第一章1.电子商务安全要求有什么特殊性?答:1.电子商务安全是一个系统概念。2.电子商务安全是相对的。3.电子商务安全是有代价的。4.电子商务安全是发展,动态的。2.以在网上购书为例,请你说说在网上购书过程中会面临哪些安全威胁?答:1、假冒的网站,IE木马等2、付款方式:网银现结,第三方账户,3、给账户充值过程中可能被盗取网银账户和密码4、非正规网站收款后不发货。3.电子商务站点面临的安全威胁可能有黑客入侵,服务器感染病毒,数据丢失,请结合电子商务的例子,看看他们采取了哪些安全措施?答:依阿里巴巴为例:(1)加密技术①对称加密/对称密钥加密/专用密钥加密②非对称加密/公开密钥加密(2)密钥管理技术(3)数字签名(4)Internet电子邮件的安全协议(5)Internet主要的安全协议(6)UN/EDIFACT的安全(7)安全电子交易规范4.电子商务安全包含哪些基础技术?答:1.密码技术。2.网络安全技术。3.PKI技术。5.电子商务安全服务规范有哪些?各个网络层次分别有什么样的解决方案?答:1.网络层安全服务,网络层的安全使用IPsec方案。2.传输层安全服务,传输层的安全使用SSL\TLS方案。3.应用层安全服务,应用层的安全使用S-HTTP,SET,Kerberos,S\MIME,PGP等。第二章1.什么是单钥密码体制?什么是双钥密码体制?二者各有何特点?答:1.在单钥体制下,加密密钥和解密密钥是一样的,或实质上是等同的,这种情况下,密钥就经过安全的密钥信道由发方传给收方。单钥密码的特点是无论加密还是解密都使用同一个密钥,因此,此密码体制的安全性就是密钥的安全。如果密钥泄露,则此密码系统便被攻破。最有影响的单钥密码是。。单钥密码的优点是:安全性高。加解密速度快。缺点是:1)随着网络规模的扩大,密钥的管理成为一个难点;2)无法解决消息确认问题;3)缺乏自动检测密钥泄露的能力。2.而在双钥体制下,加密密钥与解密密钥是不同的,此时根本就不需要安全信道来传送密钥,而只需利用本地密钥发生器产生解密密钥即可。双钥密码是:。由于双钥密码体制的加密和解密不同,且能公开加密密钥,而仅需保密解密密钥,所以双钥密码不存在密钥管理问题。双钥密码还有一个优点是可以拥有数字签名等新功能。最有名的双钥密码体系是:双钥密码的缺点是:双钥密码算法一般比较复杂,加解密速度慢。3.DES,IDES,AES等分组密码有何共同特点?答:分组密码是将明文序列划分成等长的分组(Block),对每一组用同一加密算法和同一密钥进行加密。4.应用RSA算法对下列情况实现加密和解密:①p=3;q=11,d=7;M=5②p=5;q=11,e=3;M=9③p=7;q=11,e=17;M=8④p=11;q=13,e=11;M=7。⑤p=17;q=31,e=7;M=2答:①e=3,C=26;②C=14;③C=23;④C=106;⑤C=1285.在一个使用RSA的公开密钥系统中,你截获了发给一个其公开密钥是e=5,n=35的用户的密文C=10。明文M是什么?答:z=24,d=5,M=5。6.在一个RSA系统中,一个给定用户的公开密钥是e=31,n=3599。这个用户的私有密钥是什么?答:n=59*61,z=3480,d=3031。7.考虑椭圆曲线E11(1,6);也就是由y2=x2+x+6和一个模数p=11定义的曲线。确定E11(1,6)中的所有的点。答:省略8.信息隐藏的基本原理是什么?答:信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息9.讨论生物识别是否会取代当今银行的口令识别系统?试论其使用的前提条件答:不会。10.量子密码术有何特点?答:量子密码术用于建立、传输密码本,而不用于传输密文。最初的量子密码通信利用的都是光子的偏振特性,目前主流的实验方案则用光子的相位特性进行编码。量子密码术突破了传统加密方法的束缚,以量子状态作为密钥具有不可复制性,可以说是绝对安全的。任何截获或测试量子密钥的操作都会改变量子状态。这样截获者得到的只是无意义的信息,而信息的合法接收者也可以从量子态的改变知道密钥曾被截取过。11.电子商务安全采用无纸化考试,为了保密处理,考生考完后需要对答卷进行加密处理,假设有DES、RSA两种加密算法供选择,请问应该选择哪种算法?为什么?如何处理?答:对于上面讲的这种情况,还是用DES比较好。因为试卷的话,内容比较多,明文空间所占内存比较大,如果用RSA的话,运行速度会很慢,所以不适合咱们这种情况。相比而言,DES就会快很多。12.目前,许多新的电子邮件系统都具有加密功能。问:如果你来开发这样的带有加密功能的邮件系统,是采用DES、AES、PGP,还是其它,为什么?答:采用PGPDES,AES均为分组密码体制,加密解密公用同一密钥,密钥管理困难。PGP为复合型加密体制,综合了对称密钥与非对称密钥的优点。可以用于对邮件加密,密钥管理以及进行数字签名,防止抵赖。第三章1.什么是数字签名?讨论什么情况下用数字签名比用加密更合适?答:以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。同数字签名样,公共密钥加密使用PGP等软件,使用数学算法转换信息并且依靠公共和专用密钥。但,加密和数字签名区别,加密目通过把信息翻译成密码秘密地隐藏内容。数字签名目完整性和身份识别性,验证个信息发送者和指出内容没被修改。虽然加密和数字签名能够单独使用,但你还可以对加密信息采用数字签名。当你签署个信息时,你使用你专用密钥,任何你公共密钥都能够验证这个签名合法。当你加密个信息时候,你为接收你信息使用这个公共密钥,并且使用他或者她专用密钥解码这个信息。用于们要保持自己专用密钥机密,并且使用口令保护这些密钥,这个信息接收者应该惟能够观看这个信息。2.双联签名的概念是什么?其基本原理是什么?答:在实际商务活动中经常出现这种情形,即持卡人给商家发送订购信息和自己的付款帐户信息,但不愿让商家看到自己的付款帐户信息,也不愿让处理商家付款信息的第三方看到定货信息。在电子商务中要能做到这点,需使用双联签名技术。•双联签名的使用方法如下:(1)持卡人将发给商家的信息M1和发给第三方的信息M2分别生成报文摘要MD1和报文摘要MD2;(2)持卡人将MD1和MD2合在一起生成MD,并签名;(3)将M1、MD2和MD发送给商家,将M2、MD1和MD发送给第三方;•接收者根据收到的报文生成报文摘要,再与收到的报文摘要合在一起,比较结合后的报文摘要和收到的MD,确定持卡人的身份和信息是否被修改过。双联签名解决了三方参加电子贸易过程中的安全通信问题。3.试设计一个数字签名方法,以便使接收方能验证签名答:省略4.用DSS,因为每个签名将产生不同的k值,因此即使分别在不同的场合对相同的报文签名,产生的签名也不相同。RSA签名是不能这样的。这样的不同有什么实际意义?答:RSA是最流行的一种加密标准,许多产品的内核中都有RSA的软件和类库。早在Web飞速发展之前,RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成,在Apple的协作软件PowerTalk上还增加了签名拖放功能,用户只要把需要加密的数据拖到相应的图标上,就完成了电子形式的数字签名。与DSS不同,RSA既可以用来加密数据,也可以用于身份认证。在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数大一些。5.数字时间戳是如何签署的?答:用户首先将需要加时间戳的文件用Hash编码形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件数字签名,然后送回用户。6.某个人写了一份遗嘱需要多个律师签名,以保障遗嘱的合法性和可认证性,但不想让任何律师知道。问此人应该使用什么技术?答:此人应该使用多重签名7.如果选举单位要采用电子投票的方式进行投票,应该采用什么技术来保证投票的公正性、匿名性?答:第四章1.什么是保持数据完整性?试述保持数据完整性的基本原理。实现数据完整性的主要手段是什么?答:1.保持数据完整性是指在有自然人或人为干扰的条件下,网络系统保持发送方和接收方传送数据一致性的能力,是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或防止由于其他原因使原始数据被更改。2.,主要原理是通过有限状态机产生性能优良的伪随机序列,使用该序列加密信息流,得到密文序列.分组密码的工作方式是将明文分成固定长度的组,如64比特一组,用同一密钥和算法对每一组加密,输出也是固定长度的密文.3.数据的完整性靠添加约束实现,大部分数据库都有这类约束:是否可空,是否唯一,主键约束,外键约束,条件约束。2.认证包含哪些内容?答:1)消息摘要方法解决了消息的完整性问题;(2)采用数字信封技术保证数据的传输安全;(3)采用数字签名技术进行发送者的身份认证,并同时保证数据的完整性,完成交易的不可否认性;(4)采用口令字技术或公开密钥技术进行身份认证;(5)采用持证认证进行身份认证;(6)采用生物识别进行身份认证。3.散列函数是什么?试述散列函数在身份认证中的作用。答:1.散列函数又称hash函数,Hash函数(也称杂凑函数或杂凑算法)就是把任意长的输入消息串变化成固定长的输出串的一种函数2.散列函数在身份认证中的作用:文件校验,数字签名,鉴权协议4.身份认证有哪些主要手段?预测将来会采用什么样的身份认证手段?答:1.口令认证,2.持证认证,3.生物认证2.预测将来会采用的身份认证手段有:1.多形态因子认证。2.基于风险的认证。3.名誉服务认证5.X.509和Kerberos认证协议分别应用于哪些情形?6.目前远程教育越来越盛行,对于远程课件的访问、成绩的查询、作业的提交以及成绩的录入,如何根据不同的用户进行有效的身份认证?7.为了防止软件盗版,各大公司都采取了一些软件的认证保护技术,请你分析Microsoft对WindowsXP的保护中采用了哪些认证手段?第六章1.网络安全的关键技术有哪些?•答:1.访问控制:访问控制主要有两种类型:网络访问控制和系统访问控制。•2.认证技术:认证(Authentication)是确定某人或某事是否名副其实或有效的过程。•3.加密通信技术:加密就是为了安全目的对信息进行编码和解码。•4.入侵检测:入侵检测是网络安全的一个重要组成部分。•5.防病毒技术:计算机病毒是一种特殊的程序,由病毒引发的问题属于软件故障。2.防火墙设备的主要功能是什么?防火墙可以完成的安全业务有那些?答:防火墙主要具有如下一些功能:1.防止外部攻击2.防止内部信息泄漏3.对网络存取和访问进行监控审计4.VPN功能5.防火墙自身的抗攻击能力防火墙可以完成的安全业务有:1.保护脆弱的服务2控制对系统的访问3集中的安全管理4增强的保密性5策略执行3.根据防火墙和Web服务器所处的位置,可以有哪三种配置?答:Dual-homed方式、Screened-host方式和Screened-subnet方式4.防火墙不能对付那些安全威胁?答:1防火墙不能防范来自内部的攻击2防火墙不能防范不经由防火墙的攻击3防火墙不能防止受到病毒感染的软件或文件的传输4防火墙不能防止数据驱动式攻击5.如某公司在中国有广州和北京两办事处,现打算通过虚拟专用网进行连接,请帮他们提供一个可行的方案。6.虚拟专用网的安全策略是什么?答:目前建造虚拟专网的国际标准有IPSec(RFC1825-1829)和L2TP(草案draft-ietf-pppext-l2tp-10)。IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。L2TP协议草案中规定它(L2TP标准)必须以IPSec为安全基础。VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程如下:①要保护的主机发送明文信息到连接公共网络的VPN设备;②VPN