电子商务安全课后习题答案王丽芳主编.docx
- 文档编号:3091822
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:12
- 大小:92.31KB
电子商务安全课后习题答案王丽芳主编.docx
《电子商务安全课后习题答案王丽芳主编.docx》由会员分享,可在线阅读,更多相关《电子商务安全课后习题答案王丽芳主编.docx(12页珍藏版)》请在冰点文库上搜索。
电子商务安全课后习题答案王丽芳主编
电子商务安全课后习题答案王丽芳主编
第一章.
2.电子商务的主要类型有哪些?
B2BB2CB2GC2CC2G
3:
电子商务的基础设施包括哪些内容?
用于电子商务转型的完整IT基础设施和完善的电子商务服务
4.电子商务的安全要素有哪些?
作用是什么?
A.可用性需要的时候,资源是可用的(电子商务系统中主要有硬件软件和数据资源,资源的可用性是指需要这些资源的时候,这些资源是可用的)
B.机密性谁有权力查看特定的信息(……)
C.完整性允许谁修改数据,不允许谁修改数据(……)
D.即时性在规定的时间完成服务(……)
E.不可抵耐性为信息的收,发者提供无法否认的端到端的证据(……)
F.身份认证解决是谁的问题(……)
G.访问控制访问者能进行什么操作,不能进行什么操作(……)
5.密钥的长度是否重要?
为什么?
重要,绝大多数算法在实施对数据的操作时都需要一定长度的密钥,防止强力攻击。
6.对称加密技术和非对称加密技术有何区?
对称加密加密密钥与解密密钥是相同的,非对称加密加密和解密使用不同的密钥
7.PKI提供哪些服务?
数字签名,身份认证,时间戳,安全公正服务和不可否认服务
8.用哪些技术解决不可抵耐性?
身份认证技术,如口令,令牌,生物特征识别,数字签名,数字摘要,数字证书和PKI等
9.安全管理的目标是什么?
资源的可用性,信息的完整性,信息的机密性
10.什么是威胁什么是漏洞,电子商务系统中有哪些漏洞,他们带来的后果是什么?
威胁是攻破或损坏系统的潜在途径。
漏洞是攻破系统过程中利用的系统属性,是系统的薄弱环节。
分为软件漏洞和配置漏洞和社会漏洞后果,破坏系统安全,篡改数据,盗窃信息等。
11.为什么说人是电子商务安全中的最薄弱环节?
由于安全产品的技术越来与阿完善,使用这些技术的人,就成为整个环节上最薄弱的的部分。
个人的行为和技术一样也是对系统安全的威胁。
社会工程学看似简单的欺骗,但却包含了复杂的心理学因素,其危害程度有时比直接的技术入侵要大得多。
对于技术入侵可以防范,但心理上的漏洞谁有能时刻的警惕呢?
毫无疑问,社会工程学将来会是入侵和反入侵的重要对抗领域。
12.有几种安全领域?
他们各自解决什么问题?
物理安全域,限制人员使用设备,大楼和其他有形资源,目的是保护有形资产并阻止入侵者使用系统应用程序和信息。
网络安全域控制对网上资源的访问,目的是阻止外人使用私有资产。
应用安全域限制操作类型和范围
数据安全域定义各类数据的保护边界
13.应急预案包括哪些部分?
各自解决什么问题?
隔离威胁,目的限制攻击范围。
恢复服务,目的实现资源的可用性。
攻击后的任务,了解被利用漏洞,哪些环节遭到了破坏,全面恢复成本,如何防范此类攻击。
第二章
1.请说明DES的基本原理()
2.填表
算法
密钥长度
分组长度
循环次数
DES
64位
32位
16次
3DES
IDEA
AES(Rijndael)
128,192,256可选
128
10,12,14
3.什么事公钥和私钥?
公钥密码算法最大的特点是采用2个相关密钥将加密和解密的能力分开,其中一个密钥是公开的,成为公钥,简称公开钥,用于加密,另一个是位用户专有,因而是保密的,成为私密密钥,简称秘密钥,用于解密
4.结合非对称加密机制的原理,说明RSA算法的基本思想。
RSA的安全性基于大数分解难度,其公钥和私钥是一对大素数的函数,从一个公钥和密钥中恢复出明文的难度等价于两个大素数之和。
5.分组密码和流密码的区别是什么?
6.什么事单向函数
Hash函数具有不可逆性,它赋予一个消息唯一的指纹,通过指纹就可以判别出该消息的完整性。
7.MD5,SHA-1密钥多长?
哪一个更安全?
128位和160位,SHA-1
8.为什么用散列函数而不是用对称密码构造消息认证码?
如果使用单纯的Hash函数,则黑客在修改文件的同时,也可能重新计算器散列值,并替换原散列值,这样磁盘的文件的完整性得不到有效的保护。
将单向散列函数转换成MAC可以通过堆成加密算法加密散列值来实现。
相反,将MAC转换成单向散列函数只需要将密钥公开即可。
9.请说明数字签名的基本方法和作用。
产生方法,A,有加密算法产生数字签名B,由签名算法产生数字签名
执行方法,A,直接方式B具有仲裁的方式
作用身份认证,数据完整性,不可否认性及匿名性
10.链路加密和端到端的加密区别是什么?
链路加密是仅在物理层前的数据链路层进行加密。
2.公钥的基础设施做用时什么?
A.通过PKI可以构建一个可控的安全的互联网络B.通过PKI可以在互联网中构建一个完整的授权服务体系C.通过PKI可以建设一个普适性好安全高的统一平台
3.什么叫数字证书?
有你什么功能?
数字证书是经过证书认证中心CA数字签名,并且包含公开密钥拥有者信息及公开密钥文件。
作用:
信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性
4.请说明X.509证书的格式。
序列号
颁发者的唯一标识名
有效期
主题的唯一标识名
主题的公钥信息
密钥证书的使用方法
扩展
认账机构
数字签名
生成签名
散列
5.什么是CRL?
证书撤销列表,又称证书黑名单,为应用程序和其他系统提供了一种检验证书有效的方式。
6.谈谈CA的作用。
认证机构CA是整个PKI的核心,是PKI应用中权威的可信任的公正的第三方机构,是体系信任的源头。
CA是电子商务体系的核心环节,是电子交易信任的基础,是CA保证网上电子交易安全的关键环节。
其主要职责包括证书颁发,证书废除,证书更新,维护证书,和CRL,证书装填查询,证书和制定政策等。
7.略
8.常用的信任模型有哪些?
谈谈他们各自的优缺点。
A.下属层次信任模型B.网状信任模型C.混合型信任模型D.桥CA信任模型E.Web信任模型
9.PKI能提供哪些服务?
认证,数据完整性,数据保密性,不可否认性服务,公正服务时间戳服务
10.请说明数字时间戳的工作原理和作用。
首先,用户将需要加时间戳的文件用Hash编码加密形成摘要
然后,将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。
作用:
电子商务的发展过程中,数字签名技术也有所发展。
数字时间戳技术就是数字签名技术的另一种的应用。
在电子商务交易文件中,时间是十分重要的信息。
在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。
数字时间戳服务(DTS:
digita1timestampservice)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护,由专门的机构提供。
如果在签名时加上一个时间标记,即是有数字时间戳(digitaltimestamp)的数字签名。
11.试分析一个电子商务网站,看看他是如何利用PKI来保证交易的安全的。
(考点)
电子商务系统的主要参与者包括:
商家、客户、电子商务站点、银行与支付网关和可信的第三方服务(时间戳服务器等)。
系统采用数字证书实现对商家和客户的身份认证,使用公钥加密和数字签名保证通信数据的完整性和保密性,使用时间戳服务实现订单时间的不可抵赖性,并通过签名加密的电子邮件实现各参与者之间的数据通信。
过程:
1):
客户浏览电子商务站点,进行客户端认证。
客户通过互联网连接到电子商务站点,并要求服务器出示服务器证书,认证站点服务器身份。
同时,站点服务器向客户端发出认证请求,客户将自己的客户证书发送给服务器,服务器检查客户证书的有效性,包括验证用户证书,检查证书是否由可信的证书颁发机构签发,检查证书是否过期或被撤销等。
双方身份认证完成后进入购买阶段。
2)客户购买商品,发送订单
客户确定所需商品后,需要向商家发送订单。
订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。
双重签名(sign[H(OP)]):
客户将OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要(PIMD),将OIMD和PIMD合并后再Hash得到POMD,使用自己的私钥加密POMD,生成双重签名。
订单指令(OI):
包含客户购买的订单信息。
客户使用对称密钥加密订单,同时用站点服务器的公钥加密对称密钥,两者结合在一起形成OI的数字信封。
客户将订单信息(OI),支付信息摘要(PIMD)和双重签名一起发送给商家。
支付指令(PI):
包括客户的信用卡号、密码等支付信息。
客户同样使用对称密钥和发卡行的公钥生成PI的数字信封,并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。
3)服务器接受订单,验证信息并请求时间戳
服务器在收到客户发来的订单指令后,通过客户公钥获取订单摘要,并将订单摘要发送给时间戳服务器。
时间戳服务器将该订单摘要和当前日期、时间的摘要合并,生成时间戳,利用时间戳服务器的私钥签名,返回给站点服务器。
站点服务器利用时间戳公钥解密,以确定当前交易发生的时间,实现的交易时间的不可抵赖。
服务器验证订单信息和签名,通过自己的私钥解密数字信封得到对称密钥,使用对称密钥解密得到一份订单。
服务器使用相同的Hash函数作用这份订单,得到一份新的订单摘要(OIMD2);然后将OIMD2客户发来的PIMD合并后再Hash,得到一份新的双重摘要(OPMD2),服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD,若两份摘要相同,则到此完成订单的验证。
记录交易数据。
在此我们可以看到,客户使用自己的私钥加密摘要(即数字签名),服务器使用该客户公钥解密,保证了订单信息来自该客户;订单信息使用对称公钥加密,对称公钥使用服务器的公钥加密,这样只有才能服务器使用自己的私钥得到对称公钥,进而得到订单信息,因此订单信息只能由服务器端得到并解析;服务器端比对订单信息的新生成摘要和客户发来的摘要,保证的信息在发送过程中没有受到第三方的篡改;最后,通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。
由以上分析可知,使用PKI系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要求都得到很好的保障。
4)支付网关验证用户的支付信息,完成网上支付
这一环节的验证方式类似于3中服务器对订单信息的验证,具体流程不在重复叙述。
这里我们注意到,客户使用了将订单信息和支付信息结合的双重签名,并分别向电子商务网站服务器发送{OI,PIMD,sign[H(OP)]},向支付网关发送{PI,OPMD,sign[H(OP)]}。
这样网站服务器和支付网关在进行信息完整性验证时,只需要对自己所需的信息Hash得到摘要,然后与另一份摘要合并,得到双重摘要后进行验证。
这样一方面保证了电子交易在指定的(客户,电子商务网站,支付网关)三方之间进行,不受外部的干扰和破坏;另一方面使电子商务网站不必得知用户的信用卡密码等信息,支付网关不必得知用户的具体订单,保证了各方均能得到并只能得到自己所需要的那一部分信息,极大的维护了三方交易的机密性和安全性。
第五章
1.什么是身份认证?
是说明身份认证的基本原理。
身份认证是正式客户真实身份与其所申称的身份是否相符的过程。
身份认证确定的身份而不是一个人。
用户知道一个秘密,系统要改用户证明确实拥有该秘密。
系统利用源于这个秘密其他事项验证用户的身份。
双方通过都知道的共同秘密实现双方认证。
2.身份认证的基础是什么?
认证是在必要的担保级别上确定身份的过程,秘密是电子认证的基础。
表现如下,用户所知,用户所有,生物特征。
3.身份认证系统中的因素是什么?
是分析3—因素认证的利弊。
认证时使用的秘密的个数称为因数。
利
普遍性:
即每个人都应该具有这一特征。
唯一性:
即每个人在这一特征上有不同的表现。
稳定性:
即这一特征不会随着年龄的增长、时间的改变而改变。
易采集性:
即这一特征应该是容易测量的。
可接受性:
即人们是否接受这种生物识别方式。
弊
可复制黏贴性,如指纹套的出现对指纹认证的威胁。
第七章
4.请阐述在SET协议交易流程中,是如何保护信用卡持有者的隐私信息的?
SET协议解决了信用卡持有者,商家和银行之间通过信用卡支付的交易问题。
采用SET协议的电子商务分为3个阶段:
A.信用卡持有者与商家协议交易商品列表及所用的支付方式
B.信用卡持有者发送支付货款指令,商家与银行核实付款
C.商家向银行出示所有交易细节,而后银行以适当方式向商家转移货款
具体交易流程:
信用卡持有者
协商
商家
审核
支付网关
请求
收款银行
审核
信用卡发卡银行
确认
确认
批准
订单
确认
认证中心
A.信用卡持有者必须先确认商家的合法性,而后浏览商品明细清单,并选择要购买的商品
B.性用卡持有者填写订单,并选择支付方式,而后将完整的订单及要求付款的指令发送给商家。
其中,订单和付款指令由持卡人进行数字签名。
同时利用双重签名技术保证商家无法获得信用卡持有者的账号信息,并且银行无法获得持卡人的订单消息。
C.商家接到订单后向信用卡持卡者银行发出支付请求。
支付请求通过支付网关到达银行,再到信用卡发放银行确认,批准交易,然后返回确认消息给商家。
D.想家向信用卡持卡者发送订单确认消息
E.商家给信用卡持卡者交付或网页
F.商家向银行请求支付。
由王烨同学收集整理于2013年6月28日10:
45:
06
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 课后 习题 答案 王丽芳 主编