模块8 一、名词解释 HTTP协议 HTTP协议(Hypertext Transfer Protocol,.超文本传输协议)是用于从WwW服务器传输超 文木到木地浏览器的传送协议。它可以使浏览器更加高效,使网络传给减少。它不仅保证计 算机正确快速地传输超文本文档,还确定传输文档中的哪一部分, 以及哪部分内容首先显示 (如文本先于图形)等。 SSL协议 SSL协议是建立在TCPP协议之上的开发协议,它可以为应用层协议(如HTTP、Telnet, FTP)和TCP/IP之间提供数据安全性。SSL协议主要用于提高应用程序之间数据的安全性。 该安全协议主要提供对用户和服务器的认证:对传送的数据进行加密和隐藏:确保数据在传 送中了 形使 服务器 用之间的通信不被攻击者窃听。SSL采用TCP作为 传输协议提供数据的可靠传送和接收。 SET协议 SET协议即安全电子交易标准,利用RSA和DES技术实现安全性,用于支持使用信用 卡进行交易的在线电子支付。 它采用公钥密码体制和X509数字证书标准,主要应用于Bt0C模式中保障支付信息的安 全性。SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性 和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目 前公认的信用卡/借记卡的网上交易的国际安全标准。 二、选择颗 1.SET是Sc ,即安全电子交易的英文缩写。它是一个在互联 网上实现安全电子交易的协议标准,它是(BCD A.会话层的网络标准协议 B.规定了交易各方进行交易结算时的具体流程和安全控制策略 C.SET通过使用公共密钥和对称密钥方式加密保证了数据的保密性 D。SET诵过使用数字答名来确定数据是否被算改、保证数据的一致性和完整性,并可 以完成交易防抵赖 y ET通过使用(ABCD)方式加密保证数据的保密性 A.对称密钥B.公共密钥C.哈希算法D.数字签名技术 3.SET协议所涉及的对象包括(ABCD) A.消费者和在线商店B.收单银行C.电子货币发行单位D.认证中心 4.SET协议运行的目标主要有(AB)。 A.保证信息在互联网上安全传输B。保证电子商务参与者信息的相互隔离 C.提供商品或服务D.通过支付网关处理消费者和在线商店之间的交易付款问题 5.SSL记录协议的基本特点(ABCD)。 A.连接是专用的B,协商是可靠的 C,讲行协商的双方是秘密是安全的D.连接是可靠的 6.SSL协议可用来对以下那些协议进行加密(ABC)? A.FTP协议B.Telnet协议C.HTTP协议 D.P协议 7.当浏览器连接到一个安全网站时,URL地址栏最可能出现的显示内容为()。 A.http://www.somewhere.com B.telnet://www.somewhere.com C.ftp://www.somewhere.com D.https://www somewhere.com
模块 8 一、名词解释 HTTP 协议 HTTP 协议(Hypertext Transfer Protocol,超文本传输协议)是用于从 WWW 服务器传输超 文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计 算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示 (如文本先于图形)等。 SSL 协议 SSL 协议是建立在 TCP/IP 协议之上的开发协议,它可以为应用层协议(如 HTTP、Telnet、 FTP)和 TCP/IP 之间提供数据安全性。SSL 协议主要用于提高应用程序之间数据的安全性。 该安全协议主要提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传 送中不被改变。它能使客户一服务器应用之间的通信不被攻击者窃听。SSL 采用 TCP 作为 传输协议提供数据的可靠传送和接收。 SET 协议 SET 协议即安全电子交易标准,利用 RSA 和 DES 技术实现安全性,用于支持使用信用 卡进行交易的在线电子支付。 它采用公钥密码体制和 X.509 数字证书标准,主要应用于 B to C 模式中保障支付信息的安 全性。SET 提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性 和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目 前公认的信用卡/借记卡的网上交易的国际安全标准。 二、选择题 1.SET 是 Secure Electronic Transaction,即安全电子交易的英文缩写。它是一个在互联 网上实现安全电子交易的协议标准,它是( BCD ) A.会话层的网络标准协议 B.规定了交易各方进行交易结算时的具体流程和安全控制策略 C.SET 通过使用公共密钥和对称密钥方式加密保证了数据的保密性 D.SET 通过使用数字签名来确定数据是否被篡改、保证数据的一致性和完整性,并可 以完成交易防抵赖 2.SET 通过使用( AB CD)方式加密保证数据的保密性。 A.对称密钥 B.公共密钥 C.哈希算法 D.数字签名技术 3.SET 协议所涉及的对象包括( ABCD ) A.消费者和在线商店 B.收单银行 C.电子货币发行单位 D.认证中心 4.SET 协议运行的目标主要有( AB )。 A.保证信息在互联网上安全传输 B.保证电子商务参与者信息的相互隔离 C.提供商品或服务 D.通过支付网关处理消费者和在线商店之间的交易付款问题 5.SSL 记录协议的基本特点( ABCD)。 A.连接是专用的 B.协商是可靠的 C.进行协商的双方是秘密是安全的 D.连接是可靠的 6.SSL 协议可用来对以下那些协议进行加密( ABC )? A.FTP 协议 B.Telnet 协议 C.HTTP 协议 D.IP 协议 7.当浏览器连接到一个安全网站时,URL 地址栏最可能出现的显示内容为( )。 A.http://www.somewhere.com B.telnet://www.somewhere.com C.ftp://www.somewhere.com D.https://www.somewhere.com
三、简答题 1。简述HTTp协议的工作理 HTTP协议是基于请求响应范式的(相当于客户机U服务器) 一个客户机与服务器建立 连接后,发送一个请求给服务器,请求方式的格式为:统一资源标识符(UL人协议版 号,后边是MME信总包括请求修饰符、客户机信息和可能的内容。服务器接到请求后,给 予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码, 后边是E信息包括服务婴信息、实体信息和可能的内容。 许多HTTP通讯是由 一个用户代理初始化的并且包 一个申请在源服务器上资源的请 求。龄简单的情况可能是在用户代理和限务器之同酒过 个单独的连接来完成。在Intemne。 上,HTTP通讯通常发生在TCPP连接之上。缺省端口是TCP80,但其它的端口也是可用 的。但这并不预示者HTTP协议在Internet或其它网络的其它协议之上才能完成。HTTP只 预示着一个可靠的传输。 2.SSL协议可以提供哪些服务 ①用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将 被发运到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公 开密钥进行编号,为了验证用户是否合法,安全套接层协议要求在握手交换数据进行数字认 证,以此来确保用户的合法性: ②加密数据以隐藏被传送的数据。安全套接层协议所采用的加密技术既有对称密钥技 术,也有公开密钥技术。具体是客户机与服务器进行数据交换之前,交换SSL初始握手信 息,在SSL握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性, 并且用数字证书进行鉴别。这样就可以防止非法用户进行破译: ③维护数据的完整性。安全套接层协议是采用哈希函数,和机密共享的方法来提供完整 信息性的服务,来建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的 业务在传输过程中能全部完整准确无误地到达目的地, 3.简述SSL协议的流程。 SSL安全协议的工作流程如图8-3所示: 服务器认证阶段:①客户端向服务器发送一个开始信息“Hlo”以便开始一个新的会 话连接:②服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客 户的“Hlo”信息时将包含生成主密钥所需的信息:③客户根据收到的服务器响应信息,产 生一个主密钥,并用服务器的公开密钥加密后传给服务器:④服务器恢复该主密钥,并返 回给客户一个用主密钥认证的信息,以此让客户认证服务器
三、简答题 1.简述 HTTP 协议的工作原理。 HTTP 协议是基于请求/响应范式的(相当于客户机/服务器),一个客户机与服务器建立 连接后,发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本 号,后边是 MIME 信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后,给 予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码, 后边是 MIME 信息包括服务器信息、实体信息和可能的内容。 许多 HTTP 通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请 求。最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成。在 Internet 上,HTTP 通讯通常发生在 TCP/IP 连接之上。缺省端口是 TCP80,但其它的端口也是可用 的。但这并不预示着 HTTP 协议在 Internet 或其它网络的其它协议之上才能完成。HTTP 只 预示着一个可靠的传输。 2.SSL 协议可以提供哪些服务? ①用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将 被发运到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公 开密钥进行编号,为了验证用户是否合法,安全套接层协议要求在握手交换数据进行数字认 证,以此来确保用户的合法性; ②加密数据以隐藏被传送的数据。安全套接层协议所采用的加密技术既有对称密钥技 术,也有公开密钥技术。具体是客户机与服务器进行数据交换之前,交换 SSL 初始握手信 息,在 SSL 握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性, 并且用数字证书进行鉴别。这样就可以防止非法用户进行破译; ③维护数据的完整性。安全套接层协议是采用哈希函数,和机密共享的方法来提供完整 信息性的服务,来建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的 业务在传输过程中能全部完整准确无误地到达目的地。 3.简述 SSL 协议的流程。 SSL 安全协议的工作流程如图 8-3 所示: 服务器认证阶段:①客户端向服务器发送一个开始信息“Hello”以便开始一个新的会 话连接;②服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客 户的“Hello”信息时将包含生成主密钥所需的信息;③客户根据收到的服务器响应信息,产 生一个主密钥,并用服务器的公开密钥加 密后传给服务器;④服务器恢复该主密钥,并返 回给客户一个用主密钥认证的信息,以此让客户认证服务器
L多户带例宽得 发送门山清息 回复0b”消息 回复(密胡) 名合龈多器公院的 发送公铜加密的本次对密胡 接收开对话, 对话 对话 图8-3SSL的工作流程 用户认证阶段:在此之前,服务器己经通过了客户认证,这一阶段主要完成对客户的认 证。经认证的服务器发递一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥, 从而向服务器提供认证。 4.SET协议有哪些特点? ①保证信息在Internet上安全传输,保证网上传输的数据不被黑客窃听。 ②订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时,商家 只能看到订货信息,而看不到持卡人的账户信息,从而保证电子商务参与者信息的相互隔离。 ③持卡人和商家的相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通 信方双方提供信用担保,从而解决了多方认证问题 ④保证网上交易的实时性。使所有的支付过程都在网络上进行。 ⑤要求软件遵循相同的协议和消总格式,使不同厂家开发的软件具有兼容和互操作功能, 并且可以运行在不同的硬件和操作系统平台上。 5.简述SET协议支付流程。 SET协议的工作流程。分为下面七个步骤: ①消费者在Internet上搜索所要购买的商品,通过计算机输入订货单。 ②通过电子商务服务器与有关在线商店联系,在线商店做出应答,以确认订单条款的准 确性 ③消费者选择付款方 C,确认订单 ,签发付款指令。 ④消费者对订单和付煮指令进行数字签名,同时利用双重签名技术保证商家看不到消费 者的账号信息。 ⑤在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银 行,再到申子货币发行公司确认,批准交易后,返回确认信息给在线商店 ©在线商店发送订单确认信息给消费者 ⑦在线商店发送货物或提供服务,并通知收单银行进行转账通知发卡行请求支付。 四、论述题 试比较SSL协议和SET协议的优缺点
图 8-3 SSL 的工作流程 用户认证阶段:在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认 证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥, 从而向服务器提供认证。 4.SET 协议有哪些特点? ①保证信息在 Internet 上安全传输,保证网上传输的数据不被黑客窃听。 ②订单信息和个人账号信息的隔离。在将包括持卡人账号信息的订单送到商家时,商家 只能看到订货信息,而看不到持卡人的账户信息,从而保证电子商务参与者信息的相互隔离。 ③持卡人和商家的相互认证,以确定通信双方的身份,一般由第三方机构负责为在线通 信方双方提供信用担保,从而解决了多方认证问题。 ④保证网上交易的实时性.使所有的支付过程都在网络上进行。 ⑤要求软件遵循相同的协议和消息格式,使不同厂家开发的软件具有兼容和互操作功能, 并且可以运行在不同的硬件和操作系统平台上。 5.简述 SET 协议支付流程。 SET 协议的工作流程。分为下面七个步骤: ①消费者在 Internet 上搜索所要购买的商品,通过计算机输入订货单。 ②通过电子商务服务器与有关在线商店联系,在线商店做出应答,以确认订单条款的准 确性。 ③消费者选择付款方式,确认订单,签发付款指令。 ④消费者对订单和付款指令进行数字签名,同时利用双重签名技术保证商家看不到消费 者的账号信息。 ⑤在线商店接受订单后,向消费者所在银行请求支付认可。信息通过支付网关到收单银 行,再到电子货币发行公司确认,批准交易后,返回确认信息给在线商店。 ⑥在线商店发送订单确认信息给消费者。 ⑦在线商店发送货物或提供服务,并通知收单银行进行转账通知发卡行请求支付。 四、论述题 试比较 SSL 协议和 SET 协议的优缺点
SET和SSL除了都采用RSA公钥算法以外,二者在其他技术方面没有任何相似之处。 而RSA在二者中也被用来实现不同的安全目标。SET是一个多方的报文协议,它定义了银 行、商家、持卡人之间必需的报文规范 与此同时SSL只是简单地 在两方之间建立 连接。SSL是面向连接的,而SET允许各方之间的报文交换不是实时的。SET报文能够 银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Wb浏览器捆绑在一起。 SET与SSL相比具有如下优点: (1)SET为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营成本 降低 (2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取,SET 替消费者保守了更多的秘密使其在线购物更加轻松。 (3)银行和发卡机构以及各种信用卡组织来说,因为SET可以帮助它们将业务扩展到 Internet这个广阔的空间,从而使得信用卡网上支付具有更低的欺骗概率,这使得它比其他 支付方式具有更大的竞争力。 (4)SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构 筑
SET 和 SSL 除了都采用 RSA 公钥算法以外,二者在其他技术方面没有任何相似之处。 而 RSA 在二者中也被用来实现不同的安全目标。SET 是一个多方的报文协议,它定义了银 行、商家、持卡人之间必需的报文规范,与此同时 SSL 只是简单地在两方之间建立了安全 连接。SSL 是面向连接的,而 SET 允许各方之间的报文交换不是实时的。SET 报文能够在 银行内部网或者其他网络上传输,而SSL之上的卡支付系统只能与Web浏览器捆绑在一起。 SET 与 SSL 相比具有如下优点: (1)SET 为商家提供了保护自己的手段,使商家免受欺诈的困扰,使商家的运营成本 降低。 (2)对消费者而言,SET 保证了商家的合法性,并且用户的信用卡号不会被窃取,SET 替消费者保守了更多的秘密使其在线购物更加轻松。 (3)银行和发卡机构以及各种信用卡组织来说,因为 SET 可以帮助它们将业务扩展到 Internet 这个广阔的空间,从而使得信用卡网上支付具有更低的欺骗概率,这使得它比其他 支付方式具有更大的竞争力。 (4)SET 对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构 筑