电子商务安全教学资料-第6章课后习题答案.docVIP

第6章试题答案 1、电子商务认证技术在电子商务中的重要性。 传统电子商务中交易双方面对面交易，可以保证通过肉眼识别双方的身份，并且由于交易的面对面特性，任何非法的第三方均不可能插足去干扰交易的过程，同时面对面交易的过程是物理过程，不存在信息传输带来的不安全问题。 而电子商务与传统商务最大的不同是双方用户不能面对面的进行电子交易，因此，电子商务中必须采用一定的技术手段来检验，保证在交易过程中能够实现身份认证、安全传输、不可否认性、数据一致性。这就需要将当前的网络安全认证技术应用到电子商务中。 认证技术是保证电子商务安全的重要技术之一。认证分为实体认证和信息认证。这里的实体是指个人、客户程序或服务程序等参与通信的实体。实体认证是指对信息体进行认证，以决定该信息的合法性。信息认证发生在信息接受者接收到信息后，使用相关技术对信息进行认证，以确认信息的发送者以及信息在传输过程中是否被修改、替换等。 2、身份认证的概念及分类。 概念:身份认证是指计算机及网络系统确认操作者身份的过程。也就是证实真实身份与其所声称的身份是否符合的过程。 分类: 从是否使用硬件，可以分为软件认证和硬件认证； 从认证需要验证的条件，可以分为单因子认证和双因子认证； 从认证信息，可以分为静态认证和动态认证。 3、身份认证的主要途径。 （1）口令认证: 口令认证采用用户名、密码、个人识别码（PIN）、口令等来识别。口令认证必须具备一个前提：请求认证者必须具有一个ID，该ID在认证的用户数据库（该数据库必须包括ID和口令）中必须是唯一的。基于口令认证的技术有五种。 1）口令加密技术 2）电子时间戳 3）零知识证明技术 4）提问/应答技术 5）动态口令技术 (2)智能卡认证 (3)USB Key认证 1）交互操作存在漏洞 2）无法防止数据被篡改 (4)生物识别认证 4、报文认证的概念及分类。 概念 在网络环境中，攻击方可能发起一下攻击：冒充发送方发送一条报文，冒充接收方发送收到或未收到报文的应答，插入、删除或修改报文内容，修改报文顺序以及延时或重播报文等。针对这种不安全因素，对报文的真实性、安全性等做的认证即是报文认证。 分类 (1) 报文源的认证 (2) 报文宿的认证 (3) 报文内容的认证 (4) 报文实践性的认证 5、数字签名的过程。 (1)信息发送者使用单向散列函数(Hash算法)对信息生成信息摘要。 (2)信息发送者使用自己的私钥签名信息摘要。 (3)信息发送者把信息本身和已签名的信息摘要一起发送出去。 (4)任何接收者通过使用与信息发送者使用同一个单向散列函数对接收的信息生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身份和信息是否被修改过用户在提交定单和个人账号信息时，同时生成一个私钥和证书，即可以对传递的重要数据需要签署的信息进行数字签名，然后把该账号连同生成的证书和对该文件的签名文件作为一个签名文件包传输给接受方。 　　而接受方获得发送方的签名账号信息后，可以首先到某个可以信任的CA中心去验证该证书的合法性，来确定发送方所宣称的身份是否可信。如果可信则可以用证书中所包含的公钥来验证传输来的文件是否为发送方所签署的。 　　接受方得到发送方的签名文件包后，执行的操作与签名相仿，不同的是需要用证书（也许需要通过某个CA的验证)里的公钥初始化签名对象，最后调用verify(signature)来验签，这种方法便于用户的扩展和重用代码。公钥基础设施公钥基础设施PKI 的原理，顾名思义PKI 是基于公钥密码技术的。要想深刻理解PKI的原理，就一定要对PKI 涉及到的密码学知识有比较透彻的理解。对于普通的对称密码学，加密运算与解密运算使用同样的密钥。 通常,使用的加密算法比较简便高效，密钥简短，破译极其困难，由于系统的必威体育官网网址性主要取决于密钥的安全性，所以，在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。正是由于对称密码学中双方都使用相同的密钥，因此无法实现数据签名和不可否认性等功能。而与此不同的非对称密码学，具有两个密钥，一个是公钥一个是私钥，它们具有这种性质：用公钥加密的文件只能用私钥解密，而私钥加密的文件只能用公钥解密。公钥顾名思义是公开的，所有的人都可以得到它；私钥也顾名思义是私有的，不应被其他人得到，具有唯一性。这样就可以满足电子商务中需要的一些安全要求。比如说要证明某个文件是特定人的，该人就可以用他的私钥对文件加密，别人如果能用他的公钥解密此文件，说明此文件就是这个人的，这就可以说是一种认证的实现。还有如果只想让某个人看到一个文件，就可以用此人的公钥加密文件然后传给他，这时只有他自己可以用私钥解密，这可以说是必威体育官网网址性的实现。基于这种原理还可以实现完整性。这就是PKI 所依赖的核心思想，这部分对于深刻把握PKI 是很重