问答题 【说明】
某电子商务公司在Windows Server 2003中安装IIS 6.0来配置Web服务器,域名为www.abc.com。该商务网站在设计时充分考虑了安全问题,通过对安全性、可用性、效率、成本的分析和比较,决定采用的安全方案如下。
①网站与用户之间采用SSL方式进行关键信息保护。
②网站与供货商之间采用安全电子邮件传送电子合同等重要文件。
③为了保证支付时的安全性,采用SET支付方式。

1.【问题1】
实现保密通信的SSL协议工作在 (1) 层和 (2) 层之间。SSL加密通道的建立过程如下:
①首先客户端与服务器建立连接,服务器把它的 (3) 发送给客户端;
②客户端随机生成 (4) ,并用从服务器得到的公钥对它进行加密,通过网络传送给服务器:
③服务器使用 (5) 解密得到会话密钥,这样客户端和服务器端就建立了安全通道。
  • A.TCP
  • B.IP
  • C.UDP
  • D.HTTP
  • E.私钥 P.对称密钥G.会话密钥,H.公钥I.数字证书
【正确答案】(1)D,或HTTP
(2)A,或TCP
(3)I,或数字证书
(4)G,或会话密钥
(5)E,或私钥
【答案解析】[要点解析]
安全套接字(SSL)协议主要提供用户和服务器的合法性认证、加密数据、保护数据的完整性等三方面的服务。它位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保信息传递的安全性。 SSL是建议在公共密钥体制和对称密钥体制基础上的。任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。SSL加密通道的建立过程如下。
①首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,数字证书包含证书所有者的公开密钥。
②客户端随机生成一个会话密钥,并用从服务器得到的公钥对它进行加密,通过网络把会话密钥传送给服务器。
③服务器使用私钥解密得到会话密钥,这样客户端和服务器端就建立了安全通道。
另外说明一点:SSL安全机制的实现,将增加系统开销,增加服务器CPU的额外负担,从而会在一定程度上降低系统性能。
【正确答案】(6)EBDCA
【答案解析】[要点解析]
在IIS中安装SSL需进行以下5个操作步骤:
①在“添加删除Windows组件”中安装“证书服务”组件;从“管理工具”中进入“Internet服务管理器”,鼠标右键单击需要配置的站点,在弹出的菜单中选择“属性”。接着在“目录安全性”标签页中单击“服务器证书”按钮,通过“IIS证书向导”生成证书请求文件。
②向证书颁发机构提交证书请求文件;证书颁发机构颁发相应的证书。
③在申请证书的计算机上打开IE浏览器,在地址栏中输入http://根CA的IP/certsrv,进入证书申请页面。选择“检查挂起的证书”,接着选择已经提交的证书申请。如果颁发机构已将证书颁发,则可单击“安装此证书”,即从证书颁发机构导出证书文件。
④在“IIS证书向导”中进入“挂起的证书请求”界面,选择“处理挂起的请求,并安装证书”,接着选择刚才导出的CER文件,接着单击“下一步”按钮,完成在IIS服务器上导入并安装证书。
⑤在IIS“目录安全性”标签页的“安全通信”栏中,单击“编辑”按钮打开“安全通信”对话框。在该对话框中可根据所需的安全要求配置相应的身份验证方式和SSL安全通道。
【正确答案】(7)B,或基本身份验证
【答案解析】[要点解析]
选项A的“匿名身份验证”,是指允许任意用户访问,不要求提供用户名和密码的一种身份验证方法。
选项B的“基本身份验证”,是指要求用户输入用户名和密码,但这些信息以未加密方式通过网络发送的一种身份验证方法。
选项C的“集成Windows身份验证”,是指使用散列算法技术标识用户,不需要通过网络实际发送密码的一种身份验证方法。
选项D的“摘要式身份验证”,是指要求用户输入用户名和密码,且密码以散列方式发送的一种身份。验证方法。
选项E的“Net Passport身份验证”,是ASP.NET的一种身份验证方法。
配置IIS服务器时,当完成了证书的导入后,需在“目录安全性”标签页中单击“安全通信”栏的“编辑”按钮,选中“要求安全通道(SSL)”和“要求128位加密”选项,单击“确定”按钮。
接着单击“身份验证和访问控制”栏的“编辑”按钮,在对话框中取消“启用匿名访问”和“集成 Windows身份验证”选项,并选中“基本身份验证”选项,最后单击“确定”按钮。
【正确答案】(8)https://www.abc.com
(9)443
【答案解析】[要点解析]
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用 URL资源定位器时,注意输入的是“https://”,而不是“http://”。
如果用户需要通过SSL安全通道访问www.abc.com网站,应该在Ⅲ的地址栏中输入https://www. abc.com。SSL默认侦听的端口是TCP协议的443端口。
【正确答案】(10)C,或接收方的公钥
(11)B,或发送方的私钥
【答案解析】[要点解析]
数字信封是一种采用公钥密码体制和对称密码体制加密电子邮件的安全措施。其基本原理是使用对称密钥对邮件原文进行加密,同时将该对称密钥(即会话密钥)用收件人的公钥加密后传送给对方。接着收件人先用自己的私钥解密信封,取出对称密钥后继续解密出原文。由此可见,采用数字信封技术传递会话密钥时,发送方应使用接收方的公钥加密会话密钥,接收方使用其本身的私钥(即接收方的私钥)解密会话密钥。
在非对称密码体制中,公钥和私钥是必须成对出现的密钥,它们可以相互对数据进行加解密;加密数据使用对方的公钥,身份认证使用本人的私钥。为保证电子邮件信息的完整性和不可抵赖性,发送方需要使用一定的算法(如MD5算法)获取邮件信息摘要,并使用其本身的私钥(即发送方的私钥)加密摘要信息,接收方使用发送方的公钥解密摘要信息,验证发送方身份。
【正确答案】(12)B,或“②→①→⑥→③→⑦→④→⑤”
【答案解析】[要点解析]
安全电子交易(SET)协议的工作流程与实际的购物流程十分接近,其一切操作都是通过Internet完成的。它的工作流程如下。
用户首先在银行开立信用卡账户,获得信用卡。
用户在商家的Web主页上查看商品目录,并选择所需商品。
用户填写订单并通过网络传递给商家,同时附上付款指令。其中,用户对订单和付款指令使用数字签名并加密,以使商家无法看到用户的账户信息。
商家收到订单后,向发卡行请求支付认可。
发卡行确认后,批准交易,并向商家返回确认信息。
商家发送订单确认信息给用户,并发货给用户。
商家请求银行支付货款,银行将货款由用户的账户转移到商家的账户。
由以上分析可知,(12)空缺处的正确答案是选项B的“②→①→⑥→③→⑦→④→⑤”。