电子商务安全与支付.docx

x 电子商务安全与支付单选：20*1’=20’填空：10*2’=20’名词：4*4’=16’简答：4 个论述：2 个共 44’小题：计算机等级划分 D-A:des 加密（ 1977 年美国国家标准局颁布） --p89CA 基础知识（认证）--p81MD5MD4，MD5 散列函数：1990 年，Rivest 提出了散列函数MD4（Message Digest） ，MD4 输入任意长度消息，输出 128 比特消息摘要，它是一个强无碰撞散列函数1992 年 Rivest 提出改进算法 MD5，它比 MD4 复杂，但思想类似输入：任意长度的消息输出：128 位消息摘要处理：以 512 位输入数据块为单位SASA 算法防火墙--p84VPN--p85访问控制--p94利用 SSL 登录百度病毒分类1.按照计算机病毒的危害程度分类：良性病毒、恶性病毒2. 按照传染方式分类：引导型病毒、文件型病毒、宏病毒3. 按照计算机病毒的寄生方式分类:源码型病毒、嵌入型病毒、外壳型病毒4. 其他一些分类方式：按照攻击的操作系统可分为：攻击 DOS 操作系统的、攻击 Windows系统的、攻击 UNIX 系统的、攻击 OS/2 系统的病毒。

按照计算机病毒激活的时间可分为：定时发作的病毒和不由时钟来激活的随机病毒按照传播媒介可分为：以磁盘为载体的单机病毒和以网络为载体的网络病毒按攻击的机型还可将病毒分为：攻击微型机的病毒、攻击小型机的病毒和攻击工作站的病毒Key-brose 密钥分配方法；其他密钥分配方法大题：对称/非对称加密对称加密体制中，加密密钥与解密密钥相同非对称加密体制中，加密过程与解密过程不同，当算法公开时，在计算上不可能由加密密钥求得解密秘钥换位密码数字签名，数字证书，数字信封数字签名 (digital signature),也称电子签名,就是对电子文档利用电子手段进行签名,电子签名必须至少具备手写签名的两个性质 ,即可验证性与不可伪造性.数字证书就是标志网络用户身份信息的一系列数据，用于证明某一主体（如个人用户、服务器等）的身份以及其公钥的合法性的一种权威性的电子文档它由权威公正的第三方机构，即 CA 中心签发，类似于现实生活中的身份证数字信封是一种综合利用了对称加密技术和非对称加密技术两者的优点进行信息安全传输的一种技术电子现金，电子钱包电子现金是一种以数字形式流通的货币它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。

用户在开展电子现金业务的银行开设账户，并在账户内存钱后就可以在接受电子现金的商店购物电子钱包(E-wallet)是一个顾客用来进行安全网络交易和储存交易记录的特殊计算机软件或硬件设备电子钱包的功能和实际钱包一样，可存放信用卡信息、电子现金、钱包所有者身份证、地址及其他信息如何实现双重签名？双重签名：就是消息发送方对发给不同接受方的两条信息报文分别进行 HASH 运算，得到各自的消息摘要，然后将这两条数字摘要连接起来，再进行 HASH 运算，生成新的数字摘要，即双重数字摘要，最后用发送方的私钥对新的双重数字摘要加密，得到一个基于两条数字摘要基础上的数字签名发送方：双重签名＋一条信息报文（密文）＋另外一条信息的摘要接受方：HASH （（ HASH(信息报文）＋另一消息摘要））－>双重摘要 MD’解密双重签名－>双重摘要 MD比较 MD 和 MD’什么是报文，消息认证？报文认证指通信双方之间建立联系后，每个通信者对收到的消息进行验证，以保证所收到的信息是真实的过程网络安全模型，PDIPKI 是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施PKI 公钥基础设施的主要任务是在开放环境中为开放性业务提供基于公开密钥技术的一系列安全服务，包括身份证书和密钥管理、机密性、完整性、身份认证和数字签名等。

加密技术和认证技术是 PKI 的基础技术，PKI 的核心机构是认证中心，数字证书是 PKI 最关键的产品和服务网络扫描（3 模块扫描，攻击，复制， FIN 扫描是什么？SYN 洪水，泪滴，dos 攻击是什么？（1）地址扫描地址扫描就是判断某个 IP 地址上有无活动主机，以及某台主机是否2）端口扫描入侵者知道了被攻击主机的地址后，还需要知道通信程序的端口号；只要扫描到相应的端口被打开着，就知道目标主机上运行着什么服务，以便采取针对这些服务的攻击手段3）漏洞扫描漏洞是系统所存在的安全缺陷或薄弱环节入侵者通过扫描可以发现可以利用的漏洞，并进一步通过漏洞收集有用信息或直接对系统实施威胁FIN 扫描FIN 是中断连接的数据报文很多日志不记录这类报文TCP FIN扫描”的原理是向目标端口发送 FIN 报文，如果收到了 RST 的回复，表明该端口没有开放；反之（没有回复），该端口是开放的，因为打开的端口往往忽略对 FIN 的回复这种方法还可以用来区别操作系统是 Windows，还是 Unix泪滴”也称为分片攻击这是一个利用 TCP/IP 的缺陷进行拒绝服务攻击的典型泪滴”攻击就是入侵者伪造数据报文，向目标机发送含有重叠偏移的畸形数据分片。

如图所示当这样的畸形分片传送到目的主机后，在堆栈中重组时，就会导致重组出错，引起协议栈的崩溃SYN 洪水 ——p156DoS (Denial of Service)定义：通过某些手段使得目标系统或者网络不能提供正常的服务,拒绝服务攻击并不是某一种具体的攻击方式，而是攻击所表现出来的结果，最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃蠕虫病毒基本模块有哪些？如何传播？一个蠕虫程序的基本功能包括传播模块、隐藏模块和目的模块三部分1）传播模块传播模块由扫描模块、攻击模块和复制模块组成扫描模块负责探测存在漏洞的主机当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就会得到一个可传播的对象攻击模块按照漏洞攻击步骤自动攻击已经找到的攻击对象，获得对整个系统的控制权复制模块通过原主机和新主机的交互，将蠕虫程序复制到新主机并启动，实际上是一个文件传输过程2）隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现 （3）目的模块：实现对计算机的控制、监视或破坏等功能蠕虫程序的一般传播过程为：（1）扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。

（2）攻击：攻击模块按漏洞攻击步骤自动攻击步骤 1 中找到的对象，取得该主机的权限（一般为管理员权限），获得一个 shell （3）复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动 木马如何传播？如何伪装自己？木马的传播都是先进行伪装或改头换面（如利用 exe 文件绑定将木马捆绑在小游戏上，或将木马的图标直接改为 html，txt，jpg 等文件的图标），然后进行传播1）手工放置：手工放置比较简单，是最常见的做法手工放置分本地放置和远程放置两种本地安装就是直接在计算机上进行安装远程安装就是通过常规攻击手段使获得目标主机的上传权限后，将木马上传到目标计算机上，然后通过其他方法使木马程序运行起来2）以邮件附件的形式传播：控制端将木马改头换面后，然后将木马程序添加到附件中，发送给收件人3）通过 OICQ 对话，利用文件传送功能发送伪装了的木马程序4）将木马程序捆绑在软件安装程序上，通过提供软件下载的网站（Web/FTP/BBS）传播5）通过病毒或蠕虫程序传播6）通过磁盘或光盘传播木马的隐藏与欺骗技术（1）进程隐蔽服务器端想要隐藏木马，可以伪隐藏，也可以是真隐藏伪隐藏，就是指程序的进程仍然存在，只不过是让它消失在进程列表里。

真隐藏则是让程序彻底的消失，不以一个进程或者服务的方式工作2）伪装成图像文件即将木马图标修改成图像文件图标3）伪装成应用程序扩展组件将木马程序写成任何类型的文件（如 dll,ocx 等），然后挂在十分出名的软件中因为人们一般不怀疑这些软件4）错觉欺骗利用人的错觉，例如故意混淆文件名中的 1（数字）与 l（L 的小写）、0（数字）与 o（字母）或 O（字母）5）合并程序欺骗合并程序就是将两个或多个可执行文件结合为一个文件，使这些可执行文件能同时执行木马的合并欺骗就是以合并程序的方式将木马绑定到应用程序中SET 和 SSL 协议各自优缺点？SSL 协议用到了对称密钥加密法、公开密钥加密法、数字签名和数字证书等安全保障手段目前几乎所有操作平台上的 Web 浏览器(IE、Netscape) 以及流行的Web 服务器(IIS、Netscape Enterprise Server 等) 都支持 SSL 协议该协议既便宜，开发成本也很小,应用简单（无需客户端专门软件）极广SET优点：（1）SET 对商家提供了保护自己的手段，使商务免受欺诈的困扰，使商家的运营成本降低2）对消费者而言， SET 保证了商家的合法性，并且用户的信用卡号不会被窃取。

3）SET 使得信用卡网上支付具有更低的欺骗概率，使得它比其他支付方式具有更大的竞争力4） SET 对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑缺点：SET 协议过于复杂，对商户、用户和银行的要求比较高；处理速度慢，支持 SET 的系统费用较大SSL 协议底层如何实现？服务器自份必须验证，客户端身份可选？电子现金支付方案 e-cash，sab-cash 方案及 sab-cash 如何实现？。