1、名詞解釋：1.混合加密系統(tǒng)：是指綜合利用消息加密。數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別性和不可否認(rèn)性。它成為目前信息安全傳送的標(biāo)準(zhǔn)模式，被廣泛采用。4.通行字（Password，也稱口令、護(hù)字符）：是一種根據(jù)已知事務(wù)驗(yàn)證身份的方法，也是一種研究和使用最廣的身份驗(yàn)證法。6.C1級(jí)：有時(shí)也叫做酌情安全保護(hù)級(jí)，它要求系統(tǒng)硬件中有一定的安全保護(hù)，用戶在使用前必須在系統(tǒng)中注冊(cè)。14.RSA密碼算法：是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。RSA密碼體質(zhì)是基于群Zn中大整數(shù)因子分解的困難性。15.接入限制：表示主體對(duì)客體訪問時(shí)可擁有的權(quán)利，接入權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包

2、括讀、寫、執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目標(biāo)位一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。21.加密橋技術(shù)：是一個(gè)數(shù)據(jù)庫(kù)加密應(yīng)用設(shè)計(jì)平臺(tái)，根據(jù)應(yīng)用系統(tǒng)開發(fā)環(huán)境不同，提供不同接口，實(shí)現(xiàn)對(duì)不同環(huán)境下（不同主機(jī)、不同操作系統(tǒng)、不同數(shù)據(jù)庫(kù)管理系統(tǒng)、不同國(guó)家語(yǔ)言）數(shù)據(jù)庫(kù)數(shù)據(jù)加密以后的數(shù)據(jù)操作。22.公鑰數(shù)字證書：是網(wǎng)絡(luò)上的證明文件：證明雙鑰體質(zhì)中的公鑰所有者就是證書上所記錄的使用者。28.數(shù)字簽名：（也稱數(shù)字簽字、電子簽名）在信息安全方面有重要的應(yīng)用，是實(shí)現(xiàn)認(rèn)證的重要工具，在電子商務(wù)系統(tǒng)中是比不可少的。29.PKI：即“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)

3、和規(guī)范，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。31.個(gè)人數(shù)字證書：是指?jìng)€(gè)人使用電子商務(wù)應(yīng)用系統(tǒng)應(yīng)具備的證書。44.雙連簽名：是指在一次電子商務(wù)活動(dòng)過程中可能同時(shí)有兩個(gè)有聯(lián)系的消息M1和 M2，要對(duì)它們同時(shí)進(jìn)行數(shù)字簽名。46.中國(guó)金融認(rèn)證中心（CFCA）:是中國(guó)人民銀行牽頭，聯(lián)合14家全國(guó)性商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)唯一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機(jī)構(gòu)。47.接入控制：是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問，在對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源安全管理使用。48.域內(nèi)

4、認(rèn)證：是指Client向本Kerberos的認(rèn)證域以內(nèi)的Server申請(qǐng)服務(wù)的過程。50.自主式接入控制：簡(jiǎn)記為DAC。它由資源擁有者分配接入權(quán)，在辨別個(gè)用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。51.Kerberos：是一種典型的用戶客戶機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議，它是一種基于對(duì)稱密碼體質(zhì)的安全認(rèn)證服務(wù)系統(tǒng)。其最大的優(yōu)點(diǎn)是使用方便、易于實(shí)施。53.CFCA證書：是CFCA用其私鑰進(jìn)行數(shù)字簽名的包含用戶身份、公開密鑰、有效期等許多相關(guān)信息的權(quán)威性的電子文件，是各實(shí)體在網(wǎng)上的電子身份證。2.冗余系統(tǒng)：是系統(tǒng)中除了配置正常的部件以外，還配置出的備份部件。當(dāng)正常的部件出現(xiàn)故障時(shí)，備份部件能夠立即替代它繼續(xù)工作。3

5、.非軍事化區(qū)（DMZ）：是指為了配置管理方便，內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器往往放在一個(gè)單獨(dú)的網(wǎng)段。5.客戶證書：這種證書證實(shí)客戶身份和密鑰所有權(quán)。7.C2級(jí)：又稱訪問控制保護(hù)級(jí)。8.無條件安全：一個(gè)密碼體質(zhì)的安全性取決于被破譯者具備的計(jì)算機(jī)能力，如若它對(duì)于擁有無限計(jì)算機(jī)資源的破譯者來說是安全的，則稱這樣的密碼體質(zhì)是無條件安全的。9.防火墻：是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)、10.單公鑰證書系統(tǒng)：是指一個(gè)系統(tǒng)中所有的用戶共同用一個(gè)CA。11.數(shù)據(jù)完整性：或稱真確性是指數(shù)據(jù)處于“一種未受損的狀態(tài)”或“保持完整或未被分

6、割的品質(zhì)或狀態(tài)”。12.數(shù)據(jù)完整性服務(wù)：就是確認(rèn)數(shù)據(jù)沒有被修改。13.RSA簽名體質(zhì)：是利用雙鑰密碼體質(zhì)的RSA加密算法實(shí)現(xiàn)數(shù)字簽名。16.拒絕率：是指身份證明系統(tǒng)的質(zhì)量指標(biāo)，為合法用戶遭拒絕的概率。17.SSL：即安全套接層（或安全套接口層）協(xié)議，是用于到購(gòu)物網(wǎng)站上交易的，并保障交易的安全性。通俗地說，SSL就是客戶和商家在通信之前，在Internet上建立一個(gè)“秘密傳輸信息的通道”，保障了傳輸信息的機(jī)密性、完整性和認(rèn)證性。18.計(jì)算機(jī)上安全：是指一個(gè)密碼體質(zhì)對(duì)于擁有有限計(jì)算資源的破譯者來說是安全的，計(jì)算上安全的密碼表明破譯的難度很大。19.容錯(cuò)技術(shù)：是指當(dāng)系統(tǒng)發(fā)生某些錯(cuò)誤或故障時(shí)，在不排除

7、錯(cuò)誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或者進(jìn)入應(yīng)急工作狀態(tài)。20.加密算法：即加密程序的邏輯，是指對(duì)明文進(jìn)行加密所采用的一組規(guī)則。23.PPTP：即點(diǎn)對(duì)點(diǎn)隧道協(xié)議，它是用于PPTP客戶機(jī)和PPTP服務(wù)器之間的安全通信。24.電子錢包：是安裝在客戶端計(jì)算機(jī)上，并符合SET規(guī)格的軟件，電子錢包處理客戶端的所有SET信息。25.電子安全郵件證書：是指?jìng)€(gè)人用戶收發(fā)郵件時(shí)采用證書機(jī)制保證安全所必須具備的證書。26.散列函數(shù)：是將一個(gè)長(zhǎng)度不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的輸出串成為散列值。27.歸檔：是指將文件從計(jì)算機(jī)的存儲(chǔ)介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上，以便長(zhǎng)期保存的過程。30.PKI中的公證服務(wù)：與

8、一般社會(huì)公證人提供的服務(wù)有所不同，PKI中支持的公證服務(wù)是指“數(shù)據(jù)認(rèn)證”，也就是說，公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公正取決于數(shù)據(jù)驗(yàn)證的方法。32.電子商務(wù)：顧名思義，是建立在電子技術(shù)基礎(chǔ)上的商業(yè)運(yùn)作，是利用電子技術(shù)加強(qiáng)、加快、擴(kuò)展、增強(qiáng)、改變了其有關(guān)過程的商務(wù)。33.計(jì)算機(jī)病毒：是指編程者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。34.惡性病毒：是指那些一旦發(fā)作后，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類計(jì)算機(jī)病毒。35.通行字有效期：是指限定通行字的使用期限。36.不可否認(rèn)業(yè)務(wù)：在數(shù)字環(huán)境下可看做是通信中的一種屬

9、性，用來防止通信參與者對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)。37.SSL記錄協(xié)議：定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式。38.明文：是指原始的、未被偽裝的消息，也稱信源。通常用M表示。39.密文：通過一個(gè)密鑰和加密算法可將明文變換成一種偽裝的信息，稱為密文。通常用C表示。40.加密：把明文變成密文的過程。通常用E表示。41.加密算法：對(duì)明文進(jìn)行加密所采用的一組規(guī)則，稱為解密。通常用D表示。42.解密算法：消息傳送給接受者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱做解密算法43.密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱作加密密鑰和解密密鑰。通常用K表示45.“遏制點(diǎn)”：提供兩個(gè)網(wǎng)絡(luò)間的訪問控

10、制，使得只有被安全策略明確授權(quán)的信息流才被允許通過，對(duì)兩個(gè)方向的信息流都能控制。49.TCP/IP協(xié)議：IP協(xié)議提供基本的通信協(xié)議，TCP協(xié)議放在IP協(xié)議的基礎(chǔ)上為各種應(yīng)用提供可靠和有序的數(shù)據(jù)傳送功能。52.SET：是一種以信用卡為基礎(chǔ)的、在Internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)。奇偶校驗(yàn)：是服務(wù)器的一種特征，他提供一種機(jī)器機(jī)制來保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)由于服務(wù)器的出錯(cuò)導(dǎo)致數(shù)據(jù)完整性的喪失。身份識(shí)別：是指輸入個(gè)人信息，經(jīng)過處理提取成模版信息，試著在存儲(chǔ)數(shù)據(jù)庫(kù)中搜索找出與之匹配的模版，而后給出結(jié)論的過程。認(rèn)證服務(wù)：身份識(shí)別與鑒定，就是確認(rèn)實(shí)體即為自己所申明的實(shí)體，

11、鑒別身份的真?zhèn)?。證書政策：是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全的實(shí)現(xiàn)公開環(huán)境中的服務(wù)提供、管理和通信。Diffie-Hellman協(xié)議：是用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來進(jìn)行直接密鑰交換。盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這是通常所需要的，但是有時(shí)某人對(duì)一個(gè)文件簽名，而又不讓他知道文件內(nèi)容，稱為盲簽名。遞送的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或兩者皆有的分歧。提交的不可否認(rèn)性：它不同于前兩類，用于防止或解決出現(xiàn)有關(guān)是否一個(gè)參與者傳送或提交了一個(gè)特定數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、或兩種情況

12、的分歧。源的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)、源在某個(gè)特定時(shí)刻出現(xiàn)、或兩者都有的分歧。Extranet：是基于TCP/IP協(xié)議的企業(yè)外域網(wǎng)，與intranet對(duì)應(yīng)，是一個(gè)合作性的網(wǎng)絡(luò)。 拒絕率：是身份證明系統(tǒng)的質(zhì)量指標(biāo)之一，是指合法用戶遭拒絕的概率。 多公鑰證書系統(tǒng)：用于不同證書的用戶之間互相認(rèn)證的證書系統(tǒng)、Intranet VPN：即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。Access VPN：又稱為撥號(hào)VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。Extrant VPN：即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同

13、企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。奇偶校驗(yàn)：是服務(wù)器的一種特征，他提供一種機(jī)器機(jī)制來保證對(duì)內(nèi)存錯(cuò)誤的檢測(cè)，因此，不會(huì)由于服務(wù)器的出錯(cuò)導(dǎo)致數(shù)據(jù)完整性的喪失。身份識(shí)別：是指輸入個(gè)人信息，經(jīng)過處理提取成模版信息，試著在存儲(chǔ)數(shù)據(jù)庫(kù)中搜索找出與之匹配的模版，而后給出結(jié)論的過程。認(rèn)證服務(wù)：身份識(shí)別與鑒定，就是確認(rèn)實(shí)體即為自己所申明的實(shí)體，鑒別身份的真?zhèn)?。證書政策：是信息管理和信息技術(shù)基礎(chǔ)設(shè)施的一個(gè)組成部分，使得這個(gè)基礎(chǔ)設(shè)施從整體上能夠安全的實(shí)現(xiàn)公開環(huán)境中的服務(wù)提供、管理和通信。Diffie-Hellman協(xié)議：是用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來進(jìn)行直接密鑰交換。盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，

14、這是通常所需要的，但是有時(shí)某人對(duì)一個(gè)文件簽名，而又不讓他知道文件內(nèi)容，稱為盲簽名。遞送的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或兩者皆有的分歧。提交的不可否認(rèn)性：它不同于前兩類，用于防止或解決出現(xiàn)有關(guān)是否一個(gè)參與者傳送或提交了一個(gè)特定數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、或兩種情況的分歧。源的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)、源在某個(gè)特定時(shí)刻出現(xiàn)、或兩者都有的分歧。Extranet：是基于TCP/IP協(xié)議的企業(yè)外域網(wǎng)，與intranet對(duì)應(yīng)，是一個(gè)合作性的網(wǎng)絡(luò)。 拒絕率：是身份證明系統(tǒng)的質(zhì)量指標(biāo)之一，是指合法用戶遭拒

15、絕的概率。 多公鑰證書系統(tǒng)：用于不同證書的用戶之間互相認(rèn)證的證書系統(tǒng)、Intranet VPN：即企業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。Access VPN：又稱為撥號(hào)VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。Extrant VPN：即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。42.從混合加密系統(tǒng)的實(shí)施過程分析來看如何實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性和不可否認(rèn)性？混合加密系統(tǒng)綜合利用了消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名等技術(shù)，實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性和不可否認(rèn)性。具體的實(shí)施過程如下： 1.發(fā)送方

16、對(duì)明文消息求其消息散列。2.發(fā)送方使用自己的私鑰對(duì)散列值進(jìn)行數(shù)字簽名。3.將明文和散列值進(jìn)行合并形成文檔。 4.隨機(jī)產(chǎn)生一個(gè)DES密碼用此密碼對(duì)合并的文檔進(jìn)行DES加密。5.用接收方的公鑰對(duì)DES密碼進(jìn)行加密。接收方收到消息后：（1）使用私鑰解密得到DES解密密碼。（2）用DES密碼解密接收到的加密消息.（3）從解密的消息中分離出明文和消息的散列值.（4）對(duì)消息求其散列值。（5）對(duì)比兩個(gè)散列值，相同則接受消息。 30.計(jì)算機(jī)病毒按照寄生方式分為引導(dǎo)型病毒、文件型病毒和復(fù)合型病毒。27.病毒的特征包括非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現(xiàn)性或破壞性、可觸發(fā)性。27我國(guó)計(jì)算機(jī)應(yīng)急體系在進(jìn)行計(jì)

17、算機(jī)病毒的防范時(shí)，遵循的工作原則是：“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確?；謴?fù)”。28.計(jì)算機(jī)病毒具有正常程序的一切特征：可存儲(chǔ)性、可執(zhí)行性。26.目前典型的兩類自動(dòng)密鑰分配途徑是集中式分配方案和分布式分配方案。 29.SHECA提供了兩種證書系統(tǒng)，分別是SET證書系統(tǒng)和通用證書系統(tǒng)。 26.Internet是基于傳輸控制協(xié)議和網(wǎng)際協(xié)議的國(guó)際互聯(lián)網(wǎng)絡(luò)。 27.Intranet是指基于TCP/IP協(xié)議的內(nèi)部網(wǎng)絡(luò)。它通過防火墻或其他安全機(jī)制與Internet建立連接。27.DiffeHellman協(xié)議是最早提出的公開的密鑰交換協(xié)議該協(xié)議具有算法簡(jiǎn)潔和運(yùn)算速度快的優(yōu)點(diǎn)。 28.一個(gè)身份證明系統(tǒng)一般由3

18、方組成一方是出示證件的人（示證者），另一方為驗(yàn)證者，第三方為可信賴者。 30.身份證明可以依靠所知、所有和個(gè)人特征這3種基本途徑之一或它們的組合來實(shí)現(xiàn)。28.身份證明系統(tǒng)的質(zhì)量指標(biāo)之一為合法用戶遭拒絕的概率，即拒絕率或虛報(bào)率。29.身份證明技術(shù)，又稱識(shí)別、實(shí)體認(rèn)證、身份證實(shí)等。27.PKI提供電子商務(wù)的基本安全需要，是基于數(shù)字證書的。29.PKI不可否認(rèn)業(yè)務(wù)的類型分為源的不可否認(rèn)性、遞送的不可否認(rèn)性和提交的不可否認(rèn)性。 28.PKI是基于數(shù)字ID的，作用就象是一個(gè)電子護(hù)照，把用戶的數(shù)字簽名綁接到其公鑰上。30.PKI的服務(wù)主要包括認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認(rèn)性、公共及時(shí)間戳服務(wù)。30

19、.中國(guó)金融認(rèn)證中心的英文簡(jiǎn)寫為CFCA，它是由中國(guó)人民銀行牽頭，聯(lián)合多家商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)。30.中國(guó)金融認(rèn)證中心(China Financial Certification Authority簡(jiǎn)稱CFCA)專門負(fù)責(zé)為電子商務(wù)的各種認(rèn)證需求提供數(shù)字證書服務(wù)，為參與網(wǎng)上交易的各方提供信息安全保障實(shí)現(xiàn)互聯(lián)網(wǎng)上電子交易的保密性、真實(shí)性、完整性和不可否認(rèn)性31.CFCA認(rèn)證系統(tǒng)采用國(guó)際領(lǐng)先的PKI技術(shù)，總體分為三層，第一層為根CA，第二層為政策CA，第三層為運(yùn)營(yíng)CA.29.CFCA手機(jī)證書支持無線PKI，提供基于WAP和短信息兩種方式的手機(jī)證書，實(shí)現(xiàn)在移動(dòng)商務(wù)中的身份驗(yàn)證、信息加

20、密、數(shù)字簽名，確保使用者能在任何地點(diǎn)、任何時(shí)間，方便、及時(shí)、交互地進(jìn)行安全接入信息與服務(wù)。 29.CTCA目前主要提供的證書有：安全電子郵件證書、個(gè)人數(shù)字證書、企業(yè)數(shù)字證書、服務(wù)器數(shù)字證書和SSL服務(wù)器數(shù)字證書。30.CTCA采用分級(jí)管理，由全國(guó)CA中心、省RA中心和地市級(jí)業(yè)務(wù)受理點(diǎn)組成。26.在一次信息傳遞過程中可以綜合利用消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別性和不可否認(rèn)性這種方法一般稱為混合加密系統(tǒng)。 28.采用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)其安全性取決于對(duì)密鑰的保護(hù)，而不是對(duì)算法和硬件本身的保護(hù)。 27.VPN利用隧道協(xié)議在網(wǎng)絡(luò)之間建立一個(gè)虛擬通道，以完成數(shù)據(jù)信息

21、的安全傳輸。28VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的機(jī)密與簽名技術(shù)來獲得機(jī)密性保護(hù)。 29.在我國(guó)，制約VPN的發(fā)展的客觀因素包括帶寬和服務(wù)質(zhì)量QoS_。30VPN的設(shè)計(jì)應(yīng)該遵循以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理等。 27.VPN解決方案一般分為VPN服務(wù)器和VPN客戶端。28.在網(wǎng)絡(luò)連接技術(shù)中，從表面上看它類似于一種專用連接，但實(shí)際上是在共享網(wǎng)絡(luò)上實(shí)現(xiàn)的，這種連接技術(shù)稱為VPN，它往往使用一種被稱作隧道的技術(shù)。29.一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。 28.IPSec是一系列

22、保護(hù)IP通信的規(guī)則的集合，它包含傳輸模式與隧道模式兩種工作模式29.IPSec的傳輸模式，為源到目的之間已存在的IP包提供安全性。27.散列函數(shù)是現(xiàn)代信息密碼學(xué)的核心之一，算法是公開的，其安全性完全在于它的單向性和無沖突性。 27.一個(gè)好的散列函數(shù)h=H(M)，其中H為散列函數(shù)；M為長(zhǎng)度不確定的輸入串；h為散列值，長(zhǎng)度是確定的。28.通行字是一種根據(jù)已知事物驗(yàn)證身份的方法也是一種研究和使用最廣的身份驗(yàn)證法。 28.通行字可由用戶個(gè)人選擇，也可由系統(tǒng)管理員選定或由系統(tǒng)自動(dòng)生成。29.SSL握手協(xié)議用于客戶-服務(wù)器相互認(rèn)證、協(xié)商加密和MAC（強(qiáng)制式接入控制）算法，傳送所需的公鑰證書，建立SSL記錄

23、協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話密鑰。 30.SSL就是客戶和商家在通信之前，在Internet上建立一個(gè)“秘密傳輸信息的信道”，保障了傳輸信息的機(jī)密性、完整性和認(rèn)證性。31.SSL可用于保護(hù)正常運(yùn)行于TCP上任何應(yīng)用協(xié)議，如HTTP、FTP、SMTP或Telnet的通信。27.公鑰證書系統(tǒng)是由一個(gè)證書機(jī)構(gòu)CA和一群用戶組成。30.加密橋技術(shù)的實(shí)現(xiàn)是與密碼算法、密碼設(shè)備無關(guān)的(可以使用任何加密手段)。29.數(shù)據(jù)庫(kù)的加密方法有三種，使用加密軟件加密數(shù)據(jù)，使用專用軟件加密數(shù)據(jù)庫(kù)數(shù)據(jù)以及加密橋技術(shù)。30.數(shù)據(jù)庫(kù)的加密方法有三種，其中與DBMS分離的加密方法是加密橋技術(shù)27.基于SET協(xié)議電子商務(wù)系

24、統(tǒng)的業(yè)務(wù)過程可分為注冊(cè)登記申請(qǐng)數(shù)字證書，動(dòng)態(tài)認(rèn)證和商業(yè)機(jī)構(gòu)的處理。27.商務(wù)數(shù)據(jù)的機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)。 29.通過一個(gè)密鑰和加密算法可將明文變換成一種偽裝的信息。 26.美國(guó)橘黃皮書中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)共7級(jí)標(biāo)準(zhǔn)，其中D級(jí)為最低級(jí)別。 27.數(shù)字簽名分為兩種，其中RSA和Rabin簽名屬于確定性簽名，ELGamal簽名屬于隨機(jī)式簽名。 29.證書申請(qǐng)包括了用戶證書的申請(qǐng)與商家證書的申請(qǐng)，其申請(qǐng)方式包括網(wǎng)上申請(qǐng)和離線申請(qǐng)。 26.在服務(wù)器面臨的攻擊威脅中，攻擊者通過控制一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶端，這種威脅稱為劫

25、持入侵。 27.根據(jù)近代密碼學(xué)的觀點(diǎn)，一個(gè)密碼系統(tǒng)的安全性取決于對(duì)密鑰的保護(hù)，而不取決于對(duì)算法的保密。 26根據(jù)電子商務(wù)的發(fā)展過程，可以將電子商務(wù)分為以建立在專用網(wǎng)基礎(chǔ)上的EDI為代表的傳統(tǒng)電子商務(wù)和以因特網(wǎng)為基礎(chǔ)的現(xiàn)代電子商務(wù)。 26.數(shù)字時(shí)間戳技術(shù)利用仲裁方案和鏈接協(xié)議來實(shí)現(xiàn)其解決有關(guān)簽署文件的時(shí)間方面的仲裁。 27.接入控制機(jī)構(gòu)由用戶的認(rèn)證與識(shí)別、對(duì)認(rèn)證的用戶進(jìn)行授權(quán)兩部分組成。 27.在接入控制機(jī)構(gòu)中，客體可由是一個(gè)數(shù)據(jù)文件、一個(gè)程序組或一個(gè)數(shù)據(jù)庫(kù)。28.為了防止數(shù)據(jù)丟失，并保證數(shù)據(jù)備份的效率，除了定期(如一周)對(duì)數(shù)據(jù)進(jìn)行完全備份外，還要定期(如一天)對(duì)數(shù)據(jù)進(jìn)行存檔或整理。29.目前有

26、三種基本的備份系統(tǒng)：簡(jiǎn)單的網(wǎng)絡(luò)備份系統(tǒng)、服務(wù)器到服務(wù)器的備份和使用專用的備份系統(tǒng)。 30.密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其唯一性而不能夠備份。31.多層次的密鑰系統(tǒng)中的密鑰分為兩大類：數(shù)據(jù)加密密鑰（DK）和密鑰加密密鑰（KK）。30.為了對(duì)證書進(jìn)行有效的管理，證書實(shí)行分級(jí)管理，認(rèn)證機(jī)構(gòu)采用了樹形結(jié)構(gòu)，證書可以通過一個(gè)完整的安全體系得以驗(yàn)證。26.IDEA加密算法中，輸入和輸出的數(shù)據(jù)塊的長(zhǎng)度是64位，密鑰長(zhǎng)度是128位。 27.電子商務(wù)的技術(shù)要素組成中，首先要有網(wǎng)絡(luò)，其次必須有各種各樣的應(yīng)用軟件，當(dāng)然也少不了以各種服務(wù)器為核心組成的計(jì)算機(jī)系統(tǒng)。 28.密鑰管理是最困難的安全性問題

27、，其中密鑰的分配和存儲(chǔ)可能是最棘手的。 29.安全電子郵件證書是指?jìng)€(gè)人用戶收發(fā)電子郵件時(shí)，采用證書機(jī)制保證安全。它的申請(qǐng)不需要通過業(yè)務(wù)受理點(diǎn)，由用戶直接通過自己的瀏覽器完成，用戶的密鑰對(duì)由瀏覽器產(chǎn)生和管理。 42.從混合加密系統(tǒng)的實(shí)施過程分析來看如何實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性和不可否認(rèn)性？混合加密系統(tǒng)綜合利用了消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名等技術(shù)，實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性和不可否認(rèn)性。具體的實(shí)施過程如下： 1.發(fā)送方對(duì)明文消息求其消息散列。2.發(fā)送方使用自己的私鑰對(duì)散列值進(jìn)行數(shù)字簽名。3.將明文和散列值進(jìn)行合并形成文檔。 4.隨機(jī)產(chǎn)生一個(gè)DES密碼用此密碼對(duì)合

28、并的文檔進(jìn)行DES加密。5.用接收方的公鑰對(duì)DES密碼進(jìn)行加密。接收方收到消息后：（1）使用私鑰解密得到DES解密密碼。（2）用DES密碼解密接收到的加密消息.（3）從解密的消息中分離出明文和消息的散列值.（4）對(duì)消息求其散列值。（5）對(duì)比兩個(gè)散列值，相同則接受消息。 30.計(jì)算機(jī)病毒按照寄生方式分為引導(dǎo)型病毒、文件型病毒和復(fù)合型病毒。27.病毒的特征包括非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、表現(xiàn)性或破壞性、可觸發(fā)性。27我國(guó)計(jì)算機(jī)應(yīng)急體系在進(jìn)行計(jì)算機(jī)病毒的防范時(shí)，遵循的工作原則是：“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)、確?；謴?fù)”。28.計(jì)算機(jī)病毒具有正常程序的一切特征：可存儲(chǔ)性、可執(zhí)行性。26.

29、目前典型的兩類自動(dòng)密鑰分配途徑是集中式分配方案和分布式分配方案。 29.SHECA提供了兩種證書系統(tǒng)，分別是SET證書系統(tǒng)和通用證書系統(tǒng)。 26.Internet是基于傳輸控制協(xié)議和網(wǎng)際協(xié)議的國(guó)際互聯(lián)網(wǎng)絡(luò)。 27.Intranet是指基于TCP/IP協(xié)議的內(nèi)部網(wǎng)絡(luò)。它通過防火墻或其他安全機(jī)制與Internet建立連接。27.DiffeHellman協(xié)議是最早提出的公開的密鑰交換協(xié)議該協(xié)議具有算法簡(jiǎn)潔和運(yùn)算速度快的優(yōu)點(diǎn)。 28.一個(gè)身份證明系統(tǒng)一般由3方組成一方是出示證件的人（示證者），另一方為驗(yàn)證者，第三方為可信賴者。 30.身份證明可以依靠所知、所有和個(gè)人特征這3種基本途徑之一或它們的組合來

30、實(shí)現(xiàn)。28.身份證明系統(tǒng)的質(zhì)量指標(biāo)之一為合法用戶遭拒絕的概率，即拒絕率或虛報(bào)率。29.身份證明技術(shù)，又稱識(shí)別、實(shí)體認(rèn)證、身份證實(shí)等。27.PKI提供電子商務(wù)的基本安全需要，是基于數(shù)字證書的。29.PKI不可否認(rèn)業(yè)務(wù)的類型分為源的不可否認(rèn)性、遞送的不可否認(rèn)性和提交的不可否認(rèn)性。 28.PKI是基于數(shù)字ID的，作用就象是一個(gè)電子護(hù)照，把用戶的數(shù)字簽名綁接到其公鑰上。30.PKI的服務(wù)主要包括認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認(rèn)性、公共及時(shí)間戳服務(wù)。30.中國(guó)金融認(rèn)證中心的英文簡(jiǎn)寫為CFCA，它是由中國(guó)人民銀行牽頭，聯(lián)合多家商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)。30.中國(guó)金融認(rèn)證中心(Chin

31、a Financial Certification Authority簡(jiǎn)稱CFCA)專門負(fù)責(zé)為電子商務(wù)的各種認(rèn)證需求提供數(shù)字證書服務(wù)，為參與網(wǎng)上交易的各方提供信息安全保障實(shí)現(xiàn)互聯(lián)網(wǎng)上電子交易的保密性、真實(shí)性、完整性和不可否認(rèn)性31.CFCA認(rèn)證系統(tǒng)采用國(guó)際領(lǐng)先的PKI技術(shù)，總體分為三層，第一層為根CA，第二層為政策CA，第三層為運(yùn)營(yíng)CA.29.CFCA手機(jī)證書支持無線PKI，提供基于WAP和短信息兩種方式的手機(jī)證書，實(shí)現(xiàn)在移動(dòng)商務(wù)中的身份驗(yàn)證、信息加密、數(shù)字簽名，確保使用者能在任何地點(diǎn)、任何時(shí)間，方便、及時(shí)、交互地進(jìn)行安全接入信息與服務(wù)。 29.CTCA目前主要提供的證書有：安全電子郵件證書、

32、個(gè)人數(shù)字證書、企業(yè)數(shù)字證書、服務(wù)器數(shù)字證書和SSL服務(wù)器數(shù)字證書。30.CTCA采用分級(jí)管理，由全國(guó)CA中心、省RA中心和地市級(jí)業(yè)務(wù)受理點(diǎn)組成。26.在一次信息傳遞過程中可以綜合利用消息加密、數(shù)字信封、散列函數(shù)和數(shù)字簽名實(shí)現(xiàn)安全性、完整性、可鑒別性和不可否認(rèn)性這種方法一般稱為混合加密系統(tǒng)。 28.采用密碼技術(shù)保護(hù)的現(xiàn)代信息系統(tǒng)其安全性取決于對(duì)密鑰的保護(hù)，而不是對(duì)算法和硬件本身的保護(hù)。 27.VPN利用隧道協(xié)議在網(wǎng)絡(luò)之間建立一個(gè)虛擬通道，以完成數(shù)據(jù)信息的安全傳輸。28VPN是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的機(jī)密與簽名技術(shù)來獲得機(jī)密性保護(hù)。 29

33、.在我國(guó)，制約VPN的發(fā)展的客觀因素包括帶寬和服務(wù)質(zhì)量QoS_。30VPN的設(shè)計(jì)應(yīng)該遵循以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理等。 27.VPN解決方案一般分為VPN服務(wù)器和VPN客戶端。28.在網(wǎng)絡(luò)連接技術(shù)中，從表面上看它類似于一種專用連接，但實(shí)際上是在共享網(wǎng)絡(luò)上實(shí)現(xiàn)的，這種連接技術(shù)稱為VPN，它往往使用一種被稱作隧道的技術(shù)。29.一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。 28.IPSec是一系列保護(hù)IP通信的規(guī)則的集合，它包含傳輸模式與隧道模式兩種工作模式29.IPSec的傳輸模式，為源到目的之間已存在的IP包提供安全性。27.散列函數(shù)是

34、現(xiàn)代信息密碼學(xué)的核心之一，算法是公開的，其安全性完全在于它的單向性和無沖突性。 27.一個(gè)好的散列函數(shù)h=H(M)，其中H為散列函數(shù)；M為長(zhǎng)度不確定的輸入串；h為散列值，長(zhǎng)度是確定的。28.通行字是一種根據(jù)已知事物驗(yàn)證身份的方法也是一種研究和使用最廣的身份驗(yàn)證法。 28.通行字可由用戶個(gè)人選擇，也可由系統(tǒng)管理員選定或由系統(tǒng)自動(dòng)生成。29.SSL握手協(xié)議用于客戶-服務(wù)器相互認(rèn)證、協(xié)商加密和MAC（強(qiáng)制式接入控制）算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話密鑰。 30.SSL就是客戶和商家在通信之前，在Internet上建立一個(gè)“秘密傳輸信息的信道”，保障了傳輸信息

35、的機(jī)密性、完整性和認(rèn)證性。31.SSL可用于保護(hù)正常運(yùn)行于TCP上任何應(yīng)用協(xié)議，如HTTP、FTP、SMTP或Telnet的通信。27.公鑰證書系統(tǒng)是由一個(gè)證書機(jī)構(gòu)CA和一群用戶組成。30.加密橋技術(shù)的實(shí)現(xiàn)是與密碼算法、密碼設(shè)備無關(guān)的(可以使用任何加密手段)。29.數(shù)據(jù)庫(kù)的加密方法有三種，使用加密軟件加密數(shù)據(jù)，使用專用軟件加密數(shù)據(jù)庫(kù)數(shù)據(jù)以及加密橋技術(shù)。30.數(shù)據(jù)庫(kù)的加密方法有三種，其中與DBMS分離的加密方法是加密橋技術(shù)27.基于SET協(xié)議電子商務(wù)系統(tǒng)的業(yè)務(wù)過程可分為注冊(cè)登記申請(qǐng)數(shù)字證書，動(dòng)態(tài)認(rèn)證和商業(yè)機(jī)構(gòu)的處理。27.商務(wù)數(shù)據(jù)的機(jī)密性可用加密和信息隱匿技術(shù)實(shí)現(xiàn)。 29.通過一個(gè)密鑰和加密算法

36、可將明文變換成一種偽裝的信息。 26.美國(guó)橘黃皮書中為計(jì)算機(jī)安全的不同級(jí)別制定了4個(gè)共7級(jí)標(biāo)準(zhǔn)，其中D級(jí)為最低級(jí)別。 27.數(shù)字簽名分為兩種，其中RSA和Rabin簽名屬于確定性簽名，ELGamal簽名屬于隨機(jī)式簽名。 29.證書申請(qǐng)包括了用戶證書的申請(qǐng)與商家證書的申請(qǐng)，其申請(qǐng)方式包括網(wǎng)上申請(qǐng)和離線申請(qǐng)。 26.在服務(wù)器面臨的攻擊威脅中，攻擊者通過控制一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī)，然后從網(wǎng)上斷開，讓網(wǎng)絡(luò)服務(wù)器誤以為黑客就是實(shí)際的客戶端，這種威脅稱為劫持入侵。 27.根據(jù)近代密碼學(xué)的觀點(diǎn)，一個(gè)密碼系統(tǒng)的安全性取決于對(duì)密鑰的保護(hù)，而不取決于對(duì)算法的保密。 26根據(jù)電子商務(wù)的發(fā)展過程，可以將電子商務(wù)

37、分為以建立在專用網(wǎng)基礎(chǔ)上的EDI為代表的傳統(tǒng)電子商務(wù)和以因特網(wǎng)為基礎(chǔ)的現(xiàn)代電子商務(wù)。 26.數(shù)字時(shí)間戳技術(shù)利用仲裁方案和鏈接協(xié)議來實(shí)現(xiàn)其解決有關(guān)簽署文件的時(shí)間方面的仲裁。 27.接入控制機(jī)構(gòu)由用戶的認(rèn)證與識(shí)別、對(duì)認(rèn)證的用戶進(jìn)行授權(quán)兩部分組成。 27.在接入控制機(jī)構(gòu)中，客體可由是一個(gè)數(shù)據(jù)文件、一個(gè)程序組或一個(gè)數(shù)據(jù)庫(kù)。28.為了防止數(shù)據(jù)丟失，并保證數(shù)據(jù)備份的效率，除了定期(如一周)對(duì)數(shù)據(jù)進(jìn)行完全備份外，還要定期(如一天)對(duì)數(shù)據(jù)進(jìn)行存檔或整理。29.目前有三種基本的備份系統(tǒng)：簡(jiǎn)單的網(wǎng)絡(luò)備份系統(tǒng)、服務(wù)器到服務(wù)器的備份和使用專用的備份系統(tǒng)。 30.密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其唯一性而

38、不能夠備份。31.多層次的密鑰系統(tǒng)中的密鑰分為兩大類：數(shù)據(jù)加密密鑰（DK）和密鑰加密密鑰（KK）。30.為了對(duì)證書進(jìn)行有效的管理，證書實(shí)行分級(jí)管理，認(rèn)證機(jī)構(gòu)采用了樹形結(jié)構(gòu)，證書可以通過一個(gè)完整的安全體系得以驗(yàn)證。26.IDEA加密算法中，輸入和輸出的數(shù)據(jù)塊的長(zhǎng)度是64位，密鑰長(zhǎng)度是128位。 27.電子商務(wù)的技術(shù)要素組成中，首先要有網(wǎng)絡(luò)，其次必須有各種各樣的應(yīng)用軟件，當(dāng)然也少不了以各種服務(wù)器為核心組成的計(jì)算機(jī)系統(tǒng)。 28.密鑰管理是最困難的安全性問題，其中密鑰的分配和存儲(chǔ)可能是最棘手的。 29.安全電子郵件證書是指?jìng)€(gè)人用戶收發(fā)電子郵件時(shí)，采用證書機(jī)制保證安全。它的申請(qǐng)不需要通過業(yè)務(wù)受理點(diǎn)，由用

39、戶直接通過自己的瀏覽器完成，用戶的密鑰對(duì)由瀏覽器產(chǎn)生和管理。 簡(jiǎn)答題100.單鑰密鑰：?jiǎn)舞€密碼體質(zhì)是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰加密體質(zhì)。單鑰密碼體質(zhì)特點(diǎn)：加密和解密的速度快，效率高；加密和解密過程使用同一個(gè)密鑰。101.雙鑰密鑰：雙鑰密碼體質(zhì)又稱作公共密鑰體質(zhì)或非對(duì)稱加密體質(zhì)，這種加密算法在加密和解密過程中要使用一對(duì)(兩個(gè))密鑰，一個(gè)用于加密，一個(gè)用于解密。即通過一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。雙鑰密碼體質(zhì)算法的特點(diǎn):適合密鑰的分配和管理；算法速度慢，只適合加密小數(shù)量的信息8.密鑰分配：集中式分配方案和分布式分配方案。（1）集中式分配方案是指利用網(wǎng)絡(luò)中的“密鑰管理中

40、心（KMC）”來集中管理系統(tǒng)中的密鑰，“密鑰管理中心”接受系統(tǒng)中用戶的請(qǐng)求，為用戶提供安全分配密鑰的服務(wù)，（2）分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密鑰分配取決于它們自己的協(xié)商，不受任何其他方面的限制。12.散列函數(shù)的概念散列函數(shù)是將一個(gè)長(zhǎng)度不確定的輸入串轉(zhuǎn)換成一個(gè)長(zhǎng)度確定的輸出串稱為散列值。也叫哈希值、雜湊值和消息摘要。常用散列函數(shù)(1)MD一4和MD一5散列算法。(2)安全散列算法(SHA)。(3)其他散列算法。14.數(shù)字簽名實(shí)際使用原理：消息M用散列函數(shù)H得到消息h1=H(M)，然后發(fā)送方A用自己的雙鑰密碼體質(zhì)的私鑰KSA對(duì)這個(gè)散列值進(jìn)行加密得EKSA(h1),來行成

41、發(fā)送方A的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為消息M的附加和消息M一起發(fā)送給消息接收方B。消息的接收方B首先把接收到的原始消息分成M和EKSA(h1)。從M中計(jì)算出的散列值h2=H(M)，接著再用發(fā)送方的雙鑰密碼體質(zhì)的公約KPA來對(duì)消息的數(shù)字簽名進(jìn)行解密DKPA(EKSA(h1)得h1.如果散列值h1=h2，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方A的，而且還可以確定此消息沒有被修改過。17.數(shù)字簽名的作用：如果他人可以用公鑰正確地解開數(shù)字簽名，則表示數(shù)字簽名的確是由簽名者產(chǎn)生的；如果消息M是用散列函數(shù)H得到的消息摘要H(M)，和消息的接收方從接收到的消息M計(jì)算出散列值H(M),這兩種信息摘要相同表

42、示文件具有完整性。20.機(jī)房設(shè)計(jì)的依據(jù)文件有：電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范(GB50174-93);計(jì)算機(jī)場(chǎng)、地、站安全要求(GB9631-88);計(jì)算機(jī)房場(chǎng)、地、站技術(shù)要求(GB2887-89);電氣裝置安裝工程、接地裝置施工及驗(yàn)收規(guī)范(GB50169-92)；建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范(GB50222-95)；氣體滅火系統(tǒng)施工、驗(yàn)收規(guī)范；閉路監(jiān)控工程設(shè)計(jì)、施工規(guī)范；高層建筑電氣設(shè)計(jì)手冊(cè)31.防火墻的分類：包過濾型：包過濾型的控制方式會(huì)檢查所有進(jìn)出防火墻的包標(biāo)頭內(nèi)容，包過濾型的控制方式最大的好處是效率最高，缺點(diǎn)：管理復(fù)雜、無法對(duì)連線作完全的控制、規(guī)則設(shè)置的先后順序會(huì)嚴(yán)重影響結(jié)果、不易維護(hù)以及記錄功能少

43、。包檢驗(yàn)型：包檢驗(yàn)型的控制機(jī)制是通過一個(gè)檢驗(yàn)?zāi)＝M對(duì)包中的各個(gè)層次作檢驗(yàn)。應(yīng)用層網(wǎng)關(guān)型：應(yīng)用層網(wǎng)關(guān)型的防火墻采用將連線動(dòng)作攔截，由一個(gè)特殊的代理程序來處理兩端間的連線方式，并分析其連線內(nèi)容是否符合應(yīng)用協(xié)定的標(biāo)準(zhǔn)。34.VPN的基礎(chǔ)-隧道協(xié)議VPN的具體實(shí)現(xiàn)是采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道協(xié)議中進(jìn)行傳輸。隧道協(xié)議可分為第2層隧道協(xié)議PPTP、L2F、L2TP和第3層隧道協(xié)議GRE、IPSec。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中傳輸。隧道協(xié)議：互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSec：它位于第3層，是一個(gè)與互聯(lián)網(wǎng)密鑰交換IKE有關(guān)的框架協(xié)議，由IETERFCs 2401-2409定義，主要

44、用于基于防火墻的VPN系統(tǒng)。 第2層轉(zhuǎn)發(fā)協(xié)議L2F：它由Cisco系統(tǒng)公司提出，可以在多種媒介建立多協(xié)議的安全VPN通信方式。第2層隧道協(xié)議L2TP：它綜合了PPTP和L2F的優(yōu)點(diǎn)，并提交IETF進(jìn)行標(biāo)準(zhǔn)化操作。點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP，它規(guī)定了怎樣用一種網(wǎng)絡(luò)協(xié)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。PPTP和L2TP同時(shí)限制最多只能連接255個(gè)用戶。38.VPN的分類：（1）按VPN的部署模式分類：端到端（End-to-End）模式；供應(yīng)商-企業(yè)(Provider-Enterprise)模式；內(nèi)部供應(yīng)商（Intra-Provider）模式（2）按VPN的服務(wù)內(nèi)型分類：Intranet VPN：即企

45、業(yè)的總部與分支機(jī)構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。Intranet VPN對(duì)用戶的吸引：減少WAN寬帶的費(fèi)用、能使用靈活的拓?fù)浣Y(jié)構(gòu)包括全網(wǎng)絡(luò)連接、新的站點(diǎn)能更快更容易地被連接；Access VPN：又稱為撥號(hào)VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。Extrant VPN：即企業(yè)間發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。（3）按接入方式的不同：虛擬專用撥號(hào)網(wǎng)絡(luò)（VPDN）；虛擬專用路由網(wǎng)絡(luò)（VPRN）；虛擬租用線路（VLL）；虛擬專用LAN子網(wǎng)段（VPLS）40.接入控制的功能:組織非法用戶進(jìn)入系統(tǒng)；允許合法用戶人進(jìn)入系統(tǒng)；使合法人按其

46、權(quán)限進(jìn)行各種信息活動(dòng)41.接入控制機(jī)構(gòu)的建立主要是根據(jù)三類信息:主體：是對(duì)目標(biāo)進(jìn)行訪問的實(shí)體，它可以為用戶、用戶組、終端、主機(jī)或一個(gè)應(yīng)用程序；客體：是一個(gè)可接受訪問和受控的實(shí)體，它可以是一個(gè)數(shù)據(jù)文件、一個(gè)程序組或一個(gè)數(shù)據(jù)庫(kù)；接入權(quán)限：表示主體對(duì)客體訪問時(shí)可擁有的權(quán)利，接入權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包括讀、寫、執(zhí)行等，讀寫含義明確，兒執(zhí)行權(quán)指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。42.接入控制策略：最小權(quán)益策略：按主體執(zhí)行任務(wù)時(shí)所需權(quán)利最小化分配權(quán)利；最小泄露策略：按主體執(zhí)行任務(wù)所知道的信息最小化的原則分配權(quán)利；多級(jí)安全策略：主體和客體按普通、秘密、機(jī)密、絕密劃分，進(jìn)行權(quán)限和流向控制。4

47、3.接入控制的實(shí)現(xiàn)：自主式接入控制：簡(jiǎn)記為DAC。強(qiáng)制式接入控制：簡(jiǎn)記為MAC。46.加密橋技術(shù)及其優(yōu)點(diǎn)：一種在加/解密卡的基礎(chǔ)上開發(fā)加密橋的技術(shù)可實(shí)現(xiàn)在不存在降低加密安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫(kù)加密字段的存儲(chǔ)、檢索、索引、運(yùn)算、刪除、修改等功能的實(shí)現(xiàn)提供接口，并且它的實(shí)現(xiàn)是與密碼運(yùn)算、密碼設(shè)備無關(guān)的。加密橋技術(shù)實(shí)現(xiàn)的目標(biāo)是：應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)字段加密后，仍可實(shí)現(xiàn)各種數(shù)據(jù)庫(kù)操作。優(yōu)點(diǎn)是，加密橋與DBMS是分離的，可以解決加密橋特有的安全性：解決了數(shù)據(jù)庫(kù)加密數(shù)據(jù)沒有非密旁路漏洞的問題；便于解決“數(shù)據(jù)庫(kù)加密應(yīng)用群件系統(tǒng)”在不同DBMS之間的通用性；便于解決系統(tǒng)在DBMS不同版本之間的通用性；不必去分析

48、DBMS的源代碼；加密橋用C+寫成的，便于在不同的操作系統(tǒng)之間移植；加密橋與DBMS是分離的，可以解決嵌入各種自主知識(shí)產(chǎn)權(quán)加密方法的問題。51.通行字的控制措施：系統(tǒng)消息：一般系統(tǒng)在聯(lián)機(jī)和脫機(jī)時(shí)都顯示一些禮貌性用語(yǔ)，而成為識(shí)別該系統(tǒng)的線索，因此，這些系統(tǒng)應(yīng)當(dāng)可以抑制這類消息的顯示，通行字當(dāng)然不能顯示。限制試探次數(shù)：重復(fù)輸入口令一般限制為36次，超過限定試驗(yàn)次數(shù)，系統(tǒng)將對(duì)該用戶ID鎖定，直到重新認(rèn)證授權(quán)才再開啟。通行字有效期；雙通行字系統(tǒng)；最小長(zhǎng)度；封鎖用戶系統(tǒng)；根通行字的保護(hù)；系統(tǒng)生成通行字；通行字的檢驗(yàn)55.公鑰證書的類型：客戶證書：這種證書證實(shí)客戶身份和密鑰所有權(quán)。服務(wù)器證書：這種證書證實(shí)

49、服務(wù)器的身份和公鑰。安全郵件證書：這種證書證實(shí)電子郵件用戶的身份和公鑰。CA證書：這種證書證實(shí)CA身份和CA的簽名密鑰。57.密鑰對(duì)生成的兩種途徑：密鑰對(duì)持有者自己生成：用戶自己用硬件或軟件生成密鑰對(duì)。如果該密鑰對(duì)用于數(shù)字簽名時(shí)，應(yīng)支持不可否認(rèn)性。密鑰對(duì)由通用系統(tǒng)組成：由用戶依賴的、可信賴的某一中心機(jī)構(gòu)生成，然后要安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對(duì)，易于備份和管理。61.PKI的基礎(chǔ)技術(shù)：加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名PKI的性能：支持多政策；透明性和易用性；互操作性；簡(jiǎn)單的風(fēng)險(xiǎn)管理；支持多平臺(tái)；支持多應(yīng)用PKI服務(wù)：認(rèn)證、數(shù)據(jù)完整性、數(shù)

50、據(jù)保密性、不可否認(rèn)性、公正及時(shí)間戳服務(wù)62.不可否認(rèn)業(yè)務(wù)類型：（1）源的不可否認(rèn)性（保護(hù)收信人）：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)、源在某個(gè)特定時(shí)刻出現(xiàn)、或兩者都有的分歧。提供證據(jù)解決以下糾紛：接收者宣稱曾收到一個(gè)消息，但是被認(rèn)定的發(fā)信者聲稱未發(fā)過任何消息；接收者宣稱所收到的消息不同于發(fā)信者所說的曾送的消息；接收者宣稱在特定日期和特定時(shí)間接收到某個(gè)特定發(fā)信者所送的消息，但被認(rèn)定的發(fā)信者宣稱在那個(gè)特定日期和時(shí)間未曾發(fā)過那個(gè)特定的消息。（2）遞送的不可否認(rèn)性（保護(hù)發(fā)信人）：用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或兩者皆有的分歧?？?/p>

51、提供足夠的證據(jù)以解決下列糾紛：發(fā)信人宣稱曾發(fā)送了一個(gè)消息，但被認(rèn)定的收信人宣稱未曾收到過該消息；發(fā)信人宣稱曾發(fā)送了一個(gè)消息，但和收信人宣稱所收到的消息不一樣；發(fā)信人宣稱在特定日期和特定時(shí)間曾發(fā)送過一個(gè)特定消息，但被認(rèn)定的收信人宣稱在該特定日期和特定時(shí)間未曾收到過那個(gè)特定消息。（3）提交的不可否認(rèn)性（保護(hù)發(fā)信人）：它不同于前兩類，用于防止或解決出現(xiàn)有關(guān)是否一個(gè)參與者傳送或提交了一個(gè)特定數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、或兩種情況的分歧。提供足夠的證據(jù)解決下列糾紛：發(fā)信人宣稱曾發(fā)過一個(gè)消息，但被認(rèn)定的收信人宣稱不僅未曾收到該消息，而且發(fā)信人就不曾發(fā)過該消息；發(fā)信人宣稱在特定日期和時(shí)刻曾發(fā)過一個(gè)特定消息，但被

52、認(rèn)定的收信人宣稱在該日和該時(shí)刻未曾送過該消息。64.源的不可否認(rèn)性：源的數(shù)字簽字 可信賴第三方的數(shù)字簽字 可信賴第三方對(duì)消息的雜湊值進(jìn)行簽字 可信賴第三方的持證 線內(nèi)可信賴第三方 組合78.歸納電子錢包的功能主要有：電子證書的管理（電子證書的申請(qǐng)、存儲(chǔ)及刪除等）；進(jìn)行交易（SET交易時(shí)辨認(rèn)商家身份并發(fā)送交易信息）；保存交易記錄（保存交易記錄以供查詢）85.企業(yè)、個(gè)人如何獲得CFCA證書？用戶可以到所有CFCA授權(quán)的證書審批機(jī)構(gòu)RA申請(qǐng)證書，申請(qǐng)者一般需提供有關(guān)開戶賬號(hào)、身份證/組織機(jī)構(gòu)代碼、郵件地址等有效信息，RA審核通過后給用戶參考號(hào)、授權(quán)碼作為獲得證書的憑據(jù)。用戶在得到參考號(hào)授權(quán)碼后，可以

53、自行登錄CFCA網(wǎng)站獲得證書，也可以使用RA提供的其他更為簡(jiǎn)便的方式獲得證書。證書的存儲(chǔ)介質(zhì)可以是軟盤、硬盤，但更為安全的方式是使用智能卡或USB-KEY存放。86.中國(guó)電信CA安全認(rèn)證系統(tǒng)（CTCA）的組成及功能：組成：中國(guó)電信電子商務(wù)CA認(rèn)證系統(tǒng)由全國(guó)CA中心、省RA中心系統(tǒng)、地市級(jí)業(yè)務(wù)受理點(diǎn)組成。（1）CA中心的功能：簽發(fā)自簽名的根證書；審核和簽發(fā)其他CA系統(tǒng)交叉認(rèn)證證書；向其他CA系統(tǒng)申請(qǐng)交叉認(rèn)證證書；受理和審核各RA機(jī)構(gòu)的申請(qǐng)；為RA機(jī)構(gòu)簽發(fā)證書；接收并處理個(gè)RA服務(wù)器的證書業(yè)務(wù)請(qǐng)求；簽發(fā)業(yè)務(wù)證書和證書作廢表；管理全系統(tǒng)的證書資料；維護(hù)權(quán)系統(tǒng)的證書作廢表；維護(hù)全系統(tǒng)的OCSP查詢數(shù)據(jù)

54、（2）RA中心的功能：受理用戶證書業(yè)務(wù)；審核用戶身份；為審核通過的用戶生成密鑰對(duì)；向CA中心申請(qǐng)簽發(fā)證書；將證書和私鑰灌入IC卡后分發(fā)給受理中心、受理點(diǎn)或用戶；管理本地OCSP服務(wù)器，并提供證書狀態(tài)的實(shí)時(shí)查詢；管理本地用戶資料。（3）受理點(diǎn)的功能：管理所轄受理點(diǎn)用戶資料；受理用戶證書業(yè)務(wù)；審核用戶身份；向受理中心或RA中心申請(qǐng)簽發(fā)證書；將RA中心或受理中心制作的證書介質(zhì)分發(fā)給用戶87.選擇VPN解決方案時(shí)需要考慮的點(diǎn)認(rèn)證方法：在VPN解決方案中首先要尋找的標(biāo)準(zhǔn)之一是認(rèn)證方法。應(yīng)該支持主要PKI廠商的PKI和一些其他兼容X.509的PKI.支持的加密算法：就加密算法而言，至少應(yīng)該支持AES（高級(jí)

55、加密標(biāo)準(zhǔn)）；為了和以前的VPN實(shí)現(xiàn)兼容三重DES也是應(yīng)該有的。支持的認(rèn)證算法：IPSec規(guī)范規(guī)定所有的IPSec實(shí)現(xiàn)都支持帶消息認(rèn)證碼HMAC的MD5和SHA-1雜湊函數(shù)。在這兩個(gè)雜湊函數(shù)中，SHA-1更安全。支持的IP壓縮算法：理想情況下應(yīng)該同時(shí)支持DEFI.ATE和LZS壓縮算法。易于部署需要考慮部署VPN解決方案的難易程度，特別是當(dāng)多個(gè)解決方案提供類似的技術(shù)特征時(shí)。兼容分布式或個(gè)人防火墻的可用性：當(dāng)遠(yuǎn)程主機(jī)建立一個(gè)到公司網(wǎng)絡(luò)的VPN連接時(shí)如果遠(yuǎn)程客戶端主機(jī)被侵入，攻擊者可以通過被侵入的遠(yuǎn)程客戶端隨意訪問公司網(wǎng)站。所以應(yīng)該采取的重要措施是保護(hù)那些允許與公司建立遠(yuǎn)程連接的客戶端。89.CA認(rèn)

56、證申請(qǐng)者的身份后，生成證書的步驟是什么？CA檢索所需的證書內(nèi)容信息；CA證實(shí)這些信息的正確性；CA將其簽名密鑰對(duì)證書簽名； 將證書的一個(gè)拷貝送給注冊(cè)者，需要時(shí)要求注冊(cè)者回送證書的收據(jù)； CA將證書送入證書數(shù)據(jù)庫(kù)，向公用檢索業(yè)務(wù)機(jī)構(gòu)公布； 通常，CA將證書存檔； CA將證書生成過程中的一些細(xì)節(jié)計(jì)入審計(jì)記錄中。90.試述對(duì)身份證明系統(tǒng)的要求。驗(yàn)證者正確識(shí)別合法示證者的概率極大化；不具可傳遞性，驗(yàn)證者B不可能重用示證者A提供給他的信息，偽裝示證者A成功騙取他人的驗(yàn)證，取得信任。攻擊者偽裝示證者欺騙驗(yàn)證者成功的概率小到可以忽略，特別是要能抗已知密文攻擊，即攻擊者在截獲到示證者和驗(yàn)證者多次通信下，偽裝示證者欺騙驗(yàn)證者。計(jì)算有效性，為實(shí)現(xiàn)身份證明所需的計(jì)算量要小。通信有效性，為實(shí)現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小。秘密參數(shù)安全存儲(chǔ)。交互識(shí)別，有些應(yīng)用中要求雙方互相進(jìn)行身份認(rèn)證。 第三方的實(shí)時(shí)參與，如在線公鑰檢索服務(wù)。 第三方的可信賴性。 可證明安全性。接受者收到消息后，先用其私鑰打開數(shù)字信封，得到發(fā)送方的DES密鑰，再用此密鑰去解密消息。只有用接受方的RSA私鑰才能打開此數(shù)字信封，確保了接受者的身份。97.簡(jiǎn)述無可爭(zhēng)辯簽名的特點(diǎn)。無可爭(zhēng)辯簽名是在沒有簽名者自己的合作下不可能驗(yàn)證簽名的簽名。無可爭(zhēng)辯簽名是為了防止所簽文件被復(fù)制，有利于產(chǎn)權(quán)擁有者控制產(chǎn)品的散發(fā)。適