电子商务安全技术复习
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电子商务安全技术复习
第一章电子商务安全概论
1.拒绝服务攻击是什么?又是怎样实现的?
答:拒绝服务目的在于使系统瘫痪,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
拒绝服务发生时,系统通常并不会遭到破解,但该服务会丧失有效性,即无法再对正常的请求进行响应。
常见的拒绝服务攻击手段包括:死亡之ping,泪滴,UDP洪水,电子邮件炸弹等。
2.对称加密,非对称加密的概念?
答:对称加密指加密和解密使用相同密钥的加密算法。
非对称加密指加密和解密使用不同密钥的加密算法。
(非对称加密算法需要两个密钥,公开密钥和私有密钥是一对,如果公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫做非对称加密算法。
)
3.认证技术的概念?
答:电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认证,对外可以防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内侧可防止当事人的否认,以避免当事人之间的误解或地来说,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。
电子商务认证系统有三种认证模式:政府主导的电子商务认证体系;行业协会主导的电子商务认证体系;当事人自由约定的电子商务认证体系。
第二章信息加密技术与应用
1.流密码的概念?
答:流密码采用密钥生成器,从原始密钥生成一系列密钥流用来加密信息,每一个明文可以选用不同的密钥加密。
2.分组密码?
答:分组密码体制是目前商业领域中比较重要而流行的一种加密体制,它广泛地应用于数据的保密传输、加密存储等应用场合。
分组密码对明文进行加密时,首先需要对明文进行分组,每组的长度都相同,然后对每组明文分别进行加密得到等长的密文,分组密码的特点是加密密钥与解密密钥相同。
分组密码的安全性组要依赖于密钥,而不依赖于对加密算法和解密算法的保密,因此,分组密码的加密和解密算法可以公开。
一般情况下对密码算法的要求是:
1)分组m足够大;2)密钥空间足够大;3)密码变换必须足够复杂。
3.认证技术:认证分为消息认证和身份认证;消息认证用于保证信息的完整性和抗否认性,身份认证则用于鉴别用户身份。
4.数字签名的概念:
答:数字签名就是通过一个单向函数对要传送的报文进行处理,得到用于认证报文来源并核实报文是否发生变化的一个字母数字串,用这个字符串来代替书写签名或印章,起到与书写签名或印章同样的法律效用。
分为两类:直接和需仲裁的数字签名
最为常见的三种算法:RSA签名、DSS签名和基于ECC密码体制的ECDSA数字签名。
5.时间戳技术的概念?
答:数字时间戳是一种时间同步技术。
由于用户桌面时间很容易改变,由该时间产生的时间戳不可抵赖,因此需要一个可信任的第三方——时间戳权威(TSA),来提供可抵赖的且不可抵赖的时间戳服务。
第三章计算机网络安全
1.从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作体系安全和联网安全。
2.网络需要与外界联系,受到许多方面的威胁:物理威胁,系统漏洞造成的威胁,身份鉴别威胁,线缆连接威胁和有害程序等方面的威胁。
3.什么叫做防火墙?
答:防火墙是工作在被保护的内网和产生威胁的外网之间,唯一进出口的软件、硬件或者软硬件的集合,依据访问控制规则,对流入的数据进行直接处理的系统。
防火墙的设计准则:防火墙的姿态,机构的安全策略,防火墙的费用和防火墙系统的基本成份和基本构件。
4.什么叫做包过滤防火墙?
答:包过滤防火墙是工作在网络层上以路由器为基础的,路由器对通过的数据包进行检查,只能检查其头部信息对第3层的防火墙进行通或断的处理。
5.不依赖于服务的攻击包括:IP源地址欺骗攻击,源路由攻击和小分段攻击。
6.包过滤路由器的有点及局限性?
答:优点:
1)实现包过滤所用的费用极少或没有。
因为在配置路由器时所用的时间少,而且包过滤路由器的特性都包含在标准的路由器软件中。
2)对路由器的性能几乎没有影响。
不是很繁忙,还有富余的资源。
如增加包过滤规则数据包的传送效率没有影响。
3)对于用户是透明易用的。
局限性:
1)如果要求包过滤路由器支持复杂的过滤要求,过滤规则集就会变得很长、很复杂,使得它难以管理和理解;
2)有可能是敌手用来发起数据驱动型攻击的。
能给一个病毒,而包过滤只检查包的头部,不检查内部及形成;若头部正常,则数据驱动型攻击为隐藏的,进入内部则进行攻击;
3)消耗CPU时间且影响网络的性能。
包过滤路由器每当进行路由时,就要将它于很多规则进行对照,条数增加消耗CPU性能。
4)工作在第三层仅限头部检测,所以通过途径发送的不正当信息包过滤路由器无法识别排除。
7.应用层网关的概念?
答:应用层网关是工作在应用层上的防火墙体系,对每个具体的应用编写代码,进行通或断的控制。
8.堡垒主机:应用网关也经常被称为堡垒主机,因为它是受到特别保护的系统。
9.屏蔽主机防火墙:
屏蔽主机防火墙系统是由同时部署的包过滤路由器和堡垒主机构成。
(两个图为重点)
10.屏蔽子网防火墙:
屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机。
(图为重点)
部署屏蔽子网防火墙系统的优点:
1)入侵者必须闯过三个分开的设备才能渗透到内部网,这是哪个设备是外部路由器、堡垒主机、内部路由器。
2)由于外部路由器是DMZ网与因特网的唯一接口,因特网上的系统没有受到保护的内部网的路由。
3)保证了内部网用户必须通过堡垒主机中的代理服务才能访问因特网。
4)包过滤路由器将业务流发送到DMZ网中指定的设备。
5)网络层进行数据转接比应用层进行数据代理要快。
6)可在堡垒主机上安装网络地址转换器(NAT),从而不必对内部网重新计数和重新划分子集。
11.虚拟专用网(VPN)的概念及怎样工作的?
答:虚拟专用网是企业内部网在Internet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等于公司的内部网联结起来,构成一个扩展的企业内部网。
虚拟专用网是企业常用的一种安全解决方案,虚拟专用网是利用不可靠的公用互联网作为信息传输媒介,通过附加的安全隧道,用户认证和访问控制等技术,实现与专用网相类似的安全性能。
12.入侵检测系统的概念?
答:入侵检测就是对计算机网络和计算机系统的关键节点的信息进行分析,检测其中是否有违反安全策略的事件发生或攻击对象,并通知系统安全管理员。
入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。
入侵检测系统的分类:基于主机的入侵检测系统;基于网络的入侵检测系统;采用上述两种数据来源的分布式入侵检测系统;
13.什么叫计算机病毒?
答:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。
第四章公钥基础设施
1. 公钥基础设施(PKI)的概念?
答:公钥基础设施是利用公钥密码理论和技术为电子商务、电子政务、网上银行和网上证券等所有网络应用提供一整套安全基础平台,它是创建、颁发、管理、撤销公钥证书等一系列基础服务的所有软件、硬件的集合体。
2.数字证书的概念?
答:数字证书又称公钥证书,是由可信任的权威机构(认证机构CA)签发的,标志身份信息的一系列数据,它用来在电子商务活动中证实申请者的唯一身份的电子文件。
数字证书采用公钥密码体制,利用一对匹配的密钥对(公钥/私钥)来进行加密/解密。
3.认证机构CA的概念?
答:认证机构(CA)是PKI的核心,通常也成为认证中心。
CA负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书,实现身份认证、数字签名和信息加密。
它是证书的签发机构,是保证电子商务、电子政务、网上银行、网上证券等交易的权威性、可信任性和公正性的第三方机构。
第五章电子支付技术
1.传统信用卡支付系统与网上银行卡支付系统的差别是什么?
答:1)使用的信息传递通道不同;
2)付款地点不同;
3)身份认证方式不同;
4)付款授权方式不同;
5)商品和支付信息采集方式不同。
第六章安全套接层协议SSL
1.安全套接层协议(SSL)分为哪几部分及工作方式?
答:1)接通阶段:客户机通过网络向服务器打招呼,服务器回应。
2)密码交换阶段:客户机与服务器之间交换双方认可的密码,一般选用RSA 密码算法,也有的选用Diffie-Hellman和Fortezza-KEA密码算法。
3)会谈密码阶段:客户机与服务器间产生彼此交谈的会谈密码。
4)检验阶段:客户机检验服务器取得的密码。
5)客户认证阶段:服务器验证客户机的可信度。
6)结束阶段:客户机与服务器之间相互交换结束的信息
第七章安全电子交易协议SET
1.SET交易的参与者有哪些?
答:持卡人、特约商店、发卡银行、收单银行、支付网关、认证中心(CA)等。