电子商务支付与安全（第2版）参考答案

参考答案

第1章 电子商务支付与安全概述

一、名次解释

1、Internet：Internet即“国际互联网，又称为因（英）特网、国际网，是一个规模庞大的数据通讯网络，由遍布世界各地的计算机网络和计算机通过电话线、卫星及其他远程通讯系统以TCP／IP协议进行彼此通讯的相互连接的计算机网络的集合。”它采用分组交换和异种机互联的TCP／IP协议，将各种不同的计算机、软件平台、网络连接起来，从而实现了资源共享。在这个规模庞大的网络中，包括独立的计算机、局域网（LANs）、城域网（MANs）与广域网（WANs）等。

2、电子商务：从狭义上理解，电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品交易的手段。从广义上理解，电子商务泛指基于Internet的一切与数字化处理有关的商务活动。

3、电子交易：所谓电子交易就是指在网上进行买卖交易。 4、电子支付：所谓电子支付（Electronic Payment）是指进行电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。广义地说，电子支付就是发生在购买者和销售者之间的金融交换，而这一交换方式往往借助银行或其他机构支持的某种电子金融工具完成，如电子现金、电子支票和电子银行卡等。

5电子商务安全：安全问题成为电子商务最核心的问题，也是电子商务得以顺利推行的保障。它包括有效保障通信网络，信息系统的安全，确保信息的真实性、保密性、完整性、不可否认性和不可更改性等。 二、选择题

1．B 2．D 3．A 4．C 5．A 6．C 7．B 三、简答题

1．Internet能提供哪些服务？

Internet提供的服务包括WWW服务、电子邮件（E-mail）、文件传输（FTP）、远程登录（Telnet）、新闻论坛（Usenet）、新闻组（News Group）、电子布告栏（BBS）、Gopher搜索、文件搜寻（Archie）、IP电话等等，全球用户可以通过Internet提供的这些服务，获取Internet上提供的信息和功能。

2．什么是电子商务？它有哪些功能？

从狭义上理解，电子商务就是企业通过业务流程的数字化、电子化与网络化实现产品

交易的手段。从广义上理解，电子商务泛指基于Internet的一切与数字化处理有关的商务活动。

电子商务系统应具有广告宣传、咨询洽谈、网上订购、网上支付、电子银行、货物传递、意见征询、业务管理等各项功能。

3．什么是电子支付？与传统支付相比它具有哪些优势？

所谓电子支付（Electronic Payment）是指进行电子商务交易的当事人（包括消费者、厂商和金融机构）使用安全手段和密码技术通过电子信息化手段进行的货币支付和资金流转。广义地说，电子支付就是发生在购买者和销售者之间的金融交换，而这一交换方式往往借助银行或其他机构支持的某种电子金融工具完成，如电子现金、电子支票和电子银行卡等。

与传统的支付方式相比，电子支付具有以下优势：

（1）电子支付适应了整个社会向信息化、数字化发展的趋势。电子支付是通过网络以先进安全的数字流转技术完成信息传输；而传统的交易支付方式则以传统的通信媒介通过现金、票据、银行兑汇等物理实体完成，无法满足信息社会高效、便捷的商务活动的需求。

（2）电子支付的工作环境是基于开放的系统平台（如互联网），而传统的交易支付方式则在较为封闭的系统中运行（如某银行的各分行之间）。工作环境的开放性使得商家加入电子支付系统更加方便快捷，没有障碍；而开放性带来的普遍性也使得消费者可以随时随地进行消费支付活动。

（3）电子支付是跨时空的电子化支付，能够真正实现全球7天24小时的服务保证。交易方只要有一台能够上网的PC机，就可以足不出户，在很短的时间内完成整个支付过程。

（4）电子支付有助于降低交易成本，最终为消费者带来更低的价格。传统的支付系统要求银行、分行、银行职员、自动取款机及相应的电子交易系统来管理现金和转账，成本非常高。而电子支付只需现有的技术设施、互联网和现有的计算机系统就可以，而且只需要少数系统维护人员。电子支付的交易效率较高，从而加快了资金周转速度，降低了企业的资金成本。

4．电子商务安全面临哪些威胁？

（1）信息的截获和窃取。如果没有采用加密措施或加密强度不够，攻击者可能通过互联网、公共电话网、搭线、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式，获取输入的机密信息，或通过对信息流量和流向、通信频度和长度等参数的分析，推出有用信息，如消费者的银行账号、密码以及企业的商业机密等。

（2）信息的篡改。当攻击者熟悉了网络信息格式以后，通过各种技术方法和手段对网络传输的信息进行中途修改，并发往目的地，从而破坏信息的完整性。这种破坏手段主要有三个方面。

①篡改：改变信息流的次序，更改信息的内容，如购买商品的出货地址。 ②删除：删除某个消息或消息的某些部分。

③插入：在消息中插入一些信息，让收方读不懂或接收错误的信息。

（3）信息假冒。当攻击者掌握了网络信息数据规律或解密了商务信息以后，可以假冒合法用户或发送假冒信息来欺骗其他用户，主要有两种方式。

①伪造电子邮件，虚开网站和商店，给用户发电子邮件，收定货单；伪造大量用户，发电子邮件，穷尽商家资源，使合法用户不能正常访问网络资源，使有严格时间要求的服务不能及时得到响应；伪造用户，发大量的电子邮件，窃取商家的商品信息和用户信用等信息。

②假冒他人身份，如冒充领导发布命令、调阅密件；冒充他人消费、栽赃；冒充主机欺骗合法主机及合法用户；冒充网络控制程序，套取或修改使用权限、通行字、密钥等信息；接管合法用户，欺骗系统，占用合法用户的资源。由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨清真伪。

（4）恶意破坏。由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。

（5）交易抵赖。交易抵赖包括多个方面，如发信者事后否认曾经发送过某条信息或内容：收信者事后否认曾经收到过某条消息或内容：购买者做了定货单不承认；商家卖出的商品因价格差而不承认原有的交易。

此外，各种外界的物理性干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。

5．电子商务安全技术主要包括哪些？

主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术。 四、论述题

1．试论述电子支付对网络安全技术的要求。

主要从机密性、完整性、认证性和不可抵赖性等方面论述电子支付对网络安全技术的要求。

略

第2章 电子交易与支付

一、名次解释

1．电子交易：电子交易是电子商务交易简称，顾名思义就是利用电子手段进行的商贸交易。具体而言，电子交易是指在网络平台基础上直接进行的在线交易，利用数字化技术将企业、消费者、政府等相互交易的双方有机连接起来，实现从浏览、洽谈、签约、交货到付款等全部或部分业务自动化处理。

2．网络银行：网上银行是指银行通过电脑和互联网（或其他公用网）向客户提供金融服务的业务处理系统。它是一种全新的业务渠道和客户服务平台，客户不用前往银行柜台，就可以享受到全天候、跨地域的银行服务。消费者持有网上银行在线支付支持的在线支付银行卡种中的任何一种银行卡，并且此卡已经开通网上银行的在线支付服务。 3．ATM系统：自动柜员机系统，即CD／ATM系统（简称ATM系统），是利用银行发行的银行卡，在自动取款机CD（Cash Dispenser）或自动柜员机ATM（Automated Teller Machine）上，执行存取款和转账等功能的一种自助银行系统。

4．POS系统：金融机构为了扩大银行卡的功能和使用范围，在零售商店、酒吧等销售

点处开办了销售点处的电子转账系统（Point of Sales），简称POS系统。 二、选择题

1．D 2．B 3．A 4．B 5．D 三、简答题

1．什么是电子交易？电子支付？

电子交易是电子商务交易简称，顾名思义就是利用电子手段进行的商贸交易。具体而言，电子交易是指在网络平台基础上直接进行的在线交易，利用数字化技术将企业、消费者、政府等相互交易的双方有机连接起来，实现从浏览、洽谈、签约、交货到付款等全部或部分业务自动化处理。

所谓电子支付，是指从事电子商务交易的当事人，包括消费者、厂商和金融机构，使用安全电子支付手段通过网络进行的货币支付或资金流转。

2．电子支付的流程包括哪些内容？

（1）客户连接互联网Internet，用Web浏览器进行商品的浏览、选择与订购，填写网络定单，选择应用的网络支付工具，并且得到银行的授权使用，如信用卡、电子钱包、电子现金、电子支票或网络银行账号等。

（2）客户机对相关定单信息进行加密处理，在网上提交定单。

（3）商家服务器对客户的订购信息进行检查、确认，并把相关的、经过加密的客户支付信息等转发给支付网关，直至银行专用网络的银行后台业务服务器进行确认，以期待从银行等电子货币发行机构验证得到支付资金的授权。

（4）银行验证确认后通过建立起来的支付网关的加密信道；给商家服务器回送确认及支付信息，为进一步的安全，给客户回送支付授权请求。

（5）银行得到客户传来的进一步授权结算信息后，把资金从客户账号拨至开展电子商务的商家银行账户上，借助金融专用网络进行结算，并分别给商家和客户回送支付结算成功的信息。

（6）商家服务器收到银行发来的结算成功信息后，给客户发送网络付款成功信息和发货通知。至此，一次典型的电子支付结算流程结束。商家和客户可以分别借助网络查询自己的资金余额信息，以进一步核对。

3．电子支付系统由哪些内容构成？

电子商务支付系统的基本构成如图2—3所示。

其中，客户是指与某商家有交易关系并存在未清偿的债权债务关系（一般是债务）的一方。客户用自己拥有的支付工具（如信用卡、电子钱包等）来发起支付，是支付体系运作的原因和起点。

商家则是拥有债权的商品交易的另一方，他可以根据客户发起的支付指令向金融体系请求获取货币给付。商家一般准备了优良的服务器来处理这一过程，包括认证以及不同支付工具的处理。

客户的开户行是指客户在其中拥有账户的银行，客户所拥有的支付工具就是由开户行提供的，客户开户行在提供支付工具的时候也同时提供了一种银行信用，即保证支付工具的兑付。在卡基支付体系中，客户开户行又被称为发卡行。

商家开户行是商家在其中开设账户的银行，其账户是整个支付过程中资金流向的地方商家将客户的支付指令提交给其开户行后，就由开户行进行支付授权的请求以及行与行间的清算等工作。商家的开户行是依据商家提供的合法账单（客户的支付指令）来工作的，因此又称为收单行。 客户开户行 商家开户行

认证中心

客户 商家

图2—3 电子支付系统基本构成

4．电子支付系统的功能是什么？

（1）使用数字签名和数字证书实现对各方的认证。为实现交易的安全性，对参与贸易的各方身份的有效性进行认证，通过认证机构或注册机构向参与各方发放数字证书，以证实其身份的合法性。

（2）使用加密技术对业务进行加密。可以采用单钥体制或双钥体制来进行消息加密，并采用数字信封、数字签字等技术来加强数据传输的保密性，以防止未被授权的第三者获取消息的真正含义。

（3）使用消息摘要算法以确认业务的完整性。为保护数据不被未授权者建立、嵌入、删除、篡改、重放，而是完整无缺地到达接收者一方，可以采用数据杂凑技术；通过对原文的杂凑生成消息摘要一并传送给接收者，接收者就可以通过摘要来判断所接受的消息是否完整。若发现接收的消息不完整，要求发送端重发以保证其完整性。

（4）当交易双方出现纠纷时，保证对业务的不可否认性。这用于保护通信用户对付来自其他合法用户的威胁，如发送用户否认他所发的消息，接收者否认他己接收的消息等。支付系统必须在交易的过程中生成或提供足够充分的证据来迅速辨别纠纷中的是非，可以用仲裁签名、不可否认签名等技术来实现。

（5）能够处理贸易业务的多边支付问题。由于网上贸易的支付要牵涉到客户、商家和银行等多方，其中传送的购货信息与支付指令必须连接在一起，因为商家只有确认了支付指令后才会继续交易，银行也只有确认了支付指令后才会提供支付。但同时，商家不能读取客户的支付指令，银行不能读取商家的购货信息，这种多边支付的关系就可以通过双重签名等技术来实现。

5．电子支付应用系统包括哪些？

主要包括：ATM系统、POS系统、电子汇兑系统和网上支付系统 四、论述题

试论述电子支付的安全性对电子商务发展的作用。

电子商务的发展要求信息流、资金流和物流三流畅通，以保证交易的速度。在电子商务的交易中，如果依赖传统的支付方法，如现金、支票等就不可能完成在线的实时支付。所谓“实时”，就意味着当消费者点击浏览器上的“付款”按钮时，整个交易就已经被执行并完成，传统支付方式则通常要求消费者离开在线平台，以电话或邮寄的方式付款。银行转账也存在一定的处理时延，而且容易产生诈骗行为，因为消费者无法知道网上商店是真正存在的还是骗财的虚构公司。由此可见，没有适当的支付手段相配合，电子商务的发展只能是纸上谈兵，无从体现电子商务方便快捷、低成本的优越性。在这种情况下，在线电子支付应运而生，它是电子商务得以顺利发展的基础条件。

第3章 电子支付工具

一、名次解释

电子货币是指以互联网（Internet）为基础，以计算机技术和通信技术为手段，以电子数据形式存储在计算机系统中，并通过计算机网络系统传递，实现流通和支付功能的货币。所以，电子货币也叫网络货币。

信用卡是银行或专门的发行公司发给消费者使用的一种信用凭证，是一种把支付与信贷两项银行基本功能融为一体的业务。

电子现金（E—Cash）是一种以电子数据形式流通的货币。它把现金数值转换成一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。

电子支票是客户向收款人签发的、无条件的数字化支付命令，它通过Internet或无线接入设备来完成传统支票的所有功能，是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子支付方式。这种支付方式必须有第三方来证明这个支付是有效和经过授权的。

电子钱包是一个可以有持卡人用来进行安全电子交易和储存交易记录的软件，是顾客在网上贸易购物活动中常用的一种支付工具，是小额购物或购买小商品时常用的新式钱包。 二、选择题

1．A B 2．A 3．A 4．A 5．C 三、简答题

1．什么是电子货币？电子货币分哪几种？

答：电子货币是以互联网（Internet）为基础，以计算机技术和通信技术为手段，以电子数据形式存储在计算机系统中，并通过计算机网络系统传递，实现流通和支付功能的货币。按支付方式分类，电子货币大致可分为以下几种：

(1)．“储值卡型”电子货币

“储值卡型”电子货币是指功能得到进一步提高的储值卡。储值卡的一般原理是：使用者先在卡中存入一定数量的现金，将卡插入一个阅读器，金额便能以电子化的方式传递，并从卡上减去相应的金额。然后金额的接收者就能在将来的某一时间从它的付款人那里真正收到这个数目的资金。

储值卡型的电子货币，由于使用了IC芯片，因此难以伪造，而且，通过ATM可以增加卡内的余额，不必用完即丢弃，具有与普通储值卡不同的一些优点。

(2)．“信用卡应用型”电子货币

“信用卡应用型”电子货币是指实现了网上结算的信用卡，是最早实现在Internet网上支付的电子货币。

(3)．“存款利用型”电子货币

“存款利用型”电子货币是指用作支付手段在计算机网络上被传递的存款货币，如电子支票。

(4)．“现金模拟型”电子货币

现金模拟型电子货币是模仿当面支付方式的网上电子货币，如电子现金。

2．信用卡的功能有哪些？

答：信用卡的基本功能有以下3项：

（1）ID功能。具有能够证明持卡人的身份、确认使用者是否本人的功能。

（2）结算功能。可用于支付购买商品、享受服务的款项，具有非现金结算功能。 （3）信息记录功能。将持卡人的属性（身份、密码）、对卡的使用情况等各种数据记录在卡中。

在基本功能的基础上，为了使信用卡的功能更具优越性而增加的服务功能，称为附加服务功能。主要有以下几项：

（1）消费信用功能 （2）消费信贷功能 （3）吸收储蓄功能 （4）转账结算功能 （5）通存通兑功能 （6）自动存取款功能 （7）代发工资功能 （8）代理收费功能 （9）信誉标志功能

3．网络货币的种类？

答：网络货币，即在Internet网上使用的货币，其种类包括：信用卡型网络货币、电子现金、电子支票和电子钱包等。

4．电子现金的流程包括哪些内容？

答：不同的电子现金，其支付的工作流程不完全相同，但一般来说，它的支付流程都包括以下5个步骤：

（1）购买电子现金。买方在电子现金发布银行开设电子现金账号，并购买电子现金。要从网上的货币服务器购买电子现金，首先要在该银行建立一个账户，将足够的资金存入该账户以支持今后的支付。

（2）存储电子现金。使用电子现金终端软件，从电子现金银行取出一定数量的电子现金存在硬盘中。一旦账户被建立起来，买方就可以使用电子现金软件产生一个随机数，它是银行使用私钥进行了数字签名的随机数，通常少于100美元作为货币，再把货币发回给买方，这样就有效了。

（3）用电子现金购买商品或服务。买方同愿意接收电子现金的卖方订货，选择使用电子现金进行付款，用卖方的公钥加密电子现金后，传递给卖方。

（4）资金清算。接收电子现金的卖方与电子现金发放银行之间进行清算。电子现金银行将买方购买商品的钱支付给卖方。

（5）确认订单。卖方获得付款后，向买方发送订单确认信息。

5、什么是电子钱包？电子钱包的功能有哪些？

答：电子钱包是一个可以有持卡人用来进行安全电子交易和储存交易记录的软件，是顾客在网上贸易购物活动中常用的一种支付工具，是小额购物或购买小商品时常用的新式钱包。电子钱包具有以下功能：

（1）个人资料管理。消费者成功申请电子钱包后，系统将在电子钱包服务器为其建立一个属于个人的电子钱包档案，消费者可在此档案中增加、修改、删除个人资料。

（2）网上付款。消费者在网上选择商品后，可以登录到电子钱包，选择入网银行卡，向银行的支付网关发出付款指令来进行支付。

（3）交易记录查询。消费者可以对通过电子钱包完成支付的所有历史记录进行查询。 （4）银行卡余额查询。消费者可以通过电子钱包查询个人银行卡余额。

6．电子支票的优点是什么？

答：电子支票将会成为广泛采用的电子支付手段。电子支票除具有方便、容易使用的优势，而且还有以下几个优点：

（1）电子支票十分适合现存的银行系统； （2）财务风险由第三方通过服务器来承担；

（3）通过简单、成熟的加密工具可以保证安全性。 四、论述题

1．试论述电子货币的职能与主要作用。

答：电子货币，是以电子信息代表一定数量的现金，通过支付双方互送电子信息完成结算。这种电子信息的价值仍然依赖于实体货币（现金或存款）。

货币的职能是作为一般等价物的货币本质的具体表现。一般等价物的两个基本的特征是：第一，所有商品价值的具体体现，这是货币的价值尺度职能；第二，具有与一切商品

直接交换的能力，这是货币的流通手段职能。货币除执行价值尺度、流通手段外，还有贮藏手段、支付手段和世界货币的职能。

大多数电子货币是以既有的实体货币（现金或存款）为基础而存在的。电子货币是以现金、存款等实体货币的既有价值为前提，所以，电子货币具有既有的实体货币的货币职能。

电子货币与传统货币并没有本质区别，电子货币作为货币，仍然是一般等价物的一种表现形式。电子货币是一种在网上发展起来的电子支付方式，通过相互交换电子信息而完成在线货币支付过程。

目前的电子货币，主要是把现金货币或存款货币这些既有的支付手段，用电子化的方法实现，是替代现金货币或存款货币的一种新的支付手段。

随着电子支付的广泛普及，电子货币的广泛应用，电子货币将逐步用于所有的结算。那时，电子货币将成为真正意义的货币。

电子货币具有以下几方面作用：

（1）提高资金运营的效率。传统的结算依靠的是银行与客户面对面的人工处理，借助于邮政、电信部门的委托传递来进行，因而存在在途资金占压大、资金周转慢等问题。通过电子货币，采用先进的数字签章等安全防护技术，使客户不必出门，不需开支票，便能经由网络迅速完成款项支付及资金调拨，简化了现行使用传统货币的复杂程序，并且其使用和结算不受时间、地点的限制。由此，电子货币有效地缩短了支付指令传递时间，减少在途资金占压，显著地提高资金运营的效率。同时，电子货币还免除了货币印制、存储、运输、安全保卫、点钞等方面巨额的社会劳动和费用支出，而且具有可任意分割、元面额约束、不同币种之间的兑换较容易等诸多优越性。

（2）促进电子商务的发展。电子货币具有传递和转移上的优势。使用电子货币可在Internet网上完成结算，对商家而言，瞬间即能低成本地收回资金，因而可放心地给顾客发送商品；对顾客而言，免除了繁琐的支付手续，可轻松购物，由此必将有效地拓展市场交易机会。事实上电子货币的应用和发展使网络上现货、现金交易成为可能，特别是对于信息、软件等商品的销售来说，此类商品的销售商在收取电子货币的瞬间，通过微机终端直接授信，即可将信息、软件商品从Internet网上传递给顾客。故用于商品流通过程的成本将大幅下降，为降低信息、软件等商品的价格创造了条件，进而必然促进社会需求的扩大。再者，电子货币在网络上的流通也将极大地延伸市场交易的时间和空间，拓展电子商务活动的交易边界。 （3）加快世界经济一体化的进程。电于货币以电子计算机技术为依托进行储存和流通，无须实体交换，所以这种货币形式的使用有效地突破了经济贸易的时空限制，资金流、信息流的传递变得十分迅速、高效，时空距离不再是现实世界的障碍。电子货币与网络技术的结合，使经济贸易活动在时间、空间概念上发生根本的变化，使跨国交易变得非常简单。另一方面，电子货币及网络金融的发展，加速了资本的国际间流动与全球性资本的形成，促进了全球金融市场的发展。显然，电子货币的发展为经济行为的国际化提供了便利，增强了世界经济的联系，加快了经济市场的全球一体化进程。 案例解析

思考：1、余勇、苏立波、程序、龚晨曦、黄伯成等人被批捕的原因是什么？你认为信用卡应如何办理？

2、根据上述案例，你认为银行在办理信用卡、信用卡消费还款等方面，应该怎样进行管理监督？

答：余勇、苏立波、程序、龚晨曦、黄伯成等人以伪刻的公司印章，私自为无法办理信用卡的近百人办理了透支额度不等的信用卡，并让他们刷卡套现，从中收取高额的套现“手续费”，涉案金额高达300余万元，涉嫌信用卡诈骗罪被批捕。

信用卡是银行或专门的发行公司发给消费者使用的一种信用凭证，是一种把支付与信贷两项银行基本功能融为一体的业务。银行或发卡机构通过征信，规定一定的信用额度，发给资信情况较好的企业和有稳定收入的消费者。

信用卡的申领条件

（1）个人卡申领条件。满足下列条件的个人可申领个人信用卡：年满18周岁，具有完全民事行为能力，收入稳定、有一定支付能力，信誉良好。

（2）单位卡申领条件。满足下列条件的可申领单位信用卡：凡在发卡行所在地金融机构开立基本账户，有合法经营管理执照执业在一年以上，经营管理效益好的企业、事业单位、国家机关、部队及行政团体均可申办单位卡。

信用卡的申领手续

（1）个人信用卡申领手续。如实填写“xx银行xx信用卡申请表”，提交申请人的身份证件（居民身份证、军官证、护照）和担保人的身份证复印件。审批后到营业柜台办理开卡手续。

（2）单位信用卡申领手续。如实填写“xx银行xx信用卡申请表”（单位卡专用），交验申请人单位营业执照副本及近期银行对账单，提供单位指定主卡及附属卡持卡人的指定函和持卡人的居民身份证复印件。审批后到营业柜台办理开卡手续。申请一张主卡，可同时申请若干张附属卡（最多不超过9张）。每张卡的持卡人必须由申办单位法定代表人（行政负责人）书面指定。

办理信用卡的银行应严格审核申请人（单位）的有效证件，严格审批程序，监督信用卡持有人的信用情况，杜绝信用卡申领、使用等方面的不法行为。

综合实训

答：（1）到相关银行填写一份银行卡（借记卡、贷记卡）申请书，交验相关身份证件，银行审核批准后，柜台收到银行借记卡，设置密码。在规定时间收取银行卡贷记信用卡片，随后，收取贷记信用卡密码，然后按照提示，进行开通贷记信用卡操作。约定贷记信用卡还款的关联卡就是银行借记卡。

（2）到银行申请银行卡的同时，可以办理网上银行业务申请。填写网上银行个人业务申请书，交验证件，获得网上银行密钥。根据提示，上网下载网上银行个人业务相关软件，按照提示，开通网上银行业务。

（3）登陆当当网（http://book.dangdang.com/），注册会员，搜索电子支付与结算参考书，点击确定购买，选择送货方式，选择网上信用卡支付方式，进行支付，支付成功后，

①宏观经济方面的信息资料，包括：国民经济的宏、微观指标，产业发展的信息与调查分析资料，地区经济发展状况的信息资料，相关产品的市场供求情况及进出口贸易情况，财政金融状况的信息资料，国家有关经济、产业、贸易、财税、金融等方面的政策调整信息，等等。

②公司经营方面的信息资料，包括：公司章程，经营内容，经营策略，主要市场竞争环境及竞争能力，业务开发情况，公司管理层及内部组织效率，近期内重大的业务活动，近年来的财务资料以及股息分配、增资扩股情况，等等。

③证券市场方面的技术性资料，包括各种证券价格波动、交易量变化以及价格指数及交易总量的变化等信息资料。

④金融证券网站以及其他渠道提供的投资分析与咨询建议。

（3）投资者研究证券总体行情和各种证券行情走势的变化规律。投资者应研究分析证券总体行情变化的时间规律，即循环波动的特点，分析证券市场人气和投资者的心理变化规律，分析各种证券价值变化以及行情技术指标的变化规律，从而为利用基本分析和技术分析方法预测证券行情创造条件。

（4）投资者应根据自己经济实力和目标需求确定投资方式和策略。证券投资方式策略主要有：

①长期（长线）投资策略，即进行持续一年以上或一个长期趋势的证券投资； ②中期（中线）投资策略，即进行持续三个月至一年或一个中期趋势的证券投资； ③短线投资策略，即进行持续三个月以内或一个短期趋势的证券投资； ④一日交易策略，即进行二日之内或当日买卖的证券投资。

上述这些投资方式策略各有利弊。投资者在选择确定投资策略时，除了要考虑经济实力和目标需求外，还应考虑证券市场行情变化的特点以及自身的投资决策能力和心理素质。

（5）投资者选择确定投资对象、投资组合及买卖时机。投资对象的选择确定主要依据对证券价值的基本分析、证券行情变化的特点以及投资方式策略来进行；对买卖时机则应该根据证券行情的技术性预测分析和投资方式策略来把握。投资对象和买卖时机的确定是投资者进行投资操作的关键，它直接影响投资的效益。

（6）投资者确定投资对象和投资组合，实施投资计划。在投资计划的实施中投资者还应考虑证券交易的方式、保护措施、买卖价值等内容。投资计划在实施的过程中应当根据证券市场的变化而谨慎、灵活地调整投资计划。

案例解析

思考：1、张德奉的12万元存款如何被他人取走的？原因是什么？

2、根据上述案例，你认为法院判决正确吗？银行在办理网络银行业务方面，应该怎样进行管理监督？

答：1、他人持“张德奉”假身份证及张德奉2003年9月办理的储蓄卡号，在农行丰都支行电子银行注册了网上银行业务。经查该假身份证的头像、住址、签发日期均与张德奉的真实身份证有差异。同月29日上午9时，他人又以张德奉的名义在农行重庆分行北碚支行一分理处开立了银行卡，并于当日上午11时50分在注册的网上银行进行交易，将张德奉储蓄卡上的存款12万元转到新开银行卡上。截至当日中午12时16分，张德奉的12万元存款分3次被他人取走。

原因是：农行违反“必须持有效身份证件及银行卡才能注册网上银行业务”的相关规定，仅凭他人持有的假身份证和银行卡卡号就为他人注册办理了网上银行业务，导致张德奉的存款被盗取。

2、根据上述案例，我认为法院判决正确。银行在办理网络银行业务时，应严格审核申请人的证件，监控资金交易的过程，防止违法行为的发生。 综合实训

答：（1）登陆牛网http://www.newone.com.cn首页服务栏目下体验卡项目，之后进入到体验卡页面选择“申领体验卡”；获得牛卡体验卡卡号

（2）激活体验卡

（3）获得登陆密码

(4)体验卡用户登录

（5）体验卡用户登录成功后，可以进行网上证券业务操作体验

（6）下载招行证券交易软件，按装并运行

（7）进行证券交易体验

网上证券业务的优势：

网上证券交易从买卖委托、交易撮合、到买卖成交、清算交割、行情显示等，均实现了计算机自动化，使证券交易在瞬间完成，极大地提高了证券交易的效率。而以上诸多网上证券交易功能的实现，都是由网上证券交易系统来完成的。

网上证券交易系统是根据证券交易的基本规程，结合计算机网络系统的特点，采用现代化管理技术，向客户提供网上证券买卖业务的计算机网络应用系统，该系统包括网上资金管理、网上证券管理、网上报盘管理、网上清算交割、网上数据管理、网上信息咨询、以及网上安全保障等优质服务功能。

网上证券交易系统能正确、完整、及时地收集、加工、处理证券交易市场的各类信息。

应用能力训练题

从网络金融的发展情况看，你认为网上银行业务、网上证券业务、网上保险业务与传统业务比较，有哪些优势与问题？

答：优势有：

（1）网上金融业务有力地促进了网络经济的发展，在以信息技术和创新能力为特征的网络经济时代，实现了支付手段的电子化和网络化，改变了传统的金融业经营理念和服务方式，建立以客户为中心，以客户价值为导向的营销理念，变被动服务为主动服务。

（2）网上金融业务促进了电子商务发展。无论对于传统的交易，还是新兴的电子商务，

资金的支付都是完成交易的重要环节，所不同的是，电子商务强调支付过程和支付手段的电子化与网络化处理。网上银行提供的电子与网络支付服务是电子商务中的最关键要素和最高层次，直接关系到电子商务的发展前景。因此，网上金融业务特别是网上银行的发展，促进了电子商务的大力发展。

（3）网上金融业务促进了金融业自身发展并取得竞争优势。电子商务的发展给全球经济和贸易带来重大影响，而作为经济领域中的银行业、证券业、保险业等也必然受到波及，金融行业不得不重新审视自身的服务方式，为在激烈的竞争环境中取得优势并适应电子商务的发展，必须利用现有条件，增加服务手段，提供更加便捷迅速、安全可靠、低成本的金融服务。网上金融业务的发展，比传统金融业更迅速、高效、节约成本、不受时间、地域的局限，迎合了经济发展的需要，也为金融业自身发展及取得竞争优势奠定了基础。

问题：与传统业务比较，网上金融业务具有虚拟性，要求建立有效的资格认证体系，在安全性方面存在隐患，要求不断提高病毒防范等信息技术水平，保证逐步消除隐患。另外，由于网上金融业务的发展，对各国金融监管提出了严峻的挑战，要求国际社会联合做好金融业的监控工作，促进网上金融业的繁荣。

第5章 电子商务系统的安全

一、名次解释

1．计算机病毒：“计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在条例的第二十八条中，对计算机病毒的概念进行明确的规范：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”

2．口令破解：所谓口令破解是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。

3．拒绝服务：在DOS（Denial of service的缩写，中文意思是“拒绝服务”）攻击里，黑客使用软件向目标电脑发送大量的数据包，旨在使目标电脑超载。

4．网络监听：通过网络侦听的途径（如Snifferf，Vpacket等程序）来获取所有的网络信息（数据包信息，网络流量信息、网络状态信息、网络管理信息等），这是黑客进行攻击的必然途径。 二、选择题

1．A 2．D 3．B 4．B 5．D

三、简答题

1．计算机病毒的特点和分类。

特点： （1）传染性。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

（2）隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序或磁盘代码分析中，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后， 计算机系统通常仍能正常运行，使用户不会感到任何异常。病毒一般只有几百或1k字节，非常短小，而机器对文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉，具有很强的隐蔽性。

（3）潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，显示发作信息或进行系统破坏。

（4）破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。良性病毒可能只是显示图像、发出声音，或者根本没有任何破坏动作，但会占用系统资源。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。

（5）不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒的代码千差万别，病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。新的操作系统和应用系统的出现，软件技术的不断发展，也为计算机病毒提供了新的发展空间，增强了病毒的不可预见性。

分类：

（1）根据病毒存在的媒体分为：网络病毒、文件病毒、引导型病毒。网络病毒通过计算机网络传播感染网络中的文件（如：COM，EXE，DOC等）、启动扇区（Boot）和硬盘的系统引导扇区等。

（2）按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。 （3）按破坏性可分为：良性病毒和恶性病毒。良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。

（4）按病毒特有的算法分：伴随型病毒，蠕虫病毒等。

2．口令破解的基本方法。 口令破解的方法一般有三种：

1．网络监听。监听者往往采用中途截击的方法获取用户的账户和密码。当下，很多协议根本就没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可很容易收集到你的账户和密码。还有一种中途截击攻击方法更为厉害，它可以在你同服务器端完成“三次握手”建立连接之后，在通信过程中扮演“第三者”的角色，假冒服务器身份欺骗你，再假冒你向服务器发出恶意请求，其造成的后果不堪设想。另外，攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得

用户密码；或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。

2．口令猜测，暴力破解。攻击者知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。如：采用字典穷举法（或称暴力法）来破解用户的密码。攻击者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户口令再输入给远端的主机，申请进入系统；若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

3．利用系统管理员的失误。在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。例如，让Windows95／98系统后门洞开的BO就是利用了Windows的基本设计缺陷。

3．拒绝服务的工作原理。

DDOS攻击时，首先通过利用系统服务的漏洞或管理员的配置错误等方法，来进入一些安全措施较差的小型站点以及单位中的服务器。然后，攻击者在所侵入的服务器上安装攻击软件。其目的在于隔离网络联系，保护攻击者，使其不会在攻击进行时，受到监控系统的跟踪，同时也能够更好地协调进攻。再后，攻击者从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。攻击器接到命令后，每一个攻击器都会向目标主机发出大量的服务请求数据包。这些数据包经过伪装，无法识别他的来源。而且，这些包所请求的服务往往要消耗较大的系统资源，如CPU或网络带宽，这就会导致目标主机网络和系统资源的耗尽，从而停止服务，甚至会导致系统崩溃。攻击一般会采用IP地址欺骗技术，隐藏自己的IP地址，所以很难追查。

DDOS攻击时，一般采用三层客户服务器结构。最下层是攻击的执行者，这一层由许多网络主机构成，其中包括Unix, Linux, Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登陆权限，并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址，其攻击行为受到攻击服务器的直接控制。第二层是攻击服务器，攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。这些服务器和攻击器一样，安装在一些被侵入的无关主机上。最上面是攻击主控台。攻击主控台可以是网络上的任何一台主机，甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。

4．简述服务器、客户机、通信信道的安全性。

服务器的安全可以分为狭义和广义两类，狭义的服务器安全，是指服务器所依托的操作系统的安全；广义的服务器安全，除了操作系统安全，还包括硬件安全、应用安全和数据安全等——的确，作为存储数据、处理需求的核心，服务器安全涉及很多环节。

电子商务中的服务器主要是向不同的客户提供不同的程序服务，主要使用超文本传输协议（HTTP）进行传输。构成对服务器安全的弱点的主要程序是：www服务程序；任何

有数据的后台程序，如数据库和数据库服务器程序；服务器上的公用网关接口（CGI，common gateway interface）程序（最薄弱的环节）。

客户机的潜在安全威胁 （1）特洛伊木马。 （2）信息泄漏

（3）JavaScript的安全威胁。 （4）Active X控件的安全威胁。 （5）图形文件的安全威胁。 （6）插件的安全威胁。

电子商务系统中没有绝对安全的通讯系统。目前，电子商务系统中的通信信道，都采用了多种协议和控制信息，以便能够应付对保密的安全威胁，但是通信信道仍然存在着安全问题，而这些问题直接对数据的保密性、完整性和即需性构成威胁。

5．分析电子商务交易过程中面对的威胁。 1．信息存储的风险

从技术上看，网络交易的信息存储风险主要来自于三方面：一是冒名偷窃。“黑客”为了获取重要的商业机密、资源或信息，常常采用源IP地址欺骗攻击。入侵者冒充他人，窃取信息。如获取其他竞争者的客户资料；商户的恶意竞争者以他人的名义订购商品，从而了解有关商品的递送状况和货物的库存情况。二是篡改数据。入侵者未经授权进入网络交易系统，使用非法手段，删除、修改某些重要信息，破坏数据的完整性。入侵者假冒合法用户来改变关键数据：如商品送达的地址，修改用户的订单。三是信息丢失。因为通信线路、不同的操作平台上转换操作或安全措施不当等原因丢失的信息。入侵者向特约商店的服务器进行拒绝服务攻击，从而使客户的正常请求得不到服务。

2．信息传递的风险

信息在网络上传递时，要经过很多环节和渠道。由于计算机技术发展迅速，原有的病毒防范技术、加密技术、防火墙技术等始终存在着被技术攻击的可能性。计算机病毒的侵袭、“黑客”非法入侵、线路窃听等容易使重要数据在传递过程中泄露，威胁着电子交易的安全。各种外界的物理干扰，如通信线路质量较差、地理位置复杂、自然灾害等，都可能影响到数据的真实性和完整性。

3．交易双方的信用风险

信用风险来自于三个方面：一是来自于买方的信用风险。对于个人消费者来说，可能发生在网络上使用信用卡进行支付时的恶意透支，或使用伪造的信用卡骗取卖方货物的行为；对于集团购买者来说，存在拖延货款的可能。二是来自卖方的信用风险。卖方不能按质、按量、按时送寄消费者购买的货物，或者不能完全履行与集团购买者签订的合同，造成买方的风险。三是买卖双方都存在抵赖的情况。

此外，在管理、法律方面也存在不同程度的风险。在管理上，特别是网上交易过程中，客户进入交易中心，买卖双方签订合同、监督买卖双方履行合同等环节上，都存在大量的管理问题。另外，在法律方面由于法律滞后，因此在网上进行交易，有可能承担由于法律滞后所造成的风险。

4法律缺失的风险

电子商务交易核心是网络交易的安全性问题，这一点我国在电子商务交易中还存在着很多法律空白。作为一个交易平台，阿里巴巴、淘宝、金银岛、eBay等多家网站的法律地位也备受争议。对于其身份的界定、是否应该在交易中对消费者负责等问题一直没有明确的说法，站在不同角度的各个方面通常也是也各执一词。

四、论述题

1．试论述我国降低电子商务安全威胁可以采取的对策。。

首先从法律上，对于电子商务交易中所出现的问题，如身份认证的问题、电子单据的法律有效性、电子交易的不可否认性、传递信息的真实性、数字签名技术等各个方面有待于进一步完善。进一步加强相应法律的立法、执法和普法教育，提高人们的知法、懂法和守法意识，净化电子商务的安全环境。

在管理上，要改变目前的混乱局面，各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网商户提供统一的接口。支付密码泄漏是网上支付案件的主要原因。从各种攻击手段可以看出，我们首先要具有安全意识和基本防范技能。

在技术上，确保以下几个方面：

（1）使用X.509数字证书标准及认证中心实现对参与交易的各方的身份的合法性鉴别。

（2）使用加密算法对传递信息进行加密，以保证电子单据的秘密性，防范电子单证的内容被第三方读取。

（3）使用消息验证码以确认传递信息的完整性，防止电子单证的内容被篡改。

（4）使用数字签名、加密机制和消息验证码联合机制，来保证对传递信息的不可否认性。当交易双方出现异议、纠纷时，能够提供足够充分的证据来迅速辨别纠纷中的是非。

（5）使用双签名技术实现交易过程中的多边支付问题。

第6章 网络安全技术

一、名词解释

1．数据安全：所谓数据安全是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等。

2．数据加密：数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

3．防火墙：防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。

4．数字签名：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这

种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”

5．数字时戳：时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：

（1）需加时间戳的文件摘要（digest）； （2）DTS收到文件的日期和时间； （3）DTS的数字签名。 二、选择题

1．D 2．A 3．C 4．D 5．D

三、简答题

1．简述数据加密的基本方法。

（1）单表换字法。凯撒密码是最古老的替代密码，以英文26个字母为例，它用D表示a，用E表示b，用F表示c，…，用C表示z，密文字母相对明文字母循环左移了3位，因此，又称为循环移位密码。这种映射关系表示为如下函数： F（a）=（a十k）mod n

其中：a表示明文字母，n为字符集中字母个数，k为密钥。 假设k=3，则明文P=COMPUTER SYSTEMS可加密为： f（C）=（2+3）mod 26=5=F

f（O）=（14+3）mod 26=17=R …… f（S）=（18+3）mod 26=21=V

所以密文C=Ek（P） =FRPSXWHUVBVWHPV （2）异或法。异或运算的特点是，明文信息码与密钥码异或，得到密文信息码；该密文信息码再与同一密钥码异或，又可以还原为原来的明文信息码。

（3）移位法。前面的两种加密算法都属于替换，其目的在于制造混乱，使得截获者难于从密文中了解到明文的含义。替换是密码学中的一种有效的加密方法。

2．传统密码体制和公钥密码体制的特点。

传统密码体制又称对称密码体系，即加密和解密使用同一密钥的加密体系。其中目前较为流行的对称加密算法有：DES、3DES、IDES、RC5、AES等。其中DES是对称加密算法中的代表。

公开密钥密码体制又称非对称式加密体系，即加密和解密过程分别使用两个不同的密钥体系。目前，用于公钥加密的典型算法有：RSA、背包算法、Rabin算法、概率加密算法、McEliece算法等。

3．P2DR模型的主要组成部分。

P2DR模型是TCSEC模型的发展，也是目前被普遍采用的安全模型。P2DR模型（如图6-3所示）包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检

测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。

4．简述包过滤防火墙和代理防火墙的工作原理。

包过滤防火墙。包过滤是面向网络层和传输层的防火墙产品，它的工作原理是通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。

代理防火墙是针对包过滤的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段，一段是从外部网络到代理服务器，另一段是从代理服务器到内部网络之间。代理防火墙的工作原理是运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。其工作方式如图6-5所示。

5．简述HASH算法实现数字签名的过程。

HASH数字签名算法的实现流程如下，如图6-10所示。

（1）被发送消息用HASH算法加密产生128bit的消息摘要A。

（2）发送方用自己的私用密钥对消息摘要A再加密，这就形成了数字签名。

（3）发送方通过某种关联方式，比如封装，将消息原文和数字签名同时传给接受方。 （4）接受方用发送方的公开密钥对数字签名解密，得到消息摘要A；如果无法解密，则说明该信息不是由发送方发送的。如果能够正常解密，则发送方对发送的消息就具有不可抵赖性。

（5）接受方同时对收到的文件用约定的同一HASH算法加密产生又一摘要B。

（6）接受方将对摘要A和摘要B相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。

6．数字时间戳的作用。

在电子通信中，带有时间戳的数字签名，相当于具有自毁功能的签名，使他人不能再次使用已经用过的数字签名。例如：若发送方的消息中有发送的时间和日期，或有任何非重复的代码，就可以防止消息的重用。为防止将消息分成一系列小块并重用单个块，发送方可将每个消息都依赖于时间标志。例如：用DES加密64位数据组产生64位输出，发送方可使每个组的头8个字节为加密的时间和日期，其余的56位作为消息。由于DES64位输出完全依赖于64位输入的数据，因此，银行不能将56位的消息和不匹配的别的8位的时间标志组合起来。这样，即使是单个小块，也不能被重用。 四、论述题

1．试论述数字签名和数字时间戳的作用。

数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输

电子文件的完整性、真实性和不可抵赖性，防止原始文档被污染或变更，防止别有用心者使用他人名字散布欺骗性消息，等等。在我国2004年新颁布的《电子签名法》中所规定的“安全的电子签名具有与手写签名或者盖章同等的效力”的三点具体体现：（1）该电子文件确实是由签名者的发送方所发出的，电子文件来源于该发送者。因为，签署时电子签名数据由电子签名人所控制；（2）被签名的电子文件确实是经发送方签名后发送的，说明发方用了自己的私钥作的签名，并得到验证，达到不可否认的目的；（3）接收方收到的电子文件在传输中没有被篡改，保持了数据的完整性，因为，签署后对电子签名的任何改动都能够被发现。

数字时间戳技术就是数字签名技术一种变种的应用。在电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，防止消息被重用或被修改。数字时间戳服务（DTS：digital time-stamp service）就能提供电子文件发表时间的安全保护。

第7章 电子商务的认证

一、名次解释

1．物理认证：基于物理证件的身份认证是一种利用授权用户所拥有的某种东西来进行访问控制的认证方法。

2．数字证书：数字证书（Digital Certificate ，DC）也称为电子证书或数字凭证（Digital ID，DID），是由权威公正的第三方机构即CA中心签发的，一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的权威性的电子文档，其作用类似于司机的驾驶执照或日常生活中的身份证。

3．PKI：PKI 认证中心：也叫认证中心（CA），它是PKI机制中的核心，它主要负责产生、分配并管理用户的数字证书。

4．认证中心：认证中心作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。 二、选择题

1．C 2．D 3．B 4．D 5．D 三、简答题

1．身份认证技术包括哪些？

包括：口令认证，物力认证，生物认证等技术。

2．什么是数字证书，它和普通证书相比有哪些区别？

数字证书（Digital Certificate ，DC）也称为电子证书或数字凭证（Digital ID，DID），是由权威公正的第三方机构即CA中心签发的，一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的权威性的电子文档，其作用类似于司机的驾驶执照或日常生活中

的身份证。和普通的证书相比，数字证书最大的区别就是数字证书能够对网络上传输的信

息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

3．简述PKI的基本概念及其组成部分。 PKI技术采用证书管理公钥，通过第三方的可信任机构——认证中心CA（Certificate Authority），把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份。

典型的PKI系统由五个基本的部分组成：证书申请者（Subscriber）、注册机构（Registration Authority，RA）、认证中心（Certificate Authority，CA）、证书库（Certificate Repository，CR）和证书信任方（Relying Party）

4．CA认证中心有哪些功能？ CA的功能包括：

（1）批准RA提交的证书请求；

（2）生成密钥对（适用于集中式密钥生成模式）； （3）提供密钥的备份与恢复功能；

（4）受理用户或RA的证书撤销请求，完成证书的作废处理，发布并维护证书撤销表CRL；

（5）生成CA根证书，支持根认证中心的密钥生成和备份功能； （6）签发用户证书，并将签发的证书发布到证书库中； （7）支持不同CA用户之间的交叉认证。

5．PKI技术应用了那些密码技术？

PKI使用的密码技术主要是非对称加密技术。

6．PKI有哪些优势？这些优势对于PKI的实际应用有什么影响？

PKI的优势：节省费用，互操作性，开放性，一致的解决方案，可验证性，可选择性。这些优势使得更容易在实际中使用。 四、论述题

上网收集资料，谈谈CA认证中心对我国电子商务发展影响。

本题可以查找资料首先分析目前我国CA中心发展的现状，然后判断此现状对于安全的电子商务来说还有哪些不足的地方。 案例解析：

1、甲的工作步骤：

①创建对称密钥(相应软件生成，并且是一次性的)，用其加密合同，并用乙的公钥打包对称密钥。

② 创建数字签名，对合同进行散列算法(如MD5算法)并产生原始摘要，甲用自己的私钥加密该摘要(公/私钥既可自己创建也可由CA提供)。

本文来源：https://www.bwwdw.com/article/3xja.html