解密密钥d(保密的),满足d*e=(module(n)),即d和e相对于模Ф(n)互为逆元素。
RSA的特点:
RSA算法和DES算法的比较
(1)在加密、解密的处理效率方面,DES算法优于RSA算法。
因为DES密钥的长度只有56比特,可以利用软件和硬件实现高速处理;RSA算法需要进行诸如200比特整数的乘幂和求模等多倍字长的处理,处理速度明显慢于DES算法。
(2)在密钥的管理方面,RSA算法比DES算法更加优越。
因为RSA算法可采用公开形式分配加密密钥,对加密密钥的更新也很容易,并且对不同的通信对象,只需对自己的解密密钥保密即可;DES算法要求通信前对密钥进行秘密分配,密钥的更换困难,对不同的通信对象,DES需要产生和保管不同的密钥。
(3)在安全性方面,DES算法和RSA算法的安全性都较好,还没有在短时间内破译它们的有效方法。
(4)在签名和认证方面,RSA算法能够容易地进行数字签名和身份认证。
8、什么是数字签名,它的基本要求有哪些?
数字签名(DigitalSignature)是指用户用自己的私钥对原始数据的数字摘要进行加密所得的数据。
电子签名也称作数字签名,是指用符号及代码密码进行签名来代替书写签名或印章,它采用规范化和科学化的方法,用于签订签名人的身份以及对一项数据电文内容信息的认可。
基本要求:
(1)签名是可信的。
签名使文件的接收者相信签名者是慎重地在文件上签名的。
(2)签名是不可伪造的。
签名证明是签字者而不是其他的人在文件上签字。
(3)签名不可重用。
签名是文件的一部分,不可能将签名移动到不同的文件上。
(4)签名后的文件是不可变的。
在文件签名以后,文件就不能改变。
(5)签名是不可抵赖的。
签名和文件是不可分离的,签名者事后不能声称他没有签过这个文件。
9.画图及描述数字签名和验证的过程。
数字签名技术是公开密钥加密体制的一种实际应用,具体实现过程如下:
(1)生成信息摘要
发送方对要发送的信息进行哈希(Hash)运算,形成信息摘要。
哈希算法是一类符合特殊要求的散列函数,这些特殊函数对输入的信息数据没有长度限制,对任何输入的数据都能生成固定长度的摘要输出,由输入信息能方便地算出摘要,而难以对指定的摘要生成原来的输入信息,并且输入两次不同的信息难以生成相同的摘要。
(2)加密摘要
发送方用自己的私人密钥对生成的信息摘要加密,形成原始信息的数字签名。
(3)发送信息
发送方将要发送的原始信息和数字签名一起发送给接收方。
(4)接收方验证签名
接收方收到信息和数字签名后,对接收到的信息作哈希运算,得到原文的摘要,用发送方的公开密钥解密接收的数字签名,然后用自己计算出的信息摘要与解密的结果进行比较,如果相同说明信息是真实的,如果不相同,说明信息是不可信的或被窜改的。
发送方不可否认所发送的信息,因为其他人无法伪造他的数字签名(除非其私人密钥被窃取)。
利用数字签名进行验证的过程如下:
1.发送方对要传输的信息运用散列函数形成数字摘要;
2.发送方用自己的私有密钥对数字摘要进行加密,得到数字签名;
3.发送方将数字签名附加在原信息后通过网络传输给接收方;
4.接收方用发送方的公开密钥对接收的数字签名进行解密,得到信息的数摘要;
5.接收方用同样的散列函数对接收到的信息重新计算数字摘要;
6.接收方将计算得到的数字摘要与解密得到的数字摘要进行比较,若两者相同,则说明信息的完整性未被破坏,即该文件不是伪造的。
10、画图及描述数字信封的基本过程。
P47
数字信封技术首先使用秘密密钥加密技术对要发送的数据信息进行加密,然后利用公开密钥加密算法对秘密密钥加密技术中使用的秘密密钥进行加密。
其具体的实现方法和步骤如下:
(1)在需要发送信息时,发送方首先生成一个秘密密钥。
(2)利用生成的秘密密钥和秘密密钥加密算法对要发送的信息加密。
(3)发送方利用接收方提供的公开密钥对生成的秘密密钥进行加密。
(4)发送方把加密后的密文通过网络传送给接收方。
(5)接收方使用公开密钥加密算法,利用自己的私钥将加密的秘密密钥还原成明文。
(6)接收方利用还原出的秘密密钥,使用秘密密钥加密算法解密被发送方加密的信息,还原出的明文即是发送方要发送的数据信息。
11、对协议安全性的分析P89
(1)监听和中间人式攻击。
(2)流量数据分析式攻击。
(3)截取再拼接式攻击。
(4)报文重发式攻击。
(5)密钥管理问题。
12、SSL协议的基本功能和特点。
P8和P84-P89
基本功能:
(1)安全套接层协议(SecureSocketsLayer)是工作在Internet的传输层(TCP)之上的,它的主要目的是在两个通信实体之间提供保密和可靠性服务。
(2)SSL协议提供的服务可以归纳为:
(1)用户和服务器的合法性认证
(2)加密数据以隐藏被传送的数据(3)维护数据完整性。
(3)SSL协议包括两层。
处于下面的那层,叫SSL记录协议,它采用TCP作为传输协议提供数据的可靠传送和接收.SSL记录协议用于规定各种高层协议的传输记录格式。
SSL握手协议运行在记录协议之上,主要的作用是让服务器和客户端互相进行认证,并协商一个加密算法和加密密钥,然后才开始传送应用数据。
(4)SSL协议利用公钥和单钥体制对Web服务器和客户机的通信提供保密性、数据完整性和认证性.它的优点在于它是一个独立的应用协议,高层应用协议(例如HTTP,FIT,TELIET等)可透明的放在SSL协议上所有的应用协议数据都经过加密才传送,以确保安全性。
特点:
(1)安全连接信道是保密的、通信双方的身份可以用非对称密码算法或公钥算法来认证、连接是可靠的是SSL协议提供的安全连接的三个基本特征。
(2)很强的扩展能力:
SSL为各种新的算法提供了一个框架,如果你想使用自己的算法,你可以把算法加到算法库中,在握手协议中设定该算法为加密算法即可。
这样可避免重建一个新的协议。
(3)SSL提供的安全服务
v用户和服务器的合法性认证
v加密数据以隐藏被传送的数据
v维护数据的完整性
13、SET协议的基本功能和特点。
SET安全协议提供如下安全服务:
(1)确保在支付系统中支付信息和订购信息的安全性。
(2)确保数据在传输过程中的完整性,即数据不被篡改。
(3)对持卡者身份合法性进行验证。
(4)对商家的身份合法性进行验证。
(5)提供最优的安全系统,以保护在电子交易中的合法用户。
(6)确保该标准不依赖于传输安全技术,也不限定任何安全技术的使用,使通过网络和相应的软件所进行的交互作业简便易行。
14、简述数字签名与数字加密在原理与应用等方面的不同之处。
广泛的数字签名方法主要有三种,即:
RSA签名、DSS签名和Hash签名。
数字签名是通过密码算法对数据进行加、解密变换实现的,用DES算去、RSA算法都可实现数字签名。
数字签名主要经过以下几个过程:
★信息发送者使用一单向散列函数(HASH函数)对信息生成信息摘要;
★信息发送者使用自己的私钥签名信息摘要;
★信息发送者把信息本身和已签名的信息摘要一起发送出去;
★信息接收者通过使用与信息发送者使用的同一个单向散列函数(HASH函数)对接收的信息本身生成新的信息摘要,再使用信息发送者的公钥对信息摘要进行验证,以确认信息发送者的身份和信息是否被修改过。
加入数字签名和验证的文件传输过程如下:
(1)发送方首先用哈希函数从原文得到数字签名,然后采用公开密钥体系用发达方的私有密钥对数字签名进行加密,并把加密后的数字签名附加在要发送的原文后面;
(2)发送一方选择一个秘密密钥对文件进行加密,并把加密后的文件通过网络传输到接收方;
(3)发送方用接收方的公开密钥对密秘密钥进行加密,并通过网络把加密后的秘密密钥传输到接收方;
(4)接受方使用自己的私有密钥对密钥信息进行解密,得到秘密密钥的明文;
(5)接收方用秘密密钥对文件进行解密,得到经过加密的数字签名;
(6)接收方用发送方的公开密钥对数字签名进行解密,得到数字签名的明文;
(7)接收方用得到的明文和哈希函数重新计算数字签名,并与解密后的数字签名进行对比。
如果两个数字签名是相同的,说明文件在传输过程中没有被破坏。
数字加密主要经过以下几个过程:
★当信息发送者需要发送信息时,首先生成一个对称密钥,用该对称密钥加密要发送的报文;
★信息发送者用信息接收者的公钥加密上述对称密钥;
★信息发送者将第一步和第二步的结果结合在一起传给信息接收者,称为数字信封;
★信息接收者使用自己的私钥解密被加密的对称密钥,再用此对称密钥解密被发送方加密的密文,得到真正的原文。
数字签名和数字加密的过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不同。
数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密,这是一个一对多的关系,任何拥有发送方公开密钥的人都可以验证数字签名的正确性。
数字加密则使用的是接收方的密钥对,这是多对一的关系,任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对信息解密。
另外,数字签名只采用了非对称密钥加密算法,它能保证发送信息的完整性、身份认证和不可否认性,而数字加密采用了对称密钥加密算法和非对称密钥加密算法相结合的方法,它能保证发送信息保密性。
15、什么是身份认证,及常用身份认证技术。
身份认证是在计算机网络中确认操作者身份的过程。
身份认证可分为用户与主机间的认证和主机与主机之间的认证,用户与主机之间的认证可以基于如下一个或几个因素:
用户所知道的东西:
例如口令、密码等,用户拥有的东西,例如印章、智能卡(如信用卡等);用户所具有的生物特征:
例如指纹、声音、视网膜、签字、笔迹等。
常用的身份认证方法:
静态密码、智能卡、短信密码、动态口令牌、USBKEY、生物识别技术、双因素身份认证(动态口令牌+静态密码、USBKEY+静态密码、二层静态密码等等)、lnfogo身份认证或者:
1、检测客户端IP地址;2、检测客户端的硬件;3、用SESSION会话;4、用COOKIE;5、用状态码;6、电子钥匙;7、用WINDOWS会话;
16、什么是访问控制?
访问控制的目的和核心是什么?
P100
访问控制和认证是指控制访问电子商务服务器的人和访问内容。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
17、什么是入侵检测系统,其基本类型有哪些?
P123-124
入侵检测系统(intrusiondetectionsystem,IDS)是对计算机和网络资源的恶意使用行为进行识别的系统;它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部用户的非授权行为,并且采取相应的防护手段。
基本类型(省略)
18、什么是PKI,PKI的基本组成?
P184-185
PKI是PublicKeyInfrastructure的缩写,意为公钥基础设施。
简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。
PKI由以下几个基本部分组成:
认证机构(CA)、注册机构(RA)、证书库
密钥备份和恢复、系统证书、废除系统
自动密钥更新、密钥历史档案
应用程序接口、-最终用户
19.什么是数字证书,论述数字证书的基本结构和作用。
P186
数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。
它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。
数字证书的结构:
证书的版本信息;电子身份证;由CA签发;用户信息与私钥的绑定;证书有效期;证书包含的内容
数字证书作用:
使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:
信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
数字证书的作用:
文件加密;数字签名;身份认证
20、论述数字证书的交叉认证
用户的数字证书都是认证中心签发的,通常一个CA中心的所有用户都自动信任该CA所签发的所有证书,这些证书能够自动进行认证,而不同的CA所签发的证书不能自动进行认证。
为使不同的CA所签发的数字证书能够互相认证,就需要使用交叉认证技术。
交叉认证是PKI技术中连接两个独立的信任域的一种方法,每一个CA都有自己的信任域,在该信任域中的所有用户都能够相互信任,而不同信任域中的用户需要相互信任,就需要通过在CA之间进行交叉认证来完成。
交叉认证的作用就是能够扩大认证域的信用范围,使用户在更加广泛的范围内建立起信任关系。
从技术角度来看,两个CA之间的交叉认证就是两个CA互相为对方的根CA签发一张证书,从而使两个CA体系内的证书可以互相验证;从业务角度来看,CA间通过进行交叉认证可以扩展信用范围。
21、简述WWW面临的风险P164-167
●现代恶意代码
●ActiveX的安全性
●URL破坏
●Cookies
●DNS安全
22、什么是防火墙?
企业选购防火墙应注意的问题?
P169,P103-106
什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和Internet之间的任何活动,保证内部网络的安全。
企业选购防火墙应注意的问题:
防火墙自身是否安全、系统是否稳定、防火墙是否高效、防火墙是否可靠、防火墙功能是否灵活、防火墙配置是否方便、防火墙管理是否简便、防火墙是否可以抵抗解决服务攻击、防火墙是否可以针对用户身份进行过滤、防火墙是否具有可扩展可升级性。
23、电子商务支付系统的五个功能P217-P219
(1)使用数字签名和数字证书实现对各方的认证。
(2)使用加密技术对业务进行加密。
(3)使用消息摘要算法以确认业务的完整性。
(4)当交易双方出现纠纷时,保证对业务的不可否认性。
(5)能够处理贸易业务的多边支付问题。
24、网上支付系统的3种基本类型P224
1.基于信用卡的网上支付系统:
信用卡支付是美国等发达国家进行日常消费的一种常用支付工具,使用简单方便。
先后在网上出现的信用卡支付系统有无安全措施的信用卡支付、通过第三方代理人的信用卡支付、简单加密信用卡支付和基于SET的信用卡支付等几种信用卡网上支付模式。
2.电子现金网上支付系统:
电子现金主要包括两类:
一类是币值存储在IC卡上的电子钱包卡形式;另一类则是以数据文件的形式存储在计算机的硬盘上。
由此,电子现金网上支付系统包括电子钱包卡模式与纯数字现金模式两种。
3.电子支票网上支付系统
为了保证电子支票的安全传输和方便使用,国际金融机构为此建立了专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议。
在线的电子支票可在收到支票时即验证出票者的签名、资金状况,避免了传统支票常发生的无效或空头支票的现象。
25、什么是电子现金?
电子现金支付方式存在的问题?
P241,242
电子现金(E-cash)是一种以电子数据形式流通的货币。
电子现金支付方式存在的问题
(1)目前,只有少数商家接受电子现金,而且只有少数几家银行提供电子现金开户服务,给使用者带来许多不便。
(2)成本较高。
(3)存在货币兑换问题。
由于电子现金仍以传统的货币体系为基础,因此从事跨国贸易就必须要使用特殊的兑换软件。
(4)风险较大。
如果某个用户的计算机存储器损坏了,电子现金也就丢失了,钱就无法恢复。
26、电子支票交易的过程:
P242
(1)消费者和商家达成购销协议并选择使用电子支票支付;
(2)消费者通过网络向商家发出电子支票,同时向银行发出付款通知单;
(3)商家通过验证中心对消费者提供的电子支票进行验证,验证无误后将电子支票送交银行索付;
(4)银行在商家索付时通过验证中心对消费者提供的电子支票进行验证,验证无误后即向商家兑付或转账。
附注:
根据老师的复习提示,我和许慧整理了这份资料,希望对大家复习有所帮助。
另外就是那些需要画图的地方,这里面的图可能不够准确(这不是老师上课画的的那些),如果你需要精确的图请招学委借书。
(呵呵,不好意思我还没画到这个文档上。
)
最后,大家结合书本和PPT一起复习,有所出入的地方,大家尽管提出来,大家一起努力!