《电子商务安全》作业3一、选择题1. CA的中文含义是( D )。

A. 电子中心B. 金融中心C. 银行中心D. 认证中心2. 以下关于身份鉴别叙述不正确的是（B ）。

A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制3. KDC的中文含义是（D ）。

A. 共享密钥B. 公钥基础设施C. 会话密钥D. 密钥分配中心4．（C ）是一个对称DES加密系统，它使用一个集中式的专钥密码功能，系统的核心是KDC。

A. TicketB. GrantC. KerberosD. PKI5. （B ）负责签发证书、验证证书、管理已颁发证书，以及制定政策和具体步骤来验证、识别用户身份。

A. RAB. CAC. PKID. LDAP6. MAC的中文含义是（B ）。

A. 消息鉴别码B. 消息认证码C. 消息摘要D. 媒体存取码7. PIN的中文含义是（B）。

A. 消息信息码B. 身份识别码C. 个人信息码D. 身份证号码8. （D）是通信双方判定消息完整性的参数依据，散列函数是计算的重要函数，该函数的输入与输出能够反应消息的特征。

A. 消息信息码B. 消息验证码C. 消息加密D. 消息摘要9. （C ）是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信对象的身份。

A. 消息验证B. 身份认证C. 数字证书D. 消息摘要10.“公钥基础设施”的英文缩写是（C）。

A. RAB. CAC. PKID. MD11. PKI支持的服务不包括（D）。

A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务12. PKI的主要组成不包括（B）。

A. 证书授权CAB. SSLC. 注册授权RAD. 证书存储库CR13. PKI管理对象不包括（A ）。

A. ID和口令B. 证书C. 密钥D. 证书撤消14. 下面不属于PKI组成部分的是（D）。

A. 证书主体B. 使用证书的应用和系统C. 证书权威机构D. Kerberos15. PKI能够执行的功能是（A）。

A. 鉴别计算机消息的始发者B. 确认计算机的物理位置C. 访问控制D. 确认用户具有的安全性特权16. 对输入消息长度有限制，输出消息摘要是160Bit的算法是（B）。

A. RSAB. SHA-1C. MD5D. DES17. 确定用户的身份称为（C）。

A. 访问控制B. 识别技术C. 身份认证D. 审计技术18. 某些网站的用户登录界面要求输入系统随机产生的验证码，这是为了对付（C）。

A. 窃听攻击B. 危及验证码的攻击C. 选择明文攻击D. 重放攻击19. 密钥交换的最终方案是使用（A）。

A. 公钥B. 数字信封C.数字证书D. 消息摘要20. （C ）算法输入可以是任意长度的消息，输出是固定长度的128 bit 消息，所输出消息就是消息摘要。

A. RSAB. SHAC. MD5D. DES21. （A）负责证书申请者的信息录入、审核以及证书发放等工作，同时对发放的证书完成相应的管理功能。

A. RAB. CAC. CRLD. LDAP23. CA用（A ）签名数字证书。

A. 用户的公钥B. 用户的私钥C. 自己的公钥D. 自己的私钥24. 我国正式实施《电子签名法》及《电子认证服务管理办法》的时间是（A ）A. 2005年4月B. 2006年4月C. 2007年4月D. 2008年4月25. 数字证书不包含以下哪项内容（D ）A. 序列号B. 颁发机构C. 主体名D. 主体的私钥二、判断题1.基于口令的认证方案以人体惟一的、可靠的、稳定的特征为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别方式实现认证功能。

2.X.509是以可信任的第三方为基础的身份验证协议，采用对称密码体制实现。

3.消息摘要是连接密码技术和认证技术的桥梁。

4.消息验证码是指根据消息推导出来的能反应消息特征、且具有固定长度的特定信息。

5.数字签名是目前电子商务中技术最成熟，应用最广泛的一种电子签名方法。

V6.以 CA 为核心的 PKI 安全体系结构是电子商务的基础设施，它为电子商务的参与方提供了安全保障的应用环境。

V7.中国金融认证中心全国用户提供数字证书服务，可发放SET证书和Non-SET PKI 证书，所发放的证书可支持网上银行、网上购物等应用。

V8.数字时间戳最主要的用途是实现电子现金的匿名性。

9.Kerberos协议把对称密钥体制和公开密钥体制完美地结合在一起，充分利用了 DES 效率高速度快和 RSA 安全性高且密钥管理简便的优点。

X10.认证技术的实现通常需要借助于加密和数字签名等密码学的技术。

1X 2X 5V 6V 7V 9X三、填空题1．数据库管理系统要求提供严格的用户验证，它可以通过______以及时间日期鉴别用户。

2．电子商务交易的前提是___双方的身份认证___，对实体的身份认证是电子商务开展的基础。

3．认证是保证在公共的网络环境下通信信息真实性的一个手段，主要包括___身份认证___和___报文验证___。

4．RSA 算法在加密与签名时对密钥的使用是不同的：加密时，发送方使用___对方的公钥___通过加密算法计算得到密文，而签名时，是使用__自己的私钥____通过加密算法得到签名。

5．电子商务中的身份认证方案主要有三类：基于___口令___的身份认证方案、基于智能卡的身份认证方案和基于___生物特征___的身份认证方案。

6．完整的Kerberos验证系统包括__验证服务器____、授予许可证服务器，___网络应用服务器___以及网络用户。

其中___验证服务器___的作用是负责鉴别用户，并为用户提供访问TGS 的许可证；__授予许可证服务器____ 的作用是负责授权用户，为用户发放访问应用服务器的许可证。

7．__数字证书____是由权威公正的第三方机构即认证中心CA 签发的，以其为核心的加密技术可以对网络上传输的信息进行__加密和解密____、__数字签名____和签名验证，确保网上传递信息的___保密性___、__完整性____以及交易实体身份的真实性，签名信息的__不可否认性____，从而保障网络应用的安全性。

8．PKI 系统的组成包括_认证中心CA_____、注册机构RA、___数字签名___、密钥备份及恢复系统、__证书撤销系统____等。

9．______综合利用了对称密码体制和公钥密码技术。

其具体过程是：信息发送方首先利用随机产生的______加密信息，再利用接收方B的______加密______。

10．在对称密码系统中，若有n个人需要安全通信，n个人中两两之间需要一个密钥，则密钥总数为______。

四、简述题1.说明身份认证的特点及使用口令进行身份认证的优缺点。

2.身份认证的三种基本方式是什么？*3.Kerberos系统的优点有哪些？4.为什么说在PKI中采用公钥技术的关键是如何确认某个人真正的公钥？如何确认？5.什么是数字证书？现有的数字证书由谁颁发，遵循的标准有什么特点？数字证书的原理是什么？*6.叙述基于X.509数字证书在PKI中的作用。

7.CA有哪些具体的职责？*8.数字签名有什么作用？画出示意图说明数字签名的主要流程。

9.列表比较对称密钥与公钥加密的优缺点。

*10.简述单向散列函数的基本性质。

*1说明身份认证的特点及使用口令进行身份认证的优缺点。

答：身份认证：是指用户必须提供他是谁的证明，这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础。

身份认证特点：身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。

一旦身份认证系统被攻破，系统的所有安全措施将形同虚设，黑客攻击的目标往往就是身份认证系统。

优点：在于黑客即使得到了口令文件，通过散列值想要计算出原始口令在计算上也是不可能的，这就相对增加了安全性。

缺点：严重的安全问题，安全性仅依赖于口令，而且用户往往选择容易记忆、容易被猜测的口令，口令文件也可被进行离线的字典式攻击。

身份认证的三种基本方式是什么？答：身份认证的三种基本方式是：（1）用户所知道的东西：如口令、密码。

（2）用户所拥有的东西：如智能卡、身份证。

（3）用户所具有的生物特征：如指纹、声音、视网膜扫描、DNA等。

2身份认证的三种基本方式：(1)用户所知道的某个秘密信息，例如用户知道自己的口令。

(2)用户所持有的某个秘密信息(硬件)，即用户必须持有合法的随身携带的物理介质，例如智能卡中存储用户的个人化参数，以及访问系统资源时必须要有的智能卡。

(3)用户所具有的某些生物学特征，如指纹、声音、DNA图案、视网膜扫描等等，这种认证方案一般造价较高，多半适用于保密程度很高的场合。

3Kerberos系统的优点有哪些？答：Kerberos系统的主要优点有：(1) 安全：网络窃听者不能获得必要信息以假冒其他用户，Kerberos应足够强壮以致于潜在的敌人无法找到它的弱点连接。

(2) 可靠：Kerberos应高度可靠并且应借助于—个分布式服务器体系结构，使得一个系统能够备份另一个系统。

(3) 透明：理想情况下用户除了要求输入口令以外应感觉不到认证的发生。

(4) 可伸缩：系统应能够支持大数量的客户和服务器，这意味着需要一个模块化的分布式结构。

4为什么说在PKI中采用公钥技术的关键是如何确认某个人真正的公钥？如何确认？答：信息的可认证性是信息安全的一个重要方面。

认证的目的有两个：一个是验证信息发送者的真实性，确认他没有被冒充；另一个是验证信息的完整性，确认被验证的信息在传递或存储过程中没有被篡改、重组或延迟。

在认证体制中，通常存在一个可信的第三方，用于仲裁、颁发证书和管理某些机密信息。

公钥密码技术可以提供网络中信息安全的全面解决方案。

采用公钥技术的关键是如何确认某个人真正的公钥。

在PKI中，为了确保用户及他所持有密钥的正确性，公开密钥系统需要一个值得信赖而且独立的第三方机构充当认证中心(CA)，来确认声称拥有公开密钥的人的真正身份。

要确认一个公共密钥，CA首先制作一张“数字证书”，它包含用户身份的部分信息及用户所持有的公开密钥，然后CA利用本身的私钥为数字证书加上数字签名。

任何想发放自己公钥的用户，可以去认证中心(CA)申请自己的证书。

CA中心在认证该人的真实身份后，颁发包含用户公钥的数字证书，它包含用户的真实身份、并证实用户公钥的有效期和作用范围(用于交换密钥还是数字签名)。

其他用户只要能验证证书是真实的，并且信任颁发证书的CA，就可以确认用户的公钥。