電子商務(wù)安全復(fù)習(xí)題.docx

自主式接入控制：自主式接入控制簡記DAC，它是由資源擁有者分配接入，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個用戶的介入權(quán)由數(shù)據(jù)的擁有者來建立，常接入控制表或權(quán)限表實(shí)現(xiàn)。計(jì)算機(jī)病毒：計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能，或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。身份證明系統(tǒng):身份證明系統(tǒng)由3方組成，一方是出示證件的人，稱作示證者，又稱申請者，提出某種要求；另一方為驗(yàn)證者，檢驗(yàn)示證者提出的證件的正確性和合法性，決定是否滿足其要求；第三方是可信賴者，用以調(diào)解糾紛。PKI:即“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開展提供了一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。單鑰密碼體制:是加密和解密使用相同或?qū)嵸|(zhì)上等同的密鑰的加密體制。使用單鑰密碼體制時(shí)，通信雙方A、B必須相互交換密鑰，當(dāng)A發(fā)送信息給B時(shí)，A用自己的加密密鑰進(jìn)行加密，而B在接收到數(shù)據(jù)后，用A的密鑰進(jìn)行解密。單鑰密碼體制又稱作秘密密鑰體制或?qū)ΨQ密鑰體制。Acess VPN：又稱撥號VPN，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過公網(wǎng)遠(yuǎn)程撥號的方式構(gòu)筑的虛擬網(wǎng)。 域間認(rèn)證：是指client向本kerberos 的認(rèn)證域以外的server申請服務(wù)的過程。Intranet：是指基于TCP/IP協(xié)議的企業(yè)內(nèi)部網(wǎng)絡(luò)，它通過防火墻或其他安全機(jī)制與intranet建立連接。歸檔：是指將文件從計(jì)算機(jī)的存儲介質(zhì)中轉(zhuǎn)移到其他永久性的介質(zhì)上的，以便長期保存的過程。支付網(wǎng)關(guān)：是Internet電子商務(wù)網(wǎng)站上的一個站點(diǎn)，負(fù)責(zé)接收來自商店服務(wù)器送來的Set付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收到銀行處理。它是一個SET付款信息與現(xiàn)有銀行網(wǎng)絡(luò)的轉(zhuǎn)接處，是必不可少的機(jī)構(gòu)。容錯技術(shù)：容錯技術(shù)是當(dāng)系統(tǒng)發(fā)生某些錯誤或故障時(shí)，在不排除錯誤和故障的條件下使系統(tǒng)能夠繼續(xù)正常工作或進(jìn)入應(yīng)急工作狀態(tài)的一種技術(shù)。奇偶校驗(yàn)：是服務(wù)器的一種特征，它提供一種機(jī)器機(jī)制來保證對內(nèi)存錯誤的檢測，因此，不會引起由于服務(wù)器的出錯，導(dǎo)致數(shù)據(jù)完整性的喪失。身份識別：是指輸入個人信息，經(jīng)過處理提取成模板信息，試著在存儲數(shù)據(jù)庫中搜索，找出與之匹配的模板，而后給出結(jié)論的過程。認(rèn)證服務(wù)：身份鑒別和識別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體，鑒別身份的真?zhèn)?。無條件安全：若它對于擁有無限計(jì)算資源的破譯者來說是安全的，則成為這樣的密鑰體制。非軍事化區(qū)：DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。公證服務(wù)：是指數(shù)據(jù)認(rèn)證也就是說，公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公證取決于數(shù)據(jù)認(rèn)證的方式。TLS協(xié)議：傳輸安全層協(xié)議是在傳輸層對IETF安全協(xié)議的標(biāo)準(zhǔn)化，制定的目的是為了在因特網(wǎng)上有一種統(tǒng)一的SSL標(biāo)準(zhǔn)版本。加密橋技術(shù)：一種在加/解密卡的基礎(chǔ)上開發(fā)加密橋的技術(shù)可實(shí)現(xiàn)不存在降低加密安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫加密字段的存儲、檢索、索引、運(yùn)算、刪除、修改等功能的實(shí)現(xiàn)提供接口，并且它的實(shí)現(xiàn)是與密碼算法、密碼設(shè)備無關(guān)的。遞送的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個特定實(shí)體收到了一個特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。接入權(quán)限：表示主體對客體訪問時(shí)可擁有的權(quán)利。接入權(quán)要按每一對主體客體分別限定，權(quán)利包括讀，寫，執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目標(biāo)為一個程序時(shí)它對文件的查找和執(zhí)行。盲簽名：一般數(shù)字簽名中，總是要先知道文件內(nèi)容而后才簽署，這正是通常所需要的。但有時(shí)需要某人對一個文件簽名，但又不讓他知道文件內(nèi)容，稱為盲簽名。身份證實(shí)：對個人身份進(jìn)行肯定或否定。一般方法是將輸入的個人信息（經(jīng)公式和算法運(yùn)算所得的結(jié)果）與卡上或庫存中的信息進(jìn)行比較，得出結(jié)論。接入權(quán)限：表示主體對客體訪問時(shí)可擁有的權(quán)利。接入權(quán)要按每一對主體客體分別限定，權(quán)利包括讀，寫，執(zhí)行等，讀寫含義明確，而執(zhí)行權(quán)指目標(biāo)為一個程序時(shí)它對文件的查找和執(zhí)行。遞送的不可否認(rèn)性：用于防止或解決出現(xiàn)有關(guān)是否一個特定實(shí)體收到了一個特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。SSL握手協(xié)議：用于客戶機(jī)/服務(wù)器之間的相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會話密鑰。簡答題簡述雙鑰密碼體制的基本概念及特點(diǎn)？雙鑰密碼體制又稱作公共密鑰體制或非對稱加密體制，這種加密法在加密和解密過程中要使用一對密鑰，一個用于加密，一個用于解密。即通過一個密鑰加密的信息，只有使用另一個密鑰才能解密。這樣每個用戶都擁有兩個密鑰：公共密鑰和個人密鑰，公共密鑰用于加密，個人密鑰用于解密。用戶將公共密鑰交給發(fā)送方或公開，信息發(fā)送者使用接受人的公共密鑰加密的信息只有接收人才能解密。特點(diǎn)是：（1）適合密鑰的分配和管理（2）算法速度慢，只適合加密小數(shù)量的信息。簡述數(shù)據(jù)交換時(shí)如何利用數(shù)字信封來確保接收者的身份？發(fā)送方用一個隨機(jī)產(chǎn)生的DES密鑰加密信息，然后用接收方的公鑰加密DES密鑰，形成消息的“數(shù)字信封”。發(fā)送方將數(shù)字信封與DES加密后的消息一起發(fā)給接收方。接收者收到信息后，先用其私鑰打開數(shù)字信封，得到發(fā)送方的DES密鑰后，再用此密鑰去解密消息。只有用接收方的RSA私鑰才能打開此數(shù)字信封，確保了接收者的身份。電子商務(wù)安全的中心內(nèi)容是什么？（1）商務(wù)數(shù)據(jù)的機(jī)密性(2)商務(wù)數(shù)據(jù)的完整性（3）商務(wù)對象的認(rèn)證性（4）商務(wù)服務(wù)的不可否認(rèn)性（5）商務(wù)數(shù)據(jù)的不可拒絕性（6）訪問的控制性簡述SSL的體系結(jié)構(gòu)SSL協(xié)議共由4個協(xié)議組成，它們是SSL記錄協(xié)議，SSL更改密碼規(guī)格協(xié)議，SSL警報(bào)協(xié)議，SSL握手協(xié)議。1SSL記錄協(xié)議，定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式。其中，MAC是一個定長數(shù)據(jù)，用于信息的完整性；信息內(nèi)容是網(wǎng)絡(luò)的上一層應(yīng)用層傳來的數(shù)據(jù)；附加數(shù)據(jù)時(shí)加密后所產(chǎn)生的附加數(shù)據(jù)。2SSL更改密碼規(guī)格協(xié)議由單個消息組成，只有一個值為1的單字節(jié)。其目的是是未決狀態(tài)拷貝為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密碼組。3SSL警報(bào)協(xié)議用于傳送SSL的有關(guān)警報(bào)。4SSL握手協(xié)議用于客戶/服務(wù)器之間相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會話密鑰。簡述防火墻設(shè)計(jì)原則（1）由內(nèi)到外和由外到內(nèi)的業(yè)務(wù)流必須經(jīng)過防火墻（2）只允許本地安全政策認(rèn)可的業(yè)務(wù)流通過防火墻（3）盡可能控制外部用戶訪問內(nèi)域網(wǎng)，應(yīng)嚴(yán)格限制外部用戶進(jìn)入內(nèi)域網(wǎng)（4）具有足夠的透明性，保證正常業(yè)務(wù)的流通（5）具有抗穿透攻擊能力，強(qiáng)化記錄，審記和報(bào)警。簡述IPSec的兩種工作模式一是傳輸模式，為源到目的之間已存在的IP包提供安全性；IPSEC傳輸模式被用于在端到端的兩個通信實(shí)體之間提供IP傳輸?shù)陌踩裕鐬門CP連接或UDP數(shù)據(jù)報(bào)連接提供安全性。傳輸模式也保護(hù)了IP包的內(nèi)容，特別是用于兩個主機(jī)之間的端對端通訊。二是隧道模式，它把一個IP包放到一個新的IP包中，并以IPSEC格式發(fā)往目的終點(diǎn)：IP包在添加了ESP字段后，整個包以及包的安全字段被認(rèn)為是新的IP包外層內(nèi)容，附有新的IP外層包頭。原來的包通過“隧道”從一個IP網(wǎng)絡(luò)起點(diǎn)傳輸?shù)絻伞⒘硪粋€IP網(wǎng)點(diǎn)，中途的路由器可以檢查IP的外層包頭，并根據(jù)外層包頭發(fā)往目的端點(diǎn)。因?yàn)樵瓉淼陌驯淮虬?，新的包可能有不同的源地址及目的地址，以達(dá)到安全的目的。簡述DAC方式易受到攻擊的原因。（1）DAC為自主式接入控制； (2)它由擁有者分配接人權(quán)，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制；(3)每個用戶的接人權(quán)由數(shù)據(jù)的擁有者來建立，常以接入控制表或權(quán)限表實(shí)現(xiàn)； (4)這一方法靈活，便于用戶訪問數(shù)據(jù)，在安全性要求不高的用戶之間分享一般數(shù)據(jù)時(shí)可采用； (5)如果用戶疏于利用保護(hù)機(jī)構(gòu)時(shí)，會危及資源安全。在我國制約VPN的發(fā)展、普及的因素有哪些？ (1)在我國，制約VPN的發(fā)展、普及的因素大致可分為客觀因素和主觀因素兩方面；(2)客觀因素包括因特網(wǎng)帶寬和服務(wù)質(zhì)量QoS問題； (3)主觀因素之一是用戶總害怕自己內(nèi)部的數(shù)據(jù)在Internet上傳輸不安全； (4)主觀因素之二客戶自身的應(yīng)用跟不上。雙鑰密碼體制加密為什么可以保證數(shù)據(jù)的機(jī)密性和不可否認(rèn)性？(1)雙鑰密碼體制加密時(shí)有一對公鑰和私鑰，公鑰公開，私鑰由持有者保存；(2)公鑰加密后的數(shù)據(jù)只有持有者的私鑰能解開，這樣保證了數(shù)據(jù)的機(jī)密性；(3)經(jīng)私鑰加密后的數(shù)據(jù)可被所有具有公鑰的人解開，由于私鑰只有持有者一人保存，這樣就證明信息發(fā)自私鑰持有者，具有不可否認(rèn)性。請列出公鑰證書的類型并簡述其作用。(1)客戶證書，證實(shí)客戶身份和密鑰所有權(quán)；(2)服務(wù)器證書，證實(shí)服務(wù)器的身份和公鑰；(3)安全郵件證書，證實(shí)電子郵件用戶的身份和公鑰；(4)CA證書，證實(shí)CA身份和CA的簽名密鑰。簡述SET的購物過程。(1)持卡人訂貨；(2)商家檢查訂單；(3)持卡人確認(rèn)訂單，選擇付款方式；(4)商店檢查信用卡的有效性；(5)收單銀行的確認(rèn)；(6)商店發(fā)送訂單確認(rèn)信息給持卡人；(7)結(jié)賬。PKI作為安全基礎(chǔ)設(shè)施，能為用戶提供哪些服務(wù)？(1)認(rèn)證； (2)數(shù)據(jù)完整性服務(wù)； (3)數(shù)據(jù)保密性服務(wù)； (4)不可否認(rèn)性服務(wù)； (5)公證服務(wù)。簡述使用MD5算法的基本過程。附加填充比特； 附加長度； 初始化緩沖區(qū)； 按每塊16個字對數(shù)據(jù)進(jìn)行4輪規(guī)定算法的處理； 輸出。簡述防火墻的基本組成部分安全操作系統(tǒng)；過濾器；網(wǎng)關(guān)；域名服務(wù)器；e-mail處理。簡述公鑰證書包含的具體內(nèi)容。版本信息、證書序列號、CA使用的簽名算法、有效期、發(fā)證者的識別碼、證書主題名、公鑰信息、使用者subject；使用者識別碼、額外的特別擴(kuò)展信息。簡述電子錢包的功能。（1）與商店端的SET軟件溝通，以激活SET交易；（2）向商店端查詢有關(guān)付款與訂貨的相關(guān)信息；（3）接受來自商店端的相應(yīng)信息；（4）向認(rèn)證中心要求申請數(shù)字證書，并下載數(shù)字證書申請表；（5）從認(rèn)證中心下載持卡人的數(shù)字證書；（6）與認(rèn)證中心溝通，查詢數(shù)字證書目前的狀態(tài)。簡述目前自動密鑰分配途徑？它們是集中密鑰分配方案和分布式分配方案。所謂集中式分配方案是指利用網(wǎng)絡(luò)中的“密鑰管理中心”來集中管理系統(tǒng)中的密鑰，“密鑰管理中心”接受系統(tǒng)中用戶的請求，為用戶提供安全分配密鑰的服務(wù)。分布式分配方案是指網(wǎng)絡(luò)中各主機(jī)具有相同的地位，它們之間的密鑰分配取決于它們自己的協(xié)商，不受任何其他方面的限制。簡述散列函數(shù)的概念及其特性散列函數(shù)是將一個長度不確定的輸入串轉(zhuǎn)換成一個長度確定的輸出串的函數(shù)；應(yīng)該具備的特性有：給定輸入串，能很容易計(jì)算出輸出串；給定輸出串，不能計(jì)算出輸入串；既定一個輸入串，要找到另一個輸入串使兩個的輸出串相同很難。簡述比較常見的備份方式有哪些?1、定期磁帶備份數(shù)據(jù)2、遠(yuǎn)程磁帶庫；光盤庫備份3、遠(yuǎn)程關(guān)鍵數(shù)據(jù)并兼有磁帶備份4、遠(yuǎn)程數(shù)據(jù)庫備份5、網(wǎng)絡(luò)數(shù)據(jù)鏡像6、遠(yuǎn)程鏡像磁盤按照接入方式的不同VPN的具體實(shí)現(xiàn)方式有哪幾種？1.虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私有地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。2.虛擬專用路由網(wǎng)絡(luò)，它是基于路由的VPN接入方式。3.虛擬租用線路，是基于虛擬專線的一種VPN它在公網(wǎng)上開出各種隧道，模擬專線來建立VPN。4.虛擬專用LAN子網(wǎng)段，是在公網(wǎng)上用隧道協(xié)議仿真出來一個局域網(wǎng)，透明的提供跨越公網(wǎng)的LAN服務(wù)。通行字的安全存儲有哪些方法？1.用戶的通行字多以加密形式存儲，入侵者要得到通行字，必須知道加密算法和密鑰；2.許多系統(tǒng)可以存儲通行字的單向雜湊值，入侵者即使行到此雜湊也難于推出通行字。SSL如何來保證Internet上瀏覽器/服務(wù)器會話中的認(rèn)證性？（1）SSL使用數(shù)字證書以識別對方；(2)利用服務(wù)器的數(shù)字證書來驗(yàn)證商家的資格；（3）商家需事先向認(rèn)證中心取得數(shù)字證書；（4）客戶的瀏覽器對服務(wù)器進(jìn)行認(rèn)證；（5）必要時(shí)，服務(wù)器對客戶的瀏覽器采取同樣方法進(jìn)行認(rèn)證。簡述雙鑰密碼體制的加密和解密過程及其特點(diǎn)。雙鑰密碼體制又稱作公共密鑰體制或非對稱加密體制。這種加密方法在加密和解密過程中要使用一對（兩個）密鑰，一個用于加密，另一個用于解密，即通過一個密鑰加密的信息，只有使用另一個密鑰才能解密。這樣每個用戶對都擁有兩個（一對）密鑰：公共密鑰和個人密鑰，公共密鑰用于加密，個人密鑰用于解密。用戶將公共密鑰交給發(fā)送放或公開，信息發(fā)送者使用接受方法的公共密鑰對信息加密，只有接收方的個人密鑰才能解密。簡述證書合法性驗(yàn)證鏈。為了對證書進(jìn)行有效的管理，證書實(shí)行分級管理，認(rèn)證機(jī)構(gòu)采用了樹形結(jié)構(gòu)，證書可以通過一個完整的安全體系得以驗(yàn)證。每份證書都與上一級的簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的可信的機(jī)構(gòu)。由此便可對各級證書的有效性進(jìn)行驗(yàn)證。數(shù)字簽名與消息的真實(shí)性認(rèn)證有什么不同？數(shù)字簽名與消息的真實(shí)性認(rèn)證是不同的。消息認(rèn)證是使接收方能驗(yàn)證消息發(fā)送者及所發(fā)消息內(nèi)容是否被篡改過。當(dāng)受罰者之間沒有利害沖突時(shí)，這對于防止第三者的破壞來說就是足夠了。但當(dāng)接收者和發(fā)送者之間有利害沖突時(shí)，單純用消息認(rèn)證技術(shù)就無法解決他們之間的糾紛，此時(shí)需要借助數(shù)字簽名技術(shù)。列舉計(jì)算機(jī)病毒的主要來源。（1）引進(jìn)的計(jì)算機(jī)系統(tǒng)和軟件中帶有病毒；（2）各類出過人員帶回來的機(jī)器和軟件染有病毒；（3）一些染有病毒的游戲軟件；（4）非法拷貝引起的病毒；（5）計(jì)算機(jī)生產(chǎn)、經(jīng)營單位銷售的機(jī)器和軟件染有病毒；（6）維修不問交叉感染；（7）有人研制、改造病毒；（8）敵對分子以病毒進(jìn)行宣傳和破壞；（9）通過互聯(lián)網(wǎng)傳入的。密鑰對生成的途徑有哪些？1.密鑰對持有者自己生成：用戶自己用硬件或軟件生成密鑰對。如果密鑰對用于數(shù)字簽名時(shí)，應(yīng)支持古可否認(rèn)性。2.密鑰對由通過系統(tǒng)生成：由用戶依賴的、可信賴的某一中心機(jī)構(gòu)（如CA）生成，然后要安全地送到特定用戶的設(shè)備中。利用這類中心的資源，可產(chǎn)生高質(zhì)量密鑰對，易于備份與管理?；赟ET協(xié)議的電子商務(wù)系統(tǒng)的業(yè)務(wù)過程有哪幾步？基于SET協(xié)議的電子商務(wù)系統(tǒng)的業(yè)務(wù)過程可分為注冊登記申請數(shù)字證書、動態(tài)認(rèn)證和商業(yè)機(jī)構(gòu)的處理。注冊登記：一個機(jī)構(gòu)如要假如到基于SET協(xié)議的安全電子商務(wù)系統(tǒng)中，必須先上網(wǎng)申請登記注冊，申請數(shù)字證書。動態(tài)認(rèn)證：一旦注冊成功，就可以隨意地在網(wǎng)上從事電子商務(wù)活動了。在實(shí)際從事電子商務(wù)活動時(shí)，SET系統(tǒng)動態(tài)認(rèn)證參與商務(wù)活 動者的數(shù)字證書。商務(wù)活動時(shí)，SET系統(tǒng)動態(tài)認(rèn)證參與商務(wù)活動者的數(shù)字證書。商業(yè)機(jī)構(gòu)處理：工作步驟為：商業(yè)機(jī)構(gòu)通過應(yīng)用程序口處理購買和支付信息；電子收銀發(fā)送資金信息給支付網(wǎng)關(guān)；支付網(wǎng)管發(fā)送動態(tài)認(rèn)證認(rèn)證回執(zhí)信息給電子收銀；電子收銀通過電子錢包通知持卡人付款結(jié)果。論述題對于RSA公鑰/私鑰對的不同功能，在要求上要考慮不一致的情況有哪些？（1）需要采用兩個不同的密鑰對分別作為加密/解密和數(shù)字簽名/驗(yàn)證簽名用。（2）一般公鑰體制的加密用密鑰的長度要比簽名用的密鑰短，有的國家對出口加密用算法的密鑰的長度有限制，而對簽名用密鑰無限制。（3）由于實(shí)際商務(wù)的需要或其他原因，需要用不同的密鑰和證書，例如，一般消息加密用的密鑰比較短，加密時(shí)間可快一些；而對短消息加密用的密鑰可以長一些，有利于防止攻擊。（4）密鑰對的使用期限不同：加密密鑰使用頻度比簽名用密鑰的使用頻度大得多，因此更換周期要短。 （5）并非所有公鑰算法都具有RSA的特點(diǎn)，例如DSA算法可以做簽名，但無須建立密鑰。未來系統(tǒng)要能支持多種算法，因而應(yīng)支持采用不同簽名密鑰對和不同密鑰的建立。（6）加密算法可能支持密鑰托管和密鑰恢復(fù)，以及可能的法律監(jiān)聽。但數(shù)字簽名的密鑰則不允許泄露給他人，其中包括法律機(jī)構(gòu)。對比傳統(tǒng)手寫簽名來論述數(shù)字簽名的必要性。(1)傳統(tǒng)手書簽名儀式要專門預(yù)定日期時(shí)間，契約各方到指定地點(diǎn)共同簽署一個合同文件，短時(shí)間的簽名工作需要很長時(shí)間的前期準(zhǔn)備工作。這種狀況對于管理者是延誤時(shí)機(jī)，對于合作伙伴是丟失商機(jī)，對于政府機(jī)關(guān)是辦事效率低下。(2)電子商務(wù)時(shí)代各種單據(jù)的管理必須實(shí)現(xiàn)網(wǎng)絡(luò)化的傳遞。保障傳遞文件的機(jī)密性應(yīng)使用加密技術(shù)，保障其完整性則用信息摘要技術(shù)，而保障認(rèn)證性和不可否認(rèn)性則應(yīng)使用數(shù)字簽名技術(shù)。(3)數(shù)字簽名可做到高效而快速的響應(yīng)，任意時(shí)刻，在任何地點(diǎn)，只要有Internet就可以完成簽署工作。(4)數(shù)字簽名除了可用于電子商務(wù)中的簽署外，還可用于電子辦公、電子轉(zhuǎn)帳及電子郵遞等系統(tǒng)。試述組建VPN應(yīng)該遵循的設(shè)計(jì)原則。由于CPN是虛擬專用網(wǎng)，是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，是建立在一個公共網(wǎng)絡(luò)上臨時(shí)的、安全的鏈接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。所以，VPN的設(shè)計(jì)應(yīng)該主要遵循以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理等。在安全方面，由于VPN只見誒構(gòu)建在共用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的?？梢员ＷC企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。在網(wǎng)絡(luò)優(yōu)化方面，由于VPN是構(gòu)建在有限的廣域網(wǎng)絡(luò)資源上，為重要數(shù)據(jù)提供可靠的帶寬。而廣域網(wǎng)絡(luò)流量的不確定性，使其帶寬的利用率很低。在流量高時(shí)，引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性藥酒高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低時(shí)，大量網(wǎng)絡(luò)帶寬空間。QoS通過流量預(yù)測與流量控制策略，可以按優(yōu)先級分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生 在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。所以，一個完善的VPN管理是必不可少的。VPN管理的目標(biāo)為：減少網(wǎng)絡(luò)風(fēng)險(xiǎn)，具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。一般VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、服務(wù)質(zhì)量管理等內(nèi)容。試述公鑰證書的申請與吊銷的過程。（1）公鑰證書的申請過程 用