第六章 电子商务安全

第六章电子商务安全

【思考题】

1、电子商务系统具备哪几个安全要素？安全对策是什么？

电子商务系统必须具备有效性、机密性、完整性、认证性、不可抵赖性等五个安全要素。安全防范对策是（1）完善各项管理制度包括：建全法律法规、建立组织机构及人员管理制度、保密制度、跟踪审计制度、系统维护制度、病毒防范制度、应急措施等。（2）技术对策包括：网络安全检测设备、建立安全的防火墙体系、不间断电源的良好使用、建立认证中心，并进行数字证书的认证和发放、加强数据加密、较强的防入侵措施、严格的访问控制、通信流的控制、合理的鉴别机制、保护传输线路安全、开发各种具有较高安全性的访问设备、数据完整性的控制、端口保护，还有安全检测、审查和跟踪等技术对策。

2、什么是防火墙？防火墙有哪些功能和不足之处？

防火墙（firewall）是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列软件或硬件设备的组合。

防火墙具有如下功能：（1）保护易受攻击的服务（2）控制对特殊站点的访问（3）集中化的安全管理（4）对网络访问进行记录和统计

防火墙的不足之处主要表现在：（1）防火墙不能防范不经由防火墙的攻击（2）防火墙不能防止受到病毒感染的软件或文件的传输（3）防火墙不能防止数据驱动式攻击

3、防火墙的三种类型是什么？防火墙的体系结构有哪些？

防火墙的三种类型是数据包过滤型防火墙、应用级网关型防火墙和代理服务型防火墙。

防火墙的体系结构主要有双重宿主主机体系结构、被屏蔽主机体系结构和被屏蔽子网体系结构。

4、什么是加密和解密？数据加密的三种方式是什么？

加密是一种限制对网络上传输数据的访问权的技术，一般由加密过程和解密过程组成。明文被加密设备(硬件或软件)和密钥加密而产生的经过编码的密文的过程称为加密；将密文还原为原始明文的过程称为解密，解密是加密的逆过程。

数据加密的三种方式是链路加密、节点加密、端对端加密。

5、常用对称加密算法有哪几种？非对称加密算法的原理是什么？

常用对称加密算法有传统加密算法（代换密码和置换密码）、数据加密标准(DES)、 AES 算法、三重DES、IDEA算法。

非对称加密算法的原理是非对称密钥算法不需要用安全的方式交换密钥，它将密钥分解为一对公开密钥和私有密钥。发送方生成一个自己的私有密钥并用接收方的公开密钥对自己的私有密钥进行加密，然后通过网络传输到接收方；同时对需要传输的文件用自己的私有密钥进行加密，然后通过网络把加密后的文件传输到接收方；接收方用自己的公开密钥进行解密后得到发送方的私有密钥，然后用发送方的私有密钥对文件进行解密得到文件的明文形式。因为只有接收方才拥有自己的公开密钥，所以即使其他人得到了经过加密的发送方的私有密钥，也因为无法进行解密而保证了私有密钥的安全性，从而保证了传输文件的安全性。

6、什么是密钥？密钥管理的基本任务是什么？

密钥（Key）是一系列控制加密、解密操作的符号。

密钥管理的基本任务是在密钥的整个生命周期中，为密钥提供生成、注册、认证、分配、传递、安装、存储、归档、保存、备份、撤销、注销和销毁等管理服务。

7、身份认证有哪几种基本方法？

身份认证的基本方法有秘密信息的身份认证、物理安全（智能卡）的身份认证、生物学特征的身份认证。

8、什么是数字签名？什么是数字摘要？数字信封技术是什么？

数字签名(Digital Signature)是将要签名的文本采用某种算法生成一个“摘要”(digest)，再把摘要用发送者的私钥加密，形成数字签名。

数字摘要（digital digest）又叫消息摘要（Message Digest，MD）、数字指纹（Finger Print），是一种加密方法，该方法又称为散列编码（Hash编码）。数字摘要就是通过单向散列函数（Hash函数）将需要加密的明文“摘要”成一串固定长度（如128位）的散列值。

数字信封技术是使用私密密钥加密技术对要发送的信息进行加密、使用公开密钥加密技术对私钥进行加密的一种加密技术，来保证只有特定的收信人才能阅读信的内容。它可以形象的描述为：内私钥、外公钥。（即内层用私钥加密技术加密信息、外层用公开密钥加密技术加密私钥）。

9、时间戳有哪几部分内容？时间戳的产生过程是什么？

时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；DTS的数字签名。

时间戳产生的过程为：用户先将需要加时间戳的文件用HASH编码加密形成摘要，再将该摘要发送到DTS。由DTS在加入了收到文件摘要的日期和时间信息后，再对该文件加上数

字签名，然后送回给用户。

10、SSL安全协议的运行步骤有哪几步？

SSL安全协议的运行步骤包括六步：（1）接通阶段，客户通过网络向服务商打招呼，服务商回应。（2）密码交换阶段，客户与服务商之间交换认可的密码。一般选用RSA密码算法，也有的选用Diffie-Hellman和Fortezza-KEA密码算法。（3）会谈密码阶段，客户与服务商间产生彼此交谈的会谈密码。（4）检验阶段，检验服务商取得的密码。（5）客户认证阶段，验证客户的可信度。（6）结束阶段，客户与服务商之间的相互交换结束的信息。

11、SET安全协议的工作程序有哪些？

SET安全协议的工作程序有七个步骤：

（1）持卡人利用自己的PC机通过互联网选择所要购买的物品，并输入订货单。订货单上需包括商户、购买物品名称及数量、交货时间及地点等相关信息。

（2）通过支付网关与有关商户联系，商户做出应答，告诉持卡人所填订货单的货物单价、应付款数、交货方式等信息是否准确，是否有变化。

（3）持卡人选择付款方式，确认订单，签发付款指令。此时SET开始介入。

（4）在SET中，持卡人必须对订单和付款指令进行数字签名，同时利用双重签名技术保证商户看不到持卡人的账号信息。

（5）商户接受订单后，向持卡人所在银行请求支付认可。信息通过支付网关到收单银行，再到发卡行确认。批准交易后，返回确认信息给商户。

（6）商户发送订单确认信息给持卡人。持卡人端软件可记录交易日志，以备将来查询。

（7）商户发送货物或提供服务，并通知收单银行将钱从持卡人的账号转移到商户账号，或通知发卡银行请求支付。

12、什么是数字证书？它的内容是什么？

数字证书（Digital Certificate，Digital ID）又称为数字凭证是一个经证书授权中心(CA)颁发并数字签名的包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。

一个X.509国际标准格式的数字证书包含如下主要内容：证书的版本信息、证书的序列号，每个证书都有一个唯一的证书序列号、证书所使用的签名算法、证书的发行机构名称，命名规则一般采用X.509格式、证书的有效期，现在通用的证书一般采用UTC时间格式，其计时范围为1950年～2049年、证书所有人的名称，命名规则一般采用X.500格式、证书所有人的公开密钥、证书发行者对证书的签名等等。