电子商务安全课后习题答案王丽芳主编_第1页
电子商务安全课后习题答案王丽芳主编_第2页
电子商务安全课后习题答案王丽芳主编_第3页
电子商务安全课后习题答案王丽芳主编_第4页
电子商务安全课后习题答案王丽芳主编_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、第一章 .2. 电子商务的主要类型有哪些?B2B B2C B2G C2C C2G 3:电子商务的基础设施包括哪些内容? 用于电子商务转型的完整 IT 基础设施和完善的电子商务服务4. 电子商务的安全要素有哪些?作用是什么?A 可用性 需要的时候,资源是可用的 (电子商务系统中主要有硬件软件和数据资源,资 源的可用性是指需要这些资源的时候,这些资源是可用的)B. 机密性 谁有权力查看特定的信息()C. 完整性 允许谁修改数据,不允许谁修改数据()D. 即时性 在规定的时间完成服务()E. 不可抵耐性 为信息的收,发者提供无法否认的端到端的证据()F. 身份认证 解决是谁的问题()G. 访问控制

2、访问者能进行什么操作,不能进行什么操作()5. 密钥的长度是否重要?为什么? 重要,绝大多数算法在实施对数据的操作时都需要一定长度的密钥,防止强力攻击。6. 对称加密技术和非对称加密技术有何区? 对称加密加密密钥与解密密钥是相同的,非对称加密加密和解密使用不同的密钥7. PKI提供哪些服务?数字签名,身份认证,时间戳,安全公正服务和不可否认服务8. 用哪些技术解决不可抵耐性?身份认证技术,如口令,令牌,生物特征识别,数字签名,数字摘要,数字证书和PKI 等9. 安全管理的目标是什么?资源的可用性,信息的完整性,信息的机密性10. 什么是威胁什么是漏洞,电子商务系统中有哪些漏洞,他们带来的后果是

3、什么? 威胁是攻破或损坏系统的潜在途径。 漏洞是攻破系统过程中利用的系统属性, 是系统的薄弱后果,破坏系统安全, 篡改数据,就成为整个环节上最薄弱的的部社会工程学看似简单的欺骗, 但却包含环节。分为软件漏洞和配置漏洞和社会漏洞盗窃信息等。11. 为什么说人是电子商务安全中的最薄弱环节? 由于安全产品的技术越来与阿完善,使用这些技术的人 分。个人的行为和技术一样也是对系统安全的威胁。了复杂的心理学因素, 其危害程度有时比直接的技术入侵要大得多。 对于技术入侵可以防范, 但心理上的漏洞谁有能时刻的警惕呢?毫无疑问, 社会工程学将来会是入侵和反入侵的重要 对抗领域。12. 有几种安全领域?他们各自解

4、决什么问题?物理安全域, 限制人员使用设备, 大楼和其他有形资源, 目的是保护有形资产并阻止入侵者 使用系统应用程序和信息。网络安全域 控制对网上资源的访问,目的是阻止外人使用私有资产。 应用安全域 限制操作类型和范围数据安全域 定义各类数据的保护边界13. 应急预案包括哪些部分?各自解决什么问题?隔离威胁,目的限制攻击范围。恢复服务,目的实现资源的可用性。攻 击后的 任务,了解被利用漏洞,哪些环节遭到了破坏,全面恢复成本,如何防范此类攻击。第二章1请说明DES的基本原理()2填表算法密钥长度分组长度循环次数DES64位32位16次3DESIDEAAES (Rijn dael)128, 192

5、, 256 可选12810, 12, 143什么事公钥和私钥?公钥密码算法最大的特点是采用2个相关密钥将加密和解密的能力分开, 其中一个密钥是公开的,成为公钥,简称公开钥,用于加密,另一个是位用户专有,因而是保密的,成为私密 密钥,简称秘密钥,用于解密4结合非对称加密机制的原理,说明RSA算法的基本思想。RSA的安全性基于大数分解难度,其公钥和私钥是一对大素数的函数,从一个公钥和密钥中恢复出明文的难度等价于两个大素数之和。5分组密码和流密码的区别是什么?6什么事单向函数Hash函数具有不可逆性,它赋予一个消息唯一的指纹,通过指纹就可以判别出该消息的完 整性。7. MD5,SHA-1密钥多长?哪

6、一个更安全?128 位和 160 位,SHA-18为什么用散列函数而不是用对称密码构造消息认证码?如果使用单纯的 Hash函数,则黑客在修改文件的同时,也可能重新计算器散列值,并替换原散列值,这样磁盘的文件的完整性得不到有效的保护。将单向散列函数转换成 MAC可以通过堆成加密算法加密散列值来实现。相反,将MAC转换成单向散列函数只需要将密钥公开即可。9请说明数字签名的基本方法和作用。产生方法,A,有加密算法产生数字签名B,由签名算法产生数字签名执行方法,A,直接方式B具有仲裁的方式作用身份认证,数据完整性,不可否认性及匿名性10. 链路加密和端到端的加密区别是什么?链路加密是仅在物理层前的数据

7、链路层进行加密。端到端加密时在应用层完成,即传输前的高层中完成。第三章1密钥有哪几种分类?A. 初级密钥B钥加密钥C主机密钥D.其他密钥2请列举出几种对称密钥的分配方案。A. 点对点模式,即通信双方直接管理共享通信密钥B. KDC模式,通信双方的绘画密钥由KDC管理生成C. KTC模式,通信双方的绘画密钥由发起方生成,获取,并由KTC管理传递。3公钥密码学和有关密钥分配的两种不同用途是什么?公开密钥加密也称为非对称密钥加密,是由Diffie与Hellmann两位学者所是出的单向函数与单向暗门函数为基础,为发讯与收讯的两方建立加密金钥。公钥加密的另一用途是身份验证:用私钥加密的信息,可以用公钥拷

8、贝对其解密。4你能列举出几种密钥分配方法?A. 临时锁定公钥/自由的扩散PGO的公钥环B公开的目录服务(在线方式)C公钥授权 D.通过证书中心CA (离线中心方式)5什么事密钥托管技术?密钥托管技术又称为密钥恢复(Key Recovery),是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份,既可在必要时帮助国家司法或安全等部门获取原始明文信息,也可在用户丢失、损坏自己的密钥的情况下恢复明文。第四章1. 什么事PKI?有哪些组成部分?有哪些功能?公钥基础设施(PKI)是利用公钥密码技术来实现并提供安全服务的具有通用性的安全基础 设施他的基础是公钥加密技术,核心是整数服务,他可通

9、过一个基于认证的框架处理所有数据加密和数字签名工作,并进行密钥管理和价差认证。组成部分:A.认证机构B.证书库C密钥备份及恢复系统D.整数作废处理系统E.PKI应用接口系统2公钥的基础设施做用时什么?A.通过PKI可以构建一个可控的安全的互联网络B.通过PKI可以在互联网中构建一个完整的授权服务体系C通过PKI可以建设一个普适性好安全高的统一平台3什么叫数字证书?有你什么功能?数字证书是经过证书认证中心 CA数字签名,并且包含公开密钥拥有者信息及公开密钥文件。 作用:信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定 性4请说明X.509证书的格式。5什么是CRL?证书

10、撤销列表,又称证书黑名单,为应用程序和其他系统提供了一种检验证书有效的方式。6谈谈CA的作用。认证机构CA是整个PKI的核心,是 PKI应用中权威的可信任的公正的第三方机构,是体系 信任的源头。CA是电子商务体系的核心环节,是电子交易信任的基础,是CA保证网上电子交易安全的关键环节。 其主要职责包括证书颁发,证书废除,证书更新,维护证书,和CRL,证书装填查询,证书和制定政策等。7略8. 常用的信任模型有哪些?谈谈他们各自的优缺点。A.下属层次信任模型 B.网状信任模型C混合型信任模型 D桥CA信任模型E.Web信任模型9. PKI能提供哪些服务?认证,数据完整性,数据保密性,不可否认性服务,

11、公正服务时间戳服务10 .请说明数字时间戳的工作原理和作用。 首先,用户将需要加时间戳的文件用Hash 编码加密形成摘要然后,将该摘要发送到 DTS DTS在加入了收到文件摘要的日期和时间信息后再对该文件加 密(数字签名) ,然后送回用户。书面签署文件的时间是由签署人自己写上的, 而数字时间戳则不然, 它是由认 证单位DTS来加的,以DTS收到文件的时间为依据。作用: 电子商务的发展过程中, 数字签名技术也有所发展。 数字时间戳技术就是数字签名技 术的另一种的应用。 在电子商务交易文件中, 时间是十分重要的信息。 在书面合同中, 文件 签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关

12、键性内容。数字时间戳服务(DTS digital time stamp service )是网上电子商务安全服务项目之一,能 提供电子文件的日期和时间信息的安全保护, 由专门的机构提供。 如果在签名时加上一个时 间标记,即是有数字时间戳( digital time stamp )的数字签名。11. 试分析一个电子商务网站,看看他是如何利用PKI来保证交易的安全的。(考点)电子商务系统的主要参与者包括:商家、 客户、电子商务站点、 银行与支付网关和可信的第 三方服务 (时间戳服务器等 )。系统采用数字证书实现对商家和客户的身份认证,使用公钥加 密和数字签名保证通信数据的完整性和保密性,使用时间戳

13、服务实现订单时间的不可抵赖 性,并通过签名加密的电子邮件实现各参与者之间的数据通信。过程:1 ) :客户浏览电子商务站点,进行客户端认证。 客户通过互联网连接到电子商务站点, 并要求服务器出示服务器证书, 认证站点服务器身份。 同时, 站点服务器向客户端发出认证请求, 客户将自己的客户证书发送给服务器, 服务器检 查客户证书的有效性, 包括验证用户证书, 检查证书是否由可信的证书颁发机构签发, 检查 证书是否过期或被撤销等。双方身份认证完成后进入购买阶段。2) 客户购买商品,发送订单客户确定所需商品后,需要向商家发送订单。订单内容包括发送给商家的订单信息(01)和发给支付网关的支付信息 (PI

14、)。双重签名(signH(OP):客户将 OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要 (PIMD),将OIMD和PIMD合并后再Hash得到POMD,使用自己的私钥加密 POMD,生成双 重签名。订单指令(OI):包含客户购买的订单信息。客户使用对称密钥加密订单,同时用站点服务器的公钥加密对称密钥, 两者结合在一起形成 OI的数字信封。客户将订单信息(OI),支付信息 摘要(PIMD)和双重签名一起发送给商家。支付指令(PI):包括客户的信用卡号、密码等支付信息。客户同样使用对称密钥和发卡行的公钥生成PI的数字信封,并将支付信息 (PI)、订单信息摘要(OIMD)和双重签名

15、发送给支付网 关。3) 服务器接受订单,验证信息并请求时间戳服务器在收到客户发来的订单指令后, 通过客户公钥获取订单摘要, 并将订单摘要发送给时 间戳服务器。时间戳服务器将该订单摘要和当前日期、时间的摘要合并,生成时间戳,利用 时间戳服务器的私钥签名, 返回给站点服务器。 站点服务器利用时间戳公钥解密, 以确定当 前交易发生的时间,实现的交易时间的不可抵赖。服务器验证订单信息和签名, 通过自己的私钥解密数字信封得到对称密钥, 使用对称密钥解 密得到一份订单。服务器使用相同的 Hash 函数作用这份订单,得到一份新的订单摘要 (0IMD2);然后将0IMD2客户发来的PIMD合并后再Hash,得

16、到一份新的双重摘要 (OPMD?), 服务器通过比对这份 OPMD2与用户发来的双重签名中的OPMD,若两份摘要相同,则到此完成订单的验证。记录交易数据。在此我们可以看到,客户使用自己的私钥加密摘要(即数字签名 ),服务器使用该客户公钥解密,保证了订单信息来自该客户; 订单信息使用对称公钥加密, 对称公钥使用服务器的公钥 加密, 这样只有才能服务器使用自己的私钥得到对称公钥, 进而得到订单信息, 因此订单信 息只能由服务器端得到并解析; 服务器端比对订单信息的新生成摘要和客户发来的摘要,保证的信息在发送过程中没有受到第三方的篡改; 最后, 通过一个可信的第三方时间戳服务器 实现了时间上的不可抵

17、赖。由以上分析可知,使用PKI系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要求都得到很好的保障。4) 支付网关验证用户的支付信息,完成网上支付 这一环节的验证方式类似于 3 中服务器对订单信息的验证,具体流程不在重复叙述。 这里我们注意到, 客户使用了将订单信息和支付信息结合的双重签名,并分别向电子商务网站服务器发送01,PIMD,signH(OP),向支付网关发送PI, OPMD, signH(OP)。这样网站服 务器和支付网关在进行信息完整性验证时,只需要对自己所需的信息Hash得到摘要,然后与另一份摘要合并, 得到双重摘要后进行

18、验证。 这样一方面保证了电子交易在指定的 (客户, 电子商务网站, 支付网关)三方之间进行,不受外部的干扰和破坏;另一方面使电子商务网 站不必得知用户的信用卡密码等信息, 支付网关不必得知用户的具体订单, 保证了各方均能 得到并只能得到自己所需要的那一部分信息,极大的维护了三方交易的机密性和安全性。第五章1. 什么是身份认证?是说明身份认证的基本原理。 身份认证是正式客户真实身份与其所申称的身份是否相符的过程。 身份认证确定的身份而不 是一个人。 用户知道一个秘密, 系统要改用户证明确实拥有该秘密。 系统利用源于这个秘密 其他事项验证用户的身份。双方通过都知道的共同秘密实现双方认证。2. 身份认证的基础是什么?认证是在必要的担保级别上确定身份的过程, 秘密是电子认证的基础。 表现如下, 用户所知, 用户所有,生物特征。3. 身份认证系统中的因素是什么?是分析3因素认证的利弊。认证时使用的秘密的个数称为因数。利 普遍性:即每个人都应该具有这一特征。 唯一性:即每个人在这一特征上

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论