第一篇：2018年自考電子商務(wù)安全導(dǎo)論復(fù)習(xí)精講要點(diǎn)

第一章電子商務(wù)安全基礎(chǔ)

一、商務(wù)和電子商務(wù)的概念

1．電子商務(wù)的含義

【名詞解釋】電子商務(wù)：是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用電子技術(shù)加強(qiáng)、加快、擴(kuò)展、增強(qiáng)、改變了其有關(guān)過(guò)程的商務(wù)。

2．電子商務(wù)的技術(shù)要素

【多選】電子商務(wù)的技術(shù)要素組成包括：網(wǎng)絡(luò)、應(yīng)用軟件和硬件。

3．電子商務(wù)的模式

(1)大字報(bào)／告示牌模式。

(2)在線(xiàn)黃頁(yè)簿模式。

(3)電腦空間上的小冊(cè)子模式。

(4)虛擬百貨店模式。

(5)預(yù)訂／訂購(gòu)模式。

(6)廣告推銷(xiāo)模式。

4．Internet(因特網(wǎng))、Intranet(內(nèi)連網(wǎng))和Extranet(外連網(wǎng))的特點(diǎn)(1)Internet(因特網(wǎng))因特網(wǎng)的最大優(yōu)勢(shì)，是它的廣袤覆蓋及開(kāi)放結(jié)構(gòu)。

由于它是開(kāi)放結(jié)構(gòu)，許多企業(yè)及用戶(hù)可以按統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和較合理的費(fèi)用連接上網(wǎng)，使網(wǎng)上的主機(jī)服務(wù)器和終端用戶(hù)以滾雪球的速度增加，也使其覆蓋增長(zhǎng)至幾乎無(wú)限。但它的優(yōu)點(diǎn)也是它的缺點(diǎn)。因特網(wǎng)的管理松散，網(wǎng)上內(nèi)容難以控制，私密性難以保障。從電子商務(wù)等應(yīng)用看，安全性差是因特網(wǎng)的又一大缺點(diǎn)，這已成為企業(yè)及用戶(hù)上網(wǎng)交易的重要顧慮。

(2)Intranet(內(nèi)連網(wǎng))Intranet(內(nèi)連網(wǎng))本書(shū)中選譯為企業(yè)內(nèi)域網(wǎng)。

企業(yè)內(nèi)域網(wǎng)是為企業(yè)內(nèi)部運(yùn)作服務(wù)的，自然有它安全保密的要求，當(dāng)它與公網(wǎng)Internet連接時(shí)，就要采取措施，防止公網(wǎng)上未授權(quán)的無(wú)關(guān)人員進(jìn)入，防止企業(yè)內(nèi)部敏感資料的外泄。這些保障內(nèi)域網(wǎng)安全的硬件、軟件措施，通常稱(chēng)為防火墻(Firewall)。防火墻常常是一個(gè)介乎內(nèi)域網(wǎng)和因特網(wǎng)其他部分之間的安全服務(wù)器。

(3)Extranet(外連網(wǎng))一般譯為企業(yè)外域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。一個(gè)企業(yè)除利用因特網(wǎng)的技術(shù)和標(biāo)準(zhǔn)或直接在因特網(wǎng)上構(gòu)建企業(yè)內(nèi)域網(wǎng)，滿(mǎn)足企業(yè)內(nèi)部運(yùn)作之外，還經(jīng)常需要與某些業(yè)務(wù)關(guān)系較密切的本企業(yè)集團(tuán)以外的單位通過(guò)網(wǎng)絡(luò)進(jìn)行聯(lián)系，為達(dá)成某一共同目標(biāo)而共享某些資源。

5．電子商務(wù)的發(fā)展歷史

【單選】有人把現(xiàn)代電子商務(wù)的發(fā)展分成如下幾個(gè)階段，從中也可看出電子商務(wù)發(fā)展的軌跡、條件和基礎(chǔ)：

(1)1995年：網(wǎng)絡(luò)基礎(chǔ)設(shè)施大量興建。

(2)1996年：應(yīng)用軟件及服務(wù)成為熱點(diǎn)。

(3)1997年：網(wǎng)址及內(nèi)容管理的建設(shè)發(fā)展，有關(guān)企業(yè)、業(yè)務(wù)的調(diào)整、重組及融合，所謂“人口門(mén)戶(hù)”(Portal)公司的出現(xiàn)。

(4)1998年：網(wǎng)上零售業(yè)及其他交易蓬勃發(fā)展。

二、電子商務(wù)安全基礎(chǔ)

1．電子商務(wù)的安全隱患

(1)硬件系統(tǒng)計(jì)算機(jī)是現(xiàn)代電子科技發(fā)展的結(jié)晶，是一個(gè)極其精密的系統(tǒng)，它的每一個(gè)零件都是由成千上萬(wàn)個(gè)電子元件構(gòu)成的。這一方面使計(jì)算機(jī)的功能變得十分強(qiáng)大，另一方面又使它極易受到損壞。

(2)軟件系統(tǒng)軟件是用戶(hù)與計(jì)算機(jī)硬件聯(lián)系的橋梁。任何一個(gè)軟件都有它自身的弱點(diǎn)，而大多數(shù)安全問(wèn)題都是圍繞著系統(tǒng)的軟件部分發(fā)生的，既包括系統(tǒng)軟件也包括應(yīng)用軟件。

電子商務(wù)系統(tǒng)的安全問(wèn)題不僅包括了計(jì)算機(jī)系統(tǒng)的隱患，還包括了一些自身獨(dú)有的問(wèn)題。

(1)數(shù)據(jù)的安全。

(2)交易的安全。

2．【簡(jiǎn)答】簡(jiǎn)述電子商務(wù)所遭受的攻擊。

(1)系統(tǒng)穿透。

(2)違反授權(quán)原則。

(3)植入。

(4)通信監(jiān)視。

(5)通信竄擾。

(6)中斷。

(7)拒絕服務(wù)。

(8)否認(rèn)。

(9)病毒。3．電子商務(wù)安全的六性

(1)商務(wù)數(shù)據(jù)的機(jī)密性。

(2)商務(wù)數(shù)據(jù)的完整性。

(3)商務(wù)對(duì)象的認(rèn)證性。

(4)商務(wù)服務(wù)的不可否認(rèn)性。

(5)商務(wù)服務(wù)的不可拒絕性。

(6)訪(fǎng)問(wèn)的控制性。

4．產(chǎn)生電子商務(wù)安全威脅的原因

(1)Internet在安全方面的缺陷

Internet的安全漏洞

①I(mǎi)nternet各個(gè)環(huán)節(jié)的安全漏網(wǎng)。

②外界攻擊，Internet安全的類(lèi)型。

③局域網(wǎng)服務(wù)和相互信任的主機(jī)的安全漏洞。

④設(shè)備或軟件的復(fù)雜性帶來(lái)的安全隱患。

TCP／IP協(xié)議及其不安全性

①TCP／IP協(xié)議簡(jiǎn)介

IP協(xié)議提供基本的通信協(xié)議，TCP協(xié)議在IP協(xié)議的基礎(chǔ)上為各種應(yīng)用提供可靠和有序的數(shù)據(jù)傳送功能。

②IP協(xié)議的安全隱患

a．針對(duì)IP的“拒絕服務(wù)”攻擊。

b．IP地址的順序號(hào)預(yù)測(cè)攻擊。

c．TCP協(xié)議劫持入侵。

d．嗅探入侵。

③HTTP和Web的不安全性

a．HTTP協(xié)議的特點(diǎn)。

b．HTTP協(xié)議中的不安全性。

④E—mail，Telnet及網(wǎng)頁(yè)的不安全性

a．E一mail的不安全性。

b．入侵Telnet會(huì)話(huà)。

c．網(wǎng)頁(yè)做假。

d．電子郵件炸彈和電子郵件列表鏈接。

(2)我國(guó)電子商務(wù)安全威脅的特殊原因

①我國(guó)的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來(lái)自國(guó)外。

②美國(guó)政府對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)的出口限制，使得進(jìn)入我國(guó)的電子．商務(wù)和網(wǎng)絡(luò)安全產(chǎn)品均只能提供較短密鑰長(zhǎng)度的弱加密算法。這些安全產(chǎn)品我們認(rèn)為是安全的，但實(shí)際上根本無(wú)安全可言，因?yàn)榧夹g(shù)先進(jìn)的國(guó)家對(duì)較短密鑰長(zhǎng)度的弱加密算法早就有了破解的方法。

5．關(guān)于電子商務(wù)的安全威脅可以采取的對(duì)策適當(dāng)設(shè)置防護(hù)措施可以減低或防止來(lái)自現(xiàn)實(shí)的威脅。在通信安全、計(jì)算機(jī)安全、物理安全、人事安全、管理安全和媒體安全方面均可采取一定的措施，防止惡意侵?jǐn)_。整個(gè)系統(tǒng)的安全取決于系統(tǒng)中最薄弱環(huán)節(jié)的安全水平，這需要從系統(tǒng)設(shè)計(jì)進(jìn)行考慮。

(1)保密業(yè)務(wù)。

(2)認(rèn)證業(yè)務(wù)。

(3)接入控制業(yè)務(wù)。

(4)數(shù)據(jù)完整性業(yè)務(wù)。

(5)不可否認(rèn)業(yè)務(wù)。

(6)加快我國(guó)自主知識(shí)產(chǎn)權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)安全產(chǎn)品的研制和開(kāi)發(fā)，擺脫我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)和電子商務(wù)安全產(chǎn)品安全依賴(lài)進(jìn)口的局面，將主動(dòng)權(quán)掌握在自己手里。

(7)嚴(yán)格執(zhí)行《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》，按照《計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法》的規(guī)定規(guī)范企業(yè)電子商務(wù)設(shè)施的建設(shè)和管理。

三、計(jì)算機(jī)安全等級(jí)

1．計(jì)算機(jī)安全等級(jí)的劃分

美國(guó)的橘黃皮書(shū)中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)標(biāo)準(zhǔn)：D，C，B，A級(jí)，由低到高，D級(jí)暫時(shí)不分子級(jí)。8級(jí)和C級(jí)是最常見(jiàn)的級(jí)別。每個(gè)級(jí)別后面都跟有一個(gè)數(shù)字，表明它的用戶(hù)敏感程度，其中2是常見(jiàn)的級(jí)別，C級(jí)分為Cl和C2兩個(gè)子級(jí)，C2比Cl提供更多的保護(hù)。C2級(jí)要求有一個(gè)登錄過(guò)程，用戶(hù)控制指定資源，并檢查數(shù)據(jù)追蹤。8級(jí)為分Bl，B2和B3三個(gè)子級(jí)，由低到高；B2級(jí)要求有訪(fǎng)問(wèn)控制，不允許用戶(hù)為自己的文件設(shè)定安全級(jí)別。這些東西并不能保證安全，主要是用于政府合同的一致性。A級(jí)(最安全)暫時(shí)不分子級(jí)，是用戶(hù)定制的，如果需要一個(gè)這樣的系統(tǒng)，就要獲得一份授權(quán)銷(xiāo)售商及產(chǎn)品的清單。每級(jí)包括它下級(jí)的所有特性。這樣，由低到高是：D，Cl，C2，Bl，B2，B3和A。

2．計(jì)算機(jī)安全等級(jí)劃分的原則

(1)D級(jí)是計(jì)算機(jī)安全的最低層，對(duì)整個(gè)計(jì)算機(jī)的安全是不可信任的。

(2)C1級(jí)，有時(shí)也叫做酌情安全保護(hù)級(jí)，它要求系統(tǒng)硬件有一定的安全保護(hù)(如硬件有帶鎖裝置)，用戶(hù)在使用前必須在系統(tǒng)中注冊(cè)。Cl級(jí)保護(hù)系統(tǒng)的不足之處是用戶(hù)能直接訪(fǎng)問(wèn)操作系統(tǒng)的根。

(3)C2級(jí)，又稱(chēng)訪(fǎng)問(wèn)控制保護(hù)級(jí)，它針對(duì)Cl級(jí)的不足增加了幾個(gè)特性：①增加用戶(hù)權(quán)限級(jí)別。②采用了系統(tǒng)審計(jì)。

(4)B1級(jí)，也稱(chēng)為帶標(biāo)簽的安全性保護(hù)，它存在多級(jí)安全。

(5)B2級(jí)，又稱(chēng)為結(jié)構(gòu)化防護(hù)。B2級(jí)安全要求計(jì)算機(jī)系統(tǒng)所有的對(duì)象加標(biāo)簽，把信息劃分成單元，而且給設(shè)備，如工作站、終端和磁盤(pán)驅(qū)動(dòng)器分配安全級(jí)別。

(6)B3級(jí)，又稱(chēng)安全域級(jí)，要求用戶(hù)工作站或終端通過(guò)可信任途徑鏈接網(wǎng)絡(luò)系統(tǒng)，并使用硬件保護(hù)安全系統(tǒng)的存儲(chǔ)區(qū)。

(7)A級(jí)，最高安全級(jí)，也稱(chēng)為驗(yàn)證保護(hù)級(jí)或驗(yàn)證設(shè)計(jì)。A級(jí)除了包括所有下級(jí)的特性以外，還附加一個(gè)安全系統(tǒng)受監(jiān)控的設(shè)計(jì)要求，合格的安全個(gè)體必須分析并通過(guò)這一設(shè)計(jì)。

【填空】美國(guó)橘黃皮書(shū)中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)共!級(jí)標(biāo)準(zhǔn)，其中D級(jí)為最低級(jí)別。

第二章電子商務(wù)安全需求與密碼技術(shù)

一、電子商務(wù)的安全需求

電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)問(wèn)題，在使用電子商務(wù)的過(guò)程中會(huì)涉及到以下幾個(gè)有關(guān)安全方面的因素。

(1)可靠性可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計(jì)算機(jī)系統(tǒng)，其可靠性是指為防止由于計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒和自然災(zāi)害等所產(chǎn)生的潛在威脅，加以控制和預(yù)防，確保系統(tǒng)安全可靠性。保證計(jì)算機(jī)系統(tǒng)的安全是保證電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠的根基。

(2)真實(shí)性真實(shí)性是指商務(wù)活動(dòng)中交易者身份的真實(shí)性，亦即是交易雙方確實(shí)是存在的，不是假冒的。

(3)機(jī)密性機(jī)密性是指交易過(guò)程中必須保證信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。

(4)完整性完整性是指數(shù)據(jù)在輸人和傳輸過(guò)程中，要求能保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。

(5)有效性電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，必須保證貿(mào)易數(shù)據(jù)在確定價(jià)格、期限、數(shù)量以及確定時(shí)間、地點(diǎn)時(shí)是有效的。

(6)不可抵賴(lài)性電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題，則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。要求在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)，使原發(fā)送方在發(fā)送數(shù)據(jù)后不能抵賴(lài)。

接收方在接收數(shù)據(jù)后也不能抵賴(lài)。

(7)內(nèi)部網(wǎng)的嚴(yán)密性企業(yè)在內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量指令，控制著企業(yè)的業(yè)務(wù)流程。企業(yè)內(nèi)部網(wǎng)一旦被惡意侵入，可能給企業(yè)帶來(lái)極大的混亂與損失。保證內(nèi)部網(wǎng)不被侵入，也是開(kāi)展電子商務(wù)的企業(yè)應(yīng)著重考慮的一個(gè)安全問(wèn)題。

二、密碼技術(shù)

1．加密的基本概念

和表示方法

(1)加密的基本概念

①明文：原始的、未被偽裝的消息稱(chēng)做明文，也稱(chēng)信源。通常用M表示。

②密文：通過(guò)一個(gè)密鑰和加密算法可將明文變換成一種偽裝的信息，稱(chēng)為密文。通常用C表示。

③加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過(guò)程，通常用E表示。

④解密：由密文恢復(fù)成明文的過(guò)程，稱(chēng)為解密。通常用D表示。

⑤加密算法：對(duì)明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱(chēng)做加密算法。

⑥解密算法：消息傳送給接受者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱(chēng)做解密算法。

⑦密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱(chēng)作加密密鑰和解密密鑰。通常用K表示。

(2)加密、解密的表示方法

①加密：C—EK(M)

②解密：M=DR(c)2．單鑰密碼體制及其特點(diǎn)單鑰密碼體制是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體制。

單鑰密碼體制的特點(diǎn)：(1)加密和解密的速度快，效率高。(2)單鑰密碼體制的加密和解密過(guò)程使用同一個(gè)密鑰。

3．單鑰密碼體制幾種算法的基本思想

(1)DES加密算法

DES的加密運(yùn)算法則是，每次取明文中的連續(xù)64位(二進(jìn)制位，以下同樣)數(shù)據(jù)，利用64位密鑰(其中8位是校驗(yàn)位，56位是有效密鑰信息)，經(jīng)過(guò)16次循環(huán)(每一次循環(huán)包括一次替換和一次轉(zhuǎn)換)加密運(yùn)算，將其變?yōu)?4位的密文數(shù)據(jù)。

DES的整個(gè)體制是公開(kāi)的，系統(tǒng)的安全性依賴(lài)于密鑰。為了提高DES的加密強(qiáng)度，出現(xiàn)了雙重DES和三重DES加密算法。

(2)IDEA加密算法

IDEA國(guó)際數(shù)據(jù)加密算法是1990年由瑞士聯(lián)邦技術(shù)學(xué)院提出的。IDEA采用了三種基本運(yùn)算：異或運(yùn)算、模加、模乘。IDEA的設(shè)計(jì)思想是在不同代數(shù)組中進(jìn)行混合運(yùn)算。IDEA的加密過(guò)程是，首先將明文分為64位的數(shù)據(jù)塊，然后進(jìn)行8輪迭代和一個(gè)輸出變換。IDEA的輸入和輸出都是64位，密鑰長(zhǎng)度為128位。

(3)RC-5加密算法

RC-5加密算法是使用可變參數(shù)的分組迭代密碼體制，其中的可變參數(shù)為：分組長(zhǎng)、密鑰長(zhǎng)和迭代輪數(shù)。

RC-5加密算法適用于不同字長(zhǎng)的處理器。(4)AES加密算法。

【多選】單密鑰體制算法主要包括：DES、RC-5和AES。

4．雙鑰密碼體制及其特點(diǎn)

雙鑰密碼體制又稱(chēng)作公共密鑰體制或非對(duì)稱(chēng)加密體制，這種加密法在加密和解密過(guò)程中要使用一對(duì)(兩個(gè))密鑰，一個(gè)用于加密，另一個(gè)用于解密。即通過(guò)一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。

雙鑰密碼體制算法的特點(diǎn)：(1)適合密鑰的分配和管理。(2)算法速度慢，只適合加密小數(shù)量的信息。

5．雙鑰密碼體制幾種算法的基本思想

(1)RSA密碼算法

它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。RSA密碼體制是基于群中大整數(shù)因子分解的困難性。

RSA算法的安全性依賴(lài)于大數(shù)分解的困難性，公鑰和私鑰都是兩個(gè)大素?cái)?shù)(大于l00個(gè)十進(jìn)制位)。隨著大整數(shù)的分解算法和計(jì)算能力的提高，RSA需要采用足夠大的整數(shù)。如512位、664位、1024位等。

(2)ELGamal密碼體制ELGamal密碼體制由El。Gamal提出，是一種基于有限域上的離散對(duì)數(shù)問(wèn)題的雙鑰密碼體制。

ELGamal密碼體制的一個(gè)缺點(diǎn)是“消息擴(kuò)展”，即密文長(zhǎng)度是對(duì)應(yīng)的明文長(zhǎng)度的兩倍。

(3)橢圓曲線(xiàn)密碼體制(ECC)

橢圓曲線(xiàn)密碼體制的依據(jù)就是定義在橢圓曲線(xiàn)點(diǎn)群上的離散對(duì)數(shù)問(wèn)題的難解性。

三、密鑰管理技術(shù)

1．密鑰管理在密碼學(xué)中的作用

根據(jù)近代密碼學(xué)的觀點(diǎn)，一個(gè)密碼系統(tǒng)的安全性取決于對(duì)密鑰的保護(hù)，而不取決于對(duì)算法的保密。密碼體制可以公開(kāi)，密碼設(shè)備可以丟失，然而一旦密鑰丟失或出錯(cuò)，不但合法用戶(hù)不能提取信息，而且可能會(huì)使非法用戶(hù)竊取信息?？梢?jiàn)，密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要的。密鑰管理包括密鑰的設(shè)置、產(chǎn)生、分配、存儲(chǔ)、裝入、保護(hù)、使用以及銷(xiāo)毀等內(nèi)容，其中密鑰的分配和存儲(chǔ)可能是最棘手的問(wèn)題。

2．設(shè)置多層次密鑰系統(tǒng)的意義

密鑰舶層次設(shè)置，體現(xiàn)了一個(gè)密鑰系統(tǒng)在組織結(jié)構(gòu)上的基本特點(diǎn)。層次是由密鑰系統(tǒng)的功能決定的。如果一個(gè)密鑰系統(tǒng)所定義的功能很簡(jiǎn)單，其層次就可以很簡(jiǎn)單，如早期的保密通信都采用單層密鑰體制，密鑰的功能就是對(duì)明文加解密。然而，現(xiàn)代信息系統(tǒng)的密鑰管理不僅需求密鑰本身的安全保密，更要求密鑰能夠定期更換，甚至一報(bào)一換，密鑰能自動(dòng)生成和分配，密鑰的更換對(duì)用戶(hù)透明等，單層密鑰體制已無(wú)法適應(yīng)這種需要了。所以，現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的密鑰設(shè)計(jì)大都采取多層的形式。

3．Diffie—Hellman密鑰分配協(xié)議

Diffie與Hellman在早期提出了一種密鑰交換體制，通常稱(chēng)為Diffie—Hellman協(xié)議。他們建議用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來(lái)進(jìn)行直接密鑰交換。

【簡(jiǎn)答】簡(jiǎn)述使用Diffie一Hellman密鑰交換協(xié)議交換密鑰的步驟。

是用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來(lái)進(jìn)行直接密鑰交換，設(shè)P是一個(gè)素?cái)?shù)，a是模P的本原元。用戶(hù)A產(chǎn)生一個(gè)隨機(jī)數(shù)x，并計(jì)算U=axmodP送給用戶(hù)B。用戶(hù)B同樣產(chǎn)生一隨機(jī)數(shù)Y，計(jì)算V=aymodp送給用戶(hù)A。這樣雙方就能計(jì)算出相同的密鑰K

K=axymodp=Vxmodp=Uymodp。

4．集中式密鑰分配和分布式密鑰分配的含義

所謂集中式分配是指利用網(wǎng)絡(luò)中的“密鑰管理中心(KMC)”來(lái)集中管理系統(tǒng)中的密鑰，“密鑰管理中心”接受系統(tǒng)中用戶(hù)的請(qǐng)求，為用戶(hù)提供安全分配密鑰的服務(wù)。分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密鑰分配取決于它們自己的協(xié)商，不受任何其他方面的限制。

5．密鑰分存的思想

它的基本思想是：將一個(gè)密鑰K破成n個(gè)小片K、K2?、K。，滿(mǎn)足：(1)已知任意t個(gè)K：的值易于計(jì)算出K。

(2)已知任意t一1個(gè)或更少個(gè)K：，則由于信息短缺而不能確定出K。

將一個(gè)小片分給”個(gè)用戶(hù)。由于要重構(gòu)密鑰需要t個(gè)小片，故暴露一個(gè)小片或大到0一l個(gè)小片不會(huì)危及密鑰，且少于￡一1個(gè)用戶(hù)不可能共謀得到密鑰。同時(shí)，若一個(gè)小片被丟失或損壞，仍可恢復(fù)密鑰(只要至少有t個(gè)有效的小片)。

6．密鑰托管標(biāo)準(zhǔn)EES

EES主要有兩個(gè)新的特點(diǎn)：一個(gè)新的加密算法(Skipjack算法)和一個(gè)密鑰托管系統(tǒng)。其中最新的特色就是它的密鑰托管功能，當(dāng)一個(gè)Clipper芯片被用來(lái)進(jìn)行加解密時(shí)，一個(gè)LEAF(LawEnforcementAccessHeld)信息必須被提供，否則由防竄擾芯片拒絕解密，其中LEAF包含一個(gè)會(huì)話(huà)密鑰的加密拷貝，這樣被授權(quán)的監(jiān)聽(tīng)機(jī)構(gòu)就可以通過(guò)解密LEAF得到會(huì)話(huà)密鑰，從而有效地實(shí)施監(jiān)聽(tīng)。

【單選】美國(guó)政府在1993年公布的EES技術(shù)所屬的密鑰管理技術(shù)是密鑰的托管。

四、密碼系統(tǒng)的安全性--無(wú)條件安全和計(jì)算上安全

一個(gè)密碼體制的安全性取決于破譯者具備的計(jì)算能力，如若它對(duì)于擁有無(wú)限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是無(wú)條件安全的，它意味著不論破譯者擁有多大的計(jì)算資源，都不可能破譯；如若一個(gè)密碼體制對(duì)于擁有有限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。

無(wú)條件安全的密碼體制是理論上安全的；計(jì)算上安全的密碼體制實(shí)用的安全性。但目前已知的無(wú)條件安全的密碼體制都是不實(shí)用的；同時(shí)還沒(méi)有一個(gè)實(shí)用的密碼體制被證明是計(jì)算上安全的。

第三章密碼技術(shù)的應(yīng)用

一、數(shù)據(jù)的完整性和安全性

1．?dāng)?shù)據(jù)完整性和安全性概念

數(shù)據(jù)完整性或稱(chēng)真確性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。保持?jǐn)?shù)據(jù)完整性是指在有自然或人為干擾的條件下，網(wǎng)絡(luò)嵌入、刪除及重復(fù)傳送，或防止由于其他原因使原始數(shù)據(jù)被更改。

證實(shí)數(shù)據(jù)完整性是認(rèn)證信息、檢驗(yàn)數(shù)據(jù)是否被篡改的技術(shù)，在電子商務(wù)系統(tǒng)中的信息安全上有重要作用。

散列函數(shù)是實(shí)現(xiàn)數(shù)據(jù)完整性的主要手段。實(shí)際中也常常借助于糾錯(cuò)檢錯(cuò)技術(shù)來(lái)保證消息的完整性。

【單選】實(shí)現(xiàn)數(shù)據(jù)完整性的主要手段是散列函數(shù)。

2．?dāng)?shù)據(jù)完整性被破壞的嚴(yán)重后果(1)造成直接的經(jīng)濟(jì)損失。

(2)影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)。

(3)可能造成過(guò)不了“關(guān)”。

(4)會(huì)牽涉到經(jīng)濟(jì)案件中。

(5)造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任。

3．散列函數(shù)的概念

散列函數(shù)是將一個(gè)長(zhǎng)度不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的輸出串——稱(chēng)為散列值。也叫哈希值、雜湊值和消息摘要。

4．常用散列函數(shù)

(1)MD一4和MD一5散列算法。

(2)安全散列算法(SHA)。

(3)其他散列算法。

5．安全散列算法(SHA)

美國(guó)NIST和NSA設(shè)計(jì)的一種標(biāo)準(zhǔn)算法——安全散列算法SHA，用于數(shù)字簽名標(biāo)準(zhǔn)算法DSS，亦可用于其他需要散列算法的場(chǎng)合，具有較高的安全性。

輸入消息長(zhǎng)度小于264比特，輸出壓縮值為160比特·而后送給DSA計(jì)算此消息的簽名。這種對(duì)消息散列值的簽名要比對(duì)消息直接進(jìn)行簽名的效率更高。

6．散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性的方法

首先用散列算法，由散列函數(shù)計(jì)算出散列值后，就將此值——消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的消息摘要后，就用此消息獨(dú)自再計(jì)算出一個(gè)消息摘要。如果接收者所計(jì)算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒(méi)有被篡改。

【簡(jiǎn)答】簡(jiǎn)述使用MD5算法的基本過(guò)程。

(1)附加填充比特。

(2)附加長(zhǎng)度。

(3)初始化緩沖區(qū)。

(4)按每塊16個(gè)字對(duì)數(shù)據(jù)進(jìn)行4輪規(guī)定算法的處理。

(5)輸出。

二、數(shù)字簽名

1．?dāng)?shù)字簽名的基本概念

數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)上手書(shū)簽名蓋章的作甩，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。

2．?dāng)?shù)字簽名的必要性

商業(yè)中的契約、合同文件、公司指令和條約，以及商務(wù)書(shū)信等，傳統(tǒng)采用手書(shū)簽名或印章，以便在法律上能認(rèn)證、核準(zhǔn)、生效。

傳統(tǒng)手書(shū)簽名儀式要專(zhuān)門(mén)預(yù)定日期時(shí)間，契約各方到指定地點(diǎn)共同簽署一個(gè)合同文件，短時(shí)間的簽名工作量需要很長(zhǎng)時(shí)間的前期準(zhǔn)備工作。

電子商務(wù)的發(fā)展大大地加快了商務(wù)的流程，已經(jīng)不能容忍這種“慢條斯理”的傳統(tǒng)手書(shū)簽名方式。

數(shù)字簽名可做到高效而快速的響應(yīng)，任一時(shí)刻，在地球任何地方——只要有Internet，就可完成簽署工作。

數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公、電子轉(zhuǎn)賬及電子郵遞等系統(tǒng)。

3．?dāng)?shù)字簽名的原理

數(shù)字簽名用一般的加密方法是無(wú)法完成的。它的基本原理是：發(fā)送者A用自己的私鑰KSA對(duì)消息M加密后，得密文c，B收到密文C后，用A的公鑰KpA解密后，得消息M’。如果可得消息M’，且M和M’一致，即KSA和Ken是一對(duì)密鑰，M是經(jīng)KsA加密的——說(shuō)明M是經(jīng)過(guò)A“簽字”的，因?yàn)橹挥蠥有這個(gè)私鑰KSA。而對(duì)于消息M，B可同時(shí)通過(guò)其他途徑直接從A處得到。

4．?dāng)?shù)字簽名的要求數(shù)字簽名應(yīng)滿(mǎn)足以下要求：

(1)接收方B能夠確認(rèn)或證實(shí)發(fā)送方A的簽名，但不能由B或第三方C偽造。

(2)發(fā)送方A發(fā)出簽名的消息給接收方B后，A就不能再否認(rèn)自己所簽發(fā)的消息；

(3)接收方B對(duì)已收到的簽名消息不能否認(rèn)，即有收?qǐng)?bào)認(rèn)證。

(4)第三者C可以確認(rèn)收發(fā)雙方之間的消息傳送，但不能偽造這一過(guò)程。

【填空】數(shù)字簽名分為兩種，其中RSA和Rabin簽名屬于確定性簽名，ELGamal簽名屬于隨機(jī)式簽名。

【多選】數(shù)字簽名技術(shù)可以解決的安全問(wèn)題是接收方偽造、發(fā)送者或接收者否認(rèn)、第三方冒充、接收方篡改。

5．單獨(dú)數(shù)字簽名的安全問(wèn)題

單獨(dú)數(shù)字簽名的機(jī)制有一個(gè)潛在的安全問(wèn)題：如果有人(G)產(chǎn)生一對(duì)公鑰系統(tǒng)的密鑰，對(duì)外稱(chēng)是A所有，則他可以假冒A的名義進(jìn)行欺騙活動(dòng)。因?yàn)閱为?dú)數(shù)字簽名的機(jī)制中一對(duì)密鑰沒(méi)有與擁有者的真實(shí)身份有唯一的聯(lián)系。

6．RSA簽名體制

RSA簽名體制是利用雙鑰密碼體制的RSA加密算法實(shí)現(xiàn)數(shù)字簽名。IS0／IEC9796和ANSIX9．30—199X已將RSA作為建議數(shù)字簽名的標(biāo)準(zhǔn)算法。

7．無(wú)可爭(zhēng)辯簽名

無(wú)可爭(zhēng)辯簽名是在沒(méi)有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。無(wú)可爭(zhēng)辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。

無(wú)可爭(zhēng)辯簽名除了一般簽名體制中的簽名算法和驗(yàn)證算法(或協(xié)議)外，還需要

第三個(gè)組成部分，即否認(rèn)協(xié)議：簽名者利用無(wú)可爭(zhēng)辯簽名可向法庭或公眾證明一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。

三、數(shù)字信封

1．?dāng)?shù)字信封的加密方法發(fā)送方用一個(gè)隨機(jī)產(chǎn)生的DES密鑰加密消息，然后用接受方的公鑰加密DES密鑰，稱(chēng)為消息的“數(shù)字信封”，將數(shù)字信封與DES加密后的消息一起發(fā)給接受方。接受者收到消息后，先用其私鑰打開(kāi)數(shù)字信封，得到發(fā)送方的DES密鑰，再用此密鑰去解密消息。只有用接受方的RSA私鑰才能夠打開(kāi)此數(shù)字信封，確保了接受者的身份。

2．?dāng)?shù)字信封的優(yōu)點(diǎn)

數(shù)字信封既克服了兩種加密體制的缺點(diǎn)，發(fā)揮了兩種加密體制的優(yōu)點(diǎn)，又妥善地解決了密鑰傳送的安全問(wèn)題。

四、混合加密系統(tǒng)

混合加密系統(tǒng)的作用在一次信息傳送過(guò)程中，可以綜合利用消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別和不可否認(rèn)。

這種已經(jīng)成為目前信息安全傳送的標(biāo)準(zhǔn)模式，一般把它叫作“混合加密系統(tǒng)”，被廣泛采用。

五、數(shù)字時(shí)間戳

1．?dāng)?shù)字時(shí)間戳的作用數(shù)字時(shí)間戳應(yīng)當(dāng)保證：(1)數(shù)據(jù)文件加蓋的時(shí)戳與存儲(chǔ)數(shù)據(jù)的物理媒體無(wú)關(guān)。

(2)對(duì)已加蓋時(shí)戳的文件不可能做絲毫改動(dòng)(即使文件僅1比特)。

(3)要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)問(wèn)不同時(shí)戳是不可能的。

2．仲裁方案

利用單向雜湊和數(shù)字函數(shù)簽名協(xié)議實(shí)現(xiàn)：

(1)A產(chǎn)生文件的單向雜湊函數(shù)值。

(2)A將雜湊函數(shù)值傳送給B。

(3)B在收到的雜湊函數(shù)值的后面附加上日期和時(shí)間，并對(duì)它進(jìn)行數(shù)字簽名。

(4)B將簽名的雜湊函數(shù)值和時(shí)戳一起送還給A。

3．鏈接協(xié)議解決A和B可以合謀生成任何想要的時(shí)戳這個(gè)問(wèn)題的一種方法是將A的時(shí)戳同8以前生成的時(shí)戳鏈接起來(lái)。這些時(shí)戳很可能是為A之外的人生成的。由于B接收到各個(gè)時(shí)戳請(qǐng)求的順序不能確定，A的時(shí)戳很可能產(chǎn)生在前一個(gè)時(shí)戳之后。由于后來(lái)的請(qǐng)求與A的時(shí)戳鏈接在一起，他的時(shí)戳一定在前面產(chǎn)生過(guò)。

第四章 網(wǎng)絡(luò)系統(tǒng)物理安全與計(jì)算機(jī)病毒的防治

一、網(wǎng)絡(luò)系統(tǒng)物理安全

1．計(jì)算機(jī)機(jī)房的設(shè)計(jì)

計(jì)算機(jī)機(jī)房的設(shè)計(jì)應(yīng)符合下列規(guī)定：(1)設(shè)備間內(nèi)所有設(shè)備應(yīng)有足夠的安裝空間，其中包括計(jì)算機(jī)主機(jī)，網(wǎng)絡(luò)連接設(shè)備等。

(2)設(shè)備間的地面面層材料應(yīng)能防靜電。

(3)設(shè)備間至少提供離地板255cm高度的空間，門(mén)的高度應(yīng)大于210cm，門(mén)寬應(yīng)大于90cm，地板的平均荷載應(yīng)大于5kN／m2。凡是安裝綜合布線(xiàn)硬件的地方，墻壁和天棚應(yīng)涂阻燃漆。

(4)設(shè)備間應(yīng)采用全封閉房間，防止有害氣體侵人，并應(yīng)有良好的防塵措施。

(5)設(shè)備問(wèn)室溫應(yīng)保持在10。C至25。C之間，相對(duì)濕度應(yīng)保持60％至80％。

(6)設(shè)備間應(yīng)安裝符合法規(guī)要求的消防系統(tǒng)，應(yīng)使用防火防盜門(mén)，至少能耐火l小時(shí)的防火墻。

(7)機(jī)房?jī)?nèi)的塵埃要求低于0．59m；對(duì)于開(kāi)機(jī)時(shí)機(jī)房?jī)?nèi)的噪聲，在中央控制臺(tái)處測(cè)量時(shí)應(yīng)小于70dB。

(8)機(jī)房?jī)?nèi)無(wú)線(xiàn)電干擾場(chǎng)強(qiáng)，在頻率范圍為o．15～1000MHz時(shí)不大于l20dB。機(jī)房?jī)?nèi)磁場(chǎng)干擾場(chǎng)不大于800A／m。

(9)計(jì)算機(jī)房?jī)?nèi)的照明要求在離地面0．8m處，照度不應(yīng)低于200Ix，其他房間的照明不應(yīng)低于5lx，主要通道及有關(guān)房間可根據(jù)需要設(shè)置，但其照度要求是在離地面0．8m處不低于llx。

(10)設(shè)備間應(yīng)采用UPS不問(wèn)斷電源，防止停電造成網(wǎng)絡(luò)通訊中斷。UPS電源應(yīng)提供不低于2小時(shí)后備供電能力。UPS功率大小應(yīng)根據(jù)網(wǎng)絡(luò)設(shè)備功率進(jìn)行計(jì)算，并具有20％～30％的余量。設(shè)備間電源設(shè)備應(yīng)具有過(guò)壓過(guò)流保護(hù)功能，以防止對(duì)設(shè)備的不良影響和沖擊。

(11)防雷接地可單獨(dú)接地或同大樓共用接地體。

接地要求每個(gè)配線(xiàn)柜都應(yīng)單獨(dú)引線(xiàn)至接地體，保護(hù)地線(xiàn)的接地電阻值，單獨(dú)設(shè)置接地體時(shí)，不應(yīng)大于2n；采用同大樓共用接地體時(shí)，不應(yīng)大于lQ。

【單選】根據(jù)《建筑與建筑群綜合布線(xiàn)系統(tǒng)工程設(shè)計(jì)規(guī)范(CECS72：97)的要求，計(jì)算機(jī)機(jī)房室溫應(yīng)該保持的溫度范圍為l0℃～25℃。

2．容錯(cuò)和冗余

【名詞解釋】容錯(cuò)技術(shù)：是當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或進(jìn)入應(yīng)急工作狀態(tài)的一種技術(shù)。

3．網(wǎng)絡(luò)備份系統(tǒng)

備份系統(tǒng)使用了恢復(fù)出錯(cuò)系統(tǒng)的辦法之一。當(dāng)丟失了系統(tǒng)的數(shù)據(jù)完整性后，可以用備份系統(tǒng)將最近的一次系統(tǒng)備份恢復(fù)到機(jī)器上去。在局域網(wǎng)環(huán)境中做備份系統(tǒng)工作容易出錯(cuò)?，F(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來(lái)越困難，其原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。

4．?dāng)?shù)據(jù)文件備份

數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤(pán)或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過(guò)程。傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。

5．歸檔

歸檔是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上，以便長(zhǎng)期保存的過(guò)程。

6．提高數(shù)據(jù)完整性的預(yù)防性措施

(1)鏡像技術(shù)。

(2)故障前兆分析。

(3)奇偶校驗(yàn)。

(4)隔離不安全的人員。

(5)電源保障。

【名詞解釋】奇偶校驗(yàn)：是服務(wù)器的一種特征，它提供一種機(jī)器機(jī)制來(lái)保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)引起由于服務(wù)器的出錯(cuò)，導(dǎo)致數(shù)據(jù)完整性的喪失。

二、計(jì)算機(jī)病毒

1．計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

2．計(jì)算機(jī)病毒的特征(1)非授權(quán)可執(zhí)行性。

(2)隱蔽性。

(3)傳染性。

(4)潛伏性。

(5)表現(xiàn)性或破壞性。

(6)可觸發(fā)性。

【單選】判斷一段程序代碼是否為計(jì)算機(jī)病毒，其依據(jù)是看這段代碼是否具有傳染性。

3．計(jì)算機(jī)病毒的分類(lèi)

(1)按寄生方式分為引導(dǎo)型病毒、文件型病毒和復(fù)合型病毒。

(2)按破壞性分為良性病毒和惡性病毒。

4．計(jì)算機(jī)病毒的主要來(lái)源

(1)引進(jìn)的計(jì)算機(jī)系統(tǒng)和軟件帶有病毒。

(2)各類(lèi)出國(guó)人員帶回的機(jī)器和軟件染有病毒。

(3)一些染有病毒的游戲軟件。

(4)非法拷貝中毒。

(5)計(jì)算機(jī)生產(chǎn)、經(jīng)營(yíng)單位銷(xiāo)售的機(jī)器和軟件染有病毒。

(6)維修部門(mén)交叉感染。

(7)有人研制、改造病毒。

(8)敵對(duì)分子以病毒進(jìn)行宣傳和破壞。

(9)通過(guò)互聯(lián)網(wǎng)傳人。

5．計(jì)算機(jī)病毒的防治策略

(1)依法治毒。

(2)建立一套行之有效的病毒防治體系。

(3)制定嚴(yán)格的病毒防治技術(shù)規(guī)范。

第五章 防火墻與VPN技術(shù)

一、防火墻

1．防火墻的基本概念

(1)外網(wǎng)(非受信網(wǎng)絡(luò))：防火墻外的網(wǎng)絡(luò)，一般為Internet。(2)內(nèi)網(wǎng)(受信網(wǎng)絡(luò))：防火墻的網(wǎng)絡(luò)。受信主機(jī)和非受信主機(jī)分別對(duì)照內(nèi)網(wǎng)和外網(wǎng)的主機(jī)。

(3)非軍事化區(qū)(DMZ)：

為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段，這個(gè)網(wǎng)段便是非軍事化區(qū)(DMZ區(qū))。

2．防火墻的設(shè)計(jì)原則

防火墻的設(shè)計(jì)須遵循以下基本原則：

(1)由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過(guò)防火墻。

(2)只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過(guò)防火墻。

(3)盡可能控制外部用戶(hù)訪(fǎng)問(wèn)內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶(hù)進(jìn)入內(nèi)域網(wǎng)。

(4)具有足夠的透明性，保證正常業(yè)務(wù)的流通。

(5)具有抗穿透攻擊能力、強(qiáng)化記錄、審計(jì)和告警。

3．防火墻的基本組成

【簡(jiǎn)答】簡(jiǎn)述防火墻的基本組成部分。

(1)安全操作系統(tǒng)。

(2)過(guò)濾器。

(3)網(wǎng)關(guān)。

(4)域名服務(wù)器。

(5)Email處理。

4．防火墻的分類(lèi)

(1)包過(guò)濾型。

(2)包檢驗(yàn)型。

(3)應(yīng)用層網(wǎng)關(guān)型。

5．防火墻不能解決的問(wèn)題

(1)防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。

(2)防火墻不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)帶來(lái)的威脅。

(3)防火墻也不能防止傳送已感染病毒的軟件或文件。

(4)防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

二、VPN技術(shù)

1．VPN基本概念

虛擬專(zhuān)用網(wǎng)VPN通常被定義為通過(guò)一個(gè)公共網(wǎng)絡(luò)(通常是Internet)建立一個(gè)『|缶時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，它是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

2．VPN的基礎(chǔ)：

隧道協(xié)議VPN利用隧道協(xié)議在網(wǎng)絡(luò)之間建立一個(gè)虛擬通道，以完成數(shù)據(jù)信息的安全傳輸 隧道協(xié)議主要包括以下幾種：

(1)互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec。

(2)第2層轉(zhuǎn)發(fā)協(xié)議L2F。

(3)點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP。

(4)通用路由封裝協(xié)議GRE。

【單選】在隧道協(xié)議中，基于防火墻的VPN系統(tǒng)的協(xié)議是些。

【填空】IPSec是一系列保護(hù)IP通信的規(guī)則的集合，它包含傳輸模式與隧道模式兩種工作模式。

【單選】在中國(guó)，制約VPN發(fā)展、普及的客觀因素是網(wǎng)絡(luò)帶寬。

3．VPN適用范圍有四類(lèi)用戶(hù)比較適合采用VPN：

(1)位置眾多，特別是單個(gè)用戶(hù)和遠(yuǎn)程辦公室站點(diǎn)多，例如企業(yè)用戶(hù)、遠(yuǎn)程教育用戶(hù)。

(2)用戶(hù)／站點(diǎn)分布范圍廣，彼此之間的距離遠(yuǎn)，遍布全球各地，需通過(guò)長(zhǎng)途電信，甚至國(guó)際長(zhǎng)途手段聯(lián)系的用戶(hù)。

(3)帶寬和時(shí)延要求相對(duì)適中的用戶(hù)。

(4)對(duì)線(xiàn)路保密性和可用性有一定要求的用戶(hù)。

相對(duì)而言，有四種情況可能并不適于采用VPN：

(1)非常重視傳輸數(shù)據(jù)的安全性。

(2)不管價(jià)格多少，性能都被放在第一位的情況。

(3)采用不常見(jiàn)的協(xié)議，不能在IP隧道中傳送應(yīng)用的情況。

(4)大多數(shù)通信是實(shí)時(shí)通信的應(yīng)用，如語(yǔ)音和視頻。

但這種情況可以使用公共交換電話(huà)網(wǎng)(PSTN)解決方案與VPN配合使用。

4．VPN分類(lèi)

(1)按VPN的部署模式分類(lèi)

①端到端(End—t0—End)模式。

②供應(yīng)商企業(yè)(Provider—Enterprise)模式。

③內(nèi)部供應(yīng)商(Intra—Provider)模式。

(2)按VPN的服務(wù)類(lèi)型分類(lèi)①I(mǎi)ntranetVPN。②AceessVPN。③ExtranetVPN。

(3)多級(jí)安全策略：

主體和客體按普通、秘密、機(jī)密、絕密級(jí)劃分，進(jìn)行權(quán)限和流向控制。

4．接入控制的實(shí)現(xiàn)

接入控制實(shí)現(xiàn)有以下兩種方式：

(1)自主式接入控制：簡(jiǎn)記為DAC。

(2)強(qiáng)制式接入控制：簡(jiǎn)記為MAC。

(3)按接入方式的不同

①虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)(VPDN)。

②虛擬專(zhuān)用路由網(wǎng)絡(luò)(VPRN)。

③虛擬租用線(xiàn)路(V1．L)。

④虛擬專(zhuān)用LAN子網(wǎng)段(VPLS)。

5．組建VPN遵循的設(shè)計(jì)原則

VPN的設(shè)計(jì)應(yīng)該遵循以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、vPN管理等。

在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。

在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。

在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶(hù)和合作伙伴。

【單選】由資源擁有者分配接入權(quán)的接入控制方式是自主式接入控制。

【多選】接入控制策略主要包括最小權(quán)益策略、最小泄露策略和多級(jí)安全策略。

第六章 數(shù)控庫(kù)加密技術(shù)

1．?dāng)?shù)據(jù)加密的必要性

由于網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)協(xié)議、主要技術(shù)是公開(kāi)的，所有的網(wǎng)絡(luò)安全技術(shù)也是基于這些公開(kāi)的技術(shù)，黑客利用這些公開(kāi)技術(shù)中的漏洞，對(duì)網(wǎng)絡(luò)和數(shù)據(jù)進(jìn)行攻擊；任何操作系統(tǒng)無(wú)論其技術(shù)是否公開(kāi)，都是有漏洞的，因?yàn)榘踩c運(yùn)行效率是一個(gè)要綜合平衡的矛盾。

一旦黑客攻破網(wǎng)絡(luò)，如果數(shù)據(jù)未加密，計(jì)算機(jī)數(shù)據(jù)是可讀的，則數(shù)據(jù)即盜即用。黑客還可以有針對(duì)性的盜竊和篡改黑客關(guān)心的文件和數(shù)據(jù)庫(kù)記錄(破壞數(shù)據(jù)的完整性)。而且黑客一旦掌握了攻破方法以后，會(huì)不斷的繼續(xù)盜走和篡改數(shù)據(jù)，而用戶(hù)很難察覺(jué)。因此。數(shù)據(jù)加密十分必要。

2．?dāng)?shù)據(jù)加密的作用數(shù)據(jù)加密的作用在于：

(1)解決外部黑客侵入網(wǎng)絡(luò)后盜竊計(jì)算機(jī)數(shù)據(jù)的問(wèn)題。

(2)解決外部黑客侵入網(wǎng)絡(luò)后篡改數(shù)據(jù)的問(wèn)題。

(3)解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計(jì)算機(jī)數(shù)據(jù)的問(wèn)題。

(4)解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問(wèn)題。

(5)解決CPU、操作系統(tǒng)等預(yù)先安置了黑客軟件或無(wú)線(xiàn)發(fā)射裝置的問(wèn)題。

3．?dāng)?shù)據(jù)加密的方法目前，對(duì)數(shù)據(jù)庫(kù)的加密方法有以下三種：(1)使用加密軟件加密數(shù)據(jù)。

(2)使用專(zhuān)用軟件加密數(shù)據(jù)庫(kù)數(shù)據(jù)。

(3)加密橋技術(shù)。

【單選】在加密／解密卡的基礎(chǔ)上開(kāi)發(fā)的數(shù)據(jù)庫(kù)加密應(yīng)用設(shè)計(jì)平臺(tái)是使用加密橋技術(shù)。

第七章 證書(shū)系統(tǒng)與身份確認(rèn)

一、認(rèn)證與身份證明

1．身份證明系統(tǒng)的組成

一個(gè)身份證明系統(tǒng)一般由3方組成，一方是出示證件的人，稱(chēng)做示證者，又稱(chēng)申請(qǐng)者，提出某種要求；另一方為驗(yàn)證者，檢驗(yàn)示證者提出的證件的正確性和合法性，決定是否滿(mǎn)足其要求；

第三方是可信賴(lài)者，用以調(diào)解糾紛。

2．對(duì)身份證明系統(tǒng)的要求

(1)驗(yàn)證者正確識(shí)別合法示證者的概率極大化。

(2)不具可傳遞性，驗(yàn)證者B不可能重用示證者A提供給他的信息，偽裝示證者A成功地騙取其他人的驗(yàn)證，得到信任。

(3)攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略，特別是要能抗已知密文攻擊，即攻擊者在截獲到示證者和驗(yàn)證者多次(多次式表示)通信下，偽裝示證者欺騙驗(yàn)證者。

(4)計(jì)算有效性，為實(shí)現(xiàn)身份證明所需的計(jì)算量要小。

(5)通信有效性，為實(shí)現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小。

(6)秘密參數(shù)安全存儲(chǔ)。

(7)交互識(shí)別，有些應(yīng)用中要求雙方互相進(jìn)行身份認(rèn)證。

(8)第三方的實(shí)時(shí)參與，如在線(xiàn)公鑰檢索服務(wù)。

(9)第三方的可信賴(lài)性。

(10)可證明安全性。

3．身份證明系統(tǒng)質(zhì)量指標(biāo)

身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶(hù)遭拒絕的概率，即拒絕率(FRR，F(xiàn)alseRejectionRate)或虛報(bào)率(1型錯(cuò)誤率)，以及非法用戶(hù)的偽造身份成功的概率，即漏報(bào)率(FAR，F(xiàn)alseAcceptanceRate)(11型錯(cuò)誤率)。

為了保證系統(tǒng)有良好的服務(wù)質(zhì)量，要求其l型錯(cuò)誤率要足夠小；為保證系統(tǒng)的安全性，要求其Ⅱ型錯(cuò)誤率要足夠小。

【名詞解釋】身份識(shí)別：是指輸入個(gè)人信息，經(jīng)過(guò)處理提取成模板信息，試著在存儲(chǔ)數(shù)據(jù)庫(kù)中搜索找出與之匹配的模板，而后給出結(jié)論的過(guò)程。

4．通行字選擇原則一個(gè)大系統(tǒng)的通行字的選擇原則為：

(1)易記。

(2)難于被別人猜中或發(fā)現(xiàn)。

(3)抗分析能力強(qiáng)。

【多選】通行字選取原則主要包括：墾望、難于被別人猜中或發(fā)現(xiàn)、抗分析能力強(qiáng)。

5．通行字的控制措施

(1)系統(tǒng)消息：一般系統(tǒng)在聯(lián)機(jī)和脫機(jī)時(shí)都顯示一些禮貌性用語(yǔ)，而成為識(shí)別該系統(tǒng)的線(xiàn)索，因此，這些系統(tǒng)應(yīng)當(dāng)可以抑制這類(lèi)消息的顯示，通行字當(dāng)然不能顯示。

(2)限制試探次數(shù)：重復(fù)輸入口令一般限制為3～6次，超過(guò)限定試驗(yàn)次數(shù)，系統(tǒng)將對(duì)該用戶(hù)ID鎖定，直到重新認(rèn)證授權(quán)才再開(kāi)啟。

(3)通行字有效期：限定通行字使用期限。

(4)雙通行字系統(tǒng)：允許聯(lián)機(jī)用通行字，接觸敏感信息還要輸入一個(gè)不同的通行字。

(5)最小長(zhǎng)度：限制通行字至少為6～8字節(jié)以上，防止猜測(cè)成功概率過(guò)高，可采用摻雜或采用通行短語(yǔ)等加長(zhǎng)和隨機(jī)化。

(6)封鎖用戶(hù)系統(tǒng)：可以對(duì)長(zhǎng)期未聯(lián)機(jī)用戶(hù)或通行字超過(guò)使用期的用戶(hù)的ID封鎖，直到用戶(hù)重新被授權(quán)。

(7)根通行字的保護(hù)：根通行字是系統(tǒng)管理員訪(fǎng)問(wèn)系統(tǒng)所用口令，由于系統(tǒng)管理員被授予的權(quán)利遠(yuǎn)大于對(duì)一般用戶(hù)的授權(quán)，因此，它自然成為攻擊者的攻擊目標(biāo)，在選擇和使用中要倍加保護(hù)。要求必須采用16進(jìn)制字符中，不能通過(guò)網(wǎng)絡(luò)傳送，要經(jīng)常更換(一周以?xún)?nèi))等。

(8)系統(tǒng)生成通行字：有些系統(tǒng)不允許用戶(hù)自己選定通行字，而由系統(tǒng)生成、分配通行字。系統(tǒng)如何生成易于記憶又難于猜中的通行字是要解決的一個(gè)關(guān)鍵問(wèn)題，如果通行字難于記憶，用戶(hù)要將其寫(xiě)下來(lái)。增加暴露危險(xiǎn)；若生成算法被竊，則危及整個(gè)系統(tǒng)的安全。

(9)通行字的檢驗(yàn)：用一些軟件工具檢驗(yàn)通行字的可用性。

6．通行字的安全存儲(chǔ)

通行字的安全存儲(chǔ)有以下2種方法：

(1)對(duì)于用戶(hù)的通行字多以加密形式存儲(chǔ)，入侵者要得到通行字，必須知道加密算法和密鑰，算法可能是公開(kāi)的，但密鑰應(yīng)當(dāng)只有管理者才知道。

(2)許多系統(tǒng)可以存儲(chǔ)通行字的單向雜湊值，入侵者即使得到此雜湊值也難于推出通行字。

1．Kerberos認(rèn)證體系的作用

Kerberos是一種典型的用于客戶(hù)機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議，它是一種基于對(duì)稱(chēng)密碼體制的安全認(rèn)證服務(wù)系統(tǒng)。其最大優(yōu)點(diǎn)就是使用方便、易于實(shí)施。

Kerberos通過(guò)提供中心認(rèn)證服務(wù)，并應(yīng)用傳統(tǒng)的加密方法，在客戶(hù)機(jī)和服務(wù)器之間構(gòu)造起了一個(gè)安全橋梁的作用，在很大程度上能夠消除常規(guī)的許多潛在安全問(wèn)題。

2．Kerberos系統(tǒng)的組成Kerberos系統(tǒng)由下面的4個(gè)部分組成：AS、TGS、Client、Server。

【多選】Kerberos系統(tǒng)的組成部分包括：As、TGS、Client、Server。

3．域內(nèi)認(rèn)證

Client向本Kerberos的認(rèn)證域以?xún)?nèi)的Server申請(qǐng)服務(wù)的過(guò)程分為3個(gè)階段，共6個(gè)步驟。

(1)第一階段：客戶(hù)Client向AS申請(qǐng)得到注冊(cè)許可證(Client·一+AS)。

(2)第二階段：客戶(hù)Client從TGS得到所請(qǐng)求服務(wù)的服務(wù)許可證Ts(Client—TGS)．

(3)第三階段：客戶(hù)利用服務(wù)許可證Ts向Server申請(qǐng)服務(wù)(Client*+Server)。

4．域間認(rèn)證

Client向本Kerberos的認(rèn)證域以外的Server～申請(qǐng)服務(wù)的過(guò)程分為4個(gè)階段共8個(gè)步驟。

(1)第一個(gè)階段：ClientAS(兩者之間共享client的密鑰Kc，密鑰Ktgs是AS和TGS共享的，由AS傳遞給合法的Client)。

(2)第二個(gè)階段：Client*~*TGS。

(3)第三個(gè)階段：Client~*TGS。

(4)第四個(gè)階段：Client*~,Server~。

【名詞解釋】域問(wèn)認(rèn)證：是指Client向本Kerberos的認(rèn)證域以外的Server申請(qǐng)服務(wù)的過(guò)程。

5．Kerberos的局限性

(1)時(shí)間同步。

(2)重放攻擊。

(3)認(rèn)證域之間的信任。

(4)系統(tǒng)程序的安全性和完整性。

(5)口令猜測(cè)攻擊。

(6)密鑰的存儲(chǔ)。

第八章 公鑰證書(shū)與證書(shū)機(jī)構(gòu)

一、公鑰證書(shū)

1．公鑰數(shù)字證書(shū)的含義

公鑰數(shù)字證書(shū)是網(wǎng)絡(luò)上的證明文件：證明雙鑰體制中的公鑰所有者就是證書(shū)上所記錄的使用者。

2．公鑰證書(shū)系統(tǒng)的分類(lèi)

公鑰證書(shū)系統(tǒng)按用戶(hù)群所需的CA個(gè)數(shù)，可分為單公鑰證書(shū)系統(tǒng)和多公鑰證書(shū)系統(tǒng)。

3．公鑰證書(shū)鏈結(jié)構(gòu)

下圖是多公鑰證書(shū)系統(tǒng)證書(shū)鏈結(jié)構(gòu)示意圖，這一結(jié)構(gòu)在于建立一個(gè)可信賴(lài)的證書(shū)鏈或證書(shū)通路。高層CA稱(chēng)做根cA——cARoot，它向低層CA(CA一A1，CA—A2，?)發(fā)放公鑰證書(shū)，而證書(shū)機(jī)構(gòu)CAAl再向它的低層CA(CA—Bl，CA—B2，?)發(fā)放公鑰證書(shū)，??最底層的CA直接向其用戶(hù)群(U11，Ul2，?)發(fā)放公鑰證書(shū)。

ill!書(shū)1證書(shū)2lie書(shū)3——一Ⅲi根c攀ALl蟊圖廚幽叫發(fā)證者A

【州發(fā)iil!者BlH發(fā)證者c¨證書(shū)4證書(shū)51霞圜公鑰證書(shū)鏈結(jié)構(gòu)示意圖最終的用戶(hù)證書(shū)(如證書(shū)3)的合法性由其發(fā)證者(如證書(shū)2)的簽名密鑰保證，而該發(fā)證者(如證書(shū)2)的合法性由其上級(jí)發(fā)證者(如證書(shū)1)，即CA一Root的簽名密鑰保證。用戶(hù)ul要與發(fā)證者所限定的子區(qū)域內(nèi)用戶(hù)進(jìn)行安全通信，只需利用CA一B1的公鑰，而實(shí)際使用了三個(gè)證書(shū)。

如果用戶(hù)Ul要與CA—Bl以外的用戶(hù)(如U2)進(jìn)行交易，則需借助于CA—Bl，CA—Al，CA—B2和CA—A2的公鑰進(jìn)行認(rèn)證，而實(shí)際使用了六個(gè)證書(shū)。

4．公鑰證書(shū)的類(lèi)型

(1)客戶(hù)證書(shū)。(2)服務(wù)器證書(shū)。(3)安全郵件證書(shū)。(4)CA證書(shū)。

【單選】在單公鑰證書(shū)系統(tǒng)中，簽發(fā)根CA證書(shū)的機(jī)構(gòu)是根CA自己。

5．公鑰證書(shū)的內(nèi)容和格式

【簡(jiǎn)答】簡(jiǎn)述公鑰證書(shū)包含的具體內(nèi)容。

(1)版本信息。

(2)證書(shū)序列號(hào)。

(3)CA使用的簽名算法。

(4)有效期。

(5)發(fā)證者的識(shí)別碼。

(6)證書(shū)主題名。

(7)公鑰信息；

(8)使用者subject。

(9)使用者識(shí)別碼。

(10)額外的特別擴(kuò)展信息。

【多選】密鑰對(duì)生成途徑(1)密鑰對(duì)持有者自己生成：用戶(hù)自己用硬件或軟件生成密鑰對(duì)。如果該密鑰對(duì)用于數(shù)字簽名時(shí)，應(yīng)支持不可否認(rèn)性。(2)密鑰對(duì)由通用系統(tǒng)生成：由用戶(hù)依賴(lài)的、可信賴(lài)的某一中心機(jī)構(gòu)(如CA)生成，然后要安全地送到特定用戶(hù)的設(shè)備中。利用這類(lèi)中心的資源，可產(chǎn)生高質(zhì)量密鑰對(duì)，易于備份和管理。

7．密鑰的安全保護(hù)

密鑰按算法產(chǎn)生后，首先將私鑰送給用戶(hù)，如需備份，應(yīng)保證安全性，將公鑰送給CA，可以生成相應(yīng)證書(shū)。

為了防止未授權(quán)用戶(hù)對(duì)密鑰的訪(fǎng)問(wèn)，應(yīng)將密鑰存人防竄擾硬件或卡(如IC卡或PCM—CIA卡)中，或加密后存入計(jì)算機(jī)的文件中。

此外，定期更換密鑰對(duì)是保證安全的重要措施。

8．?dāng)?shù)字證書(shū)的使用過(guò)程

(1)個(gè)人數(shù)字證書(shū)的申請(qǐng)和安裝。

(2)查看證書(shū)。

(3)證書(shū)的導(dǎo)出和導(dǎo)入。

(4)個(gè)人數(shù)字證書(shū)的使用。

(5)下載對(duì)方的數(shù)字證書(shū)。

(6)個(gè)人數(shù)字證書(shū)的廢除。

二、證書(shū)機(jī)構(gòu)

1．證書(shū)機(jī)構(gòu)的含義

證書(shū)機(jī)構(gòu)CA用于創(chuàng)建和發(fā)布證書(shū)，它通常為一個(gè)稱(chēng)為安全域的有限群體發(fā)放證書(shū)。

2．證書(shū)吊銷(xiāo)表的含義

CA還負(fù)責(zé)維護(hù)和發(fā)布證書(shū)吊銷(xiāo)表(CRL，certifi—cateRevocationLists，又稱(chēng)為證書(shū)黑名單)。當(dāng)一個(gè)證書(shū)，特別是其中的公鑰因?yàn)槠渌驘o(wú)效時(shí)(不是因?yàn)榈狡?，CRL提供了一種通知用戶(hù)和其他應(yīng)用的中心管理方式。

3．證書(shū)機(jī)構(gòu)CA的組成(1)安全服務(wù)器。(2)CA服務(wù)器。(3)注冊(cè)機(jī)構(gòu)RA。(4)LDAP服務(wù)器。(5)數(shù)據(jù)庫(kù)服務(wù)器。

【單選】CA系統(tǒng)一般由多個(gè)部分構(gòu)成，其核心部分為CA服務(wù)器。

4．認(rèn)證機(jī)構(gòu)的功能

(1)證書(shū)申請(qǐng)(新證書(shū)的發(fā)放)。

①網(wǎng)上申請(qǐng)。

②離線(xiàn)申請(qǐng)證書(shū)。

(2)證書(shū)更新。

(3)證書(shū)吊銷(xiāo)或撤銷(xiāo)。

①證書(shū)持有者申請(qǐng)吊銷(xiāo)。

②認(rèn)證機(jī)構(gòu)強(qiáng)制吊銷(xiāo)證書(shū)。

(4)證書(shū)的公布和查詢(xún)。

【填空】證書(shū)申請(qǐng)包括了用戶(hù)證書(shū)的申請(qǐng)與商家證書(shū)的申請(qǐng)，其申請(qǐng)方式包括網(wǎng)上申請(qǐng)和離線(xiàn)申請(qǐng)。

5．證書(shū)合法性驗(yàn)證鏈

為了對(duì)證書(shū)進(jìn)行有效的管理，證書(shū)實(shí)行分級(jí)管理，認(rèn)證機(jī)構(gòu)采用了樹(shù)型結(jié)構(gòu)，證書(shū)可以通過(guò)一個(gè)完整的安全體系得以驗(yàn)證。每份證書(shū)都與上一級(jí)的簽名證書(shū)相關(guān)聯(lián)，最終通過(guò)安全鏈追溯到一個(gè)已知的可信賴(lài)的機(jī)構(gòu)。由此便可對(duì)各級(jí)證書(shū)的有效性進(jìn)行驗(yàn)證。例如，客戶(hù)證書(shū)與發(fā)卡行證書(shū)相關(guān)聯(lián)，發(fā)卡行證書(shū)又通過(guò)品牌證書(shū)和根證書(shū)相關(guān)聯(lián)。根證書(shū)是一個(gè)自簽名證書(shū)，根證書(shū)的簽名公開(kāi)密鑰對(duì)所有的交易方公開(kāi)，它是安全系統(tǒng)的最高層，它的存在使整個(gè)交易方的證書(shū)得以實(shí)現(xiàn)。

第九章 公鑰基礎(chǔ)設(shè)施(PKI)

一、公鑰基礎(chǔ)設(shè)施(PKI)

1．PKI的含義

PKI即“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系。

2．PKI的現(xiàn)狀和發(fā)展趨勢(shì)

從發(fā)展趨勢(shì)來(lái)看，隨著Internet應(yīng)用的不斷普及和深入，政府部門(mén)需要PKI支持管理；商業(yè)企業(yè)內(nèi)部、企業(yè)與企業(yè)之間、區(qū)域性服務(wù)網(wǎng)絡(luò)、電子商務(wù)網(wǎng)站都需要PKI的技術(shù)和解決方案；大企業(yè)需要建立自己的PKI平臺(tái)；小企業(yè)需要社會(huì)提供的商業(yè)性PKI服務(wù)。

此外，作為PKI的一種應(yīng)用，基于PKI的虛擬專(zhuān)用網(wǎng)市場(chǎng)也隨著B(niǎo)28電子商務(wù)的發(fā)展而迅速膨脹。

總的來(lái)看，PKI的市場(chǎng)需求非常巨大，基于PKI的應(yīng)用包括了許多內(nèi)部，如www服務(wù)器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Internet上的信用卡交易以及VPN等。因此，PKI具有非常廣闊的市場(chǎng)應(yīng)用前景。

3．PKI的構(gòu)成

PKI是公鑰的一種管理機(jī)制，宏觀上呈現(xiàn)為域結(jié)構(gòu)，即每個(gè)PKI都有一定的覆蓋范圍，形成一個(gè)管理域。

(1)政策審批機(jī)構(gòu)(PolicyApprovalAuthoritv．PAA)㈨體系結(jié)構(gòu)的安全政策，并制定所有下級(jí)機(jī)構(gòu)都需要遵循的規(guī)章制度，主要是證書(shū)政策和證書(shū)使用規(guī)定。

(2)證書(shū)使用規(guī)定(CertificationPracticeStatements)比證書(shū)政策更詳細(xì)，它綜合描述了CA對(duì)證書(shū)政策的各項(xiàng)要求的實(shí)現(xiàn)方法。

(3)證書(shū)政策是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全的實(shí)現(xiàn)公開(kāi)環(huán)境中的服務(wù)提供、管理和通信；用電子形式的認(rèn)證代替書(shū)面形式的認(rèn)證，從而加快信息流通速度，提高效率，降低成本；鼓勵(lì)使用基于開(kāi)放標(biāo)準(zhǔn)的技術(shù)；建立與其他開(kāi)放安全環(huán)境的互操作。

(4)證書(shū)中心CA(CertificateAuthority)負(fù)責(zé)具體的證書(shū)頒發(fā)和管理，它是可信任的

第三方，其作用就像頒發(fā)護(hù)照的部門(mén)。

(5)單位注冊(cè)機(jī)構(gòu)(OrganizationalRegistryAuthority，ORA)，有時(shí)也簡(jiǎn)稱(chēng)RA，它可以幫助遠(yuǎn)離CA的端實(shí)體在CA處注冊(cè)并獲得證書(shū)。

(6)密鑰備份及恢復(fù)系統(tǒng)。

(7)證書(shū)作廢系統(tǒng)。

(8)應(yīng)用接口。

(9)端實(shí)體。

4．PKI的性能

(1)支持多政策。

(2)透明性和易用性。

(3)互操作性。

(4)簡(jiǎn)單的風(fēng)險(xiǎn)管理。

(5)支持多平臺(tái)。

(6)支持多應(yīng)用。

5．PKI的服務(wù)

PKI作為安全基礎(chǔ)設(shè)施，能為不同的用戶(hù)按不同安全需求提供多種安全服務(wù)，這些服務(wù)主要包括認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認(rèn)性、公正及時(shí)間戳服務(wù)。

(1)認(rèn)證認(rèn)證服務(wù)即身份識(shí)別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體，鑒別身份的真?zhèn)巍?/p>

(2)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性服務(wù)就是確認(rèn)數(shù)據(jù)沒(méi)有被修改。實(shí)現(xiàn)數(shù)據(jù)完整性服務(wù)的主要方法是數(shù)字簽名，它既可以提供實(shí)體認(rèn)證，又可以保障被簽名數(shù)據(jù)的完整性。

(3)數(shù)據(jù)保密性服務(wù)PKI的保密性服務(wù)采用了“數(shù)字信封”機(jī)制，即發(fā)送方先產(chǎn)生一個(gè)對(duì)稱(chēng)密鑰，并用該對(duì)稱(chēng)密鑰加密敏感數(shù)據(jù)。

(4)不可否認(rèn)性服務(wù)不可否認(rèn)性服務(wù)是指從技術(shù)上保證實(shí)體對(duì)其行為的認(rèn)可。在這中間，人們更關(guān)注的是數(shù)據(jù)來(lái)源的不可否認(rèn)性和接收的不可否認(rèn)性以及接收后的不可否認(rèn)性。

(5)公證服務(wù)PKI中的公證服務(wù)與一般社會(huì)公證人提供的服務(wù)有所不同，PKI中支持的公證服務(wù)是指“數(shù)據(jù)認(rèn)證”，也就是說(shuō)，公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公證取決于數(shù)據(jù)驗(yàn)證的方式。

【名詞解釋】認(rèn)證服務(wù)：是身份識(shí)別與鑒別，就是確認(rèn)實(shí)體即為自己所申明的實(shí)體，鑒別身份的真?zhèn)巍?/p>

6．PKI的應(yīng)用

(1)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)。

(2)安全電子郵件。

(3)Web安全。

(4)電子商務(wù)的應(yīng)用。

(5)應(yīng)用編程接口APl。

二、密鑰管理

1．密鑰管理的含義

密鑰管理處理密鑰自產(chǎn)生到最終銷(xiāo)毀的整個(gè)過(guò)程中的有關(guān)問(wèn)題，包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲(chǔ)、備份／恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、吊銷(xiāo)和銷(xiāo)毀等內(nèi)容。

2．密鑰管理的目的

密鑰管理的目的是維持系統(tǒng)中各實(shí)體之問(wèn)的密鑰關(guān)系，以抗擊各種可能的威脅，如：

(1)密鑰的泄露。

(2)密鑰或公鑰的確證性(Authenticity)的喪失，確證性包括共享或有關(guān)一個(gè)密鑰的實(shí)體身份的知識(shí)或可證實(shí)性。

(3)密鑰或公鑰未經(jīng)授權(quán)使用，如使用失效的密鑰或違例使用密鑰。

3．公證系統(tǒng)在密鑰管理中的作用

密鑰管理系統(tǒng)中常?？靠尚刨?lài)三方參與的公證系統(tǒng)。公證系統(tǒng)是通信網(wǎng)中實(shí)施安全保密的一個(gè)重要工具，它不僅可以幫助實(shí)現(xiàn)密鑰的分配和證實(shí)，而且可以作為證書(shū)機(jī)構(gòu)、時(shí)戳代理、密鑰托管代理和公證代理等。

不僅可以斷定文件簽署時(shí)間，而且還可保證文件本身的真實(shí)可靠性，使簽字者不能否認(rèn)其在特定時(shí)間對(duì)文件的簽字。在發(fā)生糾紛時(shí)，可以根據(jù)系統(tǒng)提供信息進(jìn)行仲裁。公證機(jī)構(gòu)還可采用審計(jì)追蹤技術(shù)，對(duì)密鑰的注冊(cè)、證書(shū)的制作、密鑰更新、吊銷(xiāo)進(jìn)行記錄審計(jì)等。

三、不可否認(rèn)業(yè)務(wù)

1．不可否認(rèn)的基本概念

在數(shù)字環(huán)境下，要求各種協(xié)議、業(yè)務(wù)(認(rèn)證、簽字、完整性等)和機(jī)構(gòu)對(duì)消息或參與者提供不同程度的非否認(rèn)性。為了保證電子商務(wù)系統(tǒng)的安全性，必須提供足夠的非否定性，以保證第三方(仲裁者)最終能分辨出是非。

沒(méi)有認(rèn)證性和數(shù)據(jù)完整性就不可能實(shí)現(xiàn)不可否認(rèn)性，但不可否認(rèn)性還要保護(hù)事后能向

第三方出示原有的某實(shí)體參與了該通信活動(dòng)、或某消息確定已遞送給某實(shí)體的證明。

2．不可否認(rèn)業(yè)務(wù)類(lèi)型

(1)源的不可否認(rèn)性。

(2)遞送的不可否認(rèn)性。

(3)提交的不可否認(rèn)性?！径噙x】數(shù)據(jù)通信的不可否認(rèn)業(yè)務(wù)包括：源的不可否認(rèn)性、遞送的不可否認(rèn)性、保證的不可否認(rèn)性和傳遞的不可否認(rèn)性。

3．不可否認(rèn)性的證據(jù)機(jī)制

(1)業(yè)務(wù)需求。

(2)證據(jù)生成。

(3)證據(jù)遞送。

(4)證據(jù)證實(shí)。

(5)證據(jù)保存。

4．源的不可否認(rèn)性機(jī)制

(1)源的數(shù)字簽字。

(2)可信賴(lài)第三方的數(shù)字簽字。

(3)可信賴(lài)第三方對(duì)消息的雜湊值進(jìn)行簽字。

(4)可信賴(lài)第三方的持證。

(5)線(xiàn)內(nèi)可信賴(lài)第三方。

(6)組合。

5．遞送的不可否認(rèn)性機(jī)制

(1)收信人簽字認(rèn)可。

(2)收信人利用持證認(rèn)可。

(3)可信賴(lài)遞送代理。

(4)逐級(jí)遞送報(bào)告。

6．可信賴(lài)第三方的作用

可信賴(lài)第三方在實(shí)現(xiàn)不可否認(rèn)業(yè)務(wù)中起重要作用，他的公正性、獨(dú)立性、可靠性和為所有成員所接受是實(shí)現(xiàn)安全電子商務(wù)的保證。下面介紹有關(guān)的幾個(gè)問(wèn)題：

(1)公鑰證書(shū)。

(2)身份證實(shí)。

(3)時(shí)戳。

(4)證據(jù)保存。

(5)中介遞送。

(6)解決糾紛。

(7)仲裁。

7．解決糾紛的步驟

(1)檢索不可否認(rèn)證據(jù)。

(2)向?qū)Ψ匠鍪咀C據(jù)。

(3)向解決糾紛的仲裁人出示證據(jù)

(4)裁決。

第十章 電子商務(wù)的安全協(xié)議

一、SSl協(xié)議

1．SSL和S_HTTP的關(guān)系

SSL類(lèi)似于S一HTTP的需求，但其背景和解決方法不同。S一HTTP本質(zhì)上是問(wèn)答式交易協(xié)議。而SSL是對(duì)會(huì)話(huà)的保護(hù)。SSL所提供的安全業(yè)務(wù)類(lèi)似于S一HT—TP：有實(shí)體認(rèn)證、完整性、保密性，還可通過(guò)數(shù)字簽名提供不可否認(rèn)性。

2．SSL協(xié)議的概念

SSL是由Netscape開(kāi)發(fā)的協(xié)議，l995年發(fā)表，目前是3．0/3.1版。SSL可插入到Internet應(yīng)用協(xié)議中，成為運(yùn)行于InternetTCP／IP網(wǎng)絡(luò)層協(xié)議之上的一個(gè)全新應(yīng)用協(xié)議層，可用于保護(hù)正常運(yùn)行于TCP上的任何應(yīng)用協(xié)議，如HTTP，F(xiàn)TP，SMTP或Telnet的通信，最常見(jiàn)的是用SSL來(lái)保護(hù)HTTP的通信。

3．SSL提供保護(hù)的內(nèi)容及特點(diǎn)SSL保證了Internet上瀏覽器服務(wù)務(wù)器會(huì)話(huà)中三大安全中心內(nèi)容：機(jī)密性、完整性和認(rèn)證性。

(1)SSL把客戶(hù)機(jī)和服務(wù)器之間的所有通信都進(jìn)行加密，保證了機(jī)密性。

(2)SSL提供完整性檢驗(yàn)，可防止數(shù)據(jù)在通信過(guò)程中被改動(dòng)。

(3)SSL提供認(rèn)證性一使用數(shù)字證書(shū)——用以正確識(shí)別對(duì)方。

4．SSL協(xié)議的體系結(jié)構(gòu)

SSL是由兩層協(xié)議組成的。SSL協(xié)議體系結(jié)構(gòu)如圖所示。

HTTP-SSL握手協(xié)議ISSl。更改密碼規(guī)格協(xié)議iSSl，警告協(xié)議

SSL記錄協(xié)議

TCP

IP

【單選】SSL握手協(xié)議包含四個(gè)主要步驟，其中第三個(gè)步驟是加密解密數(shù)據(jù)。

二、SET協(xié)議

1．使用SET協(xié)議的必要性

在1996年提出了具有重大實(shí)用價(jià)值和深遠(yuǎn)影響的兩個(gè)標(biāo)準(zhǔn)協(xié)議——安全數(shù)據(jù)交換協(xié)議SET和安全電子支付協(xié)議SEPP。這些標(biāo)準(zhǔn)的推出，極大地促進(jìn)了電子商務(wù)領(lǐng)域的發(fā)展?；赟ET的電子商務(wù)系統(tǒng)的出現(xiàn)將從根本上發(fā)生改變，使整個(gè)電子商務(wù)網(wǎng)絡(luò)化、信息化得．到一次巨大的飛躍。

SET在保留對(duì)客戶(hù)信用卡認(rèn)證的前提下，又增加了對(duì)商家身份的認(rèn)證，這對(duì)于需要支付貨幣的交易來(lái)講是至關(guān)重要的。由于設(shè)計(jì)合理，SET協(xié)議是得到了IBM，Microsoft等許多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。

2．SET協(xié)議

SET是一種以信用卡為基礎(chǔ)的、在Internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)，它采用’RSA密碼算法，利用公鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息加密傳輸，并用散列函數(shù)算法來(lái)鑒別信息的完整性。

【單選】推出SET的兩個(gè)組織是Visa和MasterCard。

3．SET協(xié)議要達(dá)到的目標(biāo)

SET安全協(xié)議要達(dá)到的目標(biāo)主要有五個(gè)：

(1)信息的安全傳輸。

(2)信息的相互隔離。

(3)多方認(rèn)證的解決。

(4)交易的實(shí)時(shí)性。

(5)效仿EDI貿(mào)易形式。

【多選】SET要達(dá)到的主要目標(biāo)有信息的安全傳輸、信息的相互隔離、多方認(rèn)證的解決、交易的實(shí)時(shí)性和墊仿EDl貿(mào)易形式。

4．SET交易成員及其任務(wù)

(1)持卡人——消費(fèi)者：持信用卡購(gòu)買(mǎi)商品的人，包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照網(wǎng)上商店的表單填寫(xiě)，通過(guò)由發(fā)卡銀行發(fā)行的信用卡進(jìn)行付費(fèi)。

(2)網(wǎng)上商店：在網(wǎng)上的符合SET規(guī)格的電子商店，提供商品或服務(wù)，它必須是具備相應(yīng)電子貨幣使用的條件，從事商業(yè)交易的公司組織。

(3)收單銀行：通過(guò)支付網(wǎng)關(guān)處理持卡人和商店之間的交易付款問(wèn)題事務(wù)。接受來(lái)自商店端送來(lái)的交易付款數(shù)據(jù)，向發(fā)卡銀行驗(yàn)證無(wú)誤后，取得信用卡付款授權(quán)以供商店清算。

(4)發(fā)卡銀行——電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行；發(fā)行信用卡給持卡人的銀行機(jī)構(gòu)。在交易過(guò)程前，發(fā)卡銀行負(fù)責(zé)查驗(yàn)持卡人的數(shù)據(jù)，如果查驗(yàn)有效，整個(gè)交易才能成立。在交易過(guò)程中負(fù)責(zé)處理電子貨幣的審核和支付工作。

(5)認(rèn)證中心cA——可信賴(lài)、公正的組織：接受持卡人、商店、銀行以及支付網(wǎng)關(guān)的數(shù)字認(rèn)證申請(qǐng)，并管理數(shù)字證書(shū)的相關(guān)事宜，如制訂核發(fā)準(zhǔn)則、發(fā)行和注銷(xiāo)數(shù)字證書(shū)等。負(fù)責(zé)對(duì)交易雙方的身份確認(rèn)，對(duì)廠商的信譽(yù)度和消費(fèi)者的支付手段和支付能力進(jìn)行認(rèn)證。

(6)支付網(wǎng)關(guān)——付款轉(zhuǎn)接站：接收由商店端送來(lái)的付款信息，并轉(zhuǎn)換到銀行網(wǎng)絡(luò)進(jìn)行處理的組織。5．SET軟件組件的功用SET系統(tǒng)的運(yùn)作是通過(guò)四個(gè)軟件組件來(lái)完成的，包括電子錢(qián)包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件，這四個(gè)軟件分別存儲(chǔ)在持卡人、網(wǎng)上商店、銀行以及認(rèn)證中心的計(jì)算機(jī)中，相互運(yùn)作來(lái)完成整個(gè)SET交易服務(wù)。

6．SET認(rèn)證中心的結(jié)構(gòu)

lRCA一BrandCAl1備信用書(shū)公司的認(rèn)證單位l

GCA一Geo一politica】CA

【各信(非必須的)手認(rèn)證單q

GCA一CardHoiderCA|辦理持卡數(shù)字證書(shū)cAl

【認(rèn)證中心i

MCA—MerchantcAIII'CA—PayentCA辦理商店數(shù)字證書(shū)cAl協(xié)理支付睡關(guān)數(shù)字證書(shū)c^認(rèn)證中心ll認(rèn)證中心

7．SET協(xié)議的安全技術(shù)

目前SET的主要安全保障來(lái)自以下三個(gè)方面：

(1)將所有消息文本用雙鑰密碼體制加密。

(2)將上述密鑰的公鑰和私鑰的字長(zhǎng)增加到5128～20488。

(3)采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)(Authority)和認(rèn)證檢查(Certificate)，以確保交易過(guò)程的安全可靠。

上述三個(gè)安全保障措施的技術(shù)基礎(chǔ)如下：

(1)通過(guò)加密方式確保信息機(jī)密性。

(2)通過(guò)數(shù)字化簽名確保數(shù)據(jù)的完整性。

(3)通過(guò)數(shù)字化簽名和商家認(rèn)證確保交易各方身份的真實(shí)性。

(4)通過(guò)特殊的協(xié)議和消息形式確保動(dòng)態(tài)交互式系統(tǒng)的可操作性。

8．電子錢(qián)包的概念

電子錢(qián)包ElectronicWallet(或稱(chēng)E—Wallet)，是安裝在客戶(hù)端(消息者)計(jì)算機(jī)上，并符合SET規(guī)格的軟件，電子錢(qián)包處理客戶(hù)端的所有SET信息。

【簡(jiǎn)答】簡(jiǎn)述電子錢(qián)包的功能。

(1)與商店端的SET軟件溝通，以激活SET交易。

(2)向商店端查詢(xún)有關(guān)付款與訂貨的相關(guān)信息。

(3)接受來(lái)自商店端的相關(guān)信息。

(4)向認(rèn)證中心要求申請(qǐng)數(shù)字證書(shū)，并下載數(shù)字證書(shū)的申請(qǐng)表。

(5)從認(rèn)證中心下載持卡人的數(shù)字證書(shū)。

(6)與認(rèn)證中心溝通，查詢(xún)數(shù)字證書(shū)目前的狀態(tài)。

9．電子錢(qián)包的運(yùn)作方式

SET交易中電子錢(qián)包的運(yùn)行過(guò)程：假設(shè)客戶(hù)A到一家采用SET交易的網(wǎng)站B上購(gòu)物，在選取想要的商品，單擊“付款”鍵后，商店端8接收到信息，立即通知A的瀏覽器讓電子錢(qián)包“醒過(guò)來(lái)”，以激活SET交易服務(wù)來(lái)與商店服務(wù)器溝通，一步一步地完成付款流程。最后再通知持卡人“交易完成”或“交易失敗”。

三、SSL和SET協(xié)議比較表SSL和SET的比較

比較對(duì)象

SET

SSL

使用目的和場(chǎng)合

主要用于信用卡交易，傳送電子現(xiàn)金

主要用于購(gòu)買(mǎi)信息的交流：傳送電子商貿(mào)信息

安全性

要求很高：整個(gè)交易過(guò)程中(持卡人到商家端、商家到支付網(wǎng)關(guān)、到銀行網(wǎng)絡(luò))都要保護(hù)

要求很低：因?yàn)楸Ｗo(hù)范圍只是持卡人到商家一端的信息交換

必須具有認(rèn)證資格對(duì)象

安全需求高，因?yàn)樗袇⑴c者與SET交易的成員(持卡人、商家、支付網(wǎng)關(guān)等)都必須先申請(qǐng)數(shù)字證書(shū)來(lái)識(shí)別身份

通常只是商家一端的服務(wù)器；而客戶(hù)端認(rèn)證是可選的 實(shí)施時(shí)所需的設(shè)置費(fèi)用

較高：持卡人必須先申請(qǐng)數(shù)字證書(shū)，然后在計(jì)算機(jī)上安裝符合SET規(guī)格的電子錢(qián)包軟件

較低：不需要另外安裝軟件

當(dāng)前使用情況(比率)

由于SET的設(shè)置成本較SSl。高許多和引入國(guó)內(nèi)的時(shí)間短，目前普及率較低

目前SSL的普及率較高

第十一章 國(guó)內(nèi)CA認(rèn)證中心及CFCA金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則

一、中國(guó)金融認(rèn)證中心(CFCA)

1．中國(guó)金融認(rèn)證中心

中國(guó)金融認(rèn)證中心(ChinaFinancialCertificationAuthority，CFCA)，是由中國(guó)人民銀行牽頭，聯(lián)合中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行、中信實(shí)業(yè)銀行、光大銀行、招商銀行、華夏銀行、廣東發(fā)展銀行、深圳發(fā)展銀行、民生銀行、福建興業(yè)銀行、上海浦東發(fā)展銀行等14家全國(guó)性商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)惟一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的

第三方網(wǎng)上專(zhuān)業(yè)信任服務(wù)機(jī)構(gòu)。

【填空】中國(guó)金融認(rèn)證中心的英文簡(jiǎn)寫(xiě)為CFCA，它是由中國(guó)人民銀行牽頭，聯(lián)合多家商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)。

2．CFCA體系結(jié)構(gòu)

CFCA認(rèn)證系統(tǒng)采用國(guó)際領(lǐng)先的PKI技術(shù)，總體為三層CA結(jié)構(gòu)，第一層為根CA；

第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍；

第三層為運(yùn)營(yíng)CA，根據(jù)證書(shū)運(yùn)作規(guī)范(CPS)發(fā)放證書(shū)。運(yùn)營(yíng)CA由CA系統(tǒng)和證書(shū)注冊(cè)審批機(jī)構(gòu)(RA)兩大部分組成。

CFCA認(rèn)證系統(tǒng)在滿(mǎn)足高安全性、開(kāi)放性、高擴(kuò)展性、交叉認(rèn)證等需求的同時(shí)。從物理安全、環(huán)境安全、N絡(luò)安全、CA產(chǎn)品安全以及密鑰管理和操作運(yùn)營(yíng)管理等方面均按國(guó)際標(biāo)準(zhǔn)制定了相應(yīng)的安全策略；專(zhuān)業(yè)化的技術(shù)隊(duì)伍和完善運(yùn)營(yíng)服務(wù)體系，確保系統(tǒng)7×24小時(shí)安全高效、穩(wěn)定運(yùn)行。

3．CFCA數(shù)字證書(shū)服務(wù)

(1)CFCA數(shù)字證書(shū)

CFCA證書(shū)是CFCA用其私鑰進(jìn)行了數(shù)字簽名的包含用戶(hù)身份、公開(kāi)密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實(shí)體在網(wǎng)上的電子身份證。

(2)CFCA證書(shū)種類(lèi)

企業(yè)高級(jí)證書(shū)、個(gè)人高級(jí)證書(shū)、企業(yè)普通證書(shū)、個(gè)人普通證書(shū)、服務(wù)器證書(shū)、手機(jī)證書(shū)、安全E一mail證書(shū)、VPN設(shè)備證書(shū)、代碼簽名證書(shū)。

(3)PKI服務(wù)

PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施。是創(chuàng)建、頒發(fā)、管理、注銷(xiāo)公鑰證書(shū)涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書(shū)，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

(4)企業(yè)、個(gè)人如何獲得CFCA證書(shū)

用戶(hù)可以到所有CFCA授權(quán)的證書(shū)審批機(jī)構(gòu)(RA)申請(qǐng)證書(shū)，申請(qǐng)者一般需提供有關(guān)開(kāi)戶(hù)賬號(hào)、身份證／組織機(jī)構(gòu)代碼、郵件地址等有效信息，RA審核通過(guò)后給用戶(hù)參考號(hào)、授權(quán)碼作為獲得證書(shū)的憑據(jù)。

4．CFCA主要應(yīng)用項(xiàng)目

目前CFCA已在國(guó)內(nèi)十余家核心商業(yè)銀行、近20書(shū)來(lái)確認(rèn)對(duì)方的身份的真實(shí)性和可靠性，傳送的信息可以利用CTCA提供的安全機(jī)制，確保信息的完整和保密。

【單選】CTCA安全認(rèn)證系統(tǒng)所屬的機(jī)構(gòu)是中國(guó)電信。

2．CTCA的組成及功能

中國(guó)電信CA安全認(rèn)證系統(tǒng)(CTCA)采用分級(jí)結(jié)構(gòu)管理，形成覆蓋全國(guó)的CA證書(shū)申請(qǐng)、發(fā)放、管理的完整體系，可以為全國(guó)的用戶(hù)提供CTCA證書(shū)服務(wù)，使各類(lèi)電子商務(wù)用戶(hù)可以放心步人電子商務(wù)時(shí)代，享受電子商務(wù)為其帶來(lái)的豐厚回報(bào)和巨大便利。中國(guó)電信電子商務(wù)CA認(rèn)證系統(tǒng)由全國(guó)CA中心、省RA中心系統(tǒng)、地市級(jí)業(yè)務(wù)受理點(diǎn)組成。

CA中心的功能是：

(1)簽發(fā)自簽名的根證書(shū)。

(2)審核和簽發(fā)其他CA系統(tǒng)的交叉認(rèn)證證書(shū)。

(3)向其他CA系統(tǒng)申請(qǐng)交叉認(rèn)證證書(shū)。

(4)受理和審核各RA機(jī)構(gòu)的申請(qǐng)。

(5)為RA機(jī)構(gòu)簽發(fā)證書(shū)。

(6)接收并處理各RA服務(wù)器的證書(shū)業(yè)務(wù)請(qǐng)求。

(7)簽發(fā)業(yè)務(wù)證書(shū)和證書(shū)作廢表。

(8)管理全系統(tǒng)的用戶(hù)和證書(shū)資料。(9)維護(hù)全系統(tǒng)的證書(shū)作廢表。

(10)維護(hù)全系統(tǒng)的0CSP查詢(xún)數(shù)據(jù)。

RA中心的功能是：

(1)受理用戶(hù)證書(shū)業(yè)務(wù)。

(2)審核用戶(hù)身份；

(3)為審核通過(guò)的用戶(hù)生成密鑰對(duì)；

(4)向CA中心申請(qǐng)簽發(fā)證書(shū)；

(5)將證書(shū)和私鑰灌人IC卡后分發(fā)給受理中心、受理點(diǎn)或用戶(hù)；

(6)管理本地0CSP服務(wù)器，并提供證書(shū)狀態(tài)的實(shí)時(shí)查詢(xún)；

(7)管理本地用戶(hù)資料。

受理點(diǎn)的功能是：

(1)管理所轄受理點(diǎn)用戶(hù)資料；

(2)受理用戶(hù)證書(shū)業(yè)務(wù)；

(3)審核用戶(hù)身份；

(4)向受理中心或RA中心申請(qǐng)簽發(fā)證書(shū)；

(5)將RA中心或受理中心制作的證書(shū)介質(zhì)分發(fā)給用戶(hù)。

3．CTCA數(shù)字證書(shū)業(yè)務(wù)簡(jiǎn)介

CTCA目前主要提供如下幾種證書(shū)：安全電子郵件

證書(shū)、個(gè)人數(shù)字證書(shū)、企業(yè)數(shù)字證書(shū)、服務(wù)器數(shù)字證書(shū)和

SSL服務(wù)器數(shù)字證書(shū)。

三、上海市電子商務(wù)安全證書(shū)管理中心(SHECA)

1．SHECA簡(jiǎn)介

上海市電子商務(wù)安全證書(shū)管理中心有限公司(簡(jiǎn)稱(chēng)SHECA)，是信任服務(wù)和安全認(rèn)證服務(wù)的專(zhuān)業(yè)提供商，通過(guò)提供在線(xiàn)的信任服務(wù)，為電子商務(wù)和網(wǎng)上作業(yè)保駕護(hù)航。SHECA是國(guó)內(nèi)較早建立的CA認(rèn)證中心，創(chuàng)建于1998年，經(jīng)過(guò)國(guó)家批準(zhǔn)并被列為信息產(chǎn)業(yè)部全國(guó)的示范工程。目前已經(jīng)成為中國(guó)互聯(lián)網(wǎng)絡(luò)安全和信任服務(wù)的骨干。

SHECA創(chuàng)建的跨行業(yè)、跨地區(qū)的SHECA認(rèn)證體系，服務(wù)客戶(hù)群體遍及全國(guó)。服務(wù)行業(yè)包括銀行、證券、政府、企業(yè)等，面向單位、個(gè)人、網(wǎng)站、服務(wù)器、軟件開(kāi)發(fā)商、安全產(chǎn)品制造商、信息網(wǎng)絡(luò)服務(wù)商等主體頒發(fā)SHE—CA數(shù)字證書(shū)。

SHECA為電子商務(wù)、電子政務(wù)、網(wǎng)上金融、網(wǎng)上證券、網(wǎng)上辦公等提供安全可靠的認(rèn)證和信任服務(wù)，同時(shí)還提供證書(shū)管理器、SHECA安全引擎、基于SHECA認(rèn)證的簡(jiǎn)易支付、小額支付系統(tǒng)、防偽票據(jù)等各種產(chǎn)品和軟件，以及電子公證、證書(shū)目錄查詢(xún)、數(shù)據(jù)庫(kù)安全托管、密鑰托管、企事業(yè)單位安全辦公、政府安全上網(wǎng)、CA架構(gòu)及各類(lèi)安全架構(gòu)建設(shè)、VPN虛擬專(zhuān)網(wǎng)、培訓(xùn)等一系列服務(wù)和解決方案。

2．SHECA證書(shū)簡(jiǎn)介

(1)證書(shū)結(jié)構(gòu)和內(nèi)容

證書(shū)的結(jié)構(gòu)編碼嚴(yán)格尊遵從X．509標(biāo)準(zhǔn)，它包含以下內(nèi)容。

①賬本號(hào)。

②序列號(hào)。

③簽名算法。

④簽發(fā)結(jié)構(gòu)(CA)信息。

⑤證書(shū)有效期信息。

⑥證書(shū)中公鑰信息。

⑦證書(shū)持有人信息，包含內(nèi)容項(xiàng)與(4)簽發(fā)機(jī)構(gòu)相同。

⑧擴(kuò)展項(xiàng)。

⑨CA的簽名信息。

(2)SHECA證書(shū)的ASN.1定義

SHECA證書(shū)嚴(yán)格遵從X．509定義的證書(shū)結(jié)構(gòu)，僅issuerUniqueIdentifier和subjectUniqueIdentifier不放在主項(xiàng)內(nèi)，放到擴(kuò)展項(xiàng)內(nèi)部。

(3)證書(shū)存放的介質(zhì)證書(shū)存放的介質(zhì)可以是：硬盤(pán)、軟盤(pán)、IC卡或加密卡加密機(jī)。

(4)證書(shū)兼容性檢測(cè)通過(guò)的軟件①WebServer。②S／MIME。

(5)證書(shū)相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)稱(chēng)加密算法：128位。

非對(duì)稱(chēng)加密算法：l024位。3．SHECA證書(shū)管理器簡(jiǎn)介

(1)SHECA證書(shū)管理器的功能

①支持用戶(hù)自己證書(shū)的申請(qǐng)、下載、查詢(xún)、更新、廢除，同時(shí)能對(duì)他人證書(shū)進(jìn)行查詢(xún)及下載。

②提供對(duì)所有數(shù)據(jù)或單個(gè)數(shù)據(jù)的導(dǎo)入或?qū)С觥?/p>

③用戶(hù)自己證書(shū)的導(dǎo)入導(dǎo)出支持PKCSl2，能和IE和Netscape交換證書(shū)密鑰。

④支持證書(shū)驗(yàn)證包括黑名單驗(yàn)證、OCSP驗(yàn)證，以及證書(shū)鏈的驗(yàn)證。

⑤支持一些緩存功能，減少網(wǎng)絡(luò)的操作，如黑名單緩存、證書(shū)鏈緩存等。

⑥提供給應(yīng)用程序的接口有良好的說(shuō)明，并且能夠確實(shí)訪(fǎng)問(wèn)到每一個(gè)證書(shū)。

(2)證書(shū)管一理器的特點(diǎn)

①方便管理用戶(hù)個(gè)人及他人證書(shū)，存儲(chǔ)介質(zhì)多樣化。

②同時(shí)支持SET證書(shū)和通用證書(shū)。

③支持多種加密技術(shù)。

④支持版本的自動(dòng)升級(jí)(或提醒)。

⑤具有良好的使用及安裝界面。

(3)證書(shū)管理器使用簡(jiǎn)介

①個(gè)人證書(shū)的操作。

②對(duì)他人證書(shū)的操作。

③對(duì)根證書(shū)的操作。

四、中國(guó)金融認(rèn)證中心(CFCA)金融認(rèn)證服務(wù)相關(guān)業(yè)務(wù)規(guī)則

1．網(wǎng)關(guān)(銀行)業(yè)務(wù)規(guī)則

(1)網(wǎng)關(guān)(銀行)證書(shū)申請(qǐng)、審批流程。

(2)網(wǎng)關(guān)(銀行)證書(shū)使用指南。

(3)網(wǎng)關(guān)(銀行)軟件要求。

(4)網(wǎng)關(guān)(銀行)環(huán)境要求。

2．商戶(hù)(企業(yè))業(yè)務(wù)規(guī)則

(1)商戶(hù)(企業(yè))基本資格要求。

(2)商戶(hù)(企業(yè))網(wǎng)上業(yè)務(wù)資格要求。

(3)商戶(hù)(企業(yè))證書(shū)申請(qǐng)、審批流程。

(4)商戶(hù)(企業(yè))證書(shū)使用指南。

(5)商戶(hù)(企業(yè))軟件要求。

(6)商戶(hù)(企業(yè))變更流程指南。

3．持卡人(個(gè)人)業(yè)務(wù)規(guī)則

(1)持卡人(個(gè)人)基本資格要求。

(2)持卡人(個(gè)人)網(wǎng)上業(yè)務(wù)資格要求。

(3)持卡人(個(gè)人)證書(shū)申請(qǐng)、審批。

(4)持卡人(個(gè)人)證書(shū)使用指南。

(5)持卡人(個(gè)人)軟件要求。

(6)持卡人(個(gè)人)變更流程指南。

4．中介機(jī)構(gòu)業(yè)務(wù)規(guī)則

(1)中介機(jī)構(gòu)基本資格要求。

(2)中介機(jī)構(gòu)網(wǎng)上業(yè)務(wù)咨詢(xún)要求。

(3)中介機(jī)構(gòu)證書(shū)申請(qǐng)、審批流程。

(4)中介機(jī)構(gòu)證書(shū)使用指南。

(5)中介機(jī)構(gòu)軟件要求。

(6)中介機(jī)構(gòu)變更流程指南。

第二篇：(自考)電子商務(wù)安全導(dǎo)論總結(jié)

1.什么是保持?jǐn)?shù)據(jù)完整性? 2.網(wǎng)頁(yè)攻擊的步驟是什么? 3．為什么交易的安全性是電子商務(wù)獨(dú)有的? 4．攻擊Web站點(diǎn)有哪幾種方式? 5．Web客戶(hù)機(jī)和Web服務(wù)器的任務(wù)分是什么? 6．IP地址順序號(hào)預(yù)測(cè)攻擊的步驟是什么? 7．普通電子郵件的兩個(gè)方面的安全問(wèn)題是什么? 由什么原因造成的? 8．電子商務(wù)安全的六項(xiàng)中心內(nèi)容是什么? 9．電子商務(wù)的可靠性的含義是什么? 10．電子商務(wù)的真實(shí)性的含義是什么? 11．單鑰密碼體制的特點(diǎn)是什么? 12．簡(jiǎn)述替換加密和轉(zhuǎn)換加密的區(qū)別 13．什么是集中式密鑰分配? 14．什么是分布式密鑰分配? 15．Shamir密鑰分存思想是什么? 16．雙鑰密碼體制最大的特點(diǎn)是什么? 17．試述雙鑰密碼體制的加密和解密過(guò)程。18．替換加密和轉(zhuǎn)換加密的主要區(qū)別是什么? 19．列舉單鑰密碼體制的幾種算法 20．簡(jiǎn)述DES的加密運(yùn)算法則。

21．什么是雙重DES加密方法?簡(jiǎn)述其算法步驟。22．什么是三重DES加密方法?簡(jiǎn)述其算法步驟。

23．簡(jiǎn)述IDEA加密算法的基本運(yùn)算、設(shè)計(jì)思想及加密過(guò)程？ 24．簡(jiǎn)述兩類(lèi)典型的自動(dòng)密鑰分配途徑。25．簡(jiǎn)述保護(hù)數(shù)據(jù)完整性的目的 26．簡(jiǎn)述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性，以及被破壞會(huì)帶來(lái)的嚴(yán)重后果？

27．?dāng)?shù)字簽名如何使用雙鑰密碼加密和散列函數(shù)? 28．?dāng)?shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同? 29．?dāng)?shù)字簽名與手書(shū)簽名有什么不同? 30，數(shù)字簽名可以解決哪些安全鑒別問(wèn)題? 31．無(wú)可爭(zhēng)辯簽名有何優(yōu)缺點(diǎn)? 32．簡(jiǎn)述利用盲變換實(shí)現(xiàn)盲簽名的基本原理

33．對(duì)比傳統(tǒng)手書(shū)簽名來(lái)論述數(shù)字簽名的必要性？ 34．簡(jiǎn)述數(shù)字簽名的原理？實(shí)際使用原理是 35．簡(jiǎn)述數(shù)字時(shí)間戳的原理。36.UPS的作用是什么? 37.計(jì)算機(jī)病毒是如何產(chǎn)生的？ 38．計(jì)算機(jī)惡性病毒的危害? 39．簡(jiǎn)述容錯(cuò)技術(shù)的目的及其常用的容錯(cuò)技術(shù)。

40．現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來(lái)越困難，其原因？ 41．簡(jiǎn)述三種基本的備份系統(tǒng)。

42．簡(jiǎn)述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念? 43．列舉計(jì)算機(jī)病毒的主要來(lái)源。

44．?dāng)?shù)據(jù)文件和系統(tǒng)的備份要注意什么? 45．一套完整的容災(zāi)方案應(yīng)該包括什么系統(tǒng)? 11．簡(jiǎn)述歸檔與備份的區(qū)別。46．病毒有哪些特征? 47．簡(jiǎn)述計(jì)算機(jī)病毒的分類(lèi)方法。48．簡(jiǎn)述計(jì)算機(jī)病毒的防治策略? 49．保證數(shù)據(jù)完整性的措施有哪些? 50．

目前比較常見(jiàn)的備份方式有哪些? 51．試述提高數(shù)據(jù)完整性的預(yù)防性措施有哪些? 52．扼制點(diǎn)的作用是什么? 53．防火墻不能防止哪些安全隱患? 54，防火墻與VPN之間的本質(zhì)區(qū)別是什么? 55.．設(shè)置防火墻的目的及主要作用是什么 56．簡(jiǎn)述防火墻的設(shè)計(jì)須遵循的基本原則。57。目前防火墻的控制技術(shù)可分為哪幾種? 58．防火墻不能解決的問(wèn)題有哪些? 59。VPN提供哪些功能? 60．隧道協(xié)議主要包括哪幾種 61．簡(jiǎn)述隧道的基本組成。

62．IPSec提供的安全服務(wù)有哪些? 63．選擇VPN解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)? 64。簡(jiǎn)述VPN的分類(lèi)。

65．簡(jiǎn)述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種? 1．試述防火墻的分類(lèi)及它們分別在安全性或效率上有其特別的優(yōu)點(diǎn)？ 66．試述VPN的優(yōu)點(diǎn)有哪些? 67，試述IPSec的兩種工作模式。68．論述VPN的應(yīng)用前景。

69.組建VPN應(yīng)該遵循的設(shè)計(jì)原則。70．為什么DAC易受到攻去? 71．簡(jiǎn)述加密橋技術(shù)的優(yōu)點(diǎn)。

72．圖示說(shuō)明接入控制機(jī)構(gòu)的建立主要根據(jù)的三種類(lèi)型信息。73.實(shí)體認(rèn)證與消息認(rèn)證的差別 74．通行字的選擇原則是什么? 75．通行字的控制措施是哪些? 76．通行字的安全存儲(chǔ)有哪二種方法? 77．Kerberos的局限性有哪些? 78．試述一下身份證明系統(tǒng)的相關(guān)要求。79．說(shuō)明口令的控制措施。

80．有效證書(shū)應(yīng)滿(mǎn)足的條件有哪些? 81．密鑰對(duì)生成的兩種途徑是什么? 82證書(shū)有哪些類(lèi)型?(83．證書(shū)數(shù)據(jù)由哪些部分組成? 84．如何對(duì)密鑰進(jìn)行安全保護(hù)? 85．CA認(rèn)證申請(qǐng)者的身份后，生成證書(shū)的步驟 有哪些? 86．LRA(LocalRegistrationAuthority)的功能是什么? 87．公鑰證書(shū)的基本作用是什么? 88．雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性? 89。簡(jiǎn)述證書(shū)鏈中證書(shū)復(fù)本的傳播方式。90.說(shuō)明證書(shū)機(jī)構(gòu)（CA）的組成？ 91．認(rèn)證機(jī)構(gòu)提供的服務(wù)？

92．說(shuō)出你知道的PK[的應(yīng)用范圍？ 93．簡(jiǎn)述證書(shū)政策的作用和意義？

94．簡(jiǎn)述PKl保密性服務(wù)采用的“數(shù)字信封”機(jī)制原理？ 95．簡(jiǎn)述密鑰管理中存在的威脅。

96。簡(jiǎn)述實(shí)現(xiàn)源的不可否認(rèn)性機(jī)制的方法。97．簡(jiǎn)述實(shí)現(xiàn)遞送的不可否認(rèn)性機(jī)制的方法 98．仲裁包括的活動(dòng)有哪些?(99．簡(jiǎn)述解決糾紛的步驟。100．請(qǐng)論述PKI在電子商務(wù)活動(dòng)中應(yīng)具有的性能。

101.試述公鑰基礎(chǔ)設(shè)施PKI為不用用戶(hù)提供的安全服務(wù)？ 102.舉出三個(gè)事例說(shuō)明PKI的應(yīng)用 103．SSL加密協(xié)議的用途是什么? 104．要想安全地進(jìn)行網(wǎng)上購(gòu)物，如何認(rèn)準(zhǔn)“SET'’商業(yè)網(wǎng)站? 105，SSL協(xié)議中使用了哪些加密技術(shù)? 107．SSL保證瀏覽器／服務(wù)器會(huì)話(huà)中哪三大安全內(nèi)容及各使用了什么技術(shù)來(lái)達(dá)到目的? 108．SSL協(xié)議體系結(jié)構(gòu)是由幾層協(xié)議組成的?共有幾個(gè)協(xié)議? 109.簡(jiǎn)述SET購(gòu)物過(guò)程。

110．SET安全協(xié)議要達(dá)到的目標(biāo)有哪五個(gè)? 111．參與信用卡安全SET交易的成員除了持卡人和網(wǎng)上商店以外，還有哪些成員? 112．支付網(wǎng)關(guān)的作用是什么? 113．SET系統(tǒng)的運(yùn)作是通過(guò)哪四個(gè)軟件組件來(lái)完成的? 114．簡(jiǎn)單描述一下SET認(rèn)證中心的管理結(jié)構(gòu)層次？ 115.基于SET協(xié)議的電子商務(wù)的業(yè)務(wù)過(guò)程有哪些。

116．每個(gè)在認(rèn)證中心進(jìn)行了注冊(cè)登記的用戶(hù)都會(huì)得到雙鑰密碼體制的一對(duì)密鑰，這對(duì)密鑰有些什么用處? 117．SET的主要安全保障來(lái)自哪三個(gè)方面? 118．電子錢(qián)包的功能是什么? 119．SET與SSL試述它們的異同？ 120．CFCA體系結(jié)構(gòu)。

121。CTCA的組成及功能？ 123．CFCA證書(shū)的典型應(yīng)用。124.CTCA數(shù)字證書(shū)業(yè)務(wù)。125.試論述數(shù)據(jù)加密的方法

1.什么是保持?jǐn)?shù)據(jù)完整性?商務(wù)數(shù)據(jù)的完整性(Integrity)或稱(chēng)正確性是保護(hù)數(shù)據(jù)不被未授權(quán)者修改、建立、嵌入、刪除、重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。

2.網(wǎng)頁(yè)攻擊的步驟是什么? 第一步，創(chuàng)建一個(gè)網(wǎng)頁(yè)，看似可信其實(shí)是假的拷貝。第二步，攻擊者完全控制假網(wǎng)頁(yè)。第三步，攻擊者利用網(wǎng)頁(yè)做假的后果 3．為什么交易的安全性是電子商務(wù)獨(dú)有的? 這也是電子商務(wù)系統(tǒng)所獨(dú)有的。在我們的日常生活中，進(jìn)行一次交易必須辦理一定的手續(xù)，由雙方簽發(fā)各種收據(jù)憑證，并簽名蓋章以作為法律憑據(jù)。但在電子商務(wù)中，交易在網(wǎng)上進(jìn)行，雙方甚至不會(huì)見(jiàn)面，那么一旦一方反悔，另一方怎樣能夠向法院證明合同呢?這就需要一個(gè)網(wǎng)上認(rèn)證機(jī)構(gòu)對(duì)每一筆業(yè)務(wù)進(jìn)行認(rèn)證，以確保交易的安全，避免惡意欺詐。

4．攻擊Web站點(diǎn)有哪幾種方式?<1>安全信息被破譯<2>非法訪(fǎng)問(wèn)<3>交易信息被截獲<4>軟件漏洞被攻擊者利用 5．Web客戶(hù)機(jī)和Web服務(wù)器的任務(wù)分別是什么? Web客戶(hù)機(jī)的任務(wù)是：(1)為客戶(hù)提出一個(gè)服務(wù)請(qǐng)求——超鏈時(shí)啟動(dòng)；(2)將客戶(hù)的請(qǐng)求發(fā)送給服務(wù)器；(3)解釋服務(wù)器傳送的HTML等格式文檔，通過(guò)瀏覽器顯示給客戶(hù)。

Web服務(wù)器的任務(wù)是：(1)接收客戶(hù)機(jī)來(lái)的請(qǐng)求；

(2)檢查請(qǐng)求的合法性(3)針對(duì)請(qǐng)求，獲取并制作數(shù)據(jù)(4)把信息發(fā)送給提出請(qǐng)求的客戶(hù)機(jī)。6．IP地址順序號(hào)預(yù)測(cè)攻擊的步驟是什么? 分兩步：首先，得到服務(wù)器的IP地址。然后，攻擊者在試過(guò)這些IP地址后，可以開(kāi)始監(jiān)視網(wǎng)上傳送包的序列號(hào)，推測(cè)服務(wù)器能產(chǎn)生的下一個(gè)序列號(hào)，再將自己有效地插入到服務(wù)器和用戶(hù)之間。接著，便可訪(fǎng)問(wèn)系統(tǒng)傳給服務(wù)器的密鑰文件、日志名、機(jī)密數(shù)據(jù)等信息。7．普通電子郵件的兩個(gè)方面的安全問(wèn)題是什么?由什么原因造成的? 一是電子郵件在網(wǎng)上傳送時(shí)隨時(shí)可能被人竊取到；二是可以冒用別人的身份發(fā)信。8．電子商務(wù)安全的六項(xiàng)中心內(nèi)容是什么?(1)商務(wù)數(shù)據(jù)的機(jī)密性(2)商務(wù)數(shù)據(jù)的完整性(3)商務(wù)對(duì)象的認(rèn)證性(4)商務(wù)服務(wù)的不可否認(rèn)性(5)商務(wù)服務(wù)的不可拒絕性(6)訪(fǎng)問(wèn)的控制性

9．電子商務(wù)的可靠性的含義是什么?可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計(jì)算機(jī)系統(tǒng)，其可靠性是指為防止由于計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒和自然災(zāi)害等聽(tīng)所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。10．電子商務(wù)的真實(shí)性的含義是什么? 真實(shí)性是指商務(wù)活動(dòng)中交易者身份的真實(shí)性，亦即是交易雙方確實(shí)是存在的，不是假冒的。

11．單鑰密碼體制的特點(diǎn)是什么?(1)加密和解密的速度快，效率高；(2)單鑰密碼體制的加密和解密過(guò)程使用同一個(gè)密鑰。12．簡(jiǎn)述替換加密和轉(zhuǎn)換加密的區(qū)別。

替換加密是指將每個(gè)字母替換為字母表中其他字母。有單字母加密和多字母加密兩類(lèi)方法。轉(zhuǎn)換加密是將原字母的順序打亂，將其重新排列。13．什么是集中式密鑰分配? 所謂集中式分配是指利用網(wǎng)絡(luò)中的“密鑰管理中心(KMC)”來(lái)集中管理系統(tǒng)中的密鑰.14．什么是分布式密鑰分配? 分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位。它們之間的密鑰分配取決了它們自己的協(xié)商，不受任何其他方面的限制。15．Shamir密鑰分存思想是什么? 它的基本思想是：將一個(gè)密鑰K破成n個(gè)小片K：，K：，?，K+滿(mǎn)足：(1)已知任意t個(gè)Ki的值易于計(jì)算出K；(2)已知任意t-1個(gè)或更少個(gè)Ki，則由于信息短缺而不能確定出K。

16．雙鑰密碼體制最大的特點(diǎn)是什么?(1)適合密鑰的分配和管理；(2)算法速度慢，只適合加密小數(shù)量的信息。17．試述雙鑰密碼體制的加密和解密過(guò)程。

雙密鑰密碼體制有一對(duì)密鑰——公共密鑰和個(gè)人(私)密鑰，用戶(hù)將公共密鑰交給發(fā)送方或公開(kāi)，發(fā)送數(shù)據(jù)時(shí)，信息發(fā)送者使用接收人的公共密鑰加密被傳數(shù)據(jù)成密文，接收人使用自己的個(gè)人密鑰解密收到的密文獲得明文。18．替換加密和轉(zhuǎn)換加密的主要區(qū)別是什么? 在替換加密法中，原文的順序沒(méi)被改變，而是通過(guò)各種字母映射關(guān)系把原文隱藏了起來(lái)。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。19．列舉單鑰密碼體制的幾種算法:DES加密算法、IDEA加密算法、RC-5加密算法、AES加密算法。

20．簡(jiǎn)述DES的加密運(yùn)算法則。每次取明文中的連續(xù)64位(二進(jìn)制位，以下同)數(shù)據(jù)，利用64位密鑰(其中8位是校驗(yàn)位，56位是有效密鑰信息)，經(jīng)過(guò)16次循環(huán)(每一次循環(huán)包括一次替換和一次轉(zhuǎn)換)加密運(yùn)算，將其變?yōu)?4位的密文數(shù)據(jù)。21．什么是雙重DES加密方法?簡(jiǎn)述其算法步驟。雙重DES加密方法是在DES加密算法上的改進(jìn)，是用兩個(gè)密鑰對(duì)明文進(jìn)行兩次加密，假設(shè)兩個(gè)密鑰是K：和K：，其算法的步驟：(1)用密鑰K，進(jìn)行DES加密；

(2)用K：對(duì)步驟1的結(jié)果進(jìn)行DES解密。22．什么是三重DES加密方法?簡(jiǎn)述其算法步驟。

三重DES加密方法是在雙重DES加密算法上的改進(jìn)，是用兩個(gè)密鑰對(duì)明文進(jìn)行三次 加密，假設(shè)兩個(gè)密鑰是K，和K：，其算法的步驟：(1)用密鑰K，進(jìn)行DES加密；

(2)用K：對(duì)步驟1的結(jié)果進(jìn)行DES解密；(3)用步驟2的結(jié)果使用密鑰K，進(jìn)行DES加密。

23．簡(jiǎn)述IDEA加密算法的基本運(yùn)算、設(shè)計(jì)思想及加密過(guò)程？IDEA采用了三種基本運(yùn)算：異或運(yùn)算、模加、模乘。IDEA的設(shè)計(jì)思想是在不同代數(shù)組中進(jìn)行混合運(yùn)算。IDEA的加密過(guò)程：首先將明文分為64位的數(shù)據(jù)塊，然后進(jìn)行8輪 迭代和一個(gè)輸出變換。

24．簡(jiǎn)述兩類(lèi)典型的自動(dòng)密鑰分配途徑。

它們是集中式分配方案和分布式分配方案。所謂集中式分配是指利用網(wǎng)絡(luò)中的“密鑰管理中心“來(lái)集中管理系統(tǒng)中的密鑰，”“密鑰管理中心”接收系統(tǒng)中用戶(hù)的請(qǐng)求，為用戶(hù)提供安全分配密鑰服務(wù)。分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密要分配取決于他們自己的協(xié)商，不受任何其他方面的限制。

25．簡(jiǎn)述保護(hù)數(shù)據(jù)完整性的目的，以及被破壞會(huì)帶來(lái)的嚴(yán)重后果？目的就是保證計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。后果：(1)造成直接的經(jīng)濟(jì)損失，如價(jià)格、訂單數(shù)量等被改變。(2)影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)(3)可能造成過(guò)不了“關(guān)”(4)會(huì)牽涉到經(jīng)濟(jì)案件中(5)造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任。

26．簡(jiǎn)述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性。

可用多種技術(shù)的組合來(lái)認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個(gè)算法同時(shí)應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計(jì)算出散列值后，就將此值——消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的消息摘要后，就用此消息獨(dú)自再計(jì)算出一個(gè)消息摘要。如果接收者所計(jì)算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒(méi)有被篡改。27．?dāng)?shù)字簽名如何使用雙鑰密碼加密和散列函數(shù)? 消息用散列函數(shù)處理得到的消息摘要，再用雙鑰密碼體制的私鑰加密稱(chēng)為數(shù)字簽名。數(shù)字簽名的使用方法是：消息M用散列函數(shù)H得到的消息摘要，然后發(fā)送方再用自己的雙鑰密碼體制的私鑰對(duì)這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名。這個(gè)數(shù)字簽名將作為消息M的附件和消息一起發(fā)送給消息的接收方。消息的接收方首先從接收到的原始消息M中計(jì)算出散列值，接著再用發(fā)送方的雙鑰密碼體制的公鑰來(lái)對(duì)消息的數(shù)字簽名進(jìn)行解密。如果這兩個(gè)散列值，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，而且還可以確定此消息沒(méi)有被修改過(guò)。28．?dāng)?shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同? 消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及

所發(fā)信息內(nèi)容是否被篡改過(guò)。當(dāng)收發(fā)者之間沒(méi)有利害沖突時(shí)，這對(duì)于防止第三者的破壞來(lái)說(shuō)是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無(wú)法解決他們之間的糾紛，此時(shí)需借助數(shù)字簽名技術(shù)。29．?dāng)?shù)字簽名與手書(shū)簽名有什么不同? 區(qū)別在于：手書(shū)簽名(包括蓋章)是模擬的，因人而異。而數(shù)字簽名是0和1的數(shù)字串，極難偽造，要區(qū)別是否為偽造，不需專(zhuān)家。對(duì)不同的信息摘 要，即使是同一人，其數(shù)字簽名也是不同的。30，數(shù)字簽名可以解決哪些安全鑒別問(wèn)題?(1)接收方偽造(2)發(fā)送者或接收者否認(rèn)(3)第三方冒充(4)接收方篡改 31．無(wú)可爭(zhēng)辯簽名有何優(yōu)缺點(diǎn)? 無(wú)可爭(zhēng)辯簽名是在沒(méi)有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。在簽名人合作下才能驗(yàn)證簽名，又會(huì)給簽名者一種機(jī)會(huì)，在不利于他時(shí)可拒絕合作，因而不具有“不可否認(rèn)性”。無(wú)可爭(zhēng)辯簽名還需要第三個(gè)組成部分，即否認(rèn)協(xié)議：簽名者利用無(wú)可爭(zhēng)辯簽名可向法庭或公眾證明一個(gè)偽造的簽名的確是假的；但如果簽名者拒絕參與執(zhí)行否認(rèn)協(xié)議，就表明簽名真的由他簽署。32．簡(jiǎn)述利用盲變換實(shí)現(xiàn)盲簽名的基本原理

(1)A取一文件并以一隨機(jī)值乘之，稱(chēng)此隨機(jī)值為盲因子；(2)A將此盲文件送給B；(3)B對(duì)盲文件簽名；(4)A以盲因子除之，得到B對(duì)原文件的簽名。

33．對(duì)比傳統(tǒng)手書(shū)簽名來(lái)論述數(shù)字簽名的必要性？（1商業(yè)中的契約、合同文件，公司指令和條約，以及商務(wù)書(shū)信等，傳統(tǒng)采用手書(shū)簽名或印章，以便在法律上能認(rèn)證、核準(zhǔn)、生效。傳統(tǒng)手書(shū)簽名儀式要專(zhuān)門(mén)預(yù)定日期時(shí)間，契約各方到指定地點(diǎn)共同簽署一個(gè)合同文件，短時(shí)間的簽名工作量需要很長(zhǎng)時(shí)間的前期準(zhǔn)備工作。這種狀況對(duì)于管理者，是延誤時(shí)機(jī)；對(duì)于合作伙伴，是丟失商機(jī)；對(duì)于政府機(jī)關(guān)，是辦事效率低下。（2在電子商務(wù)時(shí)代，為了使商、貿(mào)、政府機(jī)構(gòu)和直接消費(fèi)者各方交流商務(wù)信息更快、更準(zhǔn)確和更便于自動(dòng)化處理。保障傳遞文件的機(jī)密性應(yīng)使用加密技術(shù)，保障其完整性則用信息摘要技術(shù)，而保障認(rèn)證性和不可否認(rèn)性則應(yīng)使用數(shù)字簽名技術(shù)。（3數(shù)字簽名可做到高效而快速的響應(yīng)，任意時(shí)刻，在地球任何地方都可完成簽署工作。34．簡(jiǎn)述數(shù)字簽名的原理？實(shí)際使用原理是：消息M用散列函數(shù)H得到消息摘要h，二H(M)，然后發(fā)送方A用自己的雙鑰密碼體制的私鑰Ksa對(duì)這個(gè)散列值進(jìn)行加密：EEss(h：)，來(lái)形成發(fā)送方A的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為消息M的附件和消息M一起發(fā)送給消息接收方B。消息的接收方B首先把接收到的原始消息分成M’和E，(h：)。從M’中計(jì)算出散列值h，：H(M’)，接著再用發(fā)送方的雙鑰密碼體制的公鑰K，來(lái)對(duì)消息的數(shù)字簽名進(jìn)行解密D。(Ex，(L，))得h：。如果散列值h)二兒，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方A的，而且還可以確定此消息沒(méi)有被修改過(guò)。35．簡(jiǎn)述數(shù)字時(shí)間戳的原理。

數(shù)字時(shí)間戳應(yīng)當(dāng)保證：(1)數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒體無(wú)關(guān)。(2)對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng)。(3)要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同時(shí)間戳是不可能的。仲裁方案：利用單向雜湊函數(shù)和數(shù)字簽名協(xié)議實(shí)現(xiàn)。(1)A產(chǎn)生文件的單向雜湊函數(shù)值。(2)A將雜湊函數(shù)值傳送給B。(3)B在收到的雜湊函數(shù)值的后面附加上日期和時(shí)間，并對(duì)它進(jìn)行數(shù)字簽名。(4)B將簽名的雜凄函數(shù)值和時(shí)戳一起送還給A。鏈接協(xié)議：

解決這個(gè)問(wèn)題的一種方法是將A的時(shí)間戳同B以前生成的時(shí)間戳鏈接起來(lái)。由于B接收到各個(gè)時(shí)間戳請(qǐng)求的順序不能確定，A的時(shí)間戳很可能產(chǎn)生在前一個(gè)時(shí)間戳之后。由于后來(lái)的請(qǐng)求與A的時(shí)間戳鏈接在一起，他的時(shí)間戳一定在前面產(chǎn)生過(guò)。36.UPS的作用是什么? UPS的作用是防止突然停電造成網(wǎng)絡(luò)通訊中斷。37.計(jì)算機(jī)病毒是如何產(chǎn)生的？

計(jì)算機(jī)病毒是人為產(chǎn)生的，是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

38．計(jì)算機(jī)惡性病毒的危害?是破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓。39．簡(jiǎn)述容錯(cuò)技術(shù)的目的及其常用的容錯(cuò)技術(shù)。

容錯(cuò)技術(shù)的目的是當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。

容錯(cuò)技術(shù)最實(shí)用的一種技術(shù)是組成冗余系統(tǒng)。另有一種容錯(cuò)技術(shù)是使用雙系統(tǒng)。用兩個(gè)相同的系統(tǒng)共同承擔(dān)同一項(xiàng)任務(wù)，當(dāng)一個(gè)系統(tǒng)出現(xiàn)故障時(shí)，另一系統(tǒng)承擔(dān)全部任務(wù)。

40．現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的備份工作變得越來(lái)越困難，其原因？原因是網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性隨著不同的操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用軟件的增加而增加。此外，各種操作系統(tǒng)都自帶內(nèi)置軟件的備份，但自動(dòng)備份和文件管理上都是很基本的，功能不足。41．簡(jiǎn)述三種基本的備份系統(tǒng)。

(1)簡(jiǎn)單的網(wǎng)絡(luò)備份系統(tǒng)(2)服務(wù)器到服務(wù)器的備份(3)使用專(zhuān)用的備份服務(wù)器 42．簡(jiǎn)述數(shù)據(jù)備份與傳統(tǒng)的數(shù)據(jù)備份的概念? 數(shù)據(jù)備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全系統(tǒng)或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤(pán)或陣列復(fù)制到其他的存儲(chǔ)介質(zhì)的過(guò)程。傳統(tǒng)的數(shù)據(jù)備份主要是采用數(shù)據(jù)內(nèi)置或外置的磁帶機(jī)進(jìn)行冷備份。

43．列舉計(jì)算機(jī)病毒的主要來(lái)源。(1)引進(jìn)的計(jì)算機(jī)系統(tǒng)和軟件中帶有病毒。(2)各類(lèi)出國(guó)人員帶回的機(jī)器和軟件染有病毒。(3)一些染有病毒的游戲軟件(4)非法拷貝引起的病毒(5)計(jì)算機(jī)生產(chǎn)、經(jīng)營(yíng)單位銷(xiāo)售的機(jī)器和軟件染有病毒(6)維修部門(mén)交叉感染(7)有人研制、改造病毒(8)敵對(duì)分子以病毒進(jìn)行宣傳和破壞(9)通過(guò)互聯(lián)網(wǎng)絡(luò)傳人的。

44．?dāng)?shù)據(jù)文件和系統(tǒng)的備份要注意什么?(1)日常的定時(shí)、定期備份(2)定期檢查備份的質(zhì)量；(3)重要的備份最好存放在不同介質(zhì)上；(4)注意備份本身的防竊和防盜；(5)多重備份，分散存放，由不同人員分別保管。

45．一套完整的容災(zāi)方案應(yīng)該包括什么系統(tǒng)? 其應(yīng)該包括本地容災(zāi)和異地容災(zāi)兩套系統(tǒng)。11．簡(jiǎn)述歸檔與備份的區(qū)別。

歸檔是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長(zhǎng)期保存的過(guò)程。備份的目的是從災(zāi)難中恢復(fù)。歸檔是把需要的數(shù)據(jù)拷貝或打包，用于長(zhǎng)時(shí)間的歷史性的存放，歸檔可以清理和整理服務(wù)器中的數(shù)據(jù)。46．病毒有哪些特征?(1)非授權(quán)可執(zhí)行性(2)隱蔽性(3)傳染性(4)潛伏性(5)表現(xiàn)性或破壞性(6)可觸發(fā)性。47．簡(jiǎn)述計(jì)算機(jī)病毒的分類(lèi)方法。

按寄生方式分為引導(dǎo)型、病毒文件型和復(fù)合型病毒。按破壞性分為良性病毒和惡性病毒。48．簡(jiǎn)述計(jì)算機(jī)病毒的防治策略? 依法治毒、建立一套行之有效的病毒防治體系、制定嚴(yán)格的病毒防治技術(shù)規(guī)范。49．保證數(shù)據(jù)完整性的措施有哪些? 保證數(shù)據(jù)完整性的措施有：有效防毒、及時(shí)備份、充分考慮系統(tǒng)的容錯(cuò)和冗余。50． 目前比較常見(jiàn)的備份方式有哪些?(1)定期磁帶備份數(shù)據(jù)。(2)遠(yuǎn)程磁帶庫(kù)、光盤(pán)庫(kù)備份。(3)遠(yuǎn)程關(guān)鍵數(shù)據(jù)+磁帶備份(4)遠(yuǎn)程數(shù)據(jù)庫(kù)備份。(5)網(wǎng)絡(luò)數(shù)據(jù)鏡像(6)遠(yuǎn)程鏡像磁盤(pán)。51．試述提高數(shù)據(jù)完整性的預(yù)防性措施有哪些? 措施：鏡像技術(shù)故障前兆分析奇偶校驗(yàn)隔離不安全的人員電源保障 52．扼制點(diǎn)的作用是什么? 扼制點(diǎn)的作用是控制訪(fǎng)問(wèn)。

53．防火墻不能防止哪些安全隱患? 不能阻止已感染病毒的軟件或文件的傳輸；內(nèi)部人員的工作失誤。54，防火墻與VPN之間的本質(zhì)區(qū)別是什么? 堵／通；或防范別人／保護(hù)自己。55．設(shè)置防火墻的目的及主要作用是什么? 目的是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道，允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”提供兩個(gè)網(wǎng)絡(luò)間的訪(fǎng)問(wèn)控制。作用是防止發(fā)生網(wǎng)絡(luò)安全事件引起的損害，使入侵更難實(shí)現(xiàn)，來(lái)防止非法用戶(hù)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線(xiàn)的攻擊。56．簡(jiǎn)述防火墻的設(shè)計(jì)須遵循的基本原則。

(1)由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過(guò)防火墻(2)只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過(guò)防火墻(3)盡可能控制外部用戶(hù)訪(fǎng)問(wèn)內(nèi)域網(wǎng)(4)具有足夠的透明性(5)具有抗穿透攻擊能力、強(qiáng)化記錄、審計(jì)和告警。57。目前防火墻的控制技術(shù)可分為哪幾種? 包過(guò)濾型、包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。58．防火墻不能解決的問(wèn)題有哪些?(1)如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)(2)防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊(3)防火墻不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)帶來(lái)的威脅(4)防火墻也不能防止傳送已感染病毒的軟件或文件(5)防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。59。VPN提供哪些功能?加密數(shù)據(jù)、信息認(rèn)證和身份認(rèn)證、提供訪(fǎng)問(wèn)控制

60．隧道協(xié)議主要包括哪幾種?(1)互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec(2)第2層轉(zhuǎn)發(fā)協(xié)議L2F(3)點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP(4)通用路由封裝協(xié)議GRE 61．簡(jiǎn)述隧道的基本組成。

一個(gè)隧道啟動(dòng)器，一個(gè)路由網(wǎng)絡(luò)(Intemet)，一個(gè)可選的隧道交換機(jī)，一個(gè)或多個(gè)隧道終結(jié)器。62．IPSec提供的安全服務(wù)有哪些? 包括私有性(加密)、真實(shí)性(驗(yàn)證發(fā)送者的身份)、完整性(防數(shù)據(jù)篡改)和重傳保護(hù)(防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送)等，并制定了密鑰管理的方法。63．選擇VPN解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)?(1)認(rèn)證方法(2)支持的加密算法(3)支持的認(rèn)證算法<4)支持的1P壓縮算法(5)易于部署(6)兼容分布式或個(gè)人防火墻的可用性。64。簡(jiǎn)述VPN的分類(lèi)。

按VPN的部署模式分：端到端(End-to-End)模式；供應(yīng)商—企業(yè)模式；內(nèi)部供應(yīng)商模式。按VPN的服務(wù)類(lèi)型分：IntemetVPN、AccessVPN與Extranet VPN。65．簡(jiǎn)述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種?(1)虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)(VPDN)(2)虛擬專(zhuān)用路由網(wǎng)絡(luò)(VPRN)(3)虛擬租用線(xiàn)路(VLL)(4)虛擬專(zhuān)用LAN子網(wǎng)段(VPLS)1．試述防火墻的分類(lèi)及它們分別在安全性或效率上有其特別的優(yōu)點(diǎn)？ 目前防火墻的控制技術(shù)大概可分為：包過(guò)濾型、包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。

（1）包過(guò)濾型的控制方式最大的好處是效率最高，但卻有幾個(gè)嚴(yán)重缺點(diǎn)：管理復(fù)雜、無(wú)法對(duì)連線(xiàn)作完全的控制、規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果、不易維護(hù)以及記錄功能少。

(2)包檢驗(yàn)型：包檢驗(yàn)型可謂是包過(guò)濾型的加強(qiáng)版，目的在增加包過(guò)濾型的安全性，增加控制“連線(xiàn)”的能力式可能會(huì)產(chǎn)生極大的差異。(3)應(yīng)用層網(wǎng)關(guān)型：。這種運(yùn)作方式是最安全的方式，但也是效率最低的一種方式。66．試述VPN的優(yōu)點(diǎn)有哪些? 成本較低、網(wǎng)絡(luò)結(jié)構(gòu)靈活、管理方便 67，試述IPSec的兩種工作模式。

一是傳輸模式(TransportMode)，為源到目的之間已存在的IP包(1Ppacket)提供安全性：IPSec傳輸模式被用于在端到端的兩個(gè)通信實(shí)體之間提供IP傳輸?shù)陌踩?。二是隧道模?tunnelmode)，它把一個(gè)IP包放到一個(gè)新的IP包中，并以IPSec格式發(fā)往目的終點(diǎn)。68．論述VPN的應(yīng)用前景。

在國(guó)外，Intenlet已成為全社會(huì)的信息基礎(chǔ)設(shè)施，企業(yè)端應(yīng)用也大都基于IP，在Inter-net上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì)，因此基于IP的VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。

在中國(guó)，制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面。（1)客觀因素包括因特網(wǎng)帶寬和服務(wù)質(zhì)量(QoS)問(wèn)題。

(2)主觀因素：一是用戶(hù)總害怕自己內(nèi)部的數(shù)據(jù)在Intemet上傳輸不安全。二是VPN應(yīng)用最大的障礙，是客戶(hù)自身的應(yīng)用跟不上，只有企業(yè)將自己的業(yè)務(wù)完全和網(wǎng)絡(luò)聯(lián)系上，VPN才會(huì)有了真正的用武之地。

當(dāng)我們消除了所有這些障礙因素后，VPN將會(huì)成為我們網(wǎng)絡(luò)生活的主要組成部分。69．組建VPN應(yīng)該遵循的設(shè)計(jì)原則。

VPN的設(shè)計(jì)應(yīng)該遵循以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理等。70．為什么DAC易受到攻去? DAC為自主式接入控制。它由資源擁有者分配接人權(quán)，在辨別各用戶(hù)的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個(gè)用戶(hù)的接人權(quán)由數(shù)據(jù)的擁有者來(lái)建立，常以接入控制表或權(quán)限表實(shí)現(xiàn)。這一方法靈活，便于用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)，在安全性要求不高的用戶(hù)之間分享一般數(shù)據(jù)時(shí)可采用。如果用戶(hù)疏于利用保護(hù)機(jī)構(gòu)時(shí)，會(huì)危及資源安全，所以DAC易受到攻擊。71．簡(jiǎn)述加密橋技術(shù)的優(yōu)點(diǎn)。

(1)解決了數(shù)據(jù)庫(kù)加密數(shù)據(jù)沒(méi)有非密旁路漏洞的問(wèn)題。(2)便于解決“數(shù)據(jù)庫(kù)加密應(yīng)用群件系統(tǒng)”在不同DBMS之間的通用性。(3)便于解決系統(tǒng)在DBMS不同版本之間的通用性。(4)不必去分析DBMS的源代碼。(5)加密橋是用c++寫(xiě)成的，便于在不同的操作系統(tǒng)之間移植。(6)加密橋與DBMS是分離的，可以解決嵌入各種自主知識(shí)產(chǎn)權(quán)加密方法的問(wèn)題。

72．圖示說(shuō)明接入控制機(jī)構(gòu)的建立主要根據(jù)的三種類(lèi)型信息。(1)主體：是對(duì)目標(biāo)進(jìn)行訪(fǎng)問(wèn)的實(shí)體，它可為用戶(hù)、用戶(hù)組、終端、主機(jī)或一個(gè)應(yīng)用程序(2)客體：是一個(gè)可接受訪(fǎng)問(wèn)和受控的實(shí)體，它可以是一個(gè)數(shù)據(jù)文件、一個(gè)程序組或一個(gè)數(shù)據(jù)；(3)接人權(quán)限：表示主體對(duì)客體訪(fǎng)問(wèn)時(shí)可擁有的權(quán)利，接人權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包括讀、寫(xiě)、執(zhí)行等，讀寫(xiě)含義明確，而執(zhí)行權(quán)指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。

73.實(shí)體認(rèn)證與消息認(rèn)證的差別在于，消息認(rèn)證本身不提供時(shí)間性，而實(shí)體認(rèn)證一般都是實(shí)時(shí)的。另一方面，實(shí)體認(rèn)證通常證實(shí)實(shí)體本身，而消息認(rèn)證除了證實(shí)消息的合法性和完整性外．還要知道消息的含義。

74．通行字的選擇原則是什么?(1)易記；(1)難于被別人猜中或發(fā)現(xiàn)；(3)抗分析能力強(qiáng)。

75．通行字的控制措施是哪些?(1)系統(tǒng)消息；(2)限制試探次數(shù)；(3)通行字有效期；(4)雙通行字系統(tǒng)(5)最小長(zhǎng)度；(6)封鎖用戶(hù)系統(tǒng)；(?)根通行字的保護(hù)(8)系統(tǒng)生成通行字(9)通行字的檢驗(yàn)。76．通行字的安全存儲(chǔ)有哪二種方法?(1)用戶(hù)的通行字多以加密形式存儲(chǔ)。(2)許多系統(tǒng)可以存儲(chǔ)通行字的單向雜湊值 77．Kerberos的局限性有哪些?(1)時(shí)間同步問(wèn)題(2)重放攻擊問(wèn)題(3)認(rèn)證域之間的信任問(wèn)題；(4)系統(tǒng)程序的安全性和完整性問(wèn)題(5)口令猜測(cè)攻擊問(wèn)題；(6)密鑰的存儲(chǔ)問(wèn)題。

78．試述一下身份證明系統(tǒng)的相關(guān)要求。(1)驗(yàn)證者正確識(shí)別合法示證者的概率極大化。(2)不具可傳遞性(3)攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略，特別是要能抗已知密文攻擊。(4)計(jì)算有效性（5）通信有效性（6）秘密參數(shù)安全存儲(chǔ)（7）交互識(shí)別（8）第三方的實(shí)時(shí)參與（9）第三方的可信賴(lài)性（10）可證明安全性 79．說(shuō)明口令的控制措施。

(1)系統(tǒng)消息(2)限制試探次數(shù)(3)口令有效期(4)雙口令系統(tǒng)(5)最小長(zhǎng)度(6)封鎖用戶(hù)系統(tǒng)

(7)根口令的保護(hù)(8)系統(tǒng)生成口令(9)口令的檢驗(yàn) 80．有效證書(shū)應(yīng)滿(mǎn)足的條件有哪些?(1)證書(shū)沒(méi)有超過(guò)有效期。(2)密鑰沒(méi)有被修改(3)證書(shū)不在CA發(fā)行的無(wú)效證書(shū)清單中。81．密鑰對(duì)生成的兩種途徑是什么?(1)密鑰對(duì)持有者自己生成(2)密鑰對(duì)由通用系統(tǒng)生成

82證書(shū)有哪些類(lèi)型?(1)個(gè)人證書(shū)(2)服務(wù)器證書(shū)(3)郵件證書(shū)(4)CA證書(shū) 83．證書(shū)數(shù)據(jù)由哪些部分組成?(1)版本信息(2)證書(shū)序列號(hào)(3)CA所使用的簽名算法(4)發(fā)證者的識(shí)別碼(5)有效使用期限(6)證書(shū)主題名稱(chēng)(7)公鑰信息；(8)使用者(9)使用者識(shí)別碼(10)額外的特別擴(kuò)展信息。

84．如何對(duì)密鑰進(jìn)行安全保護(hù)? 密鑰按算法產(chǎn)生后，首先將私鑰送給用戶(hù)，如需備份，應(yīng)保證安全性，將公鑰送給CA，用以生成相應(yīng)證書(shū)。為了防止未授權(quán)用戶(hù)對(duì)密鑰的訪(fǎng)問(wèn)，應(yīng)將密鑰存人防竄擾硬件或卡中，或加密后存入計(jì)算機(jī)的文件中。此外，定期更換密鑰對(duì)是保證安全的重要措施。

85．CA認(rèn)證申請(qǐng)者的身份后，生成證書(shū)的步驟有哪些?①CA檢索所需的證書(shū)內(nèi)容信息；②CA證實(shí)這些信息的正確性；回CA用其簽名密鑰對(duì)證書(shū)簽名；④將證書(shū)的一個(gè)拷貝送給注冊(cè)者，需要時(shí)要求注冊(cè)者回送證書(shū)的收據(jù)；⑤CA將證書(shū)送人證書(shū)數(shù)據(jù)庫(kù)，向公用檢索業(yè)務(wù)機(jī)構(gòu)公布：⑥通常，CA將證書(shū)存檔；⑦CA將證書(shū)生成過(guò)程中的一些細(xì)節(jié)記人審計(jì)記錄中。

86．LRA(LocalRegistrationAuthority)的功能是什么?①注冊(cè)、撤銷(xiāo)注冊(cè)、改變注冊(cè)者屬性等；②對(duì)注冊(cè)者進(jìn)行身份認(rèn)證；⑧授權(quán)時(shí)可生成密碼對(duì)和證書(shū)，恢復(fù)備份密鑰；④接受和授權(quán)暫時(shí)中止或吊銷(xiāo)證書(shū)；⑤實(shí)際分配個(gè)人持證，恢復(fù)有故障持證以及授權(quán)代為保存?！?87．公鑰證書(shū)的基本作用是什么? 將公鑰與個(gè)人的身份、個(gè)人信息件或其他實(shí)體的有關(guān)身份信息聯(lián)系起來(lái)，在用公鑰證實(shí)數(shù)字簽名時(shí)，在確信簽名之前，有時(shí)還需要有關(guān)簽名人的其他信息，特別是要知道簽名者是否已被授權(quán)為對(duì)某特定目的的簽名人。授權(quán)信息的分配也需用證書(shū)實(shí)現(xiàn)，可以通過(guò)發(fā)放證書(shū)宣布某人或?qū)嶓w具有特定權(quán)限或權(quán)威，使別人可以鑒別和承認(rèn)。

88．雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性?雙鑰密碼體制加密時(shí)有一對(duì)公鑰和私鑰，公鑰可以公開(kāi)，私鑰由持有者保存，公鑰加密過(guò)的數(shù)據(jù)只有持有者的私鑰能解開(kāi)，這樣就保證了數(shù)據(jù)的機(jī)密性。經(jīng)私鑰加密過(guò)的數(shù)據(jù)——數(shù)字簽名可被所有具有公鑰的人解開(kāi)，由于私鑰只有持有者一人保存，這樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)性和完整性?！?89。簡(jiǎn)述證書(shū)鏈中證書(shū)復(fù)本的傳播方式。

(1)伴有簽名的證書(shū)，簽名者一般已有自己的證書(shū)，他可對(duì)其證書(shū)的復(fù)本進(jìn)行簽名，任何人都可以通過(guò)驗(yàn)證簽名得到相應(yīng)證書(shū)(2)通過(guò)檢索服務(wù)實(shí)現(xiàn)傳播(3)其他方式

90.說(shuō)明證書(shū)機(jī)構(gòu)（CA）的組成？由一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。

91．認(rèn)證機(jī)構(gòu)提供的服務(wù)？（1）證書(shū)申請(qǐng)—網(wǎng)上申請(qǐng)、離線(xiàn)申請(qǐng)證書(shū)（2）證書(shū)更新（3）證書(shū)吊銷(xiāo)或撤銷(xiāo)——證書(shū)持有者申請(qǐng)吊銷(xiāo)、認(rèn)證機(jī)構(gòu)強(qiáng)制吊銷(xiāo)證書(shū)（4）證書(shū)的公布和查詢(xún)

92．說(shuō)出你知道的PK[的應(yīng)用范圍？WWW服務(wù)器和瀏覽器之間的通信、安全的電子郵件、電子數(shù)據(jù)交換、Intemet上的信用卡交易以及VPN等。

93．簡(jiǎn)述證書(shū)政策的作用和意義？證書(shū)政策是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全地實(shí)現(xiàn)公開(kāi)環(huán)境中的服務(wù)提供、管理和通信；用電子形式的認(rèn)證代替書(shū)面形式的認(rèn)證，從而加快信息流通速度，提高效率，降低成本；鼓勵(lì)使用基于開(kāi)放標(biāo)準(zhǔn)的技術(shù)；建立與其他開(kāi)放安全環(huán)境的互操作。

94．簡(jiǎn)述PKl保密性服務(wù)采用的“數(shù)字信封”機(jī)制原理？送方先產(chǎn)生一個(gè)對(duì)稱(chēng)密鑰，并用該對(duì)稱(chēng)密鑰加密敏感數(shù)據(jù)。同時(shí)，發(fā)送方還用接收方的公鑰加密對(duì)稱(chēng)密鑰，就像把它裝入一個(gè)“數(shù)字信封”。然后，把被加密的對(duì)稱(chēng)密鑰(“數(shù)字信封”)和被加密的敏感數(shù)據(jù)一起傳送給接收方。接收方用自己的私鑰拆開(kāi)“數(shù)字信封”，得到對(duì)稱(chēng)密鑰，再用對(duì)稱(chēng)密鑰解開(kāi)被加密的敏感數(shù)據(jù) 95．簡(jiǎn)述密鑰管理中存在的威脅。

(1)密鑰的泄露(2)密鑰或公鑰的確證性的喪失(3)密鑰或公鑰未經(jīng)授權(quán)使用

96。簡(jiǎn)述實(shí)現(xiàn)源的不可否認(rèn)性機(jī)制的方法。

(1)源的數(shù)字簽字；(2)可信賴(lài)第三方的數(shù)字簽字；(3)可信賴(lài)第三方對(duì)消息的雜湊值進(jìn)行簽字；(4)可信賴(lài)第三方的持證；(5)線(xiàn)內(nèi)可信賴(lài)第三方；(6)上述方法的適當(dāng)組合。

97．簡(jiǎn)述實(shí)現(xiàn)遞送的不可否認(rèn)性機(jī)制的方法。(1)收信人簽字認(rèn)可(2)收信人利用持證認(rèn)可。．(3)可信賴(lài)遞送代理。(4)逐級(jí)遞送報(bào)告。

98．仲裁包括的活動(dòng)有哪些?(1)收取認(rèn)可證據(jù)(2)進(jìn)行證實(shí)(3)作證或公布簽字(4)證實(shí)或公布文件復(fù)本(5)做出聲明，裁定協(xié)議書(shū)或契約的合法性。99．簡(jiǎn)述解決糾紛的步驟。

(1)檢索不可否認(rèn)證據(jù)；(2)向?qū)Ψ匠鍪咀C據(jù)；(3)向解決糾紛的仲裁人出示證據(jù)；(4)裁決。

100．請(qǐng)論述PKI在電子商務(wù)活動(dòng)中應(yīng)具有的性能。

PKI的性能要求可擴(kuò)展性能滿(mǎn)足電子商務(wù)不斷發(fā)展的需要，方便用戶(hù)，保證其安全和經(jīng)濟(jì)性，支持與遠(yuǎn)程參與者通行無(wú)阻因此必須具有以下(1)支持多政策(2)透明性和易用性(3)互操作性(4)簡(jiǎn)單的風(fēng)險(xiǎn)管理(5)支持多平臺(tái)(6)支持多應(yīng)用

101.試述公鑰基礎(chǔ)設(shè)施PKI為不用用戶(hù)提供的安全服務(wù)？1認(rèn)證2數(shù)據(jù)完整性服務(wù)3保密性服務(wù)4不可否認(rèn)性服務(wù)5公證服務(wù) 102.舉出三個(gè)事例說(shuō)明PKI的應(yīng)用：1VPN2安全電子郵件3WEB安全4電子商務(wù)應(yīng)用5應(yīng)用編程接口API。103．SSL加密協(xié)議的用途是什么? 安全套接層(或叫安全套接口層)協(xié)議是用于到購(gòu)物網(wǎng)站上交易的，并保障交易的安全性。

104．要想安全地進(jìn)行網(wǎng)上購(gòu)物，如何認(rèn)準(zhǔn)“SET'’商業(yè)網(wǎng)站?在SET發(fā)表后，成立了SETCo。它對(duì)SET軟件建立了一套測(cè)試的準(zhǔn)則，如測(cè)試通過(guò)后就可獲得SET特約商店的商標(biāo)。SET特約商店的商標(biāo)就成為到SET商店安全購(gòu)物的重要手段。105，SSL協(xié)議中使用了哪些加密技術(shù)? RSA，Diffie-Hellman密鑰協(xié)議以及KEA算法等。

106．SSL依靠什么來(lái)驗(yàn)證通信雙方的身份?主要驗(yàn)證哪一方的身份?SSL提供認(rèn)證性——使用數(shù)字證書(shū)——用以正確識(shí)別對(duì)方。首先是利用服務(wù)器的數(shù)字證書(shū)來(lái)驗(yàn)證商家的資格。

107．SSL保證瀏覽器／服務(wù)器會(huì)話(huà)中哪三大安全內(nèi)容及各使用了什么技術(shù)來(lái)達(dá)到目的? 機(jī)密性、完整性和認(rèn)證性。(1)SSL把客戶(hù)機(jī)和服務(wù)器之間的所有通信都進(jìn)行加密和解密，保證了機(jī)密性。(2)SSL提供完整性檢驗(yàn)，可防止數(shù)據(jù)在通信過(guò)程中被改動(dòng)。(3)SSL提供認(rèn)證性——使用數(shù)字證書(shū)——用以正確識(shí)別對(duì)方。108．SSL協(xié)議體系結(jié)構(gòu)是由幾層協(xié)議組成的?共有幾個(gè)協(xié)議? SSL是由兩層協(xié)議組成的。SSL協(xié)議體系結(jié)構(gòu)如下：SSL協(xié)議共有4個(gè)協(xié)議組成，它們是SSL記錄協(xié)議，SSL更改密碼規(guī)格協(xié)議，SSL警告協(xié)議，SSL握手協(xié)議。SSL記錄協(xié)議，定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式，SSL更改密碼規(guī)格協(xié)議由單個(gè)消息組成，只有一個(gè)值為1的單字節(jié)。SSL握手(Handshake)協(xié)議用于客戶(hù)/服務(wù)器之間相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書(shū)，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話(huà)密鑰。109.簡(jiǎn)述SET購(gòu)物過(guò)程。(1)持卡人訂貨(2)通過(guò)電子商務(wù)服務(wù)器與有關(guān)在線(xiàn)商店聯(lián)系

(3)持卡人選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令(4)商店B通過(guò)收單銀行檢查信用卡的有效性

(5)收單銀行的確認(rèn)(6)在線(xiàn)商店發(fā)送訂單確認(rèn)信息給持卡人，持卡人端的軟件可以記錄交易日志，以備將來(lái)查詢(xún)。(7)結(jié)賬。110．SET安全協(xié)議要達(dá)到的目標(biāo)有哪五個(gè)?(1)信息的安全傳輸(2)信息的相互隔離

(3)多方認(rèn)證的解決(4)交易的實(shí)時(shí)性(5)效仿EDI貿(mào)易形式，規(guī)范協(xié)議和消息格式 111．參與信用卡安全SET交易的成員除了持卡人和網(wǎng)上商店以外，還有哪些成員?(1)持卡人——消費(fèi)者(2)網(wǎng)上商店(3)收單銀行

(4)發(fā)卡銀行——電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行(5)認(rèn)證中心CA--可信賴(lài)、公正的組織(6)支付網(wǎng)關(guān)——付款轉(zhuǎn)接站 112．支付網(wǎng)關(guān)的作用是什么? 支付網(wǎng)關(guān)——付款轉(zhuǎn)接站：接收由商店端送來(lái)的付款信息，并轉(zhuǎn)換到銀行網(wǎng)絡(luò)做處理的組織。

113．SET系統(tǒng)的運(yùn)作是通過(guò)哪四個(gè)軟件組件來(lái)完成的?電子錢(qián)包、商店服務(wù)器、支付網(wǎng)關(guān)和認(rèn)證中心軟件

114．簡(jiǎn)單描述一下SET認(rèn)證中心的管理結(jié)構(gòu)層次？最高層的管理單位是RCA--Root CA(根CA)，下一層是各信用卡公司的認(rèn)證單位BCA--BrandCA(分支CA)?；鶎覥A是：①辦理持卡人數(shù)字證書(shū)CA(為持卡人辦理數(shù)字證書(shū))；②辦理商店數(shù)字證書(shū)CA(為商店辦理數(shù)字證書(shū))；③辦理支付網(wǎng)關(guān)數(shù)字證書(shū)CA(為支付網(wǎng)關(guān)辦理數(shù)字證書(shū))。

115.基于SET協(xié)議的電子商務(wù)的業(yè)務(wù)過(guò)程有哪些。1注冊(cè)登記2動(dòng)態(tài)認(rèn)證3商業(yè)機(jī)構(gòu)處理

116．每個(gè)在認(rèn)證中心進(jìn)行了注冊(cè)登記的用戶(hù)都會(huì)得到雙鑰密碼體制的一對(duì)密鑰，這對(duì)密鑰有些什么用處?(1)對(duì)持卡人購(gòu)買(mǎi)者的作用是：①用私鑰解密回函；②用商家公鑰填發(fā)訂單；⑧用銀行公鑰填發(fā)付款單和數(shù)字簽名等。(2)對(duì)銀行的作用是：①用私鑰解密付款及金融數(shù)據(jù)：②用商家公鑰加密購(gòu)買(mǎi)者付款通知。(3)對(duì)商家供應(yīng)商的作用是：①用私鑰解密訂單和付款通知；②用購(gòu)買(mǎi)者公鑰發(fā)出付款通知和代理銀行公鑰。117．SET的主要安全保障來(lái)自哪三個(gè)方面?(1)將所有消息文本用雙鑰密碼體制加密；

(2)將上述密鑰的公鑰和私鑰的字長(zhǎng)增加到512B-2048B；(3)采用聯(lián)機(jī)動(dòng)態(tài)的授權(quán)和認(rèn)證檢查，以確保交易過(guò)程的安全可靠。118．電子錢(qián)包的功能是什么? ①電子證書(shū)的管理②進(jìn)行交易③保存交易記錄

119．SET與SSL試述它們的異同？SSL與SET的比較：在使用目的和場(chǎng)合上，SET主要用于信用卡交易，傳送電子現(xiàn)金，SSL主要用于購(gòu)買(mǎi)信息的交流，傳送電子商貿(mào)信息；在安全性方面，SET要求很高：整個(gè)交易過(guò)程中(持卡人到商家端、商家到支付網(wǎng)關(guān)、到銀行網(wǎng)絡(luò))都要保護(hù)，所有參與者與SET交易的成員(持卡人、商家、支付網(wǎng)關(guān)等)都必須先申請(qǐng)數(shù)字證書(shū)來(lái)識(shí)別身份，SSL要求很低，因?yàn)楸Ｗo(hù)范圍只是持卡人到商家一端的信息交換，通常只是商家一端的服務(wù)器，而客戶(hù)端認(rèn)證是可選的，在實(shí)施設(shè)置方面，SET要求持卡人必須先申請(qǐng)數(shù)字證書(shū)，然后在計(jì)算機(jī)上安裝符合SET規(guī)格的電子錢(qián)包軟件：而SSL不需要另外安裝軟件。120．CFCA體系結(jié)構(gòu)。

總體為三層CA結(jié)構(gòu)，第一層為根CA；第二層為政策CA；第三層為運(yùn)營(yíng)CA，CA系統(tǒng)：承擔(dān)證書(shū)簽發(fā)、審批、廢止、查詢(xún)、數(shù)字簽名、證書(shū)／黑名單發(fā)布、密鑰恢復(fù)與管理、證書(shū)認(rèn)定和政策制定，CA系統(tǒng)設(shè)在CFCA本部，不直接面對(duì)用戶(hù)。

RA系統(tǒng)：直接面向用戶(hù)，負(fù)責(zé)用戶(hù)身份申請(qǐng)審核，并向CA申請(qǐng)為用戶(hù)轉(zhuǎn)發(fā)證書(shū)；

121。CTCA的組成及功能？采用分級(jí)結(jié)構(gòu)管理，形成覆蓋全國(guó)的CA證書(shū)申請(qǐng)、發(fā)放、管理的完整體系，可以為全國(guó)的用戶(hù)提供CTCA證書(shū)服務(wù)，使各類(lèi)電子商務(wù)用戶(hù)可以放心步人電子商務(wù)時(shí)代，享受電子商務(wù)為其帶來(lái)的豐厚回報(bào)和巨大便利。中國(guó)電信電子商務(wù)CA認(rèn)證系統(tǒng)由全國(guó)CA中心、省RA中心系統(tǒng)、地市級(jí)業(yè)務(wù)受理點(diǎn)組成。

122.SHECA證書(shū)的特點(diǎn)和類(lèi)型。

SHECA的安全電子商務(wù)解決方案既擁有與國(guó)際接軌的、符合SET協(xié)議的SET證書(shū)系統(tǒng)，又擁有結(jié)合國(guó)內(nèi)特點(diǎn)自行設(shè)計(jì)開(kāi)發(fā)的通用證書(shū)系統(tǒng)。SHECA提供的數(shù)字證書(shū)按業(yè)務(wù)類(lèi)型可分為SET證書(shū)和Universal證書(shū)及特殊證書(shū)。

數(shù)字證書(shū)根據(jù)應(yīng)用對(duì)象可將其分為個(gè)人用戶(hù)證書(shū)、企業(yè)用戶(hù)證書(shū)、服務(wù)器證書(shū)及代碼證書(shū)。123．CFCA證書(shū)的典型應(yīng)用。

(1)網(wǎng)上銀行(2)網(wǎng)上證券(3)網(wǎng)上申報(bào)繳稅

(4)網(wǎng)上企業(yè)購(gòu)銷(xiāo)(5)安全移動(dòng)商務(wù)(WAP／短信息)：(6)企業(yè)級(jí)VPN部署(7)基于數(shù)字簽名的安全E-mail、安全文檔管理系統(tǒng)(8)基于數(shù)字簽名的TmePass系統(tǒng)(9)CFCA時(shí)間戳服務(wù)。

124.CTCA數(shù)字證書(shū)業(yè)務(wù)。(1)安全電子郵件證書(shū)(2)個(gè)人數(shù)字證書(shū)(3)企業(yè)數(shù)字證書(shū)。(4)服務(wù)器證書(shū)（5）SSL服務(wù)器證書(shū)

125.試論述數(shù)據(jù)加密的方法：1使用加密軟件加密數(shù)據(jù)2使用專(zhuān)用軟件加密數(shù)據(jù)庫(kù)數(shù)據(jù)3加密橋技術(shù)（+上加密橋技術(shù)的優(yōu)點(diǎn)）126.數(shù)據(jù)加密的必要：侵入盜竊數(shù)據(jù)、篡改

電子商務(wù)：建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，利用電子技術(shù)加強(qiáng)、加快、擴(kuò)展、增強(qiáng)、改變了其有關(guān)過(guò)程的商務(wù)。EDI：電子數(shù)據(jù)交換.實(shí)現(xiàn)BtoB方式交易。BtoB：企業(yè)機(jī)構(gòu)間的電子商務(wù)活動(dòng)。

BtoC：企業(yè)機(jī)構(gòu)和消費(fèi)者之間的電于商務(wù)活動(dòng)。NCSC：美國(guó)國(guó)家計(jì)算機(jī)安全中心

Intrmlet：是指基于TCP／IP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò).Extranet：是指基于TCP／IP協(xié)議的企業(yè)外域網(wǎng)

商務(wù)數(shù)據(jù)的機(jī)密性：是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過(guò)程中不被他人竊取、不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密偽裝后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。

郵件炸彈：是攻擊者向同一個(gè)郵件信箱發(fā)送大量的(成千上萬(wàn)個(gè))垃圾郵件，以堵塞該郵箱。

TCP劫持入侵：是對(duì)服務(wù)器的最大威脅之一，其基本思想是控制一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開(kāi)，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶(hù)端。

主動(dòng)攻擊：是攻擊者直接介入Intemet中的信息流動(dòng)，攻擊后，被攻擊的通信雙方可以發(fā)現(xiàn)攻擊的存在。

被動(dòng)攻擊：是攻擊者不直接介入Intemet中的信息流動(dòng)，只是竊聽(tīng)其中的信息。被動(dòng)攻擊后，被攻擊的通信雙方往往無(wú)法發(fā)現(xiàn)攻擊的存在。HTFP協(xié)議的“無(wú)記憶狀態(tài)”：即服務(wù)器在發(fā)送給客戶(hù)機(jī)的應(yīng)答后便遺忘了此次交互。Telnet等協(xié)議是“有記憶狀態(tài)”的，它們需記住許多關(guān)于協(xié)議雙方的信息、請(qǐng)求與應(yīng)答。明文：原始的、未被偽裝的消息稱(chēng)做明文，也稱(chēng)信源。通常用M 密文：通過(guò)一個(gè)密鑰和加密算法將明文變換成的一種偽裝信息，稱(chēng)為密文。通常用C表示?！?/p>

加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過(guò)程。通常用E表示。解密：由密文恢復(fù)成明文的過(guò)程，稱(chēng)為解密。通常用D表示。

加密算法：對(duì)明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱(chēng)做加密算法。

解密算法：消息傳送給接收者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱(chēng)做解密算法。

密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱(chēng)作加密密鑰和解密密鑰。通常用K表示。主密鑰：多層次密鑰系統(tǒng)中，最高層的密鑰也叫作主密鑰。

無(wú)條件安全：若它對(duì)于擁有無(wú)限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是五條件安全的。

計(jì)算上安全：如若一個(gè)密碼體制對(duì)于擁有有限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。

多字母加密：是使用密鑰進(jìn)行加密。密鑰是一組信息(一串字符)。同一個(gè)明文經(jīng)過(guò)不同的密鑰加密后，其密文也會(huì)不同。單鑰密碼體制：是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體制。

雙鑰密碼體制又稱(chēng)作公共密鑰體制或非對(duì)稱(chēng)加密體制，這種加密法在加密和解密過(guò)程中要使用一對(duì)(兩個(gè))密鑰，一個(gè)用與加密，另一個(gè)用于解密。即通過(guò)一個(gè)密鑰

數(shù)據(jù)的完整性：是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”

數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時(shí)，附加個(gè)人標(biāo)記，完成傳統(tǒng)上手書(shū)簽名蓋章的作用，以表示確認(rèn)、負(fù)責(zé)、經(jīng)手等。安全散列算法(SHA),輸入消息長(zhǎng)度小于264位，輸出壓縮值為160位，而后送給DSA計(jì)算此消息的簽名。

雙鑰密碼加密是一對(duì)匹配使用的密鑰。一個(gè)是公鑰，是公開(kāi)的，其他人可以得到；另一個(gè)是私鑰，為個(gè)人所有。這對(duì)密鑰經(jīng)常一個(gè)用來(lái)加密，一個(gè)用來(lái)解密。

RSA簽名體制是利用雙鑰密碼體制的RSA加密算法實(shí)現(xiàn)數(shù)字簽名。

數(shù)字信封:發(fā)送方用一個(gè)隨機(jī)產(chǎn)生的DES密鑰加密消息，然后用接收方的公鑰加密DES密鑰，稱(chēng)為消息的“數(shù)字信封”

混合加密系統(tǒng):綜合利用消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別和不可否認(rèn)。成為目前信息安全傳送的標(biāo)準(zhǔn)模式，一般把它叫作“混合加密系統(tǒng)”

數(shù)字時(shí)間戳應(yīng)當(dāng)保證：1數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒體無(wú)關(guān)(2對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng)(3要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同時(shí)間戳是不可能的。無(wú)可爭(zhēng)辯簽名是在沒(méi)有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。消息認(rèn)證：使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過(guò)。

確定性數(shù)字簽名：其明文與密文一一對(duì)應(yīng)，它對(duì)一特定消息的簽名不變化，如RSA，Rabin等簽名。隨機(jī)式(概率式)數(shù)字簽名：根據(jù)簽名算法中的隨機(jī)參數(shù)值，對(duì)同一消息的簽名也有對(duì)應(yīng)的變化。

盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時(shí)需要某人對(duì)一個(gè)文件簽名，但又不讓他知道文件內(nèi)容，稱(chēng)為盲簽名。

完全盲簽名：完全盲簽名就是當(dāng)前對(duì)所簽署的文件內(nèi)容不關(guān)心、不知道，只是以后需要時(shí)，可以作證進(jìn)行仲裁。雙聯(lián)簽名：在一次電子商務(wù)活動(dòng)過(guò)程中可能同時(shí)有兩個(gè)有聯(lián)系的消息M：和M：，要對(duì)它們同時(shí)進(jìn)行數(shù)字簽名。備份：是恢復(fù)出錯(cuò)系統(tǒng)的辦法之一，可以用備份系統(tǒng)將最近的一次系統(tǒng)備份恢復(fù)到機(jī)器上去。歸檔：指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長(zhǎng)期保存的過(guò)程。

計(jì)算機(jī)病毒：指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能的程序，或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。鏡像技術(shù)：是數(shù)據(jù)備份技術(shù)的一種，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像，遠(yuǎn)程鏡像磁盤(pán)等。

網(wǎng)絡(luò)物理安全：指物理設(shè)備可靠、穩(wěn)定運(yùn)行環(huán)境、容錯(cuò)、備份、歸檔和數(shù)據(jù)完整性預(yù)防。

奇偶校驗(yàn)：是服務(wù)器的一個(gè)特性。它提供一種機(jī)器機(jī)制來(lái)保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)引起由于服務(wù)器出錯(cuò)而造成數(shù)據(jù)完整性的喪失。引導(dǎo)型病毒：是指寄生在磁盤(pán)引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。

文件型病毒：是指能夠寄生在文件中的計(jì)算機(jī)病毒。這類(lèi)病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件?！?/p>

良性病毒：是指那些只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會(huì)大量占用CPU時(shí)間，增加系統(tǒng)開(kāi)銷(xiāo)，降低系統(tǒng)工作效率的一類(lèi)計(jì)算機(jī)病毒。惡性病毒：是指那些一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類(lèi)計(jì)算機(jī)病毒。UPS的作用：是防止突然停電造成網(wǎng)絡(luò)通訊中斷。局域網(wǎng)：指一定區(qū)域范圍內(nèi)的網(wǎng)絡(luò)。DMZ(非軍事化區(qū))：指一個(gè)單獨(dú)的網(wǎng)段。

VPN(虛擬專(zhuān)用網(wǎng))：指通過(guò)一個(gè)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全連接。IPSec是一系列保護(hù)IP通信的規(guī)則的集合。IntranetVPN：即企業(yè)的總部與分支機(jī)構(gòu)問(wèn)通過(guò)公網(wǎng)構(gòu)筑的虛擬網(wǎng)。

AccessVPN：又稱(chēng)為撥號(hào)VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。ExtranetVPN：即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。

接入控制：接入或訪(fǎng)問(wèn)控制是保證網(wǎng)絡(luò)安全的重要手段，它通過(guò)一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪(fǎng)問(wèn)，在對(duì)主體認(rèn)證以后實(shí)施網(wǎng)絡(luò)資源安全管理使用。自主接入控制：簡(jiǎn)記為DAC強(qiáng)制式接入控制：MAC 加密橋技術(shù)：一種在加/解密卡的基礎(chǔ)上開(kāi)發(fā)加密橋的技術(shù)可以實(shí)現(xiàn)在不存在降低加密安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫(kù)加密字段的存儲(chǔ)、檢索、索引、運(yùn)算、刪除、修改等功能的實(shí)現(xiàn)提供接口

接人權(quán)限：表示主體對(duì)客體訪(fǎng)問(wèn)時(shí)可擁有的權(quán)利。拒絕率或虛報(bào)率：（1型錯(cuò)誤率）是指身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶(hù)遭拒絕的概率。漏報(bào)率：（||型錯(cuò)誤率）指非法用戶(hù)偽造身份成功的概率。

Kerberos:是一種典型的用于客戶(hù)機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議。

域內(nèi)/間認(rèn)證：是指Client 向本Kerberos的認(rèn)證域以?xún)?nèi)/外的Server申請(qǐng)服務(wù)的過(guò)程。數(shù)字認(rèn)證：是指用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。公鑰證書(shū)：它將公開(kāi)密鑰與特定的人、器件或其他實(shí)體聯(lián)系起來(lái)。公鑰證書(shū)是由 證書(shū)機(jī)構(gòu)簽署的，其中包含有持證者的確切身份。

公鑰數(shù)字證書(shū)：網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書(shū)上所 記錄的使用者。

單公鑰證書(shū)系統(tǒng)：一個(gè)系統(tǒng)中所有的用戶(hù)公用同一個(gè)cA。多公鑰證書(shū)系統(tǒng)：用于不同證書(shū)的用戶(hù)的互相認(rèn)證。客戶(hù)證書(shū)：證實(shí)客戶(hù)身份和密鑰所有權(quán)。服務(wù)器證書(shū)：證實(shí)服務(wù)器的身份和公鑰。

安全郵件證書(shū)：證實(shí)電子郵件用戶(hù)的身份和公鑰。CA證書(shū)：證實(shí)CA身份和CA的簽名密鑰。

證書(shū)機(jī)構(gòu)cA用于創(chuàng)建和發(fā)布證書(shū)，它通常為一個(gè)稱(chēng)為安全域的有限群體發(fā)放證書(shū)。安全服務(wù)器：面向普通用戶(hù)，用于提供證書(shū)申請(qǐng)、瀏覽、證書(shū)吊銷(xiāo)表以及證書(shū)下 載等安全服務(wù)。

CA服務(wù)器：是整個(gè)證書(shū)機(jī)構(gòu)的核心，負(fù)責(zé)證書(shū)的簽發(fā)。

LDAP服務(wù)器：提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳輸過(guò)來(lái)的用戶(hù)信息 以及數(shù)字證書(shū)加入到服務(wù)器上。

數(shù)據(jù)庫(kù)服務(wù)器：是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)(如密鑰和用戶(hù)信 息等)、日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。公鑰用戶(hù)需要知道公鑰的實(shí)體為公鑰用戶(hù)。

證書(shū)更新當(dāng)證書(shū)持有者的證書(shū)過(guò)期，證書(shū)被竊取、受到攻擊時(shí)通過(guò)更新證書(shū)的方法，使其用新的證書(shū)繼續(xù)參與網(wǎng)上認(rèn)證。證書(shū)的更新包括證書(shū)的更換和證書(shū)的延期兩種情況。

PKI：公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。證書(shū)使用規(guī)定：綜合描述了CA對(duì)證書(shū)政策的各項(xiàng)要求的實(shí)現(xiàn)方法。

認(rèn)證服務(wù)：身份識(shí)別與鑒別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體，鑒別身份的真?zhèn)巍?/p>

遞送的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或兩者皆有的分歧，目的是保護(hù)發(fā)信人。

提交的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定參與者傳送或提交了一個(gè)特定數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、或兩種情況的分歧。提交的不可否認(rèn)性用于保護(hù)發(fā)信人。

虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)：是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專(zhuān)用數(shù)據(jù)通信網(wǎng)絡(luò)．利用網(wǎng)絡(luò)層安全協(xié)議(尤其是1PSec)和建立在PKI上的加密與簽名技術(shù)來(lái)獲得機(jī)密性保護(hù)。

單位注冊(cè)機(jī)構(gòu)：幫助遠(yuǎn)離CA的端實(shí)體在CA處注冊(cè)并獲得證書(shū)。

SSL協(xié)議：SSL是基于TCP／IP的安全套接層協(xié)議，由Netscape開(kāi)發(fā)，是服務(wù)器與客戶(hù)機(jī)之間安全通信的加密機(jī)制，用一個(gè)密鑰加密在SSL連接 上傳輸?shù)臄?shù)據(jù)。

TLS協(xié)議：傳輸層安全協(xié)議，是在傳輸層對(duì)IETF安全協(xié)議的標(biāo)準(zhǔn)化，制定的目的是為了在因特網(wǎng)上有一種統(tǒng)一的SSL標(biāo)準(zhǔn)版本。目前的TLS標(biāo)準(zhǔn)協(xié)議，由TLS記錄協(xié)議和TLS握手協(xié)議組成。

SET：安全數(shù)據(jù)交換協(xié)議

電子錢(qián)包：是安裝在客戶(hù)端(消費(fèi)者)計(jì)算機(jī)上，并符合SET規(guī)格的軟件，電子錢(qián)包處理客戶(hù)端的所有SET信息。

支付網(wǎng)關(guān)：是Internet電子商務(wù)網(wǎng)絡(luò)上的一個(gè)站點(diǎn)，負(fù)責(zé)接收來(lái)自商店服務(wù)器送來(lái)的SET付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收單銀行處理。它是一個(gè)SET付款信息與現(xiàn)有銀行網(wǎng)絡(luò)的轉(zhuǎn)接處，是必不可少的機(jī)構(gòu)。

SSL記錄協(xié)議：定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式，如圖所示。其中，MAC是一個(gè)定長(zhǎng)數(shù)據(jù)，用于信息的完整性；信息內(nèi)容是網(wǎng)絡(luò)的上一層——應(yīng)用層傳來(lái)的數(shù)據(jù)，SSL握手(Handshake)協(xié)議：用于客戶(hù)／B&務(wù)器之間相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書(shū)，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話(huà)密鑰。持卡人：持信用卡購(gòu)買(mǎi)商品的人，包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照網(wǎng)上商店的表單填寫(xiě)，通過(guò)由發(fā)卡銀行發(fā)行的信用卡進(jìn)行付費(fèi)。網(wǎng)上商店：在網(wǎng)上的符合SET規(guī)格的電子商店，提供商品或服務(wù)，它必須是具備相應(yīng)電子貨幣使用的條件，從事商業(yè)交易的公司組織。收單銀行：通過(guò)支付網(wǎng)關(guān)處理持卡人和商店之間的交易付款問(wèn)題事務(wù)。發(fā)卡銀行：電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行。認(rèn)證中心CA：可信賴(lài)、公正的認(rèn)證組織。

HTYPS協(xié)議：是使用SSL的HTFP，目的是在SSL連接上安全地傳送單個(gè)消息。商店服務(wù)器：是商店提供SET服務(wù)的軟件。

中國(guó)金融認(rèn)證中心(CFCA)上海市電子商務(wù)安全證書(shū)管理中心(簡(jiǎn)稱(chēng)SHECA)CFCA的體系結(jié)構(gòu)：總體為三層CA結(jié)構(gòu)，第一層為根CA；第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍；第三層為運(yùn)營(yíng)CA，根據(jù)證 書(shū)運(yùn)作規(guī)范(CPS)發(fā)放證書(shū)。運(yùn)營(yíng)CA由CA系統(tǒng)和證書(shū)注冊(cè)審批機(jī)構(gòu)(RA)兩大部分組成。

PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施，是創(chuàng)建、頒發(fā)、管理、注銷(xiāo)公鑰證書(shū)所涉及到的所有軟件、硬件的集合體。其核心元素是數(shù)字證書(shū)，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。

網(wǎng)上銀行業(yè)務(wù)是指商業(yè)銀行將其傳統(tǒng)的柜臺(tái)業(yè)務(wù)拓展到Internet上，用戶(hù)訪(fǎng)問(wèn)其WebServer進(jìn)行在線(xiàn)的實(shí)現(xiàn)查詢(xún)、轉(zhuǎn)帳、匯款、開(kāi)戶(hù)等業(yè)務(wù)。網(wǎng)上證券交易可分為網(wǎng)上炒股和網(wǎng)上銀證轉(zhuǎn)賬，網(wǎng)上炒股是股民和證券公司之間

發(fā)生的兩方交易。網(wǎng)上銀證轉(zhuǎn)賬是指股民通過(guò)Intemet將資金在銀行股民賬戶(hù)和證券公司 賬戶(hù)之間劃人或劃出，是涉及到股民、證券公司、銀行的三方交易。

第三篇：自考電子商務(wù)安全導(dǎo)論答案2013年10月

絕密★考試結(jié)束前

全國(guó)2013年10月高等教育自學(xué)考試

電子商務(wù)安全導(dǎo)論試題

課程代碼：00997

請(qǐng)考生按規(guī)定用筆將所有試題的答案涂、寫(xiě)在答題紙上。

選擇題部分

注意事項(xiàng)：

1．答題前，考生務(wù)必將自己的考試課程名稱(chēng)、姓名、準(zhǔn)考證號(hào)用黑色字跡的簽字筆或鋼筆填寫(xiě)在答題紙規(guī)定的位置上。

2．每小題選出答案后，用2B鉛筆把答題紙上對(duì)應(yīng)題目的答案標(biāo)號(hào)涂黑。如需改動(dòng)，用橡皮擦干凈后，再選涂其他答案標(biāo)號(hào)。不能答在試題卷上。

一、單項(xiàng)選擇題（本大題共20小題，每小題1分，共20分）

在每小題列出的四個(gè)備選項(xiàng)中只有一個(gè)是符合題目要求的，請(qǐng)將其選出并將“答題紙”的相應(yīng)代碼涂黑。錯(cuò)涂、多涂或未涂均無(wú)分。

1．病毒按破壞性劃分可以分為

A．良性病毒和惡性病毒

C．文件型病毒和引導(dǎo)型病毒 B．引導(dǎo)型病毒和復(fù)合型病毒 D．復(fù)合型病毒和文件病毒

2．在進(jìn)行身份證明時(shí)，用個(gè)人特征識(shí)別的方法是

A．指紋

C．身份證 B．密碼 D．密鑰

3．下列選項(xiàng)中，屬于電子郵件的安全問(wèn)題的是

A．傳輸?shù)藉e(cuò)誤地址

C．傳輸丟失

4．RC-5加密算法中的可變參數(shù)不包括 ．．．

A．校驗(yàn)位

C．密鑰長(zhǎng)

5．一個(gè)明文可能有多個(gè)數(shù)字簽名的算法是

A．RSA

C．Rabin B．DES D．ELGamal B．分組長(zhǎng) D．迭代輪數(shù) B．傳輸錯(cuò)誤 D．網(wǎng)上傳送時(shí)隨時(shí)可能被人竊取到

6．?dāng)?shù)字信封技術(shù)中，加密消息密鑰形成信封的加密方法是

A．對(duì)稱(chēng)加密

C．對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密

7．防火墻的組成中不包括的是 ．．．

A．安全操作系統(tǒng)

C．網(wǎng)絡(luò)管理員 B．域名服務(wù) D．網(wǎng)關(guān) B．非對(duì)稱(chēng)加密 D．對(duì)稱(chēng)加密或非對(duì)稱(chēng)加密

8．下列選項(xiàng)中，屬于加密橋技術(shù)的優(yōu)點(diǎn)的是

A．加密橋與DBMS是不可分離的C．加密橋與一般數(shù)據(jù)文件是不可分離的9．在不可否認(rèn)業(yè)務(wù)中保護(hù)收信人的是

A．源的不可否認(rèn)性

C．遞送的不可否認(rèn)性 B．加密橋與DBMS是分離的 D．加密橋與數(shù)據(jù)庫(kù)無(wú)關(guān) B．提交的不可否認(rèn)性 D．A和B

10．為了在因特網(wǎng)上有一種統(tǒng)一的SSL標(biāo)準(zhǔn)版本，IETF標(biāo)準(zhǔn)化的傳輸層協(xié)議是

A．SSL

C．SET B．TLS D．PKI

11．能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專(zhuān)業(yè)信任服務(wù)機(jī)構(gòu)是

A．CFCA

C．SHECA B．CTCA D．PKI

12．下列選項(xiàng)中，屬于中國(guó)電信CA安全認(rèn)證系統(tǒng)結(jié)構(gòu)的是

A．地市級(jí)CA中心

C．省CA中心 B．地市級(jí)RA中心系統(tǒng) D．省RA中心系統(tǒng)

13．美國(guó)的橘黃皮書(shū)中為計(jì)算機(jī)安全的不同級(jí)別制定了D，Cl，C2，Bl，B2，B3，A標(biāo)準(zhǔn)，其中稱(chēng)為結(jié)構(gòu)化防護(hù)的級(jí)別是

A．B1級(jí)

C．B2級(jí) B．Cl級(jí) D．C2級(jí)

14．下列選項(xiàng)中，屬于提高數(shù)據(jù)完整性的預(yù)防性措施的是

A．加權(quán)平均

C．身份認(rèn)證

15．一系列保護(hù)IP通信的規(guī)則的集合稱(chēng)為

A．VPN

C．DMZ B．IPSec D．VPN Intranet B．信息認(rèn)證 D．奇偶校驗(yàn)

16．由系統(tǒng)管理員來(lái)分配接入權(quán)限和實(shí)施控制的接入控制方式是

A．PKI

C．MAC B．DAC D．VPN

17．在Kerberos認(rèn)證中，把對(duì)Client向本Kerberos的認(rèn)證域以外的Server申請(qǐng)服務(wù)稱(chēng)為

A．域內(nèi)認(rèn)證

C．域間認(rèn)證

18．下列關(guān)于數(shù)字證書(shū)的說(shuō)法中不正確的是 ．．．

A．在各種不同用途的數(shù)字證書(shū)類(lèi)型中最重要的是私鑰證書(shū)，它將公開(kāi)密鑰與特定的人聯(lián)系起來(lái)

B．公鑰證書(shū)是由證書(shū)機(jī)構(gòu)簽署的，其中包含有持證者的確切身份

C．?dāng)?shù)字證書(shū)由發(fā)證機(jī)構(gòu)（認(rèn)證授權(quán)中心CA）發(fā)行

D．公鑰證書(shū)是將公鑰體制用于大規(guī)模電子商務(wù)安全的基本要素

19．認(rèn)證機(jī)構(gòu)最核心的組成部分是

A．安全服務(wù)器

C．?dāng)?shù)據(jù)庫(kù)服務(wù)器 B．CA服務(wù)器 D．LDAP服務(wù)器

B．域外認(rèn)證 D．企業(yè)認(rèn)證

20．PKI中支持的公證服務(wù)是指

A．身份認(rèn)證

C．?dāng)?shù)據(jù)認(rèn)證 B．行為認(rèn)證 D．技術(shù)認(rèn)性

二、多項(xiàng)選擇題（本大題共5小題，每小題2分，共10分）

在每小題列出的五個(gè)備選項(xiàng)中至少有兩個(gè)是符合題目要求的，請(qǐng)將其選出并將“答題紙”的相應(yīng)代碼涂黑。錯(cuò)涂、多涂、少涂或未涂均無(wú)分。

21．下列屬于B-C電子商務(wù)模式的網(wǎng)站有

A．凡客誠(chéng)品

C．京東商城

E．阿里巴巴

22．下列選項(xiàng)中，屬于數(shù)據(jù)完整性被破壞后會(huì)帶來(lái)的嚴(yán)重后果的有

A．造成直接的經(jīng)濟(jì)損失

C．可能造成過(guò)不了“關(guān)”

E．造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任

23．接入控制機(jī)構(gòu)的建立主要根據(jù)的信息有

A．主體

C．接入權(quán)限

E．違法者

24．SET系統(tǒng)的運(yùn)作是通過(guò)軟件組件來(lái)完成的，這些軟件包括

A．電子錢(qián)包

C．支付網(wǎng)關(guān)

E．RA中心

25．中國(guó)電信CA安全認(rèn)證系統(tǒng)提供的證書(shū)有

A．安全電子郵件證書(shū)

C．企業(yè)數(shù)字證書(shū)

E．SSL服務(wù)器證書(shū)B(niǎo)．網(wǎng)上銀行證書(shū)D．服務(wù)器證書(shū)B(niǎo)．商店服務(wù)器D．認(rèn)證中心B．客體D．偽裝者B．影響一個(gè)供應(yīng)鏈上許多廠商的經(jīng)濟(jì)活動(dòng)D．會(huì)牽涉到經(jīng)濟(jì)案件中B．一號(hào)店 D．當(dāng)當(dāng)

非選擇題部分

注意事項(xiàng)：

用黑色字跡的簽字筆或鋼筆將答案寫(xiě)在答題紙上，不能答在試題卷上。

三、填空題（本大題共5小題，每空1分，共10分）

26．?dāng)?shù)字時(shí)戳應(yīng)當(dāng)保證數(shù)據(jù)文件加蓋的__時(shí)戳____與___存儲(chǔ)數(shù)據(jù)___的物理媒體無(wú)關(guān)。

27．病毒程序可通過(guò)__自我復(fù)制____迅速傳播。判斷一段程序是否為計(jì)算機(jī)病毒的依據(jù)是計(jì)算機(jī)病毒的___傳染性___。

28．選擇VPN解決方案時(shí)需要考慮的要點(diǎn)是____認(rèn)證方法__、_____支持的加密算法_______支持的認(rèn)證算法、支持的IP壓縮算法、易于部署和兼容分布式或個(gè)人防火墻的可用性。

29．?dāng)?shù)據(jù)加密方法有___使用加密軟件加密數(shù)據(jù)___、__使用專(zhuān)用軟件加密數(shù)據(jù)庫(kù)____和加密橋技術(shù)。

30．根據(jù)ITU-T Rec.X．509標(biāo)準(zhǔn)，公鑰證書(shū)包括___申請(qǐng)證書(shū)個(gè)人的___信息和__發(fā)行證書(shū)的CA____信息。

四、名詞解釋題（本大題共5小題，每小題3分，共15分）

31．訪(fǎng)問(wèn)控制性P13

32．安全郵件證書(shū)P112

33．鏡像技術(shù)P74

34．VPDNP89

35．SSL記錄協(xié)議P139

五、簡(jiǎn)答題（本大題共6小題，每小題5分，共30分）

36．防火墻不能防止哪些安全隱患？P82

37．簡(jiǎn)述實(shí)體認(rèn)證與消息認(rèn)證的主要差別。P99

38．簡(jiǎn)述發(fā)送方實(shí)現(xiàn)混合加密的過(guò)程。P69

39．簡(jiǎn)述CA系統(tǒng)中安全服務(wù)器與用戶(hù)的安全通信過(guò)程。P124

40．簡(jiǎn)述PKI的構(gòu)成體系。P128

41．SET的技術(shù)范圍包括哪些？P142

六、論述題（本大題共1小題，15分）

42．某一出版社要開(kāi)展網(wǎng)上銷(xiāo)售業(yè)務(wù)，請(qǐng)闡述它需要考慮的主要安全因素。

P21

第四篇：自考2014年4月電子商務(wù)安全導(dǎo)論答案

全國(guó)2014年4月高等教育自學(xué)考試

電子商務(wù)安全導(dǎo)論試題

課程代碼：00997

請(qǐng)考生按規(guī)定用筆將所有試題的答案涂、寫(xiě)在答題紙上。

選擇題部分

注意事項(xiàng)：

1．答題前，考生務(wù)必將自己的考試課程名稱(chēng)、姓名、準(zhǔn)考證號(hào)用黑色字跡的簽字筆或鋼筆填寫(xiě)在答題紙規(guī)定的位置上。

2．每小題選出答案后，用2B鉛筆把答題紙上對(duì)應(yīng)題目的答案標(biāo)號(hào)涂黑。如需改動(dòng)，用橡皮擦干凈后，再選涂其他答案標(biāo)號(hào)。不能答在試題卷上。

一、單項(xiàng)選擇題（本大題共20小題，每小題1分，共20分）

在每小題列出的四個(gè)備選項(xiàng)中只有一個(gè)是符合題目要求的，請(qǐng)將其選出并將“答題紙”的相應(yīng)代碼涂黑。錯(cuò)涂、多涂或未涂均無(wú)分。

1．美國(guó)的橘皮書(shū)中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)標(biāo)準(zhǔn)：A、B、C、D級(jí)，其中B級(jí)又分為B1、B2、B3三個(gè)子級(jí)，C級(jí)又分為C1、C2兩個(gè)子級(jí)。以下按照安全等級(jí)由低到高排列正確的是D

A.A、B1、B2、B3、C1、C2、D

B.A、B3、B2、B1、C2、Cl、D

C.D、Cl、C2、B1、B2、B3、A

D.D、C2、C1、B3、B2、Bl、A

2.在維護(hù)系統(tǒng)的安全措施中，保護(hù)數(shù)據(jù)不被未授權(quán)者建立的業(yè)務(wù)是

A.保密業(yè)務(wù)

C.數(shù)據(jù)完整性業(yè)務(wù) B.認(rèn)證業(yè)務(wù) D.不可否認(rèn)業(yè)務(wù)

3.Diffie與Hellman早期提出的密鑰交換體制的名稱(chēng)是

A.DES

C.RSA

4.以下加密體制中，屬于雙密鑰體制的是

A.RSA

C.AES

5.對(duì)不知道內(nèi)容的文件簽名稱(chēng)為

A.RSA簽名

C.盲簽名

6.MD5散列算法的分組長(zhǎng)度是

A.16比特

C.128比特 B.64比特 D.512比特 B.ELgamal簽名 D.雙聯(lián)簽名 B.IDEA D.DES B.EES D.Diffie-Hellman

7.按照《建筑與建筑群綜合布線(xiàn)系統(tǒng)工程設(shè)計(jì)規(guī)范》(CECS72：97)的要求，設(shè)備間室溫應(yīng)保持的溫度范圍是

C.0℃-25℃ D.25℃-50℃

8.通過(guò)公共網(wǎng)絡(luò)建立的臨時(shí)、安全的連接，被稱(chēng)為

A.EDI

C.VLN B.DSL D.VPN

9.檢查所有進(jìn)出防火墻的包標(biāo)頭內(nèi)容的控制方式是

A.包過(guò)濾型

C.應(yīng)用層網(wǎng)關(guān)型 B.包檢驗(yàn)型 D.代理型

10.在接入控制策略中，按主體執(zhí)行任務(wù)所知道的信息最小化的原則分配權(quán)力的策略是

A.最小權(quán)益策略

C.最小泄露策略

11.Microsoft Access數(shù)據(jù)庫(kù)的加密方法屬于

A.單鑰加密算法

C.加密橋技術(shù)

12.Kerberos域內(nèi)認(rèn)證過(guò)程的第一個(gè)階段是

A.客戶(hù)向AS申請(qǐng)得到注冊(cè)許可證

B.客戶(hù)向TGS申請(qǐng)得到注冊(cè)許可證

C.客戶(hù)向Server申請(qǐng)得到注冊(cè)許可證

D.客戶(hù)向Workstation申請(qǐng)得到注冊(cè)許可證

13.Kerberos域間認(rèn)證分為4個(gè)階段，其中第3階段是（～代表其它Kerberos的認(rèn)證域）

A.Client?AS

C.Client?TGS B.Client?TGS～ D.Client?Server～ B.雙鑰加密算法 D.使用專(zhuān)用軟件加密數(shù)據(jù) B.最大權(quán)益策略 D.多級(jí)安全策略

14.證明雙鑰體制中公鑰的所有者就是證書(shū)上所記錄的使用者的證書(shū)是

A.雙鑰證書(shū)

C.私鑰證書(shū)

15.通常將用于創(chuàng)建和發(fā)放證書(shū)的機(jī)構(gòu)稱(chēng)為

A.RA

C.SSL B.LDAP D.CA B.公鑰證書(shū) D.CA證書(shū)

16.在PKI的構(gòu)成中，負(fù)責(zé)制定整個(gè)體系結(jié)構(gòu)的安全政策的機(jī)構(gòu)是

A.CA

C.OPA B.PAA D.PMA

17.在Internet上建立秘密傳輸信息的信道，保障傳輸信息的機(jī)密性、完整性與認(rèn)證性的協(xié)議是

A.HTTP

C.SMTP B.FTP D.SSL

18.在SET協(xié)議中用來(lái)確保交易各方身份真實(shí)性的技術(shù)是

A.加密方式

C.數(shù)字化簽名與商家認(rèn)證

19.牽頭建立中國(guó)金融認(rèn)證中心的銀行是

B.數(shù)字化簽名 D.傳統(tǒng)的紙質(zhì)上手工簽名認(rèn)證

C.中國(guó)建設(shè)銀行 D.中國(guó)工商銀行

20.CFCA推出的一套保障網(wǎng)上信息安全傳遞的完整解決方案是

A.TruePass

C.Direct B.Entelligence D.LDAP

二、多項(xiàng)選擇題（本大題共5小題，每小題2分，共10分）

在每小題列出的五個(gè)備選項(xiàng)中至少有兩個(gè)是符合題目要求的，請(qǐng)將其選出并將“答題紙”的相應(yīng)代碼涂黑。錯(cuò)涂、多涂、少涂或未涂均無(wú)分。

21.計(jì)算機(jī)病毒的特征有

A.非授權(quán)可執(zhí)行

B.隱蔽性

C.潛伏性

D.不可觸發(fā)性

E.表現(xiàn)性

22.接入控制的功能有

A.阻止非法用戶(hù)進(jìn)入系統(tǒng)

B.強(qiáng)制接入

C.自主接入

D.允許合法用戶(hù)進(jìn)入系統(tǒng)

E.使合法人按其權(quán)限進(jìn)行各種信息活動(dòng)

23.Kerberos域內(nèi)認(rèn)證過(guò)程的第一階段的第一步中Client向AS傳遞的信息有

A.IDc

B.IDserver

C.IDTGS

D.時(shí)間戳a

E.ADclient

24.檢驗(yàn)證書(shū)有效必須滿(mǎn)足的條件有

A.證書(shū)沒(méi)有超過(guò)有效期

B.密鑰沒(méi)有被修改

C.證書(shū)沒(méi)有使用過(guò)

D.證書(shū)持有者合法

E.證書(shū)不在CA發(fā)行的無(wú)效證書(shū)清單中

25.SET安全協(xié)議要達(dá)到的主要的目標(biāo)是

A.結(jié)構(gòu)的簡(jiǎn)單性

B.信息的相互隔離

C.多方認(rèn)證的解決

D.交易的實(shí)時(shí)性

E.信息的安全傳遞

非選擇題部分

注意事項(xiàng)：

用黑色字跡的簽字筆或鋼筆將答案寫(xiě)在答題紙上，不能答在試題卷上。

三、填空題（本大題共5小題，每小題2分，共10分）

26.商務(wù)對(duì)象的認(rèn)證性是指網(wǎng)絡(luò)兩端的使用者在溝通之前相互確定對(duì)方的身份，保證身份的正確性，分辨參與者所聲稱(chēng)身份的真?zhèn)?，防止___偽裝___攻擊。認(rèn)證性用___數(shù)字簽名___和身份認(rèn)證技術(shù)實(shí)現(xiàn)。

27.DES加密算法中，每次取明文的連續(xù)___64___位數(shù)據(jù)，利用64位密鑰，經(jīng)過(guò)___16___輪循環(huán)加密運(yùn)算，將其變成64位的密文數(shù)據(jù)。

28.IPsec有兩種工作模式，___傳輸模式___為源到目的之間已存在的IP包提供安全性；___隧道模式___則把一個(gè)IP包放到一個(gè)新的IP包中，并以IPsec格式發(fā)往目的地。

29.關(guān)于公鑰證書(shū)的吊銷(xiāo)，___定期吊銷(xiāo)___方式有一定的延遲，__立即吊銷(xiāo)____可以避免此風(fēng)險(xiǎn)。

30.SSL依靠證書(shū)來(lái)檢驗(yàn)通信雙方的身份，在檢驗(yàn)證書(shū)時(shí)，___瀏覽器___和___服務(wù)器___都檢驗(yàn)證書(shū)，看它是否由它們所信任的CA發(fā)行。如果CA是可信任的，則證書(shū)被接受。

四、名詞解釋題（本大題共5小題，每小題3分，共15分）

31.系統(tǒng)穿透P10

32.良性病毒P76

良性病毒：只為表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，當(dāng)會(huì)大量占用CPU時(shí)間，增加系統(tǒng)開(kāi)銷(xiāo)降低系統(tǒng)工作效率的一類(lèi)計(jì)算機(jī)病毒（小球、157511591、救護(hù)車(chē)、揚(yáng)基、Dabi）

33.KerberosP103

Kerbcros:是一種典型的用于客戶(hù)機(jī)和服務(wù)器認(rèn)證體系協(xié)議是一種基于對(duì)稱(chēng)密碼體制的安全認(rèn)證服務(wù)系統(tǒng)。

34.單公鑰證書(shū)系統(tǒng)P110

單公鑰證書(shū)系統(tǒng)：一個(gè)系統(tǒng)中所有用戶(hù)共同一個(gè)CA.35.認(rèn)證服務(wù)P130

認(rèn)證服務(wù)：身份識(shí)別與鑒別。確認(rèn)實(shí)體即為自己所聲明的實(shí)體鑒別身份的真?zhèn)巍?/p>

五、簡(jiǎn)答題（本大題共6小題，每小題5分，共30分）

36.簡(jiǎn)述電子商務(wù)安全的六項(xiàng)中心內(nèi)容。P11

電子商務(wù)安全的六項(xiàng)中心內(nèi)容是什么？答（1）商務(wù)數(shù)據(jù)的機(jī)密性或稱(chēng)保密性（2）商務(wù)數(shù)據(jù)的完整性或稱(chēng)正確性

（3）商務(wù)對(duì)象的認(rèn)證性（4）商務(wù)服務(wù)的不可否認(rèn)性（5）商務(wù)服務(wù)的不可拒絕性或稱(chēng)可用性（6）訪(fǎng)問(wèn)的控制性

37.簡(jiǎn)述雙密鑰體制的特點(diǎn)。P47

38.簡(jiǎn)述RSA數(shù)字簽名體制的安全性。P67

39.簡(jiǎn)述按照VPN的部署模式，VPN可以分為哪三類(lèi)？P87

40.簡(jiǎn)述PKI作為安全基礎(chǔ)設(shè)施，為不同的用戶(hù)按不同的安全需求提供的安全服務(wù)包括哪 些？P130

41.簡(jiǎn)述在不可否認(rèn)業(yè)務(wù)中，源的不可否認(rèn)性可以提供證據(jù)解決哪些可能的糾紛？P134

六、論述題（本大題共1小題，15分）

42.詳述數(shù)字簽名的原理及其現(xiàn)實(shí)意義。P66

第五篇：《電子商務(wù)安全導(dǎo)論》讀書(shū)筆記8

《電子商務(wù)安全導(dǎo)論》讀書(shū)筆記8，目前防火墻的控制技術(shù)可分為：包過(guò)濾型，包檢驗(yàn)型以及應(yīng)用層網(wǎng)關(guān)型三種。7，防火墻不能解決的問(wèn)題有哪些？

答：（1）如果網(wǎng)絡(luò)管理員不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會(huì)知道防火墻是否受到攻擊。

（2）防火墻無(wú)法防范通過(guò)防火墻以外的其他途徑的攻擊。

（3）防火墻不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)帶來(lái)的威脅。

（4）防火墻也不能防止傳送已感染病毒的軟件或文件。

（5）防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

8，VPN提供哪些功能？

答：加密數(shù)據(jù)：以保證通過(guò)公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會(huì)泄露。

信息認(rèn)證和身份認(rèn)證：保證信息的完整性，合法性，并能鑒用戶(hù)的身份。

提供訪(fǎng)問(wèn)控制：不同的用戶(hù)有不同的訪(fǎng)問(wèn)權(quán)限。

9，簡(jiǎn)述隧道的基本組成。

答：一個(gè)隧道啟動(dòng)器，一個(gè)路由網(wǎng)絡(luò)，一個(gè)可選的隧道交換機(jī)，一個(gè)或多個(gè)隧道終結(jié)器。11，IPSec提供的安全服務(wù)包括：私有性（加密），真實(shí)性（驗(yàn)證發(fā)送者的身份），完整性（防數(shù)據(jù)篡改）和重傳保護(hù)（防止未經(jīng)授權(quán)的數(shù)據(jù)重新發(fā)送）等，并制定了密鑰管理的方法。12，選擇VPN（虛擬專(zhuān)用網(wǎng)）解決方案時(shí)需要考慮哪幾個(gè)要點(diǎn)？

答：（1）認(rèn)證方法；（2）支持的加密算法。（3）支持的認(rèn)證算法。（4）支持IP壓縮算法。

（5）易于部署。（6）兼容分布式或個(gè)人防火墻的可用性。

13，簡(jiǎn)述VPN的分類(lèi)。

答：按VPN的部署模式分，VPN的部署模式從本質(zhì)上描述了VPN的通道是如何建立和終止的，一般有三種VPN部署模式：端到端模式；供應(yīng)商到企業(yè)模式；內(nèi)部供應(yīng)商模式。按VPN的服務(wù)類(lèi)型分，VPN業(yè)務(wù)大致可分為三類(lèi)：internetVPN AccessVPN和ExtranetVPN。14，簡(jiǎn)述VPN的具體實(shí)現(xiàn)即解決方案有哪幾種？

答：（1）虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)，用戶(hù)利用撥號(hào)網(wǎng)絡(luò)訪(fǎng)問(wèn)企業(yè)數(shù)據(jù)中心，用戶(hù)從企業(yè)數(shù)據(jù)中心獲得一個(gè)私有地址，但用戶(hù)數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。

（2）虛擬專(zhuān)用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。

（3）虛擬租用線(xiàn)路，是基于虛擬專(zhuān)線(xiàn)的一種VPN