电子商务安全课后习题答案王丽芳主编

第一章.2.电子商务的主要类型有哪些？B2BB2CB2GC2CC2G3:电子商务的基础设施包括哪些内容？用于电子商务转型的完整IT基础设施和完善的电子商务服务4.电子商务的安全要素有哪些？作用是什么？A．可用性需要的时候，资源是可用的（电子商务系统中主要有硬件软件和数据资源，资源的可用性是指需要这些资源的时候，这些资源是可用的）B．机密性谁有权力查看特定的信息（……）C．完整性允许谁修改数据，不允许谁修改数据（……）D．即时性在规定的时间完成服务（……）E．不可抵耐性为信息的收，发者提供无法否认的端到端的证据（……）F．身份认证解决是谁的问题（……）G．访问控制访问者能进行什么操作，不能进行什么操作（……）5.密钥的长度是否重要？为什么？重要，绝大多数算法在实施对数据的操作时都需要一定长度的密钥，防止强力攻击。6.对称加密技术和非对称加密技术有何区？对称加密加密密钥与解密密钥是相同的，非对称加密加密和解密使用不同的密钥7.PKI提供哪些服务？数字签名，身份认证，时间戳，安全公正服务和不可否认服务8.用哪些技术解决不可抵耐性？身份认证技术，如口令，令牌，生物特征识别，数字签名，数字摘要，数字证书和PKI等9.安全管理的目标是什么？资源的可用性，信息的完整性，信息的机密性10.什么是威胁什么是漏洞，电子商务系统中有哪些漏洞，他们带来的后果是什么？威胁是攻破或损坏系统的潜在途径。漏洞是攻破系统过程中利用的系统属性，是系统的薄弱环节。分为软件漏洞和配置漏洞和社会漏洞后果，破坏系统安全，篡改数据，盗窃信息等。11.为什么说人是电子商务安全中的最薄弱环节？由于安全产品的技术越来与阿完善，使用这些技术的人，就成为整个环节上最薄弱的的部分。个人的行为和技术一样也是对系统安全的威胁。社会工程学看似简单的欺骗，但却包含了复杂的心理学因素，其危害程度有时比直接的技术入侵要大得多。对于技术入侵可以防范，但心理上的漏洞谁有能时刻的警惕呢？毫无疑问，社会工程学将来会是入侵和反入侵的重要对抗领域。12.有几种安全领域？他们各自解决什么问题？物理安全域，限制人员使用设备，大楼和其他有形资源，目的是保护有形资产并阻止入侵者使用系统应用程序和信息。网络安全域控制对网上资源的访问，目的是阻止外人使用私有资产。应用安全域限制操作类型和范围数据安全域定义各类数据的保护边界13.应急预案包括哪些部分？各自解决什么问题？隔离威胁，目的限制攻击范围。恢复服务，目的实现资源的可用性。攻击后的任务，了解被利用漏洞，哪些环节遭到了破坏，全面恢复成本，如何防范此类攻击。第二章1.请说明DES的基本原理（）2.填表算法密钥长度分组长度循环次数DES64位32位16次3DESIDEAAES（Rijndael）128，192，256可选12810，12，143.什么事公钥和私钥？公钥密码算法最大的特点是采用2个相关密钥将加密和解密的能力分开，其中一个密钥是公开的，成为公钥，简称公开钥，用于加密，另一个是位用户专有，因而是保密的，成为私密密钥，简称秘密钥，用于解密4.结合非对称加密机制的原理，说明RSA算法的基本思想。RSA的安全性基于大数分解难度，其公钥和私钥是一对大素数的函数，从一个公钥和密钥中恢复出明文的难度等价于两个大素数之和。5.分组密码和流密码的区别是什么？6.什么事单向函数Hash函数具有不可逆性，它赋予一个消息唯一的指纹，通过指纹就可以判别出该消息的完整性。7.MD5，SHA-1密钥多长？哪一个更安全？128位和160位，SHA-18.为什么用散列函数而不是用对称密码构造消息认证码？如果使用单纯的Hash函数，则黑客在修改文件的同时，也可能重新计算器散列值，并替换原散列值，这样磁盘的文件的完整性得不到有效的保护。将单向散列函数转换成MAC可以通过堆成加密算法加密散列值来实现。相反，将MAC转换成单向散列函数只需要将密钥公开即可。9.请说明数字签名的基本方法和作用。产生方法，A，有加密算法产生数字签名B，由签名算法产生数字签名执行方法，A，直接方式B具有仲裁的方式作用身份认证，数据完整性，不可否认性及匿名性10.链路加密和端到端的加密区别是什么？链路加密是仅在物理层前的数据链路层进行加密。端到端加密时在应用层完成，即传输前的高层中完成。第三章1.密钥有哪几种分类？A．初级密钥B.钥加密钥C.主机密钥D.其他密钥2.请列举出几种对称密钥的分配方案。A．点对点模式，即通信双方直接管理共享通信密钥B．KDC模式，通信双方的绘画密钥由KDC管理生成C．KTC模式，通信双方的绘画密钥由发起方生成，获取，并由KTC管理传递。3.公钥密码学和有关密钥分配的两种不同用途是什么？公开密钥加密也称为非对称密钥加密，是由Diffie与Hellmann两位学者所是出的单向函数与单向暗门函数为基础，为发讯与收讯的两方建立加密金钥。公钥加密的另一用途是身份验证：用私钥加密的信息，可以用公钥拷贝对其解密。4.你能列举出几种密钥分配方法？A.临时锁定公钥/自由的扩散\PGO的公钥环B.公开的目录服务（在线方式）C.公钥授权D.通过证书中心CA（离线中心方式）5.什么事密钥托管技术？密钥托管技术又称为密钥恢复（KeyRecovery），是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥的情况下恢复明文。第四章1.什么事PKI？有哪些组成部分？有哪些功能？公钥基础设施（PKI）是利用公钥密码技术来实现并提供安全服务的具有通用性的安全基础设施他的基础是公钥加密技术，核心是整数服务，他可通过一个基于认证的框架处理所有数据加密和数字签名工作，并进行密钥管理和价差认证。组成部分：A.认证机构B.证书库C.密钥备份及恢复系统D.整数作废处理系统E.PKI应用接口系统2.公钥的基础设施做用时什么？A.通过PKI可以构建一个可控的安全的互联网络B.通过PKI可以在互联网中构建一个完整的授权服务体系C.通过PKI可以建设一个普适性好安全高的统一平台3.什么叫数字证书？有你什么功能？数字证书是经过证书认证中心CA数字签名，并且包含公开密钥拥有者信息及公开密钥文件。作用：信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性4.请说明X.509证书的格式。序列号颁发者的唯一标识名有效期主题的唯一标识名主题的公钥信息密钥证书的使用方法扩展认账机构数字签名5.什么是CRL？证书撤销列表，又称证书黑名单，为应用程序和其他系统提供了一种检验证书有效的方式。6.谈谈CA的作用。认证机构CA是整个PKI的核心，是PKI应用中权威的可信任的公正的第三方机构，是体系信任的源头。CA是电子商务体系的核心环节，是电子交易信任的基础，是CA保证网上电子交易安全的关键环节。其主要职责包括证书颁发，证书废除，证书更新，维护证书，和CRL，证书装填查询，证书和制定政策等。7.略8.常用的信任模型有哪些？谈谈他们各自的优缺点。生成签名散列A．下属层次信任模型B.网状信任模型C.混合型信任模型D.桥CA信任模型E.Web信任模型9.PKI能提供哪些服务？认证，数据完整性，数据保密性，不可否认性服务，公正服务时间戳服务10.请说明数字时间戳的工作原理和作用。首先，用户将需要加时间戳的文件用Hash编码加密形成摘要然后，将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。书面签署文件的时间是由签署人自己写上的，而数字时间戳则不然，它是由认证单位DTS来加的，以DTS收到文件的时间为依据。作用：电子商务的发展过程中，数字签名技术也有所发展。数字时间戳技术就是数字签名技术的另一种的应用。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务（DTS：digita1timestampservice）是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护，由专门的机构提供。如果在签名时加上一个时间标记，即是有数字时间戳（digitaltimestamp）的数字签名。11.试分析一个电子商务网站，看看他是如何利用PKI来保证交易的安全的。（考点）电子商务系统的主要参与者包括：商家、客户、电子商务站点、银行与支付网关和可信的第三方服务(时间戳服务器等)。系统采用数字证书实现对商家和客户的身份认证，使用公钥加密和数字签名保证通信数据的完整性和保密性，使用时间戳服务实现订单时间的不可抵赖性，并通过签名加密的电子邮件实现各参与者之间的数据通信。过程：1）：客户浏览电子商务站点，进行客户端认证。客户通过互联网连接到电子商务站点，并要求服务器出示服务器证书，认证站点服务器身份。同时，站点服务器向客户端发出认证请求，客户将自己的客户证书发送给服务器，服务器检查客户证书的有效性，包括验证用户证书，检查证书是否由可信的证书颁发机构签发，检查证书是否过期或被撤销等。双方身份认证完成后进入购买阶段。2）客户购买商品，发送订单客户确定所需商品后，需要向商家发送订单。订单内容包括发送给商家的订单信息(OI)和发给支付网关的支付信息(PI)。双重签名(sign[H(OP)])：客户将OI和PI均通过Hash函数得到订单摘要(OIMD)和支付摘要(PIMD)，将OIMD和PIMD合并后再Hash得到POMD，使用自己的私钥加密POMD，生成双重签名。订单指令(OI)：包含客户购买的订单信息。客户使用对称密钥加密订单，同时用站点服务器的公钥加密对称密钥，两者结合在一起形成OI的数字信封。客户将订单信息(OI)，支付信息摘要(PIMD)和双重签名一起发送给商家。支付指令(PI)：包括客户的信用卡号、密码等支付信息。客户同样使用对称密钥和发卡行的公钥生成PI的数字信封，并将支付信息(PI)、订单信息摘要(OIMD)和双重签名发送给支付网关。3）服务器接受订单，验证信息并请求时间戳服务器在收到客户发来的订单指令后，通过客户公钥获取订单摘要，并将订单摘要发送给时间戳服务器。时间戳服务器将该订单摘要和当前日期、时间的摘要合并，生成时间戳，利用时间戳服务器的私钥签名，返回给站点服务器。站点服务器利用时间戳公钥解密，以确定当前交易发生的时间，实现的交易时间的不可抵赖。服务器验证订单信息和签名，通过自己的私钥解密数字信封得到对称密钥，使用对称密钥解密得到一份订单。服务器使用相同的Hash函数作用这份订单，得到一份新的订单摘要(OIMD2)；然后将OIMD2客户发来的PIMD合并后再Hash，得到一份新的双重摘要(OPMD2)，服务器通过比对这份OPMD2与用户发来的双重签名中的OPMD，若两份摘要相同，则到此完成订单的验证。记录交易数据。在此我们可以看到，客户使用自己的私钥加密摘要(即数字签名)，服务器使用该客户公钥解密，保证了订单信息来自该客户；订单信息使用对称公钥加密，对称公钥使用服务器的公钥加密，这样只有才能服务器使用自己的私钥得到对称公钥，进而得到订单信息，因此订单信息只能由服务器端得到并解析；服务器端比对订单信息的新生成摘要和客户发来的摘要，保证的信息在发送过程中没有受到第三方的篡改；最后，通过一个可信的第三方时间戳服务器实现了时间上的不可抵赖。由以上分析可知，使用PKI系统可以使电子商务交易过程中的信息保密性、完整性、有效性、通信双方的可鉴别性和交易时间的不可抵赖性等诸多要求都得到很好的保障。4）支付网关验证用户的支付信息，完成网上支付这一环节的验证方式类似于3中服务器对订单信息的验证，具体流程不在重复叙述。这里我们注意到，客户使用了将订单信息和支付信息结合的双重签名，并分别向电子商务网站服务器发送{OI，PIMD，sign[H(OP)]}，向支付网关发送{PI,OPMD,sign[H(OP)]}。这样网站服务器和支付网关在进行信息完整性验证时，只需要对自己所需的信息Hash得到摘要，然后与另一份摘要合并，得到