2011-安全支付复习材料(作弊必备).docVIP

《电子商务安全与支付》复习提纲 服务器面临的安全威胁主要有哪些？P5-7 对WWW服务器的安全隐患。 对数据库的安全隐患。 公共网关接口（CGI）程序、asp、php、jsp、pl等其他工具程序的安全隐患。 服务器所运行程序的安全隐患。 商务服务器的安全解决方案？P7-8 访问控制和认证 操作系统控制 为电子商务服务器设置防火墙。 电子商务交易的安全隐患。P11 信息的截获和窃取，如消费者的银行卡号、密码等。 信息的篡改，如更改资金划拨方向等。 信息的假冒，如伪造电子邮件和假冒他人身份等。 交易抵赖，在现实生活中经常发生的恶意抵赖同样会在网上发生。 电子商务的安全要素。 P11 有效性，保密性，完整性，真实性，可靠性，可用性，可控性，不可抵赖性。 对称密钥算法和非对称密钥算法的原理和特点。P40 对称密钥算法：加密密钥和解密密钥一样? 非对称密钥密码体制（公开密钥密码体制）最大的特点是采用两个密钥，将加密和解密分开，一个公开作为加密密钥，一个为用户专用作为解密密钥，通信双方无须事先交换密钥就可以进行保密通信。 而要从公钥和密文分析出明文和密钥在计算上是不可行的。若以公钥作为加密密钥，以用户专用私钥作为解密密钥，则可实现多个用户加密的消息只能由一个用户解读，可用于保密通信；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，则可以实现由一个用户加密的消息而使多个用户解读，可用于数字签字。 DES、AES算法的基本原理和特点。P23-33 DES算法：算法输入的是64比特的明文，在64比特的密钥控制下，通过初始换位IP变成T0=IP(T)，再对T0进行分块，左边的32位记为L0，右边的32位记为R0，经过16次的加密变换，最后通过逆初始变换（也称最后变换）得到64比特的密文。 优点：运算简单，速度快。2.加密解密密钥相同。3.密钥生成简单。 缺点：1.密钥分发要保密。2.密钥管理困难。3.比较难实施数据签名。 RSA算法的基本原理和特点，要求会计算。P39-40 RSA公钥密码算法是基于数论中的同余理论。如果用m代表明文，c代表密文，E(m)代表加密运算，D(c)代表解密运算，用x=y(modulo z)表示x和y模z同余，则加密和解密算法简单表示如下： c=E(m)=me (modulo n) m=D(c)=cd (modulo n) 优点：1.密钥管理方便。2.能够实现数字签名。3.安全性较好。 缺点：1.产生密钥很麻烦，因而难以做到一次一密。2. 分组长度太大，使运算代价很高，尤其是速度较慢。3.进行的都是大数计算，因而导致速度慢，只用于少量数据加密。 画图及描述数字签名和验证的过程。 画图及描述数字信封的基本过程。 画图及描述双联签名（双重签名）的基本过程。 IPSec的运行模式。P67 IPSec传输模式要保护的内容是IP包的载荷，即TCP/UDP等传输协议、ICMP协议，或者AH、ESP协议。传输模式为上层协议提供安全保护。通常，传输模式只用于两台主机之间的安全通信。 IPSec隧道模式保护的内容是整个原始IP包，隧道模式为IP协议提供安全保护。通常，IPSec双方有一方是安全网关或路由器时，就必须使用隧道模式。 IPSec隧道模式的数据包有两个IP报头：内部头和外部头。 SSL协议的基本安全服务和特点。P80-86 1．秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商，简历起一个安全通道。以后再安全通道中传输的所有信息都经过了加密处理。 2．完整性。SSL利用密码算法和HASH函数，通过对传输信息特征值的提取来保证信息的完整性。 3．认证性。利用证书技术和可信的第三方CA，可以让客户机和服务器相互识别对方的身份。 另（由华哥提供的答案）： (1)用户和服务器的合法性认证。(2)加密数据以隐藏被传送的数据。(3)维护数据的完整性。 优点：（1）支持很多加密算法，可以使用40位或128位的加密。（2）SSL的实现过程比较简单，并且SSL工作于传输层，独立于应用层协议，能够对任何应用协议层提供透明的安全服务。（3）目前被大部分的浏览器和web服务器所内置。 缺点：（1）只能提供交易中客户端和服务器之间的双方认证，不能协调参与各方的安全传输和信任关系，难以实现多方互相认证。（2）只能保证连接通道的安全，而没有其他保证。SSL协议有利商家，而不利于客户。 SET协议的基本技术和特点。P86-95 SET的基本功能：(1)提供了消费者、商家和银行之间的认证，(2)确保交易的保密性、可靠性和不可否认性，(3)保证在开放网络环境下使用信用卡进行在线购物的安全。 优点：1.SET协议对客户数据可以提供比SSL更高的安全性。2. SET协议为商家提供了保护自己的手段。3. SET协议具有非常强的竞争力。 缺点：1.只为与付款有关