SSL、TLS、IPSec、Telnet、SSH、SET 等
② 小区里的无线网络一般都设什么安全协议
WEP协议,其全称为Wired Equivalent Protocol(有线等效协议)。它是为了保证802.11b协议数据传输的安全性而推出的安全协议。该协议可以通过对传输的数据进行加密,这样可以保证无线局域网中数据传输的安全性。目前,在市场上一般的无线网络产品支持64/128甚至256位WEP加密。在无线网络中要体现此项协议,即要在无线路由器及每个无线客户端启用WEP,并输入该密钥,这样就可以保证安全连接。
随着无线通信技术的日益成熟,无线通信产品价格一降再降,无线局域网也逐步走进千家万户。但无线网络的安全问题同时也令人担忧,毕竟在无线信号覆盖范围内,一些“心怀不测”人也有机会接入,甚至偷窥、篡改和破坏用户的重要数据文件,那如何保证无线网络的安全呢?无线加密协议(WEP和WPA)的应用就是一套行之有效的方法。
WEP,让无线网络更安全
在基IEEE 802.11b/g网络标准的无线局域网中,为了增强网络安全,WEP加密协议被普通家庭用户广泛使用。WEP(Wireless Equivalent Privacy)中文全称“无线等效协议”,它使用RC4加密算法,拥有“开放系统和共享密匙”两种身份验证方式,此外,WEP提供的密匙长度也有64位、128位和152位之分,密匙越长,安全性越高。
应用WEP加密协议
在无线网络中应用WEP加密协议非常简单,下面笔者以“TL-WR541G”无线路由器为例,进行详细介绍。
使用客户机的IE浏览器登录到无线路由器管理界面后,依次展开“无线设置/基本设置”,在基本设置窗口中,先要选中“开启安全设置”选项。然后在“安全类型”下拉框中选择“WEP”,接着进行身份验证方式选择,它提供了“自动选择、开放系统和共享密匙”三种方式,为确保安全,建议选择“共享密匙”。
下面设置密匙的长度,它提供了64位、128位和152位,当然密匙长度越长越安全,这里要根据安全需要进行选择,然后在“密匙”框中设置好WEP加密密匙,最后点击“保存”按钮,重新启动无线路由器就完成了WEP加密协议的设置。
修改客户端
在无线网络中应用了WEP加密协议后,这时就必须修改客户端的无线网络参数设置才行,否则就不能接入无线网络,笔者以Windows XP系统的“无线零配置”服务为例。右键单击无线网卡图标,选择“状态”,然后点击“属性”,切换到“无线网络配置”标签页,在“首选网络”框中找到无线网络项目,点击“属性”,切换到“关联”标签页。下面在“网络验证”框中选择“共享式”,“数据加密”框中选择“WEP”,接着在“网络密匙”栏中输入你的WEP密匙,最后点击“确定”按钮即可,就能重新接入无线网络。
虽然WEP加密协议可以保证一般家庭用户的无线安全,但它也有不足,WEP的密钥固定,初始向量仅为24位,算法强度并不强,可以使用WEPCrack、AirSnort工具进行破解,因此对于安全性能要求更高的家庭用户存在一定的隐患,而WPA加密协议的应用,恰好解决这个难题。
WPA,打造无线网络铜墙铁壁
由于WEP存在一定的安全隐患,因此有些家庭用户改用安全性更高的WPA协议。WPA(Wi-Fi Protected Access)全称“无线保护接入”,它改变了密钥的生成方式,加强了密钥的生成算法,采用更频繁地变换密钥方式来获得更高的安全,因此WPA加密就有效的解决了WEP加密应用中的不足。对于家庭用户,采用WPA协议的简化版(WPA-PSK)即可,并且它操作简单,安全性也高,只要一个独立的无线路由器或无线AP即可实现。
应用WPA-PSK加密
在无线路由器的“基本设置”窗口的“安全类型”框中选择“WPA-PSK/WPA2-PSK”,然后设置“安全选项”,它提供了“自动选择、WPA-PSK和WPA2-PSK”三种方式,笔者选择“WPA-PSK”;接着设置加密方法,有“TKIP、AES”两种,笔者选择“TKIP”;下面要设置“PSK密码”,注意,该密码最短为8个字符,完成密码设置后,点击“保存”按钮,重新启动无线路由器。这样就完成了WPA-PSK的设置。
修改客户端
无线网络应用了WPA-PSK加密协议后,当然也要修改客户端设置。在“无线网络配置”标签页的“首选网络”框中选中无线网络项目,点击“属性”,切换到“关联”标签页,在“网络验证”栏中选择“WPA-PSK”,接着将“数据加密”项目修改为“TKIP”,然后在“网络密匙”栏中两次输入你的PSK密码,最后点击“确定”按钮,这样客户机就能重新接入无线网络了。
在你的无线网络中是使用WEP还是WPA加密协议要根据你对网络安全性的要求而定,对于一般的家庭用户,使用WEP协议即可,如果你对网络安全性有特殊的要求,当然要使用WPA协议了
③ 网络安全传输协议都有那些具体意义是什么
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
④ 网络安全中,ARP协议是什么
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
⑤ 网络安全协议的介绍
网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。
⑥ 各网络层安全协议有哪些
应用层
·DHCP(动态主机分配协议)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件传输协议
· Gopher (英文原义:The Internet Gopher Protocol 中文释义:(RFC-1436)网际Gopher协议)
· HTTP (Hypertext Transfer Protocol)超文本传输协议
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息访问协议的第4版本
· IRC (Internet Relay Chat )网络聊天协议
· NNTP (Network News Transport Protocol)RFC-977)网络新闻传输协议
· XMPP 可扩展消息处理现场协议
· POP3 (Post Office Protocol 3)即邮局协议的第3个版本
· SIP 信令控制协议
· SMTP (Simple Mail Transfer Protocol)即简单邮件传输协议
· SNMP (Simple Network Management Protocol,简单网络管理协议)
· SSH (Secure Shell)安全外壳协议
· TELNET 远程登录协议
· RPC (Remote Procere Call Protocol)(RFC-1831)远程过程调用协议
· RTCP (RTP Control Protocol)RTP 控制协议
· RTSP (Real Time Streaming Protocol)实时流传输协议
· TLS (Transport Layer Security Protocol)安全传输层协议
· SDP( Session Description Protocol)会话描述协议
· SOAP (Simple Object Access Protocol)简单对象访问协议
· GTP 通用数据传输平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议
· NTP (Network Time Protocol)网络校时协议
传输层
·TCP(Transmission Control Protocol)传输控制协议
· UDP (User Datagram Protocol)用户数据报协议
· DCCP (Datagram Congestion Control Protocol)数据报拥塞控制协议
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制传输协议
· RTP(Real-time Transport Protocol或简写RTP)实时传送协议
· RSVP (Resource ReSer Vation Protocol)资源预留协议
· PPTP ( Point to Point Tunneling Protocol)点对点隧道协议
网络层
IP(IPv4 · IPv6) Internet Protocol(网络之间互连的协议)
ARP : Address Resolution Protocol即地址解析协议,实现通过IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址转换协议允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
ICMPv6:
IGMP :Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议,用于IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
RIP : 路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
OSPF :(Open Shortest Path First开放式最短路径优先).
BGP :(Border Gateway Protocol )边界网关协议,用来连接Internet上独立系统的路由选择协议
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中间系统到中间系统的路由选择协议.
IPsec:“Internet 协议安全性”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
数据链路层
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌环 · 以太网 · FDDI · 帧中继 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
⑦ 如何学习网络安全知识
首先,必须(时刻)意识到你是在学习一门可以说是最难的课程,是网络专业领域的顶尖课程,不是什么人、随随便便就能学好的。不然,大家都是黑客,也就没有黑客和网络安全的概念了。
很多朋友抱着学一门课程、读好一本书就可以掌握网络安全的知识和技能。不幸的是,网络安全技术决不是几本书、几个月就可以速成的。你需要参考大量的参考书。
另一方面,在学校接受的传统教育观念使我们习惯由老师来指定教材、参考书。遗憾的是走向了社会,走到工作岗位,没有人给你指定解决这个安全问题需要什么参考书,你得自己研究,自己解决问题。
网络安全涉及的知识面广、术语多、理论知识多。正给学习这门课程带来很多困难。也需要我们投入比其它课程多的时间和精力来学习它。
概括来说,网络安全课程的主要内容包括:
l 安全基本知识
l 应用加密学
l 协议层安全
l Windows安全(攻击与防御)
l Unix/Linux安全(攻击与防御)
l 防火墙技术
l 入侵监测系统
l 审计和日志分析
下面分别对每部分知识介绍相应的具体内容和一些参考书(正像前面提到的那样,有时间、有条件的话,这些书都应该看至少一遍)。
一、安全基本知识
这部分的学习过程相对容易些,可以花相对较少的时间来完成。这部分的内容包括:安全的概念和定义、常见的安全标准等。
大部分关于网络安全基础的书籍都会有这部分内容的介绍。
下面推荐一些和这部分有关的参考书:
l 《CIW:安全专家全息教程》 魏巍 等译,电子工业出版社
l 《计算机系统安全》 曹天杰,高等教育出版社
l 《计算机网络安全导论》 龚俭,东南大学出版社
二、应用加密学
加密学是现代计算机(网络)安全的基础,没有加密技术,任何网络安全都是一纸空谈。
加密技术的应用决不简单地停留在对数据的加密、解密上。密码学除了可以实现数据保密性外、它还可以完成数据完整性校验、用户身份认证、数字签名等功能。
以加密学为基础的PKI(公钥基础设施)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。
可以说,加密学的应用贯穿了整个网络安全的学习过程中。因为之前大多数人没有接触过在这方面的内容,这是个弱项、软肋,所以需要花费比其它部分更多的时间和精力来学习。也需要参考更多的参考书。
下面推荐一些和这部分有关的参考书:
l 《密码学》 宋震,万水出版社
l 《密码工程实践指南》 冯登国 等译,清华大学出版社
l 《秘密学导引》 吴世忠 等译,机械工业(这本书内容较深,不必完全阅读,可作为参考)
三、协议层安全
系统学习TCP/IP方面的知识有很多原因。要适当地实施防火墙过滤,安全管理员必须对于TCP/IP的IP层和TCP/UDP层有很深的理解、黑客经常使用TCP/IP堆栈中一部分区或来破坏网络安全等。所以你也必须清楚地了解这些内容。
协议层安全主要涉及和TCP/IP分层模型有关的内容,包括常见协议的工作原理和特点、缺陷、保护或替代措施等等。
下面推荐一些和这部分有关的参考书(经典书籍、不可不看):
l 《TCP/IP详解 卷1:协议》 范建华 等译,机械工业出版社
l 《用TCP/IP进行网际互联 第一卷原理、协议与结构》 林瑶 等译,电子工业出版社
四、Windows安全(攻击与防御)
因为微软的Windows NT操作系统已被广泛应用,所以它们更容易成为被攻击的目标。
对于Windows安全的学习,其实就是对Windows系统攻击与防御技术的学习。而Windows系统安全的学习内容将包括:用户和组、文件系统、策略、系统默认值、审计以及操作系统本身的漏洞的研究。
这部分的参考书较多,实际上任何一本和Windows攻防有关系的书均可。下面推荐一些和这部分有关的参考书:
l 《黑客攻防实战入门》 邓吉,电子工业出版社
l 《黑客大曝光》 杨继张 等译,清华大学出版社
l 《狙击黑客》 宋震 等译,电子工业出版社
五、Unix/Linux安全(攻击与防御)
随着Linux的市占率越来越高,Linux系统、服务器也被部署得越来越广泛。Unix/Linux系统的安全问题也越来越凸现出来。作为一个网络安全工作者,Linux安全绝对占有网络安全一半的重要性。但是相对Windows系统,普通用户接触到Linux系统的机会不多。Unix/Linux系统本身的学习也是他们必须饿补的一课!
下面是推荐的一套Linux系统管理的参考书。
l 《Red Hat Linux 9桌面应用》 梁如军,机械工业出版社(和网络安全关系不大,可作为参考)
l 《Red Hat Linux 9系统管理》 金洁珩,机械工业出版社
l 《Red Hat Linux 9网络服务》 梁如军,机械工业出版社
除了Unix/Linux系统管理相关的参考书外,这里还给出两本和安全相关的书籍。
l 《Red Hat Linux安全与优化》 邓少鹍,万水出版社
l 《Unix 黑客大曝光》 王一川 译,清华大学出版社
六、防火墙技术
防火墙技术是网络安全中的重要元素,是外网与内网进行通信时的一道屏障,一个哨岗。除了应该深刻理解防火墙技术的种类、工作原理之外,作为一个网络安全的管理人员还应该熟悉各种常见的防火墙的配置、维护。
至少应该了解以下防火墙的简单配置。
l 常见的各种个人防火墙软件的使用
l 基于ACL的包过滤防火墙配置(如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等)
l 基于Linux操作系统的防火墙配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火墙配置
l 基于Windows、Unix、Cisco路由器的VPN配置
下面推荐一些和这部分有关的参考书:
l 《
网络安全与防火墙技术
》 楚狂,人民邮电出版社
l 《Linux防火墙》
余青霓
译,人民邮电出版社
l 《高级防火墙ISA Server 2000》 李静安,中国铁道出版社
l 《Cisco访问表配置指南》 前导工作室 译,机械工业出版社
l 《Check Point NG安全管理》
王东霞
译,机械工业出版社
l 《虚拟专用网(VPN)精解》 王达,清华大学出版社
七、入侵监测系统(IDS)
防火墙不能对所有应用层的数据包进行分析,会成为网络数据通讯的瓶颈。既便是代理型防火墙也不能检查所有应用层的数据包。
入侵检测是防火墙的合理补充,它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。可以说入侵检测是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
⑧ 无线网络协议有哪些
802.11a
高速WLAN协议,使用5G赫兹频段。最高速率54Mbps,实际使用速率约为22-26Mbps。与802.11b不兼容,是其最大的缺点。
802.11b
目前最流行的WLAN协议,使用2.4G赫兹频段。最高速率11Mbps,实际使用速率根据距离和信号强度可变 (150米内1-2Mbps,50米内可达到11Mbps)。802.11b的较低速率使得无线数据网的使用成本能够被大众接受。另外,通过统一的认证机构认证所有厂商的产品,802.11b设备之间的兼容性得到了保证。兼容性促进了竞争和用户接受程度。
802.11e
基于WLAN的QoS协议,通过该协议802.11a,b,g能够进行VoIP。也就是说,802.11e是通过无线数据网实现语音通话功能的协议。该协议将是无线数据网与传统移动通信网络进行竞争的强有力武器。
802.11g
802.11g是802.11b在同一频段上的扩展。支持达到54Mbps的最高速率。兼容802.11b。该标准已经战胜了802.11a成为下一步无线数据网的标准。
802.11h
802.11h是802.11a的扩展,目的是兼容其他5G赫兹频段的标准,如欧盟使用的HyperLAN2。
802.11i
802.11i是新的无线数据网安全协议,已经普及的WEP协议中的漏洞,将成为无线数据网络的一个安全隐患。802.11i提出了新的TKIP协议解决该安全问题。
⑨ 网络安全协议的分类
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。 未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。2014年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时:
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;
从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;
利用RAID5等数据存储技术加强数据备份和恢复措施;
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
对在公共网络上传输的敏感信息要进行强度的数据加密;
安装防病毒软件,加强内部网的整体防病毒措施;
建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。 当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
信息保密性
交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
电子商务交易中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施,包括:
部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
二十世纪90年代以来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
主要的协议标准有:
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。 虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
随着现代密码学的应用,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E?mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现代密码学一些专用密钥加密算法(如3DES、IDEA、RC4和RC5)和公钥加密算法(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。世界各国提出了多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。一个法国的研究生和两个美国柏克莱大学的研究生破译了一个SSL的密钥,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。
电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
电子商务安全认证中心(CA)的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于B?C电子商务模式的层次性结构。
由于B?B电子商务模式的发展,要求CA的支付接口能够兼容支持B?B与B?C的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
二十世纪以来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:
由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
⑩ ip层网络有哪些安全协议急!
IP协议位于网络层。
该层主要包含以下主要协议:
IP,
ICMP,OSPF,BGP,IGMP,ARP,RARP
这些协议没有一个和安全有关的