电子科技大学中山学院电子商务安全技术复习(页).docx
电子商务安全技术期末考试复习提要
电子商务安全技术》期末考试复习提要一.填空类问题主要涉及教材中各章节的要点,涵盖教案大纲中对各章节所提出的应掌握、理解、了解的内容。
术语解释类问题1.黑客2.安全策略3.电子钱包4.B—TO—B5.B—TO—C6.G—TO —B7.防火墙8.EDI9.DES10.RSA11.CA12.数字证书13.PKI14.密钥15.IC 卡16.密码系统17.密码学18.IP 欺瞒19.私有密钥系统20.公有密钥系统21.数字签名22.数字信封23.安全机制24.安全协议25.TCP/IP26.ISO27.SSL安全协议28.SET安全协议29.S—HTTP 安全协30.DTSS31.对称加密系统32.非对称加密系统33.网上银行三. 问答题1.电子商务系统主要受到的安全威胁有那些? 2.简述电子商务的安全需求包括哪 5 个方面的内容? 3.简述电子商务的安全要素。
4.在设计安全可靠的电子商务设施时,需要考虑的 10 个关键性问题是什 么?5.简述 ISO7498/2 中提出的安全服务和相应的安全机制? 6.简述黑客进行网络攻击时常用的策略有哪些? 7.目前已开发并应用的电子商务安全协议分为哪 6 种类型?8.简述双钥体制的认证协议的工作原理。
9.简述双向认证协议的实现过程。
10. 简述 SSL 安全协议的特点及实现过程。
11. 简述 SET 安全协议的特点及实现过程。
12. 私钥加密体系与公钥加密体系有何区别,它们各有什么优点? 13. 概述数字签名技术的用途和实现过程。
14. 数字签名技术与认证技术的用途有什么不同?15. 简述 PKI 系统的基本组成及其安全管理功能。
16. 密钥管理的目的是什么?密钥管理通常涉及的有关问题有哪些? 17. 在电子商务中采用防火墙应有哪些优点?18. 简述在电子商务中采用的防火墙具备哪些安全业务?19. 安全支付系统可分为哪几类,它们的特点是什么?20. Internet 给电子商务带来的安全隐患和安全问题有哪些? 21. 信息安全是电子商务安全的基本保障,请问:信息安全管理应遵 循哪 10 条基本原则?22. 为了确保电子商务安全,在网络上采用安全保密可靠保险技术要 遵循的 3 项基本原则是什么?23. 防火墙有哪两种决然不同的安全控制模型,它们的性能和用途有 何区别?24. 简述智能卡的逻辑组成及其安全机制。
电子商务安全复习
电子商务安全复习在当今数字化的时代,电子商务已经成为我们生活中不可或缺的一部分。
从在线购物到金融交易,从社交媒体到数字服务,电子商务的触角几乎延伸到了我们生活的每一个角落。
然而,随着电子商务的迅速发展,安全问题也日益凸显。
对于电子商务从业者和消费者来说,了解电子商务安全的相关知识,掌握有效的防范措施,是至关重要的。
接下来,让我们一起对电子商务安全进行一次全面的复习。
一、电子商务安全的重要性电子商务安全不仅仅是技术问题,更是关系到企业的生存和发展,以及消费者的信任和权益。
对于企业来说,如果其电子商务平台遭受攻击,导致客户数据泄露、交易中断或者资金损失,不仅会面临巨大的经济损失,还可能损害企业的声誉,失去客户的信任,从而在激烈的市场竞争中处于不利地位。
对于消费者来说,个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题,给生活带来极大的困扰和损失。
因此,保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。
二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。
包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击(DoS)等。
黑客可以通过攻击电子商务网站,窃取用户数据、篡改交易信息或者破坏系统正常运行。
病毒和恶意软件则可能潜伏在用户的设备中,窃取敏感信息或者监控用户的操作。
DoS 攻击则通过大量的无效请求导致网站瘫痪,使正常的交易无法进行。
2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。
在电子商务中,用户的个人信息(如姓名、地址、电话号码、信用卡信息等)、交易记录等都是重要的数据。
如果这些数据被泄露,可能被用于欺诈、身份盗窃等非法活动。
3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息,并以其名义进行非法活动。
在电子商务中,攻击者可能通过窃取用户的登录凭证、伪造身份等方式,进行虚假交易、骗取财物等。
4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。
电子商务安全复习
第一章电子商务的安全技术 (1)1.1电子商务的六大安全需求 (1)1.1.1内涵 (1)1.1.2解决这些需求是所用到的技术 (2)1.2可信计算机系统评价准则(TCSEC) (2)1.2.1D类无保护级 (2)1.2.2C类自主保护级 (2)1.2.3B类具有强制性保护功能 (2)1.2.4A类验证保护级 (3)第二章加密技术 (3)2.1对称密码 (3)第一章电子商务的安全技术1.1.11电子商务的六大安全需求1.1.1内涵机密性:又叫保密性,指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
完整性:又叫真确性,保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。
可通过提取消息摘要的方式来保证认证性:指网络两端的使用者在沟通之前相互确认对方的身份。
通过CA认证机构和证书来实现不可抵赖性:即不可否认性,指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息。
通过数字签名来保证不可拒绝性:又叫有效性或可用性,保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
访问控制性:指在网络上限制和控制通信链路对主机系统和应用的访问;用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等.1.1.2解决这些需求是所用到的技术加密技术、数字签名、PKI技术、身份认证协议、SSL协议、SET协议、IPSec协议1.2可信计算机系统评价准则(TCSEC)1.2.1D类无保护级D类,D的安全等级最低,说明整个系统是不可信的。
D系统只为文件和用户提供安全保护,对硬件没有任何保护,操作系统容易受到损害,没有身份认证。
D系统最普通的形式是本地操作系统(如MS—DOS,Windows95/98),或者是一个完全没有保护的网络。
1.2.2C类自主保护级C1类,酌情保护级。
电子商务安全技术复习指导
电子商务安全技术一、主要内容与重点1.网络交易风险和安全管理的基本思路:如今,网络交易风险凸现,国内的犯罪分子也将触角伸向电子商务领域。
为了保证交易的安全进行,通过对网络交易风险源分析,从技术、管理、法律等方面对网络交易安全管理进行思考,进而形成网络交易安全管理的基本思路。
2.客户认证技术:客户认证主要包括客户身份认证和客户信息认证。
前者用于鉴别用户身份,保证通信双方的身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。
为此建立认证机构,通过数字签名等技术,保证交易的安全。
在此介绍了对我国电子商务认证机构的建设的设想。
3.防止黑客入侵:介绍了黑客的概念及网络黑客常用的攻击手段,同时也介绍了一些防范黑客攻击的主要技术手段。
4.网络交易系统的安全管理制度:本节中,我们主要针对企业的网络交易系统加以讨论,这些制度应当包括人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。
5.电子商务交易安全的法律保障:介绍了电子合同法律制度和电子签字法律制度,对我国电子商务交易安全的法律和我国电子商务立法的若干基本问题提出设想。
通过本章的学习,要求了解网络交易的基本思路;掌握身份认证、基于对称密钥的信息认证及基于非对称密钥的信息认证的原理;了解认证机构的设置及证书,以及了解网络黑客常用的攻击手段及交易防范黑客攻击的主要技术手段。
掌握网络交易系统的安全管理系统;了解电子商务安全的法律保障。
学习流程二、网络交易风险和安全管理的基本思路1.网络交易风险凸现2.网络交易风险源分析1.在线交易主体的市场准入问题。
2.信息风险。
3. 信用风险。
4. 网上欺诈犯罪。
5.电子合同问题。
6.电子支付问题7.在线消费者保护问题8.电子商务中产品交付问题3.网络交易安全管理的基本思路电子商务交易安全是也一个系统工程,一个完整的网络交易安全体系,至少应包括三类措施,并且三者缺一不可。
一是技术方面的措施,二是管理方面的措施,三是社会的法律政策与法律保障。
《电子商务安全》2——电子科技大学
一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。
错选、多选或未选均无分。
1. 如果确实想要区分一个具体文件的不同的安全性要求,那就必须借助于(B )A. 传输层的安全性B. 应用层的安全性C. 网络层的安全性D. 物理层的安全性2. 代理的概念对于防火墙是非常重要的,因为代理把(A )替换成其它的暂时的地址。
A. 网络IP地址B. 主机IP地址C. 服务器IP地址D. 客户机IP地址3. VPN中的安全技术通常由加密、(D )、密钥交换与管理组成。
A. 签名B. 解密C. 授权D. 认证4. 模式匹配是基于(C )的检测技术。
A. 数据库B. 用户身份C. 知识D. 口令5. 基于主机的入侵检测系统主要安装在(A )上,这样可以减少规划部署的花费。
A. 关键主机B. 堡垒主机C. Web服务器D. 代理服务器6. 计算机病毒的特征是(C )A. 传播性、破坏性、潜伏性、危害性B. 传染性、破坏性、突发性、隐蔽性C. 传染性、破坏性、潜伏性、隐蔽性D. 传播性、危害性、潜伏性、隐蔽性7. 计算机一旦感染(B )后,Windows将会不断报“RPC意外中止,系统重新启动”客户机频繁重启,所有网络服务均出现故障。
A. 蠕虫病毒B. 冲击波病毒C. 震荡波病毒D. 木马病毒8. PKI技术就是利用(D )和技术建立的提供信息安全服务的基础设施。
A. 网络安全理论B. 电子商务安全理论C. 密码学理论D. 公钥理论9. 最简单的证书包含(A )、名称以及证书授权中心的数字签名。
A. 一个公开密钥B. 一个私有密钥C. 公开密钥和私有密钥D. 一个单密钥10. 作为电子商务交易中受信任的第三方,认证中心承担公钥体系中(A )的合法性检验的责任A. 公钥B. 私钥C. 身份D. 证书11. 要想给某人发送加密邮件,用户必须有收件人的(C )。
电子商务安全期末考试复习资料
•第1章:TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层:仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层:TCP(传输控制协议)、UDP(用户数据报协议)③网络层:网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工:①载波监听:当一个站点要向另一个站点发送信息时,先监听网络信道上有无信息在传输,信道是否空闲。
②信道忙碌:如果发现网络信道正忙,则等待,直到发现网络信道空闲为止。
③信道空闲:如果发现网路信道空闲,则向网上发送信息。
由于整个网络信道为共享总线结构,网上所有站点都能够收到该站点所发出的信息,所以站点向网络发送信息也称为“广播”。
④冲突检测:站点发送信息的同时,还要监听网络信道,检测是否有另一台站点同时在发送信息。
如果有,两个站点发送的信息会产生碰撞,即产生冲突,从而使数据信息包被破坏。
⑤遇忙停发:如果发送信息的站点检测到网上的冲突,则立即停止发送,并向网上发送一个“冲突”信号,让其他站点也发现该冲突,从而摒弃可能一直在接收的受损的信息包。
⑥多路存取:如果发送信息的站点因“碰撞冲突”而停止发送,就需等待一段时间,再回到第一步,重新开始载波监听和发送,直到数据成功发送为止。
第2章:网络安全基础1.计算机网络安全的定义网络安全的学术定义为:通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播及内容有控制能力。
2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。
在一般情况下,网络处于正常工作状态,一旦到了某个预定的日期,程序便自动跳到死循环程序,造成四级甚至网络瘫痪。
3.遥控旁路的定义除了给用户提供正常的服务外,还将传输的信息送给设定的用户,这就是旁路,这种情况非常容易造成信息的泄密。
电子商务安全技术复习
电子商务安全技术复习第一章电子商务安全概论1.拒绝服务攻击是什么?又是怎样实现的?答:拒绝服务目的在于使系统瘫痪,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
拒绝服务发生时,系统通常并不会遭到破解,但该服务会丧失有效性,即无法再对正常的请求进行响应。
常见的拒绝服务攻击手段包括:死亡之ping,泪滴,UDP洪水,电子邮件炸弹等。
2.对称加密,非对称加密的概念?答:对称加密指加密和解密使用相同密钥的加密算法。
非对称加密指加密和解密使用不同密钥的加密算法。
(非对称加密算法需要两个密钥,公开密钥和私有密钥是一对,如果公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算法。
)3.认证技术的概念?答:电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认证,对外可以防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内侧可防止当事人的否认,以避免当事人之间的误解或地来说,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。
电子商务认证系统有三种认证模式:政府主导的电子商务认证体系;行业协会主导的电子商务认证体系;当事人自由约定的电子商务认证体系。
第二章信息加密技术与应用1.流密码的概念?答:流密码采用密钥生成器,从原始密钥生成一系列密钥流用来加密信息,每一个明文可以选用不同的密钥加密。
2.分组密码?答:分组密码体制是目前商业领域中比较重要而流行的一种加密体制,它广泛地应用于数据的保密传输、加密存储等应用场合。
分组密码对明文进行加密时,首先需要对明文进行分组,每组的长度都相同,然后对每组明文分别进行加密得到等长的密文,分组密码的特点是加密密钥与解密密钥相同。
分组密码的安全性组要依赖于密钥,而不依赖于对加密算法和解密算法的保密,因此,分组密码的加密和解密算法可以公开。
(完整word版)电子商务安全 期末复习(word文档良心出品)
电子商务安全与管理期末复习题型: 1. 选择题(30分:1.5分1题,共20题)2. 判断并说明理由题(28分:4分1个,共7题。
其中判断对错占2分,简要说明理由占2分)3. 简答题(30分:6分1题,共5题)4. 综合分析题(12分:6分1题,共2题)1、电子商务涉及的安全问题有哪些?P4-6A. 信息的安全问题:冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题:来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。
P74、电子商务的安全保障主要由哪三方面去实现?P17-22技术措施①信息加密技术:保证数据流安全,密码技术和非密码技术②数字签名技术:保证完整性、认证性、不可否认性③TCP/IP服务:保证数据完整传输④防火墙的构造选择:防范外部攻击,控制内部和病毒破坏管理措施①人员管理制度:严格选拔落实工作责任制贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪:自动生成系统日志审计:对日志进行审计(针对企业内部员工)稽查:针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析:a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。
b.运行前:根据系统运行期的运行状态和结果,分析潜在安全隐患。
c.运行期:根据系统运行记录,跟踪系统状态的变化,分析运行期的安全隐患。
d.运行后:分析系统运行记录,为改进系统的安全性提供分析报告。
审计跟踪:a.记录和跟踪各种系统状态的变化。
b.实现对各种安全事故的定位。
c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。
P27①链路-链路加密②节点加密③端-端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别:2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使用RSA密钥传输法。
电子商务安全管理 期末复习
第一章1.电子商务的安全需求电子商务的安全需求包括两方面:电子交易的安全需求(1)身份的可认证性在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息的保密性要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息的完整性交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题:(1)物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(4)软件的漏洞和“后门”(5)网络协议的安全漏洞(6)计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。
▪常用的网络安全技术:安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。
电子商务安全课程期末复习资料(doc 32页)
电子商务安全课程期末复习资料(doc 32页)《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字版权保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子邮件安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与保密制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术参见讲稿章节:2-1附1.1.1(考核知识点解释):所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。
加密技术是网络安全技术的基石。
★考核知识点: ELGamal算法参见讲稿章节:2-1附1.1.2(考核知识点解释):ElGamal算法,是一种较为常见的加密算法,它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。
既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
在加密过程中,生成的密文长度是明文的两倍,且每次加密后都会在密文中生成一个随机数K,在密码中主要应用离散对数问题的几个性质:求解离散对数(可能)是困难的,而其逆运算指数运算可以应用平方-乘的方法有效地计算。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一定是属于 某个确定的对象的信息 摘瑞1. 电子商务安全需求:真实性(数字证书)、保密性(加密和解密技术)、完整性(散列函数)、不可否认性(数字签名技术)、可靠性(完善开发程序)、及时性(加强防火墙)、 不可拒绝性(加强防火墙)。
2. 电子商务系统安全层次:a )电子商务系统安全:网上交易,网上身份认证,数据安全(信息流,资金流) b )网络系统女全:实体安全:i:计算机(服务器安全:www.FTP,EMALL 服务器; 客户机安全)ii:通信设备(路由器、交换机、集线器等) 3. 几种常见协议:安全电子商务交易协议SET 、安全协议(SSL 协议、S/MIME 协议等)公 钥基础设施PKI (数字签名、数字信封、CA 认证等)4、儿种常见的安全技术问题:黑客的恶意攻击、软件的漏洞和后门网络协议的安全漏洞计 算机病毒的攻击5、信息加密技术是电子商务安全交易的核心,实现交易的保密性、完整性、不可否认性等。
6、对称加密的特点:加解密速度快缺陷:首先是密钥数目的问题nX (n-l )/2 安全传输密钥也是一个难题 第三是无法鉴别彼此身份C = AT (mod n)7、公开密钥密码算法RSA : "(皿明文,C 密文)n=PXQ,e (n ) =(P-1)X (Q-1),因为 de=l (mod (t )(n )}X 设 de=k<t>(n )+14k>=l 的整数)或 e 的逆元 d (e*d )mod 4)(n )=l8、RSA 的密钥很长,加密速度慢.DES 用于明文加密,RSA 用于DES 密钥的加密。
RSA 又 解决了 DES 密钥分配的问题。
8、码攻击方法:穷举攻击、计分析攻击、数学分析攻击9、 认证技术是解决电子商务活动中的安全问题的技术基础,认证可分为消息认证(也称数 据源认证)和身份认证.10、 认证技术:身份认证术、字签名、字签名1K 密钥管理涉及密钥的产生、存储、分配、更新、备份和销毁的全过程12、 电子商务认证技术相关的技术:对称密钥加密(如凯撒密码)、公开密钥加密(如RSA )、散列函数(信息摘要算法)、数字签名、数字证书、认证机构(CA )、数字信封13、 散列函数(信息摘要算法)确保信息未被篡改,特点:a.能处理任意大小的信息,并能生成固定长度的信息摘要。
b.具有不可预见性。
c ・具有不可逆性。
14、数字签名形成过程(用数字证书来绑定公钥和公钥一所雇一人确保验证过程中使用的公钥发送方信息 綺要I▼发送方私钥15、 数字证书是网上交易双方真实身份证明的依据,是一个由认证中心颁发并经认证中心 (CA)数字签名的、包含证书申请者个人信息及其公开密钥等相关信息的电子文件功能:1.文件加密2、数字签名3.身份认证类型:企业证书、个人证书、安全代码证书、Web 站点证书、Web 站点证书、服务器 证书16、 认证机构又称认证中心(Certificate Authority),它负责产生、分配并管理所有参与网上 交易的实体所需要的数字证书,实现身份认证、数字签名和信息加密。
17、 数字信封就是信息发送端用接收端的公钥,将一个通信密钥(SK)给予加密,生成一个数 字信封。
然后接收端用自己的私钥打开数字信封,获取该对称密钥SK,用它来解读收到的信息。
Bob 将一份自己的数字证书的拷贝连同密文、摘要等放在一起发送给Alice,而Alice 贝lj 通过验证证书上权威机构的签名来检查此证书的有效性,如果证书检査一切正常,那么就 可以相信包含在该证书中的公钥的确属于Bob 。
;发送方接收方被加密; 的密钥密文密文接收方私钥/►• I ;对称密钥加密过程解密过稈•对称18、PKI 是利用公钥密码理论和技术为电了商务、电了政务、网上银行和网上证券等所冇网 络应用提供一整套安全措施的基础平台,它是创建、颁发、管理、撤消公钥证书等一系列基 础服务的所有软件、硬件的集合体PKI 的组成认证机构(CA )证书库、应用程序接口 、密钥备份和恢复系统、 证书废 除系统 PKI/CA 应用安全的Web 浏览安全的软件下载 安全的电子邮件 虚拟专网(VPN )19、 管理数字证书管理包含::证书注册、证书生成、证书颁发、证书使用、证书验证、证 书存放20、 证书验证:(1) 一个可信的CA 已经在证书上签名,注意这可能包括证书路径处理。
(2) 证书有良好的完整性。
O I Encrypt对称秘钥LXJ数宇信封數字信封对称秘钥 Enctypt数字信封二 0 } Decrypt hj Bob 祕钥 ——BobA ice摘要MlBob 私钥□> EncryptAlice 公钥数字签名(5)证书的使用方式与任何声明的策略和或使用限制和一致。
20、电子支付指从事电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全的电子支付手段,通过网络所进行的货币支付或资金转移。
21、网上银行,乂称网络银行,指银行以H己的计算机系统为主体,以单位和个人的计算机为操作终端,借助互联网技术,通过网络向客户提供开户、销户、查询等银行服务的虚拟银行。
网络银行实现:为任何人(whoever)随时(whenever)随地(wherever)何帐户(whomever)用任何方^(whatever)的安全支付和结算。
22、网络银行不同支付方式对比:1、帐号+登陆密码+支付密码(简称“静态密码方式”)坏人只要利用钓鱼网站等获取你“帐号+登陆密码+支付密码”,便可盗取。
2 .帐号+登陆密码+动态口令卡(简称“动态口令卡方式”动态口令卡获取难。
除非周边能接触到你动态口令卡的人。
3.帐号+登陆密码+电子密码器(简称“电子密码器方式”)坏人只有获取了你的“帐号+登陆密码+电子密码器的随机密码”才可,月.必须在1分钟内完成盗取。
4.帐号+登陆密码+ U盾(使用密码)(简称“U盾方式”)坏人利用木马控制了你的电脑;等你一插上U盾,便操作盗取你账户的钱23、网络银行的特点:釆用Internet/lntranet技术突破传统银行的操作模式使用简单服务多样化用户使用成本低银行成本降低365天24小时服务24、S SL加密客户机和服务器之间的通信数据!具体有三方而:(1)客户和服务器的合法性认证(2)加密传输的数据(3)保护数据的完整性SSL协议的构成(1) SSL握手协议负责客户机和服务器通信之前的准备T 作•具体用来协商密钥,就是通信双方如何利用它來安全的协商出-•份用于加密正式通信内容的对称密钥。
(2) SSL 记录协议定义客户机和服务器Z 间通信的数据包格式。
1、 S SL 协议自身的缺陷(1) 客户端假冒(2) 无法提供基于UDP 应用的保护 (3) 不能对抗通信流量分析(4) 于PKCS 的自适应选择密文攻击 (5) 进程中的主钥泄密(6) 磁盘上的临时文件可能遭受攻击2、 不规范应用引起的问题1)对证书的攻击和窃取(2) 中间人攻击(黑客利用自签发的仿证书冒充服务器,证书是否可信靠用八判断[web 信任模型],用户误判就会攻击成功)(3) 安全盲点(4) IE 浏览器的SSL 身份鉴别缺陷25、SET 协议它确保了网上交易所要求的保密性、数据的完整性、交易的不可否认性和交 易的身份认证。
SET 交易的参与者持卡人(Cardholder)商家(Merchant) 发卡彳亍(Issuing Bank) 收单行(Acquiring Bank) 支付网关(Payment Gateway) 认证机构8.结算2支付信 息审核5确认/ —3审核 4批准 认证/ ( !I ,项冃 SSL 协议 SET 协议工作层次 是否透明 过程效率 1传输层与应用层之间应用层 透明 不透明 简单复杂哥低安全性商家拿握消费者消费者对商家保密7.结算 请求1定单及 支付信息\6确认 认证认证认证机制双方认证多方认证是否专为E C设计否是S E T的主要缺陷:S E T协议过于复杂,对商八、用八和银行的要求比较高;处理速度慢,支持SET的系统费用较大。
26、防火墙是用于在企业内部网和因特网之间实施安全策略的一个系统或一组系统,它决定内部服务屮哪些可以被外界访问,外界的哪些人可以访问内部的哪些服务,同时还决定内部人员可以访问哪些外部服务。
以达到保证内部网络安全的目的。
防火墙可以是硬件、也可以是软件防火墙应具备的条件内部和外部之间的所启网络数据流必须经过防火墙只有符合防火墙安全策略的数据流才能通过防火墙防火墙不是解决所有网络安全问题的万能药方,只是网络安全政策和策略中的一个组成部分。
防火墙不能防范绕过防火墙的攻击,例:内部提供拨号服务。
防火墙不能防范来自内部人员恶意的攻击。
防火墙不能阻止被病毒感染的程序或文件的传递。
防火墙不能防止数据驱动式攻击。
例:特洛伊木马。
防火墙的类别包过滤型防火墙(在网络层和传输层对进出内部网络的数据包进行监控.)应用层网关(代理服务器)线路层网关包过滤规则一般是基于部分或全部报头的内容。
例如,对于TCP报头信息可以是: 源IP地址目的IP地址协议类型IP选项内容源TCP端口号目的TCP端【1号TCP ACK标识应用层网关也经常称为堡垒主机.27、计算机病毒的特点可执行性传染性潜伏性可触发性破坏性攻击的主动性针对性衍生性(变种性)计算机网络屮最主要的软硕件实体就是服务器和工作站,所以防治计算机病毒应该首先考虑这两个部分,计算机病毒的检测方法:(1)特征代码法(2)校验和法(3)行为监测法(4)软件模拟法28、电子邮件使用的协议SMTP POP3PGP (Pretty Good Privacy)S/MIME (Secure Multi —Part Intermail Mail Extension)0它们的主要功能就是身份的认证和传输数据的加密。