1. 简要说明什么是网络协议,列出5种常用的
网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。
1、TCP/IP协议:是指能够在多个不同网络间实现信息传输的协议簇。TCP/IP协议不仅仅指的是TCP和IP两个协议,而是指一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇
2、NetBEUI:NetBEUI协议是一种短小盯哪精悍、通信效率高的广播型协议,安装后不需要进行设置,特别适合于在“网络邻居”传送数据。
3、SMTP协议:SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知碰念。
4、AMF:是Flash与服务端通信的一种常见的二进制编码模式,其传输效率高,可以在HTTP层面上传输。
5、http:是一个简单的请求-响应协议,运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出;而笑则困消息内容则具有一个类似MIME的格式。
2. ssl协议属于网络什么的标准协议
SSL是一种网络安全协议。
SSL(Secure Sockets Layer)及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信改枝吵提供安全及数据完整性的一搭蚂种安全协议。TLS与SSL在传输层对网络连接进行加密。
SSL为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。一般通用之规格为40 bit之安全标核侍准,美国则已推出128 bit之更高安全标准,但限制出境。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
3. 网络安全基础
网络安全通信所需要的基本属性:
1. 机密性
2. 消息完整性
3. 可访问与可用性
4. 身份认证
1. 窃听
2. 插入
3. 假冒
4. 劫持
5. 拒绝服务DoS和分布式拒绝服务DDoS
6. 映射
7. 嗅探
8. IP欺骗
数据加密
明文:未被加密的消息
脊隐 密文:被加密的消息
加密:伪装消息以隐藏消息的过程,即 明文 密文 的过程.
解密: 密文 明文 的过程
1. 替代密码 :用密文字母替代明文字母。
移位密码加密函数:
:加密过程
:明文信息
:密钥,表示移几位
:如果是26个字母,那q就是26
解密函数:
:解密过程
:密文
:密钥
2. 换位密码 :根据一定规则重新排列明文。
【 例题 】如果对明文“bob.i love you. Alice",利用k=3的凯撒密码加密,得到的密文是什么?利用密钥 "nice" 进行列置换加密后得到的密文是什么?
【 答案 】 凯撒密码 加密后得到的密文是:
"ere l oryh brx Dolfh"
列置换密码 加密后得到的密文是:
iex bvu bly ooo"
【 解析 】 凯撒密码 :
以明文字母b为例,M=2(b的位置为2),k=3,q=26,则:
密文 ,对应字母e,故b经过加密转为了e
将明文全部替换后得到的密文 "ere l oryh brx Dolfh"
列置换密码:
密钥 "nice" 字母表先后顺序为 "4,3,1,2" ,因此,按这个顺序读出表中字母,构成密文:"iex bvu bly ooo",(密钥有几位就有几列,如果明文不够就补x,然后按列读取)
1. 对称密钥 密码:加密秘钥和解密秘钥相同( ),例如用一个锁将箱子锁起来,这个锁有2把相同的钥匙,锁好之后把另一把钥匙派人送给他。
2. 对称密钥密码 分类 :
分组密码:DES、AES、IDEA等。(分组处理)
1) (数据加密标准):56位密钥,64位分组。(56位二进制数,每位的取值是0或1,则所有的取值就是 个)
2) :使用 两个秘钥 (共 112位 ),执行三次DES算法。(用1个密钥樱告厅执行一次加密,再用另一个密钥执行一次解密,共执行三次)
3) (高级加密算法):分组128位,密钥 128/192/256 位。
4)IDEA:分组64位,密钥 128 位。
流密码(挨个处理)
1. 非对称密钥 密码:加密密钥和解密密钥不同, ,其中一个用于加密,另一个用于解密。( 私钥 :持有人所有 公钥 :公开的)
2. 加密密钥可以公开,也称公开密钥加密。
3. 典型的公钥算法:
Diffie-Hellman算法
RSA算法
密码散列函数
1. 特性:
定长输出;
单向性(无法根据散列值逆推报文)
抗碰撞性(无法找到具有相同散列值的两个报文)
2. 典型的散列函数
MD5:128位散列值
SHA-1:160位散列值
报文认证是使消息的接收者能够检验收到的消息是否是真实的认证方法。来源真实,未被篡改。
1. 报文摘要(数字指纹)
2. 报文认证方法
简单报文验证:仅使用报文友梁摘要,无法验证来源真实性
报文认证码:使用共享认证密匙,但无法防止接收方篡改
身份认证、数据完整性、不可否认性
1. 简单数字签名:直接对报文签名
2. 签名报文摘要
1. 口令:会被窃听
2. 加密口令:可能遭受回放/重放攻击
加密的口令可能会被截获,虽然不知道口令是什么,但他将加密口令提交给服务器,说这是我加密的口令,这叫重放.
3. 加密一次性随机数:可能遭受中间人攻击
Alice发给Bob说她是Alice,但Bob说你要向我证明,Bob生成一个随机数发给Alice,让Alice用自己的私钥进行加密,加密后再把数据发给Bob,然后Bob再向Alice要公钥进行解密解出来的随机数如果和Bob发给Alice的随机数一样的话,那就说明她是Alice。
这种方法会被中间人攻击,Alice发送的私钥加密被Trudy更换为自己用私钥加密的数据然后发给Bob,公钥也被Trudy换了,最后Bob用公钥加密数据发给Alice,Trudy截获了,用自己的私钥进行解密,获得了数据。
密钥分发存在漏洞:主要在密钥的分发和对公钥的认证环节,这需要密匙分发中心与证书认证机构解决
双方通信时需要协商一个密钥,然后进行加密,每次通信都要协商一个密钥,防止密钥被人截获后重复使用,所以密钥每次都要更换,这就涉及到密钥分发问题。
基于 KDC 的秘钥生成和分发
认证中心CA:将公钥与特定的实体绑定
1. 证实一个实体的真实身份;
2. 为实体颁发 数字证书 (实体身份和 公钥 绑定)。
防火墙 :能够隔离组织内部网络与公共互联网,允许某些分组通过,而阻止其它分组进入或离开内部网络的软件、硬件或者软硬件结合的一种设施。
前提 :从外部到内部和从内部到外部的所有流量都经过防火墙
1. 无状态分组过滤器
基于特定规则对分组是通过还是丢弃进行决策,如使用 实现防火墙规则。
2. 有状态分组过滤器
跟踪每个TCP连接建立、拆除,根据状态确定是否允许分组通过。
3. 应用网关
鉴别 用户身份 或针对 授权用户 开放 特定服务 。
入侵检测系统(IDS):当观察到潜在的恶意流量时,能够产生警告的设备或系统。
1. 电子邮件安全需求
1)机密性
2)完整性
3)身份认证性
4)抗抵赖性
2. 安全电子邮件标准:
1. SSL是介于 和 之间的安全协议.
2. SSL协议栈
(传统的TCP协议是没有安全协议的,传输都是明文,所以在TCP上面设置SSL协议保证安全性)
3. SSL握手过程
协商密码组,生成秘钥,服务器/客户认证与鉴别。
1. VPN
建立在 上的安全通道,实现远程用户、分支机构、业务伙伴等与机构总部网络的安全连接,从而构建针对特定组织机构的专用网络。
关键技术 : ,如IPSec。
2. 典型的 网络层安全协议 ——
提供机密性、身份鉴别、数据完整性和防重放攻击服务。
体系结构: 认证头AH协议 、 封装安全载荷ESP协议 。
运行模式: 传输模式 (AH传输模式、ESP传输模式)、 隧道模式 (AH隧道模式、ESP隧道模式)
本文主要介绍了网络安全基本概念、数据加密算法、消息完整性与数字签名、身份认证、密钥分发中心与证书认证机构、防火墙与入侵检测以及网络安全协议等内容。
回顾:
1. 网络安全基本属性
2. 典型数据加密算法;
3. 消息完整性、数字前面以及身份认证原理。
4. 常用的网络协议有哪些
一、OSI模型
名称 层次 功能
物理层 1 实现计算机系统与网络间的物理连接
数据链路层 2 进行数据打包与解包,形成信息帧
网络层 3 提供数据通过的路由
传输层 4 提供传输顺序信息与响应
会话层 5 建立和中止连接
表示层 6 数据转换、确认数据格式
应用层 7 提供用户程序接口
二、协议层次
网络中常用协议以及层次关系
1、 进程/应用程的协议
平时最广泛的协议,这一层的每个协议都由客程序和服务程序两部分组成。程序通过服务器与客户机交互来工作。常见协议有:Telnet、FTP、SMTP、HTTP、DNS等。
2、 主机—主机层协议
建立并且维护连接,用于保证主机间数据传输的安全性。这一层主要有两个协议:
TCP(Transmission Control Protocol:传输控制协议;面向连接,可靠传输
UDP(User Datagram Protocol):用户数据报协议;面向无连接,不可靠传输
3、 Internet层协议
负责数据的传输,在不同网络和系统间寻找路由,分段和重组数据报文,另外还有设备寻址。些层包括如下协议:
IP(Internet
Protocol):Internet协议,负责TCP/IP主机间提供数据报服务,进行数据封装并产生协议头,TCP与UDP协议的基础。
ICMP(Internet Control Message
Protocol):Internet控制报文协议。ICMP协议其实是IP协议的的附属协议,IP协议用它来与其它主机或路由器交换错误报文和其它的一些网络情况,在ICMP包中携带了控制信息和故障恢复信息。
ARP(Address Resolution Protocol)协议:地址解析协议。
RARP(Reverse Address Resolution Protocol):逆向地址解析协议。
OSI 全称(Open System Interconnection)网络的OSI七层结构2008年03月28日 星期五
14:18(1)物理层——Physical
这是整个OSI参考模型的最低层,它的任务就是提供网络的物理连接。所以,物理层是建立在物理介质上(而不是逻辑上的协议和会话),它提供的是机械和电气接口。主要包括电缆、物理端口和附属设备,如双绞线、同轴电缆、接线设备(如网卡等)、RJ-45接口、串口和并口等在网络中都是工作在这个层次的。
物理层提供的服务包括:物理连接、物理服务数据单元顺序化(接收物理实体收到的比特顺序,与发送物理实体所发送的比特顺序相同)和数据电路标识。
(2)数据链路层——DataLink
数据链路层是建立在物理传输能力的基础上,以帧为单位传输数据,它的主要任务就是进行数据封装和数据链接的建立。封装的数据信息中,地址段含有发送节点和接收节点的地址,控制段用来表示数据连接帧的类型,数据段包含实际要传输的数据,差错控制段用来检测传输中帧出现的错误。
数据链路层可使用的协议有SLIP、PPP、X.25和帧中继等。常见的集线器和低档的交换机网络设备都是工作在这个层次上,Modem之类的拨号设备也是。工作在这个层次上的交换机俗称“第二层交换机”。
具体讲,数据链路层的功能包括:数据链路连接的建立与释放、构成数据链路数据单元、数据链路连接的分裂、定界与同步、顺序和流量控制和差错的检测和恢复等方面。
(3)网络层——Network
网络层属于OSI中的较高层次了,从它的名字可以看出,它解决的是网络与网络之间,即网际的通信问题,而不是同一网段内部的事。网络层的主要功能即是提供路由,即选择到达目标主机的最佳路径,并沿该路径传送数据包。除此之外,网络层还要能够消除网络拥挤,具有流量控制和拥挤控制的能力。网络边界中的路由器就工作在这个层次上,现在较高档的交换机也可直接工作在这个层次上,因此它们也提供了路由功能,俗称“第三层交换机”。
网络层的功能包括:建立和拆除网络连接、路径选择和中继、网络连接多路复用、分段和组块、服务选择和流量控制。
(4)传输层——Transport
传输层解决的是数据在网络之间的传输质量问题,它属于较高层次。传输层用于提高网络层服务质量,提供可靠的端到端的数据传输,如常说的QoS就是这一层的主要服务。这一层主要涉及的是网络传输协议,它提供的是一套网络数据传输标准,如TCP协议。
传输层的功能包括:映像传输地址到网络地址、多路复用与分割、传输连接的建立与释放、分段与重新组装、组块与分块。
根据传输层所提供服务的主要性质,传输层服务可分为以下三大类:
A类:网络连接具有可接受的差错率和可接受的故障通知率(网络连接断开和复位发生的比率),A类服务是可靠的网络服务,一般指虚电路服务。
C类:网络连接具有不可接受的差错率,C类的服务质量最差,提供数据报服务或无线电分组交换网均属此类。
B类:网络连接具有可接受的差错率和不可接受的故障通知率,B类服务介于A类与C类之间,在广域网和互联网多是提供B类服务。
网络服务质量的划分是以用户要求为依据的。若用户要求比较高,则一个网络可能归于C型,反之,则一个网络可能归于B型甚至A型。例如,对于某个电子邮件系统来说,每周丢失一个分组的网络也许可算作A型;而同一个网络对银行系统来说则只能算作C型了。
(5)会话层——Senssion
会话层利用传输层来提供会话服务,会话可能是一个用户通过网络登录到一个主机,或一个正在建立的用于传输文件的会话。
会话层的功能主要有:会话连接到传输连接的映射、数据传送、会话连接的恢复和释放、会话管理、令牌管理和活动管理。
(6)表示层——Presentation
表示层用于数据管理的表示方式,如用于文本文件的ASCII和EBCDIC,用于表示数字的1S或2S补码表示形式。如果通信双方用不同的数据表示方法,他们就不能互相理解。表示层就是用于屏蔽这种不同之处。
表示层的功能主要有:数据语法转换、语法表示、表示连接管理、数据加密和数据压缩。
(7)应用层——Application
这是OSI参考模型的最高层,它解决的也是最高层次,即程序应用过程中的问题,它直接面对用户的具体应用。应用层包含用户应用程序执行通信任务所需要的协议和功能,如电子邮件和文件传输等,在这一层中TCP/IP协议中的FTP、SMTP、POP等协议得到了充分应用。
SNMP(Simple Network Management
Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是着名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
SNMP的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理(agent)的软件成本尽可能低;最大限度地保持远程管理的功能,以便充分利用Internet的网络资源;体系结构必须有扩充的余地;保持SNMP的独立性,不依赖于具体的计算机、网关和网络传输协议。在最近的改进中,又加入了保证SNMP体系本身安全性的目标。
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway
Protocol,简称IGP),用于在单一自治系统(autonomous
system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。
RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway
Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。
RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop
count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多路由器的数目为15,跳数16表示不可达
CSMA/CD(Carrier Sense Multiple Access/Collision Detect)
即载波监听多路访问/冲突检测方法
一、基础篇:
是一种争用型的介质访问控制协议。它起源于美国夏威夷大学开发的ALOHA网所采用的争用型协议,并进行了改进,使之具有比ALOHA协议更高的介质利用率。
CSMA/CD控制方式的优点是:
原理比较简单,技术上易实现,网络中各工作站处于平等地位 ,不需集中控制,不提供优先级控制。但在网络负载增大时,发送时间增长,发送效率急剧下降。
CSMA/CD应用在 ISO7层里的数据链路层
它的工作原理是: 发送数据前 先监听信道是否空闲 ,若空闲
则立即发送数据.在发送数据时,边发送边继续监听.若监听到冲突,则立即停止发送数据.等待一段随即时间,再重新尝试.
二、进阶篇:
CSMA/CD控制规程:
控制规程的核心问题:解决在公共通道上以广播方式传送数据中可能出现的问题(主要是数据碰撞问题)
控制过程包含四个处理内容:侦听、发送、检测、冲突处理
(1) 侦听:
通过专门的检测机构,在站点准备发送前先侦听一下总线上是否有数据正在传送(线路是否忙)?
若“忙”则进入后述的“退避”处理程序,进而进一步反复进行侦听工作。
若“闲”,则一定算法原则(“X坚持”算法)决定如何发送。
(2) 发送:
当确定要发送后,通过发送机构,向总线发送数据。
(3) 检测:
数据发送后,也可能发生数据碰撞。因此,要对数据边发送,边接收,以判断是否冲突了。(参5P127图)
(4)冲突处理:
当确认发生冲突后,进入冲突处理程序。有两种冲突情况:
① 侦听中发现线路忙
② 发送过程中发现数据碰撞
① 若在侦听中发现线路忙,则等待一个延时后再次侦听,若仍然忙,则继续延迟等待,一直到可以发送为止。每次延时的时间不一致,由退避算法确定延时值。
② 若发送过程中发现数据碰撞,先发送阻塞信息,强化冲突,再进行侦听工作,以待下次重新发送(方法同①)
面向比特的协议中最有代表性的是IBM的同步数据链路控制规程SDLC(Synchronous Data Link Control),国际标准化组织ISO
(International Standards Organization)的高级数据链路控制规程HDLC(High Level Data Link
Control),美国国家标准协会(American National Standar ds Institute )的先进数据通信规程ADCCP (
Advanced Data Communications Control
Procere)。这些协议的特点是所传输的一帧数据可以是任意位,而且它是靠约定的位组合模式,而不是靠特定字符来标志帧的开始和结束,故称"面向比特"的协议。
二.帧信息的分段
SDLC/HDLC的一帧信息包括以下几个场(Field),所有场都是从最低有效位开始传送。
1. SDLC/HDLC标志字符
SDLC/HDLC协议规定,所有信息传输必须以一个标志字符开始,且以同一个字符结束。这个标志字符是01111110,称标志场(F)。从开始标志到结束标志之间构成一个完整的信息单位,称为一帧(Frame)。所有的信息是以帧的形式传输的,而标志字符提供了每一帧的边界。接收端可以通过搜索"01111110"来探知帧的开头和结束,以此建立帧同步。
2.地址场和控制场
在标志场之后,可以有一个地址场A(Address)和一个控制场C(Contro1)。地址场用来规定与之通信的次站的地址。控制场可规定若干个命令。SDLC规定A场和C场的宽度为8位。HDLC则允许A场可为任意长度,C场为8位或16位。接收方必须检查每个地址字节的第一位,如果为"0",则后边跟着另一个地址字节;若为"1",则该字节就是最后一个地址字节。同理,如果控制场第一个字节的第一位为"0",则还有第二个控制场字节,否则就只有一个字节。
3.信息场
跟在控制场之后的是信息场I(Information)。I场包含有要传送的数据,亦成为数据场。并不是每一帧都必须有信息场。即信息场可以为0,当它为0时,则这一帧主要是控制命令。
4.帧校验场
紧跟在信息场之后的是两字节的帧校验场,帧校验场称为FC(Frame Check)场, 校验序列FCS(Frame check
Sequence)。SDLC/HDLC均采用16位循环冗余校验码CRC (Cyclic Rendancy
Code),其生成多项式为CCITT多项式X^16+X^12+X^5+1。除了标志场和自动插入的"0"位外,所有的信息都参加CRC计算。
CRC的编码器在发送码组时为每一码组加入冗余的监督码位。接收时译码器可对在纠错范围内的错码进行纠正,对在校错范
围内的错码进行校验,但不能纠正。超出校、纠错范围之外的多位错误将不可能被校验发现 。
三.实际应用时的两个技术问题
1."0"位插入/删除技术
如上所述,SDLC/HDLC协议规定以01111110为标志字节,但在信息场中也完全有可能有同一种模式的字符,为了把它与标志区分开来,所以采取了"0"位插入和删除技术。具体作法是发送端在发送所有信息(除标志字节外)时,只要遇到连续5个"1",就自动插入一个"0"当接收端在接收数据时(除标志字节)如果连续接收到5个"1",就自动将其后的一个"0"删除,以恢复信息的原有形式。这种"0"位的插入和删除过程是由硬件自动完成的,比上述面向字符的"数据透明"容易实现。
2. SDLC/HDLC异常结束
若在发送过程中出现错误,则SDLC/HDLC协议用异常结束(Abort)字符,或称失效序列使本帧作废。在HDLC规程中7个连续的"1"被作为失效字符,而在SDLC中失效字符是8个连续的"1"。当然在失效序列中不使用"0"位插入/删除技术。
SDLC/HDLC协议规定,在一帧之内不允许出现数据间隔。在两帧信息之间,发送器可以连续输出标志字符序列,也可以输出连续的高电平,它被称为空闲(Idle)信号。
5. 网络安全传输协议都有那些具体意义是什么
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
6. 各网络层安全协议有哪些
应用层
·DHCP(动态主机分配协议)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件传输协议
· Gopher (英文原义:The Internet Gopher Protocol 中文释义:(RFC-1436)网际Gopher协议)
· HTTP (Hypertext Transfer Protocol)超文本传输协议
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息访问协议的第4版本
· IRC (Internet Relay Chat )网络聊天协议
· NNTP (Network News Transport Protocol)RFC-977)网络新闻传输协议
· XMPP 可扩展消息处理现场协议
· POP3 (Post Office Protocol 3)即邮局协议的第3个版本
· SIP 信令控制协议
· SMTP (Simple Mail Transfer Protocol)即简单邮件传输协议
· SNMP (Simple Network Management Protocol,简单网络管理协议)
· SSH (Secure Shell)安全外壳协议
· TELNET 远程登录协议
· RPC (Remote Procere Call Protocol)(RFC-1831)远程过程调用协议
· RTCP (RTP Control Protocol)RTP 控制协议
· RTSP (Real Time Streaming Protocol)实时流传输协议
· TLS (Transport Layer Security Protocol)安全传输层协议
· SDP( Session Description Protocol)会话描述协议
· SOAP (Simple Object Access Protocol)简单对象访问协议
· GTP 通用数据传输平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议
· NTP (Network Time Protocol)网络校时协议
传输层
·TCP(Transmission Control Protocol)传输控制协议
· UDP (User Datagram Protocol)用户数据报协议
· DCCP (Datagram Congestion Control Protocol)数据报拥塞控制协议
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制传输协议
· RTP(Real-time Transport Protocol或简写RTP)实时传送协议
· RSVP (Resource ReSer Vation Protocol)资源预留协议
· PPTP ( Point to Point Tunneling Protocol)点对点隧道协议
网络层
IP(IPv4 · IPv6) Internet Protocol(网络之间互连的协议)
ARP : Address Resolution Protocol即地址解析协议,实现通过IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址转换协议允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
ICMPv6:
IGMP :Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议,用于IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
RIP : 路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
OSPF :(Open Shortest Path First开放式最短路径优先).
BGP :(Border Gateway Protocol )边界网关协议,用来连接Internet上独立系统的路由选择协议
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中间系统到中间系统的路由选择协议.
IPsec:“Internet 协议安全性”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
数据链路层
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌环 · 以太网 · FDDI · 帧中继 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
7. 什么是网络协议请简要说明之。请写出五种常用的网络协议。
网络协议为计算机网络中进行数据交换而建立的规则、标准或约定的集合。
划分
1、物理层:以太网、调制解调器、电力线通信(PLC)、SONET/SDH、G.709、光导纤维、同轴电缆、双绞线等。
2、数据链路层:Wi-Fi(IEEE 802.11)、WiMAX(IEEE 802.16)、ATM、DTM、令牌环、以太网、FDDI、帧中继、GPRS、EVDO、HSPA、HDLC、PPP、L2TP、PPTP、ISDN、STP、CSMA/CD等。
3、网络层协议:IP (IPv4、IPv6)、ICMP、ICMPv6、IGMP、IS-IS、IPsec、ARP、RARP、RIP等。
4、传输层协议:TCP、UDP、TLS、DCCP、SCTP、RSVP、OSPF等。
5、应用层协议:DHCP、DNS、FTP、Gopher、HTTP、IMAP4、IRC、NNTP、XMPP、POP3、SIP、SMTP、SNMP、SSH、TELNET、RPC、RTCP、RTP、RTSP、SDP、SOAP、GTP、STUN、NTP、SSDP、BGP 等。
(7)什么是典型的网络安全协议扩展阅读
网络协议通常由语法,语义和定时关系3部分组成。网络传输协议或简称为传送协议(Communications Protocol),计算机通信的共同语言。最普及的计算机通信为网络通信,所以“传送协议”一般都指计算机通信的传送协议,如:TCP/IP、NetBEUI等。
然而,传送协议也存在于计算机的其他形式通信,例如:面向对象编程里面对象之间的通信;操作系统内不同程序之间的消息,都需要有一个传送协议,以确保传信双方能够沟通无间。
8. 什么是网络协议它主要由哪些内容组成
网络协议和内容组成如下:
网络协议的定义:为肢激纳计算机网络中进行数据交换而建立的规则、标准或约定的集合,例如,网络中一个微机用户和一个大型主机的操作员进行通信,由于这两个数据终肢激纳端所用字符集不同,因此操作员所输入的命令彼此不认识。
为了能进行通信,规定每个终端都要将各自字符集中的字符先变换为标准字符集的字符后,才进入网络传送,到达目的终端之后,再变换为该终端字符集的字符。当然,对于不相容终端,除了需变换字符集字符外,其他特性,如显示格式、行长历没、行数、屏幕滚动方式等也需作相应的变换。
网络安全协议铅蔽
计算机通信技术的使用需要以网络安全为基石,网络安全协议通过多层次设计,提升了系统的复杂性和多样性,从根本上保障历没了互联网系统的稳定性能,创造了良好的网络运营环境,为计算机通信提供了良好的安全屏障,有利于计算机通信的顺利进行,同时节省了通信设计成本。
9. 网络安全协议有哪些
问题一:网络安全协议包括什么 SSL、TLS、IPSec、Telnet、SSH、SET 等
问题二:网络安全协议的分类 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。 未进行操作系统相关安全配置不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。未进行CGI程序代码审计如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。拒绝服务(DoS,Denial of Service)攻击随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。2014年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。安全产品使用不当虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。在实施网络安全防范措施时:首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用RAID5等数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行强度的数据加密;安装防病毒软件,加强内部网的整体防病毒措施;建立详细的安全审计日志,以便检测并跟踪入侵攻击等。网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,......>>
问题三:网络安全中,tcp/ip协议的缺陷是哪些 由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标。TCP-/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下,首先考虑网络互连缺乏对安全方面的考虑;这种基于地址的协议本身就会泄露口令,而且经常会运行一些无关的程序,这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络的开放性,TCP/IP协议完全公开,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。
问题四:简述常用的网络安全通信协议有哪些 多了 网络层:icmp arp等 传输层:udp tcp rstp sctp 等 应用层:gtp,,snmp,ftp,telnet, *** tp,ntp等
问题五:网络安全协议的介绍 网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。
问题六:什么是网络安全?常用的网络安全软件有哪些 网络从外到内: 从光纤---->电脑客户端
设备依次有: 路由器(可做端口屏蔽,带宽管理qos,防洪水flood攻击等)-------防火墙(有普通防火墙和UTM等,可以做网络三层端口管理、IPS(入侵检测)、IDP(入侵检测防御)、安全审计认证、防病毒、防垃圾和病毒邮件、流量监控(QOS)等)--------行为管理器(可做UTM的所有功能、还有一些完全审计,网络记录等等功能,这个比较强大)--------核心交换机(可以划分vlan、屏蔽广播、以及基本的acl列表)
安全的网络连接方式:现在流行的有 MPLS VPN ,SDH专线、VPN等,其中VPN常见的包括(SSL VPN \ipsec VPN\ PPTP VPN等)
问题七:网络安全软件有哪些 很多,看你什么方面。
之前的回答里面都是杀毒软件,相信一定无法满足您的回答。
您需要的比如D-D-O-S软件有Hoic,Loic和Xoic,当然还有效率较低级的国人开发的软件。
漏洞测试软件比如GoolagScanner
当然,线上工具也很多,比如Shodan可以寻找到网络上的任何一个存在的东西,包括摄像头啊,网站的后台服务器啊,之类的,注册的话提供详细物理位置。
OFCORS也有专门用来攻击的AnonymousOS和魔方渗透系统之类的。
就看你想干嘛了。至于为什么圆角符号,这个,如果不用你就看不到了。
问题八:网络安全传输协议都有那些?具体意义是什么? 网络协议即网络中(包括互联网)传递、管理信息的一些规范。如同人与人之间相互交流是需要遵循一定的规矩一样,计算机之间的相互通信需要共同遵守一定的规则,这些规则就称为网络协议。
一台计算机只有在遵守网络协议的前提下,才能在网络上与其他计算机进行正常的通信。网络协议通常被分为几个层次,每层完成自己单独的功能。通信双方只有在共同的层次间才能相互联系。常见的协议有:TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是IPX/SPX.。用户如果访问Internet,则必须在网络协议中添加TCP/IP协议。
TCP/IP是“tran *** ission Control Protocol/Internet Protocol”的简写,中文译名为传输控制协议/互联网络协议)协议, TCP/IP(传输控制协议/网间协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式。TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法。在数据传送中,可以形象地理解为有两个信封,TCP和IP就像是信封,要传递的信息被划分成若干段,每一段塞入一个TCP信封,并在该信封面上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网。在接受端,一个TCP软件包收集信封,抽出数据,按发送前的顺序还原,并加以校验,若发现差错,TCP将会要求重发。因此,TCP/IP在INTERNET中几乎可以无差错地传送数据。 对普通用户来说,并不需要了解网络协议的整个结构,仅需了解IP的地址格式,即可与世界各地进行网络通信。
IPX/SPX是基于施乐的XEROX’S Network System(XNS)协议,而SPX是基于施乐的XEROX’S SPP(Sequenced Packet Protocol:顺序包协议)协议,它们都是由novell公司开发出来应用于局域网的一种高速协议。它和TCP/IP的一个显着不同就是它不使用ip地址,而是使用网卡的物理地址即(MAC)地址。在实际使用中,它基本不需要什么设置,装上就可以使用了。由于其在网络普及初期发挥了巨大的作用,所以得到了很多厂商的支持,包括microsoft等,到现在很多软件和硬件也均支持这种协议。
NetBEUI即NetBios Enhanced User Interface ,或NetBios增强用户接口。它是NetBIOS协议的增强版本,曾被许多操作系统采用,例如Windows for Workgroup、Win 9x系列、Windows NT等。NETBEUI协议在许多情形下很有用,是WINDOWS98之前的操作系统的缺省协议。总之NetBEUI协议是一种短小精悍、通信效率高的广播型协议,安装后不需要进行设置,特别适合于在“网络邻居”传送数据。所以建议除了TCP/IP协议之外,局域网的计算机最好也安上NetBEUI协议。另外还有一点要注意,如果一台只装了TCP/IP协议的WINDOWS98机器要想加入到WINNT域,也必须安装NetBEUI协议。
WAPI是WLAN Authentication and Privacy Infrastructure的英文缩写。 它像红外线、蓝牙、GPRS、CDMA1X等协议一样,是无线传输协议的一种,只不过跟它们不同的是它是无线局域网(WLAN)中的一种传输协议而已......>>
问题九:网络传输协议有哪些 TCP/IP,互联网传输协议。
以下为各种网络传输协议列表(后面数字表示应用层协议默认服务端口):
A
ARP (ARP Address Resolution Protocol)
B
BGP (边缘网关协议 Border Gateway Protocol)
蓝牙(Blue Tooth)
BOOTP (Bootstrap Protocol)
D
DHCP(动态主机配置协议 Dynamic Host Configuration Protocol)
DNS(域名服务 Domain Name Service)
DVMRP (Distance-Vector Multicast Routing Protocol)
E
EGP (Exterior Gateway Protocol)
F
FTP (文件传输协议 File Transfer Protocol) 21
H
HDLC (高级数据链路控制协议 High-level Data Link Control)
HELLO(routing protocol)
HTTP 超文本传输协议 80
HTTPS 安全超级文本传输协议
I
ICMP (互联网控制报文协议 Internet Control Message Protocol)
IDRP (InterDomain Routing Protocol)
IEEE 802
IGMP (Internet Group Management Protocol)
IGP (内部网关协议 Interior Gateway Protocol )
IMAP
IP (互联网协议 Internet Protocol)
IPX
IS-IS(Intermediate System to Intermediate System Protocol)
L
LCP (链路控制协议 Link Control Protocol)
LLC (逻辑链路控制协议 Logical Link Control)
M
MLD (多播监听发现协议 Multicast Listener Discovery)
N
NCP (网络控制协议 Network Control Protocol)
NNTP (网络新闻传输协议 Network News Transfer Protocol) 119
NTP (Network Time Protocol)
P
PPP (点对点协议 Point-to-Point Protocol)
POP (邮局协议 Post Office Protocol) 110
R
RARP (逆向地址解析协议 Reverse Address Resolution Protocol)
RIP (路由信息协议 Routing Information Protocol)
S
SLIP (串行链路连接协议Serial Link Internet Protocol)
SNMP (简单网络管理协议 Simple Network Management Protocol)
SMTP (简单邮件传输协议 Simple Mail Transport Protocol) 25
SCTP(流控制传输协议 Stream Control Tran *** ission Protocol)
T
TCP (传输控制协议 Tran *** ission Control Protocol)
TFTP (Trivial File Transfer Protocol)
Telnet (远程终端协议 remote terminal protocol) 23......>>
问题十:网络安全管理包括什么内容? 网络安全管理是一个体系的东西,内容很多
网络安全管理大体上分为管理策略和具体的管理内容,管理内容又包括边界安全管理,内网安全管理等,这里给你一个参考的内容,金牌网管员之网络信息安全管理,你可以了解下:
ean-info/2009/0908/100
同时具体的内容涉及:
一、信息安全重点基础知识
1、企业内部信息保护
信息安全管理的基本概念:
信息安全三元组,标识、认证、责任、授权和隐私的概念,人员角色
安全控制的主要目标:
安全威胁和系统脆弱性的概念、信息系统的风险管理
2、企业内部信息泄露的途径
偶然损失
不适当的活动
非法的计算机操作
黑客攻击:
黑客简史、黑客攻击分类、黑客攻击的一般过程、常见黑客攻击手段
3、避免内部信息泄露的方法
结构性安全(PDR模型)
风险评估:
资产评估、风险分析、选择安全措施、审计系统
安全意识的培养
二、使用现有安全设备构建安全网络
1、内网安全管理
内网安全管理面临的问题
内网安全管理实现的主要功能:
软硬件资产管理、行为管理、网络访问管理、安全漏洞管理、补丁管理、对各类违规行为的审计
2、常见安全技术与设备
防病毒:
防病毒系统的主要技订、防病毒系统的部署、防病毒技术的发展趋势
防火墙:
防火墙技术介绍、防火墙的典型应用、防火墙的技术指标、防火墙发展趋势
VPN技术和密码学:
密码学简介、常见加密技术简介、VPN的概念、VPN的分类、常见VPN技术、构建VPN系统
IPS和IDS技术:
入侵检测技术概述、入侵检测系统分类及特点、IDS结构和关键技术、IDS应用指南、IDS发展趋势、入侵防御系统的概念、IPS的应用
漏洞扫描:
漏洞扫描概述、漏洞扫描的应用
访问控制:
访问控制模型、标识和认证、口令、生物学测定、认证协议、访问控制方法
存储和备份:
数据存储和备份技术、数据备份计划、灾难恢复计划
3、安全设备的功能和适用范围
各类安全设备的不足
构建全面的防御体系
三、安全管理体系的建立与维护
1、安全策略的实现
安全策略包含的内容
制定安全策略
人员管理
2、物理安全
物理安全的重要性
对物理安全的威胁
对物理安全的控制
3、安全信息系统的维护
安全管理维护
监控内外网环境
10. 电子商务中的安全协议是什么意思
安全协议是以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分,我们需要通过安全协议进行实体之间的认证、在实体之间安全地分配密钥或其它各种秘密、确认发送和接收的消息的非否认性等。
安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。
安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍,而安全协议的安全性分析验证仍是一个悬而未决的问题。在实际社会中,有许多不安全的协议曾经被人们作为正确的协议长期使用,如果用于军事领域的密码装备中,则会直接危害到军事机密的安全性,会造成无可估量的损失。这就需要对安全协议进行充分的分析、验证,判断其是否达到预期的安全目标。
网络安全是实现电子商务的基础,而一个通用性强,安全可靠的网络协议则是实现电子商务安全交易的关键技术之一,它也会对电子商务的整体性能产生很大的影响。由美国Netscape公司开发和倡导的SSL协议(Secure Sockets Layer,安全套接层),它是目前安全电子商务交易中使用最多的协议之一,内容主要包括协议简介、记录协议、握手协议、协议安全性分析以及应用等。本文在简单介绍SSL协议特点和流程的基础上,详细介绍了SSL协议的应用和配置过程。
1 、SSL协议简介
SSL作为目前保护Web安全和基于HTTP的电子商务交易安全的事实上的,被许多世界知名厂商的Intranet和Internet网络产品所支持,其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器产品,如IE和Netscape浏览器,IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。
SSL采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务:秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
完整性。SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。
认证性。利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
SSL协议的实现属于SOCKET层,处于应用层和传输层之间,由SSL记录协议(SSL RECORD PROTOCOL)和SSL握手协议(SSL HAND-SHAKE PROTOCOL)组成的,其结构如图1所示:
SSL可分为两层,一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等功能;SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样,应用层通过SSL协议把数据传给传输层时,已是被加密后的数据,此时TCP/IP协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP协议安全性较差的弱点。
Netscape公司已经向公众推出了SSL的参考实现(称为SSLref)。另一免费的SSL实现叫做SSLeay。SSLref和SSLeay均可给任何TCP/IP应用提供SSL功能,并且提供部分或全部源代码。Internet号码分配当局(IANA)已经为具备SSL功能的应用分配了固定端口号,例如,带SSL的HTTP(https)被分配以端口号443,带SSL的SMTP(ssmtp)被分配以端口号465,带SSL的NNTP (snntp)被分配以端口号563。
微软推出了SSL版本2的改进版本,叫做PCT(私人通信技术)。SSL和PCT非常类似。它们的主要差别是它们在版本号字段的最显着位(The Most Significant Bit)上的取值有所不同:SSL该位取0,PCT该位取1。这样区分之后,就可以对这两个协议都给予支持。
1996年4月,IETF授权一个传输层安全(TLS)工作组着手制订一个传输层安全协议(TLSP),以便作为标准提案向IESG正式提交。TLSP将会在许多地方酷似SSL。
2 、SSL安全性
目前,几乎所有操作平台上的WEB浏览器(IE、Netscatp)以及流行的Web服务器(IIS、Netscape Enterprise Server等)都支持SSL协议。因此使得使用该协议便宜且开发成本小。但应用SSL协议存在着不容忽视的缺点:
1. 系统不符合国务院最新颁布的《商用密码管理条例》中对商用密码产品不得使用国外密码算法的规定,要通过国家密码管理委员会的审批会遇到相当困难。
2. 系统安全性差。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上,因此从本质上来讲,攻破RSA等算法就等同于攻破此协议。由于美国政府的出口限制,使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密。目前已有攻破此协议的例子:1995年8月,一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门”,只用了一台工作站几分钟就攻破了Netscape对外出口版本。
但是,一个安全协议除了基于其所采用的加密算法安全性以外,更为关键的是其逻辑严密性、完整性、正确性,这也是研究协议安全性的一个重要方面,如果一个安全协议在逻辑上有问题,那么它的安全性其实是比它所采用的加密算法的安全性低,很容易被攻破。从目前来看,SSL比较好地解决了这一问题。不过SSL协议的逻辑体现在SSL握手协议上,SSL握手协议本身是一个很复杂的过程,情况也比较多,因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的,所以研究SSL协议的逻辑正确性是一个很有价值的问题。
另外,SSL协议在“重传攻击”上,有它独到的解决办法。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号”。理论上,攻击者提前无法预测此连接序号,因此不能对服务器的请求做出正确的应答。但是计算机产生的随机数是伪随机数,它的实际周期要远比2128小,更为危险的是有规律性,所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法,有效的解决方法是采用“时间戳”。但是这需要解决网络上所有节点的时间同步问题。
总的来讲,SSL协议的安全性能是好的,而且随着SSL协议的不断改进,更多的安全性能、好的加密算法被采用,逻辑上的缺陷被弥补,SSL协议的安全性能会不断加强。
3、 windows 2000中SSL的配置与应用SSL的典型应用主要有两个方面,一是客户端,如浏览器等;另外一个就是服务器端,如Web服务器和应用服务器等。目前,一些主流浏览器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持。要实现浏览器(或其他客户端应用)和Web服务器(或其他服务器)之间的安全SSL 信息传输,必须在Web服务器端安装支持SSL的Web服务器证书,在浏览器端安装支持SSL的客户端证书(可选),然后把URL中的“http://” 更换。