电子商务安全期末考试复习题
电子商务期末复习题
电子商务期末复习题本卷共81分,其中判断24个,每题1分,单选21个,每题1分,多选18个,每题2分一、判断题1.广义的电子商务也称为电子交易,主要是指在互联网上进行的交易活动,包括买实产品和提供服务。
对错(正确答案)2.电子商务交易的商品可以是实体商品,如服装、食品等,也可以是数字化商品,如软件、视频等,还可以提供各种服务,如预订酒店等。
对(正确答案)错3.传统商务与电子商务在交易磋商环节的主要区别:传统商务是交易双方进行口头磋商或纸面贸易单证的传递,而电子商务是交易双方通过网络进行在线洽谈并传递电子贸易单证。
对(正确答案)错4.电子商务是个人对个人的交易,即参与交易的双方不是企业,而是自然人。
对错(正确答案)5.由于使用EDI能有效减少基至最终消除贸易过程中的纸面单证,因面也被称为“无纸交易”。
EDI具有费用低、覆盖范围广的特点。
对错(正确答案)6.基于互联网与内联网的电子商务都仅供企业内部成员使用,外那客户的访问会受到限制。
对错(正确答案)7.本地电子商务文易的地域范围较大,对软、硬件和技术要求较高,要求在全国范围内实现商业电子化、自动化,并实观金融电子化。
对错(正确答案)8.在线旅游服务是通过传统互联网、移动互联网及呼叫中心,为消费者提供交通、住宿、度假旅游等旅游产品的综合信息检索、咨询与预订服务。
对(正确答案)错9.网络零售的商品主要覆盖了图书音像、服装鞋靴、美妆饰品、数码家电、箱包家纺等附加值较高的品类、不适合利润空间较小的日用百货品类。
对错(正确答案)10.电子商务将降低大公司所拥有的规模经济竞争优势、从面使中小企业更易于在全球范国内参与竞争。
对(正确答案)错11.电子商务客服岗位的主要工作包括收集客户信息,了解客户需求,线上或线下与客户进行有效沟通,发展维护良好的客户关系,做好售前、售中、售后服务等。
对(正确答案)错12.相对于内贸型B2B电子商务,外贸型B2B电子商务雷要突破语言、文化。
电子商务安全期末试卷及答案2套
期末《电子商务安全》试卷A一、填空题(每空1分,共计20分)1.电子商务面临的安全威胁主要可以分为、、和。
2.加密技术可以分为和两种基本加密体制。
3.利用可以使得签名者无法获悉其所要签发文件的具体内容。
4.从总体看防火墙可以分为、、和四种类型。
5.入侵检测实现一般分为、和三个步骤。
6. 就是根据资源的价值来确定保护它们的适当安全级别。
7.CA发放的证书分为和两类证书。
8.WTLS具备、、和拒绝服务保护四大特性。
二、不定项选择题(下列选项中有1个或者多个是正确的,请选择正确的选项填入括号中,多选、错选和少选均不得分。
每小题2分,共20分)1.攻击电子商务系统的手段包括()。
A.中断B.窃听C.篡改D.伪造2.数字时间戳包括()。
A.需要加盖时间戳的文件摘要B.DTS的数字签名C.时间戳水印D.DTS收到文件的日期和时间3.消息的序号和时间性的认证目的是()。
A.确保信息的完整性B.确认信息发送的宿主C.确认信息发送的源头D.阻止消息的重放攻击4.计算机病毒按存在的介质分类可以分为()。
A.比特流病毒B.文件病毒C.网络病毒D.引导型病毒5.VPN实现的关键技术包括()。
A.隧道技术B.加密技术C.QoS技术D.数据包分发技术6.信息系统风险一般可以划分为()。
A.突发风险B.常规风险C.计算机系统风险D.环境问题7.()是PKI的重要组成部分。
A.OCSPB.KEAC.CAD.DPV8.计算机病毒可以通过()进行传播。
A.移动存储设备B.网络平台C.软件下载D.更换电源9.电子政务的信息安全机制包括()。
A.封闭机制B.支撑机制C.防护机制D.监测和恢复机制10.风险处理计划是()过程中产生的重要文件。
A.风险应对B.风险识别C.风险预防D.风险评估三、名词解释(每小题4分,共20分)1.密码体制2.消息摘要3.防火墙4.入侵检测5.数字证书四、简答题(每小题7分,共28分)1.利用哈希函数进行数字签名和验证的文件传输过程包括哪些步骤?2.电子商务交易安全具备哪些需求?3.电子商务安全管理主要包括哪些环节?4.手机病毒具有哪些特点?五、案例分析题(每题12分,共12分)中国煤焦数字交易市场中国煤焦数字交易市场(网址:)是国家863计划,科技部“九五”重大攻关项目,国家“流通领域信息化”示范工程,是一个面向市场、服务全国、连接世界的大型电子商务应用典范。
《电子商务安全》期末考试题含答案
《电子商务安全》期末考试题含答案《电子商务安全》期末考试题一、选择题1、以下哪种协议广泛应用于电子商务中,用于保证数据传输的安全性? A. SSL B. IPsec C. SET D. Kerberos 答案:A. SSL2、下列哪种攻击方式属于被动攻击? A. 监听 B. 假冒 C. 拒绝服务 D. 篡改答案:A. 监听3、为了防止电子商务中的欺诈行为,以下哪种方法最有效? A. 使用强密码 B. 经常更换密码 C. 使用匿名购物 D. 多次购买低价商品答案:A. 使用强密码4、下列哪个标准定义了IPSec协议? A. IETF B. ISO C. ITU D. IEEE 答案:A. IETF5、在电子商务中,以下哪种支付方式属于最安全的支付方式? A. 信用卡支付 B. PayPal支付 C. 电汇支付 D. 支票支付答案:B. PayPal支付二、简答题 6. 请简述SET协议的原理和作用。
答案:SET协议是一种安全电子交易协议,主要用于保障在Internet上进行信用卡支付的安全。
SET协议采用了公钥密码体制和X.509数字证书,通过数字签名、加密和消息认证等方式保证信息的安全性。
SET协议主要流程包括订单信息交换、支付信息交换和证书信息交换等步骤,使得商家和银行之间可以安全地进行电子交易。
7、请简述IPSec协议如何保障电子商务的安全。
答案:IPSec协议是一种端到端的安全协议,可以保障电子商务的安全。
IPSec协议通过在IP层上提供安全服务,可以保护数据包在网络传输过程中的完整性、私有性和可用性。
IPSec协议提供了两种主要的加密方式:数据认证和认证头(AH)以及封装安全有效负载(ESP)。
通过这些方式,IPSec可以防止网络攻击、数据泄露和篡改,从而保障电子商务的安全。
71、请简述电子商务中常见的安全问题及其解决方案。
答案:电子商务中常见的安全问题包括黑客攻击、网络钓鱼、身份盗用、数据泄露和电子欺诈等。
电子商务安全复习题(答案)
第1章 概论1、电子商务安全问题主要涉及哪些方面? p5答:信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。
2、电子商务系统安全由系统有哪些部分组成? p7答:实体安全、系统运行安全、系统信息安全。
3、电子商务安全的基本需求包括哪些? P16答:保密性、完整性、认证性、可控性、不可否认性。
4、电子商务安全依靠哪些方面支持? P17答:技术措施、管理措施、法律环境。
5、什么是身份鉴别,什么是信息鉴别? p15答:所谓身份鉴别,是提供对用户身份鉴别,主要用于阻止非授权用户对系统资源的访问。
信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。
第2章 信息安全技术1、信息传输中的加密方式主要有哪些? P27答:链路-链路加密、节点加密、端-端加密。
2、简述对称加密和不对称加密的优缺点。
P35 p40答:(1)对称加密优点:由于加密算法相同,从而计算机速度非常快,且使用方便、 计算量小 、加密与解密效率高。
缺点:1)密钥管理较困难;2)新密钥发送给接收方也是件较困难的事情,因为需对新密钥进行加密;3)其规模很难适应互联网这样的大环境。
(2)不对称加密优点:由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程,因此有助于加强数据的安全性。
缺点:加密和解密的速度很慢,不适合对大量的文件信息进行加密。
3、常见的对称加密算法有哪些? P35答:DES、AES、三重DES。
4、什么是信息验证码,有哪两种生成方法? P36答:信息验证码(MAC)校验值和信息完整校验。
MAC是附加的数据段,是由信息的发送方发出,与明文一起传送并与明文有一定的逻辑联系。
两种生成方式:1)j基于散列函数的方法;2)基于对称加密的方法。
5、如何通过公开密钥加密同时实现信息的验证和加密?P39答:1)发送方用自己的私有密钥对要发送的信息进行加密,得到一次加密信息。
2)发送方用接收方的 公开密钥对已经加密的信息再次加密;3)发送方将两次加密后的信息通过 网络传送给接收方;4)接收方用自己的私有密钥对接收到的两次加密信息进行解密,得到一次加密信息;5)接收方用发送方的公开密钥对一次加密信息进行解密,得到信息明文。
电子商务安全技术 期末试题
1.电子商务安全的三项基本技术:密码技术、网络安全技术和PKI技术2. 密码技术的分类。
加密、签名技术和密钥管理技术3. 密钥管理技术的分类对称密钥管理、公开密钥管理和第三方托管技术4. 电子签名立法的原则“技术中立”原则、功能等同方法、当事人自治原则(合同自由原则)和合理性原则5.电子政务信息安全机制。
支撑机制、防护机制、检测和恢复机制6 电子商务的安全威胁信息的截获和窃取、信息的篡改、信息假冒、交易抵赖和信用的威胁。
7 电子商务三层安全服务规范。
1网络层、传输层和应用层安全服务。
8 数字签名的特点完善的数字签名应具备:签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力9 认证的主要内容消息认证、身份验证和数字签名10 公开密钥分发的方法公开宣布;公开可以得到的目录;公开密钥管理机构;公开密钥证书。
11 电子商务面临的主要攻击中断、窃听、篡改和伪造等。
12 信息篡改的手段篡改、删除和插入13 数字签名的使用模式智慧卡式、密码式和生物测定式。
14 三类常见的身份认证的方法口令认证、持证认证和生物识别15 入侵检测的步骤三个步骤依次为:信息收集、数据分析和响应(主动响应和被动响应)16 明文空间和密文空间所有明文的集合称为明文空间;所有密文的集合称为密文空间。
17 数字签名数字签名时指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,和与数据有关的任何方法,它可用于数据电文有关的签字持有人和标明此人认可数据电文所含信息。
18 不可争辩签名不可争辩签名时在没有签名者自己的合作下不可能验证签名的签名。
19 风险评估风险评估就是根据资源的价值来确定保护它们的适当安全级别。
20 电子政务的信息安全目标可用性目标、完整性目标、保密性目标、可记账性目标、保障性目标21信息的完整性信息的完整性有又叫真确性,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
电子商务安全管理期末复习题
电子商务安全管理期末复习题1、常用的网络安全技术有哪些?(20分)安全交易技术,信息加密技术,数字签名,病毒防护技术,身份识别技术,防火墙技术,入侵检测系统,网络安全管理策略。
2、对称密码体制的优缺点是什么?(20分)优点:计算量小,加密速度快,加密和解密数据使用同一个密钥。
缺点:容易引起密钥泄密和信息失密,它存在着通信的贸易双方之间确保密钥安全交换的问题。
此外,某一贸易方有几个贸易关系,它就要维护几个专用密钥,也没法鉴别贸易发起方或贸易最终方,因为贸易的双方的密钥相同。
另外,由于对称加密系统仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。
3、什么是计算机病毒?(20分)计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。
”国外对计算机病毒最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。
计算机病毒通常包括引导模块、传染模块、破坏行动模块。
存储介质上的计算机病毒,在没有加载在内存中处于运行状态时,不具备传染性和破坏性,因此对系统的安全不构成危害。
4、数字证书的概念是什么?(20分)数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,其作用类似于司机的驾驶执照或日常生活的身份证。
它是由一个权威机构--CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
5、什么是防火墙?(20分)为了防范不可信用户利用Internet入侵内部网,保护内部网不受外来入侵的攻击,人们在Internet与内部网之间设置一个安全网关,在保持内部网与Internet连通性的同时,对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。
电子商务安全期末复习题
电⼦商务安全期末复习题电⼦商务安全期末复习题单项选择题:1、电⼦商务应⽤中的风险不包括()问题A. 病毒和⿊客攻击B. 操作系统安全漏洞C. 有效性D. 敏感性E. 实⽤性D2、Internet上的电⼦商务安全不涉及()问题A. 通信可靠性B. 敏感信息保密C. SET协议的私钥保密D. 追踪和监控交易过程E. 控制资⾦流和物流C3、PKI技术中的X.509证书使⽤了不同于XML中的()进⾏描述A. 数据表达B. 存储格式C. ASN.1语⾔D. 扩展性E. ⾼度结构化 C4、DES算法的标准分组长度、真实⽤到的加密密钥长度、迭代轮次、每次迭代⽤到的字密钥长度分别为()A. 56、56、8、56B. 64、56、16、48C. 64、56、15、48D. 64、56、16、46 E. 128、56、16、48 B5、现代密码学的主题不是()A. 秘密性B. 真实性C. 抵赖性D. 完整性E. CA E7、在IP报头的各个字段中,哪⼀个作⽤是:表⽰后⾯还有⼀分段,除了最后⼀个分段,所有分段的该标识置为1。
()D A.AF B.CF C.DF D.MF8、FTP⽂件传输应⽤在客户/服务环境。
请求机器启动⼀个FTP客户端软件,这就给⽬标⽂件服务器发出⼀个请求。
通常,这个请求被送到端⼝()。
C A.20 B.22 C.21 D.239、每台连接到以太⽹上的计算机都有⼀个唯⼀的()位以太⽹地址。
C A.53 B.32 C.48 D.1610、Ping命令的选项中()表⽰定义echo数据包⼤⼩。
CA.-t B.-a C.-l D.-n11、()命令⽤来跟踪⼀个报⽂从⼀台计算机到另⼀台计算机所⾛的路径。
DA.finger B.ping C.host D.tracert12、为了使过滤器难以探测到,要将⼀个TCP头分成⼏个数据包的扫描技术是()A.TCP connect()扫描B.TCP SYN扫描C.TCP FIN扫描D.IP段扫描D13、以下不属于常⽤的代理服务器软件的是()。
《电子商务安全》期末考试题含答案
《电子商务安全》期末考试题含答案电子商务安全期末考试A卷一、选择题(单选)1.下列选项中属于双密钥体制算法特点的是(C)A.算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高2.实现数据完整性的主要手段是(D)A.对称加密算法B.非对称加密算法C.混合加密算法D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】3.数字签名技术不能解决的安全问题是(C)A.第三方冒充B.接收方篡改C.传输安全4.病毒的重要特征是(B)A.隐蔽性B.传染性C.破坏性D.可触发性5.在双密钥体制的加密和解密过程中,要使用公共密钥和个人密钥,它们的作用是(A)A.公共密钥用于加密,个人密钥用于解密B.公共密钥用于解密,个人密钥用于加密C.两个密钥都用于加密D.两个密钥都用于解密6.在一次信息传递过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采用的安全手段是(B)A.双密钥机制B.数字信封C.双联签名D.混合加密系统7.一个密码系统的安全性取决于对(A)A.密钥的保护B.加密算法的保护C.明文的保护D.密文的保护8.在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于(A)A.包过滤型B.包检检型C.应用层网关型D.代理服务型9.电子商务的安全需求不包括(B)[机密性、完整性、认证性、有效性、匿名性、不可抵赖]A.可靠性B.稳定性C.真实性D.完整性10.SSL握手协议包含四个主要步骤,其中第二个步骤为(B)A.客户机HelloB.服务器HelloC.HTTP数据流D.加密解密11.SET安全协议要达到的目标主要有(C)【机密性、保护隐私、完整性、多方认证、标准性】A.三个B.四个C.五个D.六个12.下面不属于SET交易成员的是(B)A.持卡人B.电子钱包C.支付网关D.发卡银行13.X205证书包含许多具体内容,下列选项中不包含在其中的是(C)A.版本号B.公钥信息C.私钥信息D.签名算法14.身份认证中的证书由(D)A.政府机构B.银行发行C. 企业团体或行业协会D.认证授权机构发行15.目前发展很快的基于PKI的安全电子邮件协议是(A)A. S/MIME B.POP C.SMTP D.IMAP二、选择题(多选)16.下列属于单密钥体制算法的有(AC)A.DESB.RSAC.AESD.SHA17.下列公钥——私钥对的生成途径合理的有(BCD)A.网络管理员生成B.CA生成C.用户依赖的、可信的中心机构生成D.密钥对的持有者生成18.防火墙不能解决的问题包括(BCE)A.非法用户进入网络B.传送已感染病毒的文件或软件C.数据驱动型的攻击D.对进出网络的信息进行过滤E.通过防火墙以外的其它途径的攻击19.PKI技术能有效的解决电子商务应用中的哪些问题(ABC)全选A.机密性B.完整性C.不可否认性D.存取控制E.真实性20.SET要达到的主要目标有(ACDE)A.信息的安全传输B.证书的安全发放C.信息的相互隔离D.交易的实时性E.多方认证的解决三、填空:1. SSL可用于保护正常运行于TCP上的任何应用协议,如_HTTP__、__FTP_、SMTP或Telnet的通信。
电子商务安全复习
电子商务安全复习题目一、单项选择题1.电子商务的安全需求不包括( B )A.可靠性B.稳定性C.匿名性D.完整性2以下哪个不是常用的对称加密算法( D )A.DESB.AESC.3DESD.RSA3.访问控制的要素有几种( D )A.2B.3C.4D.54. 下面关于病毒的叙述正确的是(D )A.病毒可以是一个程序B.病毒可以是一段可执行代码C.病毒能够自我复制D.ABC都正确5. 根据物理特性,防火墙可分为(A )A. 软件防火墙和硬件防火墙B.包过滤型防火墙和双宿网关C. 百兆防火墙和千兆防火墙D.主机防火墙和网络防火墙6.目前公认的保障网络社会安全的最佳体系是( A )A.PKIB.SETC.SSLD.ECC7.防火墙软件不能对付哪类破坏者? ( C )A.未经授权的访问者B.违法者C.内部用户D.地下用户8.数据的备份类型不包括? ( B )A.完全备份B.部分备份C.增量备份D.差别备份9.针对木马病毒的防范,以下正确的是( A )A.设置复杂密码,最好包含特殊符号B.随意打开不明邮件的附件C.浏览不健康网站D.网上下载的软件未经扫描就使用10.以下那个不是杀毒软件的正确使用方法( A )A.中毒之后再下载杀毒软件来安装B.设置开机自动运行杀毒软件C.定期对病毒库进行升级D.经常针对电脑进行全盘扫描11.关于密码学的术语描述错误的是( B )A.最初要发送的原始信息叫做明文B.算法是在加密过程中使用的可变参数C.密文是被加密信息转换后得到的信息D.解密是将密文转换为明文的过程12.以下说法错误的是? ( D )A.电子商务中要求用户的定单一经发出,具有不可否认性B.电子商务中的交易信息要防止在传输工程中的丢失和重复C.电子商务系统应保证交易过程中不泄漏用户的个人信息D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。
13.使用计算机应遵循的完全原则不包括如下哪一个( D )A.密码安全原则B.定期升级系统 C.禁止文件共享D.允许远程访问14. HTTPS是使用以下哪种协议的HTTP?( C )A.SSHB.SETC.SSLD.TCP15.下列哪一项不属于电子商务使用的主要安全技术( C )A.加密B.电子证书C.实名认证D.双重签名16.典型的DES以( A )位为分组对数据进行加密?A.64B.128C.256D.51217.VPN的含义是( B )A.局域网B.虚拟专用网络C.广域网D.城域网18.移动电子商务对系统的安全需求不包括( C )A.身份认证B.接入控制C.数据可靠性D.不可否认性19.以下那种情况可以放心的使用在线电子支付系统( D )A.在单位的公用电脑B.在网吧C.在肯德基使用免费WIFID.在家庭的网络中20.以下哪种操作可以有效防护智能手机操作系统安全( B )A.下载安装腾讯QQB.使用专门软件实时监控手机运行状态C.给手机设置密码,密码是自己的生日D.经常打开微信,链接各种网站。
电子商务安全期末习题
电子商务安全期末习题电子商务安全1、电子商务常用的几种安全技术?答:主要有:1)加密解密技术2)数字签名技术3)数字时间戳4)验证技术5)数字证书技术2、电子商务系统安全的构成:主要包括1)系统实体安全,即主要有环境安全、设备安全和媒体安全2) 系统运行安全,即包括风险分析、审计跟踪、备份与恢复和应急措施。
3)系统信息安全,主要有七个部分组成:a.操作系统安全b数据库安全c.网络安全d.计算机病毒保护e,访问控制 f.加密g.鉴别。
3、网络信息系统的安全威胁与对策:第一、电子商务交易双方(销售方和消费方)可能存在的威胁与对策(1)对销售方的威胁1)中央系统安全性破坏2)竞争者检索商品递送状况3)客户资料被竞争者获悉4)被他人假冒二损害公司信誉5)消费方提交订单后不付款。
6)虚假订单7)获取他人机密(2)对消费方的威胁1)虚假订单2)付款后收不到商品3)丧失机密性4)拒绝服务第二、在Internet中可能存在的网络攻击(1)服务器攻击(2)非服务器攻击第三、网络安全漏洞与对策(1)网络协议安全漏洞(2)防火墙安全漏洞(3)口令漏洞(4)操作系统的安全漏洞(5)陷门第四、网络内部威胁与对策1)有意或无意的泄露网络用户或网络管理员的密码或口令。
2)绕过防火墙,私自和外部网络连接3)越权查看、修改和删除系统文件、应用程序及数据。
4)越权修改网络系统级配置,造成网络工作不正常。
此对策有:一方面可通过管理软件随时监控网络运行状态与用户工作状态,对重要的资源使用状态进行记录和审计;另一方面,应制定和不断完善网络使用的管理制度,加强内部用户培训和管理。
第五、网络病毒即编制在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
第六、黑客攻击即对计算机信息系统进行非授权访问的人员。
4、数据完整性就是指对抗对手的主动攻击,防止信息被未经授权的人篡改。
5、机密性是指信息不能被非授权者、实体或进程利用或泄漏的特性。
10电子商务安全期末复习资料
电子商务安全期末复习题1一、单项选择题在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。
错选、多选或未选均无分。
1.TCP/IP 协议安全隐患不包括( )A.拒绝服务B.顺序号预测攻击C.TCP 协议劫持入侵D.设备的复杂性2.IDEA 密钥的长度为( )A.56B.64C.124D.1283.在防火墙技术中,内网这一概念通常指的是( )A.受信网络B.非受信网络C.防火墙内的网络D.互联网4.《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-935.在Kerberos 中,Client 向本Kerberos 的认证域以内的Server 申请服务的过程分为几个阶段?( )A.三个B.四个C.五个D.六个6.信息安全技术的核心是( )A.PKIB.SETC.SSLD.ECC7.Internet 接入控制不.能.对付以下哪类入侵者? ( )A.伪装者B.违法者C.内部用户D.地下用户8.CA 不.能.提供以下哪种证书? ( )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书9.我国电子商务走向成熟的重要里程碑是( )A.CFCAB.CTCAC.SHECAD.RCA10.通常为保证商务对象的认证性采用的手段是( )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印11.关于Diffie-Hellman 算法描述正确的是( )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的12.以下哪一项不.在.证书数据的组成中? ( )A.版本信息B.有效使用期限C.签名算法D.版权信息13.计算机病毒的特征之一是( )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性14.在Kerberos 中,Client 向本Kerberos 认证域外的Server 申请服务包含几个步骤? ( )A.6B.7C.8D.915.属于PKI 的功能是( )A.PAA,PAB,CAB.PAA,PAB,DRAC.PAA,CA,ORAD.PAB,CA,ORA16.MD-4 散列算法中输入消息可以任意长度,但要进行分组,其分组的位数是( )A.64B.128C.256D.51217.SHA 的含义是( )A.加密密钥B.数字水印C.安全散列算法D.消息摘要二、多项选择题在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其代码填写在题后的括号内。
电子商务安全期末考试复习题
1.MAC:由只有通信双方知道的秘密密钥K来控制的消息的散列值。
2.数字信封:用对称密码体制的密钥加密明文,而用公钥密码体制的公钥加密这个对称密钥。
3.数字证书:就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件,其中CA的数字签名可以确保用户公钥的真实性。
4.PKI:公钥基础设施通常简称PKI。
所谓PKI就是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。
5.PDRR:电子商务安全是在安全策略的指导下,由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击:攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码,作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。
特点:广泛性、技术难度不高、危害性大。
7.VPN:虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来,或将一个或多个远程用户与内部网络安全的连接在一起,从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来,构成一个扩展了的企业内部网。
8.单点登录技术:简称SSO,是指用户只需向网络进行一次身份认证,以后再无需另外验证身份,便可访问所有被授权的网络资源。
9.替代和置换:假设明文消息中的每个字母不是同时移动相同的位数,而是根据一张替代表使用随机替换,则在一个明文消息中,每个A可以替换成B~Z中的任意字母,B也可以替换成A或C~Z中的任意字母。
置换密码通过改变明文消息中各元素出现的相对位置,但明文消息元素本身的取值不变。
乘积密码:是以某种方式连续执行两个或多个密码交换。
10.IPSec协议主要功能:①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式:电子现金、电子支票、电子信用卡,微支付1.电子商务安全要素:机密性(信息不被泄露给非授权用户)、完整性(信息是未被篡改的)、不可抵赖性(信息的收发双方不能否认曾经受发过信息)、即时性(在规定的时间内完成服务)、真实性(确保对方的真实信息和身份的来源是真的)、访问控制(对访问者访问资源时的权限控制)、可用性(访问者需要的时候是可用的)。
电子商务安全期末考试复习资料
•第1章:TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层:仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层:TCP(传输控制协议)、UDP(用户数据报协议)③网络层:网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工:①载波监听:当一个站点要向另一个站点发送信息时,先监听网络信道上有无信息在传输,信道是否空闲。
②信道忙碌:如果发现网络信道正忙,则等待,直到发现网络信道空闲为止。
③信道空闲:如果发现网路信道空闲,则向网上发送信息。
由于整个网络信道为共享总线结构,网上所有站点都能够收到该站点所发出的信息,所以站点向网络发送信息也称为“广播”。
④冲突检测:站点发送信息的同时,还要监听网络信道,检测是否有另一台站点同时在发送信息。
如果有,两个站点发送的信息会产生碰撞,即产生冲突,从而使数据信息包被破坏。
⑤遇忙停发:如果发送信息的站点检测到网上的冲突,则立即停止发送,并向网上发送一个“冲突”信号,让其他站点也发现该冲突,从而摒弃可能一直在接收的受损的信息包。
⑥多路存取:如果发送信息的站点因“碰撞冲突”而停止发送,就需等待一段时间,再回到第一步,重新开始载波监听和发送,直到数据成功发送为止。
第2章:网络安全基础1.计算机网络安全的定义网络安全的学术定义为:通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性,并对信息的传播及内容有控制能力。
2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。
在一般情况下,网络处于正常工作状态,一旦到了某个预定的日期,程序便自动跳到死循环程序,造成四级甚至网络瘫痪。
3.遥控旁路的定义除了给用户提供正常的服务外,还将传输的信息送给设定的用户,这就是旁路,这种情况非常容易造成信息的泄密。
(完整word版)电子商务安全 期末复习(word文档良心出品)
电子商务安全与管理期末复习题型: 1. 选择题(30分:1.5分1题,共20题)2. 判断并说明理由题(28分:4分1个,共7题。
其中判断对错占2分,简要说明理由占2分)3. 简答题(30分:6分1题,共5题)4. 综合分析题(12分:6分1题,共2题)1、电子商务涉及的安全问题有哪些?P4-6A. 信息的安全问题:冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题:来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。
P74、电子商务的安全保障主要由哪三方面去实现?P17-22技术措施①信息加密技术:保证数据流安全,密码技术和非密码技术②数字签名技术:保证完整性、认证性、不可否认性③TCP/IP服务:保证数据完整传输④防火墙的构造选择:防范外部攻击,控制内部和病毒破坏管理措施①人员管理制度:严格选拔落实工作责任制贯彻EC安全运作三项基本原则:多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪:自动生成系统日志审计:对日志进行审计(针对企业内部员工)稽查:针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析:a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。
b.运行前:根据系统运行期的运行状态和结果,分析潜在安全隐患。
c.运行期:根据系统运行记录,跟踪系统状态的变化,分析运行期的安全隐患。
d.运行后:分析系统运行记录,为改进系统的安全性提供分析报告。
审计跟踪:a.记录和跟踪各种系统状态的变化。
b.实现对各种安全事故的定位。
c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。
P27①链路-链路加密②节点加密③端-端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别:2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使用RSA密钥传输法。
电子商务期末考试试题
电子商务期末考试试题电子商务期末考试试题一、填空题1、电子商务是以___________为基础,___________为核心,利用___________传输手段,在___________上进行的___________交易活动。
2、电子商务系统主要由___________,___________,___________和___________组成。
3、电子商务的安全要求包括___________,,,___________和___________五个方面。
4、电子现金具有的特性是___________,___________,和。
5、按照EDI的概念,合法的EDI电子交易合同应满足三个条件,它们是___________,和。
6、在拍卖网站中,出价人一般分为___________和___________两类。
7、在中国国际电子商务网上的“在线广交会”中,供应商只能选择成为一般会员,而采购商则分为一般采购商和___________两种。
8、目前我国有几家著名的拍卖网站,它们是___________,和。
9、在国际贸易中,报关单是指进出口货物收发货人或其代理人,按照海关规定的格式,对进出口货物的实际情况做出书面申明,以此办理货物进出口手续的文件。
报关单的种类包括___________,___________,和。
10、在国际贸易中,贸易单据是指伴随进出口贸易流程而产生的文件与单据,其中包括___________,___________,___________和___________等。
二、选择题1、下面哪些网站属于B2B电子商务的网站?() A. 淘宝网 B. 阿里巴巴 C. 新浪 D. 拍拍网2、下列哪个协议属于Web应用系统中最常用的会话层协议?() A. ASP B. SSL C. FTP D. UDP3、下列哪个标准属于视频会议标准?() A. H.320 B. MPEG-1 C. MHEG-5 D. H.3234、下列哪个技术属于移动电子商务中关键的技术?() A. WAP技术 B. SET技术 C. DES技术 D. RSA技术5、下列哪个模式属于B2C电子商务模式?() A. ASP模式 B. B2B 模式 C. B2C模式 D. C2C模式6、下列哪些属于EDI的特点?() A. 计算机系统应用的普遍性 B. 全球贸易标准化 C. 通信方式网络化 D. 贸易单据标准化7、下列哪些属于电子钱包的功能?() A. 电子馈赠 B. 电子邮件认证 C. 加密功能 D. 电子支付功能8、下列哪些属于CA认证中心的功能?() A. 发放证书 B. 维护根密钥 C. 发放证书废除通告 D. 发放CRL9、下列哪些属于电子商务安全的主要技术?() A. 数据加密技术B. 防黑客技术C. 防病毒技术D. 防火墙技术10、下列哪些属于电子商务安全的主要威胁?() A. 窃听风险 B. 假冒风险 C. 篡改风险 D.电子商务期末试题及答案电子商务期末试题及答案一、选择题1、下列哪一项不是电子商务的优势?(D) A. 降低成本 B. 扩大市场 C. 提高效率 D. 增加风险2、以下哪一项不是电子商务的分类?(D) A. B2B B. B2C C. C2C D. B2G3、下列哪一项不是电子商务安全技术的功能?(D) A. 防止黑客入侵 B. 防止数据泄露 C. 防止拒绝服务攻击 D. 防止病毒传播4、下列哪一项不是网上银行的特点?(D) A. 全球化 B. 虚拟化 C. 个性化 D. 本地化5、下列哪一项不是网络营销的优势?(D) A. 低成本 B. 互动性强C. 个性化D. 本地化二、填空题1、电子商务的概念包括__________和__________两个方面。
《电子商务》期末复习题及答案
《电子商务》复习题一、单选题(每题1分)1. 下列流中哪一个不构成电子商务的组成要素:(C) A. 信息流 B. 资金流 C. 人员流 D. 实物流2.为了让公司经理出差时可以利用笔记本电脑通过电话拨号访问公司内部网,需要在内部网中配置:DA. 集线器B. 交换机C. 远程路由器D. 远程访问服务器3.下列哪些Internet广告的费用最低:( C ) A. 旗帜广告 B. 空间租用 C. 电子邮件 D. 醒目网页4.下列哪个是7 x 24小时应用:( C ) 证券交易系统B.银行储蓄业务系统C.企业管理信息系统D.I N T E R N E T网上购物系统5.网络广告中的CPM是指:( A ) A. 一千次显示的价格 B. 点击进入的次数来记价 C. 交互性方式来记价 D. CPA6.IBM公司的域名是:( A ) A. B. C. D. 7.表示企业与企业间电子商务的英文缩写是( B ) A.B TO C B.B TO B C.B TO R D.B TO G8. 在开放的因特网上处理电子商务,如何保证买卖双方传输数据的安全成为电子商务能否普及的最重要的问题。
两大信用卡组织,VISA和Mastercard,联合开发了( D )A.SSL安全协议B.电子现金C.电子钱包D.SET电子商务交易安全协议9. 电子商务的应用层次从低层到高层依次为:( D )A. 安全体系、网络平台、支付系统、应用系统B. 网络平台、支付系统、安全体系、应用系统C. 支付系统、安全体系、网络平台、应用系统D. 网络平台、安全体系、支付系统、应用系统10.Microsoft SQL Server 7.0是一个:( A )A.数据库管理系统 B. 数据库系统 C. 数据库 D. 数据仓库11. 1996年2月,( C )共同发起制定了保障在因特网上B to C模式下进行安全电子交易的SET协议。
A:微软(Microsoft)和网景公司(Netscape) B:IBM、康柏、Sun MicrosystemsesC:VISA与MASTER CARD两大国际信用卡组织 D:IBM和Sun Microsystemses12.电子邮件地址的一般形式为( C )。
山东财经大学电子商务安全期末复习自测题及参考答案
《电子商务安全》复习自测题一单项选择题1.美国电子商务交易额约占全球的()。
A二分之一B三分之一C四分之一D五分之一2.我国网络购物使用率超过()。
A百分之五十 B百分之六十 C百分之七十 D百分之八十3.电子商务交易安全是一个()过程。
A 静态B保护-反馈 C 保护-反馈-修正保护-反馈-修正-再保护4.B2C电子商务基本属于()的范畴。
A网络商品直接交易B网络商品中介交易C企业间网络交易D网络商品直销5.电子商务安全体系可以分为几大安全领域?A 11B 16C 12D 86.电子商务交易安全保障体系是一个()系统。
A 分散型B 密集型C 复合型D 单一型7.网络商品直销模式的最大特点是()。
A电子数据交换B外联网 C联网D联网8.电路级网关又称(),它工作在会话层。
A路级网关B内部网关C部网关 D线路网关9.()是最著名的,同时也是研究得最透彻的对称密码算法。
A DEAB DESC DFSD RC210.2002年1月24日,联合国通过了()。
A《电子商业示范法》B电子签名示范法》C《数字签名示范法》D《电子商务示范法》11. 2004年8月,第十届全国人大常委会第十一次会议正式通过了()。
A 《电子商业示范法》B数字签名法》C电子商务法》 D 《电子签名法》12.电子商务标准的基础是。
A 信息安全标准B 技术安全标准C 安全标准D 全标准13.网络广告的内容管理的基本要求是:。
A促进广告内容的真实性、合法性B促进广告内容的真实性、合法性和科学性C促进广告内容的真实性、全面性和科学性D促进广告内容的真实性、合法性和全面性14.中国在国际互联网信息中心正式注册并运行的顶级域名是。
A “CH”B B “CN”C “CV”D “CA”15.我国当前的类别域名有______个。
A 3B 4C 5D 616.1996年12月,联合国第51次会议通过。
A 《电子签名示范法》B 《电子商务示范法》C 《联合国国际合同使用电子通信公约》D 《联合国国际贸易法委员会关于网上争议解决的技术指引》17.我国网络安全领域的第一部综合性基础法律是:。
《电子商务安全》期末考试题—旗舰版
《电⼦商务安全》期末考试题—旗舰版电⼦商务安全期末考试A卷⼀、选择题(单选)1.下列选项中属于双密钥体制算法特点的是(C)A.算法速度快B.适合⼤量数据的加密C.适合密钥的分配与管理D.算法的效率⾼2.实现数据完整性的主要⼿段是(D)A.对称加密算法B.⾮对称加密算法C.混合加密算法D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】3.数字签名技术不能解决的安全问题是(C)A.第三⽅冒充B.接收⽅篡改C.传输安全4.病毒的重要特征是(B)A.隐蔽性B.传染性C.破坏性D.可触发性5.在双密钥体制的加密和解密过程中,要使⽤公共密钥和个⼈密钥,它们的作⽤是(A)A.公共密钥⽤于加密,个⼈密钥⽤于解密B.公共密钥⽤于解密,个⼈密钥⽤于加密C.两个密钥都⽤于加密D.两个密钥都⽤于解密6.在⼀次信息传递过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采⽤的安全⼿段是(B)A.双密钥机制B.数字信封C.双联签名D.混合加密系统7.⼀个密码系统的安全性取决于对(A)A.密钥的保护B.加密算法的保护C.明⽂的保护D.密⽂的保护8.在防⽕墙使⽤的存取控制技术中对所有进出防⽕墙的包标头内容进⾏检查的防⽕墙属于(A)A.包过滤型B.包检检型C.应⽤层⽹关型D.代理服务型9.电⼦商务的安全需求不包括(B)[机密性、完整性、认证性、有效性、匿名性、不可抵赖]A.可靠性B.稳定性C.真实性D.完整性10.SSL握⼿协议包含四个主要步骤,其中第⼆个步骤为(B)A.客户机HelloB.服务器HelloC.HTTP数据流D.加密解密11.SET安全协议要达到的⽬标主要有(C)【机密性、保护隐私、完整性、多⽅认证、标准性】A.三个B.四个C.五个D.六个12.下⾯不属于SET交易成员的是(B)A.持卡⼈B.电⼦钱包C.⽀付⽹关D.发卡银⾏(3)经私钥加密后的数据可被所有具有公钥的⼈解开,由于私钥只有持有者⼀⼈保存,这样就证明信息发⾃私钥持有者,具有不可否认性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.MAC:由只有通信双方知道的秘密密钥K来控制的消息的散列值。
2.数字信封:用对称密码体制的密钥加密明文,而用公钥密码体制的公钥加密这个对称密钥。
3.数字证书:就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件,其中CA的数字签名可以确保用户公钥的真实性。
4.PKI:公钥基础设施通常简称PKI。
所谓PKI就是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。
5.PDRR:电子商务安全是在安全策略的指导下,由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击:攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码,作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。
特点:广泛性、技术难度不高、危害性大。
7.VPN:虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来,或将一个或多个远程用户与内部网络安全的连接在一起,从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来,构成一个扩展了的企业内部网。
8.单点登录技术:简称SSO,是指用户只需向网络进行一次身份认证,以后再无需另外验证身份,便可访问所有被授权的网络资源。
9.替代和置换:假设明文消息中的每个字母不是同时移动相同的位数,而是根据一张替代表使用随机替换,则在一个明文消息中,每个A可以替换成B~Z中的任意字母,B也可以替换成A或C~Z中的任意字母。
置换密码通过改变明文消息中各元素出现的相对位置,但明文消息元素本身的取值不变。
乘积密码:是以某种方式连续执行两个或多个密码交换。
10.IPSec协议主要功能:①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式:电子现金、电子支票、电子信用卡,微支付1.电子商务安全要素:机密性(信息不被泄露给非授权用户)、完整性(信息是未被篡改的)、不可抵赖性(信息的收发双方不能否认曾经受发过信息)、即时性(在规定的时间内完成服务)、真实性(确保对方的真实信息和身份的来源是真的)、访问控制(对访问者访问资源时的权限控制)、可用性(访问者需要的时候是可用的)。
2.电子商务面临的安全威胁:中断、截获、篡改、伪造、抵赖。
3.风险管理定义和过程:风险管理由风险评估、风险处理、基于风险的决策组成。
风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。
基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。
基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动。
4.安全等级和对应的操作系统:类别有ABCD,级别和对应的操作系统分别为A、B1、B2、B3、C1 (Windows 9x系列)、C2 (Windows 2000)、D(Windows 2003及Unix、MS-DOS)。
5.数据加密标准DES:DES是一种分组密码算法,它将明文从算法的一端输入,将密文从另一端输出。
由于采用的是对称密钥,因此加密和解密使用相同的算法和密钥,并且加密和解密算法是公开的,系统的安全性完全依赖于密钥的保密。
6.DES加密过程:DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据7.异常检测与误用检测的区别:异常检测假设所有的入侵行为和正常行为不同,入侵是异常行为的子集。
异常检测系统通过监控程序监控用户的行为,将当前主题的活动情况与用户轮廓进行比较,用户轮廓通常定义为各种行为参数及其阈值的集合,用于描述正常行为范围。
误用检测是对已知的入侵行为和系统漏洞进行分析,研究入侵行为过程和系统漏洞的特征,对这些已知的攻击或入侵做出正确性的描述,用一种模式表示出来,形成入侵行为特征库。
8.SSL协议的工作原理:SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息,来实现有关安全特性的审查。
提供浏览器和服务器之间的鉴别和安全通信.提供身份认证、保密性、完整性。
SSL分为两层:①SSL握手协议是客户和服务器开始通信时必须进行的协议,握手协议有两方面的作用,其一是验证对方的身份,其二是协商在以后传输加密数据时要使用的会话密钥,以及求MAC时所用的密钥。
②SSL记录协议将数据流分割成一系列的片段并对这些片段进行加密来传输,接收方对每条记录单独进行解密和验证。
这种方案使得数据一经准备好就可以从连接的一端传输到另一端,并在接收到时即刻加以处理。
SSL工作过程:(1)浏览器请示与服务器建立安全会话;(2)浏览器与web服务器交换密钥证书以便双方相互确认;(3)web服务器与浏览器协商密钥位数(40位或128位),客户机提供自己支持的所有算法清单,服务器选择他认为最有效的密钥生成算法;(4)浏览器将产生的会话密钥用web服务器的公钥加密传给web服务器;(5)web服务器用自己的私钥解密;(6)web服务器和浏览器用会话密钥加密和解密,实现加密传输。
9.SET(安全电子交易协议)的工作流程:①初始请求②初始应答③购物请求④商家发出支付授权请求⑤支付网关发出支付授权请求⑥发卡银行对支付授权请求应答⑦支付网关向商家发送支付授权应答⑧商家向持卡人发送购物应答⑨持卡人接收并处理商家订单确认信息(10)商家发货并结算10.SSL与SET比较:SET是应用于Internet上的以信用卡为基础的安全电子交易协议,是针对信用卡在Internet上如何安全付款而制订的交易应用协议,而SSL仅仅是一个数据传输的安全协议,它只是为了确保通信双方信息安全传输而制订的协议。
也就是说,SET是电子商务交易的专用协议,而SSL只是保证Web安全的一个通用协议。
①用户接口:SSL协议已经被浏览器和Web服务器内置,无需安装专门的SSL软件;而SET协议中客户端需要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件;②处理速度:SET非常复杂、庞大,处理速度慢。
而SSL协议简单得多,处理速度比SET快;③认证要求:SSL V3.0可以通过数字证书和签名实现浏览器和服务器之间的相互身份认证,但不能实现多方认证,而且SSL中只有对服务器的认证是必须的,对客户端的认证是可选的。
SET协议对身份认证的要求较高,所有参与SET交易的成员都必须申请数字证书,并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题;④安全性:SET由于采用了公钥加密、消息摘要和数字签名可以确保交易信息的完整性、保密性、可鉴别性和不可否认性,且SET采用了双重签名来保证各参与方信息的相互隔离。
SSL协议虽然也采用了公钥加密、消息摘要、MAC检测,可以提供保密性、完整性和一定程度的身份鉴别功能但缺乏一套完整的认证体系,不能提供抗抵赖功能;⑤协议层次和功能:SSL属于传输层的安全技术规范,不具备电子商务的商务性、协调性和集成性功能,而SET协议未与应用层,不尽规范了整个电子商务活动的流程,而且制定了严格的加密和认证标准,具有商务性、协调性和集成性功能。
11.会话密钥的分配:①密钥由A选取并通过物理手段发送给B;②密钥由第三方选取并通过物理手段发送给A和B;③如果A、B事先已有一密钥则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方;④如果A和B与第三方C分别有一保密信道,则C为A、B选取密钥后,分别在两个保密信道上发送给A、B。
12.消息认证的方法:消息认证是一个过程,用来验证接收消息的真实性和完整性,同时还可以用来验证消息的顺序性和时间性。
方法有(1)利用对称加密体制实现消息认证(2)利用公钥加密体制实现消息认证(3)利用散列函数实现消息认证。
13.如何保密通信且实现身份认证:①先由甲方生成密钥k,并用自己的私钥对k进行加密生成c1②甲再用乙方的公钥对c1进行加密生成c2,并把c2和密文c发送给乙方③乙方先用自己的私钥把c2解密为c1④乙再用甲方的公钥把c1解密为k,乙方再用对称加密算法的密钥k解密最初的c,解出M。
14.利用数字证书进行身份认证:(1)单向认证:①甲产生数据消息M,并用自己的证书对应的私钥加密该消息生成密文ESKA(M),把密文和证书都发给乙②乙收到后,先验证证书的真伪与有效性,然后用甲方证书中的公钥解密密文;如解密成功则实现了了身份认证与完整性。
(2)双向认证:①完成以上2部实现单向认证②乙产生一个随机数R并生成一个消息,用自己的证书对应的私钥加密该消息,得到密文Db (Mb),把密文和自己的证书发给甲③甲收到后,先验证证书真伪、有效性,证书验证通过后,甲用乙的公钥解密密文,解密成功则实现了身份认证与完整性。
(3)三向认证:随机数(r A、r B)时间戳(t A t B)证书(A、B)会话秘钥(K ab)签名(signData)①甲给乙,t A,r A,B,signData,E KUB(K ab)②乙给甲,t B,r A,r B,A,signData,E KUA(K ab)③甲给乙,r B15.访问控制策略:访问控制策略在系统安全策略级上表示授权,也就是说决定对访问如何控制并决定如何访问。
访问控制的实现依赖于访问控制策略的实现。
可分为自主访问控制、强制访问控制、基于角色的访问控制。
①不能防范不经过防火墙的攻击②不能防范来自内部人员的恶意攻击③不能阻止被病毒感染的程序或文件的传递④不能防止数据驱动式攻击⑤防火墙是被动消极的防御,无法抵御新的攻击方式18.RSA工作原理:①选择大素数:独立的选取两大素数p和q,计算两者之积n=p×q计算n的欧拉函数φ(n)=φ(p)×φ(q)= (p-1)×(q-1),计算完后,n可以公开;②产生公钥和私钥:随机选一整数e(1≤e≤φ(n),φ(n)与e互素)作为某用户的公钥。
求出e的乘法逆元,将该结果作为私钥d,即d*e≡1 mod(φ(n))。
显然公钥和私钥是成对出现的,但私钥是保密的,公钥是公开的;③密钥的发布:将d保密,(d,n)作为私钥,将e公开,(e,n)作为公钥。
为了安全这时可销毁p,q;④加密的步骤:加密时首先将明文比特串分组,使得每个分组对应的十进制数小于n,即分组长度小于log2n。
然后对每个明文分组m,做加密运算c=E(m)=me mod n;⑤解密的步骤:对密文分组c的解密运算为m=D(c)=cd mod n。