1. 因特网的网络层安全协议族ipsec包括哪些主要协议
ipsec ipsec:ip层协议安全结构 (ipsec:security architecture for ip network) ipsec 在 ip 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。 ipsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 ipsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在 ip 层提供,所以任何高层协议均能使用它们,例如 tcp 、 udp 、icmp 、 bgp 等等。 这些目标是通过使用两大传输安全协议,头部认证(ah) 和封装安全负载 (esp),以及密钥管理程序和协议的使用来完成的。所需的 ipsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。 当正确的实现、使用这些机制时,它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。例如:如果需要,不同的用户通讯可以采用不同的算法集。 定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 ipsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。 ipsec 不是特殊的加密算法或认证算法,也没有在它的数据结构中指定一种特殊的加密算法或认证算法,它只是一个开放的结构,定义在ip数据包格式中,为各种的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,因此,不同的加密算法都可以利用ipsec定义的体系结构在网络数据传输过程中实施 vista系统常用英文专业词语 互联网协议安全(internet protocol security),一个标准机制,用于在网络层面上为穿越ip网络的数据包提供认证,完整性,以及机密性。
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
熟悉网络传输协议的朋友一定不会对“安全传输协议”陌生,安全传输协议不仅存在与不用之间的数据传输,在用户向服务器发送资源请求时同样在保护数据传输的安全,也保证了不同用户之间数据传输的安全性,因此安全传输协议在每一个正在学习网络通信或者网络工程师的人眼中都是一个重要的内容。
最早出现的安全传输协议是由美国Netspace(网景公司)研究推出的SSL,全称是Secure Sockets Layer,我们从网上获取资源最常用的IE浏览器采用的就是这种安全协议,现在它成为了Internet网上安全通讯与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
SSL安全协议主要提供三方面的服务:认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上;加密数据以隐藏被传送的数据;维护数据的完整性,确保数据在传输过程中不被改变。
SSL是一个介于HTTP协议与TCP之间的一个可选层,不过现在几乎我们所有的通信都要经过这个协议的加密。SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
3. ■■■■■■■■■■■■■■■【域】如何运用
域和工作组的区别。
1、中央集权与各自为政的区别。
2、域的安全性高于工作组。
3、域 好比校长董事会
工作组 好比下面的各个系部
4、感觉如果设的不好, 你在域管理者面前有可能是裸奔.
5、楼上的解释好像不大对, 这么说吧, 工作组是自由市场, 有几个工作组就有几个自由市场, 你可以随时自由出入而没什么限制,从网上邻居最先看到的往往是自己机器所在的工作组的机器们。而域是严格控制权限的私人会所, 没有正确的域用户是根本无法登录到域上的,也就无法访问域所控制的资源。
6、域的登陆密码是通过服务器验证的
7、看样子要提醒MS以后不要将名称搞的这么专业,还是要考虑到中国的国情,早知道将"域"改成"中央"将"工作组"改成"自由市场",这样方便易懂,就不会有这么多的问题了.
8、简单的说域是具有管理的能力的一种机制,采用的是分级的管理权限,比如:中央-》省->市-》县-》。。。-》个人但权限比这还要严格得多。
而工作组在有域服务的时候,也就是网络中已经存在域服务器的时候可以看作是域中除去工作站外最简单的组织结构,在没有域服务的时候相互间是可以相互访问的。
9、网上复制过来的
局域网中工作组和域的主要差别!
为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?
“自由”的工作组
工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。
除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
域的管理和设置
打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
1. 服务器端设置
以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2. 客户端设置
首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息。
10、xp可以当服务器建立活动目录吗?
xp可以做服务器,但是微软限制了并发连接只有10个
不能升级AD
11、Group里面是对等的,没有server或client的概念应该.
domain里面好像除了域服务器外,其它的机器也是对等的.
哪位老大能通俗易懂地讲讲Win2k中的“域”的概念?
1、域的英文是domain,按照字典的翻译,这个词的解释应该是:
do·main / A doU`meIn / B noun [count] **
1 a particular area of activity or life:
This is a subject that has now moved into the political domain.
1a. an area of activity considered as belonging to or controlled by a particular person or group:
the common idea that engineering is a male domain
Organic foods are no longer the sole domain of health fanatics.
The garden has always been Al’s domain.
—> PUBLIC DOMAIN1
2 LITERARY an area of land owned and controlled by a particular person, especially in the past
3 TECHNICAL in mathematics, a range of possible values of a VARIABLE
4 COMPUTING a DOMAIN NAME
在M$的操作系统中,我们可以理解域为一个社区,服务器相当于社区的会所,域中的主机相当于私人住宅,域管理员相当于社区的管理员,用户则相当于居民。
在社区中兴建一个住宅需要管理员的许可,你的主机要加入域也需要域管理员的同意。
社区的会所只对社区用户开放,你要访问服务器,就得有ID。
私人住宅的主人有自己住宅的管理权,当然,主人如果大方,也可以把自己的住宅开放给别人用,也有出租房屋的,大家一起用,这就是多用户共享一台主机。
社区可以按照管理的方式,分为封闭管理和开放管理,封闭管理就是拒绝所有的陌生人,也有竖起篱笆墙什么的防止小偷小摸的,这就是防火墙。
两个社区可以搞联谊,双方共享资源,这就是域的互信协议,在这个协议下,两个社区的用户可以适当的访问别的社区资源。
2、嗯,刚才看有XD问工作组,这里我也白话白话。
工作组有点像北京公园里老头老太太们占山头练京剧。
今天这一堆人围一个山头开始唱京剧,旁边一堆人围了一个山头唱合唱。这些都是自发的,通常情况下大家也都守规矩,各自占各自的地盘,互不打扰。这就是工作组。
但这个区域是开放的,来去自由。随便哪个过客路过也能加入其中瞄一瞄,唱两句。所以常见到一个工作组里面有一堆人不认识的,时不时还有人自发捐出点歌谱、行头啥的,随便用。这就是工作组间的共享。
要是碰上那些不守规矩的,跑到唱歌的那边唱大戏,大家也没辙,实在不行了,撤摊换一个工作组名称重新圈块地儿。
当然也有公家(domain)占地赶的工作组四处跑的
有一天工作组里的老头老太太们混的有一定规模了,成立一个协会啥的,有了正式的管理员,有了固定的地盘,就升级成域了。
3、域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的,可以进行统一的管理,such as统一发布组策略,同意安装某种软件等等,并且域中的用户在登陆的时候,身份验证的过程是在域控制器上完成的。
而工作组呢,只适应于小型的网络。如果电脑比较多的话,那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库,所以身份验证过程必须在本地进行,如果你要是想登陆工作组中其他的电脑上面,你必须在那台电脑上面有你的用户账户才行。
4、但是同一个域的用户可以拿自己的帐户打开别人的机器(别人的机器没有开机密码的情况下),只有用自己的帐户登陆域即可,好像不太安全!
这个不是域的错,是主机用户的错,主机用户这么大方,夜不闭户的,别人进取转转也没什么不妥吧
不想让别人访问,在本机的用户组中把域用户删除就行了
5、不好意思,这篇文章有点误导的嫌疑
关于MS中域的理解:我们知道,2000/XP和98的一个明显不同是引入了多用户机制,把主机比喻为私人住宅可以,那么各个用户名id和密码就相当于进入这个房间的钥匙,但是这——不是域的概念。我们想象一下,一个学校机房供全校学生使用,计算机是公用的,那么每个机器都要给每个学生设立帐号是一件令人疯狂的工作,如果一个新学生来了,我要给他在每台电脑上开新帐号,如果他要走了,我又要挨个机器每台去删。这时域的观念就引入了。一个域的服务器主要功能就是负责域帐号的管理,这个域帐号在域内所有的计算机上都是通用的,也就是说,社区管理员只需要设立服务器上的用户和密码,该用户就可以自由使用社区内的所有资源。看到差别了么?”私人住宅的主人有自己住宅的管理权“这个观点不是完全正确的,一旦你把自己的房间登入了社区,社区的所有用户就可以自由访问你的房间了,当然你可以把房间断开,不登入社区,这样才对自己住宅有完全的管理权,一旦登入了域,就要看域服务器上管理员是如何设置域策略的,设置的严格的话,你几乎不能对你的私人住宅做任何管理,因为域策略是大于本机策略的。
4. 网络安全和通信协议
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 通过通信信道和设备互连起来的多个不同地理位置的数据通信系统,要使其能协同工作实现信息交换和资源共享,它们之间必须具有共同的语言。交流什么、怎样交流及何时交流,都必须遵循某种互相都能接受的规则。这个规则就是通信协议。
5. 各网络层安全协议有哪些
应用层
·DHCP(动态主机分配协议)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件传输协议
· Gopher (英文原义:The Internet Gopher Protocol 中文释义:(RFC-1436)网际Gopher协议)
· HTTP (Hypertext Transfer Protocol)超文本传输协议
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息访问协议的第4版本
· IRC (Internet Relay Chat )网络聊天协议
· NNTP (Network News Transport Protocol)RFC-977)网络新闻传输协议
· XMPP 可扩展消息处理现场协议
· POP3 (Post Office Protocol 3)即邮局协议的第3个版本
· SIP 信令控制协议
· SMTP (Simple Mail Transfer Protocol)即简单邮件传输协议
· SNMP (Simple Network Management Protocol,简单网络管理协议)
· SSH (Secure Shell)安全外壳协议
· TELNET 远程登录协议
· RPC (Remote Procere Call Protocol)(RFC-1831)远程过程调用协议
· RTCP (RTP Control Protocol)RTP 控制协议
· RTSP (Real Time Streaming Protocol)实时流传输协议
· TLS (Transport Layer Security Protocol)安全传输层协议
· SDP( Session Description Protocol)会话描述协议
· SOAP (Simple Object Access Protocol)简单对象访问协议
· GTP 通用数据传输平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议
· NTP (Network Time Protocol)网络校时协议
传输层
·TCP(Transmission Control Protocol)传输控制协议
· UDP (User Datagram Protocol)用户数据报协议
· DCCP (Datagram Congestion Control Protocol)数据报拥塞控制协议
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制传输协议
· RTP(Real-time Transport Protocol或简写RTP)实时传送协议
· RSVP (Resource ReSer Vation Protocol)资源预留协议
· PPTP ( Point to Point Tunneling Protocol)点对点隧道协议
网络层
IP(IPv4 · IPv6) Internet Protocol(网络之间互连的协议)
ARP : Address Resolution Protocol即地址解析协议,实现通过IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址转换协议允许局域网的物理机器从网关服务器的 ARP 表或者缓存上请求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
ICMPv6:
IGMP :Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议,用于IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
RIP : 路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
OSPF :(Open Shortest Path First开放式最短路径优先).
BGP :(Border Gateway Protocol )边界网关协议,用来连接Internet上独立系统的路由选择协议
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中间系统到中间系统的路由选择协议.
IPsec:“Internet 协议安全性”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
数据链路层
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌环 · 以太网 · FDDI · 帧中继 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
6. 安装常用的网络安全协议有哪些
常用的网络安全协议包括:SSL、TLS、IPSec、Telnet、SSH、SET 等
网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。
网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
7. 网络安全中,tcp/ip协议的缺陷是哪些
由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标。TCP-/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下,首先考虑网络互连缺乏对安全方面的考虑;这种基于地址的协议本身就会泄露口令,而且经常会运行一些无关的程序,这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络的开放性,TCP/IP协议完全公开,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。
8. 信息安全协议有哪些<<信息安全概论>>
1.IPSec
IPSec 是Internet Protocol Security的缩写,它是设计为IPv4和IPv6协议提供基于加密安全的协议,它使用AH和ESP协议来实现其安全,使用 ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商(Security Association)。IPSec安全协议工作在网络层,运行在它上面的所有网络通道都是加密的。IPSec安全服务包括访问控制、数据源认证、无连 接数据完整性、抗重播、数据机密性和有限的通信流量机密性。IPSec使用身份认证机制进行访问控制,即两个IPSec实体试图进行通信前,必须通过 IKE协商SA,协商过程中要进行身份认证,身份认证采用公钥签名机制,使用数字签名标准(DSS)算法或RSA算法,而公通常是从证书中获得的; IPSec使用消息鉴别机制实现数据源验证服务,即发送方在发送数据包前,要用消息鉴别算法HMAC计算MAC,HMAC将消息的一部分和密钥作为输入, 以MAC作为输出,目的地收到IP包后,使用相同的验证算法和密钥计算验证数据,如果计算出的MAC与数据包中的MAC完全相同,则认为数据包通过了验 证;无连接数据完整性服务是对单个数据包是否被篡改进行检查,而对数据包的到达顺序不作要求,IPSec使用数据源验证机制实现无连接完整性服务; IPSec的抗重播服务,是指防止攻击者截取和复制IP包,然后发送到源目的地,IPSec根据 IPSec头中的序号字段,使用滑动窗口原理,实现抗重播服务;通信流机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的 泄露,从而使攻击者对网络流量进行分析,推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式,对IP包进行 封装,可达到一定程度的机密性,即有限的通信流机密性。
2.SSL协议
安全套接层(Security Socket Layer,SSL)协议就是设计来保护网络传输信息的,它工作在传输层之上,应用层之下,其底层是基于传输层可靠的流传输协议(如TCP)。SSL协议 最早由Netscape公司于1994年11月提出并率先实现(SSLv2)的,之后经过多次修改,最终被IETF所采纳,并制定为传输层安全 (Transport Layer Security,TLS)标准。该标准刚开始制定时是面向Web应用的安全解决方案,随着SSL部署的简易性和较高的安全性逐渐为人所知,现在它已经成 为Web上部署最为广泛的信息安全协议之一。近年来SSL的应用领域不断被拓宽,许多在网络上传输的敏感信息(如电子商务、金融业务中的信用卡号或PIN 码等机密信息)都纷纷采用SSL来进行安全保护。SSL通过加密传输来确保数据的机密性,通过信息验证码(Message Authentication Codes,MAC)机制来保护信息的完整性,通过数字证书来对发送和接收者的身份进行认证。
实际上SSL协议本身也是个分层的协议,它由消息子层以及承载消息的记录子层组成。
SSL 记录协议首先按照一定的原则如性能最优原则把消息数据分成一定长度的片断;接着分别对这些片断进行消息摘要和MAC计算,得到MAC值;然后再对这些片断 进行加密计算;最后把加密后的片断和MAC值连接起来,计算其长度,并打上记录头后发送到传输层。这是一般的消息数据到达后,记录层所做的工作。但有的特 殊消息如握手消息,由于发送时还没有完全建立好加密的通道,所以并不完全按照这个方式进行;而且有的消息比较短小,如警示消息(Alert),出于性能考 虑也可能和其它的一些消息一起被打包成一个记录。
消息子层是应用层和SSL记录层间的接口,负责标识并在应用层和SSL记录层间传输数据或者对握 手信息和警示信息的逻辑进行处理,可以说是整个SSL层的核心。其中尤其关键的又是握手信息的处理,它是建立安全通道的关键,握手状态机运行在这一层上。 警示消息的处理实现上也可以作为握手状态机的一部分。SSL协议为了描述所有消息,引入了SSL规范语言,其语法结构主要仿照C语言,而是无歧义、精简 的。
3. S-HTTP
安全超文本传输协议(Secure HyperText Transfer Protocol,S-HTTP)是EIT公司结合 HTTP 而设计的一种消息安全通信协议。S-HTTP协议处于应用层,它是HTTP协议的扩展,它仅适用于HTTP联结上,S-HTTP可提供通信保密、身份识 别、可信赖的信息传输服务及数字签名等。S-HTTP 提供了完整且灵活的加密算法及相关参数。选项协商用来确定客户机和服务器在安全事务处理模式、加密算法(如用于签名的非对称算法 RSA 和 DSA等、用于对称加解密的 DES 和 RC2 等)及证书选择等方面达成一致。
S-HTTP 支持端对端安全传输,客户机可能“首先”启动安全传输(使用报头的信息),如,它可以用来支持加密技术。S-HTTP是通过在S-HTTP所交换包的特殊头标志来建立安全通讯的。当使用 S-HTTP时,敏感的数据信息不会在网络上明文传输。
4. S/MIME
S/MIME 是Secure / Multipurpose Internet Mail Extensions的缩写,是从PEM (Privacy Enhanced Mail)和MIME(Internet邮件的附件标准)发展而来的。S/MIME是利用单向散列算法(如SHA-1、MD5等)和公钥机制的加密体系。 S/MIME的证书格式采用X.509标准格式。S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书均由上一级的组织负 责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系是树状结构的。另外,S/MIME将信件内容加密签名后作为特殊的附件传送。
9. 网络安全协议包括什么
SSL、TLS、IPSec、Telnet、SSH、SET 等
10. 用于保障ip通信数据安全的ipsec协议,是属于网络协议中的什么安全协议
互联网安全协议(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。其工作原理就是在发送端对数据进行加密,在接收端进行解密,从而实现信息的安全传输功能。