1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。

2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。

3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。

4.PKI:公钥基础设施通常简称PKI。

所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。

特点：广泛性、技术难度不高、危害性大。

7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。

8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。

9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。

置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。

乘积密码：是以某种方式连续执行两个或多个密码交换。

10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。

2.电子商务面临的安全威胁：中断、截获、篡改、伪造、抵赖。

3.风险管理定义和过程：风险管理由风险评估、风险处理、基于风险的决策组成。

风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定企业的风险，并判断风险的优先级，建议处理风险的措施。

基于风险评估的结果，风险处理过程将考察企业安全措施的成本，选择合适的方法处理风险，将风险控制在可接受的程度。

基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内，基于这一判断，管理者将作出决策，决定是否进行某项电子商务活动。

4.安全等级和对应的操作系统：类别有ABCD，级别和对应的操作系统分别为A、B1、B2、B3、C1 （Windows 9x系列）、C2 （Windows 2000）、D（Windows 2003及Unix、MS-DOS）。

5.数据加密标准DES：DES是一种分组密码算法，它将明文从算法的一端输入，将密文从另一端输出。

由于采用的是对称密钥，因此加密和解密使用相同的算法和密钥，并且加密和解密算法是公开的，系统的安全性完全依赖于密钥的保密。

6.DES加密过程：DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据7.异常检测与误用检测的区别：异常检测假设所有的入侵行为和正常行为不同，入侵是异常行为的子集。

异常检测系统通过监控程序监控用户的行为，将当前主题的活动情况与用户轮廓进行比较，用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。

误用检测是对已知的入侵行为和系统漏洞进行分析，研究入侵行为过程和系统漏洞的特征，对这些已知的攻击或入侵做出正确性的描述，用一种模式表示出来，形成入侵行为特征库。

8.SSL协议的工作原理：SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息，来实现有关安全特性的审查。

提供浏览器和服务器之间的鉴别和安全通信.提供身份认证、保密性、完整性。

SSL分为两层：①SSL握手协议是客户和服务器开始通信时必须进行的协议，握手协议有两方面的作用，其一是验证对方的身份，其二是协商在以后传输加密数据时要使用的会话密钥，以及求MAC时所用的密钥。

②SSL记录协议将数据流分割成一系列的片段并对这些片段进行加密来传输，接收方对每条记录单独进行解密和验证。

这种方案使得数据一经准备好就可以从连接的一端传输到另一端，并在接收到时即刻加以处理。

SSL工作过程：（1）浏览器请示与服务器建立安全会话；（2）浏览器与web服务器交换密钥证书以便双方相互确认；（3）web服务器与浏览器协商密钥位数（40位或128位），客户机提供自己支持的所有算法清单，服务器选择他认为最有效的密钥生成算法；（4）浏览器将产生的会话密钥用web服务器的公钥加密传给web服务器；（5）web服务器用自己的私钥解密；（6）web服务器和浏览器用会话密钥加密和解密，实现加密传输。

9.SET（安全电子交易协议）的工作流程：①初始请求②初始应答③购物请求④商家发出支付授权请求⑤支付网关发出支付授权请求⑥发卡银行对支付授权请求应答⑦支付网关向商家发送支付授权应答⑧商家向持卡人发送购物应答⑨持卡人接收并处理商家订单确认信息（10）商家发货并结算10.SSL与SET比较：SET是应用于Internet上的以信用卡为基础的安全电子交易协议，是针对信用卡在Internet上如何安全付款而制订的交易应用协议，而SSL仅仅是一个数据传输的安全协议，它只是为了确保通信双方信息安全传输而制订的协议。

也就是说，SET是电子商务交易的专用协议，而SSL只是保证Web安全的一个通用协议。

①用户接口：SSL协议已经被浏览器和Web服务器内置，无需安装专门的SSL软件；而SET协议中客户端需要安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件；②处理速度：SET非常复杂、庞大，处理速度慢。

而SSL协议简单得多，处理速度比SET快；③认证要求：SSL V3.0可以通过数字证书和签名实现浏览器和服务器之间的相互身份认证，但不能实现多方认证，而且SSL中只有对服务器的认证是必须的，对客户端的认证是可选的。

SET协议对身份认证的要求较高，所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题；④安全性：SET由于采用了公钥加密、消息摘要和数字签名可以确保交易信息的完整性、保密性、可鉴别性和不可否认性，且SET采用了双重签名来保证各参与方信息的相互隔离。

SSL协议虽然也采用了公钥加密、消息摘要、MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能但缺乏一套完整的认证体系，不能提供抗抵赖功能；⑤协议层次和功能：SSL属于传输层的安全技术规范，不具备电子商务的商务性、协调性和集成性功能，而SET协议未与应用层，不尽规范了整个电子商务活动的流程，而且制定了严格的加密和认证标准，具有商务性、协调性和集成性功能。

11.会话密钥的分配：①密钥由A选取并通过物理手段发送给B；②密钥由第三方选取并通过物理手段发送给A和B；③如果A、B事先已有一密钥则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方；④如果A和B与第三方C分别有一保密信道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。

12.消息认证的方法：消息认证是一个过程，用来验证接收消息的真实性和完整性，同时还可以用来验证消息的顺序性和时间性。

方法有（1）利用对称加密体制实现消息认证（2）利用公钥加密体制实现消息认证（3）利用散列函数实现消息认证。

13.如何保密通信且实现身份认证：①先由甲方生成密钥k，并用自己的私钥对k进行加密生成c1②甲再用乙方的公钥对c1进行加密生成c2，并把c2和密文c发送给乙方③乙方先用自己的私钥把c2解密为c1④乙再用甲方的公钥把c1解密为k，乙方再用对称加密算法的密钥k解密最初的c，解出M。

14.利用数字证书进行身份认证：（1）单向认证：①甲产生数据消息M，并用自己的证书对应的私钥加密该消息生成密文ESKA（M），把密文和证书都发给乙②乙收到后，先验证证书的真伪与有效性，然后用甲方证书中的公钥解密密文；如解密成功则实现了了身份认证与完整性。

（2）双向认证：①完成以上2部实现单向认证②乙产生一个随机数R并生成一个消息，用自己的证书对应的私钥加密该消息，得到密文Db (Mb)，把密文和自己的证书发给甲③甲收到后，先验证证书真伪、有效性，证书验证通过后，甲用乙的公钥解密密文，解密成功则实现了身份认证与完整性。

（3）三向认证：随机数（r A、r B）时间戳（t A t B）证书（A、B）会话秘钥（K ab）签名（signData）①甲给乙，t A，r A，B,signData，E KUB(K ab)②乙给甲，t B，r A，r B，A,signData，E KUA(K ab)③甲给乙，r B15.访问控制策略：访问控制策略在系统安全策略级上表示授权，也就是说决定对访问如何控制并决定如何访问。

访问控制的实现依赖于访问控制策略的实现。

可分为自主访问控制、强制访问控制、基于角色的访问控制。

①不能防范不经过防火墙的攻击②不能防范来自内部人员的恶意攻击③不能阻止被病毒感染的程序或文件的传递④不能防止数据驱动式攻击⑤防火墙是被动消极的防御，无法抵御新的攻击方式18.RSA工作原理：①选择大素数：独立的选取两大素数p和q，计算两者之积n=p×q计算n的欧拉函数φ（n）=φ（p）×φ（q）= (p-1)×(q-1)，计算完后，n可以公开；②产生公钥和私钥：随机选一整数e(1≤e≤φ（n）,φ（n）与e互素)作为某用户的公钥。

求出e的乘法逆元，将该结果作为私钥d，即d*e≡1 mod（φ（n））。

显然公钥和私钥是成对出现的，但私钥是保密的，公钥是公开的；③密钥的发布：将d保密，（d，n）作为私钥，将e公开，（e，n）作为公钥。

为了安全这时可销毁p，q；④加密的步骤：加密时首先将明文比特串分组，使得每个分组对应的十进制数小于n，即分组长度小于log2n。

然后对每个明文分组m，做加密运算c=E(m)=me mod n；⑤解密的步骤：对密文分组c的解密运算为m=D(c)=cd mod n。