對一些像智能卡那樣的密鑰對持有系統(tǒng)來說是很有必要的。（ 2）密鑰對在密鑰管理中心集中生成在某些情況下也是非常有益的。（3）如果密鑰對中的私鑰需要在中心系統(tǒng)進行備份或存檔，密鑰對的集中生成 也是很便利的。缺點：生成密鑰的這兩種方法在實際的使用中都需要適應環(huán)境的變化， 它們在實 際的數(shù)字證書生成和管理過程中都都需要根據(jù)環(huán)境的變化而有所變通。5、什么是CA?什么是RA?P 133或P156答：CA -認證機構；RA注冊機構答：CA-認證機構：又叫認證中心，是電子商務安全中的關鍵環(huán)節(jié)，也是電子交 易中信賴的基礎。認證機構負責數(shù)字證書的管理。RA-注冊機構：RA是CA的證書發(fā)放

19、、管理的延伸，是 CA正常運營不可缺少的 一部分。注冊機構本身并不發(fā)放數(shù)字證書， 但注冊機構可以確認、 批準或拒絕數(shù) 字證書申請人的申請，隨后由認證機構給經(jīng)過批準的人發(fā)放數(shù)字證書。電子商務安全認證系統(tǒng)復習題6、數(shù)字證書分發(fā)方式有哪些 ? P136 答：利用數(shù)字簽名分發(fā)、利用目錄服務分發(fā)。7、數(shù)字證書的撤銷方法有幾種？ P138答： 1）定期公布數(shù)字證書撤銷表； 2 ）廣播數(shù)字證書撤銷表； 3 ）進行數(shù)字 證書的在線狀態(tài)檢查； 4 ）發(fā)放短期數(shù)字證書； 5 ）其他撤銷方法。8、數(shù)字證書的生成有哪些步驟？ P 135 答：1）數(shù)字證書申請人將申請數(shù)字證書所需的數(shù)字證書內容信息提供給認證機 構；2）

20、認證機構確認申請人所提交信息的正確性， 這些信息將包含在數(shù)字證書中；3）由持有認證機構私鑰的簽證設備給數(shù)字證書加上數(shù)字簽名；4）將數(shù)字證書的一個副本傳送給用戶，如果需要，用戶在收到數(shù)字證書以后返 回一條確認信息；5） 將數(shù)字證書的一個副本傳送到數(shù)字證書數(shù)據(jù)庫如目錄服務，以便公布；6）作為一種可供選擇的服務，數(shù)字證書的一個副本可以由認證機構或其他實體 存檔，以加強檔案服務，提供證據(jù)服務以及不可否認性服務；7）認證機構將數(shù)字證書生成過程中相關細節(jié)，以及其他在數(shù)字證書發(fā)放過程中 的原始活動都記錄在 審計日志中。第 5 章 PKI1、PKI應用系統(tǒng)應具有哪些功能？ P 156答：1）公鑰數(shù)字證書的管理； 2）證書撤銷表的發(fā)布和管理； 3）密鑰的備份和 恢復；4）自動更新密鑰； 5）自動管理歷史密鑰； 6）支持交叉認證。2、什么是交叉認證數(shù)字證書 ? P159答：是由一個認證機構對另外一個認證機構簽發(fā)的包含了該CA的簽名密鑰的數(shù) 字證書。3、為什么在樹型層次結構的