电子商务安全与技术考题与答案

更新时间:2023-09-14 21:07:01 阅读量: 初中教育 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

一、选择题:(每小题2分,共20分,选错无分,正确少选有相应的分) 二、名词解释:(每个名词4分,共20分) 三、简述题(每小题9分,共18分) 四、应用题(42分)

第一章:概论

1.安全电子商务的体系结构与技术平台

答:电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构[3-6],由5个部分组成,具体如图1所示。电子商务安全体系由网络服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从图1中的层次结构可看出下层是上层的基础,为上层提供技术支持;上层是下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通过控制技术的递进实现电子商务系统的安全。 在图1所示的电子商务安全体系结构中,加密技术层、安全认证层、交易协议层,即专为电子交易数据的安全而构筑[3,6]。其中,交易协议层是加密技术层和安全认证层的安全控制技术的综合运用和完善。它为电子商务安全交易提供保障机制和交易标准。为满足电子商务在安全服务方面的要求,基于Internet的电子商务系统使用除保证网络本身运行的安全技术,还用到依据电子商务自身特点定制的一些重要安全技术。

第二章:恶意程序及其防范 1、什么是计算机病毒?

是一种人为编制的能在计算机系统中生存.繁殖和传播的程序.计算机病毒一但侵入计算机系统.它会危害系统的资源.使计算机不能正常工作. 计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机

使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。

其特点如下:

1.传染性 2.隐蔽性 3.触发性 4.潜伏性 5.破坏性

计算机的病毒发作症状: 1.扰乱屏幕显示.喇叭出现异常声响.2.系统启动.执行程序以及磁盘访问时间不正常.3.出现不明原因死机,外部设备无法正常使用.4.程序或数据莫名丢失或被修改.

计算机病毒又分二种 1. 良性病毒 2.恶性病毒

2、计算机病毒的特征有什么?

(1)破坏性:凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现:占用CPU时间和内存开销, 从而造成进程堵塞;对数据或文件进行破坏;打乱屏幕的显示等。

(2)隐蔽性:病毒程序大多夹在正常程序之中, 很难被发现。

(3)潜伏性:病毒侵入后, 一般不立即活动, 需要等一段时间, 条件成熟后才作用。

(4)传染性:对于绝大多数计算机病毒来讲,传染是它的一个重要特性。它通过修改别的程序, 并自身的拷贝包括进去, 从而达到扩散的目的。

第三章:信息加密技术及应用

1、网络通信中的加密方式有哪些?如何选择? 2、非对称密钥体系的内容是什么

非对称密钥加密也叫公开密钥加密(Public Key Encryption),是指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。发送数据的一方用另一方的公钥对发送的信息进行加密,然后由接受者用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。

3、对称密钥体系的内容是什么

对称密钥加密也叫秘密/专用密钥加密(Secret Key Encryption),即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。

4、我们所讲的对称密钥体制—单钥密码体制有哪些? DES、IDEA、RC2及RC4等

5、我们所讲的非对称密钥体制—双钥密码体制有哪些?

公钥密码体制的算法中最著名的代表是RSA系统,此外还有:背包密码、McEliece密码、Diffe_Hellman、Rabin、零知识证明、椭圆曲线、EIGamal算法等。 6、比较对称密钥体制和非对称密钥体制的优缺点?

对称密码算法的优点是计算开销小,算法简单,加密速度快,是目前用于信息加密的主要算法。尽管对称密码术有一些很好的特性,但它也存在着明显的缺陷,包括: l)进行安全通信前需要以安全方式进行密钥交换。这一步骤,在某种情况下是可行的,但在某些情况下会非常困难,甚至无法实现。例如,某一贸易方有几个贸易关系,他就要维护几个专用密钥。它也没法鉴别贸易发起方或贸易最终方,因为贸易的双方的密钥相同。另外,由于对称加密系统仅能用于对数据进行加解密处理,提供数据的机密性,不能用于数字签名。因而人们迫切需要寻找新的密码体制。2)规模复杂。

非对称密码体制的优点在于:首先,在多人之间进行保密信息传输所需的密钥组和数量很小;第二,密钥的发布不成问题;第三,公开密钥系统可实现数字签名。缺点:公开密钥加密比私有密钥加密在加密/解密时的速度慢。

7、E盒、S盒、P盒、PC-1,PC-2的作用是什么 8、密钥K中经过PC—1处理后得到的C0和D0是什么? 9、明文M经过IP-1处理后得到的L0和R0是什么 10、非对称密码体系中RSA与ECC的主要区别是什么?

通信网络特别是互联网的高速发展使得信息安全这个问题受到人们的普遍关注。在信息安全算法中,RSA方法的优点主要是原理简单、易于使用。但是,随着分解大整数方法的完善、计算机速度的提高以及计算机网络的发展,作为RSA加解密安全保障的大整数要求越来越大。为保证RSA使用的安全性,密钥的位数不断增加,目前一般认为RSA需要1024位以上的字长才具有安全保障。但是,密钥长度的增加导致加解密的速度大大降低,硬件实现也变得越来越复杂,这给使用RSA的应用带来了极大的负担(尤其是进行大量安全交易的电子商务),从而使其应用范围日益受到制约。

ECC算法只需采用较短的密钥就可以达到和RSA算法相同的加密强度,它的数论基础是有限域上的椭圆曲线离散对数问题,现在还没有针对这个难题的亚指数时间算法,因此,ECC算法具有每比特最高的安全强度。由于智能卡在CPU处理能力和RAM大小上受限,采用一种运算量小同时能提供高加密强度的公钥密码机制对于实现数字签名应用非常关键。ECC在这方面具有明显优势,160位ECC算法的安全性相当于1024位的RSA算法,而210位的ECC则相当于2048位的RSA。相信ECC技术在信息安全领域中的应用将会越来越广泛。

11、为了保证计算机系统的通信安全,A与B之间欲采用混合密钥体制进行网络通信。A将明文M=“happy new year to you”,使用密钥K=17进行(移位、乘数)处理,形成密文C1;采用RSA进行通信密钥加密和身份的认证 ,已知,A的公钥(E,N)=(3,33),B的公钥(E,N)=(7,65),A用自己的私钥对要发送的明文的所有单词的第一个字母进行签署,形成密文C2;A用B的公钥对密钥K=17进行加密,形成密文C3,A将(C1,C2,C3)传送给B。B在对A身份验证的基础上,对消息进行识别。使用A的公钥,采用RSA对C2进行解密,形成M3,B使用自己的私钥,采用RSA对C3进行解密,形成明文M1;得到通信密钥。B用通信密钥采用(移位、乘数)对C1进行解密,形成明文M2。

试问C1、 C2、 C3、M1、 M2、M3的产生过程和结果是什么?A、B的私钥是什么?说明A和B是如何使用其钥匙的。 明文和密文字母表为

字母 定量化 字母 定量化 字母 定量化 字母 定量化 字母 定量化 A 1 O 15 2 29 g 43 u 57 B 2 P 16 3 30 h 44 v 58 C 3 Q 17 4 31 i 45 w 59 D 4 R 18 5 32 j 46 x 60 E 5 S 19 6 33 k 47 y 61 F 6 T 20 7 34 l 48 z 62 G 7 U 21 8 35 m 49 63 H 8 V 22 9 36 n 50 ! 64 I 9 W 23 a 37 o 51 @ 65 J 10 X 24 b 38 p 52 # 66 K 11 Y 25 c 39 q 53 $ 67 L 12 Z 26 d 40 r 54 % 68 M 13 0 27 e 41 s 55 & 69 N 14 1 28 f 42 t 56 * 70 第四章:数字签名技术及应用

1、数字签名的产生和验证过程是如何实现的?

报文的发送方用一个哈希函数从报文文本中生成报文摘要(散列值)。发送方用自己的私人密钥对这个散列值进行加密。然后,这个加密后的散列值将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公有密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

2、RSA签名和RSA加密的异同点是什么? 第五章:身份认证与访问控制

1、常用的身份认证技术有哪些?

PKI技术、动态口令技术、矩阵卡技术、一次性密码卡技术。

常见的身份认证安全技术有:

PKI技术。PKI技术是基于公私钥密码体系的一种身份认证技术,通过为每一个用户分配一个私钥和一个公钥证书,实现安全的身份认证和数据加密功能。

动态口令技术。在传统的静态口令技术上进行调整,把用户记忆的口令变成用户持有的设备生成的口令,并且不断变化。这样可以有效避免由于木马病毒等恶意程序引发的密码丢失问题,因为口令是一次性的,用过之后即使被窃取也没有用了。

矩阵卡技术。这种技术可以说是动态口令技术的一种简化,其基本原理是在一张卡片上预先印刷好一些随机的数字,用户在每次登录时,系统会随机要求用户输入卡片上的部分数字,而不是全部。这样,就达到了用户这次和下次登录输入的密码内容不一样的效果。

一次性密码卡技术。这种技术可以说是最完美也是最难实际应用的技术。卡上预先印刷好一些随机的数字密码,用户登录时拿出一个来使用,使用过一次这个密码就作废,下次登录就必须使用另外一个,等到一张卡上全部的密码都使用完了,就再去换一张卡。这种方式在实际使用中最大的问题就是麻烦,用户需要经常去换卡,虽然这种方式安全性很好,符合密码学里“一次一密”的思想。

2、到目前为止,较成熟的生物识别技术有哪些?发展中的生物识别技术有哪些? 成熟:指纹识别、面部识别、发音识别

3、什么是访问控制策略?什么是访问控制机构?将访问控制策略与机构分开的好处是什么?

访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。

4、有哪些访问控制策略?

访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。

第六章:公钥基础设施PKI

1、PKI能够为系统中的信息传递提供哪些技术支持? 2、我们所讲的信任模型有哪些类型? 1.单级CA信任模型 2.严格层次结构模型

本文来源:https://www.bwwdw.com/article/e12h.html

Top