电子商务安全课后习题答案
电子商务安全
《电子商务安全》习题答案第一章1.关于电子商务安全,下列说法中错误的是( D )A.电子商务安全包括计算机网络安全和电子交易安全B. 电子商务安全是制约电子商务发展的重要因素C. 电子商务安全与网络安全的区别在于其有不可否认性的要求D. 决定电子商务安全级别的最重要因素是技术2. 网上交易中,如果定单在传输过程中订货数量发生了变化,则破坏了安全需求中的( C )。
A. 可用性 B.机密性 C.完整性 D. 不可抵赖性3.原则保证只有发送方和接收方才能访问消息内容。
( A )A. 机密性B. 完整性C. 身份认证D. 访问控制4. 电子商务安全涉及的三种因素中,没有。
( C )A. 人B. 过程C. 设备D. 技术5. 在PDRR 模型中,是静态防护转化为动态的关键,是动态响应的依据。
(B)A. 保护B. 检测C. 响应D. 恢复6. 在电子商务交易中,消费者面临的威胁不包括( A )A. 虚假订单B. 付款后不能收到商品C. 客户资料机密性丧失D. 非授权访问7. 截获攻击与保密性相关;伪造攻击与认证相关;篡改攻击与完整性相关;中断攻击与可用性相关。
(供选择的答案:篡改、截获、伪造、中断)8. 如果电子商务系统无法访问了,则破坏了电子商务安全的可用性需求。
9. 电子商务安全的目标是:保证交易的真实性、机密性、完整性、不可抵赖性和可用性。
10. 为什么说人是电子商务安全中最重要的因素?电子商务交易的主体仍然是人,因此人的因素是最重要的。
人作为一种实体在电子商务的运行和交易过程中存在,其必然对电子商务的安全产生重要影响。
11. 电子商务安全应从哪几个方面来综合考虑?(1)人:(2)过程:(3)技术:第二章1. 棋盘密码是将26个英文字母放在5×5的表格中,每个字母对应的密文由行号和列号对应的数字组成,如图2.23e对应15等。
图2.23 棋盘密码请问它是属于( A )A. 单表替代密码B. 多表替代密码C. 置换密码D. 以上都不是2. 攻击不修改消息的内容。
中国大学MOOC电子商务安全习题含答案-精品
中国大学MOOC电子商务安全习题(含答案)1、在电子交易中,以下哪种威胁属于被动攻击?A、篡改信息B、截获信息C、伪造信息D、拦截用户使用资源答案:截获信息2、网银木马通过利用第三方支付网页与网银的衔接认证缺陷,篡改用户网上购物信息,破坏了相关信息的一一oA、保密性B、不可抵赖性C、完整性D、以上都不对答案:完整性3、在电子交易中,如商家卖出的商品因价格差而不承认原有的交易,这种安全威胁属于以下哪种类型?A、交易抵赖B、信息的篡改C、信息的截获D、信息的伪造答案:交易抵赖4、在电子交易过程中,如通过对信息流量、通信频率和长度等参数的分析,推测出有用的信息,如消费者的银行账号、密码以及企业的商业机密等,这种安全威胁属于以下哪种类型?A、信息的伪造B、信息的截获C、信息的篡改D、以上都不对答案:信息的截获5、在电子交易过程中,针对可用性信息进行攻击,如网络故障、操作错误、应用程序错误以及计算机病毒等恶意攻击导致电子交易不能正常进行,这种安全威胁属于以下哪种类型?A、信息的截获B、信息的篡改C、信息的中断D、以上都不对答案:信息的中断6、电子交易中面临的安全威胁包括:A、信息的截获B、信息的中断C、信息的篡改D、交易抵赖答案:交易抵赖7、电子交易的安全需求包括A、信息的保密性B、信息的完整性C、不可抵赖性D、身份的可认证答案:身份的可认证8、影响电子商务广泛应用的一个首要问题就是一一问题。
答案:安全9、在双方进行交易前,首先要能确认对方的一一,要求交易双方的身份不能被假冒或伪装。
答案:身份信息10、要对敏感重要的商业信息进行一一,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
答案:加密11、交易各方能够验证收到的信息是否一一,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
答案:完整12、在电子交易通信过程的各个环节中都必须是一一的, 即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
第7章电子商务的安全管理课后习题答案
第7章电子商务安全管理一、填空题1.双人负责原则2.任期有限原则3.最小权限原则4. DES RSA5.控制地带二、名词解释1.防火墙是一种隔离控制技术,通过在内部网络(可信任网络)和外部网络(不可信任网络)之间设置一个或多个电子屏障来保护内部网络的安全。
2. 所谓加密,就是将有关信息进行编码,使它成为一种不可理解的形式。
3. 数字时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要,DTS 收到文件的日期和时间,DTS的数字签名。
4.数字证书也称公开密钥证书,是在网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
5. 网络信息稽核制度是指工商管理、银行、税务人员利用计算机及网络系统进行执法的制度。
三、简答题1.从整个电子商务系统着手分析电子商务的安全问题分类风险:1. 信息传输风险这是指进行网上交易时,因传输的信息被非法篡改、窃取和丢失,而导致交易的损失。
①冒名偷窃。
如“黑客”为了获取重要的商业秘密、资源和信息,常常采用源 IP 地址欺骗攻击。
IP 欺骗就是伪造他人的源IP地址,其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。
②篡改数据。
攻击者未经授权进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。
③信息传递过程中的破坏。
信息在网络上传递时,要经过多个环节和渠道。
由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。
计算机病毒的侵袭、“黑客”非法攻击等很容易使数据在传递过程中泄露或丢失,威胁电子商务交易的安全。
此外,各种外界的物理性干扰,如硬件故障、通信线路质量差或电源被切断、自然灾害等,都可能使数据丢失或者失真,影响到数据的有效性、真实性和完整性。
由于传统交易中信息传递和保存主要是通过有形的单证进行的,即使信息在传递过程中出现丢失、篡改等情况,也可以通过留下的痕迹找出原因。
电子商务课后习题及答案
电子商务概论复习思考题第一章电子商务概述一、判断题1、网络商务信息是指通过计算机传输的商务信息,包括文字、数据、表格、图形、影像、声音以及内容能够被人工或计算机察知的符号系统。
(√)2、电子商务的核心是人。
(√)3、电子商务是一种以消费者为导向,强调个性化的营销方式。
(×)二、选择题(包括单选题和多选题)1、下列关于电子商务与传统商务的描述,正确的是(A )A、传统商务受到地域的限制,通常其贸易伙伴是固定的,而电子商务充分利用Internet,其贸易伙伴可以不受地域的限制,选择范围很大B、随着计算机网络技术的发展,电子商务将完全取代传统商务C、客户服务职能采用传统的服务形式,电子商务在这一方面还无能为力D、客服购买的任何产品都只能通过人工送达2、电子商务以满足企业、商人和顾客的需要为目的,增加(D),改善服务质量,降低交易费用。
A、交易时间B、贸易机会C、市场范围D、服务传递速度3、电子商务实质上形成了一个(ABC )的市场交换场所。
A、在线实时B虚拟C、全球性D、网上真实三、问答题1、E-Commerce和E-Business的区别在哪里?答:E-Commerce是实现整个贸易过程中各贸易活动的电子化,从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:E―Commerce是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。
它的业务包括:信息交换、售前售后服务、销售、电子支付、运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。
E-Business是利用网络实现所有商务活动业务流程的电子化,不仅包括了E-Commerce 面向外部的所有业务流程,还包括了企业内部的业务流程,如企业资源计划、管理信息系统、客户关系管理、供应链管理、人力资源管理、网上市场调研、战略管理及财务管理等。
E-Commerce集中于电子交易,强调企业与外部的交易和合作,而E-Business则把涵盖范围扩大到企业外部。
《电子商务安全》附答案——电子科技大学
一、单项选择题(本大题共20小题,每小题1分,共20分)1. IDEA密钥的长度为(D )A. 56B. 64C. 124D. 1282. 在防火墙技术中,内部网这一概念通常指的是(A )A. 可信任网络B. 不可信任网络C. 防火墙内的网络D. 互联网3. 信息安全技术的核心是(A )A. PKIB. SETC. SSLD. ECC4. CA不能提供以下哪种证书?(D )A. 个人数字证书B. SSL服务器证书C. 安全电子邮件证书D. SET服务器证书5. 我国电子商务走向成熟的重要里程碑是(A )A. CFCAB. CTCAC. SHECAD. RCA6. 通常为保证商务对象的认证所采用的手段是(C )A. 信息加密和解密B. 信息隐匿C. 数字签名和身份认证技术D. 数字水印7. 以下哪一项不在证书数据的组成中?(D )A. 版本信息B. 有效使用期限C. 签名算法D. 版权信息8. 计算机病毒的可能导致的情况之一是(B )A. 非授权不可执行性B. 非授权可执行性C. 授权不可执行性D. 授权可执行性9. 保证商业服务不可否认的手段主要是(D )A. 数字水印B. 数据加密C. 身份认证D. 数字签名10. DES加密算法所采用的密钥的有效长度为(C )A. 32B. 56C. 64D. 12811. 在防火墙技术中,我们所说的外网通常指的是(B )A. 受信网络B. 非受信网络C. 防火墙内的网络D. 局域网12. 不涉及PKI技术应用的是(D )A. VPNB. 安全E-mailC. Web安全D. 视频压缩13. SHECA指的是(A )A. 上海市电子商务安全证书管理中心B. 深圳市电子商务安全证书管理中心C. 上海市电子商务中心D. 深圳市电子商务中心14. 文件型病毒是寄生在以下哪类文件中的病毒?(B )A. 仅可执行文件B. 可执行文件或数据文件C. 仅数据文件D. 主引导区15. 消息经过散列函数处理后得到的是(C )A. 公钥B. 私钥C. 消息摘要D. 数字签名16. 电子商务按照商业活动的运作方式分类可以划分为:(D )A. 基于网络的电子商务和基于EDI的电子商务B. 简单电子商务和复杂电子商务C. 安全电子商务和不安全的电子商务D. 纯电子商务和部分电子商务17. (A )是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。
电子商务安全 练习题及答案
电子商务安全练习题
一、单项选择题。
1.保证实现安全电子商务所面临的任务中不包括(???)。
A.数据的完整性???
B.信息的保密性
C.操作的正确性
D.身份认证的真实性
3
4
5
6.
A
7.SET的含义是()
A.安全电子支付协议B.安全电子交易协议
C.安全电子邮件协议D.安全套接层协议
8.关于SET协议,以下说法不正确的是()。
A.SET是“安全电子交易”的英文缩写
B.属于网络对话层标准协议
C.与SSL协议一起同时在被应用
D.规定了交易各方进行交易结算时的具体流程和安全控制策略
9.以下现象中,可能由病毒感染引起的是()
A出现乱码B磁盘出现坏道C打印机卡纸D机箱过热
10.
11.
()
12
C
13
1.电子商务安全协议主要有和两个协议。
2.SSL协议由和两个协议构成。
三、问答题。
分析比较对称密码密钥体系和非对称密码密钥体系的各自的特点及优缺点。
一、单选题
1.C2.D3.D4.A5.D6.B7.B8.B9.A10.C11.B12.C13.C
二、填空题
1.SSL;SET
2.握手协议;消息加密协议
参考答案:
(1)发送方首先用哈希函数将需要传送的消息转换成报文摘要。
(
(
(
(
(
(SSL (
(。
习题册参考答案-《电子商务安全技术(第三版)习题册》-A24-4085
答案第1章电子商务安全概述一、填空题1.计算机网络安全、商务交易安全2.商务交易安全隐患,人员、管理、法律的安全隐患3.鉴别、确认4.网络实体5.被他人假冒6.网络操作系统、网络协议二、选择题1.A2.C3.C4.D5.D三、判断题1.X2.√3. X4.√5.X四、简答题1.答:Internet是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统,或窃取机密数据、或盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。
2.答:为真正实现安全的电子商务必须要求电子商务能做到机密性、完整性、认证性、有效性和不可否认性,只有满足了这些条件的电子商务才能称的上是安全的电子商务。
3.答:这个安全体系至少应包括三类措施,并且三者缺一不可。
一是技术方面的措施,技术又可以分为网络安全技术,如防火墙技术、网络防黑、防毒、虚拟专用网等,以及交易安全技术,如信息加密、安全认证和安全应用协议等。
但只有技术措施并不能保证百分之百的安全。
二是管理方面的措施,包括交易的安全制度、交易安全的实时监控、提供实时改变安全策略的能力、对现有的安全系统漏洞的检查以及安全教育等。
三是社会的法律政策与法律保障。
电子商务安全性首先依托于法律、法规和相关的管理制度这个大环境,在这个大环境中,运用安全交易技术和网络安全技术建立起完善的安全管理体制,对电子商务实行实时监控,并加强安全教育等,从而保证电子商务的安全性。
4.答:(1)网上预订飞机票、火车票(2)网上客房预订(3)网上购物、购书(4)网上拍卖(5)网上旅游交易会、农副产品交易(6)网上销售娱乐、游戏、电子书籍、软件等知识产品(7)提供 ISP、ICP、IDP 等网络技术服务五、案例分析题略第2章计算机与网络系统安全技术一、填空题1.正常运行篡改泄露2.程序3.非法入侵者4.端口、漏洞5.拒绝服务攻击(DDoS)6.缓冲区溢出攻击、欺骗攻击7.安全策略8.日志记录9.代理型、状态监测10.网络,主机11.外存储器12.备份13.资源共享、互联服务14.网络隧道二、选择题1.B2.D3.A4.B5.B6.A7.D8.C9.C 10.D 11.A 12.B 13.B三、判断题1.√2. X3.√4.X5.√6.X7.√8.√9.√ 10.√ 11.X四、简答题1.答:破坏性、寄生性、传染性、潜伏性、针对性。
电子商务安全课本习题答案
电子商务安全课本习题答案电子商务安全课本习题答案随着互联网的迅猛发展和电子商务行业的蓬勃兴起,电子商务安全问题也日益凸显。
为了提高电子商务从业人员的安全意识和应对能力,许多教材都设置了相关的习题。
本文将围绕电子商务安全课本习题展开讨论,为读者提供一些参考答案。
一、网络安全1. 什么是网络安全?网络安全指的是保护网络系统免受未经授权的访问、使用、披露、破坏、修改或者阻断的能力。
2. 列举常见的网络安全威胁类型。
常见的网络安全威胁类型包括:病毒和恶意软件、网络钓鱼、黑客攻击、拒绝服务攻击、数据泄露等。
3. 如何防范网络钓鱼攻击?防范网络钓鱼攻击的方法包括:警惕可疑邮件和链接、不轻易泄露个人信息、使用安全的密码、定期更新操作系统和软件等。
二、支付安全1. 什么是支付安全?支付安全指的是在电子商务交易中保护用户支付信息不被盗取、篡改或滥用的措施和技术。
2. 如何保护用户支付信息的安全?保护用户支付信息安全的方法包括:使用安全的支付平台和支付方式、定期更改支付密码、不在公共网络上进行支付等。
3. 电子钱包和移动支付的安全性如何保障?电子钱包和移动支付的安全性保障主要包括:加密技术、双重认证、风险评估和监控等。
三、数据安全1. 什么是数据安全?数据安全指的是保护数据不被未经授权的访问、修改、披露、破坏或丢失的措施和技术。
2. 如何保护个人隐私数据的安全?保护个人隐私数据安全的方法包括:使用强密码、定期备份数据、限制数据访问权限、使用防火墙和安全软件等。
3. 云计算的数据安全如何保障?云计算的数据安全保障主要包括:数据加密、身份认证、访问控制、数据备份和灾备等。
四、知识产权保护1. 什么是知识产权保护?知识产权保护指的是保护创新成果、商业秘密和知识产权不被未经授权的使用、复制、传播或盗取的措施和法律保护。
2. 如何保护自己的知识产权?保护自己的知识产权的方法包括:申请专利、商标注册、签署保密协议、加强内部知识产权保护等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.电子商务的主要类型有哪些?B2B B2C B2G C2C C2G3:电子商务的基础设施包括哪些内容?用于电子商务转型的完整IT基础设施和完善的电子商务服务4.电子商务的安全要素有哪些?作用是什么?A.可用性需要的时候,资源是可用的(电子商务系统中主要有硬件软件和数据资源,资源的可用性是指需要这些资源的时候,这些资源是可用的)B.机密性谁有权力查看特定的信息(……)C.完整性允许谁修改数据,不允许谁修改数据(……)D.即时性在规定的时间完成服务(……)E.不可抵耐性为信息的收,发者提供无法否认的端到端的证据(……)F.身份认证解决是谁的问题(……)G.访问控制访问者能进行什么操作,不能进行什么操作(……)5.密钥的长度是否重要?为什么?重要,绝大多数算法在实施对数据的操作时都需要一定长度的密钥,防止强力攻击。
6.对称加密技术和非对称加密技术有何区?对称加密加密密钥与解密密钥是相同的,非对称加密加密和解密使用不同的密钥7.PKI提供哪些服务?数字签名,身份认证,时间戳,安全公正服务和不可否认服务8.用哪些技术解决不可抵耐性?身份认证技术,如口令,令牌,生物特征识别,数字签名,数字摘要,数字证书和PKI等9.安全管理的目标是什么?资源的可用性,信息的完整性,信息的机密性10.什么是威胁什么是漏洞,电子商务系统中有哪些漏洞,他们带来的后果是什么?威胁是攻破或损坏系统的潜在途径。
漏洞是攻破系统过程中利用的系统属性,是系统的薄弱环节。
分为软件漏洞和配置漏洞和社会漏洞后果,破坏系统安全,篡改数据,盗窃信息等。
11.为什么说人是电子商务安全中的最薄弱环节?由于安全产品的技术越来与阿完善,使用这些技术的人,就成为整个环节上最薄弱的的部分。
个人的行为和技术一样也是对系统安全的威胁。
社会工程学看似简单的欺骗,但却包含了复杂的心理学因素,其危害程度有时比直接的技术入侵要大得多。
对于技术入侵可以防范,但心理上的漏洞谁有能时刻的警惕呢?毫无疑问,社会工程学将来会是入侵和反入侵的重要对抗领域。
12.有几种安全领域?他们各自解决什么问题?物理安全域,限制人员使用设备,大楼和其他有形资源,目的是保护有形资产并阻止入侵者使用系统应用程序和信息。
网络安全域控制对网上资源的访问,目的是阻止外人使用私有资产。
应用安全域限制操作类型和范围数据安全域定义各类数据的保护边界13.应急预案包括哪些部分?各自解决什么问题?隔离威胁,目的限制攻击范围。
恢复服务,目的实现资源的可用性。
攻击后的任务,了解被利用漏洞,哪些环节遭到了破坏,全面恢复成本,如何防范此类攻击。
1. 请说明DES的基本原理()公钥密码算法最大的特点是采用2个相关密钥将加密和解密的能力分开,其中一个密钥是公开的,成为公钥,简称公开钥,用于加密,另一个是位用户专有,因而是保密的,成为私密密钥,简称秘密钥,用于解密4.结合非对称加密机制的原理,说明RSA算法的基本思想。
RSA的安全性基于大数分解难度,其公钥和私钥是一对大素数的函数,从一个公钥和密钥中恢复出明文的难度等价于两个大素数之和。
5.分组密码和流密码的区别是什么?6.什么事单向函数Hash函数具有不可逆性,它赋予一个消息唯一的指纹,通过指纹就可以判别出该消息的完整性。
7.MD5,SHA-1密钥多长?哪一个更安全?128位和160位,SHA-18.为什么用散列函数而不是用对称密码构造消息认证码?如果使用单纯的Hash函数,则黑客在修改文件的同时,也可能重新计算器散列值,并替换原散列值,这样磁盘的文件的完整性得不到有效的保护。
将单向散列函数转换成MAC可以通过堆成加密算法加密散列值来实现。
相反,将MAC转换成单向散列函数只需要将密钥公开即可。
9.请说明数字签名的基本方法和作用。
产生方法,A,有加密算法产生数字签名B,由签名算法产生数字签名执行方法,A,直接方式B具有仲裁的方式作用身份认证,数据完整性,不可否认性及匿名性10.链路加密和端到端的加密区别是什么?链路加密是仅在物理层前的数据链路层进行加密。
端到端加密时在应用层完成,即传输前的高层中完成。
第三章1.密钥有哪几种分类?A.初级密钥 B.钥加密钥 C.主机密钥 D.其他密钥2.请列举出几种对称密钥的分配方案。
A.点对点模式,即通信双方直接管理共享通信密钥B.KDC模式,通信双方的绘画密钥由KDC管理生成C.KTC模式,通信双方的绘画密钥由发起方生成,获取,并由KTC管理传递。
3.公钥密码学和有关密钥分配的两种不同用途是什么?公开密钥加密也称为非对称密钥加密,是由Diffie与Hellmann两位学者所是出的单向函数与单向暗门函数为基础,为发讯与收讯的两方建立加密金钥。
公钥加密的另一用途是身份验证:用私钥加密的信息,可以用公钥拷贝对其解密。
4.你能列举出几种密钥分配方法?A.临时锁定公钥/自由的扩散\PGO的公钥环B.公开的目录服务(在线方式)C.公钥授权D.通过证书中心CA(离线中心方式)5.什么事密钥托管技术?密钥托管技术又称为密钥恢复(Key Recovery),是一种能够在紧急情况下获取解密信息的技术。
它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥的情况下恢复明文。
第四章1.什么事PKI?有哪些组成部分?有哪些功能?公钥基础设施(PKI)是利用公钥密码技术来实现并提供安全服务的具有通用性的安全基础设施他的基础是公钥加密技术,核心是整数服务,他可通过一个基于认证的框架处理所有数据加密和数字签名工作,并进行密钥管理和价差认证。
组成部分:A.认证机构 B.证书库 C.密钥备份及恢复系统 D.整数作废处理系统E.PKI应用接口系统2.公钥的基础设施做用时什么?A.通过PKI可以构建一个可控的安全的互联网络B.通过PKI可以在互联网中构建一个完整的授权服务体系C.通过PKI可以建设一个普适性好安全高的统一平台3.什么叫数字证书?有你什么功能?数字证书是经过证书认证中心CA数字签名,并且包含公开密钥拥有者信息及公开密钥文件。
作用:信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性4.请说明X.509证书的格式。
5.什么是CRL?证书撤销列表,又称证书黑名单,为应用程序和其他系统提供了一种检验证书有效的方式。
6.谈谈CA的作用。
认证机构CA是整个PKI的核心,是PKI应用中权威的可信任的公正的第三方机构,是体系信任的源头。
CA是电子商务体系的核心环节,是电子交易信任的基础,是CA保证网上电子交易安全的关键环节。
其主要职责包括证书颁发,证书废除,证书更新,维护证书,和CRL,证书装填查询,证书和制定政策等。
7.略8.常用的信任模型有哪些?谈谈他们各自的优缺点。
A.下属层次信任模型B.网状信任模型C.混合型信任模型D.桥CA信任模型E.Web信任模型9.PKI能提供哪些服务?认证,数据完整性,数据保密性,不可否认性服务,公正服务时间戳服务10.请说明数字时间戳的工作原理和作用。
首先,用户将需要加时间戳的文件用Hash编码加密形成摘要然后,将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
作用:电子商务的发展过程中,数字签名技术也有所发展。
数字时间戳技术就是数字签名技术的另一种的应用。
在电子商务交易文件中,时间是十分重要的信息。
在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
数字时间戳服务(DTS:digita1 time stamp service)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护,由专门的机构提供。
如果在签名时加上一个时间标记,即是有数字时间戳(digital time stamp)的数字签名。
11.试分析一个电子商务网站,看看他是如何利用PKI来保证交易的安全的。
(考点)电子商务系统的主要参与者包括:商家、客户、电子商务站点、银行与支付网关和可信的第三方服务(时间戳服务器等)。
系统采用数字证书实现对商家和客户的身份认证,使用公钥加密和数字签名保证通信数据的完整性和保密性,使用时间戳服务实现订单时间的不可抵赖性,并通过签名加密的电子邮件实现各参与者之间的数据通信。
过程:1):客户浏览电子商务站点,进行客户端认证。
客户通过互联网连接到电子商务站点,并要求服务器出示服务器证书,认证站点服务器身份。
同时,站点服务器向客户端发出认证请求,客户将自己的客户证书发送给服务器,服务器检查客户证书的有效性,包括验证用户证书,检查证书是否由可信的证书颁发机构签发,检查证书是否过期或被撤销等。
双方身份认证完成后进入购买阶段。
2)客户购买商品,发送订单客户确定所需商品后,需要向商家发送订单。
订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。
双重签名(sign[H(OP)]):客户将OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要(PIMD),将OIMD和PIMD合并后再Hash得到POMD,使用自己的私钥加密POMD,生成双重签名。
订单指令(OI):包含客户购买的订单信息。
客户使用对称密钥加密订单,同时用站点服务器的公钥加密对称密钥,两者结合在一起形成OI的数字信封。
客户将订单信息(OI),支付信息摘要(PIMD)和双重签名一起发送给商家。
支付指令(PI):包括客户的信用卡号、密码等支付信息。
客户同样使用对称密钥和发卡行的公钥生成PI的数字信封,并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。
3)服务器接受订单,验证信息并请求时间戳服务器在收到客户发来的订单指令后,通过客户公钥获取订单摘要,并将订单摘要发送给时间戳服务器。
时间戳服务器将该订单摘要和当前日期、时间的摘要合并,生成时间戳,利用时间戳服务器的私钥签名,返回给站点服务器。
站点服务器利用时间戳公钥解密,以确定当前交易发生的时间,实现的交易时间的不可抵赖。
服务器验证订单信息和签名,通过自己的私钥解密数字信封得到对称密钥,使用对称密钥解密得到一份订单。
服务器使用相同的Hash函数作用这份订单,得到一份新的订单摘要(OIMD2);然后将OIMD2客户发来的PIMD合并后再Hash,得到一份新的双重摘要(OPMD2),服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD,若两份摘要相同,则到此完成订单的验证。
记录交易数据。
在此我们可以看到,客户使用自己的私钥加密摘要(即数字签名),服务器使用该客户公钥解密,保证了订单信息来自该客户;订单信息使用对称公钥加密,对称公钥使用服务器的公钥加密,这样只有才能服务器使用自己的私钥得到对称公钥,进而得到订单信息,因此订单信息只能由服务器端得到并解析;服务器端比对订单信息的新生成摘要和客户发来的摘要,保证的信息在发送过程中没有受到第三方的篡改;最后,通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。