第六章 电商务网络安全.docVIP

第六章 电子商务网络安全 苟文勇 什么是SSL协议？它的体系结构是怎样的？ SSL协议即安全套接层协议，是在因特网基础上的一种保证机密性的安全协议。SSL协议位于TCP/IP与各种应用层协议之间可以独立于应用层协议为数据通信提供安全支持SSL协议常被用于http也可以用于其他协议如NNTPTELNET等SSL协议主要提供加密保证信息的完整性和提供完善的认证服务三种服务 SSL协议不是一个单独的协议，而是两层协议：SSL记录协议以及其上的3个子协议。三个高层协议分别作为SSL协议的一部分：SSL握手协议、SSL更改密码规格协议和SSL警告协议。SSL记录协议为各种高层协议提供了基本的安全服务。 SSL握手协议 SSL更改密码规格协议 SSL警告协议 HTTP SSL记录协议 TCP IP 试从 技术上：SSL协议在技术上主要采用的公钥密码体制和X.509数字证书标准来进行数据加密，SSL主要通过数据加密来保证传输过程中数据的安全性；而SET协议主要采用公开密钥加密、数字签名、双联签名、数字信封、数字证书等核心技术。 功能上SSL协议是基于传输层的通用安全协议而SET协议则位于应用层对网络中的其他各层也有所涉及 安全强度：由于SET协议采用了公钥机制、消息摘要和CA认证体系，因而它完全可以保证机密性、数据完整性和不可否认性。SSL协议中也采用了公钥机制、消息摘要和消息验证码检测，可以保证机密性、数据完整性和一定程度的身份鉴别功能，但SSL缺乏有效的数字签名，不能提供完备的不可否认性。 中小型电子商务应用中SET协议更适合因为SET协议不仅可以保证数据的机密性完整性和不可否认性但不能保证不可否认性在中小型企业的电子商务活动中不可否认性可以保证在交易的过程中交易双方都不可抵赖极大的保证了交易的诚信因此比较合适 试述IPsec的传输模式和隧道模式的基本原理 传输模式在AHESP处理前后IP的头部保持不变仅对IP数据项的上层协议数据提供保护用于两个主机之间 原IP报头 IPsec报头 数据 传输模式 隧道模式在AHESP处理之后再封装一个外网IP头对整个IP数据项提供保护通信双方只要有一个是安全网关就必须使用隧道模式 新IP报头 IPsec报头 原IP报头 数据 隧道模式 试述在IPsec中的AH协议和ESP协议的区别与联系。 AH：鉴别头提供无连接完整性数据源认证和防重放攻击保护这 ESP：安全载荷封装可以为IP数据报提供机密性数据源验证抗重放攻击以及数据完整性检验等安全服务其中只有数据的机密性是ESP的基本功能其他都是可选功能 AH和ESP都具有两种实现模式即传输模式和隧道模式 联系AH协议和ESP协议都是IPsec协议的重要组成部分既可以单独使用也可以联合使用什么是防火墙防火墙具有哪些功能 防火墙是网络安全的第一道防线，设置在被保护的网络和外部网络之间，可以实施比较广泛的安全策略来控制信息流，以防止发生不可预测、破坏性入侵，是广泛采用的一种网络安全防护手段。 防火墙主要具有如下功能 保护那些易受攻击的服务：过滤不安全的服务，只有预先被允许的服务才能通过防火墙，这样就降低了网络受到非法攻击的风险。 控制对特殊站点的访问如有些主机能够被外部网络访问而有些主机则要被保护起来防止受到不必要的访问可以通过防火墙来实现 提供集中化的管理使用了防火墙之后可以将所有修改过的软件和附加的安全软件都放在防火墙上如果不是用防火墙则需要将所有的软件都分散在各主机上 对网络访问进行记录和统计 什么是虚拟专用网虚拟专用网有哪些功能 虚拟专用网 虚拟专用网具有如下功能 数据加密：保证通过公网传输的数据即使被他人截获也不会泄密 信息和身份的认证保证信息的完整性合法性并能够鉴别用户的身份 提供访问控制功能使不同的用户拥有不同的访问权限 传递内部IP地址 传递多种协议 能够进行网络监控网络故障诊断 防火墙有哪几种基本类型试比较包过滤技术和代理服务技术的区别 从防火墙的软硬件形式来看防火墙包括软件防火墙硬件防火墙和芯片防火墙三类根据所采用的技术不同主要包括包过滤型代理服务型和监测型 包过滤技术和代理服务技术的区别 包过滤技术是在网络层拦截并监测所有的信息流，而代理服务技术则是在应用层实现防火墙的功能。 包过滤技术是通过一个检测模块根据预先设定的过滤原则对流经防火墙的数据包进行检测并决定是否丢弃该