TCP/IP的四层模型中，每一层都提供了安全协议，下列属于网络层安全协议的是（）。

免费智能真题库 > 历年试卷 > 系统分析师 > 2022年上半年系统分析师上午试卷综合知识

第6题

知识点：常用的网络协议网络层 TCP TCP/IP 安全协议

章/节：数据通信与计算机网络

A. HTTPS

B. SSH

C. IPSec

D. Socks

相关试题：常用的协议标准

更多>

第67题 2020年下半年

67%

使用电子邮件客户端从服务器下载邮件，能实现邮件的移动、删除等操作在客户端和邮箱更新同步，所使用的电子邮件接收协议是（67)。..

第65题 2022年上半年

49%

下列协议中，可以用于文件安全传输的是（）。

第69题 2017年上半年

47%

据统计，截至2017年2月，全球一半以上的网站已使用HTTPS 协议进行数据传输，原HTTP 协议默认使用（69）端口，HTTPS使用（70）作为..


知识点讲解
· 常用的网络协议 · 网络层 · TCP · TCP/IP · 安全协议

常用的网络协议

本节主要介绍TCP（Transmission Control Protocol，传输控制协议）／IP协议族中的一些主要协议。TCP/IP不是一个简单的协议，而是一组小的、专业化协议。TCP/IP最大的优势之一是其可路由性，这也就意味着它可以携带能被路由器解释的网络编址信息。TCP/IP还具有灵活性，可在多个网络操作系统或网络介质的联合系统中运行。然而由于它的灵活性，TCP/IP需要更多的配置。TCP/IP协议族可被大致分为应用层、传输层、网际层和网络接口层4层，如下图所示。

下图中的分层只是一种“大致”的分法，各种文献的分法略有不同。特别是与OSI/RM层次的对应关系上，也是一种大致的对应关系，而不是严格的对应关系。下图中的虚线表示某个协议是基于哪个底层协议的，例如，TFTP（Trivial File Transfer Protocol，简单文件传输协议）是基于UDP（User Datagram Protocol，用户数据报协议）的，而FTP（File Transport Protocol，文件传输协议）是基于TCP协议的，NFS（Net File System，网络文件系统）即可基于UDP协议来实现，也可基于TCP协议来实现。

TCP/IP协议族

应用层

TCP/IP的应用层大致对应于OSI/RM模型的应用层和表示层，应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP（Hypertext Transfer Protocol，超文本传输协议）、SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）、DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）、NFS、Telnet（远程登录协议）、DNS（Domain Name System，域名系统）和SNMP（Simple Network Management Protocol，简单网络管理协议）等。

FTP是网络上两台计算机传送文件的协议，是通过Internet把文件从客户机复制到服务器上的一种途径。

TFTP是用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的，因此它不具备通常的FTP的许多功能，它只能从文件服务器上获得或写入文件，不能列出目录，也不进行认证。

HTTP是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先被显示等。

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务，主要用于传输系统之间的邮件信息并提供与来信有关的通知。

DHCP分为两个部分，一个是服务器端，另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。DHCP通过租约的概念，有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为3种方式，分别是固定分配、动态分配和自动分配。

NFS是FreeBSD支持的文件系统中的一种，允许一个系统在网络上与他人共享目录和文件。通过使用NFS，用户和程序可以像访问本地文件一样访问远端系统上的文件。

Telnet是登录和仿真程序，它的基本功能是允许用户登录进入远程主机系统。以前，Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理，于是可以提供更好的响应，并且减少了通过链路发送到远程主机的信息数量。

DNS用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在浏览器中输入域名时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。

SNMP是为了解决Internet上的路由器管理问题而提出的，指一系列网络管理规范的集合，包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。

传输层

TCP/IP的传输层大致对应于OSI/RM模型的会话层和传输层，主要包括TCP和UDP，这些协议负责提供流量控制、错误校验和排序服务。所有的服务请求都使用这些协议。

TCP是整个TCP/IP协议族中最重要的协议之一，它在IP协议提供的不可靠数据服务的基础上，采用了重发技术，为应用程序提供了一个可靠的、面向连接的、全双工的数据传输服务。TCP协议一般用于传输数据量比较少，且对可靠性要求高的场合。

UDP是一种不可靠的、无连接的协议，可以保证应用程序进程间的通信，与同样处在传输层的面向连接的TCP相比较，UDP是一种无连接的协议，它的错误检测功能要弱得多。可以这样说，TCP有助于提供可靠性，而UDP则有助于提高传输的速率。UDP协议一般用于传输数据量大，对可靠性要求不是很高，但要求速度快的场合。

网际层

TCP/IP的网际层对应于OSI/RM模型的网络层，包括IP、ICMP（Internet Control Message Protocol，网际控制报文协议）、IGMP（Internet Group Management Protocol，网际组管理协议），以及ARP（Address Resolution Protocol，地址解析协议）和RARP（Reverse Address Resolution Protocol，反向地址解析协议）。这些协议处理信息的路由及主机地址解析。

IP所提供的服务通常被认为是无连接的和不可靠的，因此把差错检测和流量控制之类的服务授权给了其他的各层协议，这正是TCP/IP能够高效率工作的一个重要保证。网际层的功能主要由IP来提供，除了提供端到端的分组分发功能外，IP还提供了很多扩充功能。例如，为了克服数据链路层对帧大小的限制，网络层提供了数据分块和重组功能，这使得很大的IP数据包能以较小的分组在网上传输。

网际层的另一个重要服务是在互相独立的局域网上建立互联网络，即网际网。网间的报文来往根据它的目的IP地址通过路由器传到另一网络。

ARP用于动态地完成IP地址向物理地址的转换。物理地址通常是指主机的网卡地址（MAC地址），每一网卡都有唯一的地址；RARP用于动态完成物理地址向IP地址的转换。

ICMP是一个专门用于发送差错报文的协议，由于IP协议是一种尽力传送的通信协议，即传送的数据可能丢失、重复、延迟或乱序传递，所以IP协议需要一种尽量避免差错并能在发生差错时报告的机制。

IGMP允许Internet主机参加多播，也就是IP主机用做向相邻多目路由器报告多目组成员的协议。多目路由器是支持组播的路由器，向本地网络发送IGMP查询。主机通过发送IGMP报告来应答查询。组播路由器负责将组播包转发到网络中所有组播成员。

网络接口层

TCP/IP的网络接口层大致对应于OSI/RM模型的数据链路层和物理层，TCP/IP协议不包含具体的物理层和数据链路层，只定义了网络接口层作为物理层的接口规范。网络接口层处在TCP/IP协议的最底层，主要负责管理为物理网络准备数据所需的全部服务程序和功能。该层处理数据的格式化并将数据传输到网络电缆，为TCP/IP的实现基础，其中可包含IEEE 802.3的CSMA/CD、IEEE 802.5的TokenRing等。根据考试大纲的要求，我们主要介绍CSMA/CD的相关知识。

CSMA/CD是一种争用型的介质访问控制协议，工作在数据链路层。CSMA/CD控制过程包含4个处理内容，分别是侦听、发送、检测、冲突处理。对于每一个站而言，发送数据前先监听信道是否空闲，若空闲，则立即发送数据。在发送数据时，边发送边继续监听。若监听到冲突，则立即停止发送数据。等待一段随机时间，再重新尝试。CSMA/CD控制方式的优点是原理比较简单，技术上易实现，网络中各工作站处于平等地位，不需集中控制，不提供优先级控制。但在网络负载增大时，发送时间增长，发送效率急剧下降。

当确认发生冲突后，进入冲突处理程序。若在侦听中发现线路忙，则等待一个延时后再次侦听，若仍然忙，则继续延迟等待，一直到可以发送为止。每次延时的时间不一致，由退避算法确定延时值；若发送过程中发现数据碰撞，先发送阻塞信息，强化冲突，再进行侦听工作，以待下次重新发送。

退避算法是指当出现线路冲突时，如果冲突的各站点都采用同样的退避间隔时间，则很容易产生二次、三次的碰撞。因此，要求各个站点的退避间隔时间具有差异性。这要求通过退避算法来实现，包括非坚持、1坚持和p坚持三种。

（1）非坚持的CSMA：线路忙，等待一段时间，再侦听；不忙时，立即发送。这种算法能减少冲突，但信道利用率降低。

（2）1坚持的CSMA：线路忙，继续侦听；不忙时，立即发送。这种算法能提高信道利用率，但增大了冲突。

（3）p坚持的CSMA：线路忙，继续侦听；不忙时，根据p概率进行发送，另外的1-p概率为继续侦听（p是一个指定概率值）。这种算法的好处是有效平衡，但比较复杂。

CSMA/CD的帧格式如下图所示。

CSMA/CD的帧格式

（1）前导码字段（P）：作用是使接收端进入同步状态，以便数据的接收。

（2）帧开始标志（SFD）：紧跟在前导码字段之后标识本信息帧的开始。

（3）信宿／信源地址（DA/SA）：分别对应目的地址和源地址，目的地址指明该帧发往的目的地，源地址标识发送该帧的节点。

（4）数据字段长度（L）：表示DATA字段的实际长度。

（5）用户数据字段（DATA）：长度小于1500字节，存放高层LLC的信息。

（6）填充字段（PAD）：不大于46字节，采用填充字符的方式保证整个帧长度不小于64个字节。

（7）帧检验序列（FCS）： 4个字节，用于循环冗余校验码。

在CSMA/CD中，整个帧的发送时间应当不小于信号在网中“传播距离最大”的两个节点之间传播时间的两倍，分别对应信号到达“最远”的节点，以及冲突信号从“最远”的节点返回本节点。最小帧长的要求是要保证发送节点可以对发送的冲突进行有效的冲突检测。

端口

在TCP/IP网络中，传输层的所有服务都包含端口号，它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据，尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型，并把它交给合适的高层软件。

端口号和设备IP地址的组合通常称作插口（socket）。任何TCP/IP实现所提供的服务都用知名的1～1023之间的端口号。这些知名端口号由Internet号分配机构（Internet Assigned Numbers Authority, IANA）来管理。例如，SMTP所用的TCP端口号是25，POP3所用的TCP端口号是110，DNS所用的UDP端口号为53，WWW服务使用的TCP端口号为80。FTP在客户与服务器的内部建立两条TCP连接，一条是控制连接，端口号为21；另一条是数据连接，端口号为20。

256～1023之间的端口号通常由UNIX系统占用，以提供一些特定的UNIX服务。也就是说，提供一些只有UNIX系统才有的而其他操作系统可能不提供的服务。

在实际应用中，用户可以改变服务器上各种服务的保留端口号，但要注意，在需要服务的客户端也要改为同一端口号。

网络层

网络层用于从发送端向接收端传送分组，负责确保信息到达预定的目标。其存在的主要目的是解决以下问题：

（1）通信双方并不相邻。在计算机网络中，通信双方可能是相互邻接的，但也可能并不是邻接的。当一个数据分组从发送端发送到接收端时，就可能要经过多个其他网络节点，这些节点暂时存储“路过”的数据分组，再根据网络的“交通状况”选择下一个节点将数据分组发出去，直到发送到接收方为止。

（2）由于OSI/RM模型出现在许多网络协议之后，因此，为了与使用这些已经存在的网络协议的计算机进行互联，就需要解决异构网络的互联问题。

TCP

TCP是面向连接的通信协议，通过三次握手建立连接，通信完成时要拆除连接，由于TCP是面向连接的，所以只能用于端到端的通信。

TCP提供的是一种可靠的数据流服务，采用“带重传的肯定确认”技术实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制，所谓窗口，实际表示接收能力，用以限制发送方的发送速度。

如果IP数据包中有已经封装好的TCP数据包，那么IP将把它们向“上”传送到TCP层。TCP将包排序并进行错误检查，同时实现虚电路之间的连接。TCP数据包中包括序号和确认，所以未按照顺序收到的包可以被排序，而损坏的包则可以被重传。

TCP将它的信息发送到更高层的应用程序，例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层，TCP层便将它们向下传送到IP层、设备驱动程序和物理介质，最后传送到接收方。

面向连接的服务（例如Telnet、FTP、rlogin、X Windows和SMTP）需要高度的可靠性，所以它们使用了TCP。DNS在某些情况下使用TCP（发送和接收域名数据库），但使用UDP传送有关单个主机的信息。

TCP/IP

由于OSI协议的实现较为复杂，运行效率低，很少有厂商推出符合OSI标准的商用产品。目前，互联网上广泛使用的是TCP/IP。TCP/IP（Transmission Control Protocol/Internet Protocol，传输控制协议／互联网络协议）是Internet上不同子网之间的主机进行数据交换所遵守的网络通信协议。TCP/IP一般泛指所有与Internet有关的一系列网络协议的总称，其中TCP和IP是其中最重要的两个协议。TCP/IP体系结构主要由四层构成，分别为网络接口层、网络层、传输层和应用层。

TCP/IP采用的四层体系结构与OSI参考模型采用的七层体系结构是对应的，它们的结构对比如下图所示。

TCP/IP与OSI体系结构的对比

网络接口层

网络接口层也称链路层（Link Layer）或数据链路层，相当于OSI/RM参考模型的第1层和第2层，负责与网络中的传输介质打交道。常用的链路层技术主要有以太网（Ethernet）、令牌环（Token Ring）、光纤数据分布接口（FDDI）、X.25、帧中继（Frame Relay）、ATM等。

网络层

网络层的作用是将数据包从源主机发送出去，并且使这些数据包独立地到达目标主机。数据包传送过程中，到达目标主机的顺序可能不同于它们被发送时的顺序。因为网络情况复杂，随时可能有一些路径发生故障或是网络中的某处出现数据包的堵塞。网络层提供的服务是不可靠的，可靠性由传输层实现。

传输层

传输层提供应用程序之间的通信。传输层提供了可靠的传输协议TCP和不可靠的传输协议UDP。TCP是一个可靠的、面向连接的协议，允许在因特网上的两台主机之间进行信息的无差错传输。在网络传输过程中，为了保证数据在网络中传输的正确、有序，要使用“连接”的概念，一个TCP连接是指在传输数据前先要传送三次握手信号，以使双方为数据的传送做准备。UDP是用户数据报协议，使用此协议时，源主机一有数据就发送出去，不管发送的数据包是否能到达目标主机、数据包是否会出错，收到数据包的主机都不会通知发送方其是否正确地收到了数据，因此UDP是一种不可靠的传输协议。

应用层

应用层直接为用户的应用进程提供服务，如支持万维网应用的HTTP，支持电子邮件的SMTP，支持文件传送的FTP等。

安全协议

电子商务安全交易协议是一种安全机制保障。目前，电子商务安全机制正在走向成熟，并形成了一些国际规范，比较有代表性的是SSL协议（安全套接层协议）和SET协议（安全电子交易协议）。

SSL协议

SSL协议概述

安全套接层（Secure Sockets Layer，SSL）协议，是由美国网景（Netscape）公司研究制定的安全协议，主要用于解决TCP/IP协议难以确定用户身份的问题，为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。

SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性，并采用X.509格式数字证书实现鉴别。

SSL协议适用于点对点之间的信息传输，通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准，并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。

SSL协议层次结构

SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间，由SSL记录协议（Record Protocol）和SSL握手协议（Handshake Protocol）组成，如下图所示。

SSL协议在TCP/IP网络分层结构模型中的位置

SSL记录协议定义数据传送的格式，包括记录头和记录数据格式的规定等。SSL握手协议描述建立安全连接的过程，在客户机和服务器传送应用数据之前，允许服务器和客户机相互验证身份（客户机端可选），协商加密算法、确定会话密钥等。

SSL协议基本安全服务功能

（1）信息机密性。SSL协议应用对称和非对称密钥等多种加密算法，客户机和服务器在建立的安全通道中传输的所有信息都经过加密处理，防止非法窃听，实现信息的机密性。

（2）信息完整性。SSL协议利用公开密钥加密算法和数字摘要技术，对信息的完整性进行检验，保证信息在传输过程中不被篡改。

（3）认证性。SSL协议利用数字证书技术，实现对服务器和客户机的认证。为了验证数字证书持有者是合法用户，SSL要求证书持有者在握手时，双方可通过交换数字证书，验证对方身份的合法性，确保数据发往正确的客户机和服务器。

SSL协议的通信过程

（1）接通阶段。客户机呼叫服务器，服务器回应客户。

（2）认证阶段。服务器向客户机发送服务器证书和公钥，以便客户机认证服务器身份；如果服务器需要双方认证，还要向客户机提出认证请求，客户机向服务器发送客户端证书。

（3）确立会话密钥。客户机和服务器之间协商确立会话密钥。

（4）会话阶段。客户机与服务器使用会话密钥加密交换会话信息。

（5）结束阶段。客户机与服务器交换结束信息，通信结束。

SSL协议分析

SSL协议开发成本小，能够提供机密性、完整性和认证服务。目前主流浏览器及许多服务器都支持SSL协议，但在电子商务交易应用过程中，也存在一些安全问题。

应用SSL协议的电子交易过程如下：

（1）客户将购物信息发往商家。

（2）商家将信息转发银行。

（3）银行验证客户信息的合法性后，通知客户和商家付款成功。

（4）商家通知客户购买成功，并将商品交给客户。

分析以上交易过程，可以看到客户的购物信息（含支付信息，如银行资料）首先发往商家，若是商家不可靠，客户银行资料的信息安全性就得不到保证。此外，SSL协议只是提供了信息传递的安全通道，没有提供数字签名功能，存在抵赖和用户身份被冒充的可能性。这些问题在SET协议中得到了解决。

SET协议

SET协议概述

安全电子交易（Secure Electronic Transaction，SET）协议，是由VISA、Mastercard两大国际信用卡组织会同一些计算机供应商共同开发的网上安全交易协议，是为银行卡在Internet上安全地进行交易提出的一整套完整的安全解决方案。1997年5月正式推出SET协议1.0版。

SET协议采用对称加密技术和非对称加密技术提供数据加密、数字签名、数字信封等功能，保证了信息在网络中传输的机密性，数据的完整性和一致性，防止交易抵赖行为的发生。SET协议采用数字证书验证交易过程中参与各方的身份，一般由第三方CA机构负责为在线的通信双方提供信用担保与认证，对参与其中的支付网关也要进行认证，以防假冒，具有多方认证性。SET协议通过双重数字签名技术实现了客户订单信息和支付信息（信用卡账号、密码等）的隔离，保证商家只能看到客户的购买信息，看不到客户的支付信息；而银行只能看到客户的支付信息，看不到客户的购买信息。SET协议规定了交易中各方进行安全交易的具体流程。参与各方在交易流程中均遵循严格的标准，体现在要求软件遵循相同的协议和消息格式，加密算法的应用协商，数字证书信息和对象格式，订货信息和对象格式，认可信息和对象格式，资金划账信息和对象格式，对话实体之间消息的传输协议等。

SET协议的参与对象

基于SET协议的网络支付过程涉及多个参与方，包括客户、商家、银行（发卡银行、收单银行）、支付网关、CA认证中心。

（1）客户。通常是持有信用卡的用户。SET协议机制中，持卡客户通常要到发卡银行申请并在自己的客户端安装一套SET交易专用的客户端软件（电子钱包软件），并向CA认证中心申请数字证书。

（2）商家。客户在网上购物，网上商家通过商家服务器软件提供服务。与客户类似，商家必须先到收单银行申请设立账户，并向CA认证中心申请商家服务器的数字证书。

（3）发卡银行。发卡银行是指客户的开户银行。通常持卡客户的客户端软件从发卡银行获得，持卡客户申请数字证书，必须由发卡银行审核批准，才能从CA认证中心得到，因为持卡客户是利用银行的信誉消费。

（4）收单银行。收单银行是指商家的开户银行。支付网关接收商家转来的持卡客户支付请求后，要将支付请求转交给收单银行，通过银行间金融专用网络，传送到持卡客户的发卡行，进行相应的授权和扣款。收单银行与发卡银行可以是同一银行。

（5）支付网关。支付网关是Internet与银行内部专用网之间的一个专用系统，使得银行金融专用网不直接与非安全的公开网络连接，从而保护银行内部专用网的安全。通常，商家收到客户的购物请求后，要将客户的账号等支付信息传递给收单银行，因此支付网关一般由收单银行担任。银行可委托第三方担任网上交易的支付网关。与客户和商家一样，支付网关也必须通过CA认证中心申请数字证书，才能参与SET交易活动。

（6）CA认证中心。SET协议规定，参与SET交易的各方（包括客户、商家、支付网关）必须申请并安装数字证书，以证实自己的真实身份。CA认证中心作为发放和管理数字证书的机构，起着非常重要的核心作用。

应用SET协议的交易流程

（1）持卡人（客户）在商家（网上商店）浏览商品；

（2）持卡人选择要购买的商品，并填写订单；

（3）持卡人选择在线支付方式。当选择支持SET协议的支付方式进行支付时，SET协议开始起作用；

（4）持卡人发送订单和支付指令给商家。订单和支付指令由持卡人进行数字签名，同时利用双重数字签名技术保证商家看不到持卡人的支付信息（账号等）；

（5）商家收到订单后，向持卡人所在银行发出支付请求。支付信息通过支付网关到收单银行，再到发卡银行。支付请求获得发卡银行的授权后，返回授权指令给商家；

（6）商家将订单确认信息通知持卡人，为客户发货或完成订购服务。

至此，应用SET协议的交易流程结束。商家可以请求收单银行将此笔交易的款项从持卡人账户转到商家账户。以上流程中，SET从持卡人选择支付方式后开始介入，每一步操作，持卡人、商家和支付网关都会通过CA验证通信主体的身份，以确保通信主体的真实性。

SET协议中的双重数字签名技术

电子商务交易过程中，客户发送订购信息和对应的支付信息是相关联的，如何使信息传输过程中，商家看不到客户的支付信息，银行看不到客户的购买信息，SET协议通过双重数字签名技术加以解决。

发送者A将发送给接收者B和C的信息分别应用算法生成各自的数字摘要，再将两个数字摘要连在一起，应用算法生成新的数字摘要（双重数字摘要），将双重数字摘要用发送者的私钥加密，生成双重数字签名。

下面以客户发送信息给银行为例说明双重数字签名的生成与验证过程，如下图所示。

客户发送信息给银行双重数字签名的生成与验证过程

（1）客户对购买信息和支付信息分别生成购买信息的数字摘要E1和支付信息的数字摘要E2；

（2）将E1和E2连接起来生成双重数字摘要E3；

（3）客户用自己的私钥加密E3生成双重数字签名K；

（4）客户把双重数字签名K，支付信息和购买信息的数字摘要E1一起发送给银行；

（5）银行对信息进行验证。将支付信息用对应的同样算法生成支付信息的数字摘要E2′，并将E2′同收到的购买信息的数字摘要E1连接在一起，用对应的同样算法生成双重数字摘要E3′；

（6）银行用客户的公钥解密收到的双重数字签名K，得到双重数字摘要E3，将E3与E3′比较，如果相同，则银行验证了支付信息是由该客户发出的，且在传输过程中没有被篡改。

同理，客户将双重数字签名K，购买信息和支付信息数字摘要E2发送给商家完成订货信息的传递、签名与验证。通过使用双重数字签名技术，银行和商家只能看到同一条购物信息中自己所需要的那一部分信息，更好地保护了客户的隐私权和电子商务交易活动的安全性。

SSL协议与SET协议比较

在支持技术上，SSL协议与SET协议可以说是一致的，都采用了对称密钥加密、非对称密钥加密、数字摘要与数字证书等加密和认证技术；对信息传输的机密性来说，两者的功能是相同的，且都能保证信息在传输过程中的保密性及完整性，但两者在实现目标、实现机制、安全性等方面有所不同。

SSL协议提供在Internet上的安全通信服务，是在客户机和服务器之间建立一个安全通道，保证数据传输机密性；SET协议是为保证银行卡在Internet上进行安全交易提出的一套完整的安全解决方案。SSL协议面向连接，SET协议则允许各方之间非实时交换报文。

SSL协议只是简单地在双方之间建立安全连接，SET协议则是一个多方报文协议，它定义了银行、商家、持卡人之间必须遵循的报文规范；建立在SSL协议之上的卡支付系统只能与Web浏览器捆绑在一起，SET报文则能够在银行内部网或其他网络上传输。

SSL协议与SET协议在网络中的层次也不一样。SSL协议是基于传输层的协议，SET协议是基于应用层的协议。SSL协议在建立双方安全通信通道后，所有的传输信息都被加密，SET协议则会有选择地加密一部分敏感信息。

从安全性来讲，SSL协议中，信息首先发往商家，商家能看到客户的信用卡账户等支付信息。SET协议则通过双重数字签名技术，保证商家看不到客户的支付信息，银行也看不到客户的购买信息，更好地保护了客户的安全和隐私。

题号导航 2022年上半年系统分析师上午试卷综合知识

本试卷我的完整做题情况



	第6题在手机中做本题