《第六章 电子商务网络安全》由会员分享,可在线阅读,更多相关《第六章 电子商务网络安全(5页珍藏版)》请在金锄头文库上搜索。
1、 第六章 电子商务网络安全 苟文勇1、 什么是SSL协议?它的体系结构是怎样的?SSL协议即安全套接层协议,是在因特网基础上的一种保证机密性的安全协议。SSL协议位于TCP/IP与各种应用层协议之间,可以独立于应用层协议,为数据通信提供安全支持。SSL协议常被用于http,也可以用于其他协议,如NNTP、TELNET等。SSL协议主要提供加密、保证信息的完整性和提供完善的认证服务三种服务。 SSL协议不是一个单独的协议,而是两层协议:SSL记录协议以及其上的3个子协议。三个高层协议分别作为SSL协议的一部分:SSL握手协议、SSL更改密码规格协议和SSL警告协议。SSL记录协议为各种高层协议提
2、供了基本的安全服务。SSL握手协议SSL更改密码规格协议SSL警告协议HTTP SSL记录协议 TCP IP3、 试从技术、功能和安全强度等方面来比较SSL协议和SET协议,并说明在中小型电子商务应用中,哪种方案更合适。技术上:SSL协议在技术上主要采用的公钥密码体制和X.509数字证书标准来进行数据加密,SSL主要通过数据加密来保证传输过程中数据的安全性;而SET协议主要采用公开密钥加密、数字签名、双联签名、数字信封、数字证书等核心技术。功能上:SSL协议是基于传输层的通用安全协议,而SET协议则位于应用层,对网络中的其他各层也有所涉及。SET协议规范了整个电子商务活动的流程,对持卡人到商家
3、、到支付网关、再到认证机构及信用卡结算周红娘高性能之间的信息流走向采用的加密、认证机制都制定了严格的标准,从而最大限度地保证了交易活动的商务性、服务性、协调性和集成性。安全强度:由于SET协议采用了公钥机制、消息摘要和CA认证体系,因而它完全可以保证机密性、数据完整性和不可否认性。SSL协议中也采用了公钥机制、消息摘要和消息验证码检测,可以保证机密性、数据完整性和一定程度的身份鉴别功能,但SSL缺乏有效的数字签名,不能提供完备的不可否认性。中小型电子商务应用中,SET协议更适合,因为SET协议不仅可以保证数据的机密性、完整性和不可否认性,但不能保证不可否认性,在中小型企业的电子商务活动中,不可
4、否认性可以保证在交易的过程中,交易双方都不可抵赖,极大的保证了交易的诚信,因此比较合适 。4、 试述IPsec的传输模式和隧道模式的基本原理。传输模式:在AH、ESP处理前后IP的头部保持不变,仅对IP数据项的上层协议数据提供保护,用于两个主机之间。原IP报头数据原IP报头IPsec报头数据 传输模式隧道模式:在AH、ESP处理之后再封装一个外网IP头,对整个IP数据项提供保护,通信双方只要有一个是安全网关,就必须使用隧道模式。在隧道模式中,新建一个带有IPsec报头的IP报头,并将原有的IP数据报作为新数据包的数据部分进行封装。这种模式经常在防火墙或者网关路由器上实现。原IP报头数据新IP报
5、头IPsec报头 原IP报头数据 隧道模式5、 试述在IPsec中的AH协议和ESP协议的区别与联系。AH:鉴别头,提供无连接完整性、数据源认证和防重放攻击保护这3种服务。ESP:安全载荷封装可以为IP数据报提供机密性、数据源验证、抗重放攻击以及数据完整性检验等安全服务。其中只有数据的机密性是ESP的基本功能,其他都是可选功能。AH和ESP都具有两种实现模式,即传输模式和隧道模式,在传输模式中,AH报头和ESP报头都被插在IP头标之后,为高层协议提供保护;而在隧道模式中,则插在IP头标之前,保护整个IP分组的安全,各个协议都被应用到隧道化的IP数据报中。联系:AH协议和ESP协议都是IPsec
6、协议的重要组成部分,既可以单独使用,也可以联合使用。6、 什么是防火墙?防火墙具有哪些功能?防火墙是网络安全的第一道防线,设置在被保护的网络和外部网络之间,可以实施比较广泛的安全策略来控制信息流,以防止发生不可预测、破坏性入侵,是广泛采用的一种网络安全防护手段。防火墙主要具有如下功能:1) 保护那些易受攻击的服务:过滤不安全的服务,只有预先被允许的服务才能通过防火墙,这样就降低了网络受到非法攻击的风险。2) 控制对特殊站点的访问:如有些主机能够被外部网络访问,而有些主机则要被保护起来,防止受到不必要的访问,可以通过防火墙来实现。3) 提供集中化的管理:使用了防火墙之后可以将所有修改过的软件和附
7、加的安全软件都放在防火墙上,如果不是用防火墙则需要将所有的软件都分散在各主机上。4) 对网络访问进行记录和统计:记录所有流经它的访问,并提供关于网络使用情况的统计数据,当发生可以动作时,进行适当的警告,并提供网络是否收到检测和攻击的详细信息。7、 什么是虚拟专用网?虚拟专用网有哪些功能?虚拟专用网(VPN)是指为通过一个公共网络而建立的临时的、安全的连接,它是一条穿过混乱的公共网络的安全而稳健的隧道。虚拟专用网具有如下功能:1) 数据加密:保证通过公网传输的数据即使被他人截获也不会泄密。2) 信息和身份的认证:保证信息的完整性、合法性,并能够鉴别用户的身份。3) 提供访问控制功能:使不同的用户
8、拥有不同的访问权限。4) 传递内部IP地址5) 传递多种协议6) 能够进行网络监控、网络故障诊断。8、 防火墙有哪几种基本类型?试比较包过滤技术和代理服务技术的区别。从防火墙的软硬件形式来看,防火墙包括软件防火墙、硬件防火墙和芯片防火墙三类;根据所采用的技术不同,主要包括包过滤型、代理服务型和监测型。包过滤技术和代理服务技术的区别:1) 包过滤技术是在网络层拦截并监测所有的信息流,而代理服务技术则是在应用层实现防火墙的功能。2) 包过滤技术是通过一个检测模块,根据预先设定的过滤原则对流经防火墙的数据包进行检测,并决定是否丢弃该数据包。而代理服务技术是在应用层网关上运行代理程序,一方面代替服务器
9、与客户程序建立连接;一方面代替客户程序与服务器建立连接,使用户通过应用层网关安全的使用网络服务,并对非法用户不予理睬。3) 检测模块工作在网络层和数据链路层之间,即操作系统的最底层,而代理程序运行在应用层网关。12、试述根据信息源的不同可以将入侵检测系统分为哪几类?这样作分类有何意义?根据信息源的不同,可以将入侵检测系统分为基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)和分布式入侵检测系统(NIDS)。基于主机的入侵检测系统的主要检测目标是主机系统和本地用户,通过监视与分析主机的审计记录和日志文件来检测入侵。与基于网络的入侵检测系统相比具有更高的准确性,可以精确的判断入
10、侵事件,并作出反应;还可以针对不同的操作系统的特点判断应用层的入侵事件,不需要硬件。但具有占用主机资源、在服务器上产生额外的负载,并缺乏跨平台支持、可移植性差等缺点。 基于网络的入侵检测系统根据网络流量、单台或多台主机的审计数据来检测入侵,主要用于实时监控网络关键路径的信息,处于网络边缘的关键点处,负责拦截在内部网络和外部网络之间流通的数据包。具有可移植性强;可以进行实时监测和应答,监测粒度更细;攻击者较难转移证据;检测未成功的攻击企图,成本较低。但与基于主机的入侵检测系统相比具有精确度不够高,在高层获得信息更难,在技术实现上更复杂的缺点。 基于主机和基于网络的入侵检测系统具有互补性,可以将两
11、种方式无缝的集成起来,使用基于网络的系统提供早起报警,使用基于主机的系统来验证攻击是否取得成功。 分布式入侵检测系统一般采用集中式模式,在被保护网络的各网段中分别放置检测器进行数据包的收集和分析,并将信息传给中央控制台。随着网络的复杂化和大型化,系统的弱点和漏洞将趋向于呈现分布式形态,入侵行为不再是单一的行为,而是表现出协作入侵的特点,在这种环境下,分布式入侵检测系统比较合适。 因此,基于信息源的入侵检测系统分类的意义主要就是区分在不同情况下检测系统各自的优劣势,并将其较好的结合起来利用,以提供更好的网络安全服务。13、试述在网络环境下基于主机的入侵检测系统的主要弱点。 基于主机的入侵检测系统主要通过系统日志作为检测的依据,因此主要的缺点是会占用主机的资源,在服务器上产生额外的负载,而且缺乏跨平台支持、可移植性差,因而在应用范围收到了严重的限制。
