【正文】 1 電子商務(wù)安全導(dǎo)論復(fù)習(xí)資料（一） 第一章 名詞解釋 1，電子商務(wù)：顧名思義，是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用民子技術(shù)加強(qiáng)，加快，擴(kuò)展，增強(qiáng)，改變了其有關(guān)過(guò)程的商務(wù)。 5， intra：是指基于 TCP/IP 協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過(guò)防火墻或其他安全機(jī)制與 intra 建立連接。 intra 上提供的服務(wù)主要是面向的是企業(yè)內(nèi)部。 6， Extra：是指基于 TCP/IP 協(xié)議的企業(yè)處域網(wǎng)，它是一種合作性網(wǎng)絡(luò)。 7，商務(wù)數(shù)據(jù)的機(jī)密性：商務(wù)數(shù)據(jù)的機(jī)密性或稱(chēng)保密性是指信息在網(wǎng)絡(luò)上傳送或存儲(chǔ)的過(guò)程中不被他 人竊取，不被泄露或披露給未經(jīng)授權(quán)的人或組織，或者經(jīng)過(guò)加密偽裝后，使未經(jīng)授權(quán)者無(wú)法了解其內(nèi)容。 8，郵件炸彈：是攻擊者向同一個(gè)郵件信箱發(fā)送大量的垃圾郵件，以堵塞該郵箱。 9， TCP 劫持入侵：是對(duì)服務(wù)器的最大威脅之一，其基本思想是控制一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開(kāi)，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶(hù)端。 10， HTTP 協(xié)議的“有無(wú)記憶狀態(tài)”：即服務(wù)器在發(fā)送給客戶(hù)機(jī)的應(yīng)答后便遺忘了些次交互。 TLENET 等協(xié)議是“有記憶狀態(tài)”的，它們需記住許多關(guān)于協(xié)議雙方的信息，請(qǐng)求與應(yīng)答。 務(wù)系統(tǒng)可能遭受的攻擊有（系統(tǒng)穿透、違反授權(quán)原則、植入、通信監(jiān)視、通信串?dāng)_） 12．雙密鑰體制算法的特點(diǎn)包括（算法速度慢、適合加密小數(shù)量的信息、適合密鑰的分配、適合密鑰的管理） 常見(jiàn)的電子商務(wù)模式的有（大字報(bào) /告示牌模式、 在線(xiàn)黃頁(yè)薄模式、電腦空間上的小冊(cè)子模式、虛擬百貨店模式、廣告推銷(xiāo)模式） 簡(jiǎn)答題 1，什么是保持?jǐn)?shù)據(jù)的完整性？ 答：商務(wù)數(shù)據(jù)的完整性或稱(chēng)正確性是保護(hù)數(shù)據(jù)不被未授權(quán)者修改，建立，嵌入，刪除，重復(fù)傳送或由于其他原因使原始數(shù)據(jù)被更改。在存儲(chǔ)時(shí)，要防止非法篡改，防止網(wǎng)站上的信息被破壞。在傳輸過(guò)程中 ，如果接收端收到的信息與發(fā)送的信息完全一樣則說(shuō)明在傳輸過(guò)程中信息沒(méi)有遭到破壞，具有完整性。加密的信息在傳輸過(guò)程，雖能保證其機(jī)密性，但并不能保證不被修改。 2，網(wǎng)頁(yè)攻擊的步驟是什么？ 答：第一步，創(chuàng)建一個(gè)網(wǎng)頁(yè)第二步：攻擊者完全控制假網(wǎng)頁(yè)。第三步，攻擊者利用網(wǎng)頁(yè)做假的后果：攻擊者記錄受害者訪(fǎng)問(wèn)的內(nèi)容，當(dāng)受害者填寫(xiě)表單發(fā)送數(shù)據(jù)時(shí)，攻擊者可以記錄下所有數(shù)據(jù)。此外，攻擊者可以記錄下服務(wù)器響應(yīng)回來(lái)的數(shù)據(jù)。這樣，攻擊者可以偷看到許多在線(xiàn)商務(wù)使用的表單信息，包括賬號(hào)，密碼和秘密信息。 3，什么是 Intra? 答： Intra 是指基于 TCP/IP 協(xié)議的內(nèi)連網(wǎng)絡(luò)。它通過(guò)防火墻或其他安全機(jī)制與 Intra 建立連接。 Intra 上可提供所有 Intra的應(yīng)用服務(wù)，如 WWW， EMAIL 等，只不過(guò)服務(wù)面向的是企業(yè)內(nèi)部。和Intra 一樣， Intra 具有很高的靈活性，企業(yè)可以根據(jù)自己的需求，利用各種 Intra 互聯(lián)技術(shù)建立不同規(guī)模和功能的網(wǎng)絡(luò)。 4，為什么交易的安全性是電子商務(wù)獨(dú)有的？答：這也是電子商務(wù)系統(tǒng)所獨(dú)有的。在我們的日常生活中，進(jìn)和一次交易必須辦理一定的手續(xù)，由雙方簽發(fā)各種收據(jù)憑證 ，并簽名蓋章以作為法律憑據(jù)。但在電子商務(wù)中，交易在網(wǎng)上進(jìn)行，雙方甚至不會(huì)見(jiàn)面，那么一旦一方反悔，另一方怎么能夠向法院證明合同呢？這就需要一個(gè)網(wǎng)上認(rèn)證機(jī)構(gòu)對(duì)每一筆業(yè)務(wù)進(jìn)行認(rèn)證，以確保交易的安全，避免惡意欺詐。 5，攻擊 WEB 站點(diǎn)有哪幾種方式？答：安全信息被破譯 非法訪(fǎng)問(wèn)： 交易信息被截獲： 軟件漏洞被攻擊者利用：當(dāng)用 CGI 腳本編寫(xiě)的程序或其他涉及到遠(yuǎn)程用戶(hù)從瀏覽中輸入表格并進(jìn)行像檢索之類(lèi)在主機(jī)上直接操作命令時(shí)，會(huì)給 WEB 主機(jī)系統(tǒng)造成危險(xiǎn)。 6， WEB 客戶(hù)機(jī)和 WEB 服務(wù)器的任務(wù)分別是什么？答： WEB 客戶(hù)機(jī) 的任務(wù)是：（ 1）為客戶(hù)提出一個(gè)服務(wù)請(qǐng)求 —— 超鏈時(shí)啟動(dòng)；（ 2）將客戶(hù)的請(qǐng)求發(fā)送給服務(wù)器；（ 3）解釋服務(wù)器傳送的 HTML 等格式文檔，通過(guò)瀏覽器顯示給客戶(hù)。 WEB 服務(wù)器的任務(wù)是：（ 1）接收客戶(hù)機(jī)來(lái)的請(qǐng)求；（ 2）檢查請(qǐng)求的合法性；（ 3）針對(duì)請(qǐng)求，獲取并制作數(shù)據(jù)，包括使用 CGI腳本等程序，為文件設(shè)置適當(dāng)?shù)?MIME 類(lèi)型來(lái)對(duì)數(shù)據(jù)進(jìn)行前期處理和后期處理；（ 4）把信息發(fā)送給提出請(qǐng)求的客戶(hù)機(jī)。 7，電子商務(wù)安全的六項(xiàng)中心內(nèi)容是什么？答（ 1）商務(wù)數(shù)據(jù)的機(jī)密性或稱(chēng)保密性 （ 2）商務(wù)數(shù)據(jù)的完整性或稱(chēng)正確性 （ 3）商務(wù)對(duì)象的認(rèn) 證性 （ 4）商務(wù)服務(wù)的不可否認(rèn)性 （ 5）商務(wù)服務(wù)的不可拒絕性或稱(chēng)可用性 （ 6）訪(fǎng)問(wèn)的控制性 第二章 電子商務(wù)安全需求和密碼技術(shù) 名詞解釋 1，明文：原始的，未被偽裝的消息稱(chēng)做明文，也稱(chēng)信源。通常用 M 表示。 2，密文：通過(guò)一個(gè)密鑰和加密算法將明文變換成一種偽信息，稱(chēng)為密文。通常用 C 表示。 3，加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過(guò)程。通常用 E 表示。 4，解密：由密文恢復(fù)成明文的過(guò)程，稱(chēng)為解密。通常用 D 表示。 5，加密算法：對(duì) 明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱(chēng)做加密算法。 6，解密算法：消息傳送給接收者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱(chēng)做解密算法。 7，密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱(chēng)作加密密鑰和解密密鑰。通常用 K 表示。 8，單鑰密碼體制：是加密和解密使用楨或?qū)嵸|(zhì)上等同的密鑰的加密體制。使用單鑰密碼體制時(shí)，通信雙方 A B 必須相互交換密鑰，當(dāng) A 發(fā)信息 B 時(shí)， A 用自己的加密密鑰匙進(jìn)行加密，而 B 在接收到數(shù)據(jù)后，用A 的密鑰進(jìn)行解密。單鑰密碼體制又稱(chēng)為秘密密鑰體制或?qū)ΨQ(chēng)密鑰體制。 9，雙 鑰密碼體制又稱(chēng)作公共密鑰體制或非對(duì)稱(chēng)加密體制，這種加密法在加密和解密過(guò)程中要使用一對(duì)密鑰，一個(gè)用與加密，另一上用于解密。即通過(guò)一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。這樣每個(gè)用戶(hù)都擁有兩個(gè)密鑰：公共密鑰和個(gè)人密鑰，公共密鑰用于加密鑰，個(gè)人密鑰用于解密。用戶(hù)將公共密鑰交給發(fā)送方或公開(kāi)，信息發(fā)送者使用接收人的公共密鑰加密的信息只有接收人才能解密。 簡(jiǎn)答題材、 1，電子商務(wù)的可靠性的含義是什么？ 答：可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計(jì)算機(jī)系統(tǒng)，其可靠性是指為防止由于計(jì)算機(jī)失效，程序 錯(cuò)誤，傳輸錯(cuò)誤，硬件故障，系統(tǒng)軟件錯(cuò)誤，計(jì)算機(jī)病毒和自然災(zāi)害等聽(tīng)所產(chǎn)生的潛在威脅，并加以控制和預(yù)防，確保系統(tǒng)安全可靠性。 2，電子商務(wù)的真實(shí)性的含義是什么？ 答：真實(shí)性蝗旨商務(wù)活動(dòng)中交易身份的真實(shí)性，亦即是交易雙方確實(shí)存在的，不是假冒的。 3，單鑰密碼體制的特點(diǎn)是什么？ 答：第一，加密和解密的速度快，效率高；第二，單鑰密碼體制的加密和解密過(guò)程使用同一個(gè)密鑰。發(fā)送者的接收者都需要知道密鑰，需要安全渠道進(jìn)行密鑰的傳遞，單鑰密碼體制無(wú)法適應(yīng)互聯(lián)網(wǎng)大環(huán)境多人相互通信要求。 4，雙鑰密鑰體制最大的特點(diǎn)是什么？ 答：第一，適合密鑰的分配和管理。第二，算法速度慢，只適合加密小數(shù)量的信息。 5，替換加密和轉(zhuǎn)換加密的主要區(qū)別是什么？答：在替換加密法中，原文的順序沒(méi)被改變，而是通過(guò)各種字母映射關(guān)系把原文隱藏了起來(lái)。轉(zhuǎn)換加密法是將原字母的順序打亂，將其重新排列。 6，簡(jiǎn)述密碼系統(tǒng)的理論安全性的實(shí)用安全性。答：由于計(jì)算機(jī)技術(shù)的發(fā)展，人們借且于計(jì)算機(jī)進(jìn)行分析處理，密碼的破譯能力也不斷提高。一個(gè)密碼體制的安全性取決于破譯者具備的能力，如若它對(duì)于擁有無(wú)限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是無(wú)條件安全的，它意味著不 論破譯者擁有多大的資源，都不可能破譯；如若一個(gè)密碼體制對(duì)于擁有限計(jì)算資源的破澤者來(lái)說(shuō)是安全的，則稱(chēng)這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。無(wú)條件安全的密碼體制是理論上安全的；計(jì)算上安全的密碼體制是實(shí)用的安全性。但目前已知的無(wú)條件安全的密碼體制都是不實(shí)用的；同時(shí)還沒(méi)有一個(gè)實(shí)用的密碼體制被證明是計(jì)算上安全的。 第三章 密碼技術(shù)的應(yīng) 名詞解釋 1，數(shù)據(jù)的完整性：數(shù)據(jù)的完整性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”和“保持完整或未被分割的品質(zhì)或狀態(tài)”。 2，數(shù)字簽名：是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳 送文件時(shí)，附加個(gè)人標(biāo)記，完成系統(tǒng)上手書(shū)簽名蓋章的作用，以表示確認(rèn)，負(fù)責(zé)，經(jīng)手等。 3，雙密碼加密：它是一對(duì)匹配使用的密鑰。一個(gè)是公鑰，是公開(kāi)的，其他人可以得到；另一個(gè)是私鑰，為個(gè)人所有。這對(duì)密鑰經(jīng)常一個(gè)用來(lái)加密，一個(gè)用來(lái)解密。 4，數(shù)字信封：發(fā)送方用一個(gè)隨機(jī)產(chǎn)生的 DES 密鑰加密消息，然后用接收方的公鑰加密 DES 密鑰，稱(chēng)為消息的“數(shù)字信封”，將數(shù)字信封與DES 加密后的消息一起發(fā)給接收方。接收者收到消息后，先用其私鑰找開(kāi)數(shù)字信封，得到發(fā)送方的 DES 密鑰，再用此密鑰去解密消息。只有用接收方的 RSA 私鑰才能夠找 開(kāi)此數(shù)字信封，確保了接收者的身份。 5，混合加密系統(tǒng)：綜合利用消息加密，數(shù)字信封，散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性，完整性，可鑒別和不可否認(rèn)。成為目前信息安全傳送的標(biāo)準(zhǔn)模式，一般把它叫作“混合加密系統(tǒng)”，被廣泛采用。 6，數(shù)字時(shí)間戳：如何對(duì)文件加蓋不可篡改的數(shù)字時(shí)間戳是一項(xiàng)重要的安全技術(shù)。數(shù)字時(shí)間戳應(yīng)當(dāng)保證： （ 1）數(shù)據(jù)文件加蓋的時(shí)間戳與存儲(chǔ)數(shù)據(jù)的物理媒體無(wú)關(guān)。 （ 2）對(duì)已加蓋時(shí)間戳的文件不可能做絲毫改動(dòng)。 （ 3）要想對(duì)某個(gè)文件加蓋與當(dāng)前日期和時(shí)間不同時(shí)間戳是不可能的。 7，無(wú)可爭(zhēng)辯簽名：是在沒(méi)有簽 名者自己的合作下不可能驗(yàn)證簽名的簽名。無(wú)可爭(zhēng)辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。 8，消息認(rèn)證：是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過(guò)。 9，確定性數(shù)字簽名：其明文與密文一一對(duì)應(yīng)，它對(duì)一特定消息的簽名不變化。 10，隨機(jī)式數(shù)字簽名：根據(jù)簽名算法中的隨機(jī)參值，對(duì)同一消息的簽名也有對(duì)應(yīng)的變化。 11，盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時(shí)需要某人對(duì)一個(gè)文件簽名，但又不讓他知道文件內(nèi)容，稱(chēng)為盲簽名。 12，完全盲簽名：設(shè) 1 是一位仲裁人， 2 要 1 簽署一個(gè)文件，但不想讓他知道所簽的文件內(nèi)容是什么，而 1 并不關(guān)心所簽的內(nèi)容，他只是 2 確保在需要時(shí)可以對(duì)此進(jìn)行仲裁，這時(shí)便可通過(guò)完全盲簽名協(xié)議實(shí)現(xiàn)。完全盲簽名就是當(dāng)前對(duì)所簽署的文件內(nèi)容不關(guān)心，不知道，只是以后需要時(shí)，可以作證進(jìn)行仲裁。 13，雙聯(lián)簽名：在一次電子商務(wù)活動(dòng)過(guò)程中可能同時(shí)有兩個(gè)聯(lián)系的消息 M1 和 M2，要對(duì)它們同時(shí)進(jìn)行數(shù)字簽名。 簡(jiǎn)答題 1，簡(jiǎn)述保護(hù)數(shù)據(jù)完整性的目的，以有被破壞會(huì)帶來(lái)的嚴(yán)重后果。 答：保護(hù)數(shù)據(jù)完整性的目的就是保證計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)和信息處于一種完整和未受損害的狀態(tài)。這 意味著數(shù)據(jù)不會(huì)由于有意或無(wú)意的事件而被改變和丟失。 數(shù)據(jù)完整性被破壞會(huì)帶來(lái)嚴(yán)重的后果： （ 1）造成直接的經(jīng)濟(jì)損失， （ 2）影響一個(gè)供應(yīng)鏈上許多廠(chǎng)商的經(jīng)濟(jì)活動(dòng)。 （ 3）可能造成過(guò)不了“關(guān)”。（ 4）會(huì)牽涉到經(jīng)濟(jì)案件中。（ 5）造成電子商務(wù)經(jīng)營(yíng)的混亂與不信任 2，簡(jiǎn)述散列函數(shù)應(yīng)用于數(shù)據(jù)的完整性。 答：可用多種技術(shù)的組合來(lái)認(rèn)證消息的完整性。為消除因消息被更改而導(dǎo)致的欺詐和濫用行為，可將兩個(gè)算法同時(shí)應(yīng)用到消息上。首先用散列算法，由散列函數(shù)計(jì)算機(jī)出散列值后，就將此值 —— 消息摘要附加到這條消息上。當(dāng)接收者收到消息及附加的 消息摘要后，就用此消息獨(dú)自再計(jì)算出一個(gè)消息摘要。如果接收者所計(jì)算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息沒(méi)有被篡改。 3，數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同？ 答：數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)信息內(nèi)容是否被篡改過(guò)。當(dāng)收發(fā)者之間沒(méi)有利害沖突時(shí)，這對(duì)于防止第三者的破壞來(lái)說(shuō)是足夠了。但當(dāng)接收者和發(fā)送者之間相互有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無(wú)法解決他們之間的糾紛，此是需借助數(shù)字簽名技術(shù)。 4，數(shù)字簽名和手書(shū)簽名有什么不同？ 答：數(shù)字簽名和手書(shū)簽 名的區(qū)別在于：手書(shū)簽名是模擬的，因人而異，即使同一個(gè)人也有細(xì)微差別，比較容易偽造，要區(qū)別是否是偽造，往往需要特殊專(zhuān)家。而數(shù)字簽名是 0 和 1 的數(shù)字串，極難偽造，不需專(zhuān)家。對(duì)不同的信息摘要，即使是同一人，其數(shù)字簽名也是不同的。這樣就實(shí)現(xiàn)了文件與簽署的最緊密的“捆綁”。 5，數(shù)字簽名可以解決哪些安全鑒別問(wèn)題？ 答：數(shù)字簽名可以解決下述安全鑒別問(wèn)題： （ 1）接收方偽造：（ 2）發(fā)送者或收者否認(rèn)：（ 3）第三方冒充：送或接收文件；（ 4）接收方篡改 6，無(wú)可爭(zhēng)辯簽名有何優(yōu)缺點(diǎn)？ 答：無(wú)可爭(zhēng)辯簽