網絡與信息平安概述北京科技大學信息學院陳紅松副教授1課程內容及使用的教材2網絡與信息平安的嚴峻形勢3網絡與信息系統的平安體系4開放系統互連(OSI)平安體系結構5Internet平安體系6網絡與信息平安產品介紹課程內容網絡與信息平安概述黑客攻擊與風險分析身份認證及Kerberos協議Ipsec平安協議SSL平安協議防火墻技術VPN技術入侵檢測技術SNMP網絡平安管理網絡平安評估與管理可信計算信息平安法律法規參考教材?網絡平安?作

者:

胡道元出版社:

清華大學出版社出版時間:2004.7?網絡平安完全手冊?出版社:

電子工業出版社出版時間:2005.10網絡信息平安前沿專題討論(15%)開卷考試占85%2信息平安的嚴峻形勢2006年6月13日，據微軟公布的平安報告顯示，在2005年1月至2006年3月期間，60％左右的WindowsPC機都感染過惡意代碼。據稱，美國正在進行的CPU“陷阱〞設計，可使美國通過互聯網發布指令讓敵方電腦的CPU停止工作。1998年，為了獲得在洛杉磯地區kiss-fm電臺第102個呼入者的獎勵——保時捷跑車，KevinPoulsen控制了整個地區的系統，以確保他是第102個呼入者。最終，他如愿以償獲得跑車并為此入獄三年。2000年1月，日本政府11個省、廳受到黑客攻擊。總務廳的統計信息全部被刪除；外務省主頁3分鐘受攻擊1000余次；日本最高法院主頁2天內受攻擊3000余次。日本政府成立反黑特別委員會，撥款24億日元研究入侵檢測技術、追蹤技術、病毒技術和密碼技術。2000年2月，美國近十家著名的互聯網站遭受黑客攻擊，在短短的幾天內，使互聯網的效率降低20％，據估算，攻擊造成的損失到達12億美元以上，引起股市動亂。2001年2月8日，新浪網遭受大規模網絡攻擊，電子郵件效勞器癱瘓了18個小時。造成了幾百萬的用戶無法正常使用新浪網。2006年9月13日，百度成認遭受“大規模的不明身份黑客攻擊〞，導致百度搜索效勞在全國各地出現了近30分鐘的故障，并認為這是有人精心組織籌劃的行動，并已經向公安機關報案。熊貓病毒〞是2006年中國十大病毒之首。它通過多種方式進行傳播，并將感染的所有程序文件改成熊貓舉著三根香的模樣，同時該病毒還具有盜取用戶游戲賬號、QQ賬號等功能.熊貓燒香〞是一種蠕蟲病毒的變種，而且是經過屢次變種而來的,原名為尼姆亞變種)。外交部駁斥我軍方攻擊美國防部網絡傳言外交部發言人姜瑜在北京表示，最近有關中國軍方對美國國防部實施網絡攻擊的指責是毫無根據的。“中國政府一貫堅決反對和依法嚴厲打擊包括黑客行為在內的任何破壞網絡的犯罪行為。在中美致力于開展建設性合作關系，中美兩軍關系呈現出良好開展勢頭的大背景下，有人對中國進行無端指責，妄稱中國軍方對美國國防部實施網絡攻擊，這是毫無根據的，也是冷戰思維的表達。〞姜瑜在例行記者會上答記者問。“我們認為黑客是一個國際性的問題，中方也經常遭到黑客的襲擊。中方愿與其他國家一道，采取措施共同打擊網絡犯罪。在這方面，我們愿意加強國際合作。〞IBM研究稱黑客攻擊速度加快據IBM最新發表的一份報告稱，越來越多的攻擊在缺陷披露24小時內就出現在了互聯網上，這意味著，許多用戶還沒有來得及了解相關問題前就可能已經受到了攻擊。IBM在報告中談到了互聯網威脅方面兩個日益明顯的趨勢。其一，互聯網犯罪分子依賴軟件工具，幫助他們利用公開披露的缺陷自動發動攻擊。過去，犯罪分子自己發現平安缺陷需要更長的時間。IBM一名高管克里斯·蘭姆〔KrisLamb〕在接受采訪時說，積極地尋找軟件中缺陷的并非是犯罪分子本人，犯罪分子充分利用了平安研究社區的成果，他們所需要做的就是利用所獲得的信息發動攻擊。其二，平安研究人員就應當在多大程度上公開披露平安缺陷資料的爭論愈演愈烈了。大多數情況下平安研究人員會等待相關廠商發布補丁軟件后才會公開披露平安缺陷的詳細資料。但有時平安研究人員在公開平安缺陷詳細資料的同時也會發布所謂的“概念驗證〞代碼，以證明平安缺陷確實是存在的。這就可能向犯罪分子提供他們所需要的幫助，縮短他們發動攻擊所需要的時間。根據國外一平安軟件廠商公布的一項調查結果顯示，計算機犯罪分子開始傾向于通過合法的網站來傳播病毒和惡意軟件，這些網站既包括社交網站，也包括人們通常使用的搜索引擎網站。

根據Websense公司的一項調查顯示，在2021年上半年大約有75%的網站包含有惡意內容，這些網站一般都擁有良好的信譽度，而在此之前的6個月中，感染惡意代碼的網站只有50%.在全球100強網站中大約有60%或者頁面含有病毒，或者將用戶引導向惡意網站。

Websense表示，計算機犯罪分子正在將目標瞄向一些流行的群眾網站，而不是自己建立一個網站，因為前者具有大量的訪問用戶作為其攻擊對象。一旦用戶訪問了被感染的網頁，黑客們就有時機訪問他們的個人信息或者利用他們的計算機作為“僵尸〞來進行更廣范圍的攻擊。

黑客們還可以在被攻擊者的計算機上安裝間諜軟件，從而跟蹤用戶的每一個操作。

Websense的平安研究還發現，在過去6個月以來，76.5%以上的郵件都包含惡意網站的鏈接或垃圾郵件發送網站等，該數據上升了18%.

Websense平安實驗室通過ThreatSeeker技術來發現、分類并監測全球范圍內的互聯網威脅狀況和開展動態。平安研究人員利用該系統的互聯網平安智能技術來發布平安形勢，同時保障用戶的平安，該技術包含5000萬個實時數據收集系統，每天可對10億條內容進行深入分析。黑客襲擊一市商務局網站局長變成"三點"女郎

從荊州市荊州區法院得悉：荊州市商務局網站“被黑〞案一審判決：襲擊荊州市商務局網站，將局長照片換成“三點式〞女郎、將“局長致辭〞改為“慶賀女友生日〞的張志東被判處有期徒刑1年半。

法院審理查明，2021年12月4日，張志東下載了黑客軟件，在掃描到荊州市商務局網站存在漏洞后，獲取了該網站的管理員賬號和密碼。

他登入管理員后臺，將“局長致辭〞修改為“為女友祝賀生日〞，將“局長照片〞換成一張“三點式〞女郎圖片。

截至案發時，這兩條信息的點擊量分別達4036次和5617次，該網站一時間流量大增，效勞器被迫關閉。此事影響了荊州市商務局的形象，并造成了一定的損失。

法院審理認為，張志東的行為已構成破壞計算機信息系統罪，但是他能夠投案自首，認罪態度較好，且系初犯，可酌情從輕處分，遂一審作出上述判決。威脅計算機系統平安的幾種形式攻擊復雜程度與入侵技術進步示意圖

弱點傳播及其利用變化圖多維角度網絡攻擊分類美國國防部授權美國航天司令部負責美軍計算機網絡攻防方案，成立網絡防護“聯合特遣部隊〞，規劃“國防部信息對抗環境(InfoCon)，監視有組織和無組織的網絡平安威脅，創立整個國防部實施網絡攻防戰的標準模型，訓練計算機操作人員。2002年1月15日，Bill.Gates在致微軟全體員工的一封信中稱，公司未來的工作重點將從致力于產品的功能和特性轉移為側重解決平安問題，并進而提出了微軟公司的新“可信計算〞(Trustworthycomputing)戰略.據美國?華盛頓觀察?周刊報道，曾經被政府追捕的黑客們，一時間在美國成了就業場上炙手可熱的人才。美軍戰略司令部司令——凱文·希爾頓將軍(Gen.KevinP.Chilton)近日公開成認，戰略司令部正在征召2000-4000名“士兵〞，組建一支“特種部隊〞。這支特種部隊不僅要承擔網絡防御的任務，還將對它國的電腦網絡和電子系統進行秘密攻擊。

目前，兩個不同的網絡戰中心在美軍戰略司令部管轄下運行。一個是全球網絡聯合部隊(JointTaskForce-GlobalNetworkOperations)，主要負責保護五角大樓在美國外鄉和全球范圍內的網絡系統，應對每天數十萬起試圖攻入美軍網絡的攻擊。另一個名為“網絡戰聯合功能構成司令部〞(JointFunctionalComponentCommandNetworkWarfare)，主要職責是對敵人發動網絡攻擊。例如，在戰時快速侵入敵方電腦網絡系統，癱瘓敵軍的指揮網絡和依靠電腦運行的武器系統。

雖然美軍從未公布過網站部隊人數，但根據對美軍黑客工程跟蹤了13年的防務專家喬爾·哈丁(JoelHarding)的評估，目前美軍共有3000-5000名信息戰專家，5-7萬名士兵涉足網絡戰。如果加上原有的電子戰人員，美軍的網戰部隊人數應該在88700人左右。這意味著美軍網戰部隊人數已經相當于七個101空降師。俄羅斯2000年6月批準實施的?國家信息平安學說?把“信息戰〞問題放在突出地位。俄羅斯為此專門成立了新的國家信息平安與信息對抗領導機構，建立了信息戰特種部隊，將重點開發高性能計算技術、智能化技術、信息攻擊與防護技術等關鍵技術。日本防衛廳方案在2001至2005年實施的?中期防衛力量配備方案?中進行電腦作戰研究，通過電腦作戰破壞敵方的指揮通訊系統，加強自衛隊的信息防御和還擊能力。據美國防部官員稱，日本的東芝公司已有能力制造“固化病毒〞這種新式的計算機武器。我國在?國民經濟和社會開展第十一個五年規劃綱要?中明確提出要強化信息平安保障工作，要積極防御、綜合防范，提高信息平安保障能力。強化平安監控、應急響應、密鑰管理、網絡信任等信息平安根底設施建設，開展咨詢、測評、災備等專業化信息平安效勞。信息平安是信息化可持續開展的保障網絡信息平安已成為急待解決、影響國家大局和長遠利益的重大關鍵問題，信息平安保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成局部。網絡信息平安問題如果解決不好將全方位地危及我國的政治、軍事、經濟、文化、社會生活的各個方面,使國家處于信息戰和高度經濟金融風險的威脅之中。---沈昌祥院士信息平安專家3信息系統的平安體系信息平安的原始意義是指計算機通信中的數據、圖像、語音等信息的保密性、完整性、可用性不受損害。信息平安的概念不斷拓寬。從廣度上，信息平安外延到計算機通信根底設施的平安運行和信息內容的健康合法。從深度上，信息平安又向信息保護與防御的方向開展。信息平安的根本需求保密性(confidentiality)：信息不被泄露給非授權的用戶、實體或過程，或供其利用的特性完整性(integrity)：信息未經授權不能進行改變的特性可用性(availability)：信息可被授權實體訪問并按需求使用的特性

可控性(controllability)：可以控制授權范圍內的信息流向及行為方式

不可否認性(non-repudiation)：信息的行為人要對自己的信息行為負責，不能抵賴曾有過的信息行為信息保護及防御IA〔InformationAssurance〕保證信息與信息系統的可用性、完整性、真實性、機密性和不可抵賴性的保護與防御手段。它通過保護、檢測、恢復、反響技術的采用使信息系統具有恢復能力。保護Protect檢測Detect恢復Restore反應ReactIA信息防護的PDRR模型P2DR平安模型以平安策略為核心(ISS〔InternetSecuritySystemsInC.)提出)策略：是模型的核心，具體的實施過程中，策略意味著網絡平安要到達的目標。防護：平安規章、平安配置、平安措施檢測：異常監視、模式發現響應：報告、記錄、反響、恢復信息平安的互動模型網絡平安運行管理平臺—SOC(securityoperationcenter)

平安策略管理模塊作為SOC的中心,它根據組織的平安目標制定和維護組織的各種平安策略以及配置信息.資產是整個SOC體系的保護對象,SOC是以平安數據庫的建立為根底,平安數據庫包括資產庫,漏洞庫威脅庫,病毒信息庫,風險庫等.資產風險管理模塊應基于上述平安數據庫對資產的脆弱性,漏洞以及資產面臨的威脅進行收集和管理.網絡平安就像一個無方案擴張的城區一樣，因為各種不同的系統和設備以不同的方式相互溝通：如固定的局域網、無線和移動蜂窩網絡、專用廣域網、固定網絡和互聯網等不同的通訊方式。在這個星云狀的網絡領域考慮平安的唯一有效的方法是“分層次〞的保護。趨勢科技歐洲、中東和非洲地區平安總經理SimonYoung稱，平安專業人員，已經根本上接受了采取多層次的防御措施防御各種攻擊和威脅的觀點。一種產品或者技術不能防御一切可能的威脅。一種分層次的方法能夠讓企業建立多條防線。在最根本的層面上，網絡平安包括：使用熟悉的用戶名/口令相結合的方法識別用戶身份;使用卡、USB密鑰或者生物計量(如指紋和視網膜掃描等)等物理形式進行身份識別;或者使用某些方法結合在一起的方式進行身份識別(這對于訪問網絡中更敏感的局部是必要的)。下一層是防火墻。防火墻管理識別用戶身份的效勞和允許訪問的應用程序。防火墻可以防止網絡邊緣的PC或者效勞器上，或者安裝在路由器和交換機等物理網絡硬件上。除了防火墻之外，入侵防御和檢測系統接下來監視網絡的狀況、惡意軟件或者可疑的行為，阻止違反網絡管理員定義的規那么和政策的活動。但是，必須強調的是，沒有任何一種方法是絕對平安的。區別合法的和不合法的行為的難度還需要人類某種程度的干預。防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.防火墻的優點：

〔1〕防火墻能強化平安策略。

〔2〕防火墻能有效地記錄Internet上的活動。

〔3〕防火墻限制暴露用戶點,對網絡存取和訪問進行監控審計。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

〔4〕防火墻是一個平安策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為平安問題的檢查點，使可疑的訪問被拒絕于門外。(5)還支持具有Internet效勞特性的VPN。VPN的英文全稱是“VirtualPrivateNetwork〞，翻譯過來就是“虛擬專用網絡〞。虛擬專用網〔VPN〕被定義為通過一個公用網絡〔通常是因特網〕建立一個臨時的、平安的連接，是一條穿過混亂的公用網絡的平安、穩定的隧道。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設物理線路。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows2kxp等軟件里也都支持VPN功能。

虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供給商同公司的內部網建立可信的平安連接，并保證數據的平安傳輸。虛擬專用網可用于實現平安連接；實現企業網站之間平安通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的平安外聯網虛擬專用網。常用的虛擬專用網絡協議有：

IPSec:IPsec(縮寫IPSecurity)是保護IP協議平安通信的標準，它主要對IP協議分組進行加密和認證。

IPsec作為一個協議族〔即一系列相互關聯的協議〕由以下局部組成：(1)保護分組流的協議；(2)用來建立這些平安分組流的密鑰交換協議。前者又分成兩個局部：加密分組流的封裝平安載荷〔ESP〕及較少使用的認證頭〔AH〕，認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協議是唯一已經制定的密鑰交換協議。

PPTP:PointtoPointTunnelingProtocol--點到點隧道協議

在因特網上建立IP虛擬專用網〔VPN〕隧道的協議，主要內容是在因特網上建立多協議平安虛擬專用網的通信方式。

L2F:Layer2Forwarding--第二層轉發協議

L2TP:Layer2TunnelingProtocol--第二層隧道協議

GRE：VPN的第三層隧道協議--通用路由封裝SSLVPNMPLSVPNSocks5VPNDenning入侵檢測模型信息平安的技術層次視點Systemsecurity物理安全Systemsecurity運行安全Informationsecurity數據安全Informationsecurity內容安全

系統自身的平安“系統平安〞InformationSecurity信息利用的平安“信息對抗〞信息自身的平安“信息平安〞層次結構結構層次三級信息平安框架信息內容對抗國家計算機與網絡平安管理中心主任方濱興院士提出信息系統的平安體系管理體系培訓制度法律組織體系技術體系技術管理技術機制機構崗位人事安全策略與服務密鑰管理審計狀態檢測入侵監控OSI安全技術運行環境及系統安全技術物理安全系統安全安全服務安全機制OSI安全管理“平安是一個過程，而不是一個產品〞，BruceSchneier網絡平安生命周期模型 評估，設計，工程實施、開發和制造，布署，運行、管理和支持.平安過程與系統平安生命周期模型網絡信息平安設計四步方法論美國國家平安局制定的信息保障技術框架〔IATF〕

信息平安的層次分析4開放系統互連(OSI)平安體系結構網絡體系結構是計算機之間相互通信的層次，以及各層中的協議和層次之間接口的集合。國際標準化組織ISO在提出了開放系統互連〔OpenSystemInterconnection，OSI〕模型，這是一個定義連接異種計算機的標準主體結構。OSI采用了分層的結構化技術，每層的目的都是為上層提供某種效勞。OSI參考模型OSI平安體系結構的研究始于1982年，于1988年完成，其成果標志是ISO發布了ISO7498-2標準，作為OSI根本參考模型的補充。這是基于OSI參考模型的七層協議之上的信息平安體系結構。它定義了5類平安效勞、8種特定的平安機制、5種普遍性平安機制。它確定了平安效勞與平安機制的關系以及在OSI七層模型中平安效勞的配置。OSI平安體系結構的5類平安效勞1.鑒別鑒別效勞提供通信中的對等實體和數據來源的鑒別2.訪問控制防止對資源的未授權使用，防止以未授權方式使用某一資源3.數據機密性這種效勞對數據提供保護，使之不被非授權地泄露4.數據完整性例如使用順序號，檢測數據重放攻擊5.抗否認這種效勞可取如下兩種形式，或兩者之一：〔1〕有數據原發證明的抗否認〔2〕有交付證明的抗否認OSI平安體系結構的8種平安機制〔1〕加密對數據進行密碼變換以產生密文。加密既能為數據提供機密性，也能為通信業務流信息提供機密性，并且是其他平安機制中的一局部或對平安機制起補充作用。一般情況，在一個層次上進行加密，但也有可能需要在多個層上提供加密。〔2〕數字簽名機制數字簽名是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據或變換允許數據單元的接收者確認數據單元來源和數據單元的完整性，并保護數據，防止被他人偽造。〔3〕訪問控制機制為了決定和實施一個實體的訪問權，訪問控制機制可以使用該實體已鑒別的身份，或使用有關該實體的信息。例如：訪問控制信息庫、鑒別信息〔如口令〕、平安標記〔4〕數據完整性機制數據完整性有兩個方面：單個數據單元的完整性和數據單元序列的完整性。發送實體給數據單元附加一個量，這個量為該數據的函數。保護數據單元序列的完整性〔即防止亂序、數據的喪失、重放、插入或篡改〕還需要某種明顯的排序形式，如順序號、時間標記或密碼鏈。〔5〕鑒別交換機制如果在鑒別實體時，這一機制得到否認的結果，就會導致連接的拒絕或終止〔6〕通信業務填充機制能用來提供各種不同級別的保護，對抗通信業務分析〔7〕路由選擇控制機制在檢測到持續的操作攻擊時，端系統可以提示網絡的提供者經不同的路由建立連接〔8〕公證機制在兩個或多個實體之間通信的數據，如它的完整性、時間和目的地等能借助可信第三方的公證機制得到確保OSI的平安效勞與平安機制的關系保密性完整性鑒別訪問控制不可否認性加密YYY----數字簽名--YY--Y訪問控制------Y--數據完整性--Y----Y鑒別----Y----業務填充Y--------路由控制Y--------公證--------YOSI平安管理OSI平安管理包括系統平安管理〔OSI環境平安〕、OSI平安效勞的管理與平安機制的管理。平安管理信息庫〔SMIB〕是一個概念上的集合，存儲開放系統所需的與平安有關的全部信息。每個端系統必須包含必需的本地信息，使它能執行某個適當的平安策略。SMIB是一個分布式信息庫，在實際中，SMIB的某些局部可以與MIB〔管理信息庫〕結合成一體，也可以分開。SMIB有多種實現方法，例如，數據表、嵌入開放系統軟件或硬件中的數據或規那么。信息平安管理內容

內容：信息平安政策制定、風險評估、控制目標與方式的選擇、制定標準的操作流程、信息平安培訓等.涉及領域：平安方針策略、組織平安、資產分類與控制、人員平安、物理與環境平安、通信與運營平安、訪問控制、系統開發與維護、業務連續性、法律符合性等.5Internet平安體系結構Internet不同層的網絡平安技術5.1網絡層平安5.2傳輸層平安5.3應用層平安基于TCP/IP協議的網絡平安體系根底框架

5.1網絡層平安--IPSec5.2傳輸層平安--SSL5.3應用層平安—S-HTTP,SET5.1網絡層平安IPSec--一組協議在IP加密傳輸信道技術方面，IETF已經指定IPSec來制定IP平安協議〔IPSecurityProtocol,IPSP〕和對應的Internet密鑰管理協議〔InternetKeyManagementProtocol,IKMP〕的標準。

IPSec是隨著IPv6的制定而產生的，鑒于IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IPSP的主要目的是使需要平安效勞的用戶能夠使用相應的加密平安體制。該體制應該與算法獨立，可以自己選擇和替換加密算法而不會對應用和上層協議產生任何影響。此外，該體制必須能支持多種平安政策，并且對其他不使用該體制的用戶完全透明。按照這些要求，IPSec工作組使用認證頭部〔AH〕和平安內容封裝〔ESP〕兩種機制，前者提供認證和數據完整性，后者實現通信保密。AH〔AuthenticationHeader，驗證頭部協議〕ESP〔EncapsulatingSecurityPayload，封裝平安載荷〕協議IPSec體系結構

AH為IP數據包提供如下3種效勞：無連接的數據完整性驗證、數據源身份認證和防重放攻擊。ESP除了為IP數據包提供AH已有的3種效勞外，還提供另外兩種效勞：數據包加密、數據流加密。IKE協議負責密鑰管理，定義了通信實體間進行身份認證、協商加密算法以及生成共享的會話密鑰的方法。對IP包進行的IPSec處理有兩種：AH和ESP。AH提供無連接的數據完整性、數據來源驗證和抗重放攻擊效勞；而ESP除了提供AH的這些功能外，還可以提供對數據包加密和數據流量加密。AH和ESP可以單獨使用，也可以嵌套使用。通過這些組合方式，可以在兩臺主機、兩臺平安網關〔防火墻和路由器〕，或者主機與平安網關之間使用。5.2傳輸層平安常見的傳輸層平安技術有SSL-SecuresocketlayerSSL分為兩層，上面是SSL協商層，雙方通過協商約定有關加密的算法，進行身份認證等；下面是SSL記錄層，它把上層的數據經分段、壓縮后加密，由傳輸層傳送出去。SSL采用公鑰方式進行身份認證，大量數據傳輸仍使用對稱密鑰方式進行數據加密。通過雙方協商，SSL可以支持多種身份認證、加密和檢驗算法。SSL結構圖高層協議SSL協商層SSL記錄層傳輸層低層協議SSL協議協商層工作過程示意圖通過X.509證書傳輸其擁有者的公開密鑰為了保持Internet上的通用性，目前一般的SSL協議只要求效勞器方向客戶方出示證書以證明自己的身份，而不要求用戶方同樣出示證書，在建立起SSL信道后再加密傳輸用戶的口令實現客戶方的身份認證。5.3應用層平安

IP層的平安協議能夠為網絡連接建立平安的通信信道，傳輸層平安協議允許為進程之間的數據通道增加平安屬性，但它們都無法根據所傳送的不同內容的平安要求予以區別對待。如果確實想要區分具體文件的不同的平安性要求，就必須在應用層采用平安機制。平安HTTP協議〔S-HTTP〕是Web上使用的超文本傳輸協議〔HTTP〕的平安增強版本，由企業集成技術公司設計。它建立在HTTP1.1的根底上，提供了數據加密、身份認證、數據完整、防止否認等功能。S-HTTP通過協商可以選擇不同的密鑰管理方法、平安策略，以及加密算法等。它在對稱密鑰方式下工作時，它不要求客戶方用公鑰Certificate進行身份認證，相對于SSL而言，降低了對公鑰體系的要求。S-HTTP提供了文件級的平安機制，因此每個文件都可以設置成保密/簽字狀態。用作加密及簽名的算法可以由參與通信的收發雙方協商。S-HTTP提供了對多種單向散列〔Hash〕函數的支持，如MD2、MD5及SHA；對多種私鑰體制的支持，如DES、三元DES、RC2、RC4；對數字簽名體制的支持，如RSA和DSS。HTTPSstandsfor"HypertextTransferProtocoloverSecureSocketLayer".

HTTPSisnotaseparateprotocol,butisacombinationofanormalHTTPconnectionoveranencryptedSecureSocketsLayer(SSL)orTransportLayerSecurity(TLS)connection.

Whenyouuses:,theURLwillusetheHTTPProtocolbutoveradifferentdefaultTCPport(443-unsecuredHTTPportisusually80)andwithanadditionalencryption/authenticationlayerbetweentheHTTPandTCP.

Thism