安全支付复习提纲参考答案.docVIP

《电子商务安全与支付》复习提纲 08电商3班 简述电子商务安全面临的主要问题。 交易环境的安全性：指电子商务体系所采用的软硬件环境的安全，包括系统平台、网络通信、数据以及应用软件的安全。 交易对象的安全性：指电子交易涉及的持卡人（客户）、发卡机构、商家、受卡行和支付网关等主体对象的真实性和可信性。 交易过程的安全性：指各交易对象进行网上交易的可信性和不可抵赖性。 支付的安全性：要为电子货币的应用和发展铺平道路。 对销售者而言，他面临的安全威胁主要有哪些？ 中央系统安全性被破坏：入侵者假冒成合法用户来改变用户数据（如商品送达地址）、解除用户订单或生成虚假订单。 竞争者检索商品递送状况：恶意竞争者以他人的名义来订购商品，从而了解有关商品的递送状况和货物的库存情况。 客户资料被竞争者获悉。 被他人假冒而损害公司的信誉：不诚实的人建立与销售者服务器名字相同的另一个WWW服务器来假冒销售者。 消费者提交订单后不付款。 虚假订单。 获取他人的机密数据。 对消费者而言，他面临的安全威胁主要有哪些？ 虚假订单：一个假冒者可能会以客户的名字来订购商品，而且有可能收到商品，而此时客户却被要求付款或返还商品。 付款后不能收到商品：在要求客户付款后，销售商中的内部人员不将订单和钱转发给执行部门，因而使客户不能收到商品。 机密性丧失：客户有可能将秘密的个人数据或自己的身份数据（如PIN、口令等）发送给假冒销售商的机构，这些信息也可能会在传递过程中被窃取。 拒绝服务：攻击者可能向销售商的服务器发送大量的虚假订单来穷竭它的资源，从而使合法用户不能得到正常的服务。 网上进行电子交易的5个安全性要求。 真实性要求：从形式上看，电子交易与传统商务活动的不同就在于参加交易的各方不是面对面交易，而是在通过网络连接起来的虚拟场所进行活动，因此必须对交易各方的身份进行检验，保证参加电子交易的实体是真实的、可承担责任的，防止网络诈骗的发生。 有效性要求：必须保证电子商务活动所传播的数据在确定的时间和确定的地点是有效的。 机密性要求：必须保证交易信息在存取和传输过程中不被泄露给非授权的人或实体。 完整性要求：电子交易各方信息的完整性是电子商务的基础。必须防止对信息的随意生成、修改和删除，同时要防止数据传输过程中的信息丢失和重复并保证信息传送次序的统一。 不可抵赖要求：建立有效的责任机制，防止实体否认其行为。电子商务活动中，必须为参与交易的对象和实体提供可靠的标识，同时要各方都信任的权威机构对交易过程进行记录，以防任何一方出现抵赖行为。 对称密钥算法和非对称密钥算法的原理和特点。 原理：对称密钥体制是指加密与解密采用同样的密钥，通信双方共享密钥和算法。 公钥密钥体制（非对称密钥体制）是指加密密钥不同于解密密钥，并且解密密钥不能根据加密密钥计算出来。 对称密钥体制的优点是加密解密的速度快。缺点是通信双方共享密钥和算法，当用户数增加时，其密钥分发、管理越来越困难，同时对称密钥体制不能满足日益膨胀的数字签名的需要。 公钥加密体制的优点是很好地解决了密钥分发和管理的问题，不需要经安全渠道传递密钥，简化了密钥关里，更能满足数字签名的需要。缺点是加密和解密的效率较低。DES算法为密码体制中的对称密码体制。 明文按64位进行分组, 密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位， 使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。 分组比较短、密钥太短、密码生命周期短、运算速度较慢。① 作为分组密码，DES的加密单位仅有64位二进制，这对于数据传输来说太小。 ② 密钥仅有56位二进制未免太短，各次迭代中使用的密钥是递推产生的，这种相关必然降低了密码体制的安全性。 ③ 实现替代函数所用的S盒的设计原理尚未公开，其中可能留有隐患。 （2）AES算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥，并且用128位（16字节）分组加密和解密数据。与公共密钥加密使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。什么是数字签名，它的基本要求有哪些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪④第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。