电子商务安全期末考试复习题
电子商务期末复习题
电子商务期末复习题本卷共81分,其中判断24个,每题1分,单选21个,每题1分,多选18个,每题2分一、判断题1.广义的电子商务也称为电子交易,主要是指在互联网上进行的交易活动,包括买实产品和提供服务。
对错(正确答案)2.电子商务交易的商品可以是实体商品,如服装、食品等,也可以是数字化商品,如软件、视频等,还可以提供各种服务,如预订酒店等。
对(正确答案)错3.传统商务与电子商务在交易磋商环节的主要区别:传统商务是交易双方进行口头磋商或纸面贸易单证的传递,而电子商务是交易双方通过网络进行在线洽谈并传递电子贸易单证。
对(正确答案)错4.电子商务是个人对个人的交易,即参与交易的双方不是企业,而是自然人。
对错(正确答案)5.由于使用EDI能有效减少基至最终消除贸易过程中的纸面单证,因面也被称为“无纸交易”。
EDI具有费用低、覆盖范围广的特点。
对错(正确答案)6.基于互联网与内联网的电子商务都仅供企业内部成员使用,外那客户的访问会受到限制。
对错(正确答案)7.本地电子商务文易的地域范围较大,对软、硬件和技术要求较高,要求在全国范围内实现商业电子化、自动化,并实观金融电子化。
对错(正确答案)8.在线旅游服务是通过传统互联网、移动互联网及呼叫中心,为消费者提供交通、住宿、度假旅游等旅游产品的综合信息检索、咨询与预订服务。
对(正确答案)错9.网络零售的商品主要覆盖了图书音像、服装鞋靴、美妆饰品、数码家电、箱包家纺等附加值较高的品类、不适合利润空间较小的日用百货品类。
对错(正确答案)10.电子商务将降低大公司所拥有的规模经济竞争优势、从面使中小企业更易于在全球范国内参与竞争。
对(正确答案)错11.电子商务客服岗位的主要工作包括收集客户信息,了解客户需求,线上或线下与客户进行有效沟通,发展维护良好的客户关系,做好售前、售中、售后服务等。
对(正确答案)错12.相对于内贸型B2B电子商务,外贸型B2B电子商务雷要突破语言、文化。
电子商务安全期末试卷及答案2套
期末《电子商务安全》试卷A一、填空题(每空1分,共计20分)1.电子商务面临的安全威胁主要可以分为、、和。
2.加密技术可以分为和两种基本加密体制。
3.利用可以使得签名者无法获悉其所要签发文件的具体内容。
4.从总体看防火墙可以分为、、和四种类型。
5.入侵检测实现一般分为、和三个步骤。
6. 就是根据资源的价值来确定保护它们的适当安全级别。
7.CA发放的证书分为和两类证书。
8.WTLS具备、、和拒绝服务保护四大特性。
二、不定项选择题(下列选项中有1个或者多个是正确的,请选择正确的选项填入括号中,多选、错选和少选均不得分。
每小题2分,共20分)1.攻击电子商务系统的手段包括()。
A.中断B.窃听C.篡改D.伪造2.数字时间戳包括()。
A.需要加盖时间戳的文件摘要B.DTS的数字签名C.时间戳水印D.DTS收到文件的日期和时间3.消息的序号和时间性的认证目的是()。
A.确保信息的完整性B.确认信息发送的宿主C.确认信息发送的源头D.阻止消息的重放攻击4.计算机病毒按存在的介质分类可以分为()。
A.比特流病毒B.文件病毒C.网络病毒D.引导型病毒5.VPN实现的关键技术包括()。
A.隧道技术B.加密技术C.QoS技术D.数据包分发技术6.信息系统风险一般可以划分为()。
A.突发风险B.常规风险C.计算机系统风险D.环境问题7.()是PKI的重要组成部分。
A.OCSPB.KEAC.CAD.DPV8.计算机病毒可以通过()进行传播。
A.移动存储设备B.网络平台C.软件下载D.更换电源9.电子政务的信息安全机制包括()。
A.封闭机制B.支撑机制C.防护机制D.监测和恢复机制10.风险处理计划是()过程中产生的重要文件。
A.风险应对B.风险识别C.风险预防D.风险评估三、名词解释(每小题4分,共20分)1.密码体制2.消息摘要3.防火墙4.入侵检测5.数字证书四、简答题(每小题7分,共28分)1.利用哈希函数进行数字签名和验证的文件传输过程包括哪些步骤?2.电子商务交易安全具备哪些需求?3.电子商务安全管理主要包括哪些环节?4.手机病毒具有哪些特点?五、案例分析题(每题12分,共12分)中国煤焦数字交易市场中国煤焦数字交易市场(网址:)是国家863计划,科技部“九五”重大攻关项目,国家“流通领域信息化”示范工程,是一个面向市场、服务全国、连接世界的大型电子商务应用典范。
《电子商务安全》期末考试题含答案
《电子商务安全》期末考试题含答案《电子商务安全》期末考试题一、选择题1、以下哪种协议广泛应用于电子商务中,用于保证数据传输的安全性? A. SSL B. IPsec C. SET D. Kerberos 答案:A. SSL2、下列哪种攻击方式属于被动攻击? A. 监听 B. 假冒 C. 拒绝服务 D. 篡改答案:A. 监听3、为了防止电子商务中的欺诈行为,以下哪种方法最有效? A. 使用强密码 B. 经常更换密码 C. 使用匿名购物 D. 多次购买低价商品答案:A. 使用强密码4、下列哪个标准定义了IPSec协议? A. IETF B. ISO C. ITU D. IEEE 答案:A. IETF5、在电子商务中,以下哪种支付方式属于最安全的支付方式? A. 信用卡支付 B. PayPal支付 C. 电汇支付 D. 支票支付答案:B. PayPal支付二、简答题 6. 请简述SET协议的原理和作用。
答案:SET协议是一种安全电子交易协议,主要用于保障在Internet上进行信用卡支付的安全。
SET协议采用了公钥密码体制和X.509数字证书,通过数字签名、加密和消息认证等方式保证信息的安全性。
SET协议主要流程包括订单信息交换、支付信息交换和证书信息交换等步骤,使得商家和银行之间可以安全地进行电子交易。
7、请简述IPSec协议如何保障电子商务的安全。
答案:IPSec协议是一种端到端的安全协议,可以保障电子商务的安全。
IPSec协议通过在IP层上提供安全服务,可以保护数据包在网络传输过程中的完整性、私有性和可用性。
IPSec协议提供了两种主要的加密方式:数据认证和认证头(AH)以及封装安全有效负载(ESP)。
通过这些方式,IPSec可以防止网络攻击、数据泄露和篡改,从而保障电子商务的安全。
71、请简述电子商务中常见的安全问题及其解决方案。
答案:电子商务中常见的安全问题包括黑客攻击、网络钓鱼、身份盗用、数据泄露和电子欺诈等。
电子商务安全复习题(答案)
第1章 概论1、电子商务安全问题主要涉及哪些方面? p5答:信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。
2、电子商务系统安全由系统有哪些部分组成? p7答:实体安全、系统运行安全、系统信息安全。
3、电子商务安全的基本需求包括哪些? P16答:保密性、完整性、认证性、可控性、不可否认性。
4、电子商务安全依靠哪些方面支持? P17答:技术措施、管理措施、法律环境。
5、什么是身份鉴别,什么是信息鉴别? p15答:所谓身份鉴别,是提供对用户身份鉴别,主要用于阻止非授权用户对系统资源的访问。
信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。
第2章 信息安全技术1、信息传输中的加密方式主要有哪些? P27答:链路-链路加密、节点加密、端-端加密。
2、简述对称加密和不对称加密的优缺点。
P35 p40答:(1)对称加密优点:由于加密算法相同,从而计算机速度非常快,且使用方便、 计算量小 、加密与解密效率高。
缺点:1)密钥管理较困难;2)新密钥发送给接收方也是件较困难的事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。
(2)不对称加密优点:由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程,因此有助于加强数据的安全性。
缺点:加密和解密的速度很慢,不适合对大量的文件信息进行加密。
3、常见的对称加密算法有哪些? P35答:DES、AES、三重DES。
4、什么是信息验证码,有哪两种生成方法? P36答:信息验证码(MAC)校验值和信息完整校验。
MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑联系。
两种生成方式:1)j基于散列函数的方法;2)基于对称加密的方法。
5、如何通过公开密钥加密同时实现信息的验证和加密?P39答:1)发送方用自己的私有密钥对要发送的信息进行加密,得到一次加密信息。
2)发送方用接收方的 公开密钥对已经加密的信息再次加密;3)发送方将两次加密后的信息通过 网络传送给接收方;4)接收方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息;5)接收方用发送方的公开密钥对一次加密信息进行解密,得到信息明文。
电子商务安全技术 期末试题
1.电子商务安全的三项基本技术:密码技术、网络安全技术和PKI技术2. 密码技术的分类。
加密、签名技术和密钥管理技术3. 密钥管理技术的分类对称密钥管理、公开密钥管理和第三方托管技术4. 电子签名立法的原则“技术中立”原则、功能等同方法、当事人自治原则(合同自由原则)和合理性原则5.电子政务信息安全机制。
支撑机制、防护机制、检测和恢复机制6 电子商务的安全威胁信息的截获和窃取、信息的篡改、信息假冒、交易抵赖和信用的威胁。
7 电子商务三层安全服务规范。
1网络层、传输层和应用层安全服务。
8 数字签名的特点完善的数字签名应具备:签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力9 认证的主要内容消息认证、身份验证和数字签名10 公开密钥分发的方法公开宣布;公开可以得到的目录;公开密钥管理机构;公开密钥证书。
11 电子商务面临的主要攻击中断、窃听、篡改和伪造等。
12 信息篡改的手段篡改、删除和插入13 数字签名的使用模式智慧卡式、密码式和生物测定式。
14 三类常见的身份认证的方法口令认证、持证认证和生物识别15 入侵检测的步骤三个步骤依次为:信息收集、数据分析和响应(主动响应和被动响应)16 明文空间和密文空间所有明文的集合称为明文空间;所有密文的集合称为密文空间。
17 数字签名数字签名时指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,和与数据有关的任何方法,它可用于数据电文有关的签字持有人和标明此人认可数据电文所含信息。
18 不可争辩签名不可争辩签名时在没有签名者自己的合作下不可能验证签名的签名。
19 风险评估风险评估就是根据资源的价值来确定保护它们的适当安全级别。
20 电子政务的信息安全目标可用性目标、完整性目标、保密性目标、可记账性目标、保障性目标21信息的完整性信息的完整性有又叫真确性,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
电子商务安全管理期末复习题
电子商务安全管理期末复习题1、常用的网络安全技术有哪些?(20分)安全交易技术,信息加密技术,数字签名,病毒防护技术,身份识别技术,防火墙技术,入侵检测系统,网络安全管理策略。
2、对称密码体制的优缺点是什么?(20分)优点:计算量小,加密速度快,加密和解密数据使用同一个密钥。
缺点:容易引起密钥泄密和信息失密,它存在着通信的贸易双方之间确保密钥安全交换的问题。
此外,某一贸易方有几个贸易关系,它就要维护几个专用密钥,也没法鉴别贸易发起方或贸易最终方,因为贸易的双方的密钥相同。
另外,由于对称加密系统仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
3、什么是计算机病毒?(20分)计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。
”国外对计算机病毒最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。
计算机病毒通常包括引导模块、传染模块、破坏行动模块。
存储介质上的计算机病毒,在没有加载在内存中处于运行状态时,不具备传染性和破坏性,因此对系统的安全不构成危害。
4、数字证书的概念是什么?(20分)数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活的身份证。
它是由一个权威机构--CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
5、什么是防火墙?(20分)为了防范不可信用户利用Internet入侵内部网,保护内部网不受外来入侵的攻击,人们在Internet与内部网之间设置一个安全网关,在保持内部网与Internet连通性的同时,对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。
电子商务安全期末复习题
电⼦商务安全期末复习题电⼦商务安全期末复习题单项选择题:1、电⼦商务应⽤中的风险不包括()问题A. 病毒和⿊客攻击B. 操作系统安全漏洞C. 有效性D. 敏感性E. 实⽤性D2、Internet上的电⼦商务安全不涉及()问题A. 通信可靠性B. 敏感信息保密C. SET协议的私钥保密D. 追踪和监控交易过程E. 控制资⾦流和物流C3、PKI技术中的X.509证书使⽤了不同于XML中的()进⾏描述A. 数据表达B. 存储格式C. ASN.1语⾔D. 扩展性E. ⾼度结构化 C4、DES算法的标准分组长度、真实⽤到的加密密钥长度、迭代轮次、每次迭代⽤到的字密钥长度分别为()A. 56、56、8、56B. 64、56、16、48C. 64、56、15、48D. 64、56、16、46 E. 128、56、16、48 B5、现代密码学的主题不是()A. 秘密性B. 真实性C. 抵赖性D. 完整性E. CA E7、在IP报头的各个字段中,哪⼀个作⽤是:表⽰后⾯还有⼀分段,除了最后⼀个分段,所有分段的该标识置为1。
()D A.AF B.CF C.DF D.MF8、FTP⽂件传输应⽤在客户/服务环境。
请求机器启动⼀个FTP客户端软件,这就给⽬标⽂件服务器发出⼀个请求。
通常,这个请求被送到端⼝()。
C A.20 B.22 C.21 D.239、每台连接到以太⽹上的计算机都有⼀个唯⼀的()位以太⽹地址。
C A.53 B.32 C.48 D.1610、Ping命令的选项中()表⽰定义echo数据包⼤⼩。
CA.-t B.-a C.-l D.-n11、()命令⽤来跟踪⼀个报⽂从⼀台计算机到另⼀台计算机所⾛的路径。
DA.finger B.ping C.host D.tracert12、为了使过滤器难以探测到,要将⼀个TCP头分成⼏个数据包的扫描技术是()A.TCP connect()扫描B.TCP SYN扫描C.TCP FIN扫描D.IP段扫描D13、以下不属于常⽤的代理服务器软件的是()。
《电子商务安全》期末考试题含答案
《电子商务安全》期末考试题含答案电子商务安全期末考试A卷一、选择题(单选)1.下列选项中属于双密钥体制算法特点的是(C)A.算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高2.实现数据完整性的主要手段是(D)A.对称加密算法B.非对称加密算法C.混合加密算法D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】3.数字签名技术不能解决的安全问题是(C)A.第三方冒充B.接收方篡改C.传输安全4.病毒的重要特征是(B)A.隐蔽性B.传染性C.破坏性D.可触发性5.在双密钥体制的加密和解密过程中,要使用公共密钥和个人密钥,它们的作用是(A)A.公共密钥用于加密,个人密钥用于解密B.公共密钥用于解密,个人密钥用于加密C.两个密钥都用于加密D.两个密钥都用于解密6.在一次信息传递过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采用的安全手段是(B)A.双密钥机制B.数字信封C.双联签名D.混合加密系统7.一个密码系统的安全性取决于对(A)A.密钥的保护B.加密算法的保护C.明文的保护D.密文的保护8.在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于(A)A.包过滤型B.包检检型C.应用层网关型D.代理服务型9.电子商务的安全需求不包括(B)[机密性、完整性、认证性、有效性、匿名性、不可抵赖]A.可靠性B.稳定性C.真实性D.完整性10.SSL握手协议包含四个主要步骤,其中第二个步骤为(B)A.客户机HelloB.服务器HelloC.HTTP数据流D.加密解密11.SET安全协议要达到的目标主要有(C)【机密性、保护隐私、完整性、多方认证、标准性】A.三个B.四个C.五个D.六个12.下面不属于SET交易成员的是(B)A.持卡人B.电子钱包C.支付网关D.发卡银行13.X205证书包含许多具体内容,下列选项中不包含在其中的是(C)A.版本号B.公钥信息C.私钥信息D.签名算法14.身份认证中的证书由(D)A.政府机构B.银行发行C. 企业团体或行业协会D.认证授权机构发行15.目前发展很快的基于PKI的安全电子邮件协议是(A)A. S/MIME B.POP C.SMTP D.IMAP二、选择题(多选)16.下列属于单密钥体制算法的有(AC)A.DESB.RSAC.AESD.SHA17.下列公钥——私钥对的生成途径合理的有(BCD)A.网络管理员生成B.CA生成C.用户依赖的、可信的中心机构生成D.密钥对的持有者生成18.防火墙不能解决的问题包括(BCE)A.非法用户进入网络B.传送已感染病毒的文件或软件C.数据驱动型的攻击D.对进出网络的信息进行过滤E.通过防火墙以外的其它途径的攻击19.PKI技术能有效的解决电子商务应用中的哪些问题(ABC)全选A.机密性B.完整性C.不可否认性D.存取控制E.真实性20.SET要达到的主要目标有(ACDE)A.信息的安全传输B.证书的安全发放C.信息的相互隔离D.交易的实时性E.多方认证的解决三、填空:1. SSL可用于保护正常运行于TCP上的任何应用协议,如_HTTP__、__FTP_、SMTP或Telnet的通信。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.MAC:由只有通信双方知道的秘密密钥K来控制的消息的散列值。
2.数字信封:用对称密码体制的密钥加密明文,而用公钥密码体制的公钥加密这个对称密钥。
3.数字证书:就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件,其中CA的数字签名可以确保用户公钥的真实性。
4.PKI:公钥基础设施通常简称PKI。
所谓PKI就是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。
5.PDRR:电子商务安全是在安全策略的指导下,由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击:攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码,作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。
特点:广泛性、技术难度不高、危害性大。
7.VPN:虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来,或将一个或多个远程用户与内部网络安全的连接在一起,从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来,构成一个扩展了的企业内部网。
8.单点登录技术:简称SSO,是指用户只需向网络进行一次身份认证,以后再无需另外验证身份,便可访问所有被授权的网络资源。
9.替代和置换:假设明文消息中的每个字母不是同时移动相同的位数,而是根据一张替代表使用随机替换,则在一个明文消息中,每个A可以替换成B~Z中的任意字母,B也可以替换成A或C~Z中的任意字母。
置换密码通过改变明文消息中各元素出现的相对位置,但明文消息元素本身的取值不变。
乘积密码:是以某种方式连续执行两个或多个密码交换。
10.IPSec协议主要功能:①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式:电子现金、电子支票、电子信用卡,微支付1.电子商务安全要素:机密性(信息不被泄露给非授权用户)、完整性(信息是未被篡改的)、不可抵赖性(信息的收发双方不能否认曾经受发过信息)、即时性(在规定的时间内完成服务)、真实性(确保对方的真实信息和身份的来源是真的)、访问控制(对访问者访问资源时的权限控制)、可用性(访问者需要的时候是可用的)。
2.电子商务面临的安全威胁:中断、截获、篡改、伪造、抵赖。
3.风险管理定义和过程:风险管理由风险评估、风险处理、基于风险的决策组成。
风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。
基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。
基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动。
4.安全等级和对应的操作系统:类别有ABCD,级别和对应的操作系统分别为A、B1、B2、B3、C1 (Windows 9x系列)、C2 (Windows 2000)、D(Windows 2003及Unix、MS-DOS)。
5.数据加密标准DES:DES是一种分组密码算法,它将明文从算法的一端输入,将密文从另一端输出。
由于采用的是对称密钥,因此加密和解密使用相同的算法和密钥,并且加密和解密算法是公开的,系统的安全性完全依赖于密钥的保密。
6.DES加密过程:DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据7.异常检测与误用检测的区别:异常检测假设所有的入侵行为和正常行为不同,入侵是异常行为的子集。
异常检测系统通过监控程序监控用户的行为,将当前主题的活动情况与用户轮廓进行比较,用户轮廓通常定义为各种行为参数及其阈值的集合,用于描述正常行为范围。
误用检测是对已知的入侵行为和系统漏洞进行分析,研究入侵行为过程和系统漏洞的特征,对这些已知的攻击或入侵做出正确性的描述,用一种模式表示出来,形成入侵行为特征库。
8.SSL协议的工作原理:SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息,来实现有关安全特性的审查。
提供浏览器和服务器之间的鉴别和安全通信.提供身份认证、保密性、完整性。
SSL分为两层:①SSL握手协议是客户和服务器开始通信时必须进行的协议,握手协议有两方面的作用,其一是验证对方的身份,其二是协商在以后传输加密数据时要使用的会话密钥,以及求MAC时所用的密钥。
②SSL记录协议将数据流分割成一系列的片段并对这些片段进行加密来传输,接收方对每条记录单独进行解密和验证。
这种方案使得数据一经准备好就可以从连接的一端传输到另一端,并在接收到时即刻加以处理。
SSL工作过程:(1)浏览器请示与服务器建立安全会话;(2)浏览器与web服务器交换密钥证书以便双方相互确认;(3)web服务器与浏览器协商密钥位数(40位或128位),客户机提供自己支持的所有算法清单,服务器选择他认为最有效的密钥生成算法;(4)浏览器将产生的会话密钥用web服务器的公钥加密传给web服务器;(5)web服务器用自己的私钥解密;(6)web服务器和浏览器用会话密钥加密和解密,实现加密传输。
9.SET(安全电子交易协议)的工作流程:①初始请求②初始应答③购物请求④商家发出支付授权请求⑤支付网关发出支付授权请求⑥发卡银行对支付授权请求应答⑦支付网关向商家发送支付授权应答⑧商家向持卡人发送购物应答⑨持卡人接收并处理商家订单确认信息(10)商家发货并结算10.SSL与SET比较:SET是应用于Internet上的以信用卡为基础的安全电子交易协议,是针对信用卡在Internet上如何安全付款而制订的交易应用协议,而SSL仅仅是一个数据传输的安全协议,它只是为了确保通信双方信息安全传输而制订的协议。
也就是说,SET是电子商务交易的专用协议,而SSL只是保证Web安全的一个通用协议。
①用户接口:SSL协议已经被浏览器和Web服务器内置,无需安装专门的SSL软件;而SET协议中客户端需要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件;②处理速度:SET非常复杂、庞大,处理速度慢。
而SSL协议简单得多,处理速度比SET快;③认证要求:SSL V3.0可以通过数字证书和签名实现浏览器和服务器之间的相互身份认证,但不能实现多方认证,而且SSL中只有对服务器的认证是必须的,对客户端的认证是可选的。
SET协议对身份认证的要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题;④安全性:SET由于采用了公钥加密、消息摘要和数字签名可以确保交易信息的完整性、保密性、可鉴别性和不可否认性,且SET采用了双重签名来保证各参与方信息的相互隔离。
SSL协议虽然也采用了公钥加密、消息摘要、MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能但缺乏一套完整的认证体系,不能提供抗抵赖功能;⑤协议层次和功能:SSL属于传输层的安全技术规范,不具备电子商务的商务性、协调性和集成性功能,而SET协议未与应用层,不尽规范了整个电子商务活动的流程,而且制定了严格的加密和认证标准,具有商务性、协调性和集成性功能。
11.会话密钥的分配:①密钥由A选取并通过物理手段发送给B;②密钥由第三方选取并通过物理手段发送给A和B;③如果A、B事先已有一密钥则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方;④如果A和B与第三方C分别有一保密信道,则C为A、B选取密钥后,分别在两个保密信道上发送给A、B。
12.消息认证的方法:消息认证是一个过程,用来验证接收消息的真实性和完整性,同时还可以用来验证消息的顺序性和时间性。
方法有(1)利用对称加密体制实现消息认证(2)利用公钥加密体制实现消息认证(3)利用散列函数实现消息认证。
13.如何保密通信且实现身份认证:①先由甲方生成密钥k,并用自己的私钥对k进行加密生成c1②甲再用乙方的公钥对c1进行加密生成c2,并把c2和密文c发送给乙方③乙方先用自己的私钥把c2解密为c1④乙再用甲方的公钥把c1解密为k,乙方再用对称加密算法的密钥k解密最初的c,解出M。
14.利用数字证书进行身份认证:(1)单向认证:①甲产生数据消息M,并用自己的证书对应的私钥加密该消息生成密文ESKA(M),把密文和证书都发给乙②乙收到后,先验证证书的真伪与有效性,然后用甲方证书中的公钥解密密文;如解密成功则实现了了身份认证与完整性。
(2)双向认证:①完成以上2部实现单向认证②乙产生一个随机数R并生成一个消息,用自己的证书对应的私钥加密该消息,得到密文Db (Mb),把密文和自己的证书发给甲③甲收到后,先验证证书真伪、有效性,证书验证通过后,甲用乙的公钥解密密文,解密成功则实现了身份认证与完整性。
(3)三向认证:随机数(r A、r B)时间戳(t A t B)证书(A、B)会话秘钥(K ab)签名(signData)①甲给乙,t A,r A,B,signData,E KUB(K ab)②乙给甲,t B,r A,r B,A,signData,E KUA(K ab)③甲给乙,r B15.访问控制策略:访问控制策略在系统安全策略级上表示授权,也就是说决定对访问如何控制并决定如何访问。
访问控制的实现依赖于访问控制策略的实现。
可分为自主访问控制、强制访问控制、基于角色的访问控制。
①不能防范不经过防火墙的攻击②不能防范来自内部人员的恶意攻击③不能阻止被病毒感染的程序或文件的传递④不能防止数据驱动式攻击⑤防火墙是被动消极的防御,无法抵御新的攻击方式18.RSA工作原理:①选择大素数:独立的选取两大素数p和q,计算两者之积n=p×q计算n的欧拉函数φ(n)=φ(p)×φ(q)= (p-1)×(q-1),计算完后,n可以公开;②产生公钥和私钥:随机选一整数e(1≤e≤φ(n),φ(n)与e互素)作为某用户的公钥。
求出e的乘法逆元,将该结果作为私钥d,即d*e≡1 mod(φ(n))。
显然公钥和私钥是成对出现的,但私钥是保密的,公钥是公开的;③密钥的发布:将d保密,(d,n)作为私钥,将e公开,(e,n)作为公钥。
为了安全这时可销毁p,q;④加密的步骤:加密时首先将明文比特串分组,使得每个分组对应的十进制数小于n,即分组长度小于log2n。
然后对每个明文分组m,做加密运算c=E(m)=me mod n;⑤解密的步骤:对密文分组c的解密运算为m=D(c)=cd mod n。