第六章 电子商网络安全第六章 电子商务网络安全.doc

第六章 电子商务网络安全 苟文勇 什么是SSL协议？它的体系结构是怎样的？ SSL协议即安全套接层协议，是在因特网基础上的一种保证机密性的安全协议。SSL协议位于TCP/IP与各种应用层协议之间，可以独立于应用层协议，为数据通信提供安全支持。SSL协议常被用于http，也可以用于其他协议，如NNTP、TELNET等。SSL协议主要提供加密、保证信息的完整性和提供完善的认证服务三种服务。 SSL协议不是一个单独的协议，而是两层协议：SSL记录协议以及其上的3个子协议。三个高层协议分别作为SSL协议的一部分：SSL握手协议、SSL更改密码规格协议和SSL警告协议。SSL记录协议为各种高层协议提供了基本的安全服务。 SSL握手协议 SSL更改密码规格协议 SSL警告协议 HTTP SSL记录协议 TCP IP 试从技术、功能和安全强度等方面来比较SSL协议和SET协议，并说明在中小型电子商务应用中，哪种方案更合适。 技术上：SSL协议在技术上主要采用的公钥密码体制和X.509数字证书标准来进行数据加密，SSL主要通过数据加密来保证传输过程中数据的安全性；而SET协议主要采用公开密钥加密、数字签名、双联签名、数字信封、数字证书等核心技术。 功能上：SSL协议是基于传输层的通用安全协议，而SET协议则位于应用层，对网络中的其他各层也有所涉及。SET协议规范了整个电子商务活动的流程，对持卡人到商家、到支付网关、再到认证机构及信用卡结算周红娘高性能之间的信息流走向采用的加密、认证机制都制定了严格的标准，从而最大限度地保证了交易活动的商务性、服务性、协调性和集成性。 安全强度：由于SET协议采用了公钥机制、消息摘要和CA认证体系，因而它完全可以保证机密性、数据完整性和不可否认性。SSL协议中也采用了公钥机制、消息摘要和消息验证码检测，可以保证机密性、数据完整性和一定程度的身份鉴别功能，但SSL缺乏有效的数字签名，不能提供完备的不可否认性。 中小型电子商务应用中，SET协议更适合，因为SET协议不仅可以保证数据的机密性、完整性和不可否认性，但不能保证不可否认性，在中小型企业的电子商务活动中，不可否认性可以保证在交易的过程中，交易双方都不可抵赖，极大的保证了交易的诚信，因此比较合适 。 试述IPsec的传输模式和隧道模式的基本原理。 传输模式：在AH、ESP处理前后IP的头部保持不变，仅对IP数据项的上层协议数据提供保护，用于两个主机之间。 原IP报头 数据 原IP报头 IPsec报头 数据 传输模式 隧道模式：在AH、ESP处理之后再封装一个外网IP头，对整个IP数据项提供保护，通信双方只要有一个是安全网关，就必须使用隧道模式。在隧道模式中，新建一个带有IPsec报头的IP报头，并将原有的IP数据报作为新数据包的数据部分进行封装。这种模式经常在防火墙或者网关路由器上实现。 原IP报头 数据 新IP报头 IPsec报头 原IP报头 数据 隧道模式 试述在IPsec中的AH协议和ESP协议的区别与联系。 AH：鉴别头，提供无连接完整性、数据源认证和防重放攻击保护这3种服务。 ESP：安全载荷封装可以为IP数据报提供机密性、数据源验证、抗重放攻击以及数据完整性检验等安全服务。其中只有数据的机密性是ESP的基本功能，其他都是可选功能。 AH和ESP都具有两种实现模式，即传输模式和隧道模式，在传输模式中，AH报头和ESP报头都被插在IP头标之后，为高层协议提供保护；而在隧道模式中，则插在IP头标之前，保护整个IP分组的安全，各个协议都被应用到隧道化的IP数据报中。 联系：AH协议和ESP协议都是IPsec协议的重要组成部分，既可以单独使用，也可以联合使用。 什么是防火墙？防火墙具有哪些功能？ 防火墙是网络安全的第一道防线，设置在被保护的网络和外部网络之间，可以实施比较广泛的安全策略来控制信息流，以防止发生不可预测、破坏性入侵，是广泛采用的一种网络安全防护手段。 防火墙主要具有如下功能： 保护那些易受攻击的服务：过滤不安全的服务，只有预先被允许的服务才能通过防火墙，这样就降低了网络受到非法攻击的风险。 控制对特殊站点的访问：如有些主机能够被外部网络访问，而有些主机则要被保护起来，防止受到不必要的访问，可以通过防火墙来实现。 提供集中化的管理：使用了防火墙之后可以将所有修