(1).中国电信CA安全认证系统
中国电信CA安全认证系统(简称CTCA)于2000年5月12日正式向社会发放CA证书,并向社会免费公布CTCA安全认证系统的接口标准。中国电信自1996年开始进行电子商务安全认证的研究、试验工作;1997年年底,开始进行电子商务试点工作:1999年8月3日,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书。目前,中国电信可以在全国范围内向用户提供CA证书服务。
(2).上海市电子商务安全证书管理中心
上海市电子商务安全证书管理中心(简称SHECA),是信任服务和安全认证服务的专业提供商,通过提供在线的信任服务,为电子商务和网上作业保驾护航。SHECA是国内较早建立的CA认证中心,创建于1998年,经过国家批准并被列为信息产业部全国的示范工程。目前已经成为中国互联网络安全和信任服务的骨干。
(3).CFCA的体系结构
CFCA的体系结构采用国际领先的PKI技术,总体为三层CA结构,第一层为根CA;第二层为政策CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成。
(4).网上银行
网上银行业务是指商业银行将其传统的柜台业务拓展到Internet上,用户访问其Web Server进行在线的实现査询、转账、汇款、开户等业务。
(5).网上证券
网上证券交易可分为网上炒股和网上银证转账,网上炒股是股民和证券公司之间发生的两方交易。网上银证转账是指股民通过Internet将资金在银行股民账户和证券公司账户之间划入或划出,是涉及股民、证券公司、银行的三方交易。
(6).安全套接层SSL协议
安全套接层(或叫安全套接口层)协议SSL是用于到购物网站上交易的,并保障交易的安全性。通俗地说,SSL就是客户和商家在通信之前,在Internet上建立一个“秘密传输信息的信道”,保障了传输信息的机密性、完整性和认证性。P138
(7).容错技术的目的
容错技术的目的是指当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或者进入应急工作状态。P72
(8).数据备份
数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或陈列复制到其他存储介质的过程。P104
(9).安全数据交换协议SET
SET是一种以信用卡为基础的、在Internet上交易的付款协议,是授权业务信息传输的安全标准,它采用RSA密码算法,利用公钥体系对通信双方进行认证,用DES等标准加密算法对信息加密传输,并用数列函数算法来监别信息的完整性。P141
(10).试述RSA加密算法中密钥的算法
RSA密码体制可以描述如下: (1)独立选取两个大素数:p和q。 (2)计算n=pq, (3)然后计算小于n并且与n互质的整数的个数,即欧拉函数φ(n)=(p-1)(q-1)。 (4)随机选择加密密钥e;要求e满足1≤e≤φ(n),并且和≠(n)互质。即gcd(e,φ(n))=1. (5)最后,利用Euclid算法计算解密密钥d,满足ed=1(modφ(n)) 其中n和d也要互质。数e和n是公钥,d是私钥。两个素数p和q不再需要,应该丢弃。 加密时,首先把明文m分成等长数据块m1,m2,…,mi,块长s,其中2ss<=n,s尽可能的大。对应的密文是: ci=(mi)e(mod n) 解密时,作计算: mi=(ci)d( mod n)
(11).网页攻击的步骤是什么?
答:第一步,创建一个网页,看似可信其实是假的拷贝,但这个拷贝和真的“一样”:假网页有与真网页一样的页面和链接。
第二步,攻击者完全控制假网页。所以浏览器和网络间的所有信息交流都经过攻击者。
第三步,攻击者利用网页作假的后果:攻击者记录受害者访问的内容,当受害者填写表单发送数据时,攻击者可以记录下所有数据。此外,攻击者可以记录下服务器响应回来的数据。这样,攻击者可以偷看到许多在线商务使用的表单信息,包括账号、密码和秘密信息。
如果需要,攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP,攻击者都可以对链接作假。换句话说,就算受害者的浏览器显示出安全运行链接图标,受害者仍可能链接在一个不安全链接上。
(12).什么是Intranet?
答:Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Internet建立连接。Intranet上可以提供所有internet的应用服务,如WWW,E-mail等,只不过服务面向的是企业内部。和Internet一样,Intranet具有很高的灵活性,企业可以根据自己的需求,利用各种Internet互联技术建立不同规模和功能的网络。
(13).为什么交易的安全性是电子商务独有的?
答:这也是电子商务系统所独有的。在我们的日常生活中,进行一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖章以作为法律凭据。但在电子商务中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎样能够向法院证明合同呢?这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意欺诈。
(14).攻击Web站点有哪几种方式?
答:安全信息被破译:Web服务器的安全信息,如口令、密钥等被破译,导致攻击者进入Web服务器。浏览器的强大功能,可以以不同形式访问Web站点的数据,这不仅为用户,同时也为攻击者打开了许多方便之门。攻击者试图在内部网上获取信息或利用计算机资源。因此,必须保护Web站点,防止闯入者的袭击。最常见也是最有效的保护是使用防火墙。
非法访问:未授权者非法访问了Web上的文件,损害了电子商务中的隐私性、机密性和完整性。
交易信息被截获:当用户向服务器传输交易信息(如商贸数据或信用卡信息)时被截获。
软件漏洞被攻击者利用:系统中的软件错误,使得攻击者可以对Web服务器发出指令,致使系统被修改和损坏,甚至引起整个系统的崩溃。
当用CGI脚本编写的程序或其他涉及到远程用户从浏览器中输入表格并进行像检索之类在主机上直接操作命令时,会给Web主机系统造成危险。
(15).Web客户机和Web服务器的任务分别是什么?
答:Web客户机的任务是:
(1)为客户提出一个服务请求——超链时启动;
(2)将客户的请求发送给服务器;
(3)解释服务器传送的HTML等格式文档,通过浏览器显示给客户。
Web服务器的任务是:
(1)接收客户机发来的请求;
(2)检查请求的合法性;
(3)针对请求,获取并制作数据,包括使用CGI脚本等程序、为文件设置适当的MIME类型来对数据进行前期处理和后期处理;
(4)把信息发送给提出请求的客户机。
(16).IP地址顺序号预测攻击的步骤是什么?
答:黑客进行TCP/IP顺序号预测攻击分两步:
首先,得到服务器的IP地址。黑客一般通过网上报文嗅探,顺序测试号码,由Web浏览器连接到节点上,并在状态栏中寻找节点的IP地址。因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址,他便致力模拟一个能通过路由器,作为网络用户访问系统的IP号码。例如,如果系统的IP地址为200.0.0.20,黑客便知这是一个C级网,最多有255台计算机可以连入一个C级网,并猜出所有最后位在序列中出现过的地址号码:
200.0.0.1至200.0.0.254。
然后,攻击者在试过这些IP地址后,可以开始监视网上传送包的序列号,推测服务器能产生的下一个序列号,再将自己有效地插入到服务器和用户之间。因为有了服务器的IP地址,就能产生有正确IP地址和顺序码的包裹以截获用户信息的传递,攻击者开始模仿IP地址及包裹序列号以愚弄服务器,使之成为受到信任的合法网络用户。接着,便可访问系统传给服务器的密钥文件、日志名、机密数据等信息。
(17).普通电子邮件的两个方面的安全问题是什么?是什么原因造成的?
答:电子邮件的安全问题主要有两个方面:一是电子邮件在网上传送时随时可能被人窃取到,而邮件是用ASCII字符写的,所以谁都可以读懂内容;二是可以冒用别人的身份发信,因为邮件的发送地址等信息通常由用户自己填写,并且整个信头都是可以伪造的,使用一个“探测程序”就可以阅读电子邮件信息。
(18).电子商务安全的六项中心内容是什么?
答:(1)商务数据的机密性(Confidentiality)或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
(2)商务数据的完整性(Integrity)或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
(3)商务对象的认证性(Authentication)是指网络两端的使用者在沟通之前相互确认对方的身份。
(4)商务服务的不可否认性(Non-repudiation)是指信息的发送方不能否认已发送的信息,接收方不能否认已收到的信息,这是一种法律有效性要求。
(5)商务服务的不可拒绝性(Denial of service)或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。
(6)访问的控制性(Access control)是指在网络上限制和控制通信链路对主机系统和应用的访问,用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发岀指令或植入程序等。
(19).电子商务的可靠性的含义指什么?
答:可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。
(20).电子商务的真实性的含义指什么?
答:真实性是指商务活动中交易者身份的真实性,亦即交易双方确实是存在的,不是假冒的。
(21).单钥密码体制的特点是什么?
答:(1)加密和解密的速度快,效率高;
(2)单钥密码体制的加密和解密过程使用同一个密钥。发送者和接收者都需要知道密钥,需要安全渠道进行密钥的传递,单钥密码体制无法适应互联网大环境下多人相互通信要求。
(22).什么是双钥密码体制?
答:双钥密码体制又称作公共密钥体制或非对称加密体制。这种加密法在加密和解密过程中要使用一对(两个)密钥,一个用于加密,另一个用于解密,即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。
(23).什么是集中式密钥分配?
答:所谓集中式分配是指利用网络中的“密钥管理中心(KMC)”来集中管理系统中的密钥,“密钥管理中心”接收系统中用户的请求,为用户提供安全分配密钥的服务。
(24).什么是分布式密钥分配?
答:分布式分配方案是指网络中各主机具有相同的地位。它们之间的密钥分配取决了它们自己的协商,不受任何其他方面的限制。
(25).Shamir密钥分存思想是什么?
答:Shamir于1979年提出了一种解决方案,该方案基于有限域上的多项式的拉格朗日插值公式。它的基本思想是:将一个密钥K破成n个小片K₁,K₂,…,Kn,满足:
(1)已知任意t个Ki的值易于计算出K;
(2)已知任意t-1个或更少个Ki,则由于信息短缺而不能确定出K。
此题目数据由翰林刷题小程序免费提供