电子商务安全期末复习题(1)

电子商务安全期末复习题（1）一、单项选择题1.TCP/IP协议安全隐患不包括(D)A.拒绝服务B.顺序号预测攻击C.TCP协议劫持入侵D.设备的复杂性2.在防火墙技术中，内网这一概念通常指的是(A)A.受信网络B.非受信网络C.防火墙内的网络D.互联网3.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段?(A)A.三个B.四个C.五个D.六个4.信息安全技术的核心是(A)A.PKIB.SETC.SSLD.ECC5.Internet接入控制不能对付以下哪类入侵者?(C)A.伪装者B.违法者C.内部用户D.地下用户6.CA不能提供以下哪种证书?(D)A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书7.通常为保证商务对象的认证性采用的手段是(C)A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印8.以下哪一项不在证书数据的组成中?(D)A.版本信息B.有效使用期限C.签名算法D.版权信息9.计算机病毒的特征之一是(B)A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性10.在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几个步骤?(C)A.6B.7C.8D.911.SHA的含义是(C)A.加密密钥B.数字水印C.安全散列算法D.消息摘要12.对身份证明系统的要求之一是(D)A.具有可传递性B.具有可重用性C.示证者能够识别验证者D.验证者正确识别示证者的概率极大化13.阻止非法用户进入系统使用(C)A.病毒防御技术B.数据加密技术C.接入控制技术D.数字签名技术14.以下不是数据库加密方法的是(C)A.使用加密软件加密数据B.使用专门软件加密数据C.信息隐藏D.用加密桥技术15．HTTPS是使用以下哪种协议的HTTP?(A)A．SSLB．SSHC．SecurityD．TCP16．身份证明系统应该由几方构成?(B)A．2B．3C．4D．517.在某些情况下，服务器在建立SSL连接时，要证实用户身份，将使用（B）A.客户证书B.服务器证书C.安全邮件证书D.CA证书18.如果要保证多厂商在电子商务交易中建立信任关系，PKI必须具备的最关键的通信特性是（A）A.数据完整性B.不可否认性C.数据保密性D.互操作性19.SSL协议是通过什么来验证通信双方身份的?（D）A.密钥B.证书C.X.500D.X.50920.实现源的不可否认业务，在技术手段上必须要有（C）A.加密措施B.反映交易者的身份C.数字签名功能D.通行字机制二、多项选择题1.电子商务系统可能遭受的攻击有(ABCDE)A.系统穿透B.植入C.违反授权原则D.通信监视E.计算机病毒2.签名可以解决的鉴别问题有(BCDE)A.发送者伪造B.发送者否认C.接收方篡改D.第三方冒充E.接收方伪造3.公钥证书的类型有(ABC)A.客户证书B.服务器证书C.安全邮件证书D.密钥证书E.机密证书4.在SET中规范了商家服务器的核心功能是(ABC)A.联系客户端的电子钱包B.联系支付网关C.处理SET的错误信息D.处理客户的付款信息E.查询客户帐号信息5.公钥证书的类型有（ABCE）A.客户证书B.密钥证书C.服务器证书D.安全邮件证书E.CA证书三、填空题1.网关业务规则根据其使用的证书以及在网上交易是否遵循SET标准分为______业务规则和_____业务规则。(SET标准支付网关；Non-SET标准银行)2.无可争辩签名是为了防止所签文件被______，有利于控制产品的散发。（复制；产权拥有者）3.一个身份证明系统一般由3方组成，一方是，另一方是，第三方是可信赖者。（发送方；接收方）4.电子商务系统中，商务对象的认证性用和技术实现。（密码；协议）5．身份证明可以分为______和______两大类。（身份认证；身份识别）四、名词解释题1.计算上安全：如果一个密码体制对于拥有有限资源的破译者来说是安全的，则称这样的密码体制是计算上安全的，计算上安全的密码表明破译的难度很大。2.SSL协议：是基于TCP/IP的安全套接层（SecureSocketsLayer）协议，由Netscape开发，是服务器与客户机之间安全通信的加密机制，用一个密钥加密在SSL连接上传输的数据。3.身份证明系统：身份证明系统由三方组成，一方是出示证件的人，称做示证者，由称申请者，提出某种要求；另一方为验证者，检验示证者提出的证件的正确性和合法性，决定是否满足其要求；第三方示可信赖者，用以调解纠纷。4.PKI：PKI即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等，密码服务及所必要的密钥和证书管理体系。5.单钥密码体制：单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时，通信双方A、B必须相互交换密钥，当A发送信息给B时，A用自己的加密密钥进行加密，而B在接收到数据后，用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。五、简答题1.在交易双方的通信过程中如何实现源的不可否认性？（1）源的数字签名；（2）可信赖第三方的数字签名；（3）可信赖第三方对消息的杂凑值进行签名；（4）可信赖第三方的持证；（5）线内可信赖第三方；（6）上述方法的适当组合。2.电子商务安全的中心内容是什么?（1）商务数据的机密性；（2）商务数据的完整性；（3）商务对象的认证性；（4）商务服务的不可否认性；（5）访问控制性；3.简述SSL的体系结构。SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。（1）SSL记录协议，定义了信息交换中所有数据项的格式。其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层——应用层传来的数据；附加数据是加密后所产生的附加数据。（2）更改密码规格协议由单个消息组成，只有一个值为1的单字节。其目的是使未决状态拷贝为当前状态，更新用于当前连接的密码组。（3）SSL警报协议用于传送SSL的有关警报。（4）SSL握手协议用于客户/服务器之间相互认证，协商加密和MAC算法，传送所需要的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。4.简述双钥密码体制的基本概念及特点。双钥密码体制又称作公钥密码体制或非对称加密体制，这种加密法在加密和解密过程种要使用一对密钥，一个用于加密，一个用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能解密。这样每个用户有两个密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公开密钥加密的信息只有接收人才能解密。双钥密码体制算法的特点是：（1）适合密钥的分配和管理。（2）算法速度慢，只适合加密小数量的信息。5.试比较SSL协议和SET协议之间的差别。（1）在使用目的和场合上，SET主要用于信用卡交易，传递电子现金，SSL主要用于购买信息的交流，传递电子商贸信息；（2）在安全性方面，SET要求很高，SSL要求很低；（3）在交易对象的资格方面，SET要求所有参与者必须先申请数字证书来识别身份，SSL通常只要求商家的服务器认证；（4）在实施费用方面，SET较高，SSL较低；（5）在使用情况方面，SET普及率较低，SSL较高。6．证书有哪些类型？（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。六、论述题试述公钥证书的申请和吊销的过程。（1）公钥证书的申请过程用户申请证书要向CA注册，填证书申请表，建立起注册者与CA的关系，注册者向CA提供必要的有关信息。在Internet环境下，可以通过联机实现申请。CA需要对注册者进行主体认证，确保公钥的持有者身份和公钥数据的完整性。持有者身份的确认是重要的一环，可以联机方式确认，必要时，通过脱机以传统方式进行。在多级安全系统中，通过认证可以决定申请者生成和发放何种等级的证书。可以采用多种技术实现：①个人出面方式，这是常用的可靠认证身份的方式；②出示身份证件，通过身份证件，供CA审查实现对申请者的认证。当CA认证申请者的身份后，按以下步骤生成证书：①CA检索所需要的证书内容信息；②CA证实这些信息的正确性后；CA用其签名密钥对证书签名；③向发卡银行申请信用卡SET认证服务；④将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；⑤CA将证书送入证书数据库，向公用检索业务机构公布；⑥CA将证书存档；⑦CA将证书生成过程中的一些细节记入审计记录中。（2）公钥证书吊销过程公钥——私钥对在证书发行时规定了失效期。其值由CA根据安全策略来定。此外如发现或怀疑私钥泄露，或检测出证书已被篡改，则CA可以提前吊销或暂停使用。注册用户可以向CA申请吊销其证书，CA通过认证核实，即可履行吊销职责，并通知有关组织何个人，注册用户的上级等也可以申请吊销用户证书。对于已吊销的证书，CA要将它们记入证书吊销表中，并向可能的用户公布，以供查询。CRL中应包括名称、发布时间、已吊销证书号、吊销时戳、CA签名等。用户在接收一个公钥证书时，不仅要对其进行认证，同时还要检查它是否被列入最新的CRL中。CRL吊销的方式有：①广播。CA通过广播方式公布CRL，即可通过E-mail或称为“推式”的安全查询方式。②立即吊销。定期吊销表方式有一定延迟，立即吊销可以避免此类风险。它通过实时吊销检验或联机状态检验，使用公钥的系统能够和CA的服务器联络，以肯定所用证书的合法性。