電子商務(wù)安全

第3章電子商務(wù)安全基礎(chǔ)教學(xué)目標(biāo)

1.了解電子商務(wù)的主要安全威脅。

2.了解電子商務(wù)對安全的基本要求。

3.了解電子商務(wù)的安全體系。

4.熟悉電子商務(wù)常用的安全技術(shù)。《電子商務(wù)基礎(chǔ)與實務(wù)》授課人：鐘小春CNNIC調(diào)查結(jié)果

用戶認為目前網(wǎng)上交易存在的最大問題是：

1、安全性得不到保障23.4%

2、產(chǎn)品質(zhì)量和服務(wù)欠缺15.2%3、商家信用得不到保障14.1%4、付款不方便10.8%5、價格不夠誘人10.8%6、送貨不及時8.6%7、網(wǎng)上提供的信息不可靠6.4%8、其它0.7%

引導(dǎo)案例1988年11月2日，美國康奈爾大學(xué)學(xué)生羅伯特·莫瑞斯利用蠕蟲程序攻擊了Internet網(wǎng)上約6200臺小型機和Sun工作站，造成包括美國300多個單位的計算機停止運行，事故經(jīng)濟損失達9600萬美元。（病毒破壞）

2000年2月7日－9日，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。（黑客攻擊）

2000年4月22日8時許，地處深圳市的中國最大的互聯(lián)網(wǎng)交友網(wǎng)站“情網(wǎng)”突然癱瘓。

（人為破壞）第一節(jié)電子商務(wù)的安全問題

系統(tǒng)中斷（Interruption）破壞系統(tǒng)的有效性竊取信息（Interception)破壞系統(tǒng)的機密性篡改信息（Modification）破壞系統(tǒng)的完整性偽造信息（Fabrication）破壞系統(tǒng)的真實性交易抵賴（Thetransactiondenies）

無法達成交易

電子商務(wù)的主要安全問題表現(xiàn)

討論：如何實現(xiàn)電子商務(wù)安全交易？系統(tǒng)的有效性信息的機密性信息的完整性交易者身份的真實性不可抵賴性

電子商務(wù)安全交易體系信息技術(shù)系統(tǒng)商業(yè)組織系統(tǒng)安全保護措施的制定需基于電子商務(wù)“復(fù)合型”的性質(zhì)技術(shù)保障制度管理法律控制道德規(guī)范第二節(jié)電子商務(wù)的安全技術(shù)病毒防范技術(shù)身份識別技術(shù)防火墻技術(shù)虛擬專用網(wǎng)技術(shù)密碼技術(shù)認證技術(shù)

身份識別技術(shù)用戶身份識別技術(shù)可通過三種基本方式或其組合方式實現(xiàn)：

（1）用戶通過某個秘密信息，例如通過口令訪問系統(tǒng)資源。（2）用戶知道的某個秘密信息，并且利用包含這一秘密信息的載體訪問系統(tǒng)資源，例如通過智能卡訪問系統(tǒng)。（3）用戶利用自身所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等。

防火墻技術(shù)1、防火墻（firewall）的概念

是加強因特網(wǎng)與內(nèi)部網(wǎng)之間安全防范的一個或一組軟件和硬件系統(tǒng)。它具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。是一種訪問控制機制。

2、防火墻的功能隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)限制內(nèi)部用戶和外部用戶的訪問權(quán)限外部網(wǎng)防火墻內(nèi)部網(wǎng)3、防火墻的工作原理

（兩個邏輯關(guān)系）“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”4、防火墻的主要實現(xiàn)技術(shù)數(shù)據(jù)包過濾技術(shù)代理服務(wù)技術(shù)數(shù)據(jù)包過濾（也稱分組過濾）技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包中的IP地址過濾。如果防火墻設(shè)定某一IP地址不適宜訪問的話，從這個地址來的所有信息都會被防火墻屏蔽掉。

優(yōu)點便是對用戶透明，不要求客戶機和服務(wù)器作任何修改，處理速度快而且易于維護。

缺點僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直接連接，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和允許狀態(tài)，這可能導(dǎo)致非法訪問和攻擊。

代理服務(wù)是針對數(shù)據(jù)包過濾技術(shù)存在的不足而引入的新型防火墻技術(shù)。代理服務(wù)不像前一種技術(shù)在通過驗證后內(nèi)外的計算機直接連接通信，而是在內(nèi)部與外部的系統(tǒng)之間加一層服務(wù)器，用該服務(wù)器來做中間代理功能。由于代理訪問的中間作用，攻擊的也只是代理服務(wù)器，而不會是網(wǎng)絡(luò)內(nèi)部的系統(tǒng)資源?？蛻艨蛻舸碓L問控制服務(wù)器代理防火墻代理服務(wù)應(yīng)答轉(zhuǎn)發(fā)請求轉(zhuǎn)發(fā)應(yīng)答訪問請求代理服務(wù)型防火墻工作示意圖4、防火墻的類型包過濾型防火墻雙宿網(wǎng)關(guān)防火墻屏蔽主機防火墻屏蔽子網(wǎng)防火墻包過濾型防火墻

過濾路由器

內(nèi)部網(wǎng)絡(luò)Internet包過濾型防火墻往往可以用一臺過濾路由器來實現(xiàn)，對所接收的每個數(shù)據(jù)包做允許或拒絕的處理。包過濾路由器型防火墻的優(yōu)點：處理包的速度要比代理服務(wù)器快；包過濾路由器型防火墻的缺點：防火墻的維護比較困難等雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。為了保證內(nèi)部網(wǎng)的安全，雙宿網(wǎng)關(guān)主機具有強大的身份認證系統(tǒng)，可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。網(wǎng)關(guān)代理服務(wù)器網(wǎng)關(guān)Internet

內(nèi)部網(wǎng)絡(luò)Internet…內(nèi)部網(wǎng)防火墻雙宿網(wǎng)關(guān)主機雙宿網(wǎng)關(guān)主機體系結(jié)構(gòu)屏蔽主機防火墻屏蔽主機防火墻強迫所有的外部主機與一個堡壘主機相連接，而不讓它們直接與內(nèi)部主機相連。屏蔽主機防火墻由過濾路由器和堡壘主機組成。這個防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高。

過濾路由器

堡壘主機Internet

內(nèi)部網(wǎng)絡(luò)Internet防火墻路由器…內(nèi)部網(wǎng)堡壘主機屏蔽主機體系結(jié)構(gòu)

屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機。這個防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，通過添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)更進一步的與外部網(wǎng)分開，周邊網(wǎng)絡(luò)會在入侵者與內(nèi)部網(wǎng)之間提供一個附加的保護層，相當(dāng)一個雙保險。外部過濾路由器

堡壘主機Internet

內(nèi)部網(wǎng)絡(luò)

內(nèi)部過濾路由器Internet周邊網(wǎng)絡(luò)外部路由器內(nèi)部路由器堡壘主機防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻的局限性：

（1）防火墻無法防范內(nèi)部用戶的攻擊（2）防火墻無法防范不通過它的連接（3）防火墻很難防范病毒（4）防火墻不能防備新的網(wǎng)絡(luò)安全問題（5）防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊

定義：VPN即虛擬專用網(wǎng)，是在一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）上建立一個邏輯的、點對點的連接(稱之為建立一個隧道),使分布在不同地方的網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實現(xiàn)安全通信的網(wǎng)絡(luò)技術(shù)。虛擬專用網(wǎng)（VPN）技術(shù)“虛擬”和“專用網(wǎng)絡(luò)”虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。VPN技術(shù)結(jié)構(gòu)VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器公共網(wǎng)隧道隧道隧道隧道專網(wǎng)1專網(wǎng)4專網(wǎng)3專網(wǎng)2

VPN分類：內(nèi)部網(wǎng)虛擬專用網(wǎng)遠程訪問虛擬專用網(wǎng)外部網(wǎng)虛擬專用網(wǎng)虛擬專用網(wǎng)（VPN）技術(shù)

密碼技術(shù)

密碼技術(shù)的基本思想是偽裝信息，隱藏信息的真實內(nèi)容，以使未授權(quán)者不能理解信息的真正含義，達到保密的作用。具體的就是對信息進行一組可逆的數(shù)學(xué)變換。

偽裝前的信息稱為明文，偽裝后的信息稱為密文，將信息偽裝的過程稱為加密，將密文再還原為明文的過程稱為解密，解密是在解密密鑰（key）的控制下進行的，用于解密的這組數(shù)學(xué)變換稱為解密算法。密碼技術(shù)組成要素

1、明文和密文

2、解密算法

3、加、解密密鑰（key）

4、加密和解密

用移位加密算法說明一個加解密的過程，明密文對照關(guān)系如下：ABCDEFGHIJKLMNOPQRSTUVWXYZDEFGHIJKLMNOPQRSTUVWXYZABC明文：今晚9點發(fā)動總攻

JINWANJIUDIANFADONGZONGGONG密文：MLQZDQMLXGLDQIDGRQJCRQJJRQJ例如，要發(fā)送一個軍事命令給前線，明文為“今晚9點發(fā)動總攻”。加密算法是將明文字母后移3位，解密就是將密文字母前移3位，3就是加解密的密鑰，由它控制加解密過程。

一般情況下，密碼技術(shù)根據(jù)使用的加解密算法和密鑰原理等工作方式的不同分為不同的密碼體制。明文信道解密算法加密算法明文加密密鑰解密密鑰

密鑰竊取者密碼體制

現(xiàn)在廣泛應(yīng)用的兩種密碼體制：

1、對稱密鑰密碼體制

2、非對稱密鑰密碼體制

對稱密鑰密碼體系對稱密鑰密碼體系(SymmetricCryptography)又稱單密鑰密碼體制（One-keySystem

）。即信息交換雙方共同約定一個口令或一組密碼，建立一個通訊雙方共享的密鑰。工作原理如下圖：加密明文密文明文密鑰解密A方B方優(yōu)點：缺點：

1、安全性能差；

2、密鑰難于管理；對稱密鑰密碼體系加密、解密速度很快(高效)。非對稱密鑰密碼體系非對稱密鑰密碼體系(AsymmetricCryptography)也稱雙密鑰密碼體制（Two-keySystem

）。信息交換一方掌握兩個不同的密鑰：一個是可以公開的密鑰作為加密密鑰（常稱公鑰）；另一個則是秘密保存的作為解密密鑰（常稱私鑰）。工作原理如下圖：加密明文密文明文解密B方公鑰B方私鑰A方B方優(yōu)點：缺點：非對稱密鑰密碼體系安全性能高，使用方便靈活。加密、解密速度慢。電子信封技術(shù)電子信封(也稱“數(shù)字信封”)技術(shù)，具體操作方法是：發(fā)信方需要發(fā)送信息時首先生成一個對稱密鑰，用這個對稱密鑰加密所需發(fā)送的報文；然后用收信方的公開密鑰加密這個對稱密鑰，連同加密了的報文一同傳輸?shù)绞招欧?。收信方首先使用自己的私有密鑰解密被加密的對稱密鑰。再用該對稱密鑰解密出真正的報文。

加密的密鑰私人密鑰B公開密鑰B對稱密鑰對稱密鑰普通報文普通報文密文A方B方電子信封工作原理如下圖：加密加密21解密解密34

認證技術(shù)數(shù)字摘要技術(shù)

數(shù)字摘要是采用單向Hash函數(shù)對文件中若干重要元素進行某種加密變換運算（SHA)得到固定長度（128字節(jié)）的摘要碼（數(shù)字指紋），并在傳輸信息時將之加入文件一同傳送給接收方，接收方收到文件后，用相同的方法進行變換運算，若得到的結(jié)果與發(fā)送來的摘要碼相同，則可斷定文件未被篡改，反之亦然。

信息

摘要

信息

摘要發(fā)送方SHA加密一起發(fā)送SHA解密接收方

摘要對比數(shù)字簽名技術(shù)

文件的數(shù)字簽名技術(shù)實際上是通過數(shù)字摘要和非對稱密鑰加密體制兩者結(jié)合來實現(xiàn)的。采用數(shù)字簽名，對傳輸數(shù)據(jù)實現(xiàn)了兩種保護：

1、完整性

2、真實性數(shù)字簽名運作步驟如下：

（1）發(fā)送方用哈希函數(shù)，將需要傳送的消息轉(zhuǎn)換成報文摘要。（2）發(fā)送方采用自己的私有密鑰對報文摘要進行加密，形成數(shù)字簽字。（3）發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報文后面，傳遞給接收方。（4）接受方使用發(fā)送方的公有密鑰對數(shù)字簽字進行解密，得到發(fā)送方形成的報文摘要。（5）接收方用哈希函數(shù)將接收到的報文轉(zhuǎn)換成報文摘要，與發(fā)送方形成的報文摘要相比較，若相同，說明文件在傳輸過程中沒有被破壞。信息摘要數(shù)字簽名信息摘要數(shù)字簽名摘要對比簽名過程傳輸過程接收、驗證過程一起發(fā)送SHA加密私鑰加密發(fā)送方接收方公鑰解密SHA解密數(shù)字證書（digitalcertificate,digitalID）又稱數(shù)字憑證，是網(wǎng)絡(luò)通訊中標(biāo)識通訊各方身份信息，并由一個可信任的、公正的權(quán)威機構(gòu)（即認證機構(gòu)CA）經(jīng)審核頒發(fā)的電子文書。

數(shù)字證書數(shù)字證書的特征1、是一種在Internet上驗證身份的方式。2、由特定證書授權(quán)中心頒發(fā)的電子文書。

3、證書的格式遵循ITUX.509國際標(biāo)準(zhǔn)。

一個標(biāo)準(zhǔn)的X.509數(shù)字證書內(nèi)容：證書的版本信息；證書的序列號，每個證書都有一個唯一的證書序列號；證書所使用的簽名算法；證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式；證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049；證書所有人的名稱，命名規(guī)則一般采用X.500格式；證書所有人的公開密鑰；證書發(fā)行者對證書的數(shù)字簽名。數(shù)字證書的組成

證書生成的流程：1．證書申請人提出申請，并將必要的認證信息提交給CA。2．CA對申請人所提交的信息審查，檢查其正確性和合法性，對實體身份進行確認，生成數(shù)字證書的信息。3．CA用自己的私鑰為證書加上數(shù)字簽名。

4．CA將證書發(fā)放給用戶，將證書的副本存底并發(fā)布于證書庫中，以備他人查詢。

數(shù)字證書的三種類型個人證書它僅僅為某一個用戶提供數(shù)字證書。企業(yè)（服務(wù)器）數(shù)字證書它通常為網(wǎng)上的某個企業(yè)獲Web服務(wù)器提供數(shù)字證書。軟件（開發(fā)者）數(shù)字證書它通常為因特網(wǎng)中被下載的軟件提供數(shù)字證書。

認證機構(gòu)認證機構(gòu)（certificateauthority，CA）也稱認證中心，是數(shù)字證書的簽發(fā)機構(gòu)，它通過自身的注冊審核體系，檢查核實進行證書申請的用戶身份和各項相關(guān)信息，并將相關(guān)內(nèi)容列入發(fā)放的證書域內(nèi)，使用戶屬性的客觀真實性與證書的真實性一致。

認證機構(gòu)的特征CA是提供身份驗證的第三方機構(gòu)，由一個或多個用戶信任的組織實體構(gòu)成。CA主要是解決電子商務(wù)活動中交易參與各方身份、資信的認定，維護交易活動的安全。第三方證書的樹形驗證結(jié)構(gòu)在雙方通信時，如果對簽發(fā)證書的CA本身不信任，則可驗證CA的身份，依次類推，一直到公認的權(quán)威CA處。

認證中心的作用

證書的頒發(fā)證書的更新證書的查詢證書的作廢證書的歸檔以地區(qū)為中心建立認證中心。以行業(yè)為中心建立認證中心。以國家為中心建立國家級行業(yè)安全認證中心我國電子商務(wù)認證機構(gòu)的構(gòu)建思路結(jié)論：認證機構(gòu)的建立，應(yīng)發(fā)揮政府與市場兩個方面的積極性。國家電子商務(wù)認證中心身份認證

系統(tǒng)

（國家工商局）資信認證

系統(tǒng)

（中國人民銀行）稅收認證

系統(tǒng)

（國家稅務(wù)總局）外貿(mào)認證

系統(tǒng)

（外貿(mào)部）省電子商務(wù)認證中心身份認證

系統(tǒng)

（省市工商局）資信認證

系統(tǒng)

（省市人民銀行）稅收認證

系統(tǒng)

（省市稅務(wù)局）外貿(mào)認證

系統(tǒng)

（省市外貿(mào)局）國家電子商務(wù)認證中心組織結(jié)構(gòu)設(shè)想圖CA認證中心3.2.4電子商務(wù)安全協(xié)議電子商務(wù)的SSL協(xié)議電子商務(wù)SET協(xié)議2023/6/18本節(jié)要點：

電子商務(wù)安全協(xié)議電子商務(wù)安全協(xié)議的作用保證電子商務(wù)網(wǎng)上交易的機密性、數(shù)據(jù)完整性、身份合法性和不可否認性的基礎(chǔ)。實現(xiàn)電子商務(wù)交易安全的關(guān)鍵技術(shù)之一目前常見的電子商務(wù)安全協(xié)議：

安全套接層協(xié)議SSL(SecuritySocketLayer)安全電子交易協(xié)議SET

3-DSecure支付協(xié)議

以及一些電子支付安全協(xié)議等SSL協(xié)議概述安全套接層協(xié)議SSL是由網(wǎng)景（Netscape）公司于1994年推出的一套基于Web應(yīng)用的Internet安全協(xié)議，該協(xié)議基于TCP/IP協(xié)議，提供瀏覽器和服務(wù)器之間的鑒別和安全通信。SSL協(xié)議是目前網(wǎng)上購物網(wǎng)站中常使用的一種安全協(xié)議。

SSL協(xié)議通過在應(yīng)用程序進行數(shù)據(jù)交換前交換SSL初始握手信息，來實現(xiàn)有關(guān)安全特性的審查。SSL協(xié)議提供的3種服務(wù)1.數(shù)據(jù)加密服務(wù)：采用的是對稱加密技術(shù)與公開密鑰加密技術(shù)。2.認證服務(wù)：SSL客戶機與服務(wù)器都有各自的識別號，這些識別號使用公開密鑰進行加密。3.數(shù)據(jù)完整性服務(wù)：采用哈希函數(shù)和機密共享的方法提供完整信息性的服務(wù)，在客戶機與服務(wù)器之間建立安全通道，以保證數(shù)據(jù)在傳輸中完整地到達目的地。SSL協(xié)議分為兩層SSL協(xié)議分為兩層：SSL握手協(xié)議和SSL記錄協(xié)議SSL握手協(xié)議用于通信雙方的身份認證和密鑰協(xié)商；SSL記錄協(xié)議用于加密傳輸數(shù)據(jù)和對數(shù)據(jù)完整性的保證HTTPS、FTPS、TELNETS、IMAPSSSL握手協(xié)議SSL記錄協(xié)議TCPIPSSL握手協(xié)議握手協(xié)議有兩方面的作用，其一是驗證對方的身份，其二是協(xié)商在以后傳輸加密數(shù)據(jù)時要使用的會話密鑰，以及求MAC時所用的密鑰。SSL握手協(xié)議一般由五個階段組成：（1）接通階段（Hello階段）（2）密鑰交換階段（3）會話密鑰生成階段（4）認證階段（5）結(jié)束階段SSL握手協(xié)議的全過程客戶機服務(wù)器Time②服務(wù)器鑒別和密鑰交換階段③客戶鑒別和密鑰交換階段④完成握手協(xié)議①建立安全能力SSL記錄協(xié)議SSL記錄協(xié)議將數(shù)據(jù)流分割成一系列的片段并對這些片段進行加密來傳輸，接收方對每條記錄單獨進行解密和驗證。這種方案使得數(shù)據(jù)一經(jīng)準(zhǔn)備好就可以從連接的一端傳輸?shù)搅硪欢?，并在接收到時即刻加以處理SSL記錄的數(shù)據(jù)部分包括：MAC-data：認證數(shù)據(jù)；Actual-data：未進行封裝之前的實際數(shù)據(jù)；Padding-data：填充數(shù)據(jù)。SSL記錄協(xié)議的操作待傳輸?shù)脑紨?shù)據(jù)分段壓縮添加MAC加密附加SSL記錄報頭數(shù)據(jù)類型主版本號次版本號壓縮長度壓縮分段MACSSL安全協(xié)議也有它的缺點，主要有：不能自動更新證書；認證機構(gòu)編碼困難；瀏覽器的口令具有隨意性；不能自動檢測證書撤銷表；用戶的密鑰信息在服務(wù)器上是以明文方式存儲的。客戶的數(shù)據(jù)都完全暴露在商家的面前。但因操作容易，成本低，而且又在不斷改進，所以在歐美的商業(yè)網(wǎng)站上的應(yīng)用是較廣泛的。2023/6/18SET協(xié)議概述SET協(xié)議是目前廣泛使用的一種網(wǎng)絡(luò)銀行卡付款機制，是進行在線交易時保證銀行卡安全支付的一個開放協(xié)議。它是保證在開放網(wǎng)絡(luò)上進行安全支付的技術(shù)標(biāo)準(zhǔn)，是專為保護持卡人、商家、發(fā)卡銀行和收單銀行之間，在Internet上進行信用卡支付的安全交易協(xié)議。SET協(xié)議的目標(biāo)是將銀行卡的使用從商店的POS機上擴展到消費者的個人計算機中SET協(xié)議的主要目標(biāo)(1)信息傳輸?shù)陌踩裕盒畔⒃谝蛱鼐W(wǎng)上安全傳輸，保證不被外部或內(nèi)部竊取。(2)信息的相互隔離：訂單信息和個人賬號信息的隔離。(3)多方認證的解決：①要對消費者的信用卡認證；②要對網(wǎng)上商店進行認證；③消費者、商店與銀行之間的認證。(4)效仿EDI貿(mào)易形式，要求軟件遵循相同協(xié)議和報文格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能。(5)交易的實時性：所有的支付過程都是在線的。SET系統(tǒng)的參與者

持卡人

網(wǎng)上商店支付網(wǎng)關(guān)認證中心CA發(fā)卡銀行

ISO8583銀行網(wǎng)絡(luò)收單銀行

Internet

SET協(xié)議的工作流程1.初始請求

2.初始應(yīng)答3