电子商务安全实验报告

实验三数字签名方案设计

一、实验目的及要求

1．了解数字签名在电子商务中的作用；

2．了解数字签名的方案设计；

3．明确数字签名的作用；

4．按需求完成数字签名的方案设计。

二、实验内容与步骤

实验内容：

用户在交易过程中发送的信息包括订单信息和支付信息，需要满足以下条件：

1、第三方支付系统不能知道订单信息，商家不能知道支付信息。

2、商家和第三方支付系统都需要确认信息是否来自该用户。

3、第三方支付系统虽然不能知道订单信息内容，但可以确认收到的支付信息是与订单绑定的。

4、商家虽然不能知道支付信息，但可以确认收到的订单信息是与支付信息是绑定的应该采用什么数字签名方式？具体过程如何进行？

实验步骤：

1、回顾数字签名、认证中心等相关概念；

2、上网参考解决方案；

3、设计一种满足要求的数字签名的方案（请给出具体的描述及原理图）。

数字签名设计方案

引言

在当今信息社会,计算机网络技术得到了突飞猛进的发展。计算机网络日益成为工业、农业和国防等领域的重要信息交换手段,并逐渐渗透到社会的各个领域。在现实生活中,人们常常需要进行身份鉴别、数据完整性认证和抗否认。身份鉴别允许我们确认一个人的身份;数据完整性认证则帮助我们识别消息的真伪、是否完整;抗否认则防止人们否认自己曾经做过的行为。随着无纸化办公的发展,计算机网络的安全越来越受到重视,防止信息被未经授权

的泄漏、篡改和破坏等都是亟待解决的问题。在Internet上,数字签名作为一项重要的安全技术,在保证数据的保密性、完整性、可用性、真实性和可控性方面起着极为重要的作用。同时由于信息技术的发展及其在商业、金融、法律等部门的普及, 数字签名技术又面临着新的挑战。

随着电子商务的发展，电子签名的使用越来越多。实现电子签名的技术手段有很多种，比如基于公钥密码技术的数字签名；或用一个独一无二的以生物特征统计学为基础的识别标志，例如手印、声音印记或视网膜扫描的识别；手书签名和图章的电子图像的模式识别；表明身份的密码代号；基于量子力学的计算机等。但比较成熟的、世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术。目前电子签名法中所提到的签名，一般指的就是“数字签名”，它是电子签名的一种特定形式。

设计目的

1.第三方支付系统不能知道订单信息，商家不能知道支付信息；

2.商家和第三方支付系统都需要确认信息是否来自该用户；

3.第三方支付系统虽然不能知道订单信息内容，但可以确认收到的支付信息是与订单

绑定的；

4.商家虽然不能知道支付信息，但可以确认收到的订单信息是与支付信息是绑定的。

设计概述

所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、DES/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用

环境密切相关。

设计分析

1．第三方支付系统不能知道订单信息，商家不能知道支付信息。明显地，订单信息与支付信息必须是进行了严谨的加密，而且双方都没有能力解密对方信息。

2．商家和第三方支付系统都需要确认信息是否来自该用户。如何确认信息，离不开数字签名的专一性。因此信息处理过程中必须有数字签名的环节。

3．第三方支付系统虽然不能知道订单信息内容，但可以确认收到的支付信息是与订单绑定的。由于对方的信息经过处理，而自己只有解读所属信息的能力，保证了密文不易外泄。

4．商家虽然不能知道支付信息，但可以确认收到的订单信息是与支付信息是绑定的。

同3同理可得。

设计对象

用户、商家、第三方支付系统

设计思路与方案

非对称加密算法原理：

1．A要向B发送信息，A和B都要产生一对用于加密和解密的公钥和私钥；

2．A的私钥保密，A的公钥告诉B；B的私钥保密，B的公钥告诉A；

3．A要给B发送信息时，A用B的公钥加密信息，因为A知道B的公钥；

4．A将这个消息发给B（已经用B的公钥加密消息）；

5．.B收到这个消息后，B用自己的私钥解密A的消息。其他所有收到这个报文的人都无法解密，因为只有B才有B的私钥。

数字签名原理：

1.报文的发送方用一个哈希函数从报文文本中生成报文摘要（散列值）；

2.发送方用自己的私人密钥对这个散列值进行加密；

3.这个加密后的散列值将作为报文的附件和报文一起发送给报文的接收方；

4.报文的接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出

报文摘要；

5.再用发送方的公用密钥来对报文附加的数字签名进行解密；

6.如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数

字签名能够实现对原始报文的鉴别。

设定订单信息为A，支付信息为B；

●用户通过算法把A、B分别生成报文摘要Aa、Bb；

●然后用自己的私人密钥对摘要分别加密为a1、b1；

●同时生成数字签名公钥a_pub、b_pub；

●商家和第三方支付系统向用户发送加密公钥分别为c1和d1，自己保留私钥c2和

d2；

●用户利用c1和d1分别将A和B加密为a、b；

●用户把a与b绑定在一起为ab；

●用户把ab、a_pub、Aa、a1发送给商家；

●用户把ab、b_pub、Bb、b1发送给第三方支付系统。

●商家利用自己私钥c2把ab解密为Ab，从Ab中的A计算出Aa是否与a_pub解密

的a1相同，确认签名；

●第三方支付系统利用自己私钥d2把ab解密为aB，从aB中的B计算出Bb是否与

b_pub解密的b1相同，确认签名。

设计结果

1．用户成功绑定订单信息和支付信息并发送；

2．商家因为只有c2、a_pub、Aa和a1，解读不了ab中的b，但可以确认签名来自用户；

3．第三方支付系统因为只有d2、b_pub、Bb和b1，解读不了ab中的a，但可以确认签名来自用户。

设计总结

通过设计，了解到电子商务安全技术中有着特别重要地位的数字签名技术，以及数字签名技术向参与网络活动的实体提供身份认证，确保信息传输的机密性和完整性，有效防止了各种网络信息中的安全隐患。数字签名已成为信息社会中人们保障网络身份安全的重要手段之一, 世界各地制订了赋予数字签名合法地位的法律。然而，我国关于数字签名技术的研究和应用刚起步，与国际先进水平有一定差距。

附录一：

RSA签名方案：

设n = pq，其中p和q是大素数。定义K={(n,p,q,a,b)|n=pq}，p 和q为素数，ab ≡1(mod (n))}。值n 和b为公钥，值p,q和a为私钥。对K={(n,p,q,a,b)}，定义：sigk(x) = xa(mod n)。

verk(x, y) = trie<=>x≡y b(mod n)。Alice 使用RSA 解密函数Dk 为x 消息签名，因为Dk=sigk是保密的，所以只有Alice 能够产生这一签名，而验证算法使用RSA 加密函数Ek。因Ek 是公开的，所以任何知道Ek 的人都能验证该签名。

ElGamal签名方案：

ElGamal算法既可用于数字签名又可用于加密，其安全性依赖于计算有限域上离散

对数的难度。设P是一个素数，两个随即数g和x，要求g，x

) (mod p g x,

则其公钥为y,g 和p,私钥是x.g 和p 可由一组用户共享。假定被加密信息为M ，首先选

择一个随机数k ，k 与p-1互质，计算a=)(mod p g k ,b=)(mod p M y k .(a,b)为密文，是

明文的两倍长。解密计算M=b/)(mod p a x 。

四、实验体会

通过这次实验，我对数字签名有了更深的了解，同时也了解到数字签名在电子商务中的重要性，对于电子商务交易的安全性作出了无可替代的贡献。 随着电子商务不断的发展，数字签名的使用会越来越广泛。

在本次实验中，体会到文件加密、数字签名等一系列保护文件安全性的工具在电子商务的发展过程中起到了很重要的作用。安全性是电子商务行业发展的保证，但是要在三方之间建立起数据的保密不是一件简单的事情，目前还是会存在一定的局限性，安全性能高的会比较麻烦，简单的其安全性能会存在一定的漏洞，但是随着技术的发展，电子商务行业一定会突破这个瓶颈。

五、实验中存在的问题

我个人觉的数字签名的过程有些复杂，以后能否发展到像非对称加密那样简单？

电子商务安全实验报告

实验名称：电子商务安全技术 2010081126 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）:SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有：

自考电子商务安全导论押密试题及答案(3)

自考电子商务安全导论押密试题及答案（3）第一部分选择题 一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。 1．电子商务，在相当长的时间里，不能少了政府在一定范围和一定程度上的介入，这种模式表示为 ( ) A．B-G B．B-C C．B-B D．C-C 2．在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是( ) A．可靠性 B．真实性 C．机密性 D．完整性 3．通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为 ( ) A．密钥 B．密文 C．解密 D．加密算法 4．与散列值的概念不同的是 ( ) A．哈希值

B．密钥值 C．杂凑值 D．消息摘要 5．SHA的含义是 ( ) A．安全散列算法 B．密钥 C．数字签名 D．消息摘要 6．《电子计算机房设计规范》的国家标准代码是 ( ) A. GB50174-93 B.GB9361- 88 C. GB2887-89 D.GB50169- 92 7．外网指的是 ( ) A.非受信网络 B．受信网络 C．防火墙内的网络 D．局域网 8．IPSec提供的安全服务不包括 ( ) A．公有性 B．真实性 C．完整性

D．重传保护 9．组织非法用户进入系统使用 ( ) A．数据加密技术 B．接入控制 C．病毒防御技术 D．数字签名技术 10. SWIFT网中采用了一次性通行字，系统中可将通行字表划分成_______部分，每部分仅含半个通行字，分两次送给用户，以减少暴露的危险性。 ( ) A．2 B．3 C．4 D．5 11．Kerberos的域内认证的第一个步骤是 ( ) A. Client →AS B. Client ←AS C．Client AS D．AS Client 12．_______可以作为鉴别个人身份的证明：证明在网络上具体的公钥拥有者就是证书上记载的使用者。 ( ) A．公钥对 B．私钥对 C．数字证书

电商安全期末复习

电子商务安全期末复习题（1） 一、单项选择题 1.TCP/IP协议的安全隐患通常不包括( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.防火墙技术中，内网这通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 3.数字签名技术使用几把钥匙进行加解密?( ) A.2把 B.1把 .3把 D.4把 4.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 5.Internet接入控制不能对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 6.CA不能提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 C.安全电子邮件证书 D.SET服务器证书 7.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 8.以下哪一项不在证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 9.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 10. 在对称加密体制中，密钥被分解为一对，一个是公开密钥，一个是私用密钥。 ( ) A、对 B、错 11. 要使网上交易成功，参与交易的人首先要能确认对方的身份，确定对方的真实身份与对方所声称的是否一致。 ( ) A．对 B．错 12.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 C.示证者能够识别验证者 D.验证者正确识别示证者的概率极大化 13.阻止非法用户进入系统使用( ) A.病毒防御技术 B.数据加密技术 C.接入控制技术 D.数字签名技术

电子商务安全实验报告

实验名称：电子商务安全技术 26 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）:SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有： 加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密

2006年1月电子商务安全导论试题

2006年1月 一、单项选择题（本大题共20小题，每小题1分，共20分） 1．保证商业服务不可否认的手段主要是( ) A．数字水印B．数据加密 C．身份认证D．数字签名 2．DES加密算法所采用的密钥的有效长度为( ) A．32 B．56 C．64 D．128 3．在防火墙技术中，我们所说的外网通常指的是( ) A．受信网络B．非受信网络 C．防火墙内的网络D．局域网 4．《电子计算机房设计规范》的国家标准代码是( ) A．GB50174—93 B．GB50174—88 C．GB57169—93 D．GB57169—88 5．通行字也称为( ) A．用户名B．用户口令 C．密钥D．公钥 6．不涉及 ．．．PKI技术应用的是( ) A．VPN B．安全E-mail C．Web安全D．视频压缩 7．多级安全策略属于( ) A．最小权益策略B．最大权益策略 C．接入控制策略D．数据加密策略 8．商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A．SET标准商户业务规则与SSL标准商户业务规则 B．SET标准商户业务规则与Non-SSL标准商户业务规则 C．SET标准商户业务规则与Non-SET标准商户业务规则 D．Non-SET标准商户业务规则与SSL标准商户业务规则 9．SHECA指的是( ) A．上海市电子商务安全证书管理中心 B．深圳市电子商务安全证书管理中心 C．上海市电子商务中心 D．深圳市电子商务中心 10．以下哪一项是密钥托管技术?( ) A．EES B．SKIPJACK C．Diffie-Hellman D．RSA 11．公钥体制用于大规模电子商务安全的基本要素是( ) A．哈希算法B．公钥证书 C．非对称加密算法D．对称加密算法 1

电子商务安全期末复习题(1)

四、名词解释题 1.计算上安全： 如果一个密码体制对于拥有有限资源的破译者来说是安全的，则称这样的密码体制是计算上安全的，计算上安全的密码表明破译的难度很大。 2.SSL协议： 是基于TCP/IP的安全套接层（Secure Sockets Layer）协议，由Netscape 开发，是服务器与客户机之间安全通信的加密机制，用一个密钥加密在SSL连接上传输的数据。 3.身份证明系统： 身份证明系统由三方组成，一方是出示证件的人，称做示证者，由称申请者，提出某种要求；另一方为验证者，检验示证者提出的证件的正确性和合法性，决定是否满足其要求；第三方示可信赖者，用以调解纠纷。 4.PKI： PKI即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等，密码服务及所必要的密钥和证书管理体系。 5.单钥密码体制： 单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时，通信双方A、B必须相互交换密钥，当A发送信息给B时，A 用自己的加密密钥进行加密，而B在接收到数据后，用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。 五、简答题 1.在交易双方的通信过程中如何实现源的不可否认性？ （1）源的数字签名； （2）可信赖第三方的数字签名； （3）可信赖第三方对消息的杂凑值进行签名； （4）可信赖第三方的持证； （5）线内可信赖第三方； （6）上述方法的适当组合。 2.电子商务安全的中心内容是什么? （1）商务数据的机密性； （2）商务数据的完整性； （3）商务对象的认证性； （4）商务服务的不可否认性； （5）访问控制性； 3.简述SSL的体系结构。 SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。 （1）SSL记录协议，定义了信息交换中所有数据项的格式。其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层——应用层传来的数据；附加数据是加密后所产生的附加数据。

实验四——电子商务安全

实验四电子商务安全 一、 1、什么是数字证书 数字证书又称为数字标识（Diｇital Cｅrｔificate,Dｉgit ａl ID)。它提供了一种在Ｉｎterｎet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务、政务活动时，双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。通俗地讲,数字证书就是个人或单位在Iｎteｒnｅt的身份证。 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥、证书颁发机构的签名. 一个标准的X。5０9格式数字证书通常包含以下内容：

1.证书的版本信息; 2.证书的序列号（每个证书都有一个唯一的证书序列号）； 3.证书所使用的签名算法; 4.证书的发行机构名称（命名规则一般采用X.500格式）及其私 钥的签名； 5.证书的有效期； 6.证书使用者的名称及其公钥的信息. 2、什么是电子签名 电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据.所谓数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 电子签名同时符合下列条件的，视为可靠的电子签名: （一)电子签名制作数据用于电子签名时，属于电子签名人专 有；（二)签署时电子签名制作数据仅由电子签名人控制;（三）签署后对电子签名的任何改动能够被发现；(四）签署后对数据电文内容和形式的任何改动能够被发现。可靠的电子签名与手写签名或者盖章具有同等的法律效力。 电子签名人，是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人.

电子商务安全导论实践试题及答案

电子商务安全导论实践试题及答案 1.简单的加密算法的代码编写（凯撒密码） 2.电子商务安全认证证书的网上申请以及使用说明 3.你使用的机器上本地安全设置中的密码策略如何 4.说明你所使用的机器上的公钥策略基本情况 5.本机IP安全策略中的安全服务器（要求安全设置）属性以及基本情况 6.本机IP安全策略中的客户端（只响应）属性的基本情况 7.本机IP安全策略中的服务器（请求安全设置）属性和基本情况如何（编辑规则常规高级方法） 8.说明智能卡是是如何进行用户鉴别的 9.本机上证书的使用情况 10.上网查询江苏省电子商务安全证书的基本情况 11.说明木马在win.ini条件下的症状如何 12.举例说明你所使用的个人防火墙的功能项目以及使用方法 13.介绍一种你所熟悉的黑客攻击技术 14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题 15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法 解答 《一》简单的加密算法的代码编写（凯撒密码） 凯撒密文的破解编程实现 凯撒密文的破解编程实现 近来安全的发展，对密码学的研究越来越重要，虽然我们现在大多采用的是 非对称密码体制，但是同时由于处理及其它的一些重要原因，对传统密码仍然 是在大量的使用，如移位，替代的基本思想仍然没有改变，我个人认为，将来 的很长时间内，我们必将会花大量的时间对密码学进行研究，从而才能促进我

们的电子政务，电子商务的健康发展，下面我要谈的是对一个古典密码----- 凯撒（kaiser)密码的的解密，也就是找出它的加密密钥，从而进行解密，由于 它是一种对称密码体制，加解密的密钥是一样的，下边简单说明一下加解密 加密过程： 密文：C=M+K (mod 26) 解密过程： 明文：M=C-K (mod 26) 详细过程请参考相关资料 破解时主要利用了概率统计的特性，E字母出现的概率最大。 加密的程序实现我就不说了， 下面重点说一下解密的程序实现：我是用C写的，在VC6.0下调试运行正确 #include"stdio.h" #include"ctype.h" #include"stdlib.h" main(int argc ,char *argv[]) { FILE *fp_ciper,*fp_plain; //密文与明文的文件指针 char ch_ciper,ch_plain; int i,temp=0; //i用来存最多次数的下标 //temp用在求最多次数时用 int key; //密钥 int j; int num[26]; //保存密文中字母出现次数 for(i = 0;i < 26; i++) num = 0; //进行对num[]数组的初始化 printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n"); printf("======================================================\n"); if(argc!=3) { printf("此为KAISER解密用法：[文件名] [密文路径] [明文路径]\n"); printf("如：decryption F:\ciper_2_1.txt F:\plain.txt\n"); } //判断程序输入参数是否正确

电子商务实训报告范文

电子商务实训报告范文 电子商务实训报告不知道怎么写?下面为大家整理电子商务实训报告范文，希望你能从中获得想要的信息! 电子商务实训报告范文一 一、实训时间 20XX年6月7日-6月10日 二、实训目标和要求 1、加深对电子商务专业基本知识的理解; 2、掌握B2C、B2B、C2C等商务形式的基本操作流程; 3、掌握电子商务中各功能模块的基本功能，使学习者获取丰富的商务管理知识和电子商务操作的感性认识; 4、了解电子商务相关知识的发展动向; 5、熟练运用安全工具保障电子商务活动安全。 三、实训过程和内容 (一)浙科电子商务模拟软件应用 《浙科电子商务模拟教学软件》集培训、教学、实验和实践功能为一体，极大程度的满足了电子商务实践教学的需要。模拟环境包括了BTB、BTC、CTC、BTC和在线拍购几大交易类型。不同角色的学生可以在权限范围内自主操作和使用这些网络平台提供的服务项目，通过通过建立自己的企业，创建企业网站、企业邮箱申请、数字证书申请/安装、EDI申请、产品生产、采购、库存、财务管理、

信息发布、投标、出口、客户管理、事件任务管理、履行合同、金融业务、在线支付、转帐、记帐、出运货物、收货等操作，完成相关业务流程，小秘书的提醒功能，帮助学生及时处理各种业务，从而为自己扮演的角色获得利润或满足需求。主要是在电子商务实训室的模拟平台上面进行的操作，实训过程中我们自主组队，还选了小组长，模拟了B2C、B2B、C2C等商务形式的基本操作，各个成员都扮演不同的角色，刚开始我们都不是很熟练，要做好这些操作也并非一件容易的事，因为这里面每一个细节的操作都是很重要的，稍有错误就完成不了交易。但是我们有不懂的问题都向老师讨教，在老师认真的指导以及我们队员默契的配合下，我们团队都一一克服了困难，我们的操作进步很快，随着一个个角色的成功扮演和一个个流程的顺利操作后，我们都体会到了那份收获的喜悦感。这次的实训，我们学到的不仅仅是专业的理论知识，还体会到了团队精神的重要性，并且熟练地掌握了相关流程，为我们以后更好地学好自己专业打下了良好的基础。 (二)电子商务安全认识 一、从上世纪90开始出现电子商务模式，我国的电子商务取得了快速的发展。子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。但是，也有一些制约电子商务发展的因素，安全问题就是中之一。安全问题不仅造成巨大的经济损失，而且严重打击人们对电子商务的信心。电子商务的安全认识是我们实训的最后一个内容，通过这个学习的过程，我们基本上熟练地运用了安

2019年10月全国自考电子商务安全导论试题

2019年10月全国自考电子商务安全导论试题 一、单项选择题: 1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是 A.A、B1、B2、B3、C1、C2、D B.A、B3、B2、B1、C2、C1、D C.D、C1、C2、B1、B2、B3、A D.D、C2、C1、B3、B2、B1、A 2.以下不属于电子商务遭受的攻击是 A.病毒 B.植入 C.加密

D.中断 3.第一个既能用于数据加密、又能用于数字签名的算法是 A. DES B.EES C.IDEA D. RSA 4.下列属于单钥密码体制算法的是 A.RC-5加密算法 B.rs密码算法 C. ELGamal密码体制 D.椭圆曲线密码体制

5.MD5散列算法的分组长度是 A.16比特 B.64比特 C.128比特 D.512比特 6.充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是 A.数字签名 B.数字指纹 C.数字信封 D.数字时间戳 7.《电气装置安装工程、接地装置施工及验收规范》的国家标准代码

是 A.GB50174-93 B.GB9361-88 C.GB2887-89 D.GB50169-92 8.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是 A.0℃-10℃ B.10℃-25℃ C.0℃-25℃ D.25℃-50℃ 9.内网是指

A.受信网络 B.非受信网络 C.防火墙外的网络 D.互联网 10.检查所有进出防火墙的包标头内容的控制方式是 A.包过滤型 B.包检验型 C.应用层网关型 D.代理型 11.对数据库的加密方法通常有多种,以下软件中,属于使用专用加密软件加密数据库数据的软件是 A. Microsoft Access B. Microsoft Excel

电子商务期末考试知识点

一、名词解释 1、网络营销：是企业整体营销的一个组成部分，借助互联网、计算机通信和数字交互式媒体，来满足客户需求，实现企业营销目标的一系列活动。 2、移动电子商务：是指对通过移动网络进行数据传输，并利用手机等移动终端开展各种商业经营活动的一种新电子商务模式。 3、电子钱包：是一种虚拟钱包，它以智能卡为电子支付系统，增加了多种用途，具有信息储存、查询管理、安全密码锁等功能。 4、电子数据交换技术EDI：是一种用于计算机之间商业信息传递的方式，包括买卖双方数据交换，企业内部数据交换等。它将贸易、运输、保险、银行和海关等行业信息，用一种国际公认的标准格式，形式结构化的事务处理报文数据格式，通过计算机通信网络，使有关部门、公司、企业之间进行数据交换与处理，并完成以贸易为中心的企业全部业务过程。（按照协议，对具有一定结构性的标准经济信息，经过电子数据、通信网络，在商业贸易伙伴的电子计算机系统之间进行交换和自动处理） 5、第三方支付系统：指的是与各大银行签约、具备一定实力和信誉保障的第三方独立机构提供的交易支持平台，如为淘宝网交易提供担保的支付宝。 6、DES对称密钥加密: 对称加密，又称私有密钥加密，他又且只有一个密钥，对信息进行加密和解密，加密密钥和解密密钥相同，即K=H。 7、RSA非对称密钥加密：非对称加密体制，这种加密法在加密和解密过程中要使用一对密钥，一个用与加密，另一上用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能够解密。 8、网上拍卖：是指网络服务商利用internet通信传输技术向商品所有者或某些权益所有人提供有偿或无偿使用的internet技术平台，让商品所有者或某些权益所有人在其平台上独立开展以竞价、议价方式为主的在线交易模式。 9、电子现金：它把现金数值转化为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值，用户在开展电子现金的银行开设账户并在账户内存钱后，就可以在接受电子现金的商家使用。 10、电子虚拟市场：是指商务活动中的生产者、中间商和消费者在某种程度上以数字方式进行交互式商业活动的市场，是传统实物市场的虚拟形态。 11、不完全电子商务：如果在全部商务活动中，至少有一个或一个以上的业务环节应用了IT技术的商务形态，一般称为不完全电子商务。 12、网络市场调研：就是基于互联网对网络营销决策相关的数据系统地进行计划、收集与分析，并把分析结果向管理者沟通的过程。 13、第三方物流：是指生产经营企业为集中精力搞好主业把原来属于自己处理的物流合同，以合同方式委托给专业物流服务企业，同时通过信息系统与物流服务业保持密切联系，以达到对物流全程的管理和控制的一种物流运作与管理方式。 14、网上拍买：也称反拍卖或标价求购，由卖方出价，卖方成了“买方”，其竞争的是向消费者提供服务的机会，反拍卖具体指消费者提出一个价格范围，求购其一商品，由商家出价，出价可以是公开或隐蔽的。消费者将与出价最低或最近的商家成交。 二、简答 1、网银的特点 1、高安全性:网络安全;通信安全 ;数据安全; 支付安全 2.方便，用户不受空间、时间的限制，享受每天24小时的不间断服务，即实现3A服务

电子商务安全实验报告

【实训报告(03)】第三次上机实验 实训时间：2018年10月18日实训地点：科苑504姓名：折姣姣 一、实训的过程及步骤 （一）实验目的： 1．了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3．掌握数字证书的导入、导出和安装。 4. 掌握数字证书的配置内容及配置方法 5. 了解数字证书的作用及使用方法 6．利用数字证书发送签名邮件和加密邮件 （二）实验内容： （1）访问中国金融认证中心（CFCA）并简述安全电子印章签章系统的功能及其申请使用方法。 （2）访问广东省电子商务认证中心，写出其主要栏目及内容。 （3）访问瑞星的网站写出其主要安全产品及功能 （4）查找2个和电子商务安全相关的案例，写出如何防范可能出现的安全问题。 （三）实验步骤： 1、安全电子印章签章系统的功能：○1实名认证，实名认证是电子签章系统中最为核心的重要环节，通过实 名认证技术可确保电子签章使用者的真实身份，避免签章被人冒用、滥用的隐患。 ○2电子签章管理，电子签章管理功能包括电子签章的制作、授权、使用、撤销、管理、维护等一系列操作。 ○3文档在线编辑，电子签章系统具有强大的在线编辑功能，用户可在线自由编辑各类文档、电子合同、合作协议、公告通知等内容。 ○4电子合同签署，电子合同编辑完成后，用户即可在线发起电子合同签署，签约方实名认证并使用电子签章进行签署，一份电子合同就签署完成了。 ○5合同管理，合同管理功能可以协助企业管理所有与合同相关的文件，如合同原稿、合同变更文件、合同附件等，并且支持合同分类归档，在线查询及下载等功能。 ○6法律服务，一般情况下，第三方电子签章系统可提供出证服务，为用户提供证据链，证明用户签署的电子合同未被篡改，有效防止抵赖。 申请使用方法：

电子商务安全实验

实验一数字证书 一、实验目的及要求 1．了解数字证书的作用； 2．了解数字证书的种类； 3．明确认证中心和数字证书的作用； 4．理解CPS，下载安装根证书。 二、实验内容与步骤 1、登录上海市数字证书认证中心https://www.wendangku.net/doc/3d5194271.html,，了解上海市数字认证中心提供的数字证书种类并了解个人证书的申请流程； 2、下载电子认证业务规则(CPS)和证书策略并阅读； 3、下载根证书； 4、安装根证书； 5、查看根证书； 6、回答下列问题。 1)上海市数字认证中心提供哪些数字证书种类？ 2)上海市数字认证中心的个人证书的申请流程是怎样的？ 3)电子认证业务规则 (CPS)和证书策略有什么作用？ 其他数字认证网： 上海市数字证书认证中心：https://www.wendangku.net/doc/3d5194271.html, 中国数字认证网：https://www.wendangku.net/doc/3d5194271.html, 天威诚信网站：https://www.wendangku.net/doc/3d5194271.html, 中国金融认证网：https://www.wendangku.net/doc/3d5194271.html, 中国电子邮政安全证书管理中心：https://www.wendangku.net/doc/3d5194271.html,/ca/index.htm 北京数字证书认证中心：https://www.wendangku.net/doc/3d5194271.html, 广东省电子商务认证中心：https://www.wendangku.net/doc/3d5194271.html, 实验二安全电子邮件 一、实验目的及要求 1、了解个人数字证书在发送和接受安全电子邮件中的应用 2、掌握Outlook Express等邮件客户端软件中配置数字证书的使用方法 3、掌握利用个人数字证书收发签名邮件和加密邮件的方法 二、实验内容与步骤(各步骤需附操作结果截图) 1、登录上海市数字证书认证中心https://www.wendangku.net/doc/3d5194271.html,，，申请并下载一个免费的个人安全电子邮件数字证书。 2、按上一步得到的数字证书，在IE浏览器中进行数字证书的安装操作（注意：首先完成根证书安装）。 3、将安装好的个人数字证书及私钥以默认格式的文件导出备份至U盘中。 4、将U盘中的人数字证书及私钥一起倒入IE浏览器中。

00997电子商务安全导论试题

绝密★考试结束前 全国2013年10月高等教育自学考试 电子商务安全导论试题 课程代码：00997 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项： 1．答题前，考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2．每小题选出答案后，用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动，用橡皮擦干净后，再选涂其他答案标号。不能答在试题卷上。 一、单项选择题（本大题共20小题，每小题1分，共20分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸” 的相应代码涂黑。错涂、多涂或未涂均无分。 1．病毒按破坏性划分可以分为 A．良性病毒和恶性病毒B．引导型病毒和复合型病毒 C．文件型病毒和引导型病毒D．复合型病毒和文件病毒 2．在进行身份证明时，用个人特征识别的方法是 A．指纹B．密码 C．身份证D．密钥 3．下列选项中，属于电子邮件的安全问题的是 A．传输到错误地址B．传输错误 C．传输丢失D．网上传送时随时可能被人窃取到 4．RC-5加密算法中的可变参数不包括 ．．． A．校验位B．分组长 C．密钥长D．迭代轮数 5．一个明文可能有多个数字签名的算法是 00997# 电子商务安全导论试题第1页共5页

A．RSA B．DES C．Rabin D．ELGamal 6．数字信封技术中，加密消息密钥形成信封的加密方法是 A．对称加密B．非对称加密 C．对称加密和非对称加密D．对称加密或非对称加密 7．防火墙的组成中不包括 ．．．的是 A．安全操作系统B．域名服务 C．网络管理员D．网关 8．下列选项中，属于加密桥技术的优点的是 A．加密桥与DBMS是不可分离的B．加密桥与DBMS是分离的 C．加密桥与一般数据文件是不可分离的D．加密桥与数据库无关 9．在不可否认业务中保护收信人的是 A．源的不可否认性B．提交的不可否认性 C．递送的不可否认性D．A和B 10．为了在因特网上有一种统一的SSL标准版本，IETF标准化的传输层协议是 A．SSL B．TLS C．SET D．PKI 11．能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是 A．CFCA B．CTCA C．SHECA D．PKI 12．下列选项中，属于中国电信CA安全认证系统结构的是 A．地市级CA中心B．地市级RA中心系统 C．省CA中心D．省RA中心系统 13．美国的橘黄皮书中为计算机安全的不同级别制定了D，Cl，C2，Bl，B2，B3，A标准，其中称为结构化防护的级别是 A．B1级B．Cl级 C．B2级D．C2级 14．下列选项中，属于提高数据完整性的预防性措施的是 A．加权平均B．信息认证 C．身份认证D．奇偶校验 00997# 电子商务安全导论试题第2页共5页

电子商务安全技术试卷

电子商务安全技术试卷

————————————————————————————————作者：————————————————————————————————日期：

XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项： 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求，在规定的位置填写答案。 3. 不要在试卷上乱写乱画，不要在装订线内填写无关的内容。 4. 满分100分，考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题（共10分，每空1分）： 1．电子商务安全从整体上分为（ ）和电子商务交易安全两大部分。 2．所谓加密，就是用基于（ ）方法的程序和保密的密钥对信息进行编码，把明文变成密文。 3．密码体制从原理上可分为单钥体制和（ ）。 4．链路-链路加密中，由于传送的信息在每个节点处都将以（ ）形式存在，故要加强每个节点的实体安全。 5． 电子商务活动是需要诚信的，如何来确定交易双方的身份就显得特别重要。目前，是通过认证中心（CA ）发放（ ）来实现的。 6． 数字证书是利用数字签名和（ ）来分发的。 7． （ ）允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8． 分布式防火墙是一种（ ）的安全系统，用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9． （ ）又称灾难恢复，是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人

10． 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题（共10分，每题1分） 1．故意攻击网站触发安全问题，以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 （ ） 2．分组密码是一种重要的对称加密机制，它是将明文按一定的位长分组，输出不定长 度的密文。 （ ） 3．在代理多重签名中，一个代理签名可以代表多个原始签名人。 （ ） 4．数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接受方用 发送方的公开密钥进行解密。 （ ） 5．SSL 建立在TCP 协议之上，它与应用层协议独立无关，应用层协议能透明地建立于 SSL 协议之上。 （ ） 6．认证机构CA 和注册机构RA 都可以发放数字证书。 （ ） 7．实现防火墙的网络安全策略时，可以遵循的两条原则是：一是未被明确允许的一定 都将被禁止；二是未被明确禁止的未必都被允许。 （ ） 8．不连网的计算机不会感染计算机病毒。 （ ） 9．为了确保系统管理人员的忠诚可靠，系统管理的工作应当长期由一人来负责。（ ） 10．计算机信息媒体出入境的普遍办理过程一般为先申报，后检测，最后报送。 （ ） 三、选择题（共40分，每小题2分） 1． 软件开发人员为了方便，通常也会在软件里留下“后门”，通过在后门里植入 （ ），很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2．确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 （ ） A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信，她需要用 什么来加密 （ ） A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中，不正确的是 （ ） A 、收方能够确认或证实发方的签名，但不能伪造 得 分 评分人 得 分 评分人

2010年1月自学考试电子商务安全导论试题

全国2010年1月高等教育自学考试 电子商务安全导论试题 课程代码：00997 一、单项选择题（本大题共20小题，每小题1分，共20分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。 l.美国的橘皮书中计算机安全B级的子级中，从高到低依次是（） A.Bl B2 B.B2 B1 C.B1 B2 B3 D.B3 B2 B1 2.现在常用的密钥托管算法是（） A.DES算法 B.EES算法 C.RAS算法 D.SHA算法 3.SHA算法输出的哈希值长度为（） A.96比特 B.128比特 C.160比特 D.192比特 4.使用数字摘要和数字签名技术不．能．解决的电子商务安全问题是（） A.机密性 B.完整性 C.认证性 D.不可否认性 5.在服务器中经常使用偶数块硬盘，通过磁盘镜像技术来提升系统的安全性，这种磁盘冗余技术称为（） A.RAID 0 B.RAID 1 C.RAID 3 D.RAID 5 6.防火墙技术中处理效率最低的是（） A.包过滤型 B.包检验型 C.应用层网关型 D.状态检测型 7.目前，对数据库的加密方法主要有（） A.2种 B.3种 C.4种 D.5种 8.身份证明系统的质量指标中的II型错误率是（） A.通过率 B.拒绝率 C.漏报率 D.虚报率 9.在对公钥证书格式的定义中已被广泛接受的标准是（） A.X.500 B.X.502 C.X.509 D.X.600 10.使用者在更新自己的数字证书时不可以 ．．．采用的方式是（） A.电话申请 B.E-Mail申请 C.Web申请 D.当面申请 11.在PKI的构成模型中，其功能不包含 ．．．在PKI中的机构是（） A.CA B.ORA C.PAA D.PMA 12.用于客户——服务器之间相互认证的协议是（）

电子商务安全期末考试复习题

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。 2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。 3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。 4.PKI:公钥基础设施通常简称PKI。所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。 5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成. 6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。特点：广泛性、技术难度不高、危害性大。 7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。 8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。 9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。 乘积密码：是以某种方式连续执行两个或多个密码交换。 10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性 11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付 1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。 2.电子商务面临的安全威胁：中断、截获、篡改、伪造、抵赖。 3.风险管理定义和过程：风险管理由风险评估、风险处理、基于风险的决策组成。风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定企业的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察企业安全措施的成本，选择合适的方法处理风险，将风险控制在可接受的程度。基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内，基于这一判断，管理者将作出决策，决定是否进行某项电子商务活动。 4.安全等级和对应的操作系统：类别有ABCD，级别和对应的操作系统分别为A、B1、B2、B3、C1 （Windows 9x系列）、C2 （Windows 2000）、D（Windows 2003及Unix、MS-DOS）。 5.数据加密标准DES：DES是一种分组密码算法，它将明文从算法的一端输入，将密文从另一端输出。由于采用的是对称密钥，因此加密和解密使用相同的算法和密钥，并且加密和解密算法是公开的，系统的安全性完全依赖于密钥的保密。 6.DES加密过程：DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据 7.异常检测与误用检测的区别：异常检测假设所有的入侵行为和正常行为不同，入侵是异常行为的子集。异常检测系统通过监控程序监控用户的行为，将当前主题的活动情况与用户轮廓进行比较，用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。误用检测是对已知的入侵行为和系统漏洞进行分析，研究入侵行为过程和系统漏洞的特征，对这些已知的攻击或入侵做出正确性的描述，用一种模式表示出来，形成入侵行为特征库。

电子商务安全实验报告

实验三数字签名方案设计 一、实验目的及要求 1．了解数字签名在电子商务中的作用； 2．了解数字签名的方案设计； 3．明确数字签名的作用； 4．按需求完成数字签名的方案设计。 二、实验内容与步骤 实验内容： 用户在交易过程中发送的信息包括订单信息和支付信息，需要满足以下条件： 1、第三方支付系统不能知道订单信息，商家不能知道支付信息。 2、商家和第三方支付系统都需要确认信息是否来自该用户。 3、第三方支付系统虽然不能知道订单信息内容，但可以确认收到的支付信息是与订单绑定的。 4、商家虽然不能知道支付信息，但可以确认收到的订单信息是与支付信息是绑定的应该采用什么数字签名方式？具体过程如何进行？ 实验步骤： 1、回顾数字签名、认证中心等相关概念； 2、上网参考解决方案； 3、设计一种满足要求的数字签名的方案（请给出具体的描述及原理图）。 数字签名设计方案 引言 在当今信息社会,计算机网络技术得到了突飞猛进的发展。计算机网络日益成为工业、农业和国防等领域的重要信息交换手段,并逐渐渗透到社会的各个领域。在现实生活中,人们常常需要进行身份鉴别、数据完整性认证和抗否认。身份鉴别允许我们确认一个人的身份;数据完整性认证则帮助我们识别消息的真伪、是否完整;抗否认则防止人们否认自己曾经做过的行为。随着无纸化办公的发展,计算机网络的安全越来越受到重视,防止信息被未经授权

的泄漏、篡改和破坏等都是亟待解决的问题。在Internet上,数字签名作为一项重要的安全技术,在保证数据的保密性、完整性、可用性、真实性和可控性方面起着极为重要的作用。同时由于信息技术的发展及其在商业、金融、法律等部门的普及, 数字签名技术又面临着新的挑战。 随着电子商务的发展，电子签名的使用越来越多。实现电子签名的技术手段有很多种，比如基于公钥密码技术的数字签名；或用一个独一无二的以生物特征统计学为基础的识别标志，例如手印、声音印记或视网膜扫描的识别；手书签名和图章的电子图像的模式识别；表明身份的密码代号；基于量子力学的计算机等。但比较成熟的、世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术。目前电子签名法中所提到的签名，一般指的就是“数字签名”，它是电子签名的一种特定形式。 设计目的 1.第三方支付系统不能知道订单信息，商家不能知道支付信息； 2.商家和第三方支付系统都需要确认信息是否来自该用户； 3.第三方支付系统虽然不能知道订单信息内容，但可以确认收到的支付信息是与订单 绑定的； 4.商家虽然不能知道支付信息，但可以确认收到的订单信息是与支付信息是绑定的。 设计概述 所谓数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir 数字签名算法、DES/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用