电子商务安全期末考试题附答案.docx

电子商务安全期末考试题附答案.docx

《电子商务安全期末考试题附答案.docx》由会员分享，可在线阅读，更多相关《电子商务安全期末考试题附答案.docx（11页珍藏版）》请在冰豆网上搜索。

电子商务安全期末考试题附答案

电子商务安全期末考试题附答案

电子商务安全期末考试A卷

一、选择题（单选）

下列选项中属于双密钥体制算法特点的是（C）

算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高

实现数据完整性的主要手段是（D）

对称加密算法B.非对称加密算法C.混合加密算法D.散列算法

【哈希函数压缩函数消息摘要杂凑函数数字指纹】

数字签名技术不能解决的安全问题是（C）

第三方冒充B.接收方篡改C.传输安全

4.病毒的重要特征是（B）

隐蔽性B.传染性C.破坏性D.可触发性

在双密钥体制的加密和解密过程中，要使用公共密钥和个人密钥，它们的作用是（A）

公共密钥用于加密，个人密钥用于解密B.公共密钥用于解密，个人密钥用于加密C.两个密钥都用于加密D.两个密钥都用于解密

在一次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采用的安全手段是（B）

双密钥机制B.数字信封C.双联签名D.混合加密系统

一个密码系统的安全性取决于对（A）

密钥的保护B.加密算法的保护C.明文的保护D.密文的保护

在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于（A）包过滤型B.包检检型C.应用层网关型D.代理服务型

电子商务的安全需求不包括（B）[机密性、完整性、认证性、有效性、匿名性、不可抵赖]

可靠性B.稳定性C.真实性D.完整性

SSL握手协议包含四个主要步骤，其中第二个步骤为（B）

客户机HelloB.服务器HelloC.HTTP数据流D.加密解密

SET安全协议要达到的目标主要有（C）【机密性、保护隐私、完整性、多方认证、标准性】三个B.四个C.五个D.六个

下面不属于SET交易成员的是（B）

持卡人B.电子钱包C.支付网关D.发卡银行

X205证书包含许多具体内容，下列选项中不包含在其中的是（C）

版本号B.公钥信息C.私钥信息D.签名算法

身份认证中的证书由（D）

政府机构B.银行发行C.企业团体或行业协会D.认证授权机构发行

目前发展很快的基于PKI的安全电子邮件协议是（A）

A.S/MIMEB．POPC．SMTPD.IMAP

选择题（多选）

下列属于单密钥体制算法的有（AC）

DESB.RSAC.AESD.SHA

下列公钥——私钥对的生成途径合理的有（BCD）

网络管理员生成B.CA生成

C.用户依赖的、可信的中心机构生成

D.密钥对的持有者生成

防火墙不能解决的问题包括（BCE）

非法用户进入网络B.传送已感染病毒的文件或软件

C.数据驱动型的攻击

D.对进出网络的信息进行过滤

E．通过防火墙以外的其它途径的攻击

PKI技术能有效的解决电子商务应用中的哪些问题（ABC）全选

A.机密性

B.完整性

C.不可否认性D．存取控制

E．真实性

20.SET要达到的主要目标有（ACDE）

A.信息的安全传输

B.证书的安全发放

C.信息的相互隔离

D.交易的实时性

E.多方认证的解决

填空：

1.SSL可用于保护正常运行于TCP上的任何应用协议，如_HTTP__、__FTP_、SMTP或Telnet的通信。

2.VPN利用__隧道_协议在网络之间建立一个_虚拟__通道，以完成数据信息的安全传输。

3.PKI提供电子商务的基本__安全_需求，是基于_数字证书__的。

4.密码技术是保证网络、信息安全的核心技术。

信息在网络中传输时，通常不是以_明文_而是以__密文_的方式进行通讯传输的。

5.现在广为人们知晓的_传输控制_协议（TCP）和_网际__协议（IP），常写为TCP/IP。

6.数字签名分为确定和随机两种，其中RSA签名属于确定性签名，ELGamal签名属于

随机签名。

简答：

1.电子商务系统可能受到的攻击类型【粗体字为推荐答案】

答：

（1）系统穿透：

XX人同意，冒充合法用户接入系统，对文件进行篡改、窃取机密信息非法使用资源等。

（2）违反授权原则：

一个被授权进入系统做一件事的用户，在系统中做XX的其他事情。

（3）植入：

在系统穿透成功后，入侵者在系统中植入一种能力，为其以后攻击系统提供方便条件。

如注入病毒、蛀虫、特洛伊木马、陷阱等来破坏系统正常工作。

（4）通信监视：

这是一种在通信过程中从信道进行搭线窃听的方式。

通过搭线和电磁泄漏等对机密性进行攻击，造成泄密。

（5）通信干扰：

攻击者对通信数据或通信数据进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间，注入伪造信息。

（6）中断：

对可用性进行攻击，破坏系统中的硬盘、硬件、线路等，使系统不能正常工作，破译信息和网络资源。

（7）拒绝服务：

指合法接入信息、业务或其他资源受阻。

（8）否认：

一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意还是无意，一旦出现，再解决双方的争执就不容易了。

（9）病毒：

由于Internet的开放性，病毒在网络上的传播比以前快了许多，而Internet的出现又促进了病毒复制者间的交流，使新病毒层出不穷，杀伤力也大有提高。

（10）钓鱼网站。

2.PKI作为安全基础设施，能为用户提供哪些服务？

答：

（1）认证；（1分）

（2）数据完整性服务；（1分）

（3）数据保密性服务；（1分）

（4）不可否认性服务；（1分）

（5）公证服务。

五.论述：

1.双钥密码体制加密为什么可以保证数据的机密性和不可否认性？

答：

（1）双钥密码体制加密时有一对公钥和私钥，公钥公开，私钥由持有者保存；

（2）公钥加密后的数据只有持有者的私钥能解开，这样保证了数据的机密性；

（3）经私钥加密后的数据可被所有具有公钥的人解开，由于私钥只有持有者一人保存，这样就证明信息发自私钥持有者，具有不可否认性。

2.论述数字签名的必要性（对比传统签名，数字签名解决了什么问题）

答：

（1）传统手书签名仪式要专门预定日期时间，契约各方到指定地点共同签署一个合同文件，短时间的签名工作需要很长时间的前期准备工作。

（3分）这种状况对于管理者是延误时机，对于合作伙伴是丢失商机，对于政府机关是办事效率低下。

（2分）

（2）电子商务时代各种单据的管理必须实现网络化的传递。

（2分）保障传递文件的机密性应使用加密技术，保障其完整性则用信息摘要技术，而保障认证性和不可否认性则应使用数字签名技术。

（3分）

（3）数字签名可做到高效而快速的响应，任意时刻，在任何地点，只要有Internet就可以完成签署工作。

（3分）

（4）数字签名除了可用于电子商务中的签署外，还可用于电子办公、电子转帐及电子邮递等系统。

（2分）

公钥证书包括的具体内容：

答：

（1）版本信息；

（2）证书序列号；

（3）CA使用的签名算法；

（4）有效期；

（5）发证者的识别码；

（6）证书主题名；

（7）公钥信息；

（8）使用者Subject；

（9）使用者识别码；

（10）额外的特别扩展信息；

（1）版本信息；

（2）证书序列号；

（3）CA使用的签名算法；

（4）有效期；

（5）发证者的识别码；

（6）证书主题名；

（7）公钥信息；

（8）使用者Subject；

（9）使用者识别码；

（10）额外的特别扩展信息；

3.防火墙的基本组成有（ABCDE）

A．安全操作系统B．过滤器C．网关

D．域名服务E．E-mail处理

4.在认证机构介入的网络商品销售的过程中，认证中心需要对参与网上交易的（ABD）进行身份认证。

A．消费者B．商家

C．邮政系统D．银行

5.SET要达到的主要目标有（ACDE）

A.信息的安全传输

B.证书的安全发放

C.信息的相互隔离

D.交易的实时性

E.多方认证的解决

6.一个完整的商务活动，必须由（ABCD）几个流动过程有机构成。

A．信息流B．商流C．货币流D．物流

三、填空题（每个空格2分，共20分）

1.散列函数是将一个长度不确定的输入串转换成一个长度确定的输出串。

2.计算机病毒按破坏性分为良性病毒和恶性病毒。

3.对于商家和顾客的交易双方，SSL协议有利于商家而不利于顾客。

4.要保证证书是有效的，必须要满足这样一些条件：

一是证书没有超过有效期，二是密钥没有被修改，三是证书不在CA发行的无效证书清单中。

5.数字签名技术的主要功能是：

保证信息传输过程中的完整性，对发送者的身份认证，防止交易中的抵赖发生。

6.数字签名分为两种，其中RSA和Rabin签名属于确定性_签名，ELGamal签名属于_随机式__签名。

三、简答题（每题10分，共20分）

1.简述防火墙的基本组成部分。

答：

（1）安全操作系统；

﹙2）过滤器；

﹙3﹚网关；

﹙4﹚域名服务器；

﹙5﹚E－mail处理；

2.简述对称密钥体制的基本概念。

答：

对称加密又叫秘密秘钥加密，其特点是数据的发送方和接收方使用的是同一把秘钥，即把明文加密成密文和把密文解密成明文用的是同一把秘钥。

加密过程为：

发送方用自己的秘密秘钥对要发送的信息进行加密。

发送方将加密后的信息通过网络传送给接收方。

接收方用发送方进行加密的那把秘钥对接收到的加密信息进行解密，得到信息明文。

3.SET与SLL的区别与联系

答：

联系：

采用的都是公开秘钥加密法、私有秘钥加密法、数字摘要等加密技术与数字证书等认证手段。

都是应用于电子商务用的网络安全协议。

都能保证交易数据的安全性、保密性和完整性。

区别：

1）SSL与SET两种协议在网络中的层次不一样，SSL是基于传输层的协议，SET则是基于应用层的协议。

2）SSL加密所有的信息，而SET加密部分敏感信息，SET的安全性更高一些

3）SSL主要应用在浏览器上，而SET则主要应用于信用卡。

4）SSL速度快，成本低，SET速度慢，成本高。

四、论述题（每小题15分，共30分）

1.论述对称加密和非对称密钥体制的原理及各自特点。

解释在加密过程中为何常常将二者结合使用。

答：

对称加密（也称私钥加密）体制基本思想是，加密和解密均采用同一把秘密钥匙，在双方进行通信的时候，必须都要获得这把钥匙并保持钥匙的秘密，当给对刚发送信息的时，用自己的加密秘钥进行解锁，而在接收方收到数据后，用对方所给的密钥进行解密。

【特点】算法简单、加解密速度快、算法公开、计算量小、加密速度快、加密效率高、安全性高、。

缺点是密钥太多、密钥的产生、管理、分发都很复杂；不能实现数字签名；

非对称密钥加密（也称公钥加密）过程：

这种秘钥是成对使用的，每个用户都有一对选定的密钥，一个公开，另一个由用户安全拥有，当给对方发送信息的时候，用对方的公开密钥进行加密，而在接收方收到数据后，用自己的秘密密钥进行解密。

具体过程；

（1）用户生成一对密钥并将其中的一个作为公钥向其他用户公开；

（2）发送方使用该用户的公钥对信息进行加密后发送给接收方；（3）接收方利用自己保存的私钥对加密信息进行解密，接收方只能用自己的私钥解密由其公钥加密后的任何信息。

[特点]算法复杂、加解密速度慢、密钥管理简单、可用于数字签名。

正因为公开、秘密秘钥加密各有所长，所以将两者结合起来，形成混合加密方法。

将对称加密体制和非对称加密体制二者联合使用，可以解决电子商务所要求的机密性、真实性、不可否认性等安全要素，达到扬长避短的目的。

2.试述RSA加密算法中密钥的计算方法，并根据该方法计算：

（为计算方便）取p=3，q=5，e=3时的一组公式—私钥对。

如果明文为7，计算密文。

答：

（1）计算方法：

①独立选取两个素数:

p、q；

②计算n=pq;

③计算小于n并且与n互质的整数的个数Ø（n）=（p－1）（q－1）;

④随机选取加密密钥e；要求e满足1≤e≤Ø