【正文】 1 電子商務(wù)安全導(dǎo)論復(fù)習(xí)資料（一） 第一章 名詞解釋 1，電子商務(wù)：顧名思義，是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運作，是利用民子技術(shù)加強，加快，擴展，增強，改變了其有關(guān)過程的商務(wù)。 5， intra：是指基于 TCP/IP 協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過防火墻或其他安全機制與 intra 建立連接。 intra 上提供的服務(wù)主要是面向的是企業(yè)內(nèi)部。 6， Extra：是指基于 TCP/IP 協(xié)議的企業(yè)處域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。 7，商務(wù)數(shù)據(jù)的機密性：商務(wù)數(shù)據(jù)的機密性或稱保密性是指信息在網(wǎng)絡(luò)上傳送或存儲的過程中不被他 人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過加密偽裝后，使未經(jīng)授權(quán)者無法了解其內(nèi)容。 8，郵件炸彈：是攻擊者向同一個郵件信箱發(fā)送大量的垃圾郵件，以堵塞該郵箱。 9， TCP 劫持入侵：是對服務(wù)器的最大威脅之一，其基本思想是控制一臺連接于入侵目標(biāo)網(wǎng)的計算機，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實際的客戶端。 10， HTTP 協(xié)議的“有無記憶狀態(tài)”：即服務(wù)器在發(fā)送給客戶機的應(yīng)答后便遺忘了些次交互。 TLENET 等協(xié)議是“有記憶狀態(tài)”的，它們需記住許多關(guān)于協(xié)議雙方的信息，請求與應(yīng)答。 務(wù)系統(tǒng)可能遭受的攻擊有（系統(tǒng)穿透、違反授權(quán)原則、植入、通信監(jiān)視、通信串?dāng)_） 12．雙密鑰體制算法的特點包括（算法速度慢、適合加密小數(shù)量的信息、適合密鑰的分配、適合密鑰的管理） 常見的電子商務(wù)模式的有（大字報 /告示牌模式、 在線黃頁薄模式、電腦空間上的小冊子模式、虛擬百貨店模式、廣告推銷模式） 簡答題 1，什么是保持?jǐn)?shù)據(jù)的完整性？ 答：商務(wù)數(shù)據(jù)的完整性或稱正確性是保護數(shù)據(jù)不被未授權(quán)者修改，建立，嵌入，刪除，重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。在存儲時，要防止非法篡改，防止網(wǎng)站上的信息被破壞。在傳輸過程中 ，如果接收端收到的信息與發(fā)送的信息完全一樣則說明在傳輸過程中信息沒有遭到破壞，具有完整性。加密的信息在傳輸過程，雖能保證其機密性，但并不能保證不被修改。 2，網(wǎng)頁攻擊的步驟是什么？ 答：第一步，創(chuàng)建一個網(wǎng)頁第二步：攻擊者完全控制假網(wǎng)頁。第三步，攻擊者利用網(wǎng)頁做假的后果：攻擊者記錄受害者訪問的內(nèi)容，當(dāng)受害者填寫表單發(fā)送數(shù)據(jù)時，攻擊者可以記錄下所有數(shù)據(jù)。此外，攻擊者可以記錄下服務(wù)器響應(yīng)回來的數(shù)據(jù)。這樣，攻擊者可以偷看到許多在線商務(wù)使用的表單信息，包括賬號，密碼和秘密信息。 3，什么是 Intra? 答： Intra 是指基于 TCP/IP 協(xié)議的內(nèi)連網(wǎng)絡(luò)。它通過防火墻或其他安全機制與 Intra 建立連接。 Intra 上可提供所有 Intra的應(yīng)用服務(wù)，如 WWW， EMAIL 等，只不過服務(wù)面向的是企業(yè)內(nèi)部。和Intra 一樣， Intra 具有很高的靈活性，企業(yè)可以根據(jù)自己的需求，利用各種 Intra 互聯(lián)技術(shù)建立不同規(guī)模和功能的網(wǎng)絡(luò)。 4，為什么交易的安全性是電子商務(wù)獨有的？答：這也是電子商務(wù)系統(tǒng)所獨有的。在我們的日常生活中，進和一次交易必須辦理一定的手續(xù)，由雙方簽發(fā)各種收據(jù)憑證 ，并簽名蓋章以作為法律憑據(jù)。但在電子商務(wù)中，交易在網(wǎng)上進行，雙方甚至不會見面，那么一旦一方反悔，另一方怎么能夠向法院證明合同呢？這就需要一個網(wǎng)上認(rèn)證機構(gòu)對每一筆業(yè)務(wù)進行認(rèn)證，以確保交易的安全，避免惡意欺詐。 5，攻擊 WEB 站點有哪幾種方式？答：安全信息被破譯 非法訪問： 交易信息被截獲： 軟件漏洞被攻擊者利用：當(dāng)用 CGI 腳本編寫的程序或其他涉及到遠程用戶從瀏覽中輸入表格并進行像檢索之類在主機上直接操作命令時，會給 WEB 主機系統(tǒng)造成危險。 6， WEB 客戶機和 WEB 服務(wù)器的任務(wù)分別是什么？答： WEB 客戶機 的任務(wù)是：（ 1）為客戶提出一個服務(wù)請求 —— 超鏈時啟動；（ 2）將客戶的請求發(fā)送給服務(wù)器；（ 3）解釋服務(wù)器傳送的 HTML 等格式文檔，通過瀏覽器顯示給客戶。 WEB 服務(wù)器的任務(wù)是：（ 1）接收客戶機來的請求；（ 2）檢查請求的合法性；（ 3）針對請求，獲取并制作數(shù)據(jù)，包括使用 CGI腳本等程序，為文件設(shè)置適當(dāng)?shù)?MIME 類型來對數(shù)據(jù)進行前期處理和后期處理；（ 4）把信息發(fā)送給提出請求的客戶機。 7，電子商務(wù)安全的六項中心內(nèi)容是什么？答（ 1）商務(wù)數(shù)據(jù)的機密性或稱保密性 （ 2）商務(wù)數(shù)據(jù)的完整性或稱正確性 （ 3）商務(wù)對象的認(rèn) 證性 （ 4）商務(wù)服務(wù)的不可否認(rèn)性 （ 5）商務(wù)服務(wù)的不可拒絕性或稱可用性 （ 6）訪問的控制性 第二章 電子商務(wù)安全需求和密碼技術(shù) 名詞解釋 1，明文：原始的，未被偽裝的消息稱做明文，也稱信源。通常用 M 表示。 2，密文：通過一個密鑰和加密算法將明文變換成一種偽信息，稱為密文。通常用 C 表示。 3，加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對信息進行編碼，生成別人難以理解的符號，即把明文變成密文的過程。通常用 E 表示。 4，解密：由密文恢復(fù)成明文的過程，稱為解密。通常用 D 表示。 5，加密算法：對 明文進行加密所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。 6，解密算法：消息傳送給接收者后，要對密文進行解密時所采用的一組規(guī)則稱做解密算法。 7，密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進行的，分別稱作加密密鑰和解密密鑰。通常用 K 表示。 8，單鑰密碼體制：是加密和解密使用楨或?qū)嵸|(zhì)上等同的密鑰的加密體制。使用單鑰密碼體制時，通信雙方 A B 必須相互交換密鑰，當(dāng) A 發(fā)信息 B 時， A 用自己的加密密鑰匙進行加密，而 B 在接收到數(shù)據(jù)后，用A 的密鑰進行解密。單鑰密碼體制又稱為秘密密鑰體制或?qū)ΨQ密鑰體制。 9，雙 鑰密碼體制又稱作公共密鑰體制或非對稱加密體制，這種加密法在加密和解密過程中要使用一對密鑰，一個用與加密，另一上用于解密。即通過一個密鑰加密的信息，只有使用另一個密鑰才能夠解密。這樣每個用戶都擁有兩個密鑰：公共密鑰和個人密鑰，公共密鑰用于加密鑰，個人密鑰用于解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用接收人的公共密鑰加密的信息只有接收人才能解密。 簡答題材、 1，電子商務(wù)的可靠性的含義是什么？ 答：可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計算機系統(tǒng)，其可靠性是指為防止由于計算機失效，程序 錯誤，傳輸錯誤，硬件故障，系統(tǒng)軟件錯誤，計算機病毒和自然災(zāi)害等聽所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。 2，電子商務(wù)的真實性的含義是什么？ 答：真實性蝗旨商務(wù)活動中交易身份的真實性，亦即是交易雙方確實存在的，不是假冒的。 3，單鑰密碼體制的特點是什么？ 答：第一，加密和解密的速度快，效率高；第二，單鑰密碼體制的加密和解密過程使用同一個密鑰。發(fā)送者的接收者都需要知道密鑰，需要安全渠道進行密鑰的傳遞，單鑰密碼體制無法適應(yīng)互聯(lián)網(wǎng)大環(huán)境多人相互通信要求。 4，雙鑰密鑰體制最大的特點是什么？ 答：第一，適合密鑰的分配和管理。第二，算法速度慢，只適合加密小數(shù)量的信息。 5，替換加密和轉(zhuǎn)換加密的主要區(qū)別是什么？答：在替換加密法中，原文的順序沒被改變，而是通過各種字母映射關(guān)系把原文隱藏了起來。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。 6，簡述密碼系統(tǒng)的理論安全性的實用安全性。答：由于計算機技術(shù)的發(fā)展，人們借且于計算機進行分析處理，密碼的破譯能力也不斷提高。一個密碼體制的安全性取決于破譯者具備的能力，如若它對于擁有無限計算資源的破譯者來說是安全的，則稱這樣的密碼體制是無條件安全的，它意味著不 論破譯者擁有多大的資源，都不可能破譯；如若一個密碼體制對于擁有限計算資源的破澤者來說是安全的，則稱這樣的密碼體制是計算上安全的，計算上安全的密碼表明破譯的難度很大。無條件安全的密碼體制是理論上安全的；計算上安全的密碼體制是實用的安全性。但目前已知的無條件安全的密碼體制都是不實用的；同時還沒有一個實用的密碼體制被證明是計算上安全的。 第三章 密碼技術(shù)的應(yīng) 名詞解釋 1，數(shù)據(jù)的完整性：數(shù)據(jù)的完整性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。 2，數(shù)字簽名：是利用數(shù)字技術(shù)實現(xiàn)在網(wǎng)絡(luò)傳 送文件時，附加個人標(biāo)記，完成系統(tǒng)上手書簽名蓋章的作用，以表示確認(rèn)，負(fù)責(zé)，經(jīng)手等。 3，雙密碼加密：它是一對匹配使用的密鑰。一個是公鑰，是公開的，其他人可以得到；另一個是私鑰，為個人所有。這對密鑰經(jīng)常一個用來加密，一個用來解密。 4，數(shù)字信封：發(fā)送方用一個隨機產(chǎn)生的 DES 密鑰加密消息，然后用接收方的公鑰加密 DES 密鑰，稱為消息的“數(shù)字信封”，將數(shù)字信封與DES 加密后的消息一起發(fā)給接收方。接收者收到消息后，先用其私鑰找開數(shù)字信封，得到發(fā)送方的 DES 密鑰，再用此密鑰去解密消息。只有用接收方的 RSA 私鑰才能夠找 開此數(shù)字信封，確保了接收者的身份。 5，混合加密系統(tǒng)：綜合利用消息加密，數(shù)字信封，散列函數(shù)和數(shù)字簽名實現(xiàn)安全性，完整性，可鑒別和不可否認(rèn)。成為目前信息安全傳送的標(biāo)準(zhǔn)模式，一般把它叫作“混合加密系統(tǒng)”，被廣泛采用。 6，數(shù)字時間戳：如何對文件加蓋不可篡改的數(shù)字時間戳是一項重要的安全技術(shù)。數(shù)字時間戳應(yīng)當(dāng)保證： （ 1）數(shù)據(jù)文件加蓋的時間戳與存儲數(shù)據(jù)的物理媒體無關(guān)。 （ 2）對已加蓋時間戳的文件不可能做絲毫改動。 （ 3）要想對某個文件加蓋與當(dāng)前日期和時間不同時間戳是不可能的。 7，無可爭辯簽名：是在沒有簽 名者自己的合作下不可能驗證簽名的簽名。無可爭辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。 8，消息認(rèn)證：是使接收方能驗證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。 9，確定性數(shù)字簽名：其明文與密文一一對應(yīng)，它對一特定消息的簽名不變化。 10，隨機式數(shù)字簽名：根據(jù)簽名算法中的隨機參值，對同一消息的簽名也有對應(yīng)的變化。 11，盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時需要某人對一個文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名。 12，完全盲簽名：設(shè) 1 是一位仲裁人， 2 要 1 簽署一個文件，但不想讓他知道所簽的文件內(nèi)容是什么，而 1 并不關(guān)心所簽的內(nèi)容，他只是 2 確保在需要時可以對此進行仲裁，這時便可通過完全盲簽名協(xié)議實現(xiàn)。完全盲簽名就是當(dāng)前對所簽署的文件內(nèi)容不關(guān)心，不知道，只是以后需要時，可以作證進行仲裁。 13，雙聯(lián)簽名：在一次電子商務(wù)活動過程中可能同時有兩個聯(lián)系的消息 M1 和 M2，要對它們同時進行數(shù)字簽名。 簡答題 1，簡述保護數(shù)據(jù)完整性的目的，以有被破壞會帶來的嚴(yán)重后果。 答：保護數(shù)據(jù)完整性的目的就是保證計算機系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這 意味著數(shù)據(jù)不會由于有意或無意的事件而被改變和丟失。 數(shù)據(jù)完整性被破壞會帶來嚴(yán)重的后果： （ 1）造成直接的經(jīng)濟損失， （ 2）影響一個供應(yīng)鏈上許多廠商的經(jīng)濟活動。 （ 3）可能造成過不了“關(guān)”。（ 4）會牽涉到經(jīng)濟案件中。（ 5）造成電子商務(wù)經(jīng)營的混亂與不信任 2，簡述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性。 答：可用多種技術(shù)的組合來認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個算法同時應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計算機出散列值后，就將此值 —— 消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的 消息摘要后，就用此消息獨自再計算出一個消息摘要。如果接收者所計算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒有被篡改。 3，數(shù)字簽名與消息的真實性認(rèn)證有什么不同？ 答：數(shù)字簽名與消息的真實性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過。當(dāng)收發(fā)者之間沒有利害沖突時，這對于防止第三者的破壞來說是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。 4，數(shù)字簽名和手書簽名有什么不同？ 答：數(shù)字簽名和手書簽 名的區(qū)別在于：手書簽名是模擬的，因人而異，即使同一個人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專家。而數(shù)字簽名是 0 和 1 的數(shù)字串，極難偽造，不需專家。對不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實現(xiàn)了文件與簽署的最緊密的“捆綁”。 5，數(shù)字簽名可以解決哪些安全鑒別問題？ 答：數(shù)字簽名可以解決下述安全鑒別問題： （ 1）接收方偽造：（ 2）發(fā)送者或收者否認(rèn)：（ 3）第三方冒充：送或接收文件；（ 4）接收方篡改 6，無可爭辯簽名有何優(yōu)缺點？ 答：無可爭辯簽