电子商务安全课后习题答案

2.电子商务的主要类型有哪些？

B2B B2C B2G C2C C2G

3:电子商务的基础设施包括哪些内容？

用于电子商务转型的完整IT基础设施和完善的电子商务服务

4.电子商务的安全要素有哪些？作用是什么？

A．可用性需要的时候，资源是可用的（电子商务系统中主要有硬件软件和数据资源，资源的可用性是指需要这些资源的时候，这些资源是可用的）

B．机密性谁有权力查看特定的信息（……）

C．完整性允许谁修改数据，不允许谁修改数据（……）

D．即时性在规定的时间完成服务（……）

E．不可抵耐性为信息的收，发者提供无法否认的端到端的证据（……）

F．身份认证解决是谁的问题（……）

G．访问控制访问者能进行什么操作，不能进行什么操作（……）

5.密钥的长度是否重要？为什么？

重要，绝大多数算法在实施对数据的操作时都需要一定长度的密钥，防止强力攻击。

6.对称加密技术和非对称加密技术有何区？

对称加密加密密钥与解密密钥是相同的，非对称加密加密和解密使用不同的密钥

7.PKI提供哪些服务？

数字签名，身份认证，时间戳，安全公正服务和不可否认服务

8.用哪些技术解决不可抵耐性？

身份认证技术，如口令，令牌，生物特征识别，数字签名，数字摘要，数字证书和PKI等9.安全管理的目标是什么？

资源的可用性，信息的完整性，信息的机密性

10.什么是威胁什么是漏洞，电子商务系统中有哪些漏洞，他们带来的后果是什么？

威胁是攻破或损坏系统的潜在途径。漏洞是攻破系统过程中利用的系统属性，是系统的薄弱环节。分为软件漏洞和配置漏洞和社会漏洞后果，破坏系统安全，篡改数据，盗窃信息等。

11.为什么说人是电子商务安全中的最薄弱环节？

由于安全产品的技术越来与阿完善，使用这些技术的人，就成为整个环节上最薄弱的的部分。个人的行为和技术一样也是对系统安全的威胁。社会工程学看似简单的欺骗，但却包含了复杂的心理学因素，其危害程度有时比直接的技术入侵要大得多。对于技术入侵可以防范，但心理上的漏洞谁有能时刻的警惕呢？毫无疑问，社会工程学将来会是入侵和反入侵的重要对抗领域。

12.有几种安全领域？他们各自解决什么问题？

物理安全域，限制人员使用设备，大楼和其他有形资源，目的是保护有形资产并阻止入侵者使用系统应用程序和信息。

网络安全域控制对网上资源的访问，目的是阻止外人使用私有资产。

应用安全域限制操作类型和范围

数据安全域定义各类数据的保护边界

13.应急预案包括哪些部分？各自解决什么问题？

隔离威胁，目的限制攻击范围。恢复服务，目的实现资源的可用性。攻击后的任务，了解被利用漏洞，哪些环节遭到了破坏，全面恢复成本，如何防范此类攻击。

1. 请说明DES的基本原理（）

公钥密码算法最大的特点是采用2个相关密钥将加密和解密的能力分开，其中一个密钥是公开的，成为公钥，简称公开钥，用于加密，另一个是位用户专有，因而是保密的，成为私密密钥，简称秘密钥，用于解密

4.结合非对称加密机制的原理，说明RSA算法的基本思想。

RSA的安全性基于大数分解难度，其公钥和私钥是一对大素数的函数，从一个公钥和密钥中恢复出明文的难度等价于两个大素数之和。

5.分组密码和流密码的区别是什么？

6.什么事单向函数

Hash函数具有不可逆性，它赋予一个消息唯一的指纹，通过指纹就可以判别出该消息的完整性。

7.MD5，SHA-1密钥多长？哪一个更安全？

128位和160位，SHA-1

8.为什么用散列函数而不是用对称密码构造消息认证码？

如果使用单纯的Hash函数，则黑客在修改文件的同时，也可能重新计算器散列值，并替换原散列值，这样磁盘的文件的完整性得不到有效的保护。

将单向散列函数转换成MAC可以通过堆成加密算法加密散列值来实现。相反，将MAC转换成单向散列函数只需要将密钥公开即可。

9.请说明数字签名的基本方法和作用。

产生方法，A，有加密算法产生数字签名B，由签名算法产生数字签名

执行方法，A，直接方式B具有仲裁的方式

作用身份认证，数据完整性，不可否认性及匿名性

10.链路加密和端到端的加密区别是什么？

链路加密是仅在物理层前的数据链路层进行加密。

端到端加密时在应用层完成，即传输前的高层中完成。

第三章

1.密钥有哪几种分类？

A．初级密钥 B.钥加密钥 C.主机密钥 D.其他密钥

2.请列举出几种对称密钥的分配方案。

A．点对点模式，即通信双方直接管理共享通信密钥

B．KDC模式，通信双方的绘画密钥由KDC管理生成

C．KTC模式，通信双方的绘画密钥由发起方生成，获取，并由KTC管理传递。

3.公钥密码学和有关密钥分配的两种不同用途是什么？

公开密钥加密也称为非对称密钥加密，是由Diffie与Hellmann两位学者所是出的单向函数与单向暗门函数为基础，为发讯与收讯的两方建立加密金钥。

公钥加密的另一用途是身份验证：用私钥加密的信息，可以用公钥拷贝对其解密。

4.你能列举出几种密钥分配方法？

A.临时锁定公钥/自由的扩散\PGO的公钥环

B.公开的目录服务（在线方式）

C.公钥授权

D.通过证书中心CA（离线中心方式）

5.什么事密钥托管技术？

密钥托管技术又称为密钥恢复（Key Recovery），是一种能够在紧急情况下获取解密信息的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥的情况下恢复明文。

第四章

1.什么事PKI？有哪些组成部分？有哪些功能？

公钥基础设施（PKI）是利用公钥密码技术来实现并提供安全服务的具有通用性的安全基础设施他的基础是公钥加密技术，核心是整数服务，他可通过一个基于认证的框架处理所有数据加密和数字签名工作，并进行密钥管理和价差认证。

组成部分：A.认证机构 B.证书库 C.密钥备份及恢复系统 D.整数作废处理系统

E.PKI应用接口系统

2.公钥的基础设施做用时什么？

A.通过PKI可以构建一个可控的安全的互联网络

B.通过PKI可以在互联网中构建一个完整的授权服务体系

C.通过PKI可以建设一个普适性好安全高的统一平台

3.什么叫数字证书？有你什么功能？

数字证书是经过证书认证中心CA数字签名，并且包含公开密钥拥有者信息及公开密钥文件。作用：信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性

4.请说明X.509证书的格式。

5.什么是CRL？

证书撤销列表，又称证书黑名单，为应用程序和其他系统提供了一种检验证书有效的方式。

6.谈谈CA的作用。

认证机构CA是整个PKI的核心，是PKI应用中权威的可信任的公正的第三方机构，是体系信任的源头。CA是电子商务体系的核心环节，是电子交易信任的基础，是CA保证网上电子交易安全的关键环节。其主要职责包括证书颁发，证书废除，证书更新，维护证书，和CRL，证书装填查询，证书和制定政策等。

7.略

8.常用的信任模型有哪些？谈谈他们各自的优缺点。