(2)实体认证通常证实实体本身,而消息认证除了证实消息的合法性和完整性外,还要知道消息的含义。
2.答:(1)不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,进行交易后,交易双方就可以防止相互猜疑。
(2)不要抵赖性。交易双方对自己的行为负有一定责任,信息发送者和接受者都不能对此否认,进行身份识别后,就有了反驳的依据。
3.答:(1)证书的颁发;(2)证书的更新;(3)证书的查询;(4)证书的作废;(5)证书的归档。
4.答:(1)认证机构;(2)证书库;(3)密钥备份及恢复系统;(4)证书作废处理系统;(5)客户端证书处理系统。
(第六章)
一、填空题
1.安全交易SET,2.电子钱包,3.数字指纹,4.私人密钥加密,5.数字签名,6.传递对称密钥给接收者,7.接收方的公钥,8.证书的颁发、更新、废除,9.E—mail、web和离线方式,10.交互式和非交互式。
二、简答题
1.答:第一阶段持卡人申请证书的请求应答过程;第二阶段持卡人申请登记表的请求应答过程;第三阶段证书请求和生成过程。
2.答:(1)启动电子钱包,发送初始请求;(2)CA发送响应;(3)接收响应;(4)CA请求并发送注册表;(5)持卡人接收注册表并请求证书;(6)CA处理请求并产生证书;(7)持卡人接受证书。
3.答:(1)持卡人注册申请证书;(2)商户注册申请证书;(3)购买请求;(4)支付认证;(5)获取付款。
(第七章)
一、填空题
1.TCP2.SOCKET3.握手协议和记录协议,4.报文类型代码和数据5.记录头和非零长度的数据,6.记录头长度、记录数据长度、记录数据中是否有填充数据。
二、简答题
1.答:(1)用户和服务器的认证;(2)加密数据以隐藏被传输的数据;(3)维护数据的完整性。
2.答:(1)接通阶段;(2)密钥交换阶段;(3)会话密钥生成阶段;(4)服务器认证阶段;(5)客户机证实阶段;(6)结束阶段。
3.答:(1)SKEIP;(2)Photuris;(3)Isakmp。
三、应用题
1.答:(1)加密算法和会话密钥。SSL协议V2和V3支持的加密算法包括RC4,RC2是由RSA定义的,其中RC2适用于块加密,RC4适用于流加密。
(2)认证算法。认证算法采用X.509电子证书标准,通过RSA算法进行数字签名来实现的。包括服务器认证、客户的认证。
(3)会话层的密钥分配协议。要求对任何TCP/IP都要支持密钥分配。
2.答:SET是一个多方的消息报文协议,SSL只是简单地在两方之间建立了一条案例连接。主要特点表现在:
(1)认证机制方面:SET的安全需求较高,SSL只有商店端的服务器需要认证,客户端认证则是有选择性的。
(2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取。SSL协议中则缺少对商家的认证。
(3)安全性:一般SET的安全性较SSL高,主要原因是在整个交易过程中,包括持卡人到商店、商店到付款转接站再到银行网络,都受到严密的保护。而SSL的安全范围只限于持卡人到商店端的信息交流。
(4)SET对于参与交易的各方定义了互操作接口,一个系统可由不同厂商的产品构筑。
(5)采用比率:由于SET的设置成本较SSL高,且进入国内市场的时间尚短,SSL的普及率高。
模拟考试题(一)
一、填空题
1.汇集和传送电子信息,2.电子数据处理,3.伪装、收集情报,4.植入,5.序列密码与分组密码,6.模2相加,7.预先付款,8.延迟付款,9.证书数据和发行证书CA的信息,10.登记服务名RS、登记管理机构RA和证书管理机构CA,11.安全交易SET,12.电子钱包,13.示证者、验证者、攻击者,14.SETCA认证体系和PKICA体系,15.电子资金汇兑,16.数字化,17.数据加密,18.数字、字母或特殊符号,19.查询、订货、交易,20.INTERNET。
二、选择题
1.C2.A3.C4.B5.A。
三、名词解释
1.活动内容:指在页面上嵌入的对用户透明的程序,完成一些动作。
2.信息安全:指在信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、共享性能得到良好保护的一种状态。
四、简答题
1.答:第一阶段持卡人申请证书的请求应答过程;第二阶段持卡人申请登记表的请求应答过程;第三阶段证书请求和生成过程。
2.答:(1)不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,进行交易后,交易双方就可以防止相互猜疑。
(2)不要抵赖性。交易双方对自己的行为负有一定责任,信息发送者和接受者都能对此否认,进行身份识别后,就有了反驳的依据。
3.答:(1)证书的颁发;(2)证书的更新;(3)证书的查询;(4)证书的作废;(5)证书的归档。
4.答:客户,CA信用体系,商家,客户开户行,商家,支付网关,金融专用网。
5.答:(1)支付系统无安全措施的模型。用户从商家订货,信用卡信息通过电话、传真等非网上传送手段进行传输;也可以在网上传送信用卡信息,但无安全措施。
(2)通过第三方经济人支付的模型。用户在网上经纪人处开账号,网上经纪人持有用户账号和信用卡号。用户用账号从商家订货,商家用户账号提供给经纪人,经纪人验证商家身份,给用户发电子邮件,要求用户确认购买和支付后,将信用卡信息传给银行,完成支付。
(3)电子现金支付模型。用户在E—CASH发行银行开设电子现金账号,购买电子现金,然后使用PCE—CASH终端软件从E—CASH银行取出一定数量的E—CASH存在硬盘上,用户从同意接收E—CASH的商家订货,使用电子现金支付,商家与E—CASH发放的银行进行清算,银行将用户购买商品的钱支付给商家。
(4)简单加密支付系统模型。
(5)SET模型。
6.答:(1)鉴别服务;(2)访问控制服务;(3)机密性服务;(4)不可批否认性服务。
7.答:(1)真实性要求;(2)有效性要求;(3)机密性要求;(4)完整性要求。
8.答:主要包括四部分:
(1)金融机构,为付款者和收款者保持账户。
(2)付款者和收款者,是电子商务的消费者和商品的提供者。
(3)第三方非银行金融机构:提供支付服务,但不保持账户,根据金融机构保。
五、论述题
1.答:包括四个方面:
一个私钥加密算法(IDEA);一个公钥加密算法(RSA);一个单相散列算法(MD5);一个随机数产生器。
2.答:当前常用的安全规范包括(1)加密算法———对称密钥加密和非对称密钥加密;(2)报文摘要算法,满足数字签名,把报文与数字签名不可分割地结合在一起;(3)安全套接层协议,是一种保护WEB通信的工业标准,实现INTERNET上的安全通信。
模拟考试题(二)
一、填空题
1.UN/EDIFACT,2.自由性、秘密性、完整性、共享性,3.WWW客户程序,4.在页面上潜入的对用户透明的程序,5.单向函数,6.大数分解和素数检测,7.数字现金、电子信用卡、电子支票系统,8.预先付款,9.数字证书,10.客户身份和密钥所有权,11.服务器的身份和公钥,12.CA身份和CA的签名密钥,13.接收方的公钥,14.证书的颁发、更新、废除,15.E—mail、web和离线方式,16.交互式和非交互式,17.数字化,18.无形化,19.主动搭线窃听,20.信息是否被改动。
二、选择题
1.C2.B3.A4.C5.B。
三、名词解释
1.电子商务:指在计算机网络平台上,按照一定标准开展的商务活动。
2.即需安全性:也叫拒绝安全威胁,是破坏正常的计算机处理或完全拒绝处理。
四、简答题
1.答:(1)交易主体;(2)交易事务;(3)电子市场;(4)信息流、资金流、物流。
2.答:一是由于网络设计和网络管理方面的原因,无意间机密数据泄露。
二是攻击者采用不正当的手段通过网络获得数据。
3.答:用户用浏览器可查看一个带有活动内容的WWW页面,小应用程序随页面自动下载开始在用户计算机上启动运行。
4.答:保密性的安全威胁;对完整性的安全威胁;对即需性的安全威胁。
5.答:(1)电子函件的安全对策,主要手段是加密和签名。
(2)WWW服务器和客户机的安全对策,主要手段是SHTTP和SSL。
(3)应用服务的加密和签名技术,SET形式的标准化。
(4)企业网接入Internet的信息安全网的安全,主要手段是防火墙。
6.答:(1)确保安装软件中没有已知的弱点。
(2)技术上确保系统具有最小穿透风险。
(3)管理上确保系统被穿透的风险极小化。
(4)对入侵进行检测、审计和追踪。
7.答:(1)电子支付在开放网络中以先进的数字流技术完成信息传递;(2)电子支付的工作环境基于一个开放的系统平台;(3)电子支付对软件,硬件要求高;(4)电子支付方便,高效,快捷;(5)支付过程无形化。
8.答:(1)现金支付:简单,便携,但易磨损,易失。
(2)银行的支付:适应于大、小额交易,安全。
(3)信用卡支付:手续简便。
五、应用题
1.答:(1)支付承诺;(2)对违法者的惩罚;(3)信用积累制度;(4)身份认证。
2.答:SET是一个多方的消息报文协议,SSL只是简单地在两方之间建立了一条案例连接。主要特点表现在:
(1)认证机制方面,SET的安全需求较高,SSL只有商店端的服务器需要认证,客户端认证则是有选择性的。
(2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取。SSL协议中则缺少对商家的认证。
(3)安全性:一般SET的安全性较SSL高,主要原因是在整个交易过程中,包括持卡人到商店、商店到付款转接站再到银行网络,都受到严密的保护。而SS斩安全范围只限于持卡人到商店端的信息交流。
(4)SET对于参与交易的各方定义了互操作接口,一个系统可由不同厂商的产品构筑。
(5)采用比率:由于SET的设置成本较SSL高,且进入国内市场的时间尚短,SSL的普及率高。