《应用密码学》习题和思考题答案
第11章 密码学与电子商务支付安全
11-1 电子商务系统面临的安全威胁是什么?
答:电子商务系统面临的安全威胁主要表现为信息泄露、篡改、假冒或抵赖等。 11-2 电子商务系统的安全需求有哪些?
答:认证、访问控制、机密性、完整性、非否认性。 11-3 电子商务系统中密码算法应用的基本原则是什么?
答:基于对称加密算法的高效性和非对称加密算法在密钥管理以及实现数字签名等方面的各自优势,在实际的应用中,常将对称加密算法和非对称加密算法结合使用,从而保证系统的安全性要求和性能要求。
11-4 举例说明安全认证的体系结构。为什么要建立层次式的安全认证体系结构? 答:略。
11-5 SSL连接和SSL会话的区别是什么?
答:SSL会话是客户和服务器间的关联,会话通过握手协议来创建。会话定义了加密安全参数,这些参数可为多个连接所共享,从而避免为每个连接进行昂贵的安全参数协商。
SSL连接是提供恰当类型服务的传输。SSL中的连接是点对点的,且连接是短暂的,每个连接与一个会话相联系。 11-6 安全支付模型有哪些? 答:略。
11-7 列举并简单定义SET交易各方。
答:(1)持卡人:银行支付卡的授权持有人,在发卡银行的支持下参与电子交易; (2)商家:电子商务服务的提供者,接受电子支付; (3)发卡银行:向持卡人签发银行支付卡的金融机构; (4)收单银行:向商家提供处理银行卡支付服务的金融机构;
(5)支付网关:在收单银行的支持下向商家提供金融服务的系统,并向收单银行提供支持授权和款项划拨的接口。支付网关可以由收单银行运作,也可以由支持收单银行的其他机构运作;
(6)认证中心:向持卡人、商家和支付网关以及支付卡品牌金融网络颁发证书的机构; (7)支付网络:由支付卡品牌运作、连接发卡银行和收单银行的专用网络。 11-8 比较SSL和SET两种安全交易协议。 答:
比较项目 相同点 信息保密 性 不证书签发 同验证 点 应用范围 SSL 信息被加密传输,有信息完整性检测 用户信息对商家不保密 发放服务器端、客户端证书 只有商家验证用户 一对一通信系统如Internet银行,Internet股票交易 用户购买信息对银行保密,用户帐户信息对商家保密 用户、商家、银行均有证书 用户、商家、银行三方验证 网上商店 SET 其他 安全性相对较差,投资小,管理不严格 安全性好、投资大、管理严格 11-9 什么是“双签名机制”?它是如何工作的?
答:双签名机制是为了实现对所获信息的分离,即它提供给商家的只是订购信息,如购买的项目及价格;提供给收款银行的只是信用卡信息。
工作机制:先对一则消息的两部分分别进行散列,再将这两部分散列值级联在一起,最后把得到的结果再一次散列并进行数字签名。这样可以保证一个消息接收者得到第一部分的明文和第二部分的散列值,另外一个消息接收者得到第一部分的散列值和第二部分的明文。这样,每个接收者都能够验证整条消息的完整性,但不能恢复全部明文,只能获取发给他的那一部分,另一部分只是一个散列值,它掩盖了消息的明文内容。 11-10 双签名的目的是什么?
答:实现三个方面的功能:(1)商家收到OI并验证该签名。(2)银行收到PI并验证该签名。(3)客户将OI和PI连接起来并能够证明这个连接关系。这使得商家、银行或客户要伪造消费信息都变得不可行。
