电子商务安全期末复习题(1).

四、名词解释1.计算上安全：如果一个密码体制对于拥有有限资源的破译者来说是安全的，则称这样的密码体制是计算上安全的，计算上安全的密码表明破译的难度很大。2.SSL协议：是基于TCP/IP的安全套接层（SecureSocketsLayer）协议，由Netscape开发，是服务器与客户机之间安全通信的加密机制，用一个密钥加密在SSL连接上传输的数据。3.身份证明系统：身份证明系统由三方组成，一方是出示证件的人，称做示证者，由称申请者，提出某种要求；另一方为验证者，检验示证者提出的证件的正确性和合法性，决定是否满足其要求；第三方示可信赖者，用以调解纠纷。4.PKI：PKI即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等，密码服务及所必要的密钥和证管理体系。5.单钥密码体制：单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时，通信双方A、B必须相互交换密钥，当A发送信息给B时，A用自己的加密密钥进行加密，而B在接收到数据后，用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。五、简答题1.在交易双方的通信过程中如何实现源的不可否认性？（1）源的数字签名；（2）可信赖第三方的数字签名；（3）可信赖第三方对消息的杂凑值进行签名；（4）可信赖第三方的持证；（5）线内可信赖第三方；（6）上述方法的适当组合。2.电子商务安全的中心内容是什么?（1）商务数据的机密性；（2）商务数据的完整性；（3）商务对象的认证性；（4）商务服务的不可否认性；（5）访问控制性；3.简述SSL的体系结构。SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。（1）SSL记录协议，定义了信息交换中所有数据项的格式。其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层——应用层传来的数据；附加数据是加密后所产生的附加数据。（2）更改密码规格协议由单个消息组成，只有一个值为1的单字节。其目的是使未决状态拷贝为当前状态，更新用于当前连接的密码组。（3）SSL警报协议用于传送SSL的有关警报。（4）SSL握手协议用于客户/服务器之间相互认证，协商加密和MAC算法，传送所需要的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。4.简述双钥密码体制的基本概念及特点。双钥密码体制又称作公钥密码体制或非对称加密体制，这种加密法在加密和解密过程种要使用一对密钥，一个用于加密，一个用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能解密。这样每个用户有两个密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公开密钥加密的信息只有接收人才能解密。双钥密码体制算法的特点是：（1）适合密钥的分配和管理。（2）算法速度慢，只适合加密小数量的信息。5.试比较SSL协议和SET协议之间的差别。（1）在使用目的和场合上，SET主要用于信用卡交易，传递电子现金，SSL主要用于购买信息的交流，传递电子商贸信息；（2）在安全性方面，SET要求很高，SSL要求很低；（3）在交易对象的资格方面，SET要求所有参与者必须先申请数字证书来识别身份，SSL通常只要求商家的服务器认证；（4）在实施费用方面，SET较高，SSL较低；（5）在使用情况方面，SET普及率较低，SSL较高。6．证书有哪些类型？（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。六、论述题试述公钥证书的申请和吊销的过程。 （1）公钥证书的申请过程用户申请证书要向CA注册，填证书申请表，建立起注册者与CA的关系，注册者向CA提供必要的有关信息。在Internet环境下，可以通过联机实现申请。CA需要对注册者进行主体认证，确保公钥的持有者身份和公钥数据的完整性。持有者身份的确认是重要的一环，可以联机方式确认，必要时，通过脱机以传统方式进行。在多级安全系统中，通过认证可以决定申请者生成和发放何种等级的证书。可以采用多种技术实现：①个人出面方式，这是常用的可靠认证身份的方式；②出示身份证件，通过身份证件，供CA审查实现对申请者的认证。当CA认证申请者的身份后，按以下步骤生成证书：① CA检索所需要的证书内容信息；② CA证实这些信息的正确性后；CA用其签名密钥对证书签名；③ 向发卡银行申请信用卡SET认证服务；④ 将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；⑤ CA将证书送入证书数据库，向公用检索业务机构公布；⑥ CA将证书存档；⑦ CA将证书生成过程中的一些细节记入审计记录中。（2）公钥证书吊销过程公钥——私钥对在证书发行时规定了失效期。其值由CA根据安全策略来定。此外如发现或怀疑私钥泄露，或检测出证书已被篡改，则CA可以提前吊销或暂停使用。注册用户可以向CA申请吊销其证书，CA通过认证核实，即可履行吊销职责，并通知有关组织何个人，注册用户的上级等也可以申请吊销用户证书。对于已吊销的证书，CA要将它们记入证书吊销表中，并向可能的用户公布，以供查询。CRL中应包括名称、发布时间、已吊销证书号、吊销时戳、CA签名等。用户在接收一个公钥证书时，不仅要对其进行认证，同时还要检查它是否被列入最新的CRL中。CRL吊销的方式有：① 广播。CA通过广播方式公布CRL，即可通过E-mail或称为“推式”的安全查询方式。② 立即吊销。定期吊销表方式有一定延迟，立即吊销可以避免此类风险。它通过实时吊销检验或联机状态检验，使用公钥的系统能够和CA的服务器联络，以肯定所用证书的合法性。题前有#号为重点题，所有资料仅供参考一、名词解释#1、防火墙：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。#2、数字签名：是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。#3、数字证书：是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件#4、加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。5入侵检测技术：是为保证计算机系统的安全而设计与配置的一种能够及时发现并系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。6、PKI：公共密钥基础设施是一种集中化的、易于管理的网络安全。可以通过一个基于数字认证的框架处理所有的数据加密和数字签名工作。7、电子商务标准的制定原则：全面性、系统性、先进性、预见性、可扩充性8、包过滤型防火墙：在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。9、物理隔离技术：物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力10、入侵检测系统：入侵检测系统帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的迹象。11、对称加密技术：在对称加密技术中，加密和解密过程采用一把相同的密钥，通信时双方都必须具备这把密钥，并保证密钥不被泄露。通信双方先约定一个密钥，发送方使用这一密钥，并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后，接收方用解密算法，并把密钥作为算法的一个运算因子，将密文转变为原来的明文12、公钥加密技术：公钥密码体制对数据进行加密解密时使用一对密码，其中一个用于加密，而另外一个用于解密，这两个密码分别称为加密密钥和解密密钥，也称为公钥和私钥，它们在数学上彼此关联。加密密钥可以向外界公开，而解密密钥由自己保管，必须严格保密13、“电子签字”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。14、电子支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金、信用卡、借记卡、智能卡)等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付；是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。15、电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入收益方开户银行，以支付给收益方的一系列转移过程。我国给出的定义是：电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。16、电子现金，是一种以电子数据形式流通的，能被客户和商家普遍接受的，通过互联网购买商品或服务时可以使用的货币。电子现金是现实货币的电子化或数字模拟，它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。信用卡使用流程中的参与者主要包括发卡行、收单行、持卡人、商家及信用卡组织。17、电子钱包也是电子商务活动中购物顾客常用的一种支付工具，是一种客户端的小数据库，用于存放电子现金和电子信用卡，同时包含诸如信用卡账号、数字签字以及身份验证等信息18第三方支付平台是属于第三方的服务型中介机构，它主要是面向开展电子商务业务的企业提供与电子商务支付活动有关的基础支撑与应用支撑的服务。18、移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式二、问答题#1、电子商务有哪些安全威胁？{1}计算机网络风险（1）物理安全问题：物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故，以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：环境安全、设备安全、媒介安全（2）网络安全问题：在网络安全问题中，重要的是内部网与外部网之间的访问控制问题，另一个问题是内部网不同网络安全域的访问控制问题。（3）网络病毒的威胁（4）黑客攻击（5）电子商务安全自身的安全问题{2}电子商务交易风险（1）在线交易主体的市场准入（2）信息风险（3）信用风险（4）网上欺骗犯罪（5）电子问题（6）电子支付问题（7）在线消费者保护问题（8）电子商务中产品交付问题（9）电子商务中虚拟财产的保护问题{3}管理风险{4}政策法律风险2、电子商务的安全要素一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。{1}真实性：在进行电子商务交易时首先要保证身份的可认证性。{2}保密性：对敏感信息进行加密{3}有效性：贸易数据在确定的时刻、确定的地点是有效的。{4}完整性：信息在数据发送、传输和接收过程中始终保持原有的状态。{5}不可抵赖性：在电子交易过程的各个环节中都必须保存完整的记录并且不可更改3、电子支付存在的问题{1}银行支付系统互联互通有待时日{2}对更有效的安全机制的探讨{3}支付标准有待提高{4}社会诚信体系尚未建立#4、电子商务安全的体系结构{1}电子商务交易安全保障体系是一个复合型系统：它是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身与信息技术系统复合构成的。{2}人网结合是电子商务安全保障的本质特征{3}电子商务交易安全是一个动态过程#5、电子商务安全的技术保障{1}防火墙技术：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。{2}加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。{3}认证技术：#6电子商务标准的作用和意义{1}标准是电子商务整体框架的重要组成部分{2}电子商务相关标准为实现电子商务提供了统一平台{3}电子商务标准是电子商务的基本安全屏障{4}电子商务标准关系到国家的经济安全和经济利益7、防火墙的分类：{1}线路级网关：它工作在会话层，它在两个主机首次建立TCP连接时创立一个电子屏障，监视两主机建立连接时的握手信息{2}包过滤路由器：检查所通过数据包合法性的路由器，它对外部用户传入局域网的数据包加以限定。{3}应用网关：它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。{4}双重基地型网关：使用了一个含有两个网络接口的应用网关，并将其接在内部网和包过滤路由器之间，信息服务器则接在二者之间。{5}屏蔽主机防火墙：防火墙的应用网关只需要单个网络端口，并以物理方式连接在包过滤。路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层，所有的通信业务都要通过它的代理服务。{6}屏蔽主网防火墙：使用了两个包过滤路由器，从而形成了一个子网的态势。在理论上，该种防火墙当然可以连接多个子网，构成一个完善的综合防御体系。8、入侵检测系统分类：误用检测和异常检测。误用检测即基于特征的检测。首先根据已知的攻击行为建立一个特征库，然后提取系统当前动作到特征库中进行匹配，如果匹配则表明当前动作是一个入侵行为。优点是误报率低，但由于攻击行为多，特征库会变得很大，并只能检测到已知的攻击行为。异常检测即基于行为的检测。原理是建立一个正常的特征库，根据使用者的行为或资源使用情况来判断是否入侵。优点是与系统关联不大，通用性强，有可能检测到以前未出现过的攻击方法。9、密码分析者攻击密码的方法主要有穷举攻击、统计分析攻击和数学分析攻击。穷举攻击（Exhaustiveattack），是指密码分析者采用遍历（ergodic）全部密钥空间的方式对所获密文进行解密，直到获得正确的明文；统计分析攻击（Statisticalanalysisattack），是指密码分析者通过分析密文和明文的统计规律来破译密码；数学分析攻击（Mathematicalanalysisattack），是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码10、单表代替密码(1)混字法，就是简单代替密码(simplesubstitutioncipher)，将记有字母表中每个字母的卡片打乱秩序后重新排列，并与明文字母相对应，可构成一张单表代替表例1：根据表1完成明文substitutioncipher的英文单表代替加密，并计算其密钥空间(2)移位法，就是移位代替密码(Shiftsubstitutioncipher)，就是将明文字母表字母循环左移k位，构成密文字母表例如：步长为4，则明文A、B、C、…、Y、Z可分别由E、F、G、…、C、D代替。如果明文是“about”，则变为密文?，其密钥k=+4(3)乘数密码。将明文字母乘以密钥k并对q取模得到密文字母。加密过程可表示为:ek(m)=kmmodq=c，其中k和q为互素的，这样字母表中的字母会产生一个复杂的剩余集合。(4)仿射密码。明文字母经过线性变换得到密文字母。加密的形式为:ek(m)=(k1m+k2)modq=c，其中要求k1和q是互素的，理由同上。简单代替密码由于使用从明文到密文的单一映射，所以明文中单字母出现频率分布与密文中相同，可以很容易地通过使用字母频率分析法进行破译。11、公钥加密技术原理概述1976年Diffie和Hellman在其划时代的文献NewDirectionsinCryptography(密码学新方向)中提出公钥加密的概念，公钥加密是基于单向陷门(trapdoor)函数来实现的。单向陷门函数是指满足下列条件的函数f(x):(1)给定x，计算y=f(x)是容易的；(2)给定y，计算x=f-1(y)是困难的；(3)存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x=f-1(y)是容易的。仅满足第(1)条、第(2)条的称为单向函数，第(3)条称为陷门性，δ称为陷门信息。当用陷门函数f(x)作为加密函数时可将f(x)公开，这相当于公钥。f(x)函数的设计者将δ保密，用作解密密钥，这相当于私钥。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者，当然可以通过不安全信道传送，由于设计者拥有δ(私钥)，他可以容易地解出x=f-1(y)。单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的。目前公钥密码系统单向陷门函数的设计主要依赖下面3种数学难题:(1)背包问题；(2)大整数因子分解问题；(3)离散对数问题。12、RSA算法的实现步骤选取两个大素数，p和q。为了保证最大的安全性，p和q的长度应该相近。计算乘积:n=pq(公开)φ(n)=(p-1)(q-1)(不公开)然后随机选取加密密钥e(公开)，使e和φ(n)互素。计算出解密密钥d(不公开)，以满足:d=e-1modφ(n)注意,d和n也互素。e和n是公钥，d和φ(n)是私钥。两个素数p和q不再需要，它们应该被丢弃，但是绝对不可以泄漏。加密消息M时，先将其数字化，转化成数字序列，然后将数字序列分组，M=m1m2…ms，每个分组mi的长度相同(位数不够可在高位补0)且小于n的长度，加密后的密文C将由相同长度的分组ci组成。加密公式如下:ci=memodn解密时取每一密文分组ci并计算:mi=cdmodn消息用d加密就像用e解密一样容易，举一个简单的例子可以更清楚地说明这一点。选两个素数p=11，q=5，那么n=pq=55，φ(n)=(p-1)(q-1)=10×4=40随机选取e，如3，它与φ(n)=40没有公因子，那么d=3-1mod40=27。公开e和n，将d保密，丢弃p和q。设明文编码为：空格=00,A=01,B=02,…,Z=26m=HI=0809C1=(08)3mod55=17C2=(09)3mod55=14N=14,Q=17所以，密文为QN恢复明文M1=Cd=(17)27mod55=8M2=Cd=(14)27mod55=9因此明文为“HI”。13、隔离网闸与物理隔离卡的主要区别是什么？安全隔离网闸主管一个网络，能够实现网络间的安全适度的信息交换，而物理隔离卡不提供这样的功能，主管一个主机。14、隔离了，怎么还可以交换数据？通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的服务器上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。15、隔离网闸与防火墙有何不同？防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。16、国际电子商务立法主要内容和特点市场准入、税收、电子商务合同、电子支付、安全与保密、知识产权、隐私权的保护从上述国际电子商务立法的发展和主要内容来看，其特点有：国际立法的超前性、提供宽松、简约的电子商务的法制环境、电子商务立法修改的频繁性《电子商务安全与支付》复习提纲1.简述电子商务安全面临的主要问题。  交易环境的安全性  交易对象和交易过程的安全性  网上支付的安全需求 2. 对销售者而言，他面临的安全威胁主要有哪些？ (1)中央系统安全性被破坏 (2)竞争者检索商品递送状况 (3)客户资料被竞争者获悉 (4)被他人假冒而损害公司的信誉 (5)消费者提交订单后不付款 (6)虚假订单 (7)获取他人的机密数据 3. 对消费者而言，他面临的安全威胁主要有哪些？ (1)虚假订单 (2)付款后不能收到商品 (3)机密性丧失 (4)拒绝服务 4.网上进行电子交易的5个安全性要求 (1)真实性要求 (2)有效性要求 (3)机密性要求 (4)完整性要求 (5)不可抵赖要求 5.对称密钥算法和非对称密钥算法的原理和特点。  对称密钥加密，又称私钥加密，即发送和接收数据的双方必须使用相同的对称的密钥对明文进行加密和解密运算。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。 非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥；另一个由用户自己秘密保存，称为私有密钥。非对称加密体系不要求通信双方事先传递密钥或有任何约定就能完成保密通信，并且密钥管理方便，可实现防止假冒和抵赖，因此，更适合网络通信中的保密通信要求。非对称加密算法与对称加密算法的区别　　首先，用于消息解密的密钥值与用于消息加密的密钥值不同;　其次，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称加密算法却具有对称密码难以企及的优势。 6.DES、AES算法的基本原理和特点。 DES中数据以64bit分组进行加密，密钥长度作为56bit。加密算法经过一系列的步骤把64位的输入变换为64bit的输出，解密过程中使用同样的步骤和同样的密钥。明文和密文的长度均为64位，密钥长度为56位。  DES的加密解密需要完成的只是简单的算术运算，因此速度快，密钥生成容易，能以硬件或软件的方式非常有效地实现。  AES算法的基本原理：①是对称密码体制，亦即秘密密钥算法；②算法应为分组密码算法；③算法明密文分组长度为128比特，应支持128比特、192比特、256比特的密钥长度。 7.RSA算法的基本原理和特点。  RSA公钥密码算法是基于数论中的同余理论。如果用m代表明文，c代表密文，E(m)代表加密运算，D(c)代表解密运算，用x=y(moduloz)表示x和y模z同余，则加密和解密算法简单表示如下：   c=E(m)=me(modulon)m=D(c)=cd(modulon)特点：RSA的安全性；RSA的实用性； 8.什么是数字签名，它的基本要求有哪些？数字签名：指发送者根据消息产生摘要，并对摘要用自身的签名私钥进行加密。消息和用自身签名私钥加密的数字摘要组合成数字签名。数字签名的要求：（1）收方能够确认或证实发方的签名，但不能伪造。（2）发方发出签名的消息送收方后，就不能再否认他所签发的信息。（3）收方对已收到的签名消息不能否认，即有收到认证。（4）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。  以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。 保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。 数字签名算法依靠公钥加密技术来实现的。在公钥加密技术里，每一个使用者有一对密钥：一把公钥和一把私钥。公钥可以自由发布，但私钥则秘密保存；还有一个要求就是要让通过公钥推算出私钥的做法不可能实现。9.画图及描述数字签名和验证的过程。 （1)发送方首先用哈希函数讲需要传送的消息转换成报文摘要；（2)发送方采用自己的私有密钥对报文摘要进行加密，形成数字签名；（3)发送方把加密后的数字签名附加在要发送的报文后面，传递给接收方；（4)接收方使用发送方的公有密钥对数字签名进行解密，得到报文摘要；（5)接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。 10.画图及描述数字信封的基本过程。  数字信封技术首先使用秘密密钥加密技术对要发送的数据信息进行加密，然后利用公开密钥加密算法对秘密密钥加密技术中使用的秘密密钥进行加密。 11.对协议安全性的分析的5个方面。 (1)监听和中间人式攻击。 (2)流量数据分拆式攻击。 (3)截取再拼接式攻击。 (4)报文重发式攻击。 (5)密钥管理问题。 12.  SSL协议的基本功能和特点。  安全套接层协议是一种保护Web通信的工业标准，主要目的是提供Internet上的安全通信服务，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL记录协议：①SSL记录头格式②SSL记录数据的格式SSL握手协议：（重点掌握）SSL握手协议利用SSL记录协议，在支持SSL的客             户端和服务器端之间建立安全传输通道之后提供一系列消息，             用来实现：①在客户端验证服务器②允许客户端和服务器选择             双方都支持的加密算法、密钥算子③在服务器端验证客户（可             选的）④用公钥加密算法产生“共享秘密”⑤建立加密SSL连             接。SSL同时使用对称密钥算法和公钥加密算法（双向认证） 主要目的就是要解决WEB上信息传输的安全顾虑。SSL协议提供的服务可以归纳为如下三个方面：（简答题）(1)用户和服务器的合法性认证。(2)加密数据以隐藏被传送的数据。(3)维护数据的完整性。 13.  SET协议的基本功能和特点。  关键的认证机构（CA），CA根据X.509标准发布和管理证书基于互联网的卡基支付，是授权业务信息传输的安全标准采用RSA公开密钥体系对通信双方进行认证利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无涂改提供身份认证、数据保密、数据完整性等服务 14.  简述数字签名与数字加密在原理与应用等方面的不同之处。RSA加密：用公钥加密，用私钥解密RSA签名：用私钥签名，用公钥验证数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密，这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。数字加密则使用的是接收方的密钥对，这是多对一的关系，任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。另外，数字签名只采用了非对称密钥加密算法，它能保证发送信息的完整性、身份认证和不可否认性，而数字加密采用了对称密钥加密算法和非对称密钥加密算法相结合的方法。 15. 什么是身份认证，及常用身份认证技术。身份认证的定义：证实客户的真实身份与其所声称的身份是否相符的过程。常用的身份认证技术：  口令  标记方法  生物特征法 16. 什么是访问控制？访问控制的目的和核心是什么？  主要任务是保证网络资源不被非法使用和访问。目的:保护被访问的客体安全，在保证安全的前提下最大限度共享资源。核心是授权控制，既控制不同用户对信息资源的访问权限。 17.什么是入侵检测系统，其基本类型有哪些？  通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。  分类：根据被监控对象的不同分为：          基于主机的IDS          基于网络的IDS 18.什么是PKI，PKI的基本组成？公钥基础设施是指用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施。PKI提供的核心安全服务有：认证、完整性、机密性。PKI提供的附加服务有：不可否认性、安全通信、安全时间戳、公证基本组成：PKI策略、软硬件系统、证书结构CA、注册机构RA、证书发布系统、PKI应用。 19. 什么是数字证书，论述数字证书的基本结构和作用。  数字证书是一条数字签名的消息，它通常用于证明某个实体的公钥的有效性。数字证书是一个数据结构，具有一种公共的格式，它将某一成员的识别符和一个公钥值绑定在一起。证书数据结构由某一证书权威机构的成员进行数字签名。  数字证书，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。   数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。数字证书包括以下内容如图所示：       证书拥有者的姓名；       证书拥有者的公钥；      公钥的有限期；       颁发数字证书的单位；      颁发数字证书单位的数字签名；        数字证书的序列号等。 20.论述数字证书的交叉认证。  用户的数字证书都是认证中心签发的，通常一个CA中心的所有用户都自动信任该CA所签发的所有证书，这些证书能够自动进行认证，而不同的CA所签发的证书不能自动进行认证。为使不同的CA所签发的数字证书能够互相认证，就需要使用交叉认证技术。交叉认证是PKI技术中连接两个独立的信任域的一种方法，每一个CA都有自己的信任域，在该信任域中的所有用户都能够相互信任，而不同信任域中的用户需要相互信任，就需要通过在CA之间进行交叉认证来完成。交叉认证的作用就是能够扩大认证域的信用范围，使用户在更加广泛的范围内建立起信任关系。从技术角度来看，两个CA之间的交叉认证就是两个CA互相为对方的根CA签发一张证书，从而使两个CA体系内的证书可以互相验证；从业务角度来看，CA间通过进行交叉认证可以扩展信用范围。 21.简述WWW面临的风险。  WWW服务器软件是用来响应HTTP请求进行页面传输的。虽然WWW服务器软件本身并没有内在的高风险性，但其主要设计目标是支持WWW服务和方便使用，所以软件越复杂，包含错误代码的概率就越高，有安全漏洞的概率也就越高。安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。在大多数情况下，WWW服务器提供的是在低权限下能完成的普通服务和任务。（1）存放于Web服务器文件系统上的机密文件被非法用户窃取。（2）由远程用户发送给Web服务器的私人或保密信息被截获。（3）有关Web服务器主机的详细信息泄露，使侵入者得以分析，找出漏洞并闯入系统。（4）服务器存在允许外来者在Web服务器主机上执行命令的漏洞，使他们得以改动或破坏系统。 22.什么是防火墙？企业选购防火墙应注意的问题？  在被保护网络和Internet之间，或者和其它网络之间限制访问的软件和硬件的组合。  防火墙主要有三种类型：包过滤防火墙、代理服务器防火墙、应用层防火墙。  防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线。因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。1.防火墙自身是否安全防火墙自身的安全性主要体现在自身设计和管理两个方面。防火墙安全指标最终可归结为以下两个问题：(1)防火墙是否基于安全的操作系统。(2)防火墙是否采用专用的硬件平台。2.系统是否稳定可以从以下几个渠道获得：(1)国家权威的测评认证机构，如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。(2)与其他产品相比，是否获得更多的国家权威机构的认证、推荐和入网证明。(3)施加调查(这是最有效的方法)，考察使用单位和用户对该防火墙的评价。(4)自己试用。(5)厂商开发研制的历史。(6)厂商的实力。3.防火墙是否高效高性能是防火墙的一个重要指标，它直接体现可防火墙的可用性，也体现可用户使用防火墙所需付出的安全代价。4.防火墙是否可靠可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可用性。5.防火墙功能是否灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同拥护的各类安全控制要求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等，体现着控制注意的高效和质量。6.防火墙配置是否方便防火墙有没有简洁的安装方法呢？有！就是支持透明通信的防火墙。7.防火墙管理是简便提供灵活的管理方式和方法。通常体现为管理途径、管理工具和管理权限。8.防火墙是否可以抵抗解决服务攻击拒绝服务攻击可以分为两类：一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于TCP/IP协议本身的缺陷造成的，只有有数的几种，但危害性非常大。9.防火墙是否可以针对用户身份进行过滤10.防火墙是否具有可扩展、可升级性 23.电子商务支付系统的5个功能？ （1）使用数字签名和数字证书实现对各方的认证。 （2）使用加密技术对业务进行加密。 （3）使用消息摘要算法以确认业务的完整性。 （4）当交易双方出现纠纷时，保证对业务的不可否认性。 （5）能够处理贸易业务的多边支付问题。 24. 网上支付系统的3种基本类型。 1．基于信用卡的网上支付系统； 2．电子现金网上支付系统； 3．电子支票网上支付系统。 25.什么是电子现金？电子现金支付方式存在的问题？  电子现金是一种以数据形式流通的货币。 1．电子现金的特点：（1）银行和商家之间应有协议和授权关系。（2）用户、商家和电子现金银行都需使用E—Cash软件。（3）电子现金银行负责用户和商家之间资金的转移。（4）身份验证是由电子现金系统本身完成的。（5）匿名性。（6）具有现金特点，可以存、取、转让，适用于小额交易。  2．电子现金支付方式存在的问题（1）目前，只有少数商家接受电子现金，而且只有少数几家银行提供电子现金开户服务，给使用者带来许多不便。（2）成本较高。（3）存在货币兑换问题。由于电子现金仍以传统的货币体系为基础，因此从事跨国贸易就必须要使用特殊的兑换软件。（4）风险较大。如果某个用户的计算机存储器损坏了，电子现金也就丢失了，钱就无法恢复。 26.电子支票交易的过程。  电子支票是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。  消费者和商家达成购销协议选择用电子支票支付。  消费者通过网络向商家发出电子支票，同时向银行发出付款通知单。  商家通过验证中心对消费者提供的电子支票进行验证，验证无误后将电子支票送银行兑付。  银行在商家兑付时通过验证中心对消费者提供的电子支票进行验证，验证无误后即向商家兑付或转账。