?2021年10月自考00997電子商務(wù)安全導(dǎo)論串講筆記2

自考課程的試卷遵循一個(gè)原則，以自考教材大綱為主，參考輔導(dǎo)資料為輔。但教材知識(shí)點(diǎn)眾多，考生復(fù)習(xí)起來(lái)難免吃力，而自考復(fù)習(xí)資料一般把知識(shí)點(diǎn)已經(jīng)總結(jié)好，學(xué)習(xí)起來(lái)也更方便快捷，下文是希賽網(wǎng)自考頻道整理的2021年10月自考00997電子商務(wù)安全導(dǎo)論串講筆記2，供各位考生參考。

2021年10月自考00997電子商務(wù)安全導(dǎo)論串講筆記2

一、電子商務(wù)的安全需求

電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)問(wèn)題，在使用電子商務(wù)的過(guò)程中會(huì)涉及到以下幾個(gè)有關(guān)安全方面的因素。

(1)可靠性可靠性是指電子商務(wù)系統(tǒng)的可靠性，電子商務(wù)系統(tǒng)也就是計(jì)算機(jī)系統(tǒng)，其可靠性是指為防止由于計(jì)算機(jī)失效、程序錯(cuò)誤、傳輸錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤、計(jì)算機(jī)病毒和自然災(zāi)害等所產(chǎn)生的潛在威脅，加以控制和預(yù)防，確保系統(tǒng)安全可靠性。保證計(jì)算機(jī)系統(tǒng)的安全是保證電子商務(wù)系統(tǒng)數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)及電子商務(wù)完整性檢查的正確和可靠的根基。

(2)真實(shí)性真實(shí)性是指商務(wù)活動(dòng)中交易者身份的真實(shí)性，亦即是交易雙方確實(shí)是存在的，不是假冒的。

(3)機(jī)密性機(jī)密性是指交易過(guò)程中必須保證信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。

(4)完整性完整性是指數(shù)據(jù)在輸人和傳輸過(guò)程中，要求能保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非授權(quán)建立、修改和破壞。

(5)有效性電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，必須保證貿(mào)易數(shù)據(jù)在確定價(jià)格、期限、數(shù)量以及確定時(shí)間、地點(diǎn)時(shí)是有效的。

(6)不可抵賴性電子商務(wù)直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題，則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。要求在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)，使原發(fā)送方在發(fā)送數(shù)據(jù)后不能抵賴。

接收方在接收數(shù)據(jù)后也不能抵賴。

(7)內(nèi)部網(wǎng)的嚴(yán)密性企業(yè)在內(nèi)部網(wǎng)上一方面有著大量需要保密的信息，另一方面?zhèn)鬟f著企業(yè)內(nèi)部的大量指令，控制著企業(yè)的業(yè)務(wù)流程。企業(yè)內(nèi)部網(wǎng)一旦被惡意侵入，可能給企業(yè)帶來(lái)極大的混亂與損失。保證內(nèi)部網(wǎng)不被侵入，也是開展電子商務(wù)的企業(yè)應(yīng)著重考慮的一個(gè)安全問(wèn)題。

二、密碼技術(shù)

1.加密的基本概念

和表示方法

(1)加密的基本概念

①明文：原始的、未被偽裝的消息稱做明文，也稱信源。通常用M表示。

②密文：通過(guò)一個(gè)密鑰和加密算法可將明文變換成一種偽裝的信息，稱為密文。通常用C表示。

③加密：就是用基于數(shù)學(xué)算法的程序和加密的密鑰對(duì)信息進(jìn)行編碼，生成別人難以理解的符號(hào)，即把明文變成密文的過(guò)程，通常用E表示。

④解密：由密文恢復(fù)成明文的過(guò)程，稱為解密。通常用D表示。

⑤加密算法：對(duì)明文進(jìn)行加密所采用的一組規(guī)則，即加密程序的邏輯稱做加密算法。

⑥解密算法：消息傳送給接受者后，要對(duì)密文進(jìn)行解密時(shí)所采用的一組規(guī)則稱做解密算法。

⑦密鑰：加密和解密算法的操作通常都是在一組密鑰的控制下進(jìn)行的，分別稱作加密密鑰和解密密鑰。通常用K表示。

(2)加密、解密的表示方法

①加密：C—EK(M)

②解密：M=DR(c)2.單鑰密碼體制及其特點(diǎn)單鑰密碼體制是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體制。

單鑰密碼體制的特點(diǎn)：(1)加密和解密的速度快，效率高。(2)單鑰密碼體制的加密和解密過(guò)程使用同一個(gè)密鑰。

3.單鑰密碼體制幾種算法的基本思想

(1)DES加密算法

DES的加密運(yùn)算法則是，每次取明文中的連續(xù)64位(二進(jìn)制位，以下同樣)數(shù)據(jù)，利用64位密鑰(其中8位是校驗(yàn)位，56位是有效密鑰信息)，經(jīng)過(guò)16次循環(huán)(每一次循環(huán)包括一次替換和一次轉(zhuǎn)換)加密運(yùn)算，將其變?yōu)?4位的密文數(shù)據(jù)。

DES的整個(gè)體制是公開的，系統(tǒng)的安全性依賴于密鑰。為了提高DES的加密強(qiáng)度，出現(xiàn)了雙重DES和三重DES加密算法。

(2)IDEA加密算法

IDEA國(guó)際數(shù)據(jù)加密算法是1990年由瑞士聯(lián)邦技術(shù)學(xué)院提出的。IDEA采用了三種基本運(yùn)算：異或運(yùn)算、模加、模乘。IDEA的設(shè)計(jì)思想是在不同代數(shù)組中進(jìn)行混合運(yùn)算。IDEA的加密過(guò)程是，首先將明文分為64位的數(shù)據(jù)塊，然后進(jìn)行8輪迭代和一個(gè)輸出變換。IDEA的輸入和輸出都是64位，密鑰長(zhǎng)度為128位。

(3)RC-5加密算法

RC-5加密算法是使用可變參數(shù)的分組迭代密碼體制，其中的可變參數(shù)為：分組長(zhǎng)、密鑰長(zhǎng)和迭代輪數(shù)。

RC-5加密算法適用于不同字長(zhǎng)的處理器。

(4)AES加密算法。

【多選】單密鑰體制算法主要包括：DES、RC-5和AES。

4.雙鑰密碼體制及其特點(diǎn)

雙鑰密碼體制又稱作公共密鑰體制或非對(duì)稱加密體制，這種加密法在加密和解密過(guò)程中要使用一對(duì)(兩個(gè))密鑰，一個(gè)用于加密，另一個(gè)用于解密。即通過(guò)一個(gè)密鑰加密的信息，只有使用另一個(gè)密鑰才能夠解密。

雙鑰密碼體制算法的特點(diǎn)：(1)適合密鑰的分配和管理。(2)算法速度慢，只適合加密小數(shù)量的信息。

5.雙鑰密碼體制幾種算法的基本思想

(1)RSA密碼算法

它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。RSA密碼體制是基于群中大整數(shù)因子分解的困難性。

RSA算法的安全性依賴于大數(shù)分解的困難性，公鑰和私鑰都是兩個(gè)大素?cái)?shù)(大于l00個(gè)十進(jìn)制位)。隨著大整數(shù)的分解算法和計(jì)算能力的提高，RSA需要采用足夠大的整數(shù)。如512位、664位、1024位等。

(2)ELGamal密碼體制ELGamal密碼體制由El。Gamal提出，是一種基于有限域上的離散對(duì)數(shù)問(wèn)題的雙鑰密碼體制。

ELGamal密碼體制的一個(gè)缺點(diǎn)是“消息擴(kuò)展”，即密文長(zhǎng)度是對(duì)應(yīng)的明文長(zhǎng)度的兩倍。

(3)橢圓曲線密碼體制(ECC)

橢圓曲線密碼體制的依據(jù)就是定義在橢圓曲線點(diǎn)群上的離散對(duì)數(shù)問(wèn)題的難解性。

三、密鑰管理技術(shù)

1.密鑰管理在密碼學(xué)中的作用

根據(jù)近代密碼學(xué)的觀點(diǎn)，一個(gè)密碼系統(tǒng)的安全性取決于對(duì)密鑰的保護(hù)，而不取決于對(duì)算法的保密。密碼體制可以公開，密碼設(shè)備可以丟失，然而一旦密鑰丟失或出錯(cuò)，不但合法用戶不能提取信息，而且可能會(huì)使非法用戶竊取信息?？梢?，密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要的。密鑰管理包括密鑰的設(shè)置、產(chǎn)生、分配、存儲(chǔ)、裝入、保護(hù)、使用以及銷毀等內(nèi)容，其中密鑰的分配和存儲(chǔ)可能是最棘手的問(wèn)題。

2.設(shè)置多層次密鑰系統(tǒng)的意義

密鑰舶層次設(shè)置，體現(xiàn)了一個(gè)密鑰系統(tǒng)在組織結(jié)構(gòu)上的基本特點(diǎn)。層次是由密鑰系統(tǒng)的功能決定的。如果一個(gè)密鑰系統(tǒng)所定義的功能很簡(jiǎn)單，其層次就可以很簡(jiǎn)單，如早期的保密通信都采用單層密鑰體制，密鑰的功能就是對(duì)明文加解密。然而，現(xiàn)代信息系統(tǒng)的密鑰管理不僅需求密鑰本身的安全保密，更要求密鑰能夠定期更換，甚至一報(bào)一換，密鑰能自動(dòng)生成和分配，密鑰的更換對(duì)用戶透明等，單層密鑰體制已無(wú)法適應(yīng)這種需要了。所以，現(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的密鑰設(shè)計(jì)大都采取多層的形式。

3.Diffie—Hellman密鑰分配協(xié)議

Diffie與Hellman在早期提出了一種密鑰交換體制，通常稱為Diffie—Hellman協(xié)議。他們建議用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來(lái)進(jìn)行直接密鑰交換。

【簡(jiǎn)答】簡(jiǎn)述使用Diffie一Hellman密鑰交換協(xié)議交換密鑰的步驟。

是用模一個(gè)素?cái)?shù)的指數(shù)運(yùn)算來(lái)進(jìn)行直接密鑰交換，設(shè)P是一個(gè)素?cái)?shù)，a是模P的本原元。用戶A產(chǎn)生一個(gè)隨機(jī)數(shù)x，并計(jì)算U=axmodP送給用戶B。用戶B同樣產(chǎn)生一隨機(jī)數(shù)Y，計(jì)算V=aymodp送給用戶A。這樣雙方就能計(jì)算出相同的密鑰K

K=axymodp=Vxmodp=Uymodp。

4.集中式密鑰分配和分布式密鑰分配的含義

所謂集中式分配是指利用網(wǎng)絡(luò)中的“密鑰管理中心(KMC)”來(lái)集中管理系統(tǒng)中的密鑰，“密鑰管理中心”接受系統(tǒng)中用戶的請(qǐng)求，為用戶提供安全分配密鑰的服務(wù)。分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密鑰分配取決于它們自己的協(xié)商，不受任何其他方面的限制。

5.密鑰分存的思想

它的基本思想是：將一個(gè)密鑰K破成n個(gè)小片K、K2…、K。，滿足：(1)已知任意t個(gè)K：的值易于計(jì)算出K。

(2)已知任意t一1個(gè)或更少個(gè)K：，則由于信息短缺而不能確定出K。

將一個(gè)小片分給”個(gè)用戶。由于要重構(gòu)密鑰需要t個(gè)小片，故暴露一個(gè)小片或大到0一l個(gè)小片不會(huì)危及密鑰，且少于￡一1個(gè)用戶不可能共謀得到密鑰。同時(shí)，若一個(gè)小片被丟失或損壞，仍可恢復(fù)密鑰(只要至少有t個(gè)有效的小片)。

6.密鑰托管標(biāo)準(zhǔn)EES

EES主要有兩個(gè)新的特點(diǎn)：一個(gè)新的加密算法(Skipjack算法)和一個(gè)密鑰托管系統(tǒng)。其中最新的特色就是它的密鑰托管功能，當(dāng)一個(gè)Clipper芯片被用來(lái)進(jìn)行加解密時(shí)，一個(gè)LEAF(LawEnforcementAccessHeld)信息必須被提供，否則由防竄擾芯片拒絕解密，其中LEAF包含一個(gè)會(huì)話密鑰的加密拷貝，這樣被授權(quán)的監(jiān)聽機(jī)構(gòu)就可以通過(guò)解密LEAF得到會(huì)話密鑰，從而有效地實(shí)施監(jiān)聽。

【單選】美國(guó)政府在1993年公布的EES技術(shù)所屬的密鑰管理技術(shù)是密鑰的托管。

四、密碼系統(tǒng)的安全性--無(wú)條件安全和計(jì)算上安全

一個(gè)密碼體制的安全性取決于破譯者具備的計(jì)算能力，如若它對(duì)于擁有無(wú)限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱這樣的密碼體制是無(wú)條件安全的，它意味著不論破譯者擁有多大的計(jì)算資源，都不可能破譯;如若一個(gè)密碼體制對(duì)于擁有有限計(jì)算資源的破譯者來(lái)說(shuō)是安全的，則稱這樣的密碼體制是計(jì)算上安全的，計(jì)算上安全的密碼表明破譯的難度很大。

無(wú)條件安全的密碼體制是理論上安全的;計(jì)算上安全的密碼體制實(shí)用的安全性。但目前已知的無(wú)條件安全的密碼體制都是不實(shí)用的;同時(shí)還沒(méi)有一個(gè)實(shí)用的密碼體制被證明是計(jì)算上安全的。

以上就是本文的全部?jī)?nèi)容了，希賽網(wǎng)還為各位考生提供【希賽自考題庫(kù)】【希賽自考真題下載】【自考題庫(kù)app下載】三大刷題工具，有需要的考生也可點(diǎn)擊查看。