电子商务安全.doc

第一章 电子商务安全导论 1、电子商务安全需求包括：保密性、完整性、认证性、可控性、不可否认性。 2、网络操作系统的安全核心是：访问控制。 第二章 信息安全技术 信息安全问题与信息安全技术 1、数据加密标准（DES）：DES是一种密码块加密方法，属于对称加密算法，采用了64位长度的数据块和56位长度的密钥。 2、什么是MAC（信息验证）码：MAC码也称为完整性校验值或信息完整校验。它是用来保证数据完整性的一种工具，可以防止数据未经授权被篡改。 3、RSA（公开密钥加密系统）是谁提出来的思想：于1977年，由美国麻省理工学院三位教授：Ronald Rivest、Adi Shamir、Leonard Adleman联合发明。 基本思想（见书P38-39） 4、两种加密方法联合使用的优、缺点：优点：通过公开密钥加密技术实现对秘密密钥的管理，使相应的密钥管理变得简单和更安全，同时还解决了对称密钥中存在的可靠性问题和鉴别问题。另一种优点是即使泄露了一把密钥，也只不过是影响一笔交易，而不会影响到交易双方之间所有的交易关系，这种方式还提供了交易伙伴间发布秘密密钥的一种安全途径。缺点：需要加紧密钥的管理，包括密钥的生成、分发、安装、保管、使用以及作废的全过程。 两种加密方法怎么联合使用（见书P40-41） 5、（书上有详细介绍）数字签名的过程及原理： 6、数字签名实际应用中怎么做：（见书P44） 7、信息机密性：信息在以电子化方式发送时，保持信息的保密性，防止将信息泄露给除发送方和接受方以外的其他非法用户。 8、信息/数据完整性：信息在以电子化方式发送时，保持信息未被修改过，发送方和接收方都希望确保接收到的信息同发送方发送的信息没有任何人出入。 第三章 Internet安全 1、Internet安全类型包括：网络层安全、应用层安全、系统安全。 2、什么是防火墙的不足之处：①不能防范不经由防火墙的攻击:如：拨号。 ②不能防止受到病毒感染的软件或文件的传输。③能防止数据驱动式攻击。 3、什么是VPN：VPN是指虚拟专用网络。是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。 4、基于网络的检测：用基于网络的检测手机网络数据包，通过在网段上传输的网络通信流采集信息。 5、http（超文本传输协议）和s-http（安全超文本传输协议）的区别： 安全超文本传输协议（SHTTP）是一种结合 HTTP 而设计的消息的安全通信协议。S-HTTP的设计基于与 HTTP 信息样板共存并易于与 HTTP 应用程序相整合。S-HTTP协议为HTTP客户机和服务器提供了多种安全机制，这些安全服务选项是适用于万维网上各类用户的。S-HTTP还为客户机和服务器提供了对称能力（及时处理请求和恢复，及两者的参数选择），维持 HTTP 的通信模型和实施特征。（百度上找的） 第四章 数字证书 1、指纹/数字证书摘要是数字证书的唯一标识。 2、数字证书的格式： 第五章 公钥基础设施PKI 1、什么是PKI：公钥基础设施（PKI）又叫公钥体系，是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，用户口可以利用PKI平台提供的服务进行安全通信。 2、什么是交叉认证：就是在认证过程中用到一个CA1对另一个CA2答发的证书。 3、PKI的不可否认机制类型： （一）来源不可否认机制的实施： ①由发送方进行数字签名。 ②又可信任的第三方进行数字签名。 ③由可信任的第三方对摘要进行数字签名。 ④内嵌可信任的第三方。 （二）送递不可否认机制的实施： ①由接收方发送签名回执。 ②利用可信任的送递代理。 ③生成分地域送递报告。 （三）提交不可否认机制的实施： 送递不可否认机制的一个分支，故送递的不可否认实施方法仍然有效，它涉及把信息发往传送方这一中间人而不是接受者的传递不可否认。 第七章 电子商务安全管理 1、 因特网标准的制定过程有三个公认的发展阶段，分别是：提议阶段、草案阶段、正式标准阶段。 2、 人们所熟悉的RFC（因特网请求评议）有： RFC 791—IP协议 RFC 793—TCP协议 RFC 822—SMTP协议 RFC 2068—HTTP协议