电商安全和法规复习资料.docxVIP

电子商务安全与法规考试资料 题型： 单 选 题（30分 = 15 x 2’） 名词解释（25分 = 5 x 5’） 判 断 题（10分 = 5 x 2’，只需判断无需解释） 简答分析（3道题 = 35分） 1、 ISO电子商务安全的需求 术语 定义 保密性（security） 保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。 完整性（integrity） 防止信息在传输过程中丢失和重复以及非法用户对信息的恶意篡改。 认证性（authenticity） 确保交易信息的真实性和交易双方身份的合法性 可控性（access control） 保证系统、数据和服务能由合法人员访问 不可否认性（non-repudiation） 有效防止通信或交易双方对已进行的业务的否认 2 、电子签名法： 有关电子合同的法律法规 我国2005年4月1日出台的《中华人民共和国电子签名法》承认了电子签名的法律效力，它是我国电子商务领域的第一部国家法，具有划时代的意义。 电子签名——在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。 电子签名是法律上为了追求技术中立性而泛化的概念，数字签名是电子签名的一种特定实现形式 3 、单钥和双钥两种体制 密码体制按密钥方式划分上可分为单钥体制（One-key System）和双钥体制（Two-key System）。 单钥体制的加密密钥和解密密钥相同，也称对称加密体制。 双钥体制的加密密钥和解密密钥不同，也称非对称加密体制。 单钥/对称加密算法 实例:恺撒密码、AES算法 双钥/非对称加密算法 实例:RSA算法 1）生成密钥对 2）公钥加密 3）私钥解密 单钥密码体制对称加密过程： 1)发送方用自己的私有密钥对要发送的信息进行加密 2)发送方将加密后的信息通过网络传送给接收方接收方 3)用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文 4、公开密钥加密（简称公钥加密），需要采用两个在数学上相关的密钥对——公开密钥和私有密钥来对信息进行加解密。通常人们也将这种密码体制称为双钥密码体制或非对称密码体制。 三大数学难题： 公钥加密模式与理论依据 ——基于三大类数学难题 1)基于大整数因子分解的算法IFP（integer factorization problem）。 eg: RSA 2)基于离散对数问题上的算法DLP（discrete logarithm problem）eg: DSS/DSA、D-H 3)基于椭圆曲线问题上的算法ECC（elliptic curve cryptography）。 eg: ECC 5、 PGP概念、构成和过程： PGP(Pretty Good Privacy)，是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。 6数字信封： 数字信封是将对称密钥通过非对称加密（即：有公钥和私钥两个）的结果分发对称密钥的方法（了解即可） 7、数字签名基本过程 包括签名过程和验证签名过程。 签名的实现过程：输入：原文、私钥输出：签名值 1）、将原文做HASH 2）、将HASH用私钥加密，结果就是签名值 验证签名的实现过程：输入：签名值、原文、公钥输出：是否验证通过 1）、将原文做HASH1 2）、将签名值用公钥解密，取得HASH2 3）、将第1步的HASH1与第2步的HASH2做比较，两个HASH一样就验证通过，否则不通过 8、安全散列函数算法SHA（Secure Hash Algorithm)由美国NIST（国家标准与技术研究所）和NSA(国家标准协会)设计，用于数字签名。 该算法的思想是接收一段明文，然后以一种不可逆的方式将它转换成一段（通常更小）密文，也可以简单的理解为取一串输入码（称为预映射或信息），并把它们转化为长度较短、位数固定的输出序列即散列值（也称为信息摘要或信息认证代码）的过程。 9、相关算法DES、RSA、DSS/DSA、IDEA 10、 数字时间戳 数字时间戳（digital time-stamp）：在电子文件中，需对文件的日期和时间信息采取安全措施，数字时间戳服务（DTS：digital time-stamp service）能提供电子文件发表时间的安全保护。 数字时间戳服务（DTS）是网上安全服务项目，由专门的机构提供。时间戳(time-stam