电子商务安全中的数字签名技术
课程:信息安全技术
授课教师:杨郁池
题目:电子商务安全中的数字签名技术
【摘要】
电子商务是伴随着网络信息技术的发展和计算机应用的普及而产生的一种新型的商务交易形式。这种新型的国际贸易方式以其特有的优势,已被愈来愈多的国家及不同行业所接受和使用.数字签名是电子商务安全系统的核心技术,在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,凡是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。
【关键词】数字签名技术加密技术公钥密码技术原理
电子商务是伴随着网络信息技术的发展和计算机应用的普及而产生的一种新型的商务交易形式。这种新型的国际贸易方式以其特有的优势,已被愈来愈多的国家及不同行业所接受和使用。然而,在电子商务中一个最重要问题就是确保交易安全,为了确保数据传输安全及交易安全,不得不采取一系列的的安全技术,如加密技术、数字签名、身份认证、密钥治理、防火墙、安全协议等。本文就数字签名技术作了较深刻探讨,并给出了该技术的实现方法。
数字签名是电子商务安全系统的核心技术,在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,非凡是在大型网络安全通信中的密钥分配、认证以及电子商务系统中具有重要作用。
一、数字签名的概念
所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章验证无法比拟的。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人身份以及
对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性、和不可抵赖性。
数字签名在ISO7498-2标准中定义为“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换答应数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被进行伪造。美国电子签名标准对数字签名作了如下解释:利用一套规则和一个参数对数据进行计算得到结果,用此结果能够确认签名者的身份和数据的完整性。按上述定义PKI 可以提供数据单元的密码变换,并能使接收者判定数据来源及对数据进行验证。
简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需
要严格保密。
二、数字签名的原理
该技术在具体工作时,首先发送方对信息施以数学变换,所得的信息与原信息唯一对应;在接收方进行逆变换,得到原始信息。只要数学变换方法优良,变换后的信息在传输中就具有很强的安全性,很难被破译、篡改。这一过程称为加密,对应的反变换过程称为解密。
现在有两类不同的加密技术,一类是对称加密,双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用,通常应用于孤立的环境之中,比如在使用自动取款机时,用户需要输入用户识别码,银行确认这个号码后,双方在获得密码的基础上进行交易,假如用户数目过多,超过了可以治理的范围时,这种机制并不可靠。
另一类是非对称加密,也称为公开密钥加密,密钥是由公开密钥和私有密钥组成的密钥对,用私有密钥进行加密,利用公开密钥可以进行解密,但是由于公开密钥无法推算出私有密钥,所以公开的密钥并不会损害私有密钥的安全,公开密钥无需保密,可以公开传播,而私有密钥必须保密,丢失时需要报告鉴定中心。
三、公钥密码技术原理
目前的数字签名技术采用的就是这种公钥密码技术。即利用两个足够大的质数与被加密原文相乘产生的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘,即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要对大数进行质因子分解,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的。因此,将这两个质数称为密钥对,其中一个采用私密的安全介质保密存储起来,应不对任何外人泄露,简称为“私钥”;另一个密钥可以公开发表,用数字证书的方式发布在称之为“网上黄页”的目录服务器上,用LDAP协议进行查询,也可在网上请对方发送信息时主动将该公钥证书传送给对方,这个密钥称之为“公钥”。
公钥密码体制下的数字签名技术实际上是通过一个单向Hash函数来实现的。信息的发送方从信息文本中生成一个128位的散列值。发送方用自己的私人密钥对这个散列值进行加密形成发送方的数字签名。然后,这个数字签名将作为信息的附件和信息一起发送给信息的接收方。信息的接收方首先从接收到的原始信息中计算出128位的散列值,接着再用发送方的公用密钥来对信息附加的数字签名进行解密。假如两个散列值相同,那么接收方就能确认该数字签名是发送方的。五、数字签名技术的实现方法
建立在公钥密码基础上的数字签名方法有很多,RSA签名、DSS签名及Hash签名等。其中Hash签名是目前电子商务安全中最主要的数字签名方法。下面我们就Hash签名的具体过程进行分析。
Hash签名也称之为数字摘要法或数字指纹法。该数字签名方法是将数字签名与要发送的信息紧密联系在一起,它更适合于电子商务活动。将一个商务合同的个体内容与签名结合在一起,比合同和签名分开传递,更增加了可信度和安全性。数字摘要加密方法亦称安全Hash编码法或MD5,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹,它有固定的长度,且不同的明文摘要必定一致。这样这串摘要使可成为验证实文是否是“真身”的“指纹”了。
只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下:
1.方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密,并把加密后的数字签名附加在要发送的原文后面。
2.发送方选择一个密钥对文件进行加密,并把加密后的文件通过网络传输到接收方。
3.发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方。
4.接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文。
5.接收方用秘密密钥对文件进行解密,得到经过加密的数字签名。
6.接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明文。
7.接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名进行对比。假如两个数字签名是相同的,说明文件在传输过程中没有被破坏。数字签名的实现过程如下:
假如第三方冒充发送方发出了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私有密钥,解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安全的确认发送方身份的方法。
安全的数字签名使接收方可以得到保证:文件确实来自声称的发送方。鉴于签名私钥只有发送方自己保存,他人无法做一样的数字签名,因此他不能否认他参与了交易。
数字签名的加密解密过程和私有密钥的加密解密过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不同。数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密。这是一个一对多的关系:任何拥有发送方公开密钥的人都可以验证数字签名的正确性,而私有密钥的加密解密则使用的是接收方的密钥对,这是多对一的关系:任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对信息解密。在实用过程中,通常一个用户拥有两个密钥对,一个密钥对用来对数字签名进行加密解密,一个密钥对用来对私有密钥进行加密解密。这种方式提供了更高的安全性。
数字签名在电子商务活动中有效解决否认、伪造、篡改及冒充等问题。然而,我国数字签名技术的研究和应用刚刚起步,与国际先进水平有一定差距。在数字签名的引入过程中不可避免地会带来一些问题,需要进一步加以解决,数字签名需要相关法律条文的支持。如需要立法机构对数字签名技术有足够的重视,并且在立法上加快脚步,制定有关法律,以充分实现数字签名具有的非凡鉴别作用,有力推动电子商务以及其他网上事务的发展。
随着电子商务的蓬勃发展,数字签名技术也将不断成熟,为商务活动和人们的生活提供可靠、便利的服务。
参考文献:
【1】刘亚松:电子商务概论.机械工业出版社,2005.9
【2】肖德琴:电子商务安全保密技术与应用.华南理工大学出版社,2005.1 【3】管有庆等:电子商务安全技术.北京邮电大学出版社,2005.11
【4】张仕斌,陈麟.网络安全基础教程[M].北京:人民邮电出版
社,2009.145~166
【5】Atul Kahate著.邱仲潘,等译.密码学与网络安全[M].清华大学出版
社,2005.
【6】王玲.网络信息安全的数据加密技术[M].信息安全与通信保密,2007. 【7】王群.计算机网络安全技术[M].清华大学出版社,2008.
【8】王云峰. 信息安全技术及策略[J]. 广东广播电视大学学报,2006. 【9】刘明珍.电子商务中的信息安全技术[J].湖南人文科技学院学报, 2006.【10】吕金刚.计算机网络信息安全技术分析[J].中国新通信, 2006. 【11】蔡智澄.基于网络的信息安全技术概述[J].网络安全技术与应用, 2006
优泰科技电子签章解决方案
优泰电子签章解决方案UTC ESeal System Solution 优泰科技发展有限公司 U nited T echnology C omputer Co.,Ltd. Tel: Email
开发背景 我们处于文件时代 说到文件,国人都非常熟悉。国家各项法案、条例都是以文件的形式发布的;企业单位的规章、制度、报表、方案也都是以文件的形式发布的;您个人的档案、证件、聘用合同,甚至存折信息都是以文件的方式表现的。那么,如何保证文件的真实性、完整性、权威性、合法性就是一个非常重要的问题。例如,某单位收到一份来文,如何证明该来文是来自发布单位如何证明该来文的内容真实有效如何证明该来文没有被有意或无意地篡改传统纸质文件的安全保障 说到证明文件的真实可靠性,国人首先肯定会看该文件上是否有公章,公章上的单位是否是该文件的发文单位。西方人则会看该文件上是否有手写签名。文件上包含公章是我国的特点,就个人而言,我觉得我国通过公章保证文件的真实性比西方国家用手写签名要精确的多,起码公章有固定的模式可对照,手写签名的随意性太强,同一个人的两次手写签名不可能一样,一致性验证充其量只能通过模糊判断来完成。随着现在科技的发展,伪造技术到了登峰造极的水平,假公章假签名能达到乱真的效果。电视节目中经常介绍假文凭、假证件案件,这就充分暴露了我们的传统公章存在的严重缺陷。打个不恰当的比喻:仿照正式公章,用萝卜刻一个一模一样的章,盖在文件上,您能辨别这份包含萝卜章的文件来源可靠吗 我们同时处于电子时代 “今天你e了吗”,随着这种时髦用语在大街小巷流行,随着手机、电脑、网络的普及,随着电子办公、电子政务的实施,您无法回避,我们置身于电子时代。传统的存折逐渐被各种各样的卡代替,传统纸质的书信被E-Mail取代,传统手绘报表被电子报表抛弃,您不知不觉中对电子文件产生了依赖,我们有理由相信,电子公文会取代我们的红头文件。 电子签章 随着电子公文逐渐地普及,如何保障电子公文的真实性、完整性、权威性、合法性是一个必须要解决的问题。根据我国的国情,我们将传统的公章和电子签名加起来,生成电子印章,并将其绑定到电子文件上,通过电子签名保证电子文件的安全,同时在电子文件上绘制出我们传统的公章,这就是电子签章。优泰科技发展公
电子支付安全问题分析
一电子支付安全问题分析 社会信用度欠缺,用户对电子支付的安全性信心不足 据《中国电子商务诚信状况调查》显示,有%的企业和26. 34%的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活”利用传销电子商务“外衣”拉人事件就给了人们不良印象,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC模式。以“拉人头”“收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网上交易又开始望而却步。电子支付产业发展迅速,但市场秩序仍不规范 随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。2010年,江西省农村信用社网上银行--“百福网上银行”正式开通,江西省农村信用社发放的百福借记卡数量增长明显,同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用,有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比,用户可选择的支付手段和方式丰富了许多。 然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。例如:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。 (2)互联网内容提供商( ICP
电子商务安全技术研究
电子商务安全技术研究 董永东葛晓滨 (1. 科大恒星电子商务技术有限公司,安徽合肥230088;2. 安徽财贸职业学院,安徽合肥230601) 摘要电子商务的实施,其关键是要保证整个商务过程中系统的安全性。本文从电子商务系统面临的安全隐患分析入手,系统地剖析了电子商务安全问题,并针对这些问题详细研讨了为保障电子商务安全应采取的安全措施和安全技术。 关键词电子商务;安全;技术 1 引言 电子商务运作过程中,大量的商务活动是通过Internet、Extranet或Intranet网络实现的,商务活动中的支付信息、订货信息、谈判信息、机密的商务往来文件等商务信息在计算机系统中存放,并通过网络传输和处理。与此同时,计算机####、计算机病毒等造成的商务信息被窃、篡改和破坏以及机器失效、程序错误、误操作、传输错误等造成的信息失误或失效,都严重危害着电子商务系统的安全。尤其是基于因特网之上的电子商务活动,对安全通信提出了前所未有的要求。因此,安全性是影响电子商务健康发展的关键和电子商务运作中最核心的问题,也是电子商务得以顺利进行的保障。电子商务安全包括有效保障通信网络、信息系统的安全,确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。本文对此进行了探索和研究。 2 电子商务面对的安全问题及其对策 电子商务安全研究的主要内容涉及到安全电子商务的体系结构、现代密码技术、数字签名技术、身份和信息认证技术、防火墙技术、虚拟专用网络、Web安全协议、安全电子邮件系统、防治病毒技术、网络入侵检测方法、证书管理、公钥基础设施、数字水印技术、数字版权保护技术,安全电子商务支付机制、安全电子商务交易协议、在线电子银行系统和交易系统的安全,以及安全电子商务应用等。我们先对电子商务面对安全隐患分析如下。 2.1 电子商务中的安全隐患 电子商务是在开放的网络上进行的,保证商务信息的安全是进行电子商务的前提。电子商务的安全隐患主要来源于以下几个方面: (1)信息的窃取。如果没有采取加密措施或加密强度不够,攻击者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。 (2)信息的篡改。当攻击者掌握了网络信息格式和规律以后,通过各种技术方法和手段对网络传输的信息在中途修改,然后发往目的地,从而破坏信息的完整性。这种破坏手段包括篡改,即改变信息流的次序,更改信息的内容;删除,即删除某个消息或消息的某些部分等。 (3)信息的假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以冒充合法用户发送假冒的信息或主动窃取信息。比如伪造电子邮件,虚开收订货单,窃取商家的商品信息和用户信用后冒用,冒充领导发布命令、调阅密件,冒充他人消费、栽赃,接管合法用户,欺骗系统,占用合法用户的资源等。 (4)交易的抵赖。交易抵赖包括多个方面,如发送方事后否认曾经发送过某条信息或内容;接收方事后否认曾经收到过某条消息或内容;购买者做了定货单不承认;商家卖出的商品因价格差而不承认原有的交易等。 2.2 电子商务面对的安全问题 2.2.1 计算机安全问题 计算机是电子商务活动中所使用的重要工具,因此计算机的安全对于电子商务安全具
电子签章功能与实现
电子签章系统可实现在电子文件(Word,Excel,CAD图纸,PDF,HTML-WEB页面,LotusNotes,TIF传真,XML数据,FORM表单,WPS,GDFTM版式文件等)上实现手写电子签名和加盖电子印章,并可将签章和文件绑定在一起,通过密码验证、签名验证、数字证书确保文档防伪造、防篡改、防抵赖,安全可靠。它具有制章的唯一性、不变造、伪造,签章的真实性,文档完整性、真实性、不可篡改,验章的真实性、有效性。电子签章系统可以通过辨识电子文件签署者的身份,确保文件的真实性、完整性和不可抵赖性。 JSCA电子签章结合成熟的组件技术、PKI技术、图像处理技术以及智能卡技术,按照一系列的标准体系,以电子形式对电子文档签名并加盖签章。 软件采用COM组件技术,将传统印章与电子签名技术完美结合,通过签章可以确认文档来源、确保文档的完整性、防止对文档未经授权的篡改以及确保签名行为的不可否认。 1.电子签章是什么? 在传统的书面信息传递环境中,信息安全的保障为当事人的签字、盖章,电子签章制度则是在虚拟的网络环境中的信息安全保障,电子签章类似传统的“印章”。 从技术上讲,电子签章,泛指所有以电子形式存在,依附在电子文件并与其逻辑关联,可用以辨识电子文件签署者身份,保证文件的完整性,并表示签署者确认电子文件所陈述事实的内容。从广义上讲,电子签章不仅包括我们通常意义上讲的“非对称性密钥加密”,也包括笔迹辨别、指纹识别,以及新近出现的眼虹膜透视辨别、面纹识别、DNA识别等。目前,最成熟的电子签章技术就是“数字签章”,它是以公钥及密钥的“非对称型”密码技术制作的电子签章。我们通常所说的电子签章也是指数字签章。 数字签章是运用一种名为“非对称密码系统”(Asymmetric Cryptography)的技术来对发文者的电子文件作加、解密运算,其目的是使收文者可确定电子文件的发出者是谁、该电子文件在传输中未遭篡改并保证发文者不能否认其发文的行为。有了这个保障,通过网络传播的信息就可以说是真实可信的了。 2.CA认证机构:“刻印章的店” 如果把数字签章比喻为“印章”,那么CA认证机构实际上就是“刻印章的店”。 为了确保用户及他所持有密钥的正确性,公共密钥系统需要一个公正的、值得信赖而且独立的第三方机构充当认证中心,来确认声称拥有公共密钥的人的真正身份,认证机构(Certification Authority,简称CA)遂因此而生。 要确认一个公共密钥,CA首先制作一张“数字证书”,它包含用户身份的部分信息及用户所持有的公共密钥,然后CA利用其本身的密钥为数字证书加上数字签名。CA认证机构功能是产生及保管各人的密钥,以供随时认证,当网络交易发生争议或纠纷时,认证机构作为公正第三方,提供认证资料做为裁决的依据。 如同目前刻公章需要到公安机关备案一样,数字签章的发文者亦需要先向CA登记其公钥,再由CA 签发数字证书。数字证书上所记录的是与私钥相对应的公钥。发文者以数字签章签署于电子文件后,可将电子文件并同数字证书一起传送给收文者,收文者即可利用数字证书上所载的公钥验证数字签章的真实性与文件的完整性,而收文者只要能确认该凭证确实为CA所签发(收文者也可取得CA的公钥以验证CA 数字证书上所签署的数字签章的真实性),便可确信数字证书内的公钥确为凭证所指之人所有。
电子商务支付与安全课程标准
课程标准 课程代码: 课程名称:电子支付安全编制人:周伟 制订时间:2016-3-01专业负责人: 所属系部:经济贸易系
《电子商务支付与安全》课程标准 适用专业:电子商务专业 课程类别:必修修课方式:理论 +实践 教学时数: 64 学时总学分数: 3.5学分 一、课程定位与课程设计 (一)课程性质与作用 课程的性质:《电子商务支付与安全》是电子商务专业的专业必修课程。 课程的作用:本课程以电子商务企业经营、管理和服务第一线的岗位需求为着眼点讲述电子商务安全基础、电子商务面临的安全问题、电子商务安全技术以及电子商务安全实际应用。通过学习该课程,使学生掌握电子商务安全方面的基本知识,树立电子商务安全意识,具备电子商务安全基本操作技能,培养学生的思维创新能力和实践动手能力,为电子商务企业的电子商务活动提供较为安全的工作环境。 与其他课程的关系:《电子商务概论》是它的前导课程,为整个电子商务 专业打基础;《网站架设与维护》、《网络营销》和《客户关系管理》是它的后 续课程,是电子商务专业从事职业活动的具体行为;而《电子商务安全》起到纽 带和支撑作用。 (二)课程基本理念 课程开发打破传统的教学理念,遵循现代职业教育指导思想,以开发职业能力为课程的目标,课程教学内容的取舍和内容排序遵循职业性原则,课程实施行动导向的教学模式,以实际的电子商务安全交易为载体设计教学过程,逐步培养学生综合能力。 (三)课程设计思路 1、课程设计思路 (1)以培养电子商务师、网络管理员为设计依据确定工作任务; (2)以行动导向教学方法为指导,将课程内容具体化学习情境; (3)以实际的电子商务安全交易为载体设计教学过程; (4)工作任务从易到难,从单个到综合,从浅到深,逐步培养学生综合能力;
《电子商务安全与支付》考纲、试题
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
数字签名技术在电子邮件中的应用
第18卷第1期陶永明:一种新型逻辑函数化简方法———立体化简法Vol.18No.1Feb .2010 第18卷第1期2010年2月 电脑与信息技术Computer and Information Technology 文章编号:1005-1228(2010)01-0049-04 收稿日期:2009-10-27作者简介:石翠(1981-),女(满族),讲师,研究方向为多媒体与数字加密技术。 数字签名技术在电子邮件中的应用 石 翠 (辽宁商贸职业学院信息技术系,沈阳110161) 电子邮件是最常用的一种网络应用,人们常常用它来传递一些普通信息,有时也包括一些敏感信息,但是最初的电子邮件系统很不安全。对于电子邮件的安全,总的来说应该保证两条:其一是保证只有收信人才能阅读信件内容,这可以通过加密技术来解决;其二是收信人能够判断出信件确由发件人发送,而不是被别人伪造或经过篡改的,这就要由数字签名来解决。保证网上传输数据的安全和交易对方的身份确认是电子邮件安全的关键性问题。而数字签名技术是保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性的一种有效的解决方案。使用数字签名技术可以在电子事务中证明自己的身份,就像兑付支票时要出示有效证件一样,可以用它来加密邮件以保护个人隐私,享受到保障重要电子服务安全所带来的方便。 总之,数字签名是对Internet 上的通信方式进行的革命。数字签名的实现基础是加密技术,加密技术主要使用公钥加密算法与散列函数。常用的数字签名算法有:RSA 、DES 等,本文对此从技术角度进行了探讨。 1数字签名的含义和功能 数字签名是通过一个单向函数对要传送的报文进 行处理,得到的用以认证报文来源并核实报文是否发生变化的一个字母数字串。 数字签名主要有以下几个功能:(1)数据的保密性用于防止非法用户进入系统及合法用户对系统资源的非法使用;通过对一些敏感的数据文件进行加密来保护系统之间的数据交换,防止除接收方之外的第三方截获数据及即使获取文件也无法得到其内容。如在电子交易中,避免遭到黑客攻击丢失信用卡信息的问题。 (2)数据的完整性防止非法用户修改交换的数据或因此造成的数据丢失等。 (3)数据的不可否认性对数据和信息的来源进行验证,以确保数据由合法的用户发出;防止数据发送方在发出数据后又加以否认,同时防止接收方在收到数据后又否认曾收到过此数据或篡改数据。 摘要:数字签名是网络安全的核心技术,在网络传输中显得非常重要。它在保证数据的完整性、私有性、不可抗抵赖性方面起着重要的作用。文章介绍了数字签名的含义,及Hash 函数、对称加密算法和非对称加密算法的签名体制,结合电子邮件数字签名方案的签名过程和验证过程进行相应分析,最后总结了数字签名技术的发展方向。关键词:数字签名;公钥密码;R SA 中图分类号:TP393.08 文献标识码:A Application of Digital Signature in E-mail SHI Cui (Department of Information Technology ,Liaoning Vocational College of Commerce ,Shenyang 110161,China ) Abstract :Digital signature is the core technology of network safety,which is very important in network transmission.It plays an important role in insuring the integrality,private and non-repudiation of the data.The symmetric encryption algorithm,asymmetric encryption algorithm,hash function and define of digital signature were introduced,then the digital signature scheme and verification process of e-mail were analyzed,finally summarizes the development of the digital signature technology. Key words:digital signature;public key;R SA
中国电子商务发展现状分析
中国电子商务发体现状分析 一、电子商务的概况 电子商务(EleetrohieCommeree简称EC)是在Internet开放的网络环境下,作为一种新型的交易方式,将生产企业、流通企业以及消费者和政府带人一个网络经济、数字化生存的新天地。电子商务,是指实现整个贸易活动的电子化。从涵盖范围方面能够定义为:交易各方以电子方式而不是通过当面交换或直接面谈方式实行的任何形式的商业交易.从技术方面能够定义为:电子商务是一种多技术的集合体,包括交换数据(如电子数据交换、电子邮件)、获得数据(如共享数据库、电子公告牌)以及自动捕获数据(如条形码)等。实现消费者的网上购物、商户之间的网上交易和在线电于支付的一种新型的商业运营模式。电子商务减少员工成本、文件处理成本,缩短了商业交易时间,提升服务质量,降低了安全库存量,减少错误信息,增加了贸易机会。综观而论,电子商务与传统贸易相比具有:世界性、直接性、便捷性、均等性等四大特点而得到人们的普遍欢迎。在国际竞争面前,从诸多的层次来看,电子商务为我们创造了崭新的市场机会。 电子商务能够规范事务处理的工作流程,将人工操作和电子信息处理集成一个不可分割的整体;客户能以非常简捷的方式完成过去较为萦杂的商务活动。电子商务的内涵可认为是:信息内容,集成信息资源,商务贸易,协作交流。 电子商务的发展要以推动BZB(企业对企业)业务为重点,从四个方面人手:一要使企业成为主体,二要以专业切人点,三要展开国际贸易的网上交易,四要建立面向中小企业的中介服务网。1997年7月美国政府在泛征求了产业界、消费团体和In-ternet界的意见之后,指定的一个世界电子商务框架(AFrame-workforGlobalEleetro垃eCommeree)计划,其中体现了政府对电子商务的三项基本政策:(l)让企业在电子商务发展中起主导作用(2)政府参与管理应以积极促动电子商务发展为原则,(3)应在世界范围内促动Inter二t上的电子商务。
信息安全之电子签名技术的实现
滨江学院 课程论文 题目数字签名的发展 院系计算机系 专业软件工程(动画方向)学生姓名陈婷 学号20092358009 指导教师朱节中 职称副教授 二O一二年五月二十日
数字签名的发展 陈婷 南京信息工程大学滨江学院软件工程(动画方向),南京210044 摘要: 数字签名是电子商务安全的一个非常重要的分支。随着电子商务的发展,电子签名的使用越来越多。实现电子签名的技术手段有很多种,但比较成熟的、世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术。 关键词: 数字签名信息安全电子商务 1引言 1.1 研究背景 在当今信息社会,计算机网络技术得到了突飞猛进的发展。计算机网络日益成为工业、农业和国防等领域的重要信息交换手段,并逐渐渗透到社会的各个领域。在现实生活中,人们常常需要进行身份鉴别、数据完整性认证和抗否认。身份鉴别允许我们确认一个人的身份;数据完整性认证则帮助我们识别消息的真伪、是否完整;抗否认则防止人们否认自己曾经做过的行为。随着无纸化办公的发展,计算机网络的安全越来越受到重视,防止信息被未经授权的泄漏、篡改和破坏等都是亟待解决的问题。在Internet上,数字签名作为一项重要的安全技术,在保证数据的保密性、完整性、可用性、真实性和可控性方面起着极为重要的作用。同时由于信息技术的发展及其在商业、金融、法律等部门的普及, 数字签名技术又面临着新的挑战。 1.2 开发意义 数字签名是实现电子交易安全的核心技术之一,它在实现身份认证、数字完整性、不可抵赖性等功 能方面都有重要应用。尤其是在密钥分配、电子银行、电子证券、电子商务和电子政务等许多领域有重要 的应用价值。 2相关技术介绍 2.1PKI/CA 技术的介绍 PKI 就是公开密钥基础设施。它是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施。公开密钥技术也就是利用非对称算法的技术。说PKI 是基础设施,就意味着它对信息网络的重要。PKI 通过延伸到用户本地的接口,为各种应用提供安全的服务,如认证、身份识别、数字签名、
数字签名技术规范
胜利石油管理局企业标准 Q/SL TEC-i-2002 胜利油田数字签名技术规范 1适用范围 本规范规定了胜利石油管理局CA认证中心数字签名技术标准。 本规范适用于胜利油田(企业内部)数字签名机制的实现、摘要提取、有效性。 2规范解释权 本规范由胜利油田石油管理局信息中心解释。 3术语定义 3.1数字签名定义 数字签名是附加在数据单元上的一个数据,或是对数据单元进行的密码变换。通过这一数据或密码变换,使数据单元的接收者能够证实数据单元的来源及其完整性,同时对数据进行保护。 3.2摘要 摘要技术(使用hash函数,称为散列算法)是对被传送的信息进行数学处理,提取出可以代表该信息的一串数据(即摘要)。散列算法可以保证任何一段信息内容的摘要(digest)都是独特的和唯一对应于该信息的,对内容进行任何修改都会导致摘要的不同。 4数字签名机制的基本安全功能 完善的数字签名必须保证以下3点: 1)签名者事后不能否认自己对信息的签名;
2)接收者和其他人不能伪造这个签名; 3)如果当事人双方对签名真伪发生争执时,能在公正的仲裁者面前通过验 证签名来确定真伪。 一切关于数字签名的研究都围绕以上三个基本安全功能进行,其他要求都是次要的。 5数字签名机制实现的基本过程 只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下: 1)发送方将要发送的信息原文用哈希函数编码,散列产生一段固定长度的数字 摘要; 2)发送方用自己的私用密钥对摘要加密,形成了数字签名,并附在要发送的信 息原文后面; 3)发送方产生一个通信密钥(一般是对称密钥),并用它对带有数字签名的信息 原文进行加密后,传送到接收方; 4)发送方用接收方的公开密钥对自己的通信密钥进行加密后,传到接收方; 5)接收方收到发送方加密后的通信密钥后,用自己的私用密钥对其进行解密, 得到发送方的通信密钥; 6)接收方用发送方的通信密钥对收到的经加密的签名原文解密,得到数字签名 和信息原文; 7)接收方用发送方的公共密钥对数字签名进行解密,得到摘要;同时将收到的 原文用哈希函数编码,经散列产生另一个摘要; 8)接收方将两个摘要进行比较,如果两者一致,则说明发送的信息原文在传送 过程中信息没有被破坏或篡改过,从而得到准确的原文。 如果两份摘要不同,则原文不完整或被修改过;如果无法用证书所带有的公钥打开接收到的加密后的那份摘要,就说明可能有人冒名顶替。同样的道理,如果信息的发送方的密钥没有丢失或被他人盗用,他也很难于事后不承认接收方收到的签过字的文件不是由他发出的。 6摘要提取技术 为了保证信息传输的安全,对信息进行加密通常是与摘要提取技术同时使用的,从而保证了接收到的信息与发送方当初发出的信息是完全相同的。目前,胜利油田采用MD5和SHA-1 hash函数来完成摘要的计算提取工作。以后随着技术的发展,可采用其它方法。
数字签名技术的基本原理以及现实功能
数字签名技术的基本原理以及现实功能 在计算机迅速普及的同时,网上信息安全越来越受到人们的重视,为了保障使用者信息的安全,多种多样的加密技术、访问控制技术以及身份认证技术不断更新。在实践中发展出来的具有强大优越性的数字签名技术,成为了解决网络资源信息安全问题的有效手段。 数字签名技术的基本原理是改变过去通过书写签名或者印章的形式,提高身份验证的准确性以及保证对象的安全性。数字签名技术主要是通过一系列复杂、特殊的加密算法,产生一系列由数字、字母及符号组成的电子密码。这种复杂多样化的电子密码具有过去传统加密方法无法比拟的优越性,并且在此基础上进行的技术验证更加能够全方位地确保网络信息以及数据的安全性。 数字签名技术以规范化、科学化的计算机技术为基础,能够准确地识别签名人的身份,并且对于其应有的权限进行自动认可。除此之外,数字签名技术还能够对文件进行检验,对文件在传输过程中可能出现的变动都会进行自动扫描,保证文件的安全性、真实性与准确性。数字签名在保护计算机网络数据以及资源方面发挥了重大的作用,能够有效地防止受到保护的资源被修改、泄漏以及窃取,还可以对收到的信息进行身份确认,最大限度地保障使用者的信息安全性。
数字签名技术与信息加密技术存在一定的相似性,是在以公匙法体系的基础之上建立的,但是创建数字签名还需要用户运用私匙进行加密,增强其安全性。用户在发送、传输信息的时候,需要附带经过加密技术处理的特殊信息,也就是为将要传输的信息署名。在计算机网络开放性不断增强的当今时代,网络资源以及信息的安全很容易受到来自外界各种因素的影响,因此数字签名技术的发展呈现出了强劲的势头。数字签名技术被广泛地应用于电子商务、网络通信等社会生活的各个方面,Hash签名算法、DSS/DSA签名算法以及PSA签名算法得到了广泛的应用。 数字签名完成对信息识别辨认的过程,是解决网络通信特有的安全问题的方法,特别是对于保障军事网络通信的安全,在保证数据真实完整方面发挥着重大的作用。当然,数字签名在军事网络通信中的应用也需要遵循一定的条件以及运行原则。军事网络通信中的数字签名技术应用要求,经过数字签名已经发送或者传输的资料、信息以及数据,签名者不可以否认,这是数字签名技术实际应用中最基本的原则,这是对文件以及信息接收者基本权利的保障,保障其收到的资料以及信息的准确性,一旦出现问题,接收方可以按照数字签名和发出方协商。另外一方面,对于接收者来说,对于接收到的文件或者数据信息,只能单方面地确认或者证实,但是没有否认该资料的权利。对于信息传递过程中的第三方来说,只能够作为数据信息传输的渠道或者方式,而不能够对信息本身产生影响,更不能伪造这一过程。当信
电子商务安全技术案例分析
第7章电子商务安全技术案例分析 7.4.1 网络病毒与网络犯罪 2006年12月初,我国互联网上大规模爆发“熊猫烧香”病毒及其变种。一只憨态可掬、颔首敬香的“熊猫”在互联网上疯狂“作案”。在病毒卡通化的外表下,隐藏着巨大的传染潜力,短短三四个月,“烧香”潮波及上千万个人用户、网吧及企业局域网用户,造成直接和间接损失超过1亿元。 2007年2月3日,“熊猫烧香”病毒的制造者李俊落网。李俊向警方交代,他曾将“熊猫烧香”病毒出售给120余人,而被抓获的主要嫌疑人仅有6人,所以不断会有“熊猫烧香”病毒的新变种出现。 随着中国首例利用网络病毒盗号牟利的“熊猫烧香”案情被揭露,一个制“毒”、卖“毒”、传“毒”、盗账号、倒装备、换钱币的全新地下产业链浮出了水面。中了“熊猫烧香”病毒的电脑内部会生成带有熊猫图案的文件,盗号者追寻这些图案,利用木马等盗号软件,盗取电脑里的游戏账号密码,取得虚拟货币进行买卖。 李俊处于链条的上端,其在被抓捕前,不到一个月的时间至少获利15万元。而在链条下端的涉案人员张顺目前已获利数十万了。一名涉案人员说,该产业的利润率高于目前国内的房地产业。 有了大量盗窃来的游戏装备、账号,并不能马上兑换成人民币。只有通过网上交易,这些虚拟货币才得以兑现。盗来的游戏装备、账号、QQ账号甚至银行卡号资料被中间批发商全部放在网上游戏交易平台公开叫卖。一番讨价还价后,网友们通过网上银行将现金转账,就能获得那些盗来的网络货币。 李俊以自己出售和由他人代卖的方式,每次要价500元至1000元不等,将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,该病毒的各种变种在网上大面积传播。据估算,被“熊猫烧香”病毒控制的电脑数以百万计,它们访问按流量付费的网站,一年下来可累计获利上千万元。 有关法律专家称,“熊猫烧香”病毒的制造者是典型的故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。根据刑法规定,犯此罪后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。 通过上述案例可以看出随着互联网和电子商务的快速发展,利用网络犯罪的行为会大量出现,为了保证电子商务的顺利发展,法律保障是必不可少的。目前对我国的网络立法明显滞后,如何保障网络虚拟财物还是个空白。除了下载补丁、升级杀毒软件外,目前还没有一部完善的法律来约束病毒制造和传播,更无法来保护网络虚拟钱币的安全。 根据法律,制造传播病毒者,要以后果严重程度来量刑,但很难衡量“熊猫烧香”病毒所导致的后果。而病毒所盗取的是“虚拟财物”,就不构成“盗窃罪”,这可能导致李俊之外的很多嫌疑人量刑很轻或定罪困难。 7.4.2 电子签名法首次用于庭审 北京市民杨某状告韩某借钱不还,并将自己的手机交给法庭,以手机短信作为韩某借钱的证据。但手机短信能否成为法庭认定事实的依据?2005年6月3日,海淀法院3名法官合议审理了这起《电子签名法》出台后的第一案。 2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000
电子商务案例分析教案(DOC37页)
第一章电子商务案例分析概述 1.1.1电子商务的定义: 电子商务交易当事人或参与人利用计算机技术和网络技术等现代信息技术所进行的各类商务活动,包括货物贸易、服务贸易和知识产权贸易。 一、对电子商务的理解,可从4方面考虑: 1 电子商务是一种采用最先进信息技术的买卖方式。 2 电子商务实质上形成了一个虚拟的市场交换场所。 3 电子商务是“现代信息技术”和“商务”两个子集的交集。 4 建立在企业全面信息化基础上、通过电子手段对企业的生产、销售、库存、 服务以及人才资源等环节实行全方位控制的电子商务才是真正意义上的电子商务。 二、电子商务的特点: 1 虚拟性 2 成本 3 个性化 4 敏捷性 5 全球性 1.1.2电子商务案例分析的重要性: 1 能够深化所学的理论知识,通过案例分析加深对理论知识的深层次理解。 2 能够使所学的知识转变成技能,理论学习与实践应用有机地结合。 3 在逼真模拟训练中做到教学相长。 1.2.1 电子商务案例的定义及作用: 电子商务案例分析的主要特点是:启迪性与实践性。 1.2.2 电子商务教学中使用的案例分为:
1 已决的问题的案例 包括电子商务活动的状况及问题、解决方法和措施、经验或教训的评估。 2 待解决问题案例 包括管理活动、存在问题的情景叙述和相关因素提示。 3 设想问题案例 包括经济活动的背景材料、发展趋势的相关迹象。 EDI主要应用于: 国际贸易和政府采购,用于企业与企业、企业与批发商、批发商与零售商之间的批发业务。 1.3.1 电子商务案例分析的主要内容: 1 电子商务网站背景资料 2 电子商务网站建设与维护方法分析: 网络平台技术分析、网站安全技术分析、网站维护方法分析。 3 电子商务网站经营特色分析: 内容设计分析、营销方法分析、支付方式分析、物流配送方式分析。 4 电子商务效益分析(全国统考考过多项选择题第21题) 电子商务案例分析的定义: 根据一定的分析目的,采用一种或几种分析方法,按照一定的程序,对通过调查并经过整理的资料进行分组、 汇总、检验和分析等,得到所研究事物或现象本质及规律性,进而指导实践的过程。 1.3.2 电子商务案例综合分析方法分为: 1 科学的逻辑思维方法 分为:形式逻辑思维方法和辩证逻辑思维方法 2 与案例研究有关的各专门学科的方法
数字签名技术及其在网络安全中的应用
目录 摘要 (1) 关键词 (1) 1 数字签名概述 (1) 2 数字签名意义 (2) 3 数字签名的种类 (2) 3.1 盲签名 (2) 3.1.1 盲签名的安全性需求 (2) 3.2 群签名 (3) 3.2.1 群签名的算法 (3) 3.2.2 群签名的安全性需求 (4) 3.3 环签名 (4) 3.3.1 环签名的适用场合举例 (4) 3.3.2 环签名的安全性需求 (5) 4 数字签名技术与网络安全 (5) 4.1 网络带来的挑战 (6) 总结 (7) 致谢 (7) 参考文献 (7)
数字签名技术在网络安全中的应用 Lynawu 摘要 数字签名也称电子签名,digital signature,是给电子文档进行签名的一种电子方法,是对现实中手写签名的数字模拟,在电子商务的虚拟世界中,能够在电子文件中识别双方交易人的真实身份,保证交易的安全性、真实性及不可抵懒性的电子技术手段。实现电子签名的技术手段有很多种,但目前比较成熟的、许多先进国家普遍使用的电子签名技术还是“数字签名”技术,它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。数字签名技术在其中起着极其重要的作用,如保证数据的完整性、私有性和不可抵赖性等方面,占据了特别重要的地位。目前群盲签名(blind signature ,group signature)方案效率不高,这样的电子现今系统离现实应用还有一段距离,因此研究高效的群签名方案,对于实现这样的系统具有重要意义。 关键词 数字签名,网络安全,blind signature,group signature,Rivest 1 数字签名概述 电子文档包括在计算机上生成或存储的一切文件,如电子邮件、作品、合同、图像等。数字签名也称电子签名,digital signature,是给电子文档进行签名的一种电子方法,是对现实中手写签名的数字模拟,在电子商务的虚拟世界中,能够在电子文件中识别双方交易人的真实身份,保证交易的安全性、真实性及不可抵懒性的电子技术手段。美国国家标准和技术研究所(NIST)将数字签名定义为在电子通信中鉴别发送者的身份及该通信中数据的完整性的一种密码学方法。实现电子签名的技术手段有很多种,但目前比较成熟的、许多先进国家普遍使用的电子签名技术还是“数字签名”技术,它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。随着互联网的快速发展,网络信息完全有了更高的要求,而数字签名技术在其中起着极其重要的作用,如保证数据的完整性、私有性和不可抵赖性等方面,占据了特别重要的地位。现实中使用最广泛的电子签名依赖于公钥密码学架构(即公钥/私钥加密)。一个数字签名体制包括三个算法:密钥生成算法、签名算法、验证算法。对普通数字签名体制的安全性需求是,攻击者即使知道签名人的公钥和若干个有效信息-签名对也无法伪造该签名人的有效签名。
电子商务安全技术试卷及答案
电子商务安全技术试卷A 考试时间:120 分钟考试方式:开卷 一、单项选择题(每小题1.5分,共计30分;请将答案填在下面 1.电子商务的安全需求不包括( B ) A.可靠性 B.稳定性 C.匿名性 D.完整性 2.以下哪个不是常用的对称加密算法( D ) A.DES B.AES C.3DES D.RSA 3.访问控制的要素有几种( D ) A.2 B.3 C.4 D.5 4. 下面关于病毒的叙述正确的是( D )。 A.病毒可以是一个程序 B.病毒可以是一段可执行代码 C.病毒能够自我复制 D. ABC都正确 5. 根据物理特性,防火墙可分为( A )。 A. 软件防火墙和硬件防火墙 B.包过滤型防火墙和双宿网关 C. 百兆防火墙和千兆防火墙 D.主机防火墙和网络防火墙 6.目前公认的保障网络社会安全的最佳体系是( A ) A.PKI B.SET C.SSL D.ECC 7.防火墙软件不能对付哪类破坏者? ( C ) A.未经授权的访问者 B.违法者 C.内部用户 D.地下用户 8.数据的备份类型不包括? ( B )
A.完全备份 B.部分备份 C.增量备份 D.差别备份 9.针对木马病毒的防范,以下正确的是( A ) A.设置复杂密码,最好包含特殊符号 B.随意打开不明邮件的附件 C.浏览不健康网站 D.网上下载的软件未经扫描就使用 10.以下那个不是杀毒软件的正确使用方法( A ) A.中毒之后再下载杀毒软件来安装 B.设置开机自动运行杀毒软件 C.定期对病毒库进行升级 D.经常针对电脑进行全盘扫描 11.关于密码学的术语描述错误的是( B ) A.最初要发送的原始信息叫做明文 B.算法是在加密过程中使用的可变参数 C.密文是被加密信息转换后得到的信息 D.解密是将密文转换为明文的过程 12.以下说法错误的是? ( D ) A.电子商务中要求用户的定单一经发出,具有不可否认性 B.电子商务中的交易信息要防止在传输工程中的丢失和重复 C.电子商务系统应保证交易过程中不泄漏用户的个人信息 D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。 13.使用计算机应遵循的完全原则不包括如下哪一个( D ) A.密码安全原则 B.定期升级系统 C.禁止文件共享 D.允许远程访问 14.HTTPS是使用以下哪种协议的HTTP?( C ) A.SSH B.SET C.SSL D.TCP 15.下列哪一项不属于电子商务使用的主要安全技术( C ) A.加密 B.电子证书 C.实名认证 D.双重签名 16.典型的DES以( A )位为分组对数据进行加密? A.64 B.128 C.256 D.512 17.VPN的含义是( B ) A.局域网 B.虚拟专用网络 C.广域网 D.城域网 18.移动电子商务对系统的安全需求不包括( C ) A.身份认证 B.接入控制 C.数据可靠性 D.不可否认性 19.以下那种情况可以放心的使用在线电子支付系统( D ) A.在单位的公用电脑 B.在网吧 C.在肯德基使用免费WIFI D.在家庭的网络中 20.以下哪种操作可以有效防护智能手机操作系统安全( B ) A.下载安装腾讯QQ B.使用专门软件实时监控手机运行状态 C.给手机设置密码,密码是自己的生日 D.经常打开微信,链接各种网站。
RSA密码体制的实现及数字签名技术的应用
RSA密码体制的实现及数字签名技术的应用 摘要 随着计算机网络和信息技术的发展,信息安全在各领域发挥着越来越重要的作用,其中密码学已成为信息安全技术的核心,本文主要介绍了信息加密技术的应用。RSA算法是目前公认的在理论和实际应用中最为成熟和完善的一种公钥密码体制,它是第一个既能用于数据加密也能用于数字签名的算法,是公钥密码体制的代表。数字签名是起到身份认证、核准数据完整性的一种信息安全技术。它通过认证技术来辨认真伪。RSA数字签名体制使用的是RSA 公开密钥密码算法进行数字签名。 关键词:RSA算法;加密;解密;RSA数字签名 Abstract With the development of the computer network and information technology, information security plays more and more important role in every field. Cryptography has become the core of information security technology. This thesis mainly introduces the application of information encryption technology.RSA algorithm is considered as a public-key cryptosystem of the most fully developed and complete in theory and practice application at present. It is the first algorithm for both data encryption and digital signature. Digital signature is an information security technology used to check authentication and data integrity. It identifies true or false by the authentication technology. RSA digital signature system carries on digital signature by using RSA public-key cipher algorithm. Key Words: RSA algorithm; encryption; decryption; RSA digital signature 1引言 1.1密码学应用的相关背景 现代密码学已成为信息安全技术的核心,密码学是以研究通信安全保密的学科,即研究对传输信息采用何种秘密的变换以防止第三者对信息的窃取。密码学包括两个分支:密码编