网络教育学院2008年1月试题答案课程名称：电子商务安全与案例A卷□B卷√考试时间100分钟评分教师职称一、填空题（每空1分，共9空，合计9分）。1．保密性（Confidentiality）、完整性（真确性）integrity2．个人签名证书、机构签名证书3．直接数字签名、仲裁数字签名4．SSL记录协议5．HTTP6．一致性二、名词解释（每题5分，共7题，合计35分）。1．密码分析学是研究密码变化的规律并用于分析密码以获取信息情报的科学，（3分）即研究如何攻破一个密码系统，恢复被隐藏信息的本来面目。（2分）2．密码系统设计原则之一，（2分）指密码系统中的算法即使为密码分析员所知，也应该无助于用来推导明文或密钥。（3分）3．数字证书(DigitalCertificate)是标志一个用户身份的一系列特征数据,其作用类似于现实生活中的身份证。（2分）最简单的数字证书包含一个公钥、用户名以及发证机关的数字签名等。通过数字证书和公钥密码技术可以建立起有效的网络实体认证系统，为网上电子交易提供用户身份认证服务。数字证书是由权威的证书发行机构发放和管理的，证书发行机构也称为认证中心(CA)。（3分）4．PGP(PrettyGoodPrivacy)，是一个基于RSA公匙加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者，并能确信邮件没有被篡改。（2分）它可以提供一种安全的通讯方式，而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法，用于数字签名的邮件文摘算法，加密前压缩等，还有一个良好的人机工程设计。它的功能强大，有很快的速度。而且它的源代码是免费的。（3分）5．异常发现技术假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。（2分）对于异常阀值(或门限值)与特征的选择是异常发现技术的关键。比如，通过流量统计分析，将异常时间的异常网络流量视为可疑。异常发现技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难以计算和更新。（3分）6．一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”（1）隐藏IP（1分）（2）踩点扫描（1分）（3）获得系统或管理员权限（1分）（4）种植后门（1分）（5）在网络中隐身（1分）7．防火墙是一种将内部网和公众网如Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。（3分）防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。（2分）三、简答题（每题7分，共8题，合计56分）。1．为了监视和防止计算机犯罪活动，人们提出了密钥托管（KeyEscrow，KE）的概念，指国家强制规定进行的私钥托管。（3分）为防止用户逃避托管，密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管机构（KEA）进行密钥托管，取得托管证书，才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后，再签发相应的公钥证书。（2分）为了防止KEA滥用权限及托管密要的泄漏，用户的私钥被分成若干部分，由不同的密钥托管机构负责保存。只有将所有的私钥分量合在一起，才能恢复用户私钥的有效性。（2分）2．基于PKI技术的数字签名：1、采用技术：公开密码加密（非对称式加密系统）和数字摘要（数字指纹）2、要求：数字签名包括消息签名和签名认证两个部分，接受者能核实发送者对报文的签名，发送者事后不能抵赖签名，接受者不能伪造签名。（2分）数字签名原理流程：被发送文件用SHA编码加密产生128Bit的数字摘要。（1分）发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。（1分）将原文和加密的摘要同时传给对方。（1分）对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要。（1分）将解密后的摘要和收到的文件与在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。（1分）3．DNS即DomainNameSystem，领域命名系统简称域名系统或DNS。它是一种组织成域层次结构的计算机和网络服务命名系统。DNS命名用于TCP/IP网络，用来通过用户的名称定位计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。（3分）由于IP地址是一个32位的二进制数字，我们常常见到的是称为点分十进制的IP地址，它形如63.211.153.10