防火墙的核心技术
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇防火墙的核心技术范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
防火墙的核心技术范文第1篇
关键词:内部网络外部网络 安全
一、防火墙功能概述
防火墙是一个保护装置,它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机,它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制,它主要任务是允许特别的连接通过,也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测,控管规则过滤,实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点:根据应用程序访问规则可对应用程序连网动作进行过滤;对应用程序访问规则具有自学习功能;可实时监控,监视网络活动;具有日志,以记录网络访问动作的详细信息;被拦阻时能通过声音或闪烁图标给用户报警提示。
防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础,必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
二、防火墙主要技术特点
应用层采用Winsock 2 SPI进行网络数据控制、过滤;核心层采用NDIS HOOK进行控制,尤其是在Windows 2000 下,此技术属微软未公开技术。
此防火墙还采用两种封包过滤技术:一是应用层封包过滤,采用Winsock 2 SPI;二是核心层封包过滤,采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上,属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。采用Winsock 2 SPI的优点是非常明显的:其工作在应用层以DLL的形式存在,编程、测试方便;跨Windows平台,可以直接在Windows98/ME/NT/2000/XP 上通用,Windows95只需安装上Winsock 2 for 95,也可以正常运行;效率高,由于工作在应用层,CPU占用率低;封包还没有按照低层协议进行切片,所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
三、网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
四、防火墙的设计策略
防火墙的设计策略是具体地针对防火墙,负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前,必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种:除非明确不允许,否则允许某种服务;除非明确允许,否则将禁止某项服务。
执行第一种策略的防火墙在默认情况下允许所有的服务,除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务,除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略(第一种),也可以实施一种限制性策略(第二种),这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上,和其他的系统隔离。
五、设计时需要考虑的问题
为了确定防火墙设计策略,进而构建实现策略的防火墙,应从最安全的防火墙设计策略开始,即除非明确允许,否则禁止某种服务。策略应该解决以下的问题:需要什么服务;在哪里使用这些服务;是否应当支持拨号入网和加密等服务;提供这些服务的风险是什么;若提供这种保护,可能会导致网络使用上的不方便等负面影响,这些影响会有多大,是否值付出这种代价;和可用性相比,站点的安全性放在什么位置。
六、防火墙的不足
防火墙不能防止内部的攻击,因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权,从而导致事故。防火墙也不能防止像社会工程攻击 —— 一种很常用的入侵手段,就是靠欺骗获得一些可以破坏安全的信息。另外,一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马,但这些防火墙只能阻挡已知的恶意程序,这就可能让新的病毒和木马溜进来。而且,这些恶意程序不仅仅来自网络,也可能来自软盘。
参考文献:
[1]朱燕辉.WINDOWS防火墙与网络封包截获技术[M].电子工业出版社,2002.
防火墙的核心技术范文第2篇
2007年新春伊始,“熊猫烧香”、“艾妮病毒”等病毒的广泛发作以及所造成的危害,使人们对自己的信息安全不得不更加警惕。对于中国安全市场来说,市场竞争也随着用户对安全认识的加深不断升级。国内安全厂商纷纷使出浑身解数,好为自己争得一席之地。近日,安全厂商天融信在其安全巡展上海站活动中,透露了他们在今年的安全布局。
随用户所需 构纵深防御体系
事实上,近两年中主流网络安全技术正逐步成熟,已经从原有的注重单一产品的性能,转化到关注网络整体安全架构的层面,力求让各种独立的安全设备联动为一个完整的安全防护协作体系。
在巡展活动中,天融信公司对当前安全市场形式、所面临问题以及应对策略等做了详细分析。该公司认为,当前病毒/木马及恶意代码、网络蠕虫、垃圾邮件是当前用户遇到最多的三类问题,从漏洞宣布到大规模蠕虫出现,时间越来越短。安全问题加安全事件构成了当前信息安全市场的需求,单纯的安全硬件、安全软件都不能解决越来越复杂的安全问题。而天融信的应对策略就是,安全硬件、安全软件加安全服务构成一个综合防范的安全体系,即纵深防御安全体系架构。
专心致志 以技术为核心
在这次活动中,天融信技术人员重点介绍了他们最具代表性的核心技术,那就是自主研发的已成功应用于其防火墙产品中的TopASIC芯片。
与目前其他技术架构相比,TopASIC芯片由于将七层过滤、状态核检测、可编程模块、QoS、路由、VPN及NAT等功能点融入其中,具有三方面特点:集成了NGFW4000防火墙的大部分功能,从而实现硬件加速,保证性能;内部预留了未编程的模块空间,已编程的模块也可进行修改;可编程升级,对用户需求要求投资保值性。此外,该芯片具有5Gbps的芯片转发容量、100%千兆端口吞吐率、大于200万并发连接、小于10微秒的转发延迟、每秒新建链接达30000个等性能方面的特点。
在会后采访中,可以看出,天融信在把握用户安全需求变化方面非常准确和及时。他们已经早早地意识到,目前,安全攻击已经从单一型向符合型攻击迈进,用户需求也更加趋于实际和理性化,安全的需求也从三层扩展到4~7层,功能特殊性的需求层出不穷,更加注重流量控制、审计等方面。
在此次推出的系列新品中,最引人瞩目的就是其防火墙产品“猎豹”和IPS新品“TopIDP”。
网络卫士防火墙猎豹融合了NP可编程、传统ASIC高性能特点,比NP防火墙性能更高,稳定性更强;比传统ASIC技术防火墙更加灵活,能够实现100%的千兆小包线速,是一款真正的线速防火墙。它同时也是我国第一款基于自主安全芯片TopASIC技术的防火墙。
网络卫士入侵防御系统TopIDP是基于硬件加速技术实现的网络入侵防御系统,在线部署在网络中,为用户提供全线速、主动、实时、准确的网络入侵防御。它具备对2~7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可有效检测并实时、准确阻断隐藏在海量网络中的攻击、病毒与滥用行为。该产品同时也可提供对IM、BT、网络游戏、异常流量等各种应用的有效控制管理,从而达到对网络架构防护、网络性能保护和核心应用保障的目的。
安全发力 从春季开始
防火墙的核心技术范文第3篇
1.1核心技术难点
在本方案中,最大的难点有3个:
1)如何将大量的流量分流到各个互联网出口上,并且根据出口的状态(通或不通)动态的调整各个出口的流量;
2)如何将访问互联网的流量按开通的带宽大小均匀分配到各个出口;
3)分配到各个出口上的流量,如何能准确的送到各个出口,不会被途中的路由器转发到其他地方。
1.2核心技术解决方案
1.2.1难点一解决方案
到目前为止,互联网接入点和核心机房的VPN通道已经建立,每个出口的流量也由负载均衡器做了限制,但现在VPN通道仅仅是防火墙和边缘路由器之间建立,如果智能负载均衡设备不知道目前已接通的VPN通道,那就无法正确地将流量指向各个出口,无法实现将大流量分散到各个出口上。为解决这个难题,我们通过IPSec中保护数据流的方式来实现,为每一个小出口定义一个需保护的数据流。我们单独规划一段私网地址,每个出口一一对应一个私网地址,在边缘路由器配置时,通过创建ACL(访问控制列表)来定义保护的数据流,即该ACL中匹配该出口对应的私网地址,同时在IPSec的安全策略中引用该ACL。这样当边缘路由器和核心防火墙建立IPSec的VPN通道时,防火墙就能得知每个出口需保护的数据流,即数据流的地址是规划的私网地址时,就把数据流送到对应的VPN通道中。在负载均衡器上配置每个出口数据,同时对每个出口的做源地址NAT(网络地址转换),将原有数据包的源地址转换成每个出口定义的私网地址,再将该数据包送到防火墙上。防火墙根据每个数据包的私网地址送入不同的VPN通道,经过加密传输到边缘路由器上,从而实现了访问外网的数据分散到多个出口之上。同时一般的负载均衡器都能配制线路的健康检测,针对每个出口都配置一个健康检测,都是以私网地址为源地址去做每个出口的健康检测,实现对每个出口业务情况的掌控。
1.2.2难点二解决方案
局域网边缘的互联网接入点在接入互联网时,受接入方式的不同或成本的限制,有可能开通的带宽各不相同,如何才能保证各出口的流量不会超过出口的接入带宽。为解决这一难点,在智能负载均衡设备上,配置每条出口时指定最大带宽,限制了智能负载均衡设备将数据转发到每个出口的最大值,保证小带宽出口不会因为流量过大造成拥塞。
1.2.3难点三解决方案
大型局域网是指有多台路由器组成,彼此之间通过动态路由协议交互路由信息,每台设备均维护各自的路由表项。在这种网络环境下,访问互联网的流量途径任意一台路由器时,都有可能被路由器转发到错误接口上。为了解决这一难点,必须在局域网边缘的互联网接入点和核心机房之间建立端到端的连接,保证流量能被准确的送到互联网接入点。经过研究比对,推荐由互联网接入点的宽带路由器和核心机房内的防火墙使用IPsec来建立VPN通道解决这一难点,同时为简化后期维护压力,建议由互联网接入点的小型宽带路由器主动发起IPSec建立请求。
2实际应用效果
1)使用效果:分别使用电信、联通大小带宽测试网站打开情况,从测试结果来看,小带宽访问网站质量与大带宽近似,使用小带宽出口后访问效果并没有下降。
2)流量使用情况:目前已试点使用了600Mb/s电信、联通小带宽出口,流量使用比较稳定,可以承载部分大带宽出口流量。
3)经济效益:仅以电信20Mb/s大小带宽比对相关费用,目前电信大带宽为2000元/月,一年费用为2.4万元/年,而家庭宽带20Mb/s费用为0.2万元/年,加上每个接入点的路由器0.2万元,每个20Mb/s总计需费用为0.4万元,两者宽带租用费用相差6倍。使用该方案可以大大减少集团用户互联网费用的支出。
3结论
防火墙的核心技术范文第4篇
【关键词】:防火墙 网络安全 技术
计算机网络在使用过程中,受到来自外界和内部的攻击,造成信息丢失,或者计算机自身破坏等后果。因此我们应关注计算机网络安全,网络具有复杂性,从这一点上使用者应正确分析来自网络的不同信息,确保操作的合理性。另一方面,要增强防火墙这一重要软件的功能,实现对不良信息的隔离功能。
一、计算机网络技术的体现
(一)网络信息安全
网络安全包括很多要求,其中信息安全是其主要体现形式之一。要彻底的实现对网络的防护,需要建立网络安全体系。其中包括物理层面、用户使用上以及数据安全评价等方面的构建。但互联网的管理上存在漏洞,发展过于迅速也使得其疏于管理、难于管理,使得互联网受到病毒的侵袭严重,通过互联网的犯罪行为居高不下。安全隐患主要来自于无阅读和使用权限的人通过不同的方式获得客户信息。病毒的发展随着网络技术的发达而逐渐增多,这给企业的安全带来威胁。恶意的攻击源于不安全操作以及设计不合理等因素,一旦进入病毒程序,将造成巨大的经济损失。这使得网络使用具有双向性,也提醒使用者正确使用,提醒设计者不断的更新技术,增强计算机的防护能力。这使得防火墙技术和基于防火墙技术而更新的计算机安全防护技术成为必然。
(二)计算机安全体系结构
计算机系统安全运行模式要以信息处理功能和传输能力正常为前提。重点关注计算机由于某种原因而造成系统崩溃,确保信息存储安全。计算机安全体系机构也是防止商业信息泄露的重要途径之一。网络上系统信息的安全通常以客户的口令鉴别来设定权限,另外其体系结构还包括安全审计、方式控制以及安全隐患追踪。信息传播是否安全是其传播后果的体现,信息过滤应是安全体系中必备功能之一。它主要用于非法信息的控制,对网络搜索引擎的信息失控进行必要的掌控。网络上的信息内容的安全则包含了其应具有真实性、保密性以及明确性等特点。但目前的网络发展中,信息安全隐患大量存在,需要进一步的规范。
二、防火墙技术在计算机网络安全中的应用
防火墙具有多年的发展历史,其在网络安全防护中的作用十分明显。且具有安装方便,使用方便等特点。防火墙是对不良信息等不符合规定的网络输入进行提醒。从而帮助使用者以正确的操作方式避免病毒等侵袭,并迫使所有的连接都使用相同的检查方式,及时防止来自于网络的攻击。从逻辑上分析,防火墙事实上是一个限制器和分离器。是通过对网络上一些不安全因素的分离和处理来确保网络的安全。也就是说,“包过滤”技术是防火墙的核心技术。包过滤应遵循一定的安全策略,管理员通过在计算机中设置过滤和控制清单来实现其功能。其标准主要为:在防火墙产品中,包过滤的标准一般是靠网络管理包的源地址和目的地址、输入和输出请求以及TCP/IP等数据包协议。随着技术发展,防火墙技术不在局限于硬件技术,基于软件的服务器也可以实现防火墙功能。早期的防火墙主要以主机屏蔽为主要功能,但新时期其信息加密能力更强。这一技术进一步确保了网络信息安全,从技术层面完成了质的飞跃,这一技术的革新依然在研究之中,将成为未来计算机安全控制的核心。对于防火墙功能,主要包括以下几个方面。其一:对不合理的信息进行过滤,这一过程同样包括对硬件的监测和对软件的监测,可有效阻止病毒的入侵。其二:防止不安全的链接访问,设置安全权限,防止不具备权限的网络侵袭。这样可以合理的过滤到不安全因素。其三:网络连接的日志记录及使用统计,防火墙能够形成不同的日志记录,数据统计结果具有合理性,通过报警功能来确保网络资源的合理分配和使用。最后:防火墙可以更好的保护内部信息,对外网隐藏的信息进行加密保护,防止远程程序盗窃信息。
三、网络安全体系的构建
网络安全体系的构建是本文研究的重点。尤其是随着网络安全隐患越来越多,防护墙技术有待于进一步发展。首先,在技术上我们应不断的进行更新,研究病毒的侵袭模式、新病毒的生成及其原理,并且设计功能强大的软件,以确保系统安全。其次,要加强网络安全监测,对其实施全面的防病毒处理,合并其他软件来协助防火墙完成信息监测。上文我们讨论了防火墙的强大的功能,在网络安全体系的构建中,还应及时发现问题,将防火墙技术与最新的技术相结合,从而生成强大的、高效的解决网络安全的软件。当然,在这一过程中,操作者的合理操作无疑是影响其安全系数的关键,基于此应树立使用者的安全使用意识,降低网络病毒对网络的威胁,确保计算机安全。
综上所述你,计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等
参考文献
[1] 张鸣 高杨.计算机网络安全与防火墙技术研究[J].黄河水利职业技术学院学报,2011(02).
防火墙的核心技术范文第5篇
摘要:文章主要针对在电子商务应用中所经常使用到的几种信息安全技术作了系统的阐述,分析了各种技术在应用中的侧重点,强调了在电子商务应用中信息安全技术所具有的重要作用。
21世纪是知识经济时代,网络化、信息化是现代社会的一个重要特征。随着网络的不断普及,电子商务这种商务活动新模式已经逐渐改变了人们的经济、工作和生活方式,可是,电子商务的安全问题依然是制约人们进行电子商务交易的最大问题,因此,安全问题是电子商务的核心问题,是实现和保证电子商务顺利进行的关键所在。
信息安全技术在电子商务应用中,最主要的是防止信息的完整性、保密性与可用性遭到破坏;主要使用到的有密码技术、信息认证和访问控制技术、防火墙技术等。
一、密码技术
密码是信息安全的基础,现代密码学不仅用于解决信息的保密性,而且也用于解决信息的保密性、完整性和不可抵赖性等,密码技术是保护信息传输的最有效的手段。密码技术分类有多种标准,若以密钥为分类标准,可将密码系统分为对称密码体制(私钥密码体制)和非对称密码体制(公钥密码体制),他们的区别在于密钥的类型不同。
在对称密码体制下,加密密钥与解密密钥是相同的密钥在传输过程中需经过安全的密钥通道,由发送方传输到接收方。比较著名的对称密钥系统有美国的DES,欧洲的IDEA,Et本的RC4,RC5等。在非对称密码体制下加密密钥与解密密钥不同,加密密钥公开而解密密钥保密,并且几乎不可能由加密密钥导出解密密钥,也无须安全信道传输密钥,只需利用本地密钥的发生器产生解密密钥。比较著名的公钥密钥系统有RSA密码系统、椭圆曲线密码系统ECC等。
数字签名是一项专门的技术,也是实现电子交易安全的核心技术之一,在实现身份认证、数据完整性、不可抵赖性等方面有重要的作用。尤其在电子银行、电子证券、电子商务等领域有重要的应用价值。数字签名的实现基础是加密技术,它使用的是公钥加密算法与散列函数一个数字签名的方案一般有两部分组成:数字签名算法和验证算法。数字签名主要的功能是保证信息传输的完整性、发送者身份的验证、防止交易中抵赖的发生。
二、信息认证和访问控制技术
信息认证技术是网络信息安全技术的一个重要方面,用于保证通信双方的不可抵赖性和信息的完整性。在网络银行、电子商务应用中,交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即在通信过程中没有被修改或替换。
①基于私钥密码体制的认证。假设通信双方为A和B。A,B共享的密钥为KAB,M为A发送给B的信息。为防止信息M在传输信道被窃听,A将M加密后再传送。
由于KAB为用户A和B的共享密钥,所以用户B可以确定信息M是由用户A所发出的,这种方法可以对信息来源进行认证,它在认证的同时对信息M也进行了加密,但是缺点是不能提供信息完整性的鉴别。通过引入单向HASH函数,可以解决信息完整性的鉴别问题,如图2所示
用户A首先对信息M求HASH值H(M),之后将H(M)加密成为m,然后将m。和M一起发送给B,用户B通过解密ml并对附于信息M之后的HASH值进行比较,比较两者是否一致。图2给出的信息认证方案可以实现信息来源和完整性的认证。基于私钥的信息认证的机制的优点是速度较快,缺点是通信双方A和B需要事先约定共享密钥KAB。
②基于公钥体制的信息认证。基于公钥体制的信息认证技术主要利用数字签名和哈希函数来实现。假设用户A对信息M的HASH值H(M)的签名为SA(dA,H(m),其中dA为用户A的私钥),用户A将M//SA发送给用户B,用户B通过A的公钥在确认信息是否由A发出,并通过计算HSAH值来对信息M进行完整性鉴别。如果传输的信息需要报名,则用户A和B可通过密钥分配中心获得一个共享密钥KAB,A将信息签名和加密后再传送给B,如图3所示。由图3可知,只有用户A和B拥有共享密钥KAB,B才能确信信息来源的可靠性和完整性。
访问控制是通过一个参考监视器来进行的,当用户对系统内目标进行访问时,参考监视器边查看授权数据库,以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。而数据库的授权则是一个安全管理器负责管理和维护的,管理器以阻止的安全策略为基准来设置这些授权。
③防火墙技术。防火墙是目前用得最广泛的一种安全技术,是一种由计算机硬件和软件的组合。它使互联网与内部网之间建立起一个安全网关,可以过滤进出网络的数据包、管理进出网络的访问行为、对某些禁止的访问行为、记录通过防火墙的信息内容和活动及对网络攻击进行检测和告警等。防火墙的应用可以有效的减少黑客的入侵及攻击,它限制外部对系统资源的非授权访问,也限制内部对外部的非授权访问,同时还限制内部系统之间,特别是安全级别低的系统对安全级别高的系统的非授权访问,为电子商务的施展提供一个相对更安全的平台,具体表现如下:
①防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙身上。
②对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
③防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样台主机的域名和IP地址就不会被外界所了解。
④网络安全协议。网络协议是网络上所有设备之间通信规则的集合。在网络的各层中存在着许多协议,网络安全协议就是在协议中采用了加密技术、认证技术等保证信息安全交换的安全网络协议。
目前,Intemet上对七层网络模型的每一层都已提出了相应的加密协议,在所有的这些协议中,会话层的SSL和应用层的SET与电子商务的应用关系最为密切:
①ssL协议(SecureSocketsLayer)安全套接层协议。SSL使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL主要使用PKI在建立连接时对通信双方进行身份认证。SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。它主要适用于点对点之间的信息传输,提供基于客户/服务器模式的安全标准,它在传输层和应用层之间嵌入一个子层,在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。SSL安全协议是国际上最早应用于电子商务的一种网络安全协议,至今仍然有很多网上商店使用。在传统的邮购活动中,客户首先寻找商品信息,然后汇款给商家,商家将商品寄给客户。这里,商家是可以信赖的,所以客户先付款给商家。在电子商务的开始阶段,商家也是担心客户购买后不付款,或使用过期的信用卡,因而希望银行给予认证。SSL安全协议正是在这种背景下产生的。所以,它运行的基点是商家对客户信息保密的承诺。显然,SSL协议无法完全协调各方间的安全传输和信任关系。
