电子商务安全.doc

电子商务安全习题答案第一章1关于电子商务安全，下列说法中错误的是（D）A电子商务安全包括计算机网络安全和电子交易安全B. 电子商务安全是制约电子商务发展的重要因素C. 电子商务安全与网络安全的区别在于其有不可否认性的要求D. 决定电子商务安全级别的最重要因素是技术2. 网上交易中，如果定单在传输过程中订货数量发生了变化，则破坏了安全需求中的( C )。A. 可用性 B.机密性C.完整性 D. 不可抵赖性3原则保证只有发送方和接收方才能访问消息内容。（A）A. 机密性 B. 完整性C. 身份认证 D. 访问控制4. 电子商务安全涉及的三种因素中，没有。（C）A. 人 B. 过程C. 设备 D. 技术5. 在 PDRR 模型中，是静态防护转化为动态的关键，是动态响应的依据。（B）A. 保护B. 检测C. 响应D. 恢复6. 在电子商务交易中，消费者面临的威胁不包括（A）A. 虚假订单B. 付款后不能收到商品C. 客户资料机密性丧失D. 非授权访问7. 截获攻击与保密性相关；伪造攻击与认证相关；篡改攻击与完整性相关；中断攻击与可用性相关。（供选择的答案：篡改、截获、伪造、中断）8. 如果电子商务系统无法访问了，则破坏了电子商务安全的可用性需求。9. 电子商务安全的目标是：保证交易的真实性、机密性、完整性、不可抵赖性 和可用性。10. 为什么说人是电子商务安全中最重要的因素？电子商务交易的主体仍然是人，因此人的因素是最重要的。人作为一种实体在电子商务的运行和交易过程中存在，其必然对电子商务的安全产生重要影响。11. 电子商务安全应从哪几个方面来综合考虑？（1）人：（2）过程：（3）技术：第二章1. 棋盘密码是将26个英文字母放在55的表格中，每个字母对应的密文由行号和列号对应的数字组成，如图2.23所示。如h对应的密文是23，e对应15等。123451abcde2fghijk3lmnop4qrstu5vwxyz图2.23 棋盘密码请问它是属于（A）A. 单表替代密码B. 多表替代密码C. 置换密码 D. 以上都不是2. 攻击不修改消息的内容。（A）A. 被动B. 主动C. 都是D. 都不是3. 在RSA中，若取两个质数p=7、q=13，则其欧拉函数(n)的值是（B）A. 84B. 72C. 91D. 1124. RSA算法建立的理论基础是(B)A. 替代和置换B. 大数分解C. 离散对数D. 散列函数5. 数字信封技术是结合了对称密码技术和公钥密码技术优点的一种加密技术，它克服了（ D ）A、对称密码技术密钥管理困难B、公钥密码技术分发密钥困难C、对称密码技术无法进行数字签名D、公钥密码技术加密速度慢6. 生成数字信封时，我们用加密。 (D)A、一次性会话密钥，发送方的私钥B、一次性会话密钥，接收方的私钥C、发送方的公钥，一次性会话密钥D、接收方的公钥，一次性会话密钥7. 如果发送方用自己的私钥加密消息，则可以实现。 (D)A. 保密性B. 保密与鉴别C. 保密而非鉴别D. 鉴别8. 如果A要和B安全通信，则B不需要知道。 (A)A. A的私钥B. A的公钥C. B的公钥D. B的私钥9. 通常使用验证消息的完整性。 (A)A. 消息摘要B. 数字信封C. 对称解密算法D. 公钥解密算法10. 两个不同的消息摘要具有相同散列值时，称为（B）A. 攻击B. 冲突C. 散列D. 签名11. 可以保证信息的完整性和用户身份的确定性。（C）A. 消息摘要B. 对称密钥C. 数字签名D. 时间戳12. 与对称密钥加密技术相比，公钥加密技术的特点是（D）A. 密钥分配复杂B. 密钥的保存数量多C. 加密和解密速度快D. 可以实现数字签名13. 正整数n的欧拉函数是指小于n并与n互素的非负整数的个数。14. 时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件的摘要（Digest）、DTS收到文件的日期和时间和时间戳权威的签名三个部分。15. 请将下列常见密码算法按照其类型填入相应单元格中。 RSA MD5 AES IDEA DES Diffie-Hellman DSA SHA-1 ECC SEAL对称（分组）密码算法流密码公钥密码算法Hash算法3 4 5101 6 9 72 816. 公钥密码体制的加密变换和解密变换应满足哪些条件？公钥密码体制用两个密钥中任何一个密钥加密内容，都能且只能用对应的另一个密钥解密，同时，要想由一个密钥推知出另一个密钥，在计算上是不可能的。17. 在电子商务活动中为什么需要公钥密码体制。主要是解决电子商务活动中密钥分配、数字签名和身份认证的问题18. 小明想出了一种公钥加密的新方案，他用自己的公钥加密信息，然后将自己的私钥传给接收方，供接收方解密用，请问这种方案存在什么缺陷吗？私钥在传输途中可能被攻击者窃取。这相当于把公钥密码体制当做对称密码体制在用，因此无法解决密钥分配过程中被窃取的问题。19. 小强想出了一种数字签名的新方案，他用一个随机的对称密钥加密要签名的明文得到密文，再用自己的私钥加密该对称密钥（签名），然后把密文和加密后的对称密钥一起发送给接收方，接收方如果能解密得到明文，就表明验证签名成功。请问用该方案能够对明文签名吗，为什么？签名无法和消息绑定在一起。20. MAC与消息摘要有什么区别？MAC是参入了对称密钥的消息摘要第三章1. 确定用户的身份称为（A）A. 身份认证B. 访问控制C. 授权D. 审计2. 下列哪项技术不能对付重放攻击（A）A. 线路加密B. 一次性口令机制C. 挑战应答机制D. 往认证消息中添加随机数3. 有些网站的用户登录界面要求用户输入用户名、密码的同时，还要输入系统随机产生的验证码，这是为了对付( D )A. 窃听攻击 B. 危及验证者的攻击 C. 选择明文攻击 D. 重放攻击4. 关于SAML协议，以下说法错误的是（C）A. SAML不是一个完整的身份认证协议B. SAML协议主要用来传递用户的认证信息C. SAML是一个认证权威机构D. SAML协议定义了一套交换认证信息的标准5. Kerberos实现单点登录的关键是引入了票据许可服务器，实现双向认证的关键是引入了会话密钥。6. 认证主要包括消息认证和 身份认证 两种。7Kerberos认证系统中，客户要使用其提供的任何一项服务必须依次获取票据许可 票据和 服务许可 票据。8. 如果认证双方共享一个口令（验证密钥），声称者有哪几种方法可以让验证者相信他确实知道该口令。三种方法： 出示口令方式。申请者直接将口令提交给验证者，验证者检查口令是否正确。该方式的缺点是口令存在被线路窃听、被重放且不能双向认证（申请者无法判断验证者是否确实知道口令）的缺点。 不出示口令方式。申请者用口令加密一个消息，将加密的消息发给验证者，验证者用口令解密，如果得到消息明文则验证通过。该方式解决了口令被窃听和不能双向认证的缺陷，但仍存在被重放的缺点。 挑战应答方式。验证者发一个随机数给申请者，申请者用口令加密该随机数给验证者。该方式解决了以上所有三个问题，但增加了一次通信。9. 身份认证的依据一般有哪些？1）用户所知道的某种信息（Something the user knows），如口令或某个秘密。2）用户拥有的某种物品（Something the user possesses），如身份证、银行卡、密钥盘、IP地址等。3）用户具有的某种特征（Something the user is or how he/she behaves）10. 在使用口令机制时，如何对付外部泄露和口令猜测？11. 采用挑战应答机制对付重放攻击，与一般的对付重放攻击的方法相比，优点和缺点是什么？不需要保存随机数和增加时间戳，但增加了一次通信。第四章1. 关于认证机构CA，下列哪种说法是错误的。（B ）A. CA可以通过颁发证书证明密钥的有效性B. CA有着严格的层次结构，其中根CA要求在线并被严格保护C. CA的核心职能是发放和管理用户的数字证书D. CA是参与交易的各方都信任的且独立的第三方机构组织。2. 密钥交换的最终方案是使用。（C）A. 公钥B. 数字信封C. 数字证书D. 消息摘要3. CA用签名数字证书。（D）A. 用户的公钥B. 用户的私钥C. 自己的公钥D. 自己的私钥4. 以下哪几种设施通常处于在线状态（多选）（BC）A. 根CAB. OCSPC. RAD. CRL5. 数字证书是将用户的公钥与其相联系。（C）A. 私钥B. CAC. 身份D. 序列号6. 证书中不含有以下哪项内容(D)A 序列号B 颁发机构C 主体名D 主体的私钥7. 为了验证CA（非根CA）的证书，需要使用：（B）A. 该CA的公钥B. 上级CA的公钥C. 用户的公钥D. 该CA的私钥8. 一个典型的PKI应用系统包括五个部分：CA、RA、数字证书库、证书作废系统、密钥备份及恢复系统、应用程序接口。9RA不可以签发数字证书。（填可以或不可以）。10写出证书是怎样生成的？书89页11验证证书路径是如何进行的？书91页第五章1. 网页篡改是针对_进行的攻击。（B）A传输层 B应用层C网络层 D 表示层2. 对宿主程序进行修改，使自己成为合法程序的一部分并与目标程序成为一体的病毒是（ A ）A 源码型病毒B 操作系统型病毒C 外壳型病毒D 入侵型病毒3. 下面关于病毒的叙述正确的是（ D ）A病毒可以是一个程序 B病毒可以是一段可执行代码C病毒能够自我复制 D ABC都正确4. DDoS攻击破坏了_。（ A ）A可用性 B保密性 C完整性 D真实性5. 解释互联网安全体系结构中定义的安全服务。6. 在TCP/IP的不同层次实现安全分别有什么特点？第六章1. 从系统结构上来看，入侵检测系统可以不包括(C)A. 数据源B. 分析引擎C. 审计D. 响应2. 通用入侵检测框架（CIDF）模型中，的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。（A）A. 事件产生器 B.事件分析器 C. 事件数据库 D.响应单元3. 基于网络的入侵检测系统的数据来源主要是（D）A. 系统的审计日志B. 系统的行为数据C. 应用程序的事务日志文件D. 网络中的数据包4. 误用入侵检测技术的核心问题是的建立以及后期的维护和更新。（C）A. 异常模型B. 规则集处理引擎去C. 网络攻击特征库D. 审计日志5. 防火墙的局限性不包括以下哪项（C）A. 防火墙不能防御绕过了它的攻击B. 防火墙不能消除来自内部的威胁C. 防火墙不能对用户进行强身份认证D. 防火墙不能阻止病毒感染过的程序和文件迸出网络6. 仅利用交换机上的访问控制列表ACL实现的防火墙是属于( A )A. 包过滤防火墙 B. 双重宿主主机防火墙C. 屏蔽主机防火墙 D. 屏蔽子网防火墙7. 下列哪项不属于访问控制策略（B）A.基于身份的策略B. 基于任务的策略C. 多等级策略D. 组策略8. 屏蔽子网防火墙是既有_包过滤路由器_的功能，又能在_应用层_进行代理，能从链路层到应用层进行全方位安全处理。9. 根据检测原理，入侵检测系统分为 异常检测 和 误用检测 。10. 简述内部网络、外部网络和 DMZ 之间的关系。第七章 电子商务安全协议1SSL中的是可选的。（D）A.服务器鉴别 B.数据库鉴别 C.应用程序鉴别D.客户机鉴别2SSL层位于与之间（B）A.传输层，网络层 B.应用层，传输层C.数据链路层，物理层D.网络层，数据链路层3SSL用于客户机服务器之间相互认证的协议是（B）A.SSL警告协议B.SSL握手协议C.SSL更改密码规范协议D.SSL记录协议4SET提出的数字签名新应用是（A）A双重签名B盲签名 C数字时间戳D门限签名5SSL协议提供的基本安全服务不包括（ B ）A.加密服务 B.服务器证书C.认证服务 D.保证数据完整6SET的主要目的与有关。（C）A. 浏览器与服务器之间的安全通信 B. 数字签名C. Internet上的安全信用卡付款D. 消息摘要7SET中的不知道付款信用卡的细节。（A）A.商家 B.客户C.付款网关 D.签发人8基于SET 协议的电子商务系统中对商家和持卡人进行认证的是（ B ）A收单银行 B支付网关C认证中心 D发卡银行9关于SSL协议与SET协议的叙述，正确的是 ( C )ASSL是基于应用层的协议，SET是基于传输层的协议BSET和SSL均采用RSA算法实现相同的安全目标CSSL在建立双方的安全通信信道后，所有传输的信息都被加密，而SET则有选择地加密一部分敏感信息DSSL是一个多方的报文协议，它定义了银行、商家、持卡人之间必需的报文规范，而SET只是简单地在通信双方之间建立安全连接10下面关于ESP传输模式的叙述不正确的是（ A ）A并没有暴露子网内部拓扑B主机到主机安全 CIPSec的处理负荷被主机分担D两端的主机需使用公网IP11IPSec提供网络层的安全性。12在SET中使用随机产生的对称密钥加密数据，然后将此对称密钥用接收者的公开密钥 加密，称为数字信封。