全部科目 > 电子商务设计师 >
2020年下半年 上午试卷 综合知识
第 33 题
知识点 SSL协议   SSL协议概述   SSL   加密   检验   完整性  
章/节 防止非法入侵  
 
 
SSL协议利用公开密钥加密算法和( )技术,对信息的完整性进行检验,保证信息在传输过程中不被篡改。
 
  A.  数字信封
 
  B.  数字证书
 
  C.  数字摘要
 
  D.  CA认证中心
 
 




 
 
相关试题     SSL协议 

  第32题    2014年下半年  
以下关于SSL协议描述正确的是(32)。

  第38题    2012年下半年  
SSL协议在运行过程中可分为六个阶段:①交换密码阶段、②建立连接阶段、③检验阶段、④会谈密码阶段、⑤客户认证阶段、⑥结束阶段。
其正确的流程顺序是:(38)

  第41题    2009年下半年  
以下关于SSL协议的叙述中,正确的是(41)。

 
知识点讲解
· SSL协议
· SSL协议概述
· SSL
· 加密
· 检验
· 完整性
 
        SSL协议
               SSL协议概述
               安全套接层(Secure Sockets Layer,SSL)协议,是由美国网景(Netscape)公司研究制定的安全协议,主要用于解决TCP/IP协议难以确定用户身份的问题,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
               SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性,并采用X.509格式数字证书实现鉴别。
               SSL协议适用于点对点之间的信息传输,通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
               SSL协议层次结构
               SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间,由SSL记录协议(Record Protocol)和SSL握手协议(Handshake Protocol)组成,如下图所示。
               
               SSL协议在TCP/IP网络分层结构模型中的位置
               SSL记录协议定义数据传送的格式,包括记录头和记录数据格式的规定等。SSL握手协议描述建立安全连接的过程,在客户机和服务器传送应用数据之前,允许服务器和客户机相互验证身份(客户机端可选),协商加密算法、确定会话密钥等。
               SSL协议基本安全服务功能
               (1)信息机密性。SSL协议应用对称和非对称密钥等多种加密算法,客户机和服务器在建立的安全通道中传输的所有信息都经过加密处理,防止非法窃听,实现信息的机密性。
               (2)信息完整性。SSL协议利用公开密钥加密算法和数字摘要技术,对信息的完整性进行检验,保证信息在传输过程中不被篡改。
               (3)认证性。SSL协议利用数字证书技术,实现对服务器和客户机的认证。为了验证数字证书持有者是合法用户,SSL要求证书持有者在握手时,双方可通过交换数字证书,验证对方身份的合法性,确保数据发往正确的客户机和服务器。
               SSL协议的通信过程
               (1)接通阶段。客户机呼叫服务器,服务器回应客户。
               (2)认证阶段。服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份;如果服务器需要双方认证,还要向客户机提出认证请求,客户机向服务器发送客户端证书。
               (3)确立会话密钥。客户机和服务器之间协商确立会话密钥。
               (4)会话阶段。客户机与服务器使用会话密钥加密交换会话信息。
               (5)结束阶段。客户机与服务器交换结束信息,通信结束。
               SSL协议分析
               SSL协议开发成本小,能够提供机密性、完整性和认证服务。目前主流浏览器及许多服务器都支持SSL协议,但在电子商务交易应用过程中,也存在一些安全问题。
               应用SSL协议的电子交易过程如下:
               (1)客户将购物信息发往商家。
               (2)商家将信息转发银行。
               (3)银行验证客户信息的合法性后,通知客户和商家付款成功。
               (4)商家通知客户购买成功,并将商品交给客户。
               分析以上交易过程,可以看到客户的购物信息(含支付信息,如银行资料)首先发往商家,若是商家不可靠,客户银行资料的信息安全性就得不到保证。此外,SSL协议只是提供了信息传递的安全通道,没有提供数字签名功能,存在抵赖和用户身份被冒充的可能性。这些问题在SET协议中得到了解决。
 
        SSL协议概述
        安全套接层(Secure Sockets Layer,SSL)协议,是由美国网景(Netscape)公司研究制定的安全协议,主要用于解决TCP/IP协议难以确定用户身份的问题,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
        SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性,并采用X.509格式数字证书实现鉴别。
        SSL协议适用于点对点之间的信息传输,通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
 
        SSL
        SSL是一个传输层安全协议,用于在Internet上传送机密文件。SSL协议由SSL记录协议、SSL握手协议和SSL警报协议组成。
        SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制,当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据该秘密信息产生数据加密算法和Hash算法参数。
        SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码,然后经网络传输层发送给对方。
        SSL警报协议用来在客户和服务器之间传递SSL出错信息。
        SSL协议主要提供3方面的服务:
        (1)用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,SSL协议要求在握手交换数据时进行数字认证,以此来确保用户的合法性。
        (2)加密数据以隐藏被传送的数据。SSL协议所采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
        (3)保护数据的完整性。SSL协议采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过SSL协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
        SSL协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护,其实现过程主要经过如下几个阶段:
        (1)接通阶段:客户机通过网络向服务器打招呼,服务器回应。
        (2)密码交换阶段:客户机与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法。
        (3)会谈密码阶段:客户机器与服务器间产生彼此交谈的会谈密码。
        (4)检验阶段:客户机检验服务器取得的密码。
        (5)客户认证阶段:服务器验证客户机的可信度。
        (6)结束阶段:客户机与服务器之间相互交换结束的信息。
        发送时信息用对称密钥加密,对称密钥用不对称算法加密,再把两个包绑在一起传送过去。接收过程与发送过程正好相反,先打开有对称密钥的加密包,再用对称密钥解密。因此,SSL协议也可用于安全电子邮件。
 
        加密
               保密与加密
               保密就是保证敏感信息不被非授权的人知道。加密是指通过将信息进行编码而使得侵入者不能够阅读或理解的方法,目的是保护数据和信息。解密是将加密的过程反过来,即将编码信息转化为原来的形式。古时候的人就已经发明了密码技术,而现今的密码技术已经从外交和军事领域走向了公开,并结合了数学、计算机科学、电子与通信等诸多学科而成为了一门交叉学科。现今的密码技术不仅具有保证信息机密性的信息加密功能,而且还具有数字签名、身份验证、秘密分存、系统安全等功能,来鉴别信息的来源以防止信息被篡改、伪造和假冒,保证信息的完整性和确定性。
               加密与解密机制
               加密的基本过程包括对原来的可读信息(称为明文或平文)进行翻译,译成的代码称为密码或密文,加密算法中使用的参数称为加密密钥。密文经解密算法作用后形成明文,解密算法也有一个密钥,这两个密钥可以相同也可以不相同。信息编码的和解码方法可以很简单也可以很复杂,需要一些加密算法和解密算法来完成。
               从破译者的角度来看,密码分析所面对的问题有三种主要的变型:①“只有密文”问题(仅有密文而无明文);②“已知明文”问题(已有了一批相匹配的明文与密文);③“选择明文”(能够加密自己所选的明文)。如果密码系统仅能经得起第一种类型的攻击,那么它还不能算是真正的安全,因为破译者完全可能从统计学的角度与一般的通信规律中猜测出一部分的明文,而得到一些相匹配的明文与密文,进而全部解密。因此,真正安全的密码机制应使破译者即使拥有了一些匹配的明文与密文也无法破译其他的密文。
               如果加密算法是可能公开的,那么真正的秘密就在于密钥了,密钥长度越长,密钥空间就越大,破译密钥所花的时间就越长,破译的可能性就越小。所以应该采用尽量长的密钥,并对密钥进行保密和实施密钥管理。
               国家明确规定严格禁止直接使用国外的密码算法和安全产品,原因主要有两点:①国外禁止出口密码算法和产品,目前所出口的密码算法都有破译手段,②国外的算法和产品中可能存在“后门”,要防止其在关键时刻危害我国安全。
               密码算法
               密码技术用来进行鉴别和保密,选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法(又称为对称密码算法)和公开密钥密码算法(又称为非对称密码算法)两类,对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。
               对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类(这两种体制之间还有许多中间类型)。
               序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是:通过有限状态机产生性能优良的伪随机序列,使用该序列将信息流逐比特加密从而得到密文序列。可以看出,序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组(如64比特一组),对每一组明文用同一个密钥和同一种算法来加密,输出的密文也是固定长度的。在序列密码体制中,密文不仅与最初给定的密码算法和密钥有关,同时也是被处理的数据段在明文中所处的位置的函数;而在分组密码体制中,经过加密所得到的密文仅与给定的密码算法和密钥有关,而与被处理的明数据段在整个明文中所处的位置无关。
               不同于传统的对称密钥密码体制,非对称密码算法要求密钥成对出现,一个为加密密钥(可以公开),另一个为解密密钥(用户要保护好),并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。另外,公钥加密也用来对专用密钥进行加密。
               公钥算法不需要联机密钥服务器,只在通信双方之间传送专用密钥,而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单,所以极大简化了密钥管理,但公共密钥方案较保密密钥方案处理速度慢,因此,通常把公共密钥与专用密钥技术结合起来实现最佳性能。
               密钥及密钥管理
               密钥是密码算法中的可变参数。有时候密码算法是公开的,而密钥是保密的,而密码分析者通常通过获得密钥来破译密码体制。也就是说,密码体制的安全性建立在对密钥的依赖上。所以,保守密钥秘密是非常重要的。
               密钥管理一般包括以下8个内容。
               (1)产生密钥:密钥由随机数生成器产生,并且应该有专门的密钥管理部门或授权人员负责密钥的产生和检验。
               (2)分发密钥:密钥的分发可以采取人工、自动或者人工与自动相结合的方式。加密设备应当使用经过认证的密钥分发技术。
               (3)输入和输出密钥:密钥的输入和输出应当经由合法的密钥管理设备进行。人工分发的密钥可以用明文形式输入和输出,并将密钥分段处理;电子形式分发的密钥应以加密的形式输入和输出。输入密钥时不应显示明文密钥。
               (4)更换密钥:密钥的更换可以由人工或自动方式按照密钥输入和密钥输出的要求来实现。
               (5)存储密钥:密钥在加密设备内采用明文形式存储,但是不能被任何外部设备访问。
               (6)保存和备份密钥:密钥应当尽量分段保存,可以分成两部分并且保存在不同的地方,例如一部分存储在保密设备中,另一部分存储在IC卡上。密钥的备份也应当注意安全并且要加密保存。
               (7)密钥的寿命:密钥不可以无限期使用,密钥使用得越久风险也就越大。密钥应当定期更换。
               (8)销毁密钥:加密设备应能对设备内的所有明文密钥和其他没受到保护的重要保护参数清零。
 
        检验
        检验(检查)包括测量、检查和测试等活动,目的是确定项目成果是否与要求相一致。检验可以在任何管理层次中开展,例如,一个单项活动的结果和整个项目的最后成果都可以检验。检验有各种名称,如复查、产品复查、审查及评审等。
        检查表(核对表)是常用的检验技术,检查表通常是由详细的条目组成的,用于检查和核对一系列必须采取的步骤是否已经实施的结构化工具,其具体内容因应用的不同而不同。检查表是一种有条理的工具,可简单可烦琐,语言表达形式可以是命令式,也可以是询问式。
        例如,下表是一个确认测试工具属性的检查表例子。
        
        一个确认测试工具属性的检查表例子
 
        完整性
        完整性(Integrity)是指网络信息或系统未经授权不能进行更改的特性。例如,电子邮件在存储或传输过程中保持不被删除、修改、伪造、插入等。完整性也被称为网络信息系统CIA三性之一,其中I代表Integrity。完整性对于金融信息系统、工业控制系统非常重要,可谓“失之毫厘,差之千里”。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有