电子商务安全

  • 格式:pdf
  • 大小:223.74 KB
  • 文档页数:10

电⼦商务安全

《电⼦商务安全》习题答案

第⼀章1.关于电⼦商务安全,下列说法中错误的是( D )

A.电⼦商务安全包括计算机⽹络安全和电⼦交易安全

B. 电⼦商务安全是制约电⼦商务发展的重要因素

C. 电⼦商务安全与⽹络安全的区别在于其有不可否认性的要求

D. 决定电⼦商务安全级别的最重要因素是技术

2. ⽹上交易中,如果定单在传输过程中订货数量发⽣了变化,则破坏了安全需求中的

( C )。A. 可⽤性 B.机密性 C.完整性 D. 不可抵赖性

3.原则保证只有发送⽅和接收⽅才能访问消息内容。( A )

A. 机密性

B. 完整性

C. ⾝份认证

D. 访问控制

4. 电⼦商务安全涉及的三种因素中,没有。( C )

A. ⼈

B. 过程

C. 设备

D. 技术

5. 在PDRR 模型中,是静态防护转化为动态的关键,是动态响应的依据。(B)

A. 保护

B. 检测

C. 响应

D. 恢复

6. 在电⼦商务交易中,消费者⾯临的威胁不包括( A )

A. 虚假订单

B. 付款后不能收到商品

C. 客户资料机密性丧失

D. ⾮授权访问

7. 截获攻击与保密性相关;伪造攻击与认证相关;篡改攻击与完整性相关;中断攻击与可⽤性相关。(供选择的答案:篡改、截获、伪造、中断)8. 如果电⼦商务系统⽆法访问了,则破坏了电⼦商务安全的可⽤性需求。

9. 电⼦商务安全的⽬标是:保证交易的真实性、机密性、完整性、不可抵赖性和

可⽤性。10. 为什么说⼈是电⼦商务安全中最重要的因素?

电⼦商务交易的主体仍然是⼈,因此⼈的因素是最重要的。⼈作为⼀种实体在电⼦商务的运⾏和交易过程中存在,其必然对电⼦商务的安全产⽣重要影响。11. 电⼦商务安全应从哪⼏个⽅⾯来综合考虑?

(1)⼈:(2)过程:(3)技术:

第⼆章1. 棋盘密码是将26个英⽂字母放在5×5的表格中,每个字母对应的密⽂由⾏号和列号对应的数字组成,如图

2.23e对应15等。

图2.23 棋盘密码

请问它是属于( A )A. 单表替代密码

B. 多表替代密码

C. 置换密码

D. 以上都不是

2. 攻击不修改消息的内容。( A )

A. 被动

B. 主动

C. 都是

D. 都不是

3. 在RSA中,若取两个质数p=7、q=13,则其欧拉函数φ(n)的值是( B )

A. 84

B. 72

C. 91

D. 112

4. RSA算法建⽴的理论基础是( B )

A. 替代和置换

B. ⼤数分解

C. 离散对数

D. 散列函数

5. 数字信封技术是结合了对称密码技术和公钥密码技术优点的⼀种加密技术,它克服了( D )

A、对称密码技术密钥管理困难

B、公钥密码技术分发密钥困难

C、对称密码技术⽆法进⾏数字签名

D、公钥密码技术加密速度慢6. ⽣成数字信封时,我们⽤加密。( D )

A、⼀次性会话密钥,发送⽅的私钥

B、⼀次性会话密钥,接收⽅的私钥

C、发送⽅的公钥,⼀次性会话密钥

D、接收⽅的公钥,⼀次性会话密钥

7. 如果发送⽅⽤⾃⼰的私钥加密消息,则可以实现。( D )

A. 保密性

B. 保密与鉴别

C. 保密⽽⾮鉴别

D. 鉴别

8. 如果A要和B安全通信,则B不需要知道。( A )

A. A的私钥

B. A的公钥

C. B的公钥

D. B的私钥

9. 通常使⽤验证消息的完整性。( A )

A. 消息摘要

B. 数字信封

C. 对称解密算法

D. 公钥解密算法

10. 两个不同的消息摘要具有相同散列值时,称为( B )

A. 攻击

B. 冲突

C. 散列

D. 签名

11. 可以保证信息的完整性和⽤户⾝份的确定性。( C )

A. 消息摘要

B. 对称密钥

C. 数字签名

D. 时间戳

12. 与对称密钥加密技术相⽐,公钥加密技术的特点是( D )

A. 密钥分配复杂

B. 密钥的保存数量多

C. 加密和解密速度快

D. 可以实现数字签名13. 正整数n的欧拉函数是指⼩于n并与n互素的⾮负整数的个数。

14. 时间戳是⼀个经加密后形成的凭证⽂档,它包括需加时间戳的⽂件的摘要(Digest)、DTS收到⽂件的⽇期和时间和时间戳权威的签名三个部分。15. 请将下列常见密码算法按照其类型填⼊相应单元格中。

①RSA ②MD5 ③AES ④IDEA ⑤DES ⑥Diffie-Hellman ⑦DSA ⑧SHA-1

16. 公钥密码体制的加密变换和解密变换应满⾜哪些条件?

公钥密码体制⽤两个密钥中任何⼀个密钥加密内容,都能且只能⽤对应的另⼀个密钥解密,同时,要想由⼀个密钥推知出另⼀个密钥,在计算上是不可能的。17. 在电⼦商务活动中为什么需要公钥密码体制。

主要是解决电⼦商务活动中密钥分配、数字签名和⾝份认证的问题18. ⼩明想出了⼀种公钥加密的新⽅案,他⽤⾃⼰的公钥加密信息,然后将⾃⼰的私钥传给接收⽅,供接收⽅解密⽤,请问这种⽅案存在什么缺陷吗?

私钥在传输途中可能被攻击者窃取。这相当于把公钥密码体制当做对称密码体制在⽤,因此⽆法解决密钥分配过程中被窃取的问题。19. ⼩强想出了⼀种数字签名的新⽅案,他⽤⼀个随机的对称密钥加密要签名的明⽂得到密⽂,再⽤⾃⼰的私钥加密该对称密钥(签名),然后把密⽂和加密后的对称密钥⼀起发送给接收⽅,接收⽅如果能解密得到明⽂,就表明验证签名成功。请问⽤该⽅案能够对明⽂签名吗,为什么?

签名⽆法和消息绑定在⼀起。20. MAC与消息摘要有什么区别?

MAC是参⼊了对称密钥的消息摘要

第三章1. 确定⽤户的⾝份称为( A )

A. ⾝份认证

B. 访问控制

C. 授权

D. 审计

2. 下列哪项技术不能对付重放攻击( A )

A. 线路加密

B. ⼀次性⼝令机制

C. 挑战—应答机制

D. 往认证消息中添加随机数

3. 有些⽹站的⽤户登录界⾯要求⽤户输⼊⽤户名、密码的同时,还要输⼊系统随机产⽣的验证码,这是为了对付( D )

A. 窃听攻击

B. 危及验证者的攻击

C. 选择明⽂攻击

D. 重放攻击

4. 关于SAML协议,以下说法错误的是( C )A. SAML不是⼀个完整的⾝份认证协议

B. SAML协议主要⽤来传递⽤户的认证信息

C. SAML是⼀个认证权威机构

D. SAML协议定义了⼀套交换认证信息的标准

5. Kerberos实现单点登录的关键是引⼊了票据许可服务器,实现双向认证的关键是引⼊了会话密钥。

6. 认证主要包括消息认证和⾝份认证两种。

7.Kerberos认证系统中,客户要使⽤其提供的任何⼀项服务必须依次获取票据许可票据和服务许可票据。

8. 如果认证双⽅共享⼀个⼝令(验证密钥),声称者有哪⼏种⽅法可以让验证者相信他确实知道该⼝令。

三种⽅法:

①出⽰⼝令⽅式。申请者直接将⼝令提交给验证者,验证者检查⼝令是否正确。该⽅式的缺点是⼝令存在被线路窃听、被重放且不能双向认证(申请者⽆法判断验证者是否确实知道⼝令)的缺点。

②不出⽰⼝令⽅式。申请者⽤⼝令加密⼀个消息,将加密的消息发给验证者,验证者⽤⼝令解密,如果得到消息明⽂则验证通过。该⽅式解决了⼝令被窃听和不能双向认证的缺陷,但仍存在被重放的缺点。

③挑战—应答⽅式。验证者发⼀个随机数给申请者,申请者⽤⼝令加密该随机数给验证者。该⽅式解决了以上所有三个问题,但增加了⼀次通信。9. ⾝份认证的依据⼀般有哪些?

1)⽤户所知道的某种信息(Something the user knows),如⼝令或某个秘密。

2)⽤户拥有的某种物品(Something the user possesses),如⾝份证、银⾏卡、密钥盘、IP地址等。

3)⽤户具有的某种特征(Something the user is or how he/she behaves)

10. 在使⽤⼝令机制时,如何对付外部泄露和⼝令猜测?

11. 采⽤挑战—应答机制对付重放攻击,与⼀般的对付重放攻击的⽅法相⽐,优点和缺点是什么?

不需要保存随机数和增加时间戳,但增加了⼀次通信。

第四章1. 关于认证机构CA,下列哪种说法是错误的。( B )

A. CA可以通过颁发证书证明密钥的有效性

B. CA有着严格的层次结构,其中根CA要求在线并被严格保护

C. CA的核⼼职能是发放和管理⽤户的数字证书

D. CA是参与交易的各⽅都信任的且独⽴的第三⽅机构组织。

2. 密钥交换的最终⽅案是使⽤。( C )

A. 公钥

B. 数字信封

C. 数字证书

D. 消息摘要

3. CA⽤签名数字证书。( D )

A. ⽤户的公钥

B. ⽤户的私钥

C. ⾃⼰的公钥D. ⾃⼰的私钥

4. 以下哪⼏种设施通常处于在线状态(多选)(BC )

A. 根CA

B. OCSP

C. RA

D. CRL

5. 数字证书是将⽤户的公钥与其相联系。( C )

A. 私钥

B. CA

C. ⾝份

D. 序列号

6. 证书中不含有以下哪项内容( D )

A 序列号

B 颁发机构

C 主体名

D 主体的私钥

7. 为了验证CA(⾮根CA)的证书,需要使⽤:( B )

A. 该CA的公钥

B. 上级CA的公钥

C. ⽤户的公钥

D. 该CA的私钥

8. ⼀个典型的PKI应⽤系统包括五个部分:CA 、RA 、数字证书库、证书作废系统、密钥备份及恢复系统、应⽤程序接⼝。

9.RA 不可以签发数字证书。(填可以或不可以)。

10.写出证书是怎样⽣成的?

书89页11.验证证书路径是如何进⾏的?

书91页

第五章1. ⽹页篡改是针对_________进⾏的攻击。( B )

A.传输层B.应⽤层C.⽹络层D.表⽰层

2. 对宿主程序进⾏修改,使⾃⼰成为合法程序的⼀部分并与⽬标程序成为⼀体的病毒是

( A )A 源码型病毒

B 操作系统型病毒

C 外壳型病毒