电子商务安全

第一章

1.电子商务安全要求有什么特殊性？

答：1.电子商务安全是一个系统概念。

2.电子商务安全是相对的。

3.电子商务安全是有代价的。

4.电子商务安全是发展，动态的。

2.以在网上购书为例，请你说说在网上购书过程中会面临哪些安全威胁？

答：1、假冒的网站，IE木马等

2、付款方式：网银现结，第三方账户，

3、给账户充值过程中可能被盗取网银账户和密码

4、非正规网站收款后不发货。

3.电子商务站点面临的安全威胁可能有黑客入侵，服务器感染病毒，数据丢失，请结合电子商务的例子，看看他们采取了哪些安全措施？

答：依阿里巴巴为例：

（1）加密技术

①对称加密/对称密钥加密/专用密钥加密

②非对称加密/公开密钥加密

（2）密钥管理技术

（3）数字签名

（4） Internet电子邮件的安全协议

（5） Internet主要的安全协议

（6）UN/EDIFACT的安全

（7）安全电子交易规范

4.电子商务安全包含哪些基础技术？

答：1.密码技术。

2.网络安全技术。

3.PKI技术。

5.电子商务安全服务规范有哪些？各个网络层次分别有什么样的解决方案？

答：1.网络层安全服务，网络层的安全使用IPsec方案。

2.传输层安全服务，传输层的安全使用SSL\TLS方案。

3.应用层安全服务，应用层的安全使用Ｓ－ＨＴＴＰ,ＳＥＴ,Ｋｅｒｂｅｒｏｓ，Ｓ\ＭＩＭＥ,ＰＧＰ等。

第二章

１．什么是单钥密码体制？什么是双钥密码体制？二者各有何特点？

答：１．在单钥体制下，加密密钥和解密密钥是一样的，或实质上是等同的，这种情况下，密钥就经过安全的密钥信道由发方传给收方。

单钥密码的特点是无论加密还是解密都使用同一个密钥，因此，此密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。最有影响的单钥密码是。。单钥密码的优点是：安全性高。加解密速度快。缺点是：1）随着网络规模的扩大，密钥的管理成为一个难点；2）无法解决消息确认问题；3）缺乏自动检测密钥泄露的能力。

２．而在双钥体制下，加密密钥与解密密钥是不同的，此时根本就不需要安全信道来传送密钥，而只需利用本地密钥发生器产生解密密钥即可。双钥密码是：。由于双钥密码体制的加密和解密不同，且能公开加密密钥，而仅需保密解密密钥，所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是：双钥密码的缺点是：双钥密码算法一般比较复杂，加解密速度慢。

３．ＤＥＳ,ＩＤＥＳ,ＡＥＳ等分组密码有何共同特点？

答：分组密码是将明文序列划分成等长的分组（Block），对每一组用同一加密算法和同一密钥进行加密。

４．应用RSA算法对下列情况实现加密和解密：

①p=3；q=11，d=7；M=5 ②p=5；q=11，e=3；M=9 ③p=7；q=11，e=17；M=8 ④p=11；q=13，e=11；M=7。⑤p=17；q=31，e=7；M=2

答：①e=3,C=26;②C=14;③C=23;④C=106;⑤C=128

５．在一个使用RSA的公开密钥系统中，你截获了发给一个其公开密钥是e=5，n=35的用户的密文C=10。明文M是什么？

答：z=24， d=5， M=5。

６．在一个RSA系统中，一个给定用户的公开密钥是e=31，n=3599。这个用户的私有密钥是什么？

答：n=59 * 61， z=3480， d=3031。

７．考虑椭圆曲线E11(1，6)；也就是由y2=x2+x+6和一个模数p=11定义的曲线。确定E11(1，6)中的所有的点。

答：省略

８．信息隐藏的基本原理是什么？

答：信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息

９．讨论生物识别是否会取代当今银行的口令识别系统？试论其使用的前提条件答：不会。

１０．量子密码术有何特点?

答：量子密码术用于建立、传输密码本，而不用于传输密文。最初的量子密码通信利用的都是光子的偏振特性，目前主流的实验方案则用光子的相位特性进行编码。量子密码术突破了传统加密方法的束缚，以量子状态作为密钥具有不可复制性，可以说是"绝对安全"的。任何截获或测试量子密钥的操作都会改变量子状态。这样截获者得到的只是无意义的信息，而信息的合法接收者也可以从量子态的改变知道密钥曾被截取过。

１１．电子商务安全采用无纸化考试，为了保密处理，考生考完后需要对答卷

进行加密处理，假设有DES、RSA两种加密算法供选择，请问应该选择哪种算法？为什么？如何处理？

答：对于上面讲的这种情况，还是用DES比较好。因为试卷的话，内容比较多，明文空间所占内存比较大，如果用RSA的话，运行速度会很慢，所以不适合咱们这种情况。相比而言，DES就会快很多。

１２．目前，许多新的电子邮件系统都具有加密功能。问：如果你来开发这样的带有加密功能的邮件系统，是采用DES、AES、PGP，还是其它，为什么？

答：采用PGP

DES,AES均为分组密码体制，加密解密公用同一密钥，密钥管理困难。

PGP为复合型加密体制，综合了对称密钥与非对称密钥的优点。可以用于对邮件加密，密钥管理以及进行数字签名，防止抵赖。

第三章

１．什么是数字签名？讨论什么情况下用数字签名比用加密更合适？

答：以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。

同数字签名样，公共密钥加密使用PGP等软件，使用数学算法转换信息并且依靠公共和专用密钥。但，加密和数字签名区别，加密目通过把信息翻译成密码秘密地隐藏内容。数字签名目完整性和身份识别性，验证个信息发送者和指出内容没被修改。虽然加密和数字签名能够单独使用，但你还可以对加密信息采用数字签名。

当你签署个信息时，你使用你专用密钥，任何你公共密钥都能够验证这个签名合法。当你加密个信息时候，你为接收你信息使用这个公共密钥，并且使用他或者她专用密钥解码这个信息。用于们要保持自己专用密钥机密，并且使用口令保护这些密钥，这个信息接收者应该惟能够观看这个信息。

2．双联签名的概念是什么？其基本原理是什么？

答：在实际商务活动中经常出现这种情形，即持卡人给商家发送订购信息和自己的付款帐户信息，但不愿让商家看到自己的付款帐户信息，也不愿让处理商家付