4法律缺失的风险
电子商务交易核心是网络交易的安全性问题,这一点我国在电子商务交易中还存在着很多法律空白。作为一个交易平台,阿里巴巴、淘宝、金银岛、eBay等多家网站的法律地位也备受争议。对于其身份的界定、是否应该在交易中对消费者负责等问题一直没有明确的说法,站在不同角度的各个方面通常也是也各执一词。
四、论述题
1.试论述我国降低电子商务安全威胁可以采取的对策。。
首先从法律上,对于电子商务交易中所出现的问题,如身份认证的问题、电子单据的法律有效性、电子交易的不可否认性、传递信息的真实性、数字签名技术等各个方面有待于进一步完善。进一步加强相应法律的立法、执法和普法教育,提高人们的知法、懂法和守法意识,净化电子商务的安全环境。
在管理上,要改变目前的混乱局面,各家银行应该尽快制定统一的互联网支付标准以及尽快为互联网商户提供统一的接口。支付密码泄漏是网上支付案件的主要原因。从各种攻击手段可以看出,我们首先要具有安全意识和基本防范技能。
在技术上,确保以下几个方面:
(1)使用X.509数字证书标准及认证中心实现对参与交易的各方的身份的合法性鉴别。
(2)使用加密算法对传递信息进行加密,以保证电子单据的秘密性,防范电子单证的内容被第三方读取。
(3)使用消息验证码以确认传递信息的完整性,防止电子单证的内容被篡改。
(4)使用数字签名、加密机制和消息验证码联合机制,来保证对传递信息的不可否认性。当交易双方出现异议、纠纷时,能够提供足够充分的证据来迅速辨别纠纷中的是非。
(5)使用双签名技术实现交易过程中的多边支付问题。
第6章 网络安全技术
一、名词解释
1.数据安全:所谓数据安全是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等。
2.数据加密:数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
3.防火墙:防火墙是设置在被保护网络和外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力,它是提供信息安全服务、实现网络和信息安全的基础设施。
4.数字签名:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这
种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”
5.数字时戳:时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:
(1)需加时间戳的文件摘要(digest); (2)DTS收到文件的日期和时间; (3)DTS的数字签名。 二、选择题
1.D 2.A 3.C 4.D 5.D
三、简答题
1.简述数据加密的基本方法。
(1)单表换字法。凯撒密码是最古老的替代密码,以英文26个字母为例,它用D表示a,用E表示b,用F表示c,…,用C表示z,密文字母相对明文字母循环左移了3位,因此,又称为循环移位密码。这种映射关系表示为如下函数: F(a)=(a十k)mod n
其中:a表示明文字母,n为字符集中字母个数,k为密钥。 假设k=3,则明文P=COMPUTER SYSTEMS可加密为: f(C)=(2+3)mod 26=5=F
f(O)=(14+3)mod 26=17=R …… f(S)=(18+3)mod 26=21=V
所以密文C=Ek(P) =FRPSXWHUVBVWHPV (2)异或法。异或运算的特点是,明文信息码与密钥码异或,得到密文信息码;该密文信息码再与同一密钥码异或,又可以还原为原来的明文信息码。
(3)移位法。前面的两种加密算法都属于替换,其目的在于制造混乱,使得截获者难于从密文中了解到明文的含义。替换是密码学中的一种有效的加密方法。
2.传统密码体制和公钥密码体制的特点。
传统密码体制又称对称密码体系,即加密和解密使用同一密钥的加密体系。其中目前较为流行的对称加密算法有:DES、3DES、IDES、RC5、AES等。其中DES是对称加密算法中的代表。
公开密钥密码体制又称非对称式加密体系,即加密和解密过程分别使用两个不同的密钥体系。目前,用于公钥加密的典型算法有:RSA、背包算法、Rabin算法、概率加密算法、McEliece算法等。
3.P2DR模型的主要组成部分。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。P2DR模型(如图6-3所示)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检
测)和Response (响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
4.简述包过滤防火墙和代理防火墙的工作原理。
包过滤防火墙。包过滤是面向网络层和传输层的防火墙产品,它的工作原理是通过在网络中的适当位置对数据包进行过滤,根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素,然后依据一组预定义的规则,以允许合乎逻辑的数据包通过防火墙进入到内部网络,而将不合乎逻辑的数据包加以删除。
代理防火墙是针对包过滤的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段,一段是从外部网络到代理服务器,另一段是从代理服务器到内部网络之间。代理防火墙的工作原理是运行在两个网络之间,它对于客户来说像是一台真的服务器一样,而对于外界的服务器来说,它又是一台客户机。当代理服务器接收到用户的请求后,会检查用户请求的站点是否符合公司的要求,如果公司允许用户访问该站点的话,代理服务器会像一个客户一样,去那个站点取回所需信息再转发给客户。其工作方式如图6-5所示。
5.简述HASH算法实现数字签名的过程。
HASH数字签名算法的实现流程如下,如图6-10所示。
(1)被发送消息用HASH算法加密产生128bit的消息摘要A。
(2)发送方用自己的私用密钥对消息摘要A再加密,这就形成了数字签名。
(3)发送方通过某种关联方式,比如封装,将消息原文和数字签名同时传给接受方。 (4)接受方用发送方的公开密钥对数字签名解密,得到消息摘要A;如果无法解密,则说明该信息不是由发送方发送的。如果能够正常解密,则发送方对发送的消息就具有不可抵赖性。
(5)接受方同时对收到的文件用约定的同一HASH算法加密产生又一摘要B。
(6)接受方将对摘要A和摘要B相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。
6.数字时间戳的作用。
在电子通信中,带有时间戳的数字签名,相当于具有自毁功能的签名,使他人不能再次使用已经用过的数字签名。例如:若发送方的消息中有发送的时间和日期,或有任何非重复的代码,就可以防止消息的重用。为防止将消息分成一系列小块并重用单个块,发送方可将每个消息都依赖于时间标志。例如:用DES加密64位数据组产生64位输出,发送方可使每个组的头8个字节为加密的时间和日期,其余的56位作为消息。由于DES64位输出完全依赖于64位输入的数据,因此,银行不能将56位的消息和不匹配的别的8位的时间标志组合起来。这样,即使是单个小块,也不能被重用。 四、论述题
1.试论述数字签名和数字时间戳的作用。
数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输
电子文件的完整性、真实性和不可抵赖性,防止原始文档被污染或变更,防止别有用心者使用他人名字散布欺骗性消息,等等。在我国2004年新颁布的《电子签名法》中所规定的“安全的电子签名具有与手写签名或者盖章同等的效力”的三点具体体现:(1)该电子文件确实是由签名者的发送方所发出的,电子文件来源于该发送者。因为,签署时电子签名数据由电子签名人所控制;(2)被签名的电子文件确实是经发送方签名后发送的,说明发方用了自己的私钥作的签名,并得到验证,达到不可否认的目的;(3)接收方收到的电子文件在传输中没有被篡改,保持了数据的完整性,因为,签署后对电子签名的任何改动都能够被发现。
数字时间戳技术就是数字签名技术一种变种的应用。在电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,防止消息被重用或被修改。数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
第7章 电子商务的认证
一、名次解释
1.物理认证:基于物理证件的身份认证是一种利用授权用户所拥有的某种东西来进行访问控制的认证方法。
2.数字证书:数字证书(Digital Certificate ,DC)也称为电子证书或数字凭证(Digital ID,DID),是由权威公正的第三方机构即CA中心签发的,一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的权威性的电子文档,其作用类似于司机的驾驶执照或日常生活中的身份证。
3.PKI:PKI 认证中心:也叫认证中心(CA),它是PKI机制中的核心,它主要负责产生、分配并管理用户的数字证书。
4.认证中心:认证中心作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。 二、选择题
1.C 2.D 3.B 4.D 5.D 三、简答题
1.身份认证技术包括哪些?
包括:口令认证,物力认证,生物认证等技术。
2.什么是数字证书,它和普通证书相比有哪些区别?
数字证书(Digital Certificate ,DC)也称为电子证书或数字凭证(Digital ID,DID),是由权威公正的第三方机构即CA中心签发的,一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的权威性的电子文档,其作用类似于司机的驾驶执照或日常生活中
的身份证。和普通的证书相比,数字证书最大的区别就是数字证书能够对网络上传输的信
息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
3.简述PKI的基本概念及其组成部分。 PKI技术采用证书管理公钥,通过第三方的可信任机构——认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份。
典型的PKI系统由五个基本的部分组成:证书申请者(Subscriber)、注册机构(Registration Authority,RA)、认证中心(Certificate Authority,CA)、证书库(Certificate Repository,CR)和证书信任方(Relying Party)
4.CA认证中心有哪些功能? CA的功能包括:
(1)批准RA提交的证书请求;
(2)生成密钥对(适用于集中式密钥生成模式); (3)提供密钥的备份与恢复功能;
(4)受理用户或RA的证书撤销请求,完成证书的作废处理,发布并维护证书撤销表CRL;
(5)生成CA根证书,支持根认证中心的密钥生成和备份功能; (6)签发用户证书,并将签发的证书发布到证书库中; (7)支持不同CA用户之间的交叉认证。
5.PKI技术应用了那些密码技术?
PKI使用的密码技术主要是非对称加密技术。
6.PKI有哪些优势?这些优势对于PKI的实际应用有什么影响?
PKI的优势:节省费用,互操作性,开放性,一致的解决方案,可验证性,可选择性。这些优势使得更容易在实际中使用。 四、论述题
上网收集资料,谈谈CA认证中心对我国电子商务发展影响。
本题可以查找资料首先分析目前我国CA中心发展的现状,然后判断此现状对于安全的电子商务来说还有哪些不足的地方。 案例解析:
1、甲的工作步骤:
①创建对称密钥(相应软件生成,并且是一次性的),用其加密合同,并用乙的公钥打包对称密钥。
② 创建数字签名,对合同进行散列算法(如MD5算法)并产生原始摘要,甲用自己的私钥加密该摘要(公/私钥既可自己创建也可由CA提供)。