以下用于在网络应用层和传输层之间提供加密方案的协议是（）。

免费智能真题库 > 历年试卷 > 系统分析师 > 2018年上半年系统分析师上午试卷综合知识

第9题

知识点： SSL 传输层应用层加密

关键词：传输加密网络协议应用层章/节：安全性

A. PGP

B. SSL

C. IPSec

D. DES

相关试题：安全性

更多>

第6题 2011年上半年

72%

下面病毒中，属于蠕虫病毒的是（6)。

第7题 2022年上半年

26%

()不属于基于生物特征的认证技术。

第65题 2010年上半年

53%

嗔探器是一种网络故障分析与排查的工具，当其处于杂收模式时，网络接口（65)。


知识点讲解
· SSL · 传输层 · 应用层 · 加密

SSL

SSL是一个传输层的安全协议，用于在Internet上传送机密文件。SSL协议由SSL记录协议、SSL握手协议和SSL警报协议组成。

SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制，当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据该秘密信息产生数据加密算法和Hash算法参数；SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码，然后经网络传输层发送给对方；SSL警报协议用来在客户和服务器之间传递SSL出错信息。

SSL协议主要提供3方面的服务：用户和服务器的合法性认证、加密数据以隐藏被传送的数据、保护数据的完整性。SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。

SSL协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。

（1）接通阶段：客户机通过网络向服务器打招呼，服务器回应；

（2）密码交换阶段：客户机与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

（3）会谈密码阶段：客户机与服务器间产生彼此交谈的会谈密码；

（4）检验阶段：客户机检验服务器取得的密码；

（5）客户认证阶段：服务器验证客户机的可信度；

（6）结束阶段：客户机与服务器之间相互交换结束的信息。

发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此，SSL协议也可用于安全电子邮件。

传输层

传输层实现发送端和接收端的端到端的数据分组传送，负责保证实现数据包无差错、按顺序、无丢失和无冗余地传输。在传输层上，所执行的任务包括检错和纠错。它的出现是为了更加有效地利用网络层所提供的服务。它的作用主要体现在以下两方面：

（1）将一个较长的数据分成几个小数据包发送。在网络中实际传递的每个数据帧都是有一定大小限制的。假设如果要传送一个字串“123456789”，它太长了，网络服务程序一次只能传送一个数字（当然在实际中不可能这么小，这里仅是为了方便讲解所做的假设），因此网络就需要将其分成9次来传递。就发送端而言，当然是从1传到9的，但是由于每个数据分组传输的路径不会完全相同（因为它是要根据当时的网络“交通状况”而选择路径的），先传送出去的包，不一定先被收到，因此接收端所收到的数据的排列顺序与发送的顺序是不同的。而传输层的协议就给每一个数据组加上排列组合的记号，以便接收端能根据这些记号将它们重组成原来的顺序。

（2）解决通信双方不只有一个数据连接的问题。这个问题从字面上可能不容易理解，来看一个例子，如用一台计算机与另一台计算机连接复制数据的同时，又通过一些交谈程序进行对话。这个时候，复制的数据与对话的内容是同时到达的，传输的协议负责将它们分开，分别传给相应的程序端口，这也就是端到端的通信。

应用层

TCP/IP的应用层大致对应于OSI/RM模型的应用层和表示层，应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP（Hypertext Transfer Protocol，超文本传输协议）、SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）、DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）、NFS、Telnet（远程登录协议）、DNS（Domain Name System，域名系统）和SNMP（Simple Network Management Protocol，简单网络管理协议）等。

FTP是网络上两台计算机传送文件的协议，是通过Internet把文件从客户机复制到服务器上的一种途径。

TFTP是用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的，因此它不具备通常的FTP的许多功能，它只能从文件服务器上获得或写入文件，不能列出目录，也不进行认证。

HTTP是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先被显示等。

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供与来信有关的通知。

DHCP分为两个部分，一个是服务器端，另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。DHCP通过租约的概念，有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为3种方式，分别是固定分配、动态分配和自动分配。

NFS是FreeBSD支持的文件系统中的一种，允许一个系统在网络上与他人共享目录和文件。通过使用NFS，用户和程序可以像访问本地文件一样访问远端系统上的文件。

Telnet是登录和仿真程序，它的基本功能是允许用户登录进入远程主机系统。以前，Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理，于是可以提供更好的响应，并且减少了通过链路发送到远程主机的信息数量。

DNS用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在浏览器中输入域名时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。

SNMP是为了解决Internet上的路由器管理问题而提出的，指一系列网络管理规范的集合，包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。

加密

保密与加密

保密就是保证敏感信息不被非授权的人知道。加密是指通过将信息进行编码而使得侵入者不能够阅读或理解的方法，目的是保护数据和信息。解密是将加密的过程反过来，即将编码信息转化为原来的形式。古时候的人就已经发明了密码技术，而现今的密码技术已经从外交和军事领域走向了公开，并结合了数学、计算机科学、电子与通信等诸多学科而成为了一门交叉学科。现今的密码技术不仅具有保证信息机密性的信息加密功能，而且还具有数字签名、身份验证、秘密分存、系统安全等功能，来鉴别信息的来源以防止信息被篡改、伪造和假冒，保证信息的完整性和确定性。

加密与解密机制

加密的基本过程包括对原来的可读信息（称为明文或平文）进行翻译，译成的代码称为密码或密文，加密算法中使用的参数称为加密密钥。密文经解密算法作用后形成明文，解密算法也有一个密钥，这两个密钥可以相同也可以不相同。信息编码的和解码方法可以很简单也可以很复杂，需要一些加密算法和解密算法来完成。

从破译者的角度来看，密码分析所面对的问题有三种主要的变型：①“只有密文”问题（仅有密文而无明文）；②“已知明文”问题（已有了一批相匹配的明文与密文）；③“选择明文”（能够加密自己所选的明文）。如果密码系统仅能经得起第一种类型的攻击，那么它还不能算是真正的安全，因为破译者完全可能从统计学的角度与一般的通信规律中猜测出一部分的明文，而得到一些相匹配的明文与密文，进而全部解密。因此，真正安全的密码机制应使破译者即使拥有了一些匹配的明文与密文也无法破译其他的密文。

如果加密算法是可能公开的，那么真正的秘密就在于密钥了，密钥长度越长，密钥空间就越大，破译密钥所花的时间就越长，破译的可能性就越小。所以应该采用尽量长的密钥，并对密钥进行保密和实施密钥管理。

国家明确规定严格禁止直接使用国外的密码算法和安全产品，原因主要有两点：①国外禁止出口密码算法和产品，目前所出口的密码算法都有破译手段，②国外的算法和产品中可能存在“后门”，要防止其在关键时刻危害我国安全。

密码算法

密码技术用来进行鉴别和保密，选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法（又称为对称密码算法）和公开密钥密码算法（又称为非对称密码算法）两类，对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。

对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类（这两种体制之间还有许多中间类型）。

序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是：通过有限状态机产生性能优良的伪随机序列，使用该序列将信息流逐比特加密从而得到密文序列。可以看出，序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组（如64比特一组），对每一组明文用同一个密钥和同一种算法来加密，输出的密文也是固定长度的。在序列密码体制中，密文不仅与最初给定的密码算法和密钥有关，同时也是被处理的数据段在明文中所处的位置的函数；而在分组密码体制中，经过加密所得到的密文仅与给定的密码算法和密钥有关，而与被处理的明数据段在整个明文中所处的位置无关。

不同于传统的对称密钥密码体制，非对称密码算法要求密钥成对出现，一个为加密密钥（可以公开），另一个为解密密钥（用户要保护好），并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的，用公共密钥加密的信息只能用专用密钥解密，反之亦然。另外，公钥加密也用来对专用密钥进行加密。

公钥算法不需要联机密钥服务器，只在通信双方之间传送专用密钥，而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单，所以极大简化了密钥管理，但公共密钥方案较保密密钥方案处理速度慢，因此，通常把公共密钥与专用密钥技术结合起来实现最佳性能。

密钥及密钥管理

密钥是密码算法中的可变参数。有时候密码算法是公开的，而密钥是保密的，而密码分析者通常通过获得密钥来破译密码体制。也就是说，密码体制的安全性建立在对密钥的依赖上。所以，保守密钥秘密是非常重要的。

密钥管理一般包括以下8个内容。

（1）产生密钥：密钥由随机数生成器产生，并且应该有专门的密钥管理部门或授权人员负责密钥的产生和检验。

（2）分发密钥：密钥的分发可以采取人工、自动或者人工与自动相结合的方式。加密设备应当使用经过认证的密钥分发技术。

（3）输入和输出密钥：密钥的输入和输出应当经由合法的密钥管理设备进行。人工分发的密钥可以用明文形式输入和输出，并将密钥分段处理；电子形式分发的密钥应以加密的形式输入和输出。输入密钥时不应显示明文密钥。

（4）更换密钥：密钥的更换可以由人工或自动方式按照密钥输入和密钥输出的要求来实现。

（5）存储密钥：密钥在加密设备内采用明文形式存储，但是不能被任何外部设备访问。

（6）保存和备份密钥：密钥应当尽量分段保存，可以分成两部分并且保存在不同的地方，例如一部分存储在保密设备中，另一部分存储在IC卡上。密钥的备份也应当注意安全并且要加密保存。

（7）密钥的寿命：密钥不可以无限期使用，密钥使用得越久风险也就越大。密钥应当定期更换。

（8）销毁密钥：加密设备应能对设备内的所有明文密钥和其他没受到保护的重要保护参数清零。

题号导航 2018年上半年系统分析师上午试卷综合知识

本试卷我的完整做题情况



	第9题在手机中做本题