以下浏览器支持SSL的有（）A、NetscapeCommunicatorB、MicrosoftInternerExploerC、MicrosoftIISD、LotusDominoServer采集者退散E、LotusNotesServer

正确答案：A
解析：本题考查点是SET协议、SSL协议与CA系统的关系。SSL协议(Security Socket Layer，安全套接层协议)是Netscape公司提出的基于Web应用的安全协议。SSL协议提供了机密性、完整性和认证性3种基本的安全服务。机密性通过客户机和服务器之间经密码算法和密钥协商而建立的安全通道来实现。完整性利用密码算法和HASH函数来实现。而认证性则需要利用证书技术和可信的第三方CA认证中心的支持，让客户机和服务器可以相互识别对方的身份，以此保证对方身份的合法性。SET协议(Secure Electronic Transaction，安全电子交易协议)是一种应用在Internet上、以信用卡为基础的电子付款系统规范。SET协议涉及的当事人包括持卡人、发卡机构、商家、银行以及支付网关。应用SET协议进行网上购物活动的购物流程与现实的购物流程很相似，在网络上交易操作的各个环节中，为了确保对方身份的真实性，持卡人、商家、支付网关等都需要通过CA认证中心来验证其身份。从认证机制来看，SET和SSL都需要CA系统的支持。SET协议的安全性较高，所有参与SET交易的成员，包括持卡人、商家、支付网关等都必须先申请数字证书，以便识别身份；而在SSL协议中只有商家的服务器需要认证，客户端认证则是有选择性的。

正确答案：C
解析：Web站点与浏览器之间的安全通信是借助于安全套接层(Secure SocketsLayer，SSL)完成的。在SSL工作步骤中，是由浏览器产生会话密钥，并用Web服务器的公钥加密传给Web服务器。

正确答案：A
解析：SET已经成为事实上的工业标准，并获得了IETF标准的认可，SET认证可以通过第三方CA安全认证中心认证，SSL是Netscape设计的 一种用于保护传输层安全的开放协议，它在应用层协议和低层的TCP/IP之间提供数据安全，为TCP/IP连接提供数据加密、服务器认证、消息完 整 性和可选的客户机认证。

正确答案：A
解析：本题考查点是SET协议、SSL协议与CA系统的关系。从认证机制来看， SET和SSL都需要CA系统的支持。SET协议的安全性较高，所有参与SET交易的成员，包括持卡人、商家、支付网关等都必须先申请数字证书，以便识别身份；而在SSL协议中只有商家的服务器需要认证，客户端认证则是有选择性的。

正确答案：B
解析：对于选项A，客户机的TCP层与Web服务器的TCP443端口建立一条SSL连接，用于传递SSL处理后的数据。此时这条SSL连接与一个对应的SSL会话是点对点的关系。对于选项B，由于SSL协议必须支持服务器端的认证，可通过客户端对服务器端的数字证书认证来完成此功能，而对客户端的认证是作为一个可选项，因此选项B的说法不完全正确。对于选项C，可通过SSL握手协议创建一个SSL会话，并借助SSL记录协议层的链路协商加密密钥，并用此密钥来加密HTTP请求。SSL记录协议为SSL连接提供保密性和报文完整性两种安全服务。对于选项D，通常将SSL-VPN设备设置在Internet和内部LAN的边界DMZ上。当使用具有SSL功能的浏览器访问公司内部Web服务器时，客户端Web浏览器的SSL协议会对这一请求分组进行加密，加密后IP分组将通过各地路由器转发到目标SSL-VPN设备上。SSL-VPN设备先对接收的IP分组进行解密，然后作为客户的代理向公司内部的Web服务器递交服务请求。当’Web服务器处理完服务请求向客户返回响应信息时，SSL-VPN设备将对Web服务器传来的响应信息进行加密，加密后响应分组将通过各地路由器转发到客户端上。客户端Web浏览器的SSL协议将对这一响应分组进行解密，然后将解密后响应信息递交给应用层进行相应处理。

正确答案：(1)答“公钥”或“非对称”均给分 (2)X.509 (3)答“第三方证书颁发机构(CA)”或“证书认证机构”均给分
(1)答“公钥”或“非对称”均给分 (2)X.509 (3)答“第三方证书颁发机构(CA)”或“证书认证机构”均给分 解析：Internet的会话层(Sockets Layer)上的安全会话层(Secure Sockets Layer)协议采用TCP作为传输协议提供数据的可靠传送和接收服务，可为上层的应用，如TeInet、FTP和HTTP提供安全业务。SSL协议主要由SSL记录层协议和SSL握手协议组成，后者用于SSL连接协商安全参数，其中主要用到的是公钥密码算法，如RSA、DH等。
SSL协议已经得到广泛的应用，尤其是各主流的Web服务器软件和浏览器软件都捆绑了SSL协议的实现。微软的IIS Web服务器软件为配置SSL协议提供了图形化的配置界面，在实际的配置过程中，管理员首先需要为IIS申请数字证书，数字证书是由证书认证机构(CA)签发的，其格式遵循X.509标准，目前，数字证书中的数字签名主要用的是RSA公钥密码算法。
SSL协议首先支持的是服务器端的认证，主要是通过客户端对服务器端的数字证书进行认证完成，而对客户端的认证作为一个可选项，在实际应用的过程中，管理员根据特定的应用环境来选择合适的方式。在IIS中配置SSL协议，如果选择“要求安全通道 (SSL)”复选框，那么Web服务器只提供HTTPS服务(默认TCP的443号端口)，否则， Web服务器同时提供HTTPS和HTTP服务；另外，“忽略客户证书”、“接收客户证书”与“要求客户证书”3个选项是有区别的，“忽略客户证书”是指服务器端不向客户端发送请求客户端证书的消息；“接收客户证书”，是指服务器端向客户端发送请求客户端证书的消息，但不要求客户端必须提供证书，也就是说，服务器端可以容忍客户不具备证书的情况；“要求客户证书”是指服务器端向客户端发送请求客户端证书的消息，并强制要求客户端必须提供证书，否则，通信将中断。
IIS Web服务器在验证客户端提供的数字证书时，可以使用证书信任列表这种方法，预先在服务器端配置一个受信任客户端证书的集合。在SSL握手协议的工作过程中，服务器端接收到客户端证书时，首先检杳证书信任列表是否已经包含该证书，如果是，直接通过该客户端证书的验证，否则，需要按照标准的证书验证流程来操作(签名验证、有效期、证书状态检查等)。
SSL协议本身对密码算法的选择是灵活的，SSL协议发展到现在，已经定义了很多密码算法组合，有的密码算法组合安全性弱一些，有的密码算法组合安全性高一些，这个过程也受到很多因素的影响，比如新算法的发明、密码算法出口限制等。在IIS中配置SSL协议，选择“要求128位加密”复选框意味着服务器端仅支持安全性较高的密码算法组合，这样可以提高SSL通信的安全性。

答案：D

答案：C

解析：