计算机网络安全课件作者沈鑫剡第１１章节.pptVIP

计算机网络安全 第11章 第11章 应用层安全协议 Web安全协议； 电子邮件安全协议； 门户网站。 应用层安全协议给出了应用层解决资源访问安全问题的基本原则、方法和机制。 11.1 Web安全协议 Web安全问题； Web安全机制； HTTP over TLS； SET。 　由于网络用户通常都通过网站访问网络、进行网上购物和电子银行转账，因此，Web安全问题是广大网络用户最关心，也是直接影响网络健康发展的问题。 Web安全问题 伪造和篡改网页 伪造银行网站，诱使用户登录； 篡改著名网站网页，用银行或其他著名网站域名链接伪造网站。 截取用户私密信息 拦截用户和商务网站进行电子商务活动过程中交换的信息； 伪造网页进行诈骗。 拒绝服务攻击 耗尽服务器资源； 耗尽服务器链接网络链路的带宽。 Web安全机制 解决Web安全问题的关键是服务器身份认证和信息传输加密，服务器身份认证解决伪造网站的问题，信息传输加密解决截获用户私密信息的问题； 解决这两个问题需要动态协商安全参数并完成对方身份认证的协议，网际层的IPSec、运输层的TLS和应用层的SET都是具有这种功能的协议； 越是底层，通用性越好，但无法顾及特定应用的细节；和指定应用关联越多，越能满足指定应用的安全要求。 HTTP over TLS TLS完成双方身份认证和安全参数协商，安全传输上层信息； 这里，TLS主要实现对服务器的身份认证