试题1（2005年上半年试题10～11）

某公司为便于员工在家里访问公司的一些数据，允许员工通过Internet访问公司的FTP服务器，如图3-1所示。为了能够方便地实现这一目标，决定在客户机与FTP服务器之间采用　（10）　协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在　（11）　。

图3-1　通过Internet访问FTP服务器

（10）A．SSL
B．Ipsec
C．PPTP
D．TCP

（11）A．接通阶段
B．密码交换阶段
C．会谈密码阶段
D．客户认证阶段

试题1分析

这里指明了“在传输层对数据进行加密”，因此，应该选择SSL协议。

SSL（Security Socket Layer）协议是Netscape Communication开发的传输层安全协议，用于在Internet上传送机密文件。SSL协议由SSL记录协议、SSL握手协议和SSL警报协议组成。

SSL握手协议被用来在客户机与服务器真正传输应用层数据之前建立安全机制，当客户机与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户机和服务器各自根据该秘密信息产生数据加密算法和Hash算法参数。

SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码，然后经网络传输层发送给对方。

SSL警报协议用来在客户机和服务器之间传递SSL出错信息。

SSL协议主要提供三方面的服务。

（1）用户和服务器的合法性认证。认证用户和服务器的合法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，SSL协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性。

（2）加密数据以隐藏被传送的数据。SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。

（3）保护数据的完整性。SSL协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过SSL协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

SSL协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。

（1）接通阶段：客户机通过网络向服务器打招呼，服务器回应；

（2）密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

（3）会谈密码阶段：客户机与服务器间产生彼此交谈的会谈密码；

（4）检验阶段：客户机检验服务器取得的密码；

（5）客户认证阶段：服务器验证客户机的可信度；

（6）结束阶段：客户机与服务器之间相互交换结束的信息。

当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。

发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此，SSL协议也可用于安全电子邮件。

在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。

试题1答案

（10）A

（11）B