1. 簡要說明什麼是網路協議,列出5種常用的
網路協議為計算機網路中進行數據交換而建立的規則、標准或約定的集合。
1、TCP/IP協議:是指能夠在多個不同網路間實現信息傳輸的協議簇。TCP/IP協議不僅僅指的是TCP和IP兩個協議,而是指一個由FTP、SMTP、TCP、UDP、IP等協議構成的協議簇
2、NetBEUI:NetBEUI協議是一種短小盯哪精悍、通信效率高的廣播型協議,安裝後不需要進行設置,特別適合於在「網路鄰居」傳送數據。
3、SMTP協議:SMTP是一種提供可靠且有效的電子郵件傳輸的協議。SMTP是建立在FTP文件傳輸服務上的一種郵件服務,主要用於系統之間的郵件信息傳遞,並提供有關來信的通知碰念。
4、AMF:是Flash與服務端通信的一種常見的二進制編碼模式,其傳輸效率高,可以在HTTP層面上傳輸。
5、http:是一個簡單的請求-響應協議,運行在TCP之上。它指定了客戶端可能發送給伺服器什麼樣的消息以及得到什麼樣的響應。請求和響應消息的頭以ASCII碼形式給出;而笑則困消息內容則具有一個類似MIME的格式。
2. ssl協議屬於網路什麼的標准協議
SSL是一種網路安全協議。
SSL(Secure Sockets Layer)及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信改枝吵提供安全及數據完整性的一搭螞種安全協議。TLS與SSL在傳輸層對網路連接進行加密。
SSL為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密技術,可確保數據在網路上之傳輸過程中不會被截取及竊聽。一般通用之規格為40 bit之安全標核侍准,美國則已推出128 bit之更高安全標准,但限制出境。
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
3. 網路安全基礎
網路安全通信所需要的基本屬性:
1. 機密性
2. 消息完整性
3. 可訪問與可用性
4. 身份認證
1. 竊聽
2. 插入
3. 假冒
4. 劫持
5. 拒絕服務DoS和分布式拒絕服務DDoS
6. 映射
7. 嗅探
8. IP欺騙
數據加密
明文:未被加密的消息
脊隱 密文:被加密的消息
加密:偽裝消息以隱藏消息的過程,即 明文 密文 的過程.
解密: 密文 明文 的過程
1. 替代密碼 :用密文字母替代明文字母。
移位密碼加密函數:
:加密過程
:明文信息
:密鑰,表示移幾位
:如果是26個字母,那q就是26
解密函數:
:解密過程
:密文
:密鑰
2. 換位密碼 :根據一定規則重新排列明文。
【 例題 】如果對明文「bob.i love you. Alice",利用k=3的凱撒密碼加密,得到的密文是什麼?利用密鑰 "nice" 進行列置換加密後得到的密文是什麼?
【 答案 】 凱撒密碼 加密後得到的密文是:
"ere l oryh brx Dolfh"
列置換密碼 加密後得到的密文是:
iex bvu bly ooo"
【 解析 】 凱撒密碼 :
以明文字母b為例,M=2(b的位置為2),k=3,q=26,則:
密文 ,對應字母e,故b經過加密轉為了e
將明文全部替換後得到的密文 "ere l oryh brx Dolfh"
列置換密碼:
密鑰 "nice" 字母表先後順序為 "4,3,1,2" ,因此,按這個順序讀出表中字母,構成密文:"iex bvu bly ooo",(密鑰有幾位就有幾列,如果明文不夠就補x,然後按列讀取)
1. 對稱密鑰 密碼:加密秘鑰和解密秘鑰相同( ),例如用一個鎖將箱子鎖起來,這個鎖有2把相同的鑰匙,鎖好之後把另一把鑰匙派人送給他。
2. 對稱密鑰密碼 分類 :
分組密碼:DES、AES、IDEA等。(分組處理)
1) (數據加密標准):56位密鑰,64位分組。(56位二進制數,每位的取值是0或1,則所有的取值就是 個)
2) :使用 兩個秘鑰 (共 112位 ),執行三次DES演算法。(用1個密鑰櫻告廳執行一次加密,再用另一個密鑰執行一次解密,共執行三次)
3) (高級加密演算法):分組128位,密鑰 128/192/256 位。
4)IDEA:分組64位,密鑰 128 位。
流密碼(挨個處理)
1. 非對稱密鑰 密碼:加密密鑰和解密密鑰不同, ,其中一個用於加密,另一個用於解密。( 私鑰 :持有人所有 公鑰 :公開的)
2. 加密密鑰可以公開,也稱公開密鑰加密。
3. 典型的公鑰演算法:
Diffie-Hellman演算法
RSA演算法
密碼散列函數
1. 特性:
定長輸出;
單向性(無法根據散列值逆推報文)
抗碰撞性(無法找到具有相同散列值的兩個報文)
2. 典型的散列函數
MD5:128位散列值
SHA-1:160位散列值
報文認證是使消息的接收者能夠檢驗收到的消息是否是真實的認證方法。來源真實,未被篡改。
1. 報文摘要(數字指紋)
2. 報文認證方法
簡單報文驗證:僅使用報文友梁摘要,無法驗證來源真實性
報文認證碼:使用共享認證密匙,但無法防止接收方篡改
身份認證、數據完整性、不可否認性
1. 簡單數字簽名:直接對報文簽名
2. 簽名報文摘要
1. 口令:會被竊聽
2. 加密口令:可能遭受回放/重放攻擊
加密的口令可能會被截獲,雖然不知道口令是什麼,但他將加密口令提交給伺服器,說這是我加密的口令,這叫重放.
3. 加密一次性隨機數:可能遭受中間人攻擊
Alice發給Bob說她是Alice,但Bob說你要向我證明,Bob生成一個隨機數發給Alice,讓Alice用自己的私鑰進行加密,加密後再把數據發給Bob,然後Bob再向Alice要公鑰進行解密解出來的隨機數如果和Bob發給Alice的隨機數一樣的話,那就說明她是Alice。
這種方法會被中間人攻擊,Alice發送的私鑰加密被Trudy更換為自己用私鑰加密的數據然後發給Bob,公鑰也被Trudy換了,最後Bob用公鑰加密數據發給Alice,Trudy截獲了,用自己的私鑰進行解密,獲得了數據。
密鑰分發存在漏洞:主要在密鑰的分發和對公鑰的認證環節,這需要密匙分發中心與證書認證機構解決
雙方通信時需要協商一個密鑰,然後進行加密,每次通信都要協商一個密鑰,防止密鑰被人截獲後重復使用,所以密鑰每次都要更換,這就涉及到密鑰分發問題。
基於 KDC 的秘鑰生成和分發
認證中心CA:將公鑰與特定的實體綁定
1. 證實一個實體的真實身份;
2. 為實體頒發 數字證書 (實體身份和 公鑰 綁定)。
防火牆 :能夠隔離組織內部網路與公共互聯網,允許某些分組通過,而阻止其它分組進入或離開內部網路的軟體、硬體或者軟硬體結合的一種設施。
前提 :從外部到內部和從內部到外部的所有流量都經過防火牆
1. 無狀態分組過濾器
基於特定規則對分組是通過還是丟棄進行決策,如使用 實現防火牆規則。
2. 有狀態分組過濾器
跟蹤每個TCP連接建立、拆除,根據狀態確定是否允許分組通過。
3. 應用網關
鑒別 用戶身份 或針對 授權用戶 開放 特定服務 。
入侵檢測系統(IDS):當觀察到潛在的惡意流量時,能夠產生警告的設備或系統。
1. 電子郵件安全需求
1)機密性
2)完整性
3)身份認證性
4)抗抵賴性
2. 安全電子郵件標准:
1. SSL是介於 和 之間的安全協議.
2. SSL協議棧
(傳統的TCP協議是沒有安全協議的,傳輸都是明文,所以在TCP上面設置SSL協議保證安全性)
3. SSL握手過程
協商密碼組,生成秘鑰,伺服器/客戶認證與鑒別。
1. VPN
建立在 上的安全通道,實現遠程用戶、分支機構、業務夥伴等與機構總部網路的安全連接,從而構建針對特定組織機構的專用網路。
關鍵技術 : ,如IPSec。
2. 典型的 網路層安全協議 ——
提供機密性、身份鑒別、數據完整性和防重放攻擊服務。
體系結構: 認證頭AH協議 、 封裝安全載荷ESP協議 。
運行模式: 傳輸模式 (AH傳輸模式、ESP傳輸模式)、 隧道模式 (AH隧道模式、ESP隧道模式)
本文主要介紹了網路安全基本概念、數據加密演算法、消息完整性與數字簽名、身份認證、密鑰分發中心與證書認證機構、防火牆與入侵檢測以及網路安全協議等內容。
回顧:
1. 網路安全基本屬性
2. 典型數據加密演算法;
3. 消息完整性、數字前面以及身份認證原理。
4. 常用的網路協議有哪些
一、OSI模型
名稱 層次 功能
物理層 1 實現計算機系統與網路間的物理連接
數據鏈路層 2 進行數據打包與解包,形成信息幀
網路層 3 提供數據通過的路由
傳輸層 4 提供傳輸順序信息與響應
會話層 5 建立和中止連接
表示層 6 數據轉換、確認數據格式
應用層 7 提供用戶程序介面
二、協議層次
網路中常用協議以及層次關系
1、 進程/應用程的協議
平時最廣泛的協議,這一層的每個協議都由客程序和服務程序兩部分組成。程序通過伺服器與客戶機交互來工作。常見協議有:Telnet、FTP、SMTP、HTTP、DNS等。
2、 主機—主機層協議
建立並且維護連接,用於保證主機間數據傳輸的安全性。這一層主要有兩個協議:
TCP(Transmission Control Protocol:傳輸控制協議;面向連接,可靠傳輸
UDP(User Datagram Protocol):用戶數據報協議;面向無連接,不可靠傳輸
3、 Internet層協議
負責數據的傳輸,在不同網路和系統間尋找路由,分段和重組數據報文,另外還有設備定址。些層包括如下協議:
IP(Internet
Protocol):Internet協議,負責TCP/IP主機間提供數據報服務,進行數據封裝並產生協議頭,TCP與UDP協議的基礎。
ICMP(Internet Control Message
Protocol):Internet控制報文協議。ICMP協議其實是IP協議的的附屬協議,IP協議用它來與其它主機或路由器交換錯誤報文和其它的一些網路情況,在ICMP包中攜帶了控制信息和故障恢復信息。
ARP(Address Resolution Protocol)協議:地址解析協議。
RARP(Reverse Address Resolution Protocol):逆向地址解析協議。
OSI 全稱(Open System Interconnection)網路的OSI七層結構2008年03月28日 星期五
14:18(1)物理層——Physical
這是整個OSI參考模型的最低層,它的任務就是提供網路的物理連接。所以,物理層是建立在物理介質上(而不是邏輯上的協議和會話),它提供的是機械和電氣介面。主要包括電纜、物理埠和附屬設備,如雙絞線、同軸電纜、接線設備(如網卡等)、RJ-45介面、串口和並口等在網路中都是工作在這個層次的。
物理層提供的服務包括:物理連接、物理服務數據單元順序化(接收物理實體收到的比特順序,與發送物理實體所發送的比特順序相同)和數據電路標識。
(2)數據鏈路層——DataLink
數據鏈路層是建立在物理傳輸能力的基礎上,以幀為單位傳輸數據,它的主要任務就是進行數據封裝和數據鏈接的建立。封裝的數據信息中,地址段含有發送節點和接收節點的地址,控制段用來表示數據連接幀的類型,數據段包含實際要傳輸的數據,差錯控制段用來檢測傳輸中幀出現的錯誤。
數據鏈路層可使用的協議有SLIP、PPP、X.25和幀中繼等。常見的集線器和低檔的交換機網路設備都是工作在這個層次上,Modem之類的撥號設備也是。工作在這個層次上的交換機俗稱「第二層交換機」。
具體講,數據鏈路層的功能包括:數據鏈路連接的建立與釋放、構成數據鏈路數據單元、數據鏈路連接的分裂、定界與同步、順序和流量控制和差錯的檢測和恢復等方面。
(3)網路層——Network
網路層屬於OSI中的較高層次了,從它的名字可以看出,它解決的是網路與網路之間,即網際的通信問題,而不是同一網段內部的事。網路層的主要功能即是提供路由,即選擇到達目標主機的最佳路徑,並沿該路徑傳送數據包。除此之外,網路層還要能夠消除網路擁擠,具有流量控制和擁擠控制的能力。網路邊界中的路由器就工作在這個層次上,現在較高檔的交換機也可直接工作在這個層次上,因此它們也提供了路由功能,俗稱「第三層交換機」。
網路層的功能包括:建立和拆除網路連接、路徑選擇和中繼、網路連接多路復用、分段和組塊、服務選擇和流量控制。
(4)傳輸層——Transport
傳輸層解決的是數據在網路之間的傳輸質量問題,它屬於較高層次。傳輸層用於提高網路層服務質量,提供可靠的端到端的數據傳輸,如常說的QoS就是這一層的主要服務。這一層主要涉及的是網路傳輸協議,它提供的是一套網路數據傳輸標准,如TCP協議。
傳輸層的功能包括:映像傳輸地址到網路地址、多路復用與分割、傳輸連接的建立與釋放、分段與重新組裝、組塊與分塊。
根據傳輸層所提供服務的主要性質,傳輸層服務可分為以下三大類:
A類:網路連接具有可接受的差錯率和可接受的故障通知率(網路連接斷開和復位發生的比率),A類服務是可靠的網路服務,一般指虛電路服務。
C類:網路連接具有不可接受的差錯率,C類的服務質量最差,提供數據報服務或無線電分組交換網均屬此類。
B類:網路連接具有可接受的差錯率和不可接受的故障通知率,B類服務介於A類與C類之間,在廣域網和互聯網多是提供B類服務。
網路服務質量的劃分是以用戶要求為依據的。若用戶要求比較高,則一個網路可能歸於C型,反之,則一個網路可能歸於B型甚至A型。例如,對於某個電子郵件系統來說,每周丟失一個分組的網路也許可算作A型;而同一個網路對銀行系統來說則只能算作C型了。
(5)會話層——Senssion
會話層利用傳輸層來提供會話服務,會話可能是一個用戶通過網路登錄到一個主機,或一個正在建立的用於傳輸文件的會話。
會話層的功能主要有:會話連接到傳輸連接的映射、數據傳送、會話連接的恢復和釋放、會話管理、令牌管理和活動管理。
(6)表示層——Presentation
表示層用於數據管理的表示方式,如用於文本文件的ASCII和EBCDIC,用於表示數字的1S或2S補碼表示形式。如果通信雙方用不同的數據表示方法,他們就不能互相理解。表示層就是用於屏蔽這種不同之處。
表示層的功能主要有:數據語法轉換、語法表示、表示連接管理、數據加密和數據壓縮。
(7)應用層——Application
這是OSI參考模型的最高層,它解決的也是最高層次,即程序應用過程中的問題,它直接面對用戶的具體應用。應用層包含用戶應用程序執行通信任務所需要的協議和功能,如電子郵件和文件傳輸等,在這一層中TCP/IP協議中的FTP、SMTP、POP等協議得到了充分應用。
SNMP(Simple Network Management
Protocol,簡單網路管理協議)的前身是簡單網關監控協議(SGMP),用來對通信線路進行管理。隨後,人們對SGMP進行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結構,改進後的協議就是著名的SNMP。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬體平台,因此SNMP受Internet標准網路管理框架的影響也很大。現在SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
SNMP的體系結構是圍繞著以下四個概念和目標進行設計的:保持管理代理(agent)的軟體成本盡可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網路資源;體系結構必須有擴充的餘地;保持SNMP的獨立性,不依賴於具體的計算機、網關和網路傳輸協議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標。
OSPF(Open Shortest Path First開放式最短路徑優先)是一個內部網關協議(Interior Gateway
Protocol,簡稱IGP),用於在單一自治系統(autonomous
system,AS)內決策路由。與RIP相對,OSPF是鏈路狀態路由協議,而RIP是距離向量路由協議。
RIP(Routing information Protocol)是應用較早、使用較普遍的內部網關協議(Interior Gateway
Protocol,簡稱IGP),適用於小型同類網路,是典型的距離向量(distance-vector)協議。文檔見RFC1058、RFC1723。
RIP通過廣播UDP報文來交換路由信息,每30秒發送一次路由信息更新。RIP提供跳躍計數(hop
count)作為尺度來衡量路由距離,跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器,但跳躍計數相同,則RIP認為兩個路由是等距離的。RIP最多支持的跳數為15,即在源和目的網間所要經過的最多路由器的數目為15,跳數16表示不可達
CSMA/CD(Carrier Sense Multiple Access/Collision Detect)
即載波監聽多路訪問/沖突檢測方法
一、基礎篇:
是一種爭用型的介質訪問控制協議。它起源於美國夏威夷大學開發的ALOHA網所採用的爭用型協議,並進行了改進,使之具有比ALOHA協議更高的介質利用率。
CSMA/CD控制方式的優點是:
原理比較簡單,技術上易實現,網路中各工作站處於平等地位 ,不需集中控制,不提供優先順序控制。但在網路負載增大時,發送時間增長,發送效率急劇下降。
CSMA/CD應用在 ISO7層里的數據鏈路層
它的工作原理是: 發送數據前 先監聽信道是否空閑 ,若空閑
則立即發送數據.在發送數據時,邊發送邊繼續監聽.若監聽到沖突,則立即停止發送數據.等待一段隨即時間,再重新嘗試.
二、進階篇:
CSMA/CD控制規程:
控制規程的核心問題:解決在公共通道上以廣播方式傳送數據中可能出現的問題(主要是數據碰撞問題)
控制過程包含四個處理內容:偵聽、發送、檢測、沖突處理
(1) 偵聽:
通過專門的檢測機構,在站點准備發送前先偵聽一下匯流排上是否有數據正在傳送(線路是否忙)?
若「忙」則進入後述的「退避」處理程序,進而進一步反復進行偵聽工作。
若「閑」,則一定演算法原則(「X堅持」演算法)決定如何發送。
(2) 發送:
當確定要發送後,通過發送機構,向匯流排發送數據。
(3) 檢測:
數據發送後,也可能發生數據碰撞。因此,要對數據邊發送,邊接收,以判斷是否沖突了。(參5P127圖)
(4)沖突處理:
當確認發生沖突後,進入沖突處理程序。有兩種沖突情況:
① 偵聽中發現線路忙
② 發送過程中發現數據碰撞
① 若在偵聽中發現線路忙,則等待一個延時後再次偵聽,若仍然忙,則繼續延遲等待,一直到可以發送為止。每次延時的時間不一致,由退避演算法確定延時值。
② 若發送過程中發現數據碰撞,先發送阻塞信息,強化沖突,再進行偵聽工作,以待下次重新發送(方法同①)
面向比特的協議中最有代表性的是IBM的同步數據鏈路控制規程SDLC(Synchronous Data Link Control),國際標准化組織ISO
(International Standards Organization)的高級數據鏈路控制規程HDLC(High Level Data Link
Control),美國國家標准協會(American National Standar ds Institute )的先進數據通信規程ADCCP (
Advanced Data Communications Control
Procere)。這些協議的特點是所傳輸的一幀數據可以是任意位,而且它是靠約定的位組合模式,而不是靠特定字元來標志幀的開始和結束,故稱"面向比特"的協議。
二.幀信息的分段
SDLC/HDLC的一幀信息包括以下幾個場(Field),所有場都是從最低有效位開始傳送。
1. SDLC/HDLC標志字元
SDLC/HDLC協議規定,所有信息傳輸必須以一個標志字元開始,且以同一個字元結束。這個標志字元是01111110,稱標志場(F)。從開始標志到結束標志之間構成一個完整的信息單位,稱為一幀(Frame)。所有的信息是以幀的形式傳輸的,而標志字元提供了每一幀的邊界。接收端可以通過搜索"01111110"來探知幀的開頭和結束,以此建立幀同步。
2.地址場和控制場
在標志場之後,可以有一個地址場A(Address)和一個控制場C(Contro1)。地址場用來規定與之通信的次站的地址。控制場可規定若干個命令。SDLC規定A場和C場的寬度為8位。HDLC則允許A場可為任意長度,C場為8位或16位。接收方必須檢查每個地址位元組的第一位,如果為"0",則後邊跟著另一個地址位元組;若為"1",則該位元組就是最後一個地址位元組。同理,如果控制場第一個位元組的第一位為"0",則還有第二個控制場位元組,否則就只有一個位元組。
3.信息場
跟在控制場之後的是信息場I(Information)。I場包含有要傳送的數據,亦成為數據場。並不是每一幀都必須有信息場。即信息場可以為0,當它為0時,則這一幀主要是控制命令。
4.幀校驗場
緊跟在信息場之後的是兩位元組的幀校驗場,幀校驗場稱為FC(Frame Check)場, 校驗序列FCS(Frame check
Sequence)。SDLC/HDLC均採用16位循環冗餘校驗碼CRC (Cyclic Rendancy
Code),其生成多項式為CCITT多項式X^16+X^12+X^5+1。除了標志場和自動插入的"0"位外,所有的信息都參加CRC計算。
CRC的編碼器在發送碼組時為每一碼組加入冗餘的監督碼位。接收時解碼器可對在糾錯范圍內的錯碼進行糾正,對在校錯范
圍內的錯碼進行校驗,但不能糾正。超出校、糾錯范圍之外的多位錯誤將不可能被校驗發現 。
三.實際應用時的兩個技術問題
1."0"位插入/刪除技術
如上所述,SDLC/HDLC協議規定以01111110為標志位元組,但在信息場中也完全有可能有同一種模式的字元,為了把它與標志區分開來,所以採取了"0"位插入和刪除技術。具體作法是發送端在發送所有信息(除標志位元組外)時,只要遇到連續5個"1",就自動插入一個"0"當接收端在接收數據時(除標志位元組)如果連續接收到5個"1",就自動將其後的一個"0"刪除,以恢復信息的原有形式。這種"0"位的插入和刪除過程是由硬體自動完成的,比上述面向字元的"數據透明"容易實現。
2. SDLC/HDLC異常結束
若在發送過程中出現錯誤,則SDLC/HDLC協議用異常結束(Abort)字元,或稱失效序列使本幀作廢。在HDLC規程中7個連續的"1"被作為失效字元,而在SDLC中失效字元是8個連續的"1"。當然在失效序列中不使用"0"位插入/刪除技術。
SDLC/HDLC協議規定,在一幀之內不允許出現數據間隔。在兩幀信息之間,發送器可以連續輸出標志字元序列,也可以輸出連續的高電平,它被稱為空閑(Idle)信號。
5. 網路安全傳輸協議都有那些具體意義是什麼
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
6. 各網路層安全協議有哪些
應用層
·DHCP(動態主機分配協議)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件傳輸協議
· Gopher (英文原義:The Internet Gopher Protocol 中文釋義:(RFC-1436)網際Gopher協議)
· HTTP (Hypertext Transfer Protocol)超文本傳輸協議
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息訪問協議的第4版本
· IRC (Internet Relay Chat )網路聊天協議
· NNTP (Network News Transport Protocol)RFC-977)網路新聞傳輸協議
· XMPP 可擴展消息處理現場協議
· POP3 (Post Office Protocol 3)即郵局協議的第3個版本
· SIP 信令控制協議
· SMTP (Simple Mail Transfer Protocol)即簡單郵件傳輸協議
· SNMP (Simple Network Management Protocol,簡單網路管理協議)
· SSH (Secure Shell)安全外殼協議
· TELNET 遠程登錄協議
· RPC (Remote Procere Call Protocol)(RFC-1831)遠程過程調用協議
· RTCP (RTP Control Protocol)RTP 控制協議
· RTSP (Real Time Streaming Protocol)實時流傳輸協議
· TLS (Transport Layer Security Protocol)安全傳輸層協議
· SDP( Session Description Protocol)會話描述協議
· SOAP (Simple Object Access Protocol)簡單對象訪問協議
· GTP 通用數據傳輸平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP簡單穿越)是一種網路協議
· NTP (Network Time Protocol)網路校時協議
傳輸層
·TCP(Transmission Control Protocol)傳輸控制協議
· UDP (User Datagram Protocol)用戶數據報協議
· DCCP (Datagram Congestion Control Protocol)數據報擁塞控制協議
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制傳輸協議
· RTP(Real-time Transport Protocol或簡寫RTP)實時傳送協議
· RSVP (Resource ReSer Vation Protocol)資源預留協議
· PPTP ( Point to Point Tunneling Protocol)點對點隧道協議
網路層
IP(IPv4 · IPv6) Internet Protocol(網路之間互連的協議)
ARP : Address Resolution Protocol即地址解析協議,實現通過IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址轉換協議允許區域網的物理機器從網關伺服器的 ARP 表或者緩存上請求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用於在IP主機、路由器之間傳遞控制消息。
ICMPv6:
IGMP :Internet 組管理協議(IGMP)是網際網路協議家族中的一個組播協議,用於IP 主機向任一個直接相鄰的路由器報告他們的組成員情況。
RIP : 路由信息協議(RIP)是一種在網關與主機之間交換路由選擇信息的標准。
OSPF :(Open Shortest Path First開放式最短路徑優先).
BGP :(Border Gateway Protocol )邊界網關協議,用來連接Internet上獨立系統的路由選擇協議
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中間系統到中間系統的路由選擇協議.
IPsec:「Internet 協議安全性」是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網路上進行保密而安全的通訊。
數據鏈路層
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌環 · 乙太網 · FDDI · 幀中繼 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
7. 什麼是網路協議請簡要說明之。請寫出五種常用的網路協議。
網路協議為計算機網路中進行數據交換而建立的規則、標准或約定的集合。
劃分
1、物理層:乙太網、數據機、電力線通信(PLC)、SONET/SDH、G.709、光導纖維、同軸電纜、雙絞線等。
2、數據鏈路層:Wi-Fi(IEEE 802.11)、WiMAX(IEEE 802.16)、ATM、DTM、令牌環、乙太網、FDDI、幀中繼、GPRS、EVDO、HSPA、HDLC、PPP、L2TP、PPTP、ISDN、STP、CSMA/CD等。
3、網路層協議:IP (IPv4、IPv6)、ICMP、ICMPv6、IGMP、IS-IS、IPsec、ARP、RARP、RIP等。
4、傳輸層協議:TCP、UDP、TLS、DCCP、SCTP、RSVP、OSPF等。
5、應用層協議:DHCP、DNS、FTP、Gopher、HTTP、IMAP4、IRC、NNTP、XMPP、POP3、SIP、SMTP、SNMP、SSH、TELNET、RPC、RTCP、RTP、RTSP、SDP、SOAP、GTP、STUN、NTP、SSDP、BGP 等。
(7)什麼是典型的網路安全協議擴展閱讀
網路協議通常由語法,語義和定時關系3部分組成。網路傳輸協議或簡稱為傳送協議(Communications Protocol),計算機通信的共同語言。最普及的計算機通信為網路通信,所以「傳送協議」一般都指計算機通信的傳送協議,如:TCP/IP、NetBEUI等。
然而,傳送協議也存在於計算機的其他形式通信,例如:面向對象編程裡面對象之間的通信;操作系統內不同程序之間的消息,都需要有一個傳送協議,以確保傳信雙方能夠溝通無間。
8. 什麼是網路協議它主要由哪些內容組成
網路協議和內容組成如下:
網路協議的定義:為肢激納計算機網路中進行數據交換而建立的規則、標准或約定的集合,例如,網路中一個微機用戶和一個大型主機的操作員進行通信,由於這兩個數據終肢激納端所用字元集不同,因此操作員所輸入的命令彼此不認識。
為了能進行通信,規定每個終端都要將各自字元集中的字元先變換為標准字元集的字元後,才進入網路傳送,到達目的終端之後,再變換為該終端字元集的字元。當然,對於不相容終端,除了需變換字元集字元外,其他特性,如顯示格式、行長歷沒、行數、屏幕滾動方式等也需作相應的變換。
網路安全協議鉛蔽
計算機通信技術的使用需要以網路安全為基石,網路安全協議通過多層次設計,提升了系統的復雜性和多樣性,從根本上保障歷沒了互聯網系統的穩定性能,創造了良好的網路運營環境,為計算機通信提供了良好的安全屏障,有利於計算機通信的順利進行,同時節省了通信設計成本。
9. 網路安全協議有哪些
問題一:網路安全協議包括什麼 SSL、TLS、IPSec、Telnet、SSH、SET 等
問題二:網路安全協議的分類 計算機網路安全的內容包括:計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。 未進行操作系統相關安全配置不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。未進行CGI程序代碼審計如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。拒絕服務(DoS,Denial of Service)攻擊隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。2014年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。安全產品使用不當雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。缺少嚴格的網路安全管理制度網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。 一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。在實施網路安全防範措施時:首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;利用RAID5等數據存儲技術加強數據備份和恢復措施;對敏感的設備和數據要建立必要的物理或邏輯隔離措施;對在公共網路上傳輸的敏感信息要進行強度的數據加密;安裝防病毒軟體,加強內部網的整體防病毒措施;建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,......>>
問題三:網路安全中,tcp/ip協議的缺陷是哪些 由於自身的缺陷、網路的開放性以及黑客的攻擊是造成互聯網路不安全的主要原因。TCP/IP作為Internet使用的標准協議集,是黑客實施網路攻擊的重點目標。TCP-/IP協議組是目前使用最廣泛的網路互連協議。但TCP/IP協議組本身存在著一些安全性問題。TCP/IP協議是建立在可信的環境之下,首先考慮網路互連缺乏對安全方面的考慮;這種基於地址的協議本身就會泄露口令,而且經常會運行一些無關的程序,這些都是網路本身的缺陷。互連網技術屏蔽了底層網路硬體細節,使得異種網路之間可以互相通信。這就給「黑客」們攻擊網路以可乘之機。由於大量重要的應用程序都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網路帶來嚴重的後果。網路的開放性,TCP/IP協議完全公開,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等等性質使網路更加不安全。
問題四:簡述常用的網路安全通信協議有哪些 多了 網路層:icmp arp等 傳輸層:udp tcp rstp sctp 等 應用層:gtp,,snmp,ftp,telnet, *** tp,ntp等
問題五:網路安全協議的介紹 網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
問題六:什麼是網路安全?常用的網路安全軟體有哪些 網路從外到內: 從光纖---->電腦客戶端
設備依次有: 路由器(可做埠屏蔽,帶寬管理qos,防洪水flood攻擊等)-------防火牆(有普通防火牆和UTM等,可以做網路三層埠管理、IPS(入侵檢測)、IDP(入侵檢測防禦)、安全審計認證、防病毒、防垃圾和病毒郵件、流量監控(QOS)等)--------行為管理器(可做UTM的所有功能、還有一些完全審計,網路記錄等等功能,這個比較強大)--------核心交換機(可以劃分vlan、屏蔽廣播、以及基本的acl列表)
安全的網路連接方式:現在流行的有 MPLS VPN ,SDH專線、VPN等,其中VPN常見的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
問題七:網路安全軟體有哪些 很多,看你什麼方面。
之前的回答裡面都是殺毒軟體,相信一定無法滿足您的回答。
您需要的比如D-D-O-S軟體有Hoic,Loic和Xoic,當然還有效率較低級的國人開發的軟體。
漏洞測試軟體比如GoolagScanner
當然,線上工具也很多,比如Shodan可以尋找到網路上的任何一個存在的東西,包括攝像頭啊,網站的後台伺服器啊,之類的,注冊的話提供詳細物理位置。
OFCORS也有專門用來攻擊的AnonymousOS和魔方滲透系統之類的。
就看你想幹嘛了。至於為什麼圓角符號,這個,如果不用你就看不到了。
問題八:網路安全傳輸協議都有那些?具體意義是什麼? 網路協議即網路中(包括互聯網)傳遞、管理信息的一些規范。如同人與人之間相互交流是需要遵循一定的規矩一樣,計算機之間的相互通信需要共同遵守一定的規則,這些規則就稱為網路協議。
一台計算機只有在遵守網路協議的前提下,才能在網路上與其他計算機進行正常的通信。網路協議通常被分為幾個層次,每層完成自己單獨的功能。通信雙方只有在共同的層次間才能相互聯系。常見的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。在區域網中用得的比較多的是IPX/SPX.。用戶如果訪問Internet,則必須在網路協議中添加TCP/IP協議。
TCP/IP是「tran *** ission Control Protocol/Internet Protocol」的簡寫,中文譯名為傳輸控制協議/互聯網路協議)協議, TCP/IP(傳輸控制協議/網間協議)是一種網路通信協議,它規范了網路上的所有通信設備,尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式。TCP/IP是INTERNET的基礎協議,也是一種電腦數據打包和定址的標准方法。在數據傳送中,可以形象地理解為有兩個信封,TCP和IP就像是信封,要傳遞的信息被劃分成若干段,每一段塞入一個TCP信封,並在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大信封,發送上網。在接受端,一個TCP軟體包收集信封,抽出數據,按發送前的順序還原,並加以校驗,若發現差錯,TCP將會要求重發。因此,TCP/IP在INTERNET中幾乎可以無差錯地傳送數據。 對普通用戶來說,並不需要了解網路協議的整個結構,僅需了解IP的地址格式,即可與世界各地進行網路通信。
IPX/SPX是基於施樂的XEROX』S Network System(XNS)協議,而SPX是基於施樂的XEROX』S SPP(Sequenced Packet Protocol:順序包協議)協議,它們都是由novell公司開發出來應用於區域網的一種高速協議。它和TCP/IP的一個顯著不同就是它不使用ip地址,而是使用網卡的物理地址即(MAC)地址。在實際使用中,它基本不需要什麼設置,裝上就可以使用了。由於其在網路普及初期發揮了巨大的作用,所以得到了很多廠商的支持,包括microsoft等,到現在很多軟體和硬體也均支持這種協議。
NetBEUI即NetBios Enhanced User Interface ,或NetBios增強用戶介面。它是NetBIOS協議的增強版本,曾被許多操作系統採用,例如Windows for Workgroup、Win 9x系列、Windows NT等。NETBEUI協議在許多情形下很有用,是WINDOWS98之前的操作系統的預設協議。總之NetBEUI協議是一種短小精悍、通信效率高的廣播型協議,安裝後不需要進行設置,特別適合於在「網路鄰居」傳送數據。所以建議除了TCP/IP協議之外,區域網的計算機最好也安上NetBEUI協議。另外還有一點要注意,如果一台只裝了TCP/IP協議的WINDOWS98機器要想加入到WINNT域,也必須安裝NetBEUI協議。
WAPI是WLAN Authentication and Privacy Infrastructure的英文縮寫。 它像紅外線、藍牙、GPRS、CDMA1X等協議一樣,是無線傳輸協議的一種,只不過跟它們不同的是它是無線區域網(WLAN)中的一種傳輸協議而已......>>
問題九:網路傳輸協議有哪些 TCP/IP,互聯網傳輸協議。
以下為各種網路傳輸協議列表(後面數字表示應用層協議默認服務埠):
A
ARP (ARP Address Resolution Protocol)
B
BGP (邊緣網關協議 Border Gateway Protocol)
藍牙(Blue Tooth)
BOOTP (Bootstrap Protocol)
D
DHCP(動態主機配置協議 Dynamic Host Configuration Protocol)
DNS(域名服務 Domain Name Service)
DVMRP (Distance-Vector Multicast Routing Protocol)
E
EGP (Exterior Gateway Protocol)
F
FTP (文件傳輸協議 File Transfer Protocol) 21
H
HDLC (高級數據鏈路控制協議 High-level Data Link Control)
HELLO(routing protocol)
HTTP 超文本傳輸協議 80
HTTPS 安全超級文本傳輸協議
I
ICMP (互聯網控制報文協議 Internet Control Message Protocol)
IDRP (InterDomain Routing Protocol)
IEEE 802
IGMP (Internet Group Management Protocol)
IGP (內部網關協議 Interior Gateway Protocol )
IMAP
IP (互聯網協議 Internet Protocol)
IPX
IS-IS(Intermediate System to Intermediate System Protocol)
L
LCP (鏈路控制協議 Link Control Protocol)
LLC (邏輯鏈路控制協議 Logical Link Control)
M
MLD (多播監聽發現協議 Multicast Listener Discovery)
N
NCP (網路控制協議 Network Control Protocol)
NNTP (網路新聞傳輸協議 Network News Transfer Protocol) 119
NTP (Network Time Protocol)
P
PPP (點對點協議 Point-to-Point Protocol)
POP (郵局協議 Post Office Protocol) 110
R
RARP (逆向地址解析協議 Reverse Address Resolution Protocol)
RIP (路由信息協議 Routing Information Protocol)
S
SLIP (串列鏈路連接協議Serial Link Internet Protocol)
SNMP (簡單網路管理協議 Simple Network Management Protocol)
SMTP (簡單郵件傳輸協議 Simple Mail Transport Protocol) 25
SCTP(流控制傳輸協議 Stream Control Tran *** ission Protocol)
T
TCP (傳輸控制協議 Tran *** ission Control Protocol)
TFTP (Trivial File Transfer Protocol)
Telnet (遠程終端協議 remote terminal protocol) 23......>>
問題十:網路安全管理包括什麼內容? 網路安全管理是一個體系的東西,內容很多
網路安全管理大體上分為管理策略和具體的管理內容,管理內容又包括邊界安全管理,內網安全管理等,這里給你一個參考的內容,金牌網管員之網路信息安全管理,你可以了解下:
ean-info/2009/0908/100
同時具體的內容涉及:
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念:
信息安全三元組,標識、認證、責任、授權和隱私的概念,人員角色
安全控制的主要目標:
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊:
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全(PDR模型)
風險評估:
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能:
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒:
防病毒系統的主要技訂、防病毒系統的部署、防病毒技術的發展趨勢
防火牆:
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學:
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術:
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描:
漏洞掃描概述、漏洞掃描的應用
訪問控制:
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份:
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境
10. 電子商務中的安全協議是什麼意思
安全協議是以密碼學為基礎的消息交換協議,其目的是在網路環境中提供各種安全服務。密碼學是網路安全的基礎,但網路安全不能單純依靠安全的密碼演算法。安全協議是網路安全的一個重要組成部分,我們需要通過安全協議進行實體之間的認證、在實體之間安全地分配密鑰或其它各種秘密、確認發送和接收的消息的非否認性等。
安全協議是建立在密碼體制基礎上的一種交互通信協議,它運用密碼演算法和協議邏輯來實現認證和密鑰分配等目標。
安全協議可用於保障計算機網路信息系統中秘密信息的安全傳遞與處理,確保網路用戶能夠安全、方便、透明地使用系統中的密碼資源。安全協議在金融系統、商務系統、政務系統、軍事系統和社會生活中的應用日益普遍,而安全協議的安全性分析驗證仍是一個懸而未決的問題。在實際社會中,有許多不安全的協議曾經被人們作為正確的協議長期使用,如果用於軍事領域的密碼裝備中,則會直接危害到軍事機密的安全性,會造成無可估量的損失。這就需要對安全協議進行充分的分析、驗證,判斷其是否達到預期的安全目標。
網路安全是實現電子商務的基礎,而一個通用性強,安全可靠的網路協議則是實現電子商務安全交易的關鍵技術之一,它也會對電子商務的整體性能產生很大的影響。由美國Netscape公司開發和倡導的SSL協議(Secure Sockets Layer,安全套接層),它是目前安全電子商務交易中使用最多的協議之一,內容主要包括協議簡介、記錄協議、握手協議、協議安全性分析以及應用等。本文在簡單介紹SSL協議特點和流程的基礎上,詳細介紹了SSL協議的應用和配置過程。
1 、SSL協議簡介
SSL作為目前保護Web安全和基於HTTP的電子商務交易安全的事實上的,被許多世界知名廠商的Intranet和Internet網路產品所支持,其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器產品,如IE和Netscape瀏覽器,IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。
SSL採用對稱密碼技術和公開密碼技術相結合,提供了如下三種基本的安全服務:秘密性。SSL客戶機和伺服器之間通過密碼演算法和密鑰的協商,建立起一個安全通道。以後在安全通道中傳輸的所有信息都經過了加密處理,網路中的非法竊聽者所獲取的信息都將是無意義的密文信息。
完整性。SSL利用密碼演算法和hash函數,通過對傳輸信息特徵值的提取來保證信息的完整性,確保要傳輸的信息全部到達目的地,可以避免伺服器和客戶機之間的信息內容受到破壞。
認證性。利用證書技術和可信的第三方CA,可以讓客戶機和伺服器相互識別的對方的身份。為了驗證證書持有者是其合法用戶(而不是冒名用戶),SSL要求證書持有者在握手時相互交換數字證書,通過驗證來保證對方身份的合法性。
SSL協議的實現屬於SOCKET層,處於應用層和傳輸層之間,由SSL記錄協議(SSL RECORD PROTOCOL)和SSL握手協議(SSL HAND-SHAKE PROTOCOL)組成的,其結構如圖1所示:
SSL可分為兩層,一是握手層,二是記錄層。SSL握手協議描述建立安全連接的過程,在客戶和伺服器傳送應用層數據之前,完成諸如加密演算法和會話密鑰的確定,通信雙方的身份驗證等功能;SSL記錄協議則定義了數據傳送的格式,上層數據包括SSL握手協議建立安全連接時所需傳送的數據都通過SSL記錄協議再往下層傳送。這樣,應用層通過SSL協議把數據傳給傳輸層時,已是被加密後的數據,此時TCP/IP協議只需負責將其可靠地傳送到目的地,彌補了 TCP/IP協議安全性較差的弱點。
Netscape公司已經向公眾推出了SSL的參考實現(稱為SSLref)。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP應用提供SSL功能,並且提供部分或全部源代碼。Internet號碼分配當局(IANA)已經為具備SSL功能的應用分配了固定埠號,例如,帶SSL的HTTP(https)被分配以埠號443,帶SSL的SMTP(ssmtp)被分配以埠號465,帶SSL的NNTP (snntp)被分配以埠號563。
微軟推出了SSL版本2的改進版本,叫做PCT(私人通信技術)。SSL和PCT非常類似。它們的主要差別是它們在版本號欄位的最顯著位(The Most Significant Bit)上的取值有所不同:SSL該位取0,PCT該位取1。這樣區分之後,就可以對這兩個協議都給予支持。
1996年4月,IETF授權一個傳輸層安全(TLS)工作組著手制訂一個傳輸層安全協議(TLSP),以便作為標准提案向IESG正式提交。TLSP將會在許多地方酷似SSL。
2 、SSL安全性
目前,幾乎所有操作平台上的WEB瀏覽器(IE、Netscatp)以及流行的Web伺服器(IIS、Netscape Enterprise Server等)都支持SSL協議。因此使得使用該協議便宜且開發成本小。但應用SSL協議存在著不容忽視的缺點:
1. 系統不符合國務院最新頒布的《商用密碼管理條例》中對商用密碼產品不得使用國外密碼演算法的規定,要通過國家密碼管理委員會的審批會遇到相當困難。
2. 系統安全性差。SSL協議的數據安全性其實就是建立在RSA等演算法的安全性上,因此從本質上來講,攻破RSA等演算法就等同於攻破此協議。由於美國政府的出口限制,使得進入我國的實現了SSL的產品(Web瀏覽器和伺服器)均只能提供512比特RSA公鑰、40比特對稱密鑰的加密。目前已有攻破此協議的例子:1995年8月,一個法國學生用上百台工作站和二台小型機攻破了Netscape對外出口版本;另外美國加州兩個大學生找到了一個「陷門」,只用了一台工作站幾分鍾就攻破了Netscape對外出口版本。
但是,一個安全協議除了基於其所採用的加密演算法安全性以外,更為關鍵的是其邏輯嚴密性、完整性、正確性,這也是研究協議安全性的一個重要方面,如果一個安全協議在邏輯上有問題,那麼它的安全性其實是比它所採用的加密演算法的安全性低,很容易被攻破。從目前來看,SSL比較好地解決了這一問題。不過SSL協議的邏輯體現在SSL握手協議上,SSL握手協議本身是一個很復雜的過程,情況也比較多,因此我們並不能保證SSL握手協議在所有的情況下邏輯上都是正確的,所以研究SSL協議的邏輯正確性是一個很有價值的問題。
另外,SSL協議在「重傳攻擊」上,有它獨到的解決辦法。SSL協議為每一次安全連接產生了一個128位長的隨機數——「連接序號」。理論上,攻擊者提前無法預測此連接序號,因此不能對伺服器的請求做出正確的應答。但是計算機產生的隨機數是偽隨機數,它的實際周期要遠比2128小,更為危險的是有規律性,所以說SSL協議並沒有從根本上解決「信息重傳」這種攻擊方法,有效的解決方法是採用「時間戳」。但是這需要解決網路上所有節點的時間同步問題。
總的來講,SSL協議的安全性能是好的,而且隨著SSL協議的不斷改進,更多的安全性能、好的加密演算法被採用,邏輯上的缺陷被彌補,SSL協議的安全性能會不斷加強。
3、 windows 2000中SSL的配置與應用SSL的典型應用主要有兩個方面,一是客戶端,如瀏覽器等;另外一個就是伺服器端,如Web伺服器和應用伺服器等。目前,一些主流瀏覽器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web伺服器都提供了對SSL的支持。要實現瀏覽器(或其他客戶端應用)和Web伺服器(或其他伺服器)之間的安全SSL 信息傳輸,必須在Web伺服器端安裝支持SSL的Web伺服器證書,在瀏覽器端安裝支持SSL的客戶端證書(可選),然後把URL中的「http://」 更換。