•对整个证书签发过程做日志记录。

•向申请人发通知。

其中最为重要的是CA自己的一对密钥的管理，它必须确保高度的机密性，防止他方伪造证书。

第十五章IP的安全

一、选择题

二、问答题

1.IPSec和IP协议以及VPN的关系是什么？

IPSec是一种由IETF设计的端到端的确保IP层通信安全的机制。不是一个单独的协议，而是一组协议。IPSec是随着IPv6的制定而产生的，后来也增加了对IPv4的支持。在前者中是必须支持的，在后者中是可选的。

IPSec作为一个第三层隧道协议实现了VPN通信，可以为IP网络通信提供透明的安全服务，免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。

2.IPSec包含了哪3个最重要的协议？简述这3个协议的主要功能？

IPSec众多的RFC通过关系图组织在一起，它包含了三个最重要的协议：AH、ESP、IKE。

（1）AH为IP数据包提供如下3种服务：无连接的数据完整性验证、数据源身份认证和防重放攻击。数据完整性验证通过哈希函数（如MD5）产生的校验来保证；数据源身份认证通过在计算验证码时加入一个共享密钥来实现；AH报头中的序列号可以防止重放攻击。

（2）ESP除了为IP数据包提供AH已有的3种服务外，还提供数据包加密和数据流加密。数据包加密是指对一个IP包进行加密（整个IP包或其载荷部分），一般用于客户端计算机；

数据流加密一般用于支持IPSec的路由器，源端路由器并不关心IP包的内容，对整个IP包进行加密后传输，目的端路由器将该包解密后将原始数据包继续转发。

AH和ESP可以单独使用，也可以嵌套使用。可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用。

（3）IKE负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中，供AH和ESP以后通信时使用。解释域(DOI)为使用IKE进行协商SA的协议统一分配标识符。

第十六章电子邮件的安全

一、问答题

1.电子邮件存在哪些安全性问题？

1）垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等。垃圾邮件会增加网络负荷，影响网络传输速度，占用邮件服务器的空间。

2）诈骗邮件通常指那些带有恶意的欺诈性邮件。利用电子邮件的快速、便宜，发信人能迅速让大量受害者上当。

3）邮件炸弹指在短时间内向同一信箱发送大量电子邮件的行为，信箱不能承受时就会崩溃。

4）通过电子邮件传播的病毒通常用VBScript编写，且大多数采用附件的形式夹带在电子邮件中。当收信人打开附件后，病毒会查询他的通讯簿，给其上所有或部分人发信，并将自身放入附件中，以此方式继续传播扩散。

2.端到端的安全电子邮件技术，能够保证邮件从发出到接收的整个过程中的哪三种安全性？

端到端的安全电子邮件技术，保证邮件从被发出到被接收的整个过程中，内容保密、无法修改、并且不可否认。目前的Internet上，有两套成型的端到端安全电子邮件标准：PGP和S/MIME。它一般只对信体进行加密和签名，而信头则由于邮件传输中寻址和路由的需要，必须保证原封不动。

3.画图说明PGP的工作原理。

第十七章Web与电子商务的安全

二、问答题

1.讨论一下为什么CGI出现的漏洞对Web服务器的安全威胁最大？

相比前面提到的问题，CGI可能出现的漏洞很多，而被攻破后所能造成的威胁也很大。程序设计人员的一个简单的错误或不规范的编程就可能为系统增加一个安全漏洞。一个故意放置的有恶意的CGI程序能够自由访问系统资源，使系统失效、删除文件或查看顾客的保密信息(包括用户名和口令)。

3.说明SSL的概念和功能。

安全套接层协议SSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，但它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输。它是Netscape公司提出的基于Web应用的安全协议，它包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL通过在浏览器软件和Web服务器之间建立一条安全通道，实现信息在Internet中传送的保密性。

在TCP/IP协议族中，SSL位于TCP层之上、应用层之下。这使它可以独立于应用层，从而使应用层协议可以直接建立在SSL之上。SSL协议包括以下一些子协议；SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。SSL记录协议建立在可靠的传输协议(例如TCP)上，用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。

4.什么是SET电子钱包？

SET交易发生的先决条件是，每个持卡人(客户)必须拥有一个惟一的电子(数字)证书，且由客户确定口令，并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储，这些与符合SET协议的软件一起组成了一个SET电子钱包。

9.简述SSL的记录协议和握手协议。

SSL记录协议是建立在可靠的传输协议（如TCP）之上，为更高层提供基本的安全服

务，如提供数据封装、眼所、加密等基本功能的支持。

SSL记录协议用来定义数据传输的格式，它包括的记录头和记录数据格式的规定。在SSL协议中，所有的传输数据都被封装在记录中。

SSL握手协议负责建立当前会话状态的参数。双方协商一个协议版本，选择密码算法，相互认证（不是必须的），并且使用公钥加密技术通过一系列交换的消息在客户端和服务器之间生成共享密钥。