电子商务高级证书—网上作业答案

参考答案:

    Windows XP带有内建的防火墙，可通过一下步骤来开启： 首先选择[控制面版]，依演示步骤进行。

原题:2．试提供下述情况下的解决方案。

    背景：宽带的普及，工作、生活节奏的加快，这一切都促进了视频会议系统的产生并飞速发展，可以说，视频会议正在以前所未有的速度在进步。 技术的进步给在各个方面应用视频会议变为可能。

　　然而，真实IP的匮乏，DDN专线的昂贵，都成了视频会议系统难以普及。大公司可以凭借其雄厚的实力或自有的专线来实施视频会议系统。可是中、小型公司呢？有限地资金不足以支撑运行视频会议系统的费用，而且大公司也在寻找更省钱，更有竞争力的方案。

　　在此情况下，请读者提供进行视频会议的解决方案。

参考答案:

    采用VPN技术。VPN技术可以充分利用企业所有的上网条件，包括动态IP、虚拟IP，ADSL、小区宽带，光纤接入都可以被利用来建立VPN通道，而一旦通道建立，视频会议实施时所关心的动态IP问题，虚拟IP无法穿透的问题，都将应刃而解，顾名思义，虚拟局域网，也就是说，通道建立后，您所有的操作就如同在局域网内。
    而且， 正是因为VPN技术这种对接入方式的包容性，可以让企业使用便宜的ADSL、小区宽带、Cable Modem、HDSL、VDSL等各类接入线路，而不用去花高价格租用DDN，光纤或其它昂贵的资源。总之，VPN可以为视频会议系统提供一个运行费用极低的平台！如下图所示。

该方案特点：

1.可提供Lan2Lan（局域网到局域网）的VPN连接，适应总部与分部视频会议的要求。
2.通过客户端软件可提供移动用户到中心的VPN连接。适应远程用户加入视频会议的要求
3.数据可以168位的加密技术进行传输，安全性能极高。
4.可选用本地宽带、ADSL、光纤、Cable Modem、微波、拨号、ISDN等各种接入方式。
5.不关心客户所获得IP的种类，也就是说，客户无论是静态IP，动态IP，还是虚拟IP都能建立VPN。
6.适应各种现有网络环境，如可接驳各类防火墙、VLan等，充分保护客户的现有投资。

原题: 3．使用瑞星个人防火墙扫描是否电脑中有木马程序？（如无瑞星个人防火墙，从(天网安全阵线)下载并安装天网个人防火墙进行相关操作。）

参考答案:

　　以瑞星个人防火墙为例：

原题:4．以天网防火墙个人版v2.73为例，简述防火墙的主要功能。

参考答案:

天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能以抵挡网络入侵和攻击，防止信息泄露。它主要具有如下功能：
    1)严密的实时监控
　　天网防火墙（个人版）对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。
    2)灵活的安全规则
　　天网防火墙（个人版）设置了一系列安全规则，允许特定主机的相应服务，拒绝其它主机的访问要求。用户还可以根据自已的实际情况，添加、删除、修改安全规则，保护本机安全。
    3)应用程序规则设置
　　新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。
    4)详细的访问记录和完善的报警系统
　　天网防火墙（个人版）可显示所有被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，用户可以清楚地看到是否有入侵者想连接到自己的机器，从而制定更有效的防护规则。

    参见案例

参考答案:

　　1) Client → KDC：用户cnhawk向密钥分配中心（KDC）申请TGT；
    2) KDC → Client：通过KDC的用户密码认证，cnhawk得到KDC发放的TGT；
    3) Client → KDC：申请取得用户cnhawk所需要的host/s；
    4) KDC → Client：KDC根据用户cnhawk提供的TGT，KDC向cnhawk发放host/s；
    5) Client → Server：用户cnhawk向Server提供cnhawk，TGT和host/s ；Server根据主机的上保存的host/s和用户cnhawk的信息来验证cnhawk的登陆申请。
    6) Server → Client：Server确认，发送信息给Client允许cnhawk登陆Server。

原题:2．根据新颁布的《中华人民共和国电子签名法》，什么样的电子签名才被视为可靠的电子签名？

参考答案:

　　（一）电子签名制作数据用于电子签名时，属于电子签名人专有；
　　（二）签署时电子签名制作数据仅由电子签名人控制；
　　（三）签署后对电子签名的任何改动能够被发现；
　　（四）签署后对数据电文内容和形式的任何改动能够被发现。
　　当事人也可以选择使用符合其约定的可靠条件的电子签名。

　　参见案例

原题:4．上当当网或其他电子商务网站购买一件商品，并采用建行网上支付的付款方式，实际体验一下个人证书的效用。

参考答案:

　　参见案例

　　 数字签名即指在以计算机文件为基础的现代事务处理中，采用的电子形式的签名方式。一个完善的数字签名应满足以下要求：

（1） 收方能够确认或证实发方的签名；
（2） 发方发出签名的消息给收方后，就不能再否认他所签发的消息；
（3） 收方对已收到的签名消息不能否认；
（4） 第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。

参考答案:

    由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

　　原因：这是因为目前大部分Web服务器和浏览器都支持此协议。在用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。

　　举例：目前，建设银行就采用国际标准SSL3.0点对点安全通信协议，其有效密钥长度为128位，这种高强度加密保证用户与银行间信息的安全保密和完整传输。

原题:2．试比较SSL协议与SET协议。

参考答案:

    （1）在认证要求方面，早期的SSL并没有提供商家身份认证机制，虽然在SSL3.0中可以通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但仍不能实现多方认证；相比之下，SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。
    （2）在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准，从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护，可以看作是用于传输的那部分的技术规范。从电子商务特性来看，它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。
    （3）在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。
    （4）在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全，因此如果电子商务应用只是通过Web或是电子邮件，则可以不要SET。但如果电子商务应用是一个涉及多方交易的过程，则使用SET更安全、更通用些。

原题:3．查阅相关资料，分析在实际应用中，SET协议存在哪些缺陷？

参考答案:

    在实际应用中，存在如下问题：
    (1)协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接受证书。否则的话，在线商店提供的货物不符合质量标准，消费者提出疑义，责任由谁承担。
    (2)协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是不是由签署证书的消费者发出的。
    (3)SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这些漏洞可能使这些数据以后受到潜在的攻击。
    (4)在完成一个SET协议交易的过程中，需验证电子证书9次，验证数字签名6次，传递证书7次，进行5次签名、4次对称加密和4次非对称加密。所以，完成一个SET协议交易过程需花费1.5～2分钟，甚至更长的时间(新式小型电子钱包将多数信息放在服务器上，时间可缩短到10～20秒)。SET协议过于复杂，使用麻烦，成本高，且只适用于客户具有电子钱包的场合。
    (5)SET的证书格式比较特殊，虽然也遵循X.509的标准，但它主要是由Visa和Marster Card开发并按信用卡支付方式来定义的。银行的支付业务不光是卡支付业务，而SET支付方式和认证结构适应于卡支付，对其他支付方式是有所限制的。
    (6)一般认为，SET协议保密性好，具有不可否认性，SETCA是一套严密的认证体系，可保证B-C类型的电子商务安全顺利地进行。事实上，安全是相对的，我们提出电子商务中信息的保密性问题，即要保证支付和定单信息的保密性，也就是要求商户只能看到定单信息(OI)，支付网关只能解读支付信息(PI)。但在SET协议中，虽然账号不会明文传递，它通常用1074位RSA不对称密钥加密，商户电子证书确实指明了是否允许商户从支付网关的响应消息中看到持卡人的账号，可是事实上大多数商户都收到了持卡人的账号。

    参见案例

    1）SSL VPN采用了SSL协议，而该协议是介于HTTP层及TCP层的安全协议。
　　2）通过SSL VPN，是接入企业内部的应用，而不是企业的整个网络。如果是IPsec的VPN网络，客户通过VPN接入的是整个企业的网络。而没有控制的联入整个企业的网络对企业来说是非常危险的。
　　3）由于采用SSL安全协议在网络中传输，所以用于防护的防火墙只需打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网攻击的可能性。
　　4）数据加密的安全有加密算法来保证，不同的公司可以有不同的算法。黑客要想窃听网络中的数据，就要能够解开这些经过加密后的数据包。
　　5）在会话停止一段时间后，SSL VPN能够自动停止会话，如果需要继续访问则要重新登陆，通过这个功能能防止数据被窃听后伪装访问的攻击。

参考答案:

    1、Non-SET 系统

　　Non-SET 对于业务应用的范围没有严格的定义，结合电子商务具体的、实际的应用，根据每个应用的风险程度不同可分为低风险值和高风险值这两类证书(即个人/普通证书和高级/企业级证书)，Non-SET 系统分为两部分。

　　Non-SET -CA 系统分为三层结构，第一层为根CA ，第二层为政策CA ，第三层为运营CA 。Non-SET-CA , 系统架构图如下：

    2、RA 系统

　　系统分为CA本地RA和CA远程RA。本地RA审批有关CA一级的证书、接受远程RA提交的已审批的资料。远程RA根据商业银行的体系架构分为三级结构，即总行、分行、受理点。RA系统架构图如下：

原题:2．查阅相关资料，简述CFCA的证书种类及用途。

参考答案:

    除了根CA、政策CA、运营CA等各级CA的证书外，对于最终用户，按照证书的功能不同，证书有不同的分类：
   （1）企业高级证书--适用于企业作金额较大时的B2B网上交易，安全级别较高，可用于数字签名和信息加密。
   （2）企业普通证书--适用于企业用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别较低，建议用于金额较小的网上交易。
   （3）个人高级证书--适用于个人作金额较大的网上交易，安全级别较高，可用于数字签名和信息加密。
   （4）个人普通证书--适用于个人用户用于SSL、S/MIME以及建立在SSL之上的应用，它的安全级别较低，建议用于小额的网上银行和网上购物。
   （5）Web Server证书--适用于站点服务器提供金额较小的B2C网上交易，若一个网站要提供B2B交易时，应申请Direct Server证书，并配合Direct Server软件来保证它的安全性。
   （6）Direct Server证书--用于数字签名和信息加密。Direct Server证书主要用于企业从事B2B交易时对Web Server的保护使用。

原题:3．根据《中华人民共和国电子签名法》，中国金融认证中心CA所提供的证书中应该包含哪些方面的内容？

参考答案:

    （一）电子认证服务提供者名称；
　　（二）证书持有人名称；
　　（三）证书序列号；
　　（四）证书有效期；
　　（五）证书持有人的电子签名验证数据；
　　（六）电子认证服务提供者的电子签名；
　　（七）国务院信息产业主管部门规定的其他内容。

    中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成，其逻辑结构如图所示：

    CA中心的功能是：

1） 签发自签名的根证书
2） 审核和签发其他CA系统的交叉认证证书
3） 向其他CA系统申请交叉认证证书
4） 受理和审核各RA机构的申请
5） 为RA机构签发证书
6） 接收并处理各RA服务器的证书业务请求
7） 签发业务证书和证书作废表
8） 管理全系统的用户资料
9） 管理全系统的证书资料
10） 维护全系统的证书作废表
11) 维护全系统的OCSP查询数据

　　RA中心的功能是：

1) 受理用户证书业务
2) 审核用户身份
3) 为审核通过用户生成密钥对
4) 向CA中心申请签发证书
5) 将证书和私钥灌入IC卡后分发给受理中心、受理点或用户
6） 管理本地OCSP服务器，并提供证书状态的实时查询
7） 管理本地用户资料

　　受理点的功能是：

1） 管理所辖受理点用户资料
2） 受理用户证书业务
3） 审核用户身份
4） 向受理中心或RA中心申请签发证书
5） 将RA中心或受理中心制作的证书介质分发给用户

    1）项目背景介绍：华夏证券有限公司成立于1992年10月，是我国较早成立的全国性证券公司。公司业务主要包括：发行和代理发行各种有价证券；自营和代理买卖各种有价证券；有价证券的代保管、鉴证和过户；代理还本付息、分红、派息等权益分派；基金和资产管理；企业重组、收购与兼并；投资咨询、财务顾问；外币证券业务等。

　　2）设计方案和特色：上海CA中心在华夏证券RA系统的总体设计中采用了RA、RAT（受理点）二层结构。从应用上安全可靠的适应和支持的华夏证券的各种业务及多种电子商务模式。
　　华夏证券RA系统设计具有如下技术特点：

a.整个依托成熟的UCA证书体系，采用国内先进的加密技术和CA技术，系统的功能完善，安全可靠；
b.华夏证券RA系统采用层次式CA认证结构，方便系统的扩充和系统效率的提高。它既可满足华夏证券RA系统内部的需求，也可以满足日后与国内外及其他行业CA之间的交叉认证的需求；
c.使用的PKI体系支持多种应用，证书的扩展域可以灵活地进行定制，满足不同的应用系统的需要；
d.系统的设计采用多模块化结构，方便系统功能的扩充；
e.系统的设计考虑了伸缩性，能方便的通过对系统硬件进行升级来适应系统负荷的增大；
管理方式灵活，可以根据华夏证券RA系统的管理策略和证书认证策略对系统进行灵活的设置，如灵活地配置系统的备份时间和方式等；
f.系统中所有的通信均采用高强度加密通信，保证信息安全；
g.网络系统采用了多层防火墙设置，严格的网段划分和端口控制。

　　3）实施效果

　　项目实施充分考虑了系统的安全性、实用性、扩展性等诸多方面的因素，本着高效、安全、先进的原则，完成了证书的申请、审核、签发、废止、更新、审计、归档、备份以及密钥管理、LDAP和OCSP发布等全部功能。同时在系统的性能方面，上海CA中心为华夏证券RA系统设计的系统具有强大的处理能力，很好的开放性、实用性和可扩展性，并提供了完善的图形化用户界面，使系统具有易操作性、易维护性和易升级性。