浙师大电子商务安全技术简单题题目.doc

简答题1.在交易双方的通信过程中如何实现源的不可否认性？（1）源的数字签名；（2）可信赖第三方的数字签名；（3）可信赖第三方对消息的杂凑值进行签名；（4）可信赖第三方的持证；（5）线内可信赖第三方；（6）上述方法的适当组合。2.电子商务安全的中心内容是什么?（1）商务数据的机密性；（2）商务数据的完整性；（3）商务对象的认证性；（4）商务服务的不可否认性；（5）访问控制性；3.简述SSL的体系结构。SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。（1）SSL记录协议，定义了信息交换中所有数据项的格式。其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层应用层传来的数据；附加数据是加密后所产生的附加数据。（2）更改密码规格协议由单个消息组成，只有一个值为1的单字节。其目的是使未决状态拷贝为当前状态，更新用于当前连接的密码组。（3）SSL警报协议用于传送SSL的有关警报。（4）SSL握手协议用于客户/服务器之间相互认证，协商加密和MAC算法，传送所需要的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。4.简述双钥密码体制的基本概念及特点。双钥密码体制又称作公钥密码体制或非对称加密体制，这种加密法在加密和解密过程种要使用一对密钥，一个用于加密，一个用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能解密。这样每个用户有两个密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公开密钥加密的信息只有接收人才能解密。双钥密码体制算法的特点是：（1）适合密钥的分配和管理。（2）算法速度慢，只适合加密小数量的信息。5.试比较SSL协议和SET协议之间的差别。（1）在使用目的和场合上，SET主要用于信用卡交易，传递电子现金，SSL主要用于购买信息的交流，传递电子商贸信息；（2）在安全性方面，SET要求很高，SSL要求很低；（3）在交易对象的资格方面，SET要求所有参与者必须先申请数字证书来识别身份，SSL通常只要求商家的服务器认证；（4）在实施费用方面，SET较高，SSL较低；（5）在使用情况方面，SET普及率较低，SSL较高。6证书有哪些类型？（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。1、什么是计算机病毒？答：所谓计算机病毒，从技术上来说，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2、计算机病毒的特点答：破坏性、寄生性、传染性、潜伏性、针对性。3、什么是虚拟专用网VPN？答：虚拟专用网VPN，它是企业跨越公共网络建立的安全的、为企业自用的专用网络。确切的说，虚拟专用网络是利用不可靠的公用互联网络作为信息传输媒介，通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。4、简述电子商务的安全要素答：保密性，完整性，认证性（个体识别），不可否认性，不可拒绝性，访问控制性。5、CA(认证中心)的重要功能有什么？答：1 证书的颁发2 证书的更新3 证书的查询4 证书的作废5 证书的归档6、防火墙的功能有什么？答：1 数据包过滤2 审计和报警机制3 地址转换4 流量控制和统计分析、流量计费5 VPN（虚拟专用网络）7、PKI：答：PKI是提供公钥加密和数字签名服务的安全基础平台，目的是管理密钥和证书。8、EDI的意思？答：电子数据交换是第一代电子商务技术，实现BTOB方式交易。9、SSL握手协议的意思？答：用于客户机服务器之间的相互认证，协商加密和MAC算法，传送所需的公钥证书，建立SSL记录协议处理完整性校验和加密所需的绘画密钥。10、1.触发电子商务安全问题的原因是什么？答：（1）黑客的攻击（2）管理的欠缺（3）网络的缺失（4）软件的漏洞或“后门”（5）人才的触发11、身分认证是什么？目前常用的身份认证可以分哪两类？答：（1）定义：身份认证是指证实用户的真实身份与其所声称的身份是否相符的过程。（2）分类：一类是基于密码技术的各种电子ID身份认证技术，另一类是基于生物特征认证的认证技术。12、什么是数字证书？答：数字证书（Digital Certificate）是标志一个用户身份的一系列特征数据，其作用类似于现实生活中的身份证。最简单的数字证书包含一个公钥、用户名以及发证机关的数字签名等。通过数字证书和公钥密码技术可以建立起有效的网络实体认证系统，为网上电子交易提供用户身份认证服务。数字证书是由权威的证书发行机构发放和管理的，证书发行机构也称为认证中心（CA）。1.我国的电子商务实践在哪些领域得到了应用和发展？试举例说明（不少于5个）。答：1网上预订飞机票、火车票2、网上客房预订3、网上购物、购书4、网上拍卖5、网上旅游交易会、农副产品交易6、网上销售娱乐、游戏、电子书籍、软件等知识产品7、提供 ISP、ICP、IDP 等网络技术服务2简述数字签名的原理。P411、常见的病毒类型？答：引导型病毒；文件型病毒；宏病毒；网络病毒；混合型病毒。2、 入侵检测系统的功能？答：书P1001. 在一个使用RSA的公开密钥系统中，你截获了发给一个其公开密钥是e=5，n=35的用户的密文C=10。明文M是什么？答：私钥a=5 明文M=52. 在RSA系统中，一个给定用户的公开密钥是e=31，n=3599，这个用户的私有密钥是什么？答：n=59*61,e=31,私钥a=30313. 试述数字签名的原理及其必要性。答：安全的数字签名使接收方可以确认文件确实来自声称的发送方。鉴于签名私钥只有发送方自己保存，他人无法做一样的数字签名，因此他不能否认参与了信息交互业务。通常还要求能确认传输的信息没有被篡改。数字签名的加密解密过程和公钥密码体制的加密解密过程正好相反，使用的密钥对也不同。数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密。这是一个一对多的关系：任何拥有发送方公开密钥的人都可以验证数字签名的正确性。而公钥密码体制的加密解密使用的则是接收方的密钥对，这是多对一的关系：任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。在实际应用过程中，通常一个用户拥有两个密钥对，一个密钥对用于对数字签名，另一个密钥对用于加密。这种方式提供了更高的安全性。在实际运用中，由于公钥体制加密解密速度慢，通常引入可公开的散列函数 （Hash function，也叫摘要函数、哈希函数）。该函数能保证对原文作任何一点点修改，再产生的数字摘要就会不同。它发生在签名后、加密前，对邮件传输或存储都有节省空间的好处。4. 密钥管理的任务是什么？什么是密钥托管？密钥共享有何用途？答：密码体制、数字签名以及识别协议的安全性算法的安全性的前提是秘密密钥是安全的，其他人是不知道的。一旦秘密密钥丢失或出错，密码体制、数字签名和识别协议就不安全了。因此密钥的保密和安全管理在数据系统安全中是极为重要。一个密码系统是否安全，最终可能取决于主机主密码密钥是否安全。主机主密钥的丢失、毁坏或泄漏将导致整个系统不安全。解决主机密钥丢失、毁坏危险很容易，只要将主机主密钥备份，将主机主密钥的备份放在密钥托管中心等信得过的用户处保存即可。但要防止主机主密钥的泄漏或人为的背叛就要困难得多，目前解决这个问题的最好办法是设计秘密共享方案。1. 应用RSA算法对下列情况实现加密和解密： (1) p=3；q=11，b=7；m=5 (2) p=5；q=11，b=3；m=9 (3) p=11；q=13，b=11；m=7 (4) p=17；q=31，a=7；m=2答：(1)私钥a=3，解密后明文 c=26 (2)公钥b=27，加密后密文是c=4(3) 私钥a=11，加密后密文c=2 (4) 公钥b=343，加密后密文c=3491. 用户身份认证的主要目标是什么？基本方式有哪些？身份认证的主要目标包括：n 确保交易者是交易者本人。n 避免与超过权限的交易者进行交易。n 访问控制。一般来说，用户身份认证可通过三种基本方式或其组合方式来实现：n 口令访问系统资源。n 物理介质访问系统资源。n 利用自身所具有的某些生物学特征访问系统资源。2. 信息认证的目标有哪些？n 可信性。n 完整性。n 不可抵赖性。n 保密性。3简述一个典型的PKI应用系统包括的几个部分？n 密钥管理子系统（密钥管理中心）。n 证书受理子系统（注册系统）。n 证书签发子系统（签发系统）。n 证书发布子系统（证书发布系统）。n 目录服务子系统（证书查询验证系统）。4. 简述认证机构在电子商务中的地位和作用。n 认证机构是提供交易双方验证的第三方机构。n 对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。n 带有半官方的性质。5. 我国电子商务认证机构建设的思路是什么？n 地区主管部门认为应当以地区为中心建立认证中心。n 行业主管部门认为应当以行业为中心建立认证中心。n 也有人提出建立几个国家级行业安全认证中心，如银行系统和国际贸易系统，形成一个认证网络，然后，实行相互认证。6. 电子商务认证机构建设基本原则有哪些？n 权威性原则。n 真实性原则。n 机密性原则。n 快捷性原则。n 经济性原则。7简述黑客所采用的服务攻击的一般手段。n 和目标主机建立大量的连接。n 向远程主机发送大量的数据包，使目标主机的网络资源耗尽。n 利用即时消息功能，以极快的速度用无数的消息“轰炸”某个特定用户。使目标主机缓冲区溢出，黑客伺机提升权限，获取信息或执行任意程序。n 利用网络软件在实现协议时的漏洞，向目标主机发送特定格式的数据包，从而导致主机瘫痪。8. 电子合同有什么特点？n 电子数据的易消失性。n 电子数据作为证据的局限性。n 电子数据的易改动性。9. 电子签字有什么功能？n 确定一个人的身份。n 肯定是该人自己的签字。n 使该人与文件内容发生关系。10我国现行的涉及交易安全的法律法规有哪几类？n 综合性法律。n 规范交易主体的有关法律。如公司法。n 规范交易行为的有关法律。包括经济合同法。n 监督交易行为的有关法律。如会计法。八、图解题1. 下图显示了数字签字和验证的传输过程。试简述参考答案：（1） 发送方首先用哈希函数将需要传送的消息转换成报文摘要。（2） 发送方采用自己的私有密钥对报文摘要进行加密，形成数字签字。（3） 发送方把加密后的数字签字附加在要发送的报文后面，传递给接收方。（4） 接受方使用发送方的公有密钥对数字签字进行解密，得到报文摘要。（5） 接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。2. SET中CA的层次结构如下图所示。试填补空缺处内容。参考答案：（1）品牌认证中心（2）区域认证中心（3）持卡人认证中心（4）支付网关认证中心（5）持卡人（6）支付网关（1）（2）（3）（6）（4）（5）1.防火墙具有哪些功能？答：防火墙具有如下的功能： 防火墙是网络安全的屏障，网络外部和内部之间所有的通信，全部必须经过防火墙；防火墙可以强化网络安全策略，可以实施安全策略所要求的安全功能；对网络存取和访问进行监控审计，只有经过授权的通信业务才能通过防火墙进出；防止内部信息的外泄。2.简述PKI的基本概念及其组成部分。答：PKI技术采用证书管理公钥，通过第三方的可信任机构-认证中心CA（Certificate Authority），把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。典型的PKI系统由五个基本的部分组成：证书申请者、注册机构、认证中心、证书库和证书信任方。证书申请者是证书的持有者，证书的目的是把用户的身份与其密钥绑定在一起，用户身份可以是参与网上交易的人或应用服务器。根据PKI的管理政策，注册机构（RA）的主要功能是核实证书申请者的身份。认证中心（CA）是PKI机制中的核心，它主要负责产生、分配并管理用户的数字证书。 证书库存放了经CA签发的证书和已撤销证书的列表，用户可使用应用程序，从证书库中得到交易对象的证书、验证其证书的真伪、查询其证书的状态。3简述SET协议的工作流程。消费者在Internet上搜索所要购买的商品，通过计算机输入订货单。通过电子商务服务器与有关在线商店联系，在线商