四、名词解释题1.计算上安全：如果一个密码体制对于拥有有限资源的破译者来说是安全的，则称这样的密码体制是计算上安全的，计算上安全的密码表明破译的难度很大。

2.SSL协议：是基于TCP/IP的安全套接层（Secure Sockets Layer）协议，由Netscape 开发，是服务器与客户机之间安全通信的加密机制，用一个密钥加密在SSL连接上传输的数据。

3.身份证明系统：身份证明系统由三方组成，一方是出示证件的人，称做示证者，由称申请者，提出某种要求；另一方为验证者，检验示证者提出的证件的正确性和合法性，决定是否满足其要求；第三方示可信赖者，用以调解纠纷。

4.PKI：PKI即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等，密码服务及所必要的密钥和证书管理体系。

5.单钥密码体制：单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。

使用单钥密码体制时，通信双方A、B必须相互交换密钥，当A发送信息给B时，A 用自己的加密密钥进行加密，而B在接收到数据后，用A的密钥进行解密。

单钥密码体制又称做秘密密钥体制或对称密钥体制。

五、简答题1.在交易双方的通信过程中如何实现源的不可否认性？（1）源的数字签名；（2）可信赖第三方的数字签名；（3）可信赖第三方对消息的杂凑值进行签名；（4）可信赖第三方的持证；（5）线内可信赖第三方；（6）上述方法的适当组合。

2.电子商务安全的中心内容是什么?（1）商务数据的机密性；（2）商务数据的完整性；（3）商务对象的认证性；（4）商务服务的不可否认性；（5）访问控制性；3.简述SSL的体系结构。

SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。

（1）SSL记录协议，定义了信息交换中所有数据项的格式。

其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层——应用层传来的数据；附加数据是加密后所产生的附加数据。

（2）更改密码规格协议由单个消息组成，只有一个值为1的单字节。

其目的是使未决状态拷贝为当前状态，更新用于当前连接的密码组。

（3）SSL警报协议用于传送SSL的有关警报。

（4）SSL握手协议用于客户/服务器之间相互认证，协商加密和MAC算法，传送所需要的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。

4.简述双钥密码体制的基本概念及特点。

双钥密码体制又称作公钥密码体制或非对称加密体制，这种加密法在加密和解密过程种要使用一对密钥，一个用于加密，一个用于解密。

即通过一个密钥加密的信息，只有使用另一个密钥才能解密。

这样每个用户有两个密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。

用户将公共密钥交给发送方或公开，信息发送者使用接收人的公开密钥加密的信息只有接收人才能解密。

双钥密码体制算法的特点是：（1）适合密钥的分配和管理。

（2）算法速度慢，只适合加密小数量的信息。

5.试比较SSL协议和SET协议之间的差别。

（1）在使用目的和场合上，SET主要用于信用卡交易，传递电子现金，SSL主要用于购买信息的交流，传递电子商贸信息；（2）在安全性方面，SET要求很高，SSL要求很低；（3）在交易对象的资格方面，SET要求所有参与者必须先申请数字证书来识别身份，SSL通常只要求商家的服务器认证；（4）在实施费用方面，SET较高，SSL较低；（5）在使用情况方面，SET普及率较低，SSL较高。

6．证书有哪些类型？（1）个人证书：证实客户身份和密钥所有权。

在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。

用户可以向一个CA申请，经审查后获得个人证书。

（2）服务器证书：证实服务器的身份和公钥。

当客户请求建立SSL连接时，服务器把服务器证书传给客户。

客户收到证书后，可以检查发行该证书的CA是否应该信任。

对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。

（3）邮件证书：证实电子邮件用户的身份和公钥。

一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。

（4）CA证书：证实CA身份和CA的签名密钥。

在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。

CA证书允许CA发行其他类型的证书。

六、论述题试述公钥证书的申请和吊销的过程。

（1）公钥证书的申请过程用户申请证书要向CA注册，填证书申请表，建立起注册者与CA的关系，注册者向CA提供必要的有关信息。

在Internet环境下，可以通过联机实现申请。

CA需要对注册者进行主体认证，确保公钥的持有者身份和公钥数据的完整性。

持有者身份的确认是重要的一环，可以联机方式确认，必要时，通过脱机以传统方式进行。

在多级安全系统中，通过认证可以决定申请者生成和发放何种等级的证书。

可以采用多种技术实现：①个人出面方式，这是常用的可靠认证身份的方式；②出示身份证件，通过身份证件，供CA审查实现对申请者的认证。

当CA认证申请者的身份后，按以下步骤生成证书：①CA检索所需要的证书内容信息；②CA证实这些信息的正确性后；CA用其签名密钥对证书签名；③向发卡银行申请信用卡SET认证服务；④将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；⑤CA将证书送入证书数据库，向公用检索业务机构公布；⑥CA将证书存档；⑦CA将证书生成过程中的一些细节记入审计记录中。

（2）公钥证书吊销过程公钥——私钥对在证书发行时规定了失效期。

其值由CA根据安全策略来定。

此外如发现或怀疑私钥泄露，或检测出证书已被篡改，则CA可以提前吊销或暂停使用。

注册用户可以向CA申请吊销其证书，CA通过认证核实，即可履行吊销职责，并通知有关组织何个人，注册用户的上级等也可以申请吊销用户证书。

对于已吊销的证书，CA要将它们记入证书吊销表中，并向可能的用户公布，以供查询。

CRL中应包括名称、发布时间、已吊销证书号、吊销时戳、CA签名等。

用户在接收一个公钥证书时，不仅要对其进行认证，同时还要检查它是否被列入最新的CRL中。

CRL吊销的方式有：①广播。

CA通过广播方式公布CRL，即可通过E-mail或称为“推式”的安全查询方式。

②立即吊销。

定期吊销表方式有一定延迟，立即吊销可以避免此类风险。

它通过实时吊销检验或联机状态检验，使用公钥的系统能够和CA的服务器联络，以肯定所用证书的合法性。

题前有#号为重点题，所有资料仅供参考一、名词解释#1、防火墙：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。

它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。

#2、数字签名：是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。

#3、数字证书：提供了一种在Internet 上验证身份的方式，钥的文件#4、加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术传送，到达目的地后再用相同或不同的手段还原（解密）。

5入侵检测技术：是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

6、PKI：公共密钥基础设施是一种集中化的、易于管理的网络安全方案。

可以通过一个基于数字认证的框架处理所有的数据加密和数字签名工作。

7、电子商务标准的制定原则：全面性、系统性、先进性、预见性、可扩充性8、包过滤型防火墙：在路由器上实现。

包过滤防火墙通常只包括对源和目的IP地址及端口的检查。

包过滤防火墙的安全性是基于对包的IP地址的校验。

包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。

9、物理隔离技术：物理隔离产品主要有物理隔离卡和隔离网闸。

物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。

物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。

其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。

物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。

物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力10、入侵检测系统：入侵检测系统帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的迹象。

11、对称加密技术：在对称加密技术中，加密和解密过程采用一把相同的密钥，通信时双方都必须具备这把密钥，并保证密钥不被泄露。

通信双方先约定一个密钥，发送方使用这一密钥，并采用合适的加密算法将所要发送的明文转变为密文。

密文到达接收方后，接收方用解密算法，并把密钥作为算法的一个运算因子，将密文转变为原来的明文12、公钥加密技术：公钥密码体制对数据进行加密解密时使用一对密码，其中一个用于加密，而另外一个用于解密，这两个密码分别称为加密密钥和解密密钥，也称为公钥和私钥，它们在数学上彼此关联。

加密密钥可以向外界公开，而解密密钥由自己保管，必须严格保密13、“电子签字”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。

14、电子支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金、信用卡、借记卡、智能卡)等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付；是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。

15、电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入收益方开户银行，以支付给收益方的一系列转移过程。

我国给出的定义是：电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。

16、电子现金，是一种以电子数据形式流通的，能被客户和商家普遍接受的，通过互联网购买商品或服务时可以使用的货币。

电子现金是现实货币的电子化或数字模拟，它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。

信用卡使用流程中的参与者主要包括发卡行、收单行、持卡人、商家及信用卡组织。