电子商务安全导论
名词解释
1,电子商务:顾名思义,是建立在电子技术基础上的商业运作,是利用电子技术加强,加快,扩展,增强,改变了其有关过程的商务。
2,EDI:电子数据交换是第一代电子商务技术,实现BTOB 方式交易。
3,BTOB:企业机构间的电子商务活动。
4,BTOC:企业机构和消费者之间的电子商务活动。
5,intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet 上提供的服务主要是面向的是企业内部。
6,Extranet:是指基于TCP/IP协议的企业外域网,它是一种合作性网络。
7,商务数据的机密性:商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃
取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
8,邮件:是攻击者向同一个邮件信箱发送大量的垃圾邮件,以堵塞该邮箱。
9,TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
10,HTTP协议的“有无记忆
状态”:即服务器在发送给客户
机的应答后便遗忘了些次交互。
TLENET等协议是“有记忆状
态”的,它们需记住许多关于协
议双方的信息,请求与应答。
1,明文:原始的,未被伪装的
消息称做明文,也称信源。通常
用M表示。
2,密文:通过一个密钥和加密
算法将明文变换成一种伪信息,
称为密文。通常用C表示。
3,加密:就是用基于数学算法
的程序和加密的密钥对信息进
行编码,生成别人难以理解的符
号,即把明文变成密文的过程。
通常用E表示。
4,解密:由密文恢复成明文的
过程,称为解密。通常用D表示。
5,加密算法:对明文进行加密
所采用的一组规则,即加密程序
的逻辑称做加密算法。
6,解密算法:消息传送给接收
者后,要对密文进行解密时所采
用的一组规则称做解密算法。
7,密钥:加密和解密算法的操
作通常都是在一组密钥的控制
下进行的,分别称作加密密钥和
解密密钥。通常用K表示。
8,单钥密码体制:是加密和解
密使用桢或实质上等同的密钥
的加密体制。使用单钥密码体制
时,通信双方A B必须相互交换
密钥,当A发信息B时,A用自
己的加密密钥匙进行加密,而B
在接收到数据后,用A的密钥进
行解密。单钥密码体制又称为秘
密密钥体制或对称密钥体制。
9,双钥密码体制又称作公共密
钥体制或非对称加密体制,这种
加密法在加密和解密过程中要
使用一对密钥,一个用与加密,
另一上用于解密。即通过一个密
钥加密的信息,只有使用另一个
密钥才能够解密。这样每个用户
都拥有两个密钥:公共密钥和个
人密钥,公共密钥用于加密钥,
个人密钥用于解密。用户将公共
密钥交给发送方或公开,信息发
送者使用接收人的公共密钥加
密的信息只有接收人才能解密。
1,数据的完整性:数据的完
整性是指数据处于“一种未受
损的状态”和“保持完整或未
被分割的品质或状态”。
2,数字签名:是利用数字技
术实现在网络传送文件时,附加
个人标记,完成系统上手书签名
盖章的作用,以表示确认,负责,
经手等。
3,双密码加密:它是一对匹
配使用的密钥。一个是公钥,是
公开的,其他人可以得到;另一
个是私钥,为个人所有。这对密
钥经常一个用来加密,一个用来
解密。
4,数字信封:发送方用一个
随机产生的DES密钥加密消息,
然后用接收方的公钥加密DES密
钥,称为消息的“数字信封”,
将数字信封与DES加密后的消息
一起发给接收方。接收者收到消
息后,先用其私钥开数字信
封,得到发送方的DES密钥,再
用此密钥去解密消息。只有用接
收方的RSA私钥才能够开此数字信封,确保了接收者的身份。 5,混合加密系统:综合利用消息加密,数字信封,散列函数和数字签名实现安全性,完整性,可鉴别和不可否认。成为目前信息安全传送的标准模式,一般把它叫作“混合加密系统”,被广泛采用。
6,数字时间戳:如何对文件加盖不可篡改的数字时间戳是一项重要的安全技术。数字时间戳应当保证:
(1)数据文件加盖的时间戳与存储数据的物理媒体无关。
(2)对已加盖时间戳的文件不可能做丝毫改动。
(3)要想对某个文件加盖与当前日期和时间不同时间戳是不可能的。
7,无可争辩签名:是在没有签名者自己的合作下不可能验证签名的签名。无可争辩签名是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。 8,消息认证:是使接收方能验证消息发送者及所发信息内容是否被篡改过。
9,确定性数字签名:其明文与密文一一对应,它对一特定消息的签名不变化。
10,随机式数字签名:根据签名算法中的随机参值,对同一消息的签名也有对应的变化。 11,盲签名:一般数字签名中,总是要先知道文件内容而后才签署,这正是通常所需要的。但有时需要某人对一个文件签名,但又不让他知道文件内容,
称为盲签名。
12,完全盲签名:设1是一
位仲裁人,2要1签署一个文件,
但不想让他知道所签的文件内
容是什么,而1并不关心所签的
内容,他只是确保在需要时可以
对此进行仲裁,这时便可通过完
全盲签名协议实现。完全盲签名
就是当前对所签署的文件内容
不关心,不知道,只是以后需要
时,可以作证进行仲裁。
13,双联签名:在一次电子
商务活动过程中可能同时有两
个联系的消息M1和M2,要对它
们同时进行数字签名。
1,备份:是恢复出错系统的办
法之一,可以用备份系统将最近
的一次系统备份恢复到机器上
去。
2,归档:是指将文件从计算机
的存储介质中转移到其他永久
性的介质上的,以便长期保存的
过程。
3,计算机病毒:是指编制者在
计算机程序中插入的破坏计算
机功能的程序,或者毁灭数据,
影响计算机使用,并能自我复制
的一组计算机指令或者程序代
码。
4,镜像技术:是数据备份技术
的一种,主要有网络数据镜像,
远程镜像磁盘等。
5,网络物理安全:指物理设备
可靠,稳定运行环境,容错,备
份,归档和数据完整性预防。
6,奇偶校验:也是服务器的一
个特性。它提供一种机器机制来
保证对内存错误的检测,因此,
不会引起由于服务器出错而造
成数据完整性的丧失。
7,引导型病毒:是指寄生在磁
盘引导区或主引导区的计算机
病毒。
8,文件病毒:是指能够寄存在
文件中的计算机病毒。这类病毒
程序感染可执行文件或数据文
件。
9,良性病毒:是指那些只是为
了表现自身,并不彻底破坏系统
和数据,但会大量占用CPU时间,
增加系统开销,降低系统工作效
率的一类计算机病毒。
10,恶性病毒:是指那些一旦发
作后,就会破坏系统或数据,造
成计算机系统瘫痪的一类计算
机病毒。
1,防火墙:是一类防范措施的
总称。
2,非受信网络:一般指的是外
部网络。
3,扼制点:提供内,外两个网
络间的访问控制。
4,受信网络一般指的是内部网
络。
5,局域网指一定区域范围内的
网络。
6,VPN(虚拟专用网):是指通
过一个公共网络建立一个临时
的,安全链接。
(1)接入控制:接入或访问控
制是保证网络安全的重要手段,
它通过一组机制控制不同级别
的主体以目标资源的不同授权
访问,在对主体认证之后
实
施网络资源安全管理使用。
(2)自主式接入控制:简记为DAC。它由资源拥有者分配接入权,在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立,常以接入控制表或权限表实现。
(3)强制式接入控制:简记为MAC。它由系统管理员来分配接入权限和实施控制,易于与网络的安全策略协调,常用敏感标记实现多级安全控制。
(4)加密桥技术:一种加/解密卡的基础上开发加密桥的技术可实现在不存在降低加密安全强度旁路条件下,为数据库加密字段的存储,检索,索引,运算,删除,修改等到功能的实现提供接口,并且它的实现是与密码算法,密码设备无关的。
(5)接入权限:表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定,权利包括读,写,执行等,读写含义明确,而执行权指目标为一个程序时它对文件的查和执行
1,拒绝率或虚报率:是指身份证明系统的质量指标为合法用户遭拒绝的概率。
2,漏报率:是指非法用户伪造身份成功的概率。
3,通行字:通行字是一种根据已知事物验证身份的方法,也是一种研究和使用最广的身份验证法。4,域内认证:是指CLIENT向本
KERBEROS的认证域以内的
SERVER申请服务。
5,域间认证:是指CLIENT向本
KERBEROS的认证域以内的
SERVER申请服务。
1,数字认证:是指用数字办
法确认,鉴定,认证网络上参与
信息交流者或服务器的身份。
2,公钥证书:它将公开密钥
与特定的人,器件或其他实体联
系起来。公钥证书是由证书机构
签署的,其中包含有持证者的确
切身份。
3,公钥数字证书:网络上的
证明文件,证明双钥体制中的公
钥所有者就是证书上所记录的
使用者。
4,单公钥证书系统:一个系
统中所有的用户公用同一个CA。
5,多公钥证书系统:用于不
同证书的用户的互相认证。
6,客户证书:证实客户身份
和密钥所有权。
7,服务器证书:证实服务器
的身份和公钥。
8,安全邮件证书:证实电子
邮件作户的身份和公钥。
9,CA证书:证实CA身份和
CA的签名密钥。
10,证书机构CA:用于创建和
发布证书,它通常为一个称为安
全域的有限体发放证书。
11,安全服务器:面向普通
用户,用于提供证书申请,济览,
证书吊销表以及证书下载等安
全服务。
12,CA服务器:是整个证书
机构的核心,负责证书的签发。
13,数据库服务器:是认证
机构中的核心部分,用于认证机
构数据(如密钥和用户信息等),
日志和统计信息的存储和管理。
14,公钥用户需要知道公钥
的实体为公钥用户。
15,证书更新:当证书持有
者的证收过期,证书被窃取,受
到攻击时通过更新证书的方法,
使其用新的证书继续参与网上
认证。证书的更新包括证书的更
换和证书的延期两种情况。
简答题
1,什么是保持数据的完整性?
答:商务数据的完整性或称
正确性是保护数据不被未授权
者修改,建立,嵌入,删除,重
复传送或由于其他原因使原始
数据被更改。在存储时,要防止
非法篡改,防止网站上的信息被
破坏。在传输过程中,如果接收
端收到的信息与发送的信息完
全一样则说明在传输过程中信
息没有遭到破坏,具有完整性。
加密的信息在传输过程,虽能保
证其机密性,但并不能保证不被
修改。
2,网页攻击的步骤是什么?
答:第一步,创建一个网页,
看似可信其实是假的拷贝,但这
个拷贝和真的“一样”“假网
页和真网页一样的页面和链接。
第二步:攻击者完全控制假网
页。所以浏览器和网络是的所有
信息交流者经过攻击者。
第二步,攻击者利用网页做假的
后果:攻击者记录受害者访问的
内容,当受害者填写表单发送数据时,攻击者可以记录下所有数据。此外,攻击者可以记录下服务器响应回来的数据。这样,攻击者可以偷看到许多在线商务使用的表单信息,包括账号,密码和秘密信息。
如果需要,攻击者甚至可以修改数据。不论是否使用SSL或S-HTTP,攻击者都可以对链接做假。换句话说,就算受害者的游览器显示出安全链接图标,受害者仍可能链接在一个不安全链接上。
3,什么是Intranet?
答:Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet 上可提供所有Intranet的应用服务,如WWW,E-MAIL等,只不过服务面向的是企业内部。和Intranet一样,Intranet具有很高的灵活性,企业可以根据自己的需求,利用各种Intranet 互联技术建立不同规模和功能的网络。
4,为什么交易的安全性是电子商务独有的?
答:这也是电子商务系统所独有的。在我们的日常生活中,进和一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖章以作为法律凭据。但在电子商务中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎么能够向法院证明合同呢?这就需要一个网上认证机构对每一笔
业务进行认证,以确保交易的安
全,避免恶意欺诈。
5,攻击WEB站点有哪几种方式?
答:安全信息被破译:WEB
服务器的安全信息,如口令,密
钥等被破译,导致攻击者进入
WEB服务器。浏览器的强大功能,
可以以不同形式访问WEB站点的
数据,这不仅为用户,同时也为
攻击者打开了许多方便之门。攻
击者试图在内部网上获取信息
或利用;计算机资源。因此,必
须保护WEB站点,防止闯入者的
袭击。最常见,也是最有效的保
护是使用防火墙。
非法访问:未授权者非法访
问了WEB上的文件,损害了电子
商务中的隐私性,机密截获。
交易信息被截获:当用户向
服务器传输交易信息时被截获。
软件漏洞被攻击者利用:系
统中的软件错误,使得攻击者可
以对WEB服务器发出指令,致使
系统被修改和损坏,甚至引起整
个系统的崩溃。
当用CGI脚本编写的程序或
其他涉及到远程用户从浏览中
输入表格并进行像检索之类在
主机上直接操作命令时,会给
WEB主机系统造成危险。
6,WEB客户机和WEB服务器的任
务分别是什么?
答:WEB客户机的任务是:(1)
为客户提出一个服务请求——
超链时启动;(2)将客户的请求
发送给服务器;(3)解释服务器
传送的HTML等格式文档,通过
浏览器显示给客户。WEB服务器
的任务是:(1)接收客户机来的
请求;(2)检查请求的合法性;
(3)针对请求,获取并制作数
据,包括使用CGI脚本等程序,
有程序正在修改镜像劫持为文件设置适当的MIME类型来
对数据进行前期处理和后期处
理;(4)把信息发送给提出请求
的客户机。
7,电子商务安全的六项中心内
容是什么?
答(1)商务数据的机密性或
称保密性是指信息在网络上传
送或存储的过程中不被他人窃
取,不被泄露或披露给未经授权
的人或组织,或者经过加密伪装
后,使未经授权者无法了解其内
容。
(2)商务数据的完整性或
称正确性是保护数据不被未经
授权者修改,建立,嵌入,删除,
重复传送或由于其他原因使原
始数据被更改。
(3)商务对象的认证性是
指网络两端的使用者在沟通之
前相互确认对方的身份。
(4)商务服务的不可否认
性是指信息的发送方面不能否
认已发送的信息,接收方不能否
认已收到的信息,这是一种法津
有效性要求。
(5)商务服务的不可拒绝性
或称可用性是保证授权用户在
正常访问信息和资源时不被拒
绝,即保证为用户提供稳定的服
务。
(6)访问的控制性是指在
网络上限制和控制通信链路对
主机系统和应用的访问:用于保护计算机系统的资源(信息,计算和通信资源)不被未经授权人或以未经授权方式接入,使用,修改,发出指令或植入程序等。1,电子商务的可靠性的含义是什么?
答:可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效,程序错误,传输错误,硬件故障,系统软件错误,计算机病毒和自然灾害等听所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。
2,电子商务的真实性的含义是什么?
答:真实性蝗旨商务活动中交易身份的真实性,亦即是交易双方确实存在的,不是假冒的。3,单钥密码体制的特点是什么?
答:第一,加密和解密的速度快,效率高;第二,单钥密码体制的加密和解密过程使用同一个密钥。发送者的接收者都需要知道密钥,需要安全渠道进行密钥的传递,单钥密码体制无法适应互联网大环境多人相互通信要求。
4,双钥密钥体制最大的特点是什么?
答:第一,适合密钥的分配和管理。第二,算法速度慢,只适合加密小数量的信息。
5,替换加密和转换加密的主要区别是什么?
答:在替换加密法中,原文
的顺序没被改变,而是通过各种
字母映射关系把原文隐藏了起
来。转换加密法是将原字母的顺
序打乱,将其重新排列。
6,简述密码系统的理论安全性
的实用安全性。
答:由于计算机技术的发展,
人们借且于计算机进行分析处
理,密码的破译能力也不断提
高。一个密码体制的安全性取决
于破译者具备的能力,如若它对
于拥有无限计算资源的破译者
来说是安全的,则称这样的密码
体制是无条件安全的,它意味着
不论破译者拥有多大的资源,都
不可能破译;如若一个密码体制
对于拥有限计算资源的破泽者
来说是安全的,则称这样的密码
体制是计算上安全的,计算上安
全的密码表明破译的难度很大。
无条件安全的密码体制是理
论上安全的;计算上安全的密码
体制是实用的安全性。但目前已
知的无条件安全的密码体制都
是不实用的;同时还没有一个实
用的密码体制被证明是计算上
安全的。
1,简述保护数据完整性的目的,
以有被破坏会带来的严重后果。
答:保护数据完整性的目的
就是保证计算机系统上的数据
和信息处于一种完整和未受损
害的状态。这意味着数据不会由
于有意或无意的事件而被改变
和丢失。
数据完整性被破坏会带来严
重的后果:
(1)造成直接的经济损失,
如价格,订单数量等被改变。
(2)影响一个供应链上许多
厂商的经济活动。一个环节上数
据完整性被破坏将使供应链上
一连串厂商的经济活动受到影
响。
(3)可能造成过不了“关”。
有的电子商务是与海关,商检,
卫检联系的,错误的数据将使一
批贷物挡在“关口”之外。
(4)会牵涉到经济案件中。
与税务,银行,保险等贸易链路
相联的电子商务,则会因数据完
整性被破坏牵连到漏税,等
经济案件中。
(5)造成电子商务经营的混
乱与不信任。
2,简述散列函数应用于数据的
完整性。
答:可用多种技术的组合来
认证消息的完整性。为消除因消
息被更改而导致的欺诈和滥用
行为,可将两个算法同时应用到
消息上。首先用散列算法,由散
列函数计算机出散列值后,就将
此值——消息摘要附加到这条
消息上。当接收者收到消息及附
加的消息摘要后,就用此消息独
自再计算出一个消息摘要。如果
接收者所计算出的消息摘要同
消息所附的消息摘要一致,接收
者就知道此消息没有被篡改。
3,数字签名与消息的真实性认
证有什么不同?
答:数字签名与消息的真实
性认证是不同的。消息认证是使
接收方能验证消息发送者及所
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论