电子商务安全与管理复习

《电子商务安全与管理复习》由会员分享，可在线阅读，更多相关《电子商务安全与管理复习（20页珍藏版）》请在装配图网上搜索。

1、EC安全现状一、填空题1、电子商务安全的基本要求包括：保密性、认证性、完整性、可访问性、防御 性、不可否认性和合法性，其中保密性、完整性和不可否认性最为关键。2、信息安全的三个发展阶段是：数据安全、网络安全和交易安全。3、交易安全的三个主要方面包括：可信计算、可信连接、可信交易。4、在电子商务系统中，在信息传输过程中面临的威胁：中断(interruption)、 截获(interception)、篡改(modification)和伪造(fabrication)5、电子商务信息存储过程中面临的威胁非法用户获取系统的访问控制权后，可 以破坏信息的保密性、真实性和完整性。6、以可信计算平台、可信网络

2、构架技术实现，对BIOS、OS等进行完整性测量， 保证计算环境的可信任，被称为可信计算(trusted computing)7、以活性标签技术或标签化交换技术实现，对交易过程中的发信、转发、接收 提供可信证据，被称为可信连接(trusted connecting)8、为交易提供主体可信任、客体可信任和行为可信任证明，被称为可信交易 (trusted transaction)9、 ISO对OSI的安全性进行了深入的研究，在此基础上提出了 OSI安全体系。定 义了安全服务、安全机制和安全管理等概念。其中对象认证(entity authentication) 访问控制(access control)

3、、数据保密性(data confidentiality)、数据完整性(data integrity)和不可抵赖(no-repudiation) 是属于安全服务范畴10、ISO对OSI的安全性进行了深入的研究，在此基础上提出了 OSI安全体系。 定义了安全服务、安全机制和安全管理等概念。其中数据加密、数字签名、数据 完整性、鉴别交换、路由控制、防业务流分析、公证属于安全机制范畴二、判断题1、密码安全是通信安全的最核心部分，由技术上提供强韧的密码系统及其正确应用来实现。(正确)2、计算机安全的实施可通过限制被授权人员使用计算机系统的物理范围、利用 特殊(专用)软件和将安全功能构造于计算机操作规程中

4、等方法来实现。(正确)3、网络安全是指保护信息财富，使之免遭偶发的或有意的非授权泄露、修改、 破坏。(不正确)4、中华人民共和国电子签名法已于2000年由全国人民代表大会常务会委员会通过，并于同年4月1日起实施(不正确)5、完整性(integrity):指交易信息在存储或传输过程中保持未经授权不能改变 的特性。即对抗黑客的主动攻击，防止数据被篡改。(正确)6、保密性(confidentiality):指交易信息不被泄露给未经授权者的特性。即对 抗黑客的被动攻击，保证信息不会泄露给非法用户。(正确)7、可用性(不可拒绝或有效性)：指交易信息可被授权者访问并使用的特性。即 保证为用户提供稳定的服务

5、。(正确)8、可追究性(认证性)：指从一个实体的行为能够唯一追溯到该实体的特性，可 以支持故障隔离、攻击阻断和事后恢复等。(正确)9、抗否认性(incontestable):指一个实体不能够否认其行为的特性，以支持交易责任追究、威慑作用和法律行动等。(正确)10、可控性（防御性）：指对信息的传播及信息本身有控制能力的特性。授权机构可以对信息实施安全监控。（正确）EC安全数学基础一、填空题1、信息论定义了一条消息的信息量如下：对消息的所有可能含义进行编码时所 需要的最少比特数。例如，数据库中有关“一周中的某一天”这一字段最多只有 7种可能性，因此其信息量为3b2、密码体制的熵是密钥空间大小的度量

6、。密钥的数目K取以2为底的对数可估 计其大小：H（K）=logK,密钥长度为64位的密码系统的熵为64,3、香农提出了两种用于阻断明文和密文之间统计关系的技术，即混乱和散布4、混乱用于掩盖明文和密文之间的关系，实现混乱的有效方法是5、散布是通过将明文多余度分散在密文中使之分散开来的方法，产生散布最简 单的方法是通过换位（也称之为置换）来实现。6、依据求解问题所需的时间，复杂理论将各种问题进行了分类，P问题：代表了 那些在多项式时间内可解的问题；NP问题：代表了那些在多项式时间内可验证 的问题。代表了那些在多项式时间内可验证的问题7、Michael Gareg和David Johnson编辑了一

7、份300多个NP完全性问题的目 录，请列举出两个NP完全问题：整数分解问题、离散对数问题8、欧拉函数，也称为欧拉phi函数，它表示与n互质的小于n的正整数的个数。整数n=15，则它的欧拉函数为皇二、判断题1、一条消息的熵H（M）表示它的不确定性，当消息的不确定性大时，其熵就大， 反之就小。（正确）2、从安全角度看，如果明文的熵值不大，则这样的明文被攻击者攻破的可能性 就大。（正确）3、香农从理论上证明了，仅当可能的密钥数目至少与可能的消息数目一样多时， 完全保密才是可能的。（正确）4、从完全保密的角度而言，密文给出一些有关其对应明文的信息是不可避免的。（正确）5、一个好的密码算法应该完全阻断密

8、文和明文之间的相关性。（不正确）6、 一般而言，一个密码体制的熵越大，破译它越困难。（正确）7、唯一解距离是指，当进行强力攻击时，可能解出唯一有意义的明文所需要的 最少密文量，一般而言唯一解距离越长，密码体制的安全性越好。（正确）8、发送密文时，密文越长于唯一解距离，则安全性越好。（不正确）9、唯一解距离的定义表明，当密码体制的唯一解距离很小时，密码体制是不安 全的，当唯一解距离较大时，密码体制是安全的。（不正确）10、素数是这样一种数：比1大，其因子只有1和它本身，没有其它数可以整 除它，因此素数不可能是偶数。（不正确）11、一个密码体制的强度是通过破译它所需的计算能力来确定的，所需的计算

9、能力越大，表明密码体制的安全性越大。（正确）12、密码分析者利用自然语言的多余度来减少可能的明文数目，语言的冗余度 越大，它就越容易被攻击。（正确）信息加密一、填空题1、明文空间：所有明文的集合称为明文空间2、密文空间：所有密文的集合称为密文空间3、密钥空间：所有密钥的集合称为密钥空间4、密码系统：包含明文空间、密文空间、密钥空间和算法5、密码体制：一般指密钥空间与相应的加密运算结构，同时还包括了明文和密 文的结构特征.6、 对密码系统可能的攻击方法有：仅知密文、已知明文、选择密文、选择明文7、按应用技术或有历史发展阶段来划分，密码技术可分成：手工密码、机械密 码、电子机内乱码和计算机密码8、

10、密码系统设计的原则为：易操作原则、不可破原则、整体安全原则、柯克 霍夫原则I （或译克彻霍夫斯原则，Kerchoffs s Principle）和 与计算机通信系 统匹配原则。9、在古典密码体制中，具有代表性的密码体制有：移位密码10、在第一次世界大战期间，具有代表性的密码体制有：Playfair或ADFGX11、在第二次世界大战期间，具有代表性的机械密码体制为：im疝12、 对称密钥密码体制（单密钥体制，如DES、AES等），其密钥被称为：秘密 密钥（secret key）13、公开密钥密码体制（非对称密钥密码体制,双密钥体制）：其密钥分为公开 密钥（public key）和私有密钥（pri

11、vate）.14、当n为素数时，n的欧拉函数为：n-1二、判断题1、密码学是研究改变信息和信号的形式以隐弊（加密）或复现（解密）的学科，即 研究如何设计密码体制.（正确）2、密码分析学研究如何在不安全的信道上传递信息及其它相关问题。（不正确）3、 密码术研究有关如何破坏密码体制的问题。（不正确）4、即在评定一个密码体制安全性时，人们假定攻击者知道所有目前已使用的密 码学方法，因此体制的安全性应建立在密钥的基础之上，而不是依赖于算法的隐 藏。（正确）5、分组密码的优点是：密钥可以在一定时间内固定，不必每次变换，因此给密 钥配发带来了方便.（正确）6、分组密码的缺点：由于分组密码存在着密文传输错误

12、在明文中扩散的问题，因此在信道质量较差的情况下无法使用。（正确）7、DES密码体制中的密钥为8个字节，因此它的密钥是64个比特.（不正确）8、DES算法中，共进行了 16轮变换处理，其目的是为了增加攻击者的计算难度。 （不正确）9、DES密码是美国政府1977年颁布的一个分组密码标准，这一算法获得了一致 的好评。（不正确）10、由于DES密码的密钥长度为56位，在现代计算环境下，实际上已经是一个 不安全的密码算法了。为了解决这一问题，人们推出了采用三重DES加密的3DES 算法，由于其密钥为168位，因此其安全性非常高。（不正确）11、采用电码本模式-Electronic Codebook B

13、ook （ECB ）时，由于计算机速度快， 因此适用于大数据量的加密计算。（不正确）12、在UNIX系统中，登录计算机用的口令用计算机内固定的密钥加密后存储在 计算机内.（不正确）13、由于对称加密算法安全性高，因此对称加密算法在电子商务中有着广泛的应 用。（不正确）14、对称加密算法的密钥长度一般为56-128位，因此密钥的分发问题相对来说 并不复杂。（不正确）15、非对称密码算法中的一对密钥，一个用于加密，另一个就可用于解密，无论 用那一个密钥加密，均可实现保密性。（不正确）16、RSA算法使用了大素数分解难题，目前准确地找到合适的素数计算量比较 大。（不正确）17、DES算法由IBM公司

14、于上世纪70年代研制的，在当时用软件攻击破译需要用 很长的时间，但用硬件攻击破译却非常快。（正确）18、DES算法中的S盒被批评可能有不安全因素。（正确）19、 DES或其类似的分组加密算法的最大优点是其计算速度快。（正确）20、 DES或其类似算法的最大缺点是密钥分发问题。（正确）21、RSA算法的安全性基于数论中大整数分解的困难性。大整数的分解算法和计 算能力在不断提高，计算所需的硬件费用在不断下降，110位十进制整数的分解 已是一个非常容易的事，因此RSA算法中的n必需要大于110位。（正确）三、计算题1、在一个使用RSA的公开密钥系统中，你截获了发给一个其公开密钥是 e=5,n=35的

15、用户的密文C=10,其明文是什么.文：C=1O,选择两个素数：p=5,q=7，贝n=35=5*7。计算0（p-1）（q-1）=（5-）（7-1）=24，在O，23中选择一个和24互素的数，本题选e=5，得5*d=l mod 24，解出d。不难得出，d=5,因为exd = 5x5 =25 = 1*24+1=1 mod 24。因为：m=Cd(mod n)所以，m=Cd(mod n)=5数字签名一、填空题1、 采用MD5算法计算出的数字摘要的长度为128比特。2、 采用SHA-1算法计算出的数字摘要的长度为160比特_。3、 采用SHA-256算法计算出的数字摘要的长度为256比特-。4、 盲签名有

16、很多重应的应用，比较典型的应用有电子投票系统。5、盲签名可分成强盲签名和弱盲签名，其中强盲签名是指： 签名者仅知 sig(m)，且无法找至U sig(m)与sig(m)之间的关系。二、单项选择题1、与手书签名类似，数字签名也应满足若干基本要求，以下描述不正确的是：( D)A、收方能够确认或证实发方的签名，但不能伪造；B、收方向发方发出数字签名后的消息后，就不能再否认他所签发的消息。C、收方对已收到的签名消息不能否认。D、第三方不能确认收发双方之间的消息传递。2、数字签名应用若干特点，以不正确的说法是:c ( B)A、签字方不能抵赖；B、数字签名因人而异，他人不能伪造C、数字签名因文本而异，他人

17、不能伪造D、在公证人面前可以验证真伪.3、一个实用的数字签名算法是：计算文件的数字摘要，然后对计算出的数字摘 要进行签名。以下有关数字签名算法正确的描述是：(B )A、为了保证原始文件的可读性；B、为了保证计算速度；。、为了保证原始文件的完整性D、为了保证原始文件的保密性4、以下有关数字签名的应用领域的描述中，不正确的是(D )A、通过网络发行的软件B、电子支付C、电子政务D、数据加密5、数字签名的验证过程中，需要用到签名人的公钥，这其中需要解决的关键问 题是：（C）A、验证算法的速度B、公钥的传递问题C、公钥与签名人的绑定问题D、私钥的保密问题三、判断题1、基于数学难题的数字签名应用非常广泛

18、，其中基于离散对数难题的ElGamal 型数字签名方案是常用的数字签名算法之一（ 正确）2、基于数字RSA算法的数字签名算法，可直接用于各类信息的签名（ 不正 确）3、在盲签名算法中，由于签名人对需要签名的文件非常信任，因此可在未知文 件内容的情况下对文件进行签名（不正确）4、一个好的Hash函数应满足若干条件，其中“对于任意给定码h，找到x满足 H（x）=h具有计算不可行性”，是为了确保摘要算法的单向性（正确）5、一个好的Hash函数应满足若干条件，其中“对任意给定的数据块x，找到满 足H（y）=H（x）的yNx具有计算不可行性”，是为了确保伪造是不可能的（正确）6、由于RSA算法的计算量太

19、大，因此基于RSA算法的数字签名通常并不是直 接对文本进行签名，而是对文本的一个数字摘要进行签名。（正确 ）7、 基于RSA算法的数字签名的伪造并非不可能的，例如：第三方可以 选择y1 （签名人的数字签名），计算m1三y1eA（mod n）,然后将（y1, m1）发给 签名人，此时按目前的数字签名体制，签名人不能否认自己签署了 m1 （不 正确 ）8、数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。（正确）9、 数字签名提供了对信息来源的确定并能检测信息是否被篡改。（正确）10、数字时间戳是发件人在自己的文件中加入的时间

20、标记（不正确 ）身份认证一、填空题1、ISO在网络安全标准（ISO 7498-2）中定了 5个层次的安全服务：身份认 证、访问控制、数据保密服务、数据完整性服务和反否认服务。2、 网络访问控制的含义包括：保密性、完整性、有效性3、 网络访问控制的主要措施是：授权、确定访问权限及实施权限4、网络访问控制的主要目的是：保护被访问的客体的安全5、访问控制的核心是：授权控制6、对授权控制的主要要求有：一致性和统一性二、单项选择题1、用户识别的方法大致可分成三类，以下不属于这三类的是：（D ）A、根据用户知道什么B、根据用户拥有什么C、根据用户是什么D、根据权威机构认证2、根据口令的身份认证方法最大的缺

21、点是：（C ）A、不容易记忆B、不容易传输C、易被截获D、易被错误识别3、在使用口令的身份认证中，要避免使用不安全的口令，以下有关不安全口令 的描述中，不正确的是（C）A、使用用户名作为口令B、使用变型的用户名作为口令C、混合使用字母数字D、使用英文单词4、有关一次性口令不正确的描述是（A）A、事先存储在服务器中；B、不需要任何附加的硬件；C、不需要在服务器中存储如密钥、口令等敏感信息；D、采用安全算法三、判断题1、一次性口令可极大地提高计算机网络系统和电子商务应用系统的安全性.（正 确）2、X.509是一电子支付协议（不正确）3、Kerberos协议是一个网络通信协议（不正确）4、由于计算机

22、处理指纹时，只是涉及一些有限的信息，而且比对算法并不是精 确匹配，其计算结果也不能保证100%准确（正确）5、能够用于生物识别的生物特征应具有：广泛性、唯一性、稳定性、可采集性 以及一些其它特性，但在目前为止，还没有哪一个单独的生物识别技术能够满足 上述所有要求（正确）6、从实用角度而言，一个安全的身份识别协议至少应满足以下现两个条件：（1） 识别者A能向验证者B证明他的确是A； （2）在识别者A向验证者提供了证明他 的身份的信息后，验证者B不能取得A的任何有用的信息，即B不能模仿A向 第三方证明他是A.（正确）7、X.509协议中没有使用数字证书。（不正确）8、在Kerberos协议中使用了

23、公钥加密算法.（不正确 ）9、Kerberos协议中使用了 DES加密算法.（正确）10、在X.509协议中，参与身份认证的双方系统之间必须时间同步.（不正确）PKI一、判断题1、交叉认证是指两个CA互为对方签发的用户数字证书进行数字签名.（不正 确）2、 交叉认证是指两个CA互为对方的公钥进行数字签名.（正确）3、密钥同密码算法的分离大大促进了密码技术的发展，使数据加密的保密性和 安全性大大提高，这不仅使大量本来必须按照密级进行管理的加密设备可以取消 密级，而且使加密设备里的核心部件-密钥可经常更换，从而使密码算法完全公 开成为可能.（正确）4、对于一个商用密码产品来说，其密码机的软硬件原理

24、是无法保密的。（正确）5、在密码学中，往往要求密码设计者在不掌握密钥的情况下也无法读到保密信 息。（ 正确）6、从密码技术的发展看，现在已经可以设计出高强度的密码算法，使之能够承 受国家级的破译力量的攻击，在这个意义上讲，密码算法问题已经解决，密码系 统的安全主要取决于密钥的安全。（正确 ）7、任何密钥成分都应该有规定使用期限，制定使用期限的主要依据是取决于在 这段时间内密码能否破译。（不正确）8、密钥分配技术中最成熟的方案是采用密钥分配中心 KDC（Key Distribution Center），这是当今密钥分配的主流，但这种方案有一个致命的缺点是通信量大（正确）9、Kerberos是一个

25、验证协议，同时也是一个KDC，现在它的应用非常普及。（正 确 ）10、密钥托管是通信双方将会话密钥交给合法的第三方，以便合法的第三方利 用得到的密钥解密双方的内容，其作用为：密钥恢复、政府部门对保密通信行监 管。（正确）11、 对称密钥体制中的密钥管理问题，最根本的是密钥的保密问题（正确 ）12、公开密钥体制中，公钥的分发不需要保密，因此公开密钥体中的密钥管理相 对简单。（不正确）13、虽然公开密钥密码体制中，公钥的分发不需要保密，但公钥与持有人之间的 绑定问题仍然是公钥管理中的一个非常重要的问题。（正确）14、 加密技术和认证技术是 PKI的基础技术，PKI的核心机构是认证中心 （Certi

26、ficate Authority, CA）,数字证书是PKI最关键的产品和服务.（正确）15、在日常应用中，身份信息通常是不变的，而改变的是用户的权限。而在PKI中身份和权限是不分离，从而导致用户可能不得不拥有很多份数字证书。（正 确）_16、使身份和属性分离，即永久身份，可变属性permanent identify changeable attributes）”，这一思路导致了 PMI（privilege management infrastructure）.（ 正 确）17、在PKI中，信任CA是指：我们假定CA可以将数字证书与一个实体绑定。（正确）二、单项选择题1、一般认为，PKI提供的

27、核心服务有三个，以下不属于PKI核心服务的是：（D）A、认证B、完整性C、机密性D、数字时间戳2、CA （证书权威，认证中心）是公钥证书的发行机构，以下不属于CA的功能 的是：（D）A、批准证书请求B、密钥对的产生C、密钥的更新D、检验证书申请者的身份3、RA（注册中心）的功能是核查并验证用户的身份并将证书申请提交给CA，以 下不属于RA功能是的：（ D）A、检验证书申请者的身份B、批准证收C、证书撤消请求D、密钥的更新 互联网安全一、单项选择题1、有关防火墙的功能，以下说法中不正确的是：（D ）A、防火墙是网络安全的屏障B、防火墙可以强化网络安全策略C、防火墙可对网络访问进行监控和审计D、防

28、火墙可对网络灾难进行恢复2、在各大学的校园网内，一般都不允许学生通过ADSL自行接入Internet，原因主 要在于：（C）A、影响学校网络中心的收入B、费用较高C、绕过了防火墙，给整个校园网带来威胁D、电信网络不支持3、堡垒主机是指：（C）A、网络内的大型机B、网络内的服务器C、是内部与外部网络的联接点D、就是防火墙4、有关包过虑防火墙，以下说法不正确的是：（D）A、它不保证内容的安全B、不提供认证服务C、不能动态打开或关闭服务端口D、不能识别服务的端口号二、判断题1、防火墙被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问， 以及哪些外部服务访问内部服务.（正确 ）2、从逻辑上讲，

29、防火墙是一个分离器、限制器和分析器，通常防火墙是指一组 硬件设备（不正确 ）3、从逻辑上讲，防火墙是一个分离器、限制器和分析器，通常防火墙是指一组 软件系统。（不正确）4、防火墙虽然可以保护网络免受外部攻击，但它也是仅能提高网络的安全性， 而不保证网络的绝对安全。（正确）5、包过滤防火墙是通过检测IP包的IP地址实现过虑的。（不正确 ）6、包过滤防火墙的好处在于成本低廉，只需要在路由器上进行简单规则的配置， 且处理速度快，对路由器的影响不大。（正确 ）7、Java体系结构对安全性的支持主要是通过Java语言本身的安全性、虚拟机的 类加载器和安全管理器以及Java提供的安全API几个方面来实现的

30、（正确）8、Java 体系结构提供了三类主要的安全 API； JCE（Java cryptography extension）、 JSSE（Java secure socket extension）和 JAAS （Java authentication and authorization service）（正确）9、JCE提供了基础加密服务，JAAS提供了 SSL协议的实现（不正确 ）10、在Java的安全体系结构中，安全管理器的作用非常大。但如果程序员未在程 序中调用安全管理器，则Java程序是不受安全管理器控制的。（不正确）11、在Java的安全体系结构中，授权仅仅能针对代码的来源，而无法

31、针对某一具 体用户（不正确）12、计算机病毒不会破坏计算机硬件（不正确）13、防火墙虽然可以保护网络免受外部攻击，高性能的网络防火墙，可确保内部 网的安全性（不正确）14、包过滤防火墙是通过检测IP包的的荷载来实现安全性的（不正确 ）15、包过滤防火墙的好处在于成本低廉，且处理速度快。（正确 ）安全协议一、单项选择题1、以下有关SET协议商业要求描述中，不正确的是：（D）人、为支付信息提供保密性B、保证传输数据的完整性。、支持商家认证D、采用了盲签名2、SET协议中使用了双签名机制，以下有关双签名机制正确的描述是：（C ）A、两次确认签名，从而使不可否认性得到加强B、由于SET协议涉及交易双方

32、，因此需要交易双方签名。、为了确保支付信息的安全D、为了确保交易信息的安全3、有关SET协议的描述中，不正确的说法是：（C）A、SET协议需要使用数字证书B、SET协议需要使用对称加密算法C、基于SET的交易中，客户需要提供支付账号和密码D、基于SET的交易中，客户不需要提供账号与密码4、以下关于SET协议不足之处的描述中，不正确的是：（C）A、SET协议只支持信用卡消费B、SET协议过于复杂，处理速度慢且价格昂贵C、SET协议要求支付过程中提供信用卡密码，因此存在一定的安全隐患D、SET协议没有提及事务处理完成后交易数据的处理问题5、有关SSL与SET的比较，以下描述正确的是：（A）A、SE

33、T和SSL都采用了 RSA算法B、SSL不能用于电子商务支付C、SET协议可使用非SET数字证书D、SET和SSL协议均只支持报文的实时传输6、有关采用SSL协议的支付系统，不正确的描述是：（C ）A、SSL协议只保证相邻点到点的通信的机密性B、SSL协议是面向连接的C、SSL协议提供数字签名，从而保证了交易不可否认的实现D、SSL协议采用了 RSA及对称加密算法7、有关SET证收中的持卡证书，以下正确的描述是：（D）A、持卡者证书不包括账号和过期日期，但可计算出账号和过期日期信B、持卡者证书包括账号和过期日期C、持卡者证书不包括账号和过期日期，且无法计算出账号和过期日期信D、持卡者证书不包括

34、账号和过期日期，但可验证账号和过期日期8、有关非SET证书的描述中，不正确的是（D ）A、证书中包括持有人的标识信息B、证书中包括持有人的公钥信息C、证书中包括签发机构的标识D、证书中包括持有人的密钥对二、判断题1、为了扩充寻址和解决安全保密问题，IETF发布了新版的IP安全协议，称为IPSec.这一安全协议对IPv4而言是强制性的.（不正确 ）2、为了扩充寻址和解决安全保密问题，IETF发布了新版的IP安全协议，称为IPSec.这一安全协议对IPv6而言是强制性的.（正确）3、Web浏览器和服务器可以采用超文本传输协议（HTTP）进行信息交换.现在大多 数Internet服务器和Web站点都

35、用SSL保证信息交换的安全性.（正确 ）4、SSL协议是PKI体系中的网络安全标准协议，它采用TCP作为传输协议提供数 据的可靠传送和接收.（正确）5、SSL协议在建立连接过程中采用非对称密钥，在会话过程中采用对称密钥，加密的类型和强度则在两端建立连接过程中判断决定.（正确）6、SSL协议在应用层协议通信之前就完成了加密算法、通信密钥协商以及服务 器认证工作。（正确）7、SSL协议不是单个协议，而是两层协议，包含套接层SSL记录协议和应用层 SSL握手协议、SSL更改密文规范协议和SSL警告协议。（正确）8、在SSL协议中，信息的保密性是通过使用公开密钥算法和对称密钥加密算法 实现的。（正确）

36、9、SSL协议中的信息完整性是通过基于公开密钥算法的数字签名来实现的.（ 不正确）10、SSL协议不能提供数字签名服务，从而不能保证交易不可否认性的实现，因 此在安全功能方面存着较大的不足。（正确）11、SSL协议不加选择地用同一密钥强度加密所有数据，对某些应用来说是不必 要的甚至是不合要求的。（正确 ）12、在电子商务安全中使用的S-HTTP实际上就是SSL的一种不同的表达方式而 已。（不正确 ）13、为了解决安全保密问题，IETF发布了新版的IP安全协议，称为IPSec.（不 正确）14、 为了扩充寻址，IETF发布了新版的IP安全协议，称为IPSec.这一安全 协议对IPv6而言是强制性

37、的.（不正确）15、在IPSec中，信息的认证是通过数字签名来实现的。（不正确 ）16、SSL协议是PKI体系中的网络安全标准协议，它作用于应用协议之上，因此 若采用SSL，则所有程序都应改写.（不正确 ）17、SSL协议过于简单，因此现在大多数Internet服务器和Web站点都不再使用了。（不正确）18、在SSL协议中可进行双方认证，也可进行单方认证，且都是可选的（不正 确）19、SSL协议过于简单，不能用于电子支付中（不正确）20、在SSL协议中，信息的保密性是通过使用对称密钥加密算法实现的（不正 确）21、SSL协议中的信息完整性是通过使用消息认证码来实现的。（正确）22、SSL协议不

38、能提供数字签名服务，从而不能保证交易不可否认性的实现，因 此它只能用于点对点的文件传输。（不正确）23、SSL协议实现了相邻点到点的安全，但不能保证系统中不相邻的端到端的安 全。（正确）24、在使用SET协议进行电子支付时，用户要提供交易密码。（不正确）网络攻击与防御一、判断题1、网络攻击准备阶段最主要的工作就是收集尽量多的关于攻击点的信息。（正 确）2、对于破坏性攻击在攻击实施阶段，主要工作就是利用攻击工具发起攻击。（正 确）3、对于入侵性攻击在攻击实施阶段，主要工作就是利用攻击工具发起攻击。（不 正确 ）4、网络防火墙一般不会对攻击做出太多的判断，原因在于进行过地进行判断会 严重影响网络的

39、性能。（正确 ）5、入侵检测是通过旁路监听的方式不间断地收取网络数据，因此对网络的运行 性能无任何影响.（正确）6、网络防火墙通过旁路监听的方式不间断地收取网络数据，因此对网络的运行 性能无任何影响。（不正确）7、入侵检测是通过旁路监听的方式不间断地收取网络数据，发现异常后会阻断 入侵数据。（不正确）8、缓冲区溢是指程序写数据时超出了程序申表的空间，从面将系统内的其它部 分覆盖，而覆盖系统的这部分数据可能含恶意代码（正确）9、拒绝服务攻击的目的是使计算机或网络无法提供正常的服务（正确）10、常见的网络攻击有两种目的，其一是破坏性攻击，另一种是入侵性攻击。（正 确）11、网络攻击的目的是使攻击目

40、标不能工作，而不控制目标机的运行，此类攻击 是入侵性攻击（不正确）12、网络攻击的目的是要控制攻击目标，一旦获得攻击目标的管理权限就可以对 攻击目标做出任意动作，此类攻击是破坏性攻击（不正确）二、填空题1、常见的网络攻击有两种目的，其一是破坏性攻击，另一种是_入侵性攻击。2、网网攻击的目的是使攻击目标不能工作，而不控制目标机的运行5类攻击 是破坏性攻击。3、网络攻击的目的是要控制攻击目标，一旦获得攻击目标的管理权限就可以对 攻击目标做出任意动作，此类攻击是_入侵性攻击信息隐藏与数字水印一、判断题1、数字化多媒体技术和网络技术的发展，使得信息交流变得如此方便，同时也 使非法复制变得十分方便与简单

41、。信息隐藏技术可很好地解决这一问题.（正 确 ）2、数字化多媒体技术和网络技术的发展，使得信息交流变得如此方便，同时也 使非法复制变得十分方便与简单。加密技术可很好地解决这一问题.（不正确）3、信息隐藏过程一般由密钥来控制，通过一定的算法将秘密信息隐藏到载体信 息中，隐藏信息的提取也要通过密钥用一定的算法来提取。（正确 ）4、信息隐藏技术的隐蔽性是指信息载体是保密的.（不正确）5、隐藏信息的自产生性是指载体经过一系列的变换后，遗留的隐藏信息片段仍 可恢复隐藏信息.（正确 ）6、数字水印是一种将特制的标记隐藏在数字产品之中的技术，用以证明原创作 者对作品的所有权，并作为起诉非法侵权者的证据，从而

42、保护了原作者的合法权 益。（正确 ）7、数字水印是信息隐藏技术中的一种，强调水印的不可察觉性。（不正确）8、针对数字水印而言，在不可察觉性与鲁棒性（Robust）之间，鲁棒性更重要。 （正确）9、数字水印的安全性依赖于数字水印的保密性。（不正确）10、数字水印的安全性依赖于数字水印的密钥空间的大小。（正确 ）11、信息隐藏将某一秘密信息秘密地隐藏于另一公开信息的信息内容中，其形式 可以是任意一种数字媒体，然后通过公开信息的传输来传递秘密信息（正确）12、信息隐藏的安全性是指被隐藏的信息保密性。（不正确 ）13、在数字产品中使用数字水印可阻止数字产品的非法复制（不正确 ）14、数字水印可对非法复

43、制和传播进行追踪，从而确定非法复制和传播的源头（正确）15、 对数字产品进行数字签名，是数字产品版权保护的最佳方案（不正确 ）综合试卷1一、填空题1、 电子商务安全从整体上可分为两大部分：_计算机网络安全和 商务交易安 全 。2、电子商务的六大安全需求：_机密性、完整性、认证性、不可抵赖性、不可拒 绝性、访问控制性3、 电子商务安全涉及到密码安全技术、网络安全技术、PKI技术三大基本 技术4、 重DES加密中的密钥长度是168 （或答112位有效密钥）。5、在密码学中常用扩散（diffusion）和混淆（confusion）对数据进行处理。产生扩散的最简单方法是通过 置换（Permutatio

44、n）” .。6、MD5算法输出的数字摘要的长度为_成_位。7、 认证的三项主要内容：消息认证，身份验证、数字签名。8、 防火墙的基本类型有:、包过滤应用级网关型防火墙、代理服务型防 火墙、复合型防火墙。一9、在密码系统中，可能采取的对密码系统的攻击有：仅知密文（ciphertext only）、_ 已知明文（known plaintext ） 选择明文（chosen plaintext）、选择密文（chosen ciphertext）二、单项选择题1、在电子商务交易过程中，分组密码体制是最常用的密码体制，其主要原因是:（C ）A、安全性能高B、密钥分配方法简单.C、计算速度快D、以上都不是2、

45、在现代密码体制中，通常采用密码算法相对固定而密钥不固定的方法，原因 在于（A）A、密钥的保密容易且易于更换B、固定算法的安全性差C、这是由于密码体制的传统确定的D、计算简单3、在基于口令的认证过程中，口令一般采用加密的方式存储在认证服务器中，下面的描述中正确的是：（D ）A、采用公钥体制加密，并将密文存储在认证服务器中；B、采用Hash函数计算摘要，并存储在认证服务器中；C、采用对称密码体制，用认证服务器的密钥对口令加密，并存储在认证服务器 中；D、采用对称密码体制，用口令作密钥加密固定常数，并存储在认证服务器中。4、从实用角度而言，一个安全的身份识别协议应该满足某些条件，以下说明法 不正确的

46、是（C ）A、识别者A能向验证者B证明他的确是A；B、在识别者A向验证者提供了证明他的身份的信息后，验证者B不能取得A的任何有用的信息，即B不能模仿A向第三方证明他是A；C、识别者只能向可信的验证者提供证明他的身份的信息；D、一个好的识别协议应同时，满足A和B的要求5、以下是对称密码体制中密钥管理的描述，正确的说法是：采用对称加密技术的贸易双方必须要保证采用的是相同的密钥，要保证彼此密钥 的交换是安全可靠的，同时还要设定防止密钥泄密。（C ）A、对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程，因此这种 体制不能用于电子商务。B、对称密钥的管理和分发工作将变成一件潜在危险的和繁琐的过程

47、，因此只能 在安全信道中采用对称密码体制进行电子商务交易。C、可以通过公开密钥加密技术实现对称密钥的管理从而使相应的管理变得简单 和更加安全，同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。D、除C中所述方法外，虽然可以通过密钥交换技术实现对称密钥匙分发与管理，但这种方法用于电子商务是不安全的三、简答题1、在一个使用RSA的公开密钥系统中，你截获了发给一个其公开密钥是e=5,n=35的用户的密文C=10,其明文是什么（给出详细的计算过程，并要有相应的说明） （10 分）（分数：10分；难度：较易）2、Bob有一文件需要Alice对其进行数字签名，请给出采用RSA数字签名算法的签 名及验

48、证过程（10分）（分数：10分；难度：较易）3、给出Diffie-Hellman密钥交换算法的描述，并说明这种密钥交换算法可能存在的 安全隐患.（10分）（分数：10分；难度：中等）4、简述基于PKI的加密与解密过程（10分）（分数：10分；难度：中等）5、DES密码算法曾经是最著名且最重要的加密算法之一，简述DES算法加密 过程，并对其优缺点进行分析（分数：15分；难度：中等）6、基于SET协议的支付系统的主要参与方有那些?，简述基于SET系统的电子商 务系统的交易过程.（15分）（分数：15分；难度：中等）综合试卷2一、填空题1、计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统

49、安全、_ 数据库安全。2、电子商务面临的四大安全威胁：_信息的截获_、窃取篡改交易信息、假冒 商家和客户商家抵赖交易。3、 电子商务主要面临的主要攻击： 中断、窃听、篡改 和伪造 等4、所有密文的集合称为密文空间5、在密码学中常用扩散（diffusion）和混淆（confusion）对数据进行处理，其目的在 于使作用于明文的密钥和密文之间的关系复杂化，是明文和密文之间、密文和密 钥之间的统计相关特性极小化，从而使统计分析攻击不能奏效。通常的方法是_代替（Substitution）”6、SHA-1算法输出的数字摘要的长度为位16（;7、三类认证函数：信息加密函数、信息认证码、散列函数8、 网络安

50、全关键技术有:入侵检测:访问控制加密一 ：身份认证技术二、单项选择题1、公钥体制是当前最常用的密码体制，以下正确的说法是：（D ）A、公钥体制的安全性优于对称密码体制：B、公钥体制常用于文件的加密与解密；C、公钥体制中，公钥的发布不需要保密，因此公钥体制中不需要密钥管理；D、公钥体制常用于数字签名及对称密钥的发配。2、密码系统的设计原则为：易于操作、不可破、整体安全、克彻霍夫斯原则等， 其中克彻霍夫斯原则的具休含义是（C）A、密码体制必须具有一定的安全强度；B、密码体制应该是理论上安全的；C、密码体制的安全性不应基于对算法的保密；D、密码体制中的加密算法应该是简单的；3、在电子商务系统中，我们

51、使用的所有密钥都有一个使用期限，以下说法中比 较准确的是：（B）A、为了避免密钥长期不用而浪费有限的密钥；B、密钥可能被泄漏或攻击者可能对某一特定密钥的加密进行分析，所以缩短密 钥的使用期可以减少危险的发生.C、电子商务的交易一般都会在一个较短的时间内完成；D、以上说法都不准确.4、公开密钥分发方法有多种，下列方法中不正确的是：（A ）人、直接将公钥传送给接收方；B、公开可以得到的目录；C、公开密钥管理机构；D、公开密钥证书。5、PKI中信任模型主要用来解决用户能够信任的证书是如何被确定的以及这种信任 是如何被建立的问题，下列不属于PKI中的信息模型的是（C）A、认证机构的严格层次结构模型B、

52、分布式信任结构模型C、以政府为中心的信任模型D、以用户为中心的信任模型三、简答题1、在一个使用RSA的公开密钥系统中，你截获了一个其公开密钥是n=33,e=3 的用户的密文C=2,其明文的什么（给出计算过程的详细说明）（10分）（分数：10分；难度：中等）2、Alice想要通过一个不安全的信道给Bob发一条加密的消息，请给出按RSA 算法实现这一安全通信的过程（10分）（分数：10分；难度：中等）3、简述基于公钥体制的秘密密钥交换过程，并举例说明（10分）（分数：10分；难度：中等）4、简述基于PKI的数字签名及验证过程（10分） （分数：10 分；难度：中等）5、简述SSL协议，并说明其用于电子支付时可能存在的问题（15分）。（分数：15分；难度：中等）6、如果选举单位要采用电子投票的方式进行投票，应该采用什么样的技术来保证投票的公正性、匿名性？（给出实现这一系统的基本描述）（15分）（分数：15分；难度：中等）