电子商务安全与支付复习资料

1、名词解释

#1、防火墙：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。

#2、数字签名：是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。

#3、数字证书： 是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件

#4、加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

5入侵检测技术：是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

6、PKI：公共密钥基础设施是一种集中化的、易于管理的网络安全方案。可以通过一个基于数字认证的框架处理所有的数据加密和数字签名工作。

7、电子商务标准的制定原则：全面性、系统性、先进性、预见性、可扩充性

8、包过滤型防火墙：在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。

9、物理隔离技术：物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。 物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力

10、入侵检测系统：入侵检测系统帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的迹象。

11、对称加密技术：在对称加密技术中，加密和解密过程采用一把相同的密钥，通信时双方都必须具备这把密钥，并保证密钥不被泄露。通信双方先约定一个密钥，发送方使用这一密钥，并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后，接收方用解密算法，并把密钥作为算法的一个运算因子，将密文转变为原来的明文

 12、公钥加密技术：公钥密码对数据进行加密解密时使用一对密码，其中一个用于加密，而另外一个用于解密，这两个密码分别称为加密密钥和解密密钥，也称为公钥和私钥，它们在数学上彼此关联。加密密钥可以向外界公开，而解密密钥由自己保管，必须严格保密

13、“电子签字”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。

14、电子支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金、信用卡、借记卡、智能卡)等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付；是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。 

15、电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入收益方开户银行，以支付给收益方的一系列转移过程。我国给出的定义是：电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。 

16、电子现金，是一种以电子数据形式流通的，能被客户和商家普遍接受的，通过互联网购买商品或服务时可以使用的货币。电子现金是现实货币的电子化或数字模拟，它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。

信用卡使用流程中的参与者主要包括发卡行、收单行、持卡人、商家及信用卡组织。

17、电子钱包也是电子商务活动中购物顾客常用的一种支付工具，是一种客户端的小数据库，用于存放电子现金和电子信用卡，同时包含诸如信用卡账号、数字签字以及身份验证等信息

18第三方支付平台是属于第三方的服务型中介机构，它主要是面向开展电子商务业务的企业提供与电子商务支付活动有关的基础支撑与应用支撑的服务。

18、移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式

二、问答题

#1、电子商务有哪些安全威胁？

{1}计算机网络风险

（1）物理安全问题：物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故，以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：环境安全、设备安全、媒介安全

（2）网络安全问题：在网络安全问题中，重要的是内部网与外部网之间的访问控制问题，另一个问题是内部网不同网络安全域的访问控制问题。

（3）网络病毒的威胁

（4）黑客攻击

（5）电子商务安全自身的安全问题

{2}电子商务交易风险

（1）在线交易主体的市场准入  （2）信息风险  （3）信用风险   （4）网上欺骗犯罪

（5）电子合同问题   （6）电子支付问题   （7）在线消费者保护问题  （8）电子商务中产品交付问题    （9）电子商务中虚拟财产的保护问题

{3}管理风险

{4}法律风险 

2、电子商务的安全要素

一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。

{1}真实性：在进行电子商务交易时首先要保证身份的可认证性。

{2}保密性：对敏感信息进行加密

{3}有效性：贸易数据在确定的时刻、确定的地点是有效的。

{4}完整性：信息在数据发送、传输和接收过程中始终保持原有的状态。

{5}不可抵赖性：在电子交易过程的各个环节中都必须保存完整的记录并且不可更改

3、电子支付存在的问题

{1}银行支付系统互联互通有待时日

{2}对更有效的安全机制的探讨

{3}支付标准有待提高

{4}社会诚信体系尚未建立

#4、电子商务安全的体系结构

{1}电子商务交易安全保障体系是一个复合型系统：它是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身与信息技术系统复合构成的。

{2}人网结合是电子商务安全保障的本质特征

{3}电子商务交易安全是一个动态过程

#5、电子商务安全的技术保障

{1}防火墙技术：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。

{2}加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

{3}认证技术：

#6电子商务标准的作用和意义

{1}标准是电子商务整体框架的重要组成部分

{2}电子商务相关标准为实现电子商务提供了统一平台

{3}电子商务标准是电子商务的基本安全屏障

{4}电子商务标准关系到国家的经济安全和经济利益

7、防火墙的分类：

{1}线路级网关：它工作在会话层，它在两个主机首次建立TCP连接时创立一个电子屏障，监视两主机建立连接时的握手信息

{2}包过滤路由器：检查所通过数据包合法性的路由器，它对外部用户传入局域网的数据包加以限定。

{3}应用网关：它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。

{4}双重基地型网关：使用了一个含有两个网络接口的应用网关，并将其接在内部网和包过滤路由器之间，信息服务器则接在二者之间。

{5}屏蔽主机防火墙：防火墙的应用网关只需要单个网络端口，并以物理方式连接在包过滤。路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层，所有的通信业务都要通过它的代理服务。

{6}屏蔽主网防火墙：使用了两个包过滤路由器，从而形成了一个子网的态势。在理论上，该种防火墙当然可以连接多个子网，构成一个完善的综合防御体系。

8、入侵检测系统分类：误用检测和异常检测。

误用检测即基于特征的检测。首先根据已知的攻击行为建立一个特征库，然后提取系统当前动作到特征库中进行匹配，如果匹配则表明当前动作是一个入侵行为。优点是误报率低，但由于攻击行为多，特征库会变得很大，并只能检测到已知的攻击行为。

异常检测即基于行为的检测。原理是建立一个正常的特征库，根据使用者的行为或资源使用情况来判断是否入侵。优点是与系统关联不大，通用性强，有可能检测到以前未出现过的攻击方法。

9、密码分析者攻击密码的方法主要有穷举攻击、统计分析攻击和数学分析攻击 。

穷举攻击（Exhaustive attack），是指密码分析者采用遍历（ergodic）全部密钥空间的方式对所获密文进行解密，直到获得正确的明文；

统计分析攻击（Statistical analysis attack），是指密码分析者通过分析密文和明文的统计规律来破译密码；

数学分析攻击（Mathematical analysis attack），是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码

10、单表代替密码

(1)混字法，就是简单代替密码(simple substitution cipher)，将记有字母表中每个字母的卡片打乱秩序后重新排列，并与明文字母相对应，可构成一张单表代替表

 例1：根据表1完成明文substitution cipher的英文单表代替加密，并计算其密钥空间

(2) 移位法，就是移位代替密码(Shift substitution cipher)，就是将明文字母表字母循环左移k位，构成密文字母表

     例如：步长为4，则明文A、B、C、…、Y、Z可分别由E、F、G、…、C、D代替。如果明文是“about”，则变为密文?，其密钥k=+4

(3) 乘数密码。将明文字母乘以密钥k并对q 取模得到密文字母。加密过程可表示为: 

ek(m) = km mod q = c，

其中k和q为互素的，这样字母表中的字母会产生一个复杂的剩余集合。

(4) 仿射密码。明文字母经过线性变换得到密文字母。加密的形式为: 

ek(m) = (k1m+k2 ) mod q = c，

其中要求k1和q是互素的，理由同上。

简单代替密码由于使用从明文到密文的单一映射，所以明文中单字母出现频率分布与密文中相同，可以很容易地通过使用字母频率分析法进行破译。

11、公钥加密技术原理概述

1976年Diffie和Hellman在其划时代的文献New Directions in Cryptography(密码学新方向)中提出公钥加密的概念，公钥加密是基于单向陷门(trap door)函数来实现的。单向陷门函数是指满足下列条件的函数f(x): 

(1) 给定x，计算y=f(x)是容易的；

(2) 给定y，计算x=f-1 (y)是困难的；

(3) 存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x= f-1 (y)是容易的。

仅满足第(1)条、第(2)条的称为单向函数，第(3)条称为陷门性，δ称为陷门信息。当用陷门函数f(x)作为加密函数时可将f(x)公开，这相当于公钥。

f(x)函数的设计者将δ保密，用作解密密钥，这相当于私钥。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者，当然可以通过不安全信道传送，由于设计者拥有δ(私钥)，他可以容易地解出x=f-1(y)。单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的。

目前公钥密码系统单向陷门函数的设计主要依赖下面3种数学难题: 

(1) 背包问题；

(2) 大整数因子分解问题；

(3) 离散对数问题。

12、RSA算法的实现步骤

选取两个大素数，p和q。为了保证最大的安全性，p和q的长度应该相近。计算乘积: 

              n = pq(公开)

            φ(n) = (p-1)(q-1)(不公开)

然后随机选取加密密钥e(公开)，使e和φ(n)互素。计算出解密密钥d(不公开)，以满足:

            d = e-1 mod φ(n) 

注意,d和n也互素。e和n是公钥，d和φ(n)是私钥。两个素数p和q不再需要，它们应该被丢弃，但是绝对不可以泄漏。

加密消息M时，先将其数字化，转化成数字序列，

然后将数字序列分组，M=m1m2…ms，每个分组mi的长度相同(位数不够可在高位补0)且小于n的长度，加密后的密文C将由相同长度的分组ci组成。加密公式如下: 

     ci= me mod n

解密时取每一密文分组ci并计算: 

   mi = cd mod n

消息用d加密就像用e解密一样容易，举一个简单的例子可以更清楚地说明这一点。

选两个素数p = 11，q = 5，那么

        n = pq = 55，

       φ(n) = (p-1)(q-1) = 10×4 = 40

随机选取e，如3，它与φ(n) = 40没有公因子，那么

                    d = 3-1 mod 40 = 27。

公开e和n，将d保密，丢弃p和q。

设明文编码为：

      空格=00,A=01,B=02, …,Z=26 

         m= HI=0809

       C1=(08)3  mod 55=17

       C2=(09)3  mod 55=14

        N=14,Q=17

所以，密文为QN

恢复明文

M1=Cd=(17)27  mod  55=8

M2=Cd=(14)27  mod  55=9

因此明文为“HI”。

13、隔离网闸与物理隔离卡的主要区别是什么？

安全隔离网闸主管一个网络，能够实现网络间的安全适度的信息交换，而物理隔离卡不提供这样的功能，主管一个主机。

14、隔离了，怎么还可以交换数据？

通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的服务器上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。

15、隔离网闸与防火墙有何不同？

防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

16、国际电子商务立法主要内容和特点

市场准入、税收、电子商务合同、电子支付、安全与保密、知识产权、隐私权的保护

从上述国际电子商务立法的发展和主要内容来看，其特点有：国际立法的超前性、提供宽松、简约的电子商务的法制环境、电子商务立法修改的频繁性

13、电子商务标准体系结构

14、实例：IP地址过滤的使用 

预期目的：不允许内网192.168.1.100-192.168.1.102的IP地址访问所有IP地址；允许192.168.1.103完全不受的访问的所有IP地址。设置方法如下：

 1. 选择缺省过滤规则为：凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器：

2.添加IP地址过滤新条目：

   允许内网192.168.1.103完全不受的访问的所有IP地址。因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”，所以内网电脑IP地址段：192.168.1.100-192.168.1.102不需要进行添加，默认禁止其通过。 

3、保存后生成如下条目，即能达到预期目的：

预期目的：内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览网页；192.168.1.103从上午8点到下午6点只允在219.134.132.62邮件服务器上收发邮件，其余时间不能和对通信。

浏览网页需使用到80端口（HTTP协议），收发电子邮件使用25（SMTP）与110（POP），同时域名服务器端口号53（DNS）