1、WEB流量安全方法:IPsec 和 SSL 和 应用层特定安全服务 的区别?
IPSec的优点:它对最终用户和应用程序是透明的,并提供了通用的解决方案。
此外,IPSec还包括一个过滤功能,因此只有选定的流量才会产生IPSec处理的开销。
SSL的优点是:它利用了TCP的可靠性和流控制机制。
特定于应用程序的优点是:可以根据给定应用程序的特定需求定制服务。
.
2、SSL提供了什么?
- 安全:双方知道数据是保密的,并且没有被篡改。
- 几乎总是要向服务器认证。(握手协议)
- 可选的客户端认证。(握手协议)
- 异常情况通知:错误警示;关闭连接。(警报协议)
- 灵活性
3、SSL的过程?
- 阶段1:
TLS握手协议:对服务器认证+共享加密算法和密钥 - 阶段2:
TLS记录协议:加密数据
4、TLS握手协议?
TLS握手协议包括:握手协议;修改密码规范协议;警报协议;HTTP;心跳协议
- 客户端和服务器相互鉴定。
- 协商加密方式和密钥
如何提供安全性:身份鉴别(单向/双向),协商得到安全的密钥。
.
5、握手协议是什么?
握手协议在任何应用数据被传输之前使用。
允许客户端和服务器相互认证,并协商加密和MAC算法,以及保护密钥通过SSL记录协议传送。
.
6、TLS记录协议?
- 必须建立在TCP之上。
- 用来封装高层的协议。
如何提供安全性: 保密性,消息完整性。
-
保密性:定义了加密TLS荷载的传统加密密钥。
-
消息完整性:还定义了用于生成消息验证码(MAC)的共享密钥。
.
7、TLS记录协议的步骤?
1.分段;2.选择压缩;3.添加MAC;4.加密;5.添加TLS记录头部。
.
8、会话恢复是什么
整个握手协议开销巨大。会话恢复可以在客户和服务器通信过一次的情况下,跳过握手阶段 ,直接进行数据传输。
通过使用上一次握手中确立的次密钥pre_master_secret,则可以避免许多计算开销。
在根据共同的主密钥master_secret,生成新密钥。
客户发送 Client_Hello ,申请会话恢复。
服务器发送Server_Hello中相同的随机数,来同意会话恢复。
接下来就会跳过其余步骤,使用保存的master_secret来产生新的加密密钥
(即使主密钥与上次一样,由于新的随机数不同,新产生的加密密钥不会与以前一样)。
9、SET提供什么服务?
- 客户交易信息的保密性和完整性
- 商家和客户交易行为的不可否认性
- 商家和客户的合法性
10、SET交易过程?
(1)客户在网上商店看中商品后,和商家进行磋商,然后发出请求购买信息。
(2)商家要求客户用电子钱包付款。
(3)电子钱包提示客户输入口令后与商家交换握手信息,确认商家和客户两端均合法。
(4)客户的电子钱包形成一个包含订购信息与支付指令的报文发送给商家。
(5)商家将含有客户支付指令的信息发送给支付网关。
(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。
(7)商家向客户的电子钱包发送一个确认信息。
(8)将款项从客户账号转到商家账号,然后向顾客送货,交易结束。
11、双重数字签名?
在电子商务中,存在着客户,商家和银行三者之间交易信息的传递,其中包括只能让商家看到的订购信息,和 只能让银行看到的支付信息。
DS = EPRc( H ( H(PI) || H(OI) ) )
- 客户用Hash函数对订购信息和支付信息进行散列处理,分别得到订购信息的消息摘要和支付信息的消息摘要。
- 将两个消息摘要连接起来再用Hash函数进行散列处理,得到支付订购消息摘要。
- 客户用他的私钥加密支付订购消息摘要,最后得到的就是经过双重签名的信息
1)客户将“订购信息+支付信息的消息摘要+双重签名”发给商家,将“支付信息+订购信息的消息摘要+双重签名”发给银行;
2)商家和银行对收到的信息先生成摘要,再与另一个摘要连接起来,如果它与解密后的双重签名(利用客户的公钥)相等,就可确定消息的真实性。
商家看不到顾客账户信息、银行不知道客户的购买信息,但都可确认另一方是真实的。
.
11、TLS会话 和 TLS连接 区别?
连接:
是一种传输,它提供了合适的服务类型。
对于SSL,这样的连接是对等关系。
这些连接是暂时的。
每个连接都与一个会话相关联。
会话:
SSL会话是客户机和服务器之间的关联。
会话是由握手协议创建的。
会话定义了一组加密安全参数,可以在多个连接之间共享这些参数。
会话是为了节省每个连接协商新的安全参数的开销。
12、一个会话的参数:
会话标识:服务器选择的用于标识活动或恢复会话状态的任意字节序列。
对等体证书:一个X509.v3对等证书。
压缩方法:在加密之前对数据进行压缩的算法。
密码规范:指定用于数据加密的算法和哈希算法。它还定义了加密属性。
主密钥:在客户端和服务器之间共享的48字节秘密。
可恢复性:指示会话是否可用于初始化新连接的标志。
13、一个连接的参数:
服务器和客户端随机数:服务器和客户端为每个连接选择的字节序列。
服务器写入MAC密码:服务器发送的数据进行MAC操作时使用的密钥。
客户端写入MAC密码:客户端发送的数据进行MAC操作时使用的密钥。
服务器写密钥:用于服务器加密、客户端解密的传统加密密钥。
客户端写入密钥:用于客户端加密、服务器解密的传统加密密钥。
初始化向量:使用CBC的分组模式时的初始化向量(IV)。由SSL握手协议初始化。然后将每次的最后一个密文块保存,作为后续IV使用。
序列号:会话双方为每个连接维护一个序列号。当一方发送或接收更改密码规范消息时,序列号被置为0。序列号不得超过264-1。
14、主密钥是什么?
共享主密钥是通过密钥交换、为本次会话创建的一次性48字节的值。
第一步,交换预备主密钥。第二步,双方计算主密钥。
15、HTTPS是什么?
HTTPS(基于SSL的HTTP)是指HTTP和SSL的组合,用于在Web浏览器和Web服务器之间实现安全通信。
HTTPS端口:443 。
12、SSH是什么?
最初的版本SSH1侧重于提供一个安全的远程登录设施,以替代 Telnet 和其他远程登录方案。
SSH还提供了文件传输和电子邮件等功能。
13、SSH包含什么协议?
传输层协议:提供服务器认证、数据保密性和前向保密。
用户身份验证协议:为服务器认证用户。
连接协议:在底层SSH连接上 提供多个逻辑信道。