(7)SSL 的握手过程到此已经完成,下面就可开始SSL 的会话过程。
下面再以顾客B 到公司A 用SET 购买物品为例来说明SET 的工作过程。这里涉及到两
个银行,即A 的银行(公司A 的支付银行)和B 的银行(给B 发出信用卡的银行)。
(1)B 告诉A 他想用信用卡购买公司A 的物品。 (2)A 将物品清单和一个唯一的交易标识符发送给B。 (3)A 将其商家的证书,包括商家的公开密钥发送给B。A 还向B 发送其银行的证书,包括
银行的公开密钥。这两个证书都用一个认证中心CA 的秘密密钥进行加密。
(4)B 使用认证中心CA 的公开密钥对这两个证书解密。 (5)B 生成两个数据包:给A 用的定货信息OI 和给A 的银行用的购买指令PI。
(6)A 生成对信用卡支付请求的授权请求,它包括交易标识符。 (7)A 用银行的公开密钥将一个报文加密发送给银行,此报文包括授权请求、从B 发过来 的PI 数据包以及A 的证书。
(8)A 的银行收到此报文,将其解密。A 的银行要检查此报文有无被篡改,以及检查在授权
请求中的交易标识符是否与B 的PI 数据包给出的一致。
(9)A 的银行通过传统的银行信用卡信道向B 的银行发送请求支付授权的报文。
(10)一旦B 的银行准许支付,A 的银行就向A 发送响应(加密的)。此响应包括交易标识 符。
(11)若此次交易被批准,A 就向B 发送响应报文。 7-19 电子邮件的安全协议PGP 主要都包含哪些措施? 答:PGP 是一种长期得到广泛使用和安全邮件标准。PGP 是RSA 和传统加密的杂合算法,因
为RSA 算法计算量大,在速度上不适合加密大量数据,所以PGP 实际上并不使用RSA 来加密
内容本身,而是采用IDEA 的传统加密算法。PGP 用一个随机生成密钥及IDEA 算法对明文加
密,然后再用RSA 算法对该密钥加密。收信人同样是用RSA 解密出这个随机密钥,再用IDEA 解密邮件明文。
7-20 路加密与端到端加密各有何特点?各用在什么场合? 答:(1)链路加密
优点:某条链路受到破坏不会导致其他链路上传送的信息被析出,能防止各种形式
的通信量析出;不会减少网络系统的带宽;相邻结点的密钥相同,因而密钥管理易于实现;
链路加密对用户是透明的。
缺点:中间结点暴露了信息的内容;仅仅采用链路加密是不可能实现通信安全的; 不适用于广播网络。 (2)端到端加密
优点:报文的安全性不会因中间结点的不可靠而受到影响;端到端加密更容易适合
不同用户服务的要求,不仅适用于互联网环境,而且同样也适用于广播网。
缺点:由于PDU 的控制信息部分不能被加密,所以容易受到通信量分析的攻击。同
时由于各结点必须持有与其他结点相同的密钥,需要在全网范围内进行密钥管理和分配.
为了获得更好的安全性,可将链路加密与端到端加密结合在一起使用。链路加密用来
对PDU 的目的地址进行加密,而端到端加密则提供了对端到端数据的保护。
7-21 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙?
答:防火墙的工作原理:防火墙中的分组过滤路由器检查进出被保护网络的分组数据,按照
系统管理员事先设置好的防火墙规则来与分组进行匹配,符合条
件的分组就能通过,否则就 丢弃。
防火墙提供的功能有两个:一个是阻止,另一个是允许。阻止就是阻止某种类型的通
信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是 阻止。
网络级防火墙:主要是用来防止整个网络出现外来非法的入侵,属于这类的有分组过
滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制定好的一套准则
的数据,而后者则是检查用户的登录是否合法。
应用级防火墙:从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分 各种应用。