电子商务安全导论自考复习资料
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
名词解释
电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
EDI:电子数据交换,是第一代电子商务技术,实现BTOB方式交易。
NCSC:美国国家计算机安全中心,是美国国家安全局NSA的一个分支机构,NCSC为政府购买的计算机设立了安全等级。
Intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。
Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。
HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。
商务数据的机密性(保密性):信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织或经加密伪装后,使未经授权者无法了解其内容。可用加密和信息隐匿技术实现。
商务数据的完整性(正确性):保护数据不被授权者修改、建立、嵌入、删除、重复传送货由于其他原因使原始数据被更改。
商务对象的认证性:网络两端的使用者在沟通之前相互确认对方的身份的正确性,分辨参与者所称身份的真伪,防止伪装攻击。
商务服务的不可否认性:信息的发送方不能否认已发送的信息,接收方不能否认已接收到的信息。是一种法律有效性要求。
商务服务的不可拒绝性(可用性):是保证授权用户在正常访问信息资源时不被拒绝,即保证为用户提供稳定的服务。
访问的控制性:在网络上限制和控制通信链路对主机系统的访问。
主动攻击:攻击者直接介入internet中的信息流动,攻击后,被攻击的通信双方可以发现攻击的存在。
被动攻击:攻击者不直接介入internet中的信息流动,只是窃听其中信息,被动攻击后,被攻击的通信双方往往无法发现攻击的存在。TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
电子邮件炸弹:是攻击者向同一个邮箱发送大量的垃圾邮件,以堵塞该邮箱。
电商安全需求的可靠性:电商传统的可靠性,为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等所产生的潜在威胁加以控制和预防,确保系统的安全可靠。
电商安全需求的真实性:商务活动中交易者身份的真实性。
电商安全需求的机密性:交易过程中必须保证信息不会泄露给非授权的人或实体。
电商安全需求的完整性:数据在输入和传输过程中,要求保证数据的一致性,防止数据被非授权者建立、修改和破坏。
明文:也称信源。原始的,未被伪装的信息(M)。
密文:通过一个密钥和加密算法将明文变成一种伪装信息。(C)。
加密:就是用基于数学算法的程序和加密的密钥对信息进行编码。生成别人难以理解的符号,即把明文变成密文的过程。(E)。
解密:由密文恢复明文的过程,称为解密。(D)。
密钥:加密和解密算法通常都是在一组密钥的控制下进行的分别称作加密密钥和解密密钥(K)。
主密钥:多层次密钥系统中,最高层的密钥也叫作主密钥。
加密算法:对明文进行加密多采用的一组规则。即加密程序的逻辑。
解密算法:消息传给接受者后要对密文进行解密时采用的一组规则。
多字母加密:是使用密钥进行加密。密钥是一组信息。同一个明文经过不同的密钥加密后,其密文也会不同。
单钥密码体制:又秘密密钥体制,对称密钥体制。加密和解密使用相同或实际上等同的密钥的加密体制。
双钥密码体制:又公共密钥体制,非对称加密体制。在加密和解密过程中要使用一对密钥,一个用于加密另一个用于解密,用户将公共密钥交给发送方或公开,信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。
集中式分配:利用网络中密钥管理中心(KMC)来集中管理系统中的密钥,“密钥管理中心”接受系统用户的请求,为用户提供安全分配密钥的服务。
分布式分配:网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商不受任何其它方面的限制。
无条件安全:若它对于拥有无限计算资源的破译者来说是安全的则该密码体制无条件安全是理论上安全的。
计算上安全:若一个密码体制对于拥有优先计算资源的破译者来说是安全的则该密码体制计算上安全表明破译的难度很大是实用的安全性。
多级安全:这种安全防护安装在不同的网络,应用程序工作站等方面对敏感信息提供更高的保护,让每个对象都有一个敏感标签而每个用户都有个许可级别。
数据完整性:又真确性,是数据处于“一种未受损的状态”和保持完整或被分割的品质或状态。
散列函数:又哈希函数,杂凑函数,压缩函数,收缩函数,消息摘要,数字指纹,是将一个长度不同的输入串转换成一个长度确定的输出串散列值(哈希值,杂凑值,消息摘要)输出串比输入串短。h=H(M)。
MD-4散列算法:特别适合于用软、硬件快速实现。输入消息可以为任意长,按512位分组,最后的分组长度不足,用数0填充,使其成为512位的整数倍。MD-5是4轮运算,各轮逻辑函数不同。每轮又要进行16步迭代运算,4轮共需56步完成。压缩后输出为128位。
数字签名:利用数字技术实现在网络传送文件时附加个人标记完成传统上手书签名签章作用以表确定,负责,经手等。
安全散列算法:(SHA)用于数字签名标准算法(DSS),亦可用于其他需要散列算法的场合,具有较高的安全性。输入消息长度小于264位,输出压缩值为160位,而后送给DSA计算此消息的签名。这种对消息散列值的签名要比对消息直接进行签名的效率更高。SHA的基本框架与MD-4类似,主要改变是增加了扩展交换。
双钥密码加密:是一对匹配使用的密钥。一个是公钥,是公开的,其他人可以得到;另一个是私钥,为个人所有。这对密钥经常一个用来加密,一个用来解密。
消息认证:是使接收方能验证消息发送者及所发信息内容是否被篡改过。
确定性数字签名:其文明与密文一一对应,它对一特定消息的签名不变化。
随机化式数字签名:(概率)根据签名算法中的随机参数值,对同一消息的签名也对应的变化。