网络与信息安全概述-课程建设平台

网络与信息平安概述北京科技大学信息学院陈红松副教授1课程内容及使用的教材2网络与信息平安的严峻形势3网络与信息系统的平安体系4开放系统互连(OSI)平安体系结构5Internet平安体系6网络与信息平安产品介绍课程内容网络与信息平安概述黑客攻击与风险分析身份认证及Kerberos协议Ipsec平安协议SSL平安协议防火墙技术VPN技术入侵检测技术SNMP网络平安管理网络平安评估与管理可信计算信息平安法律法规参考教材?网络平安?作

者:

胡道元出版社:

清华大学出版社出版时间:2004.7?网络平安完全手册?出版社:

电子工业出版社出版时间:2005.10网络信息平安前沿专题讨论(15%)开卷考试占85%2信息平安的严峻形势2006年6月13日，据微软公布的平安报告显示，在2005年1月至2006年3月期间，60％左右的WindowsPC机都感染过恶意代码。据称，美国正在进行的CPU“陷阱〞设计，可使美国通过互联网发布指令让敌方电脑的CPU停止工作。1998年，为了获得在洛杉矶地区kiss-fm电台第102个呼入者的奖励——保时捷跑车，KevinPoulsen控制了整个地区的系统，以确保他是第102个呼入者。最终，他如愿以偿获得跑车并为此入狱三年。2000年1月，日本政府11个省、厅受到黑客攻击。总务厅的统计信息全部被删除；外务省主页3分钟受攻击1000余次；日本最高法院主页2天内受攻击3000余次。日本政府成立反黑特别委员会，拨款24亿日元研究入侵检测技术、追踪技术、病毒技术和密码技术。2000年2月，美国近十家著名的互联网站遭受黑客攻击，在短短的几天内，使互联网的效率降低20％，据估算，攻击造成的损失到达12亿美元以上，引起股市动乱。2001年2月8日，新浪网遭受大规模网络攻击，电子邮件效劳器瘫痪了18个小时。造成了几百万的用户无法正常使用新浪网。2006年9月13日，百度成认遭受“大规模的不明身份黑客攻击〞，导致百度搜索效劳在全国各地出现了近30分钟的故障，并认为这是有人精心组织筹划的行动，并已经向公安机关报案。熊猫病毒〞是2006年中国十大病毒之首。它通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能.熊猫烧香〞是一种蠕虫病毒的变种，而且是经过屡次变种而来的,原名为尼姆亚变种)。外交部驳斥我军方攻击美国防部网络传言外交部发言人姜瑜在北京表示，最近有关中国军方对美国国防部实施网络攻击的指责是毫无根据的。“中国政府一贯坚决反对和依法严厉打击包括黑客行为在内的任何破坏网络的犯罪行为。在中美致力于开展建设性合作关系，中美两军关系呈现出良好开展势头的大背景下，有人对中国进行无端指责，妄称中国军方对美国国防部实施网络攻击，这是毫无根据的，也是冷战思维的表达。〞姜瑜在例行记者会上答记者问。“我们认为黑客是一个国际性的问题，中方也经常遭到黑客的袭击。中方愿与其他国家一道，采取措施共同打击网络犯罪。在这方面，我们愿意加强国际合作。〞IBM研究称黑客攻击速度加快据IBM最新发表的一份报告称，越来越多的攻击在缺陷披露24小时内就出现在了互联网上，这意味着，许多用户还没有来得及了解相关问题前就可能已经受到了攻击。IBM在报告中谈到了互联网威胁方面两个日益明显的趋势。其一，互联网犯罪分子依赖软件工具，帮助他们利用公开披露的缺陷自动发动攻击。过去，犯罪分子自己发现平安缺陷需要更长的时间。IBM一名高管克里斯·兰姆〔KrisLamb〕在接受采访时说，积极地寻找软件中缺陷的并非是犯罪分子本人，犯罪分子充分利用了平安研究社区的成果，他们所需要做的就是利用所获得的信息发动攻击。其二，平安研究人员就应当在多大程度上公开披露平安缺陷资料的争论愈演愈烈了。大多数情况下平安研究人员会等待相关厂商发布补丁软件后才会公开披露平安缺陷的详细资料。但有时平安研究人员在公开平安缺陷详细资料的同时也会发布所谓的“概念验证〞代码，以证明平安缺陷确实是存在的。这就可能向犯罪分子提供他们所需要的帮助，缩短他们发动攻击所需要的时间。根据国外一平安软件厂商公布的一项调查结果显示，计算机犯罪分子开始倾向于通过合法的网站来传播病毒和恶意软件，这些网站既包括社交网站，也包括人们通常使用的搜索引擎网站。

根据Websense公司的一项调查显示，在2021年上半年大约有75%的网站包含有恶意内容，这些网站一般都拥有良好的信誉度，而在此之前的6个月中，感染恶意代码的网站只有50%.在全球100强网站中大约有60%或者页面含有病毒，或者将用户引导向恶意网站。

Websense表示，计算机犯罪分子正在将目标瞄向一些流行的群众网站，而不是自己建立一个网站，因为前者具有大量的访问用户作为其攻击对象。一旦用户访问了被感染的网页，黑客们就有时机访问他们的个人信息或者利用他们的计算机作为“僵尸〞来进行更广范围的攻击。

黑客们还可以在被攻击者的计算机上安装间谍软件，从而跟踪用户的每一个操作。

Websense的平安研究还发现，在过去6个月以来，76.5%以上的邮件都包含恶意网站的链接或垃圾邮件发送网站等，该数据上升了18%.

Websense平安实验室通过ThreatSeeker技术来发现、分类并监测全球范围内的互联网威胁状况和开展动态。平安研究人员利用该系统的互联网平安智能技术来发布平安形势，同时保障用户的平安，该技术包含5000万个实时数据收集系统，每天可对10亿条内容进行深入分析。黑客袭击一市商务局网站局长变成"三点"女郎

从荆州市荆州区法院得悉：荆州市商务局网站“被黑〞案一审判决：袭击荆州市商务局网站，将局长照片换成“三点式〞女郎、将“局长致辞〞改为“庆贺女友生日〞的张志东被判处有期徒刑1年半。

法院审理查明，2021年12月4日，张志东下载了黑客软件，在扫描到荆州市商务局网站存在漏洞后，获取了该网站的管理员账号和密码。

他登入管理员后台，将“局长致辞〞修改为“为女友祝贺生日〞，将“局长照片〞换成一张“三点式〞女郎图片。

截至案发时，这两条信息的点击量分别达4036次和5617次，该网站一时间流量大增，效劳器被迫关闭。此事影响了荆州市商务局的形象，并造成了一定的损失。

法院审理认为，张志东的行为已构成破坏计算机信息系统罪，但是他能够投案自首，认罪态度较好，且系初犯，可酌情从轻处分，遂一审作出上述判决。威胁计算机系统平安的几种形式攻击复杂程度与入侵技术进步示意图

弱点传播及其利用变化图多维角度网络攻击分类美国国防部授权美国航天司令部负责美军计算机网络攻防方案，成立网络防护“联合特遣部队〞，规划“国防部信息对抗环境(InfoCon)，监视有组织和无组织的网络平安威胁，创立整个国防部实施网络攻防战的标准模型，训练计算机操作人员。2002年1月15日，Bill.Gates在致微软全体员工的一封信中称，公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决平安问题，并进而提出了微软公司的新“可信计算〞(Trustworthycomputing)战略.据美国?华盛顿观察?周刊报道，曾经被政府追捕的黑客们，一时间在美国成了就业场上炙手可热的人才。美军战略司令部司令——凯文·希尔顿将军(Gen.KevinP.Chilton)近日公开成认，战略司令部正在征召2000-4000名“士兵〞，组建一支“特种部队〞。这支特种部队不仅要承担网络防御的任务，还将对它国的电脑网络和电子系统进行秘密攻击。

目前，两个不同的网络战中心在美军战略司令部管辖下运行。一个是全球网络联合部队(JointTaskForce-GlobalNetworkOperations)，主要负责保护五角大楼在美国外乡和全球范围内的网络系统，应对每天数十万起试图攻入美军网络的攻击。另一个名为“网络战联合功能构成司令部〞(JointFunctionalComponentCommandNetworkWarfare)，主要职责是对敌人发动网络攻击。例如，在战时快速侵入敌方电脑网络系统，瘫痪敌军的指挥网络和依靠电脑运行的武器系统。

虽然美军从未公布过网站部队人数，但根据对美军黑客工程跟踪了13年的防务专家乔尔·哈丁(JoelHarding)的评估，目前美军共有3000-5000名信息战专家，5-7万名士兵涉足网络战。如果加上原有的电子战人员，美军的网战部队人数应该在88700人左右。这意味着美军网战部队人数已经相当于七个101空降师。俄罗斯2000年6月批准实施的?国家信息平安学说?把“信息战〞问题放在突出地位。俄罗斯为此专门成立了新的国家信息平安与信息对抗领导机构，建立了信息战特种部队，将重点开发高性能计算技术、智能化技术、信息攻击与防护技术等关键技术。日本防卫厅方案在2001至2005年实施的?中期防卫力量配备方案?中进行电脑作战研究，通过电脑作战破坏敌方的指挥通讯系统，加强自卫队的信息防御和还击能力。据美国防部官员称，日本的东芝公司已有能力制造“固化病毒〞这种新式的计算机武器。我国在?国民经济和社会开展第十一个五年规划纲要?中明确提出要强化信息平安保障工作，要积极防御、综合防范，提高信息平安保障能力。强化平安监控、应急响应、密钥管理、网络信任等信息平安根底设施建设，开展咨询、测评、灾备等专业化信息平安效劳。信息平安是信息化可持续开展的保障网络信息平安已成为急待解决、影响国家大局和长远利益的重大关键问题，信息平安保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成局部。网络信息平安问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中。---沈昌祥院士信息平安专家3信息系统的平安体系信息平安的原始意义是指计算机通信中的数据、图像、语音等信息的保密性、完整性、可用性不受损害。信息平安的概念不断拓宽。从广度上，信息平安外延到计算机通信根底设施的平安运行和信息内容的健康合法。从深度上，信息平安又向信息保护与防御的方向开展。信息平安的根本需求保密性(confidentiality)：信息不被泄露给非授权的用户、实体或过程，或供其利用的特性完整性(integrity)：信息未经授权不能进行改变的特性可用性(availability)：信息可被授权实体访问并按需求使用的特性

可控性(controllability)：可以控制授权范围内的信息流向及行为方式

不可否认性(non-repudiation)：信息的行为人要对自己的信息行为负责，不能抵赖曾有过的信息行为信息保护及防御IA〔InformationAssurance〕保证信息与信息系统的可用性、完整性、真实性、机密性和不可抵赖性的保护与防御手段。它通过保护、检测、恢复、反响技术的采用使信息系统具有恢复能力。保护Protect检测Detect恢复Restore反应ReactIA信息防护的PDRR模型P2DR平安模型以平安策略为核心(ISS〔InternetSecuritySystemsInC.)提出)策略：是模型的核心，具体的实施过程中，策略意味着网络平安要到达的目标。防护：平安规章、平安配置、平安措施检测：异常监视、模式发现响应：报告、记录、反响、恢复信息平安的互动模型网络平安运行管理平台—SOC(securityoperationcenter)

平安策略管理模块作为SOC的中心,它根据组织的平安目标制定和维护组织的各种平安策略以及配置信息.资产是整个SOC体系的保护对象,SOC是以平安数据库的建立为根底,平安数据库包括资产库,漏洞库威胁库,病毒信息库,风险库等.资产风险管理模块应基于上述平安数据库对资产的脆弱性,漏洞以及资产面临的威胁进行收集和管理.网络平安就像一个无方案扩张的城区一样，因为各种不同的系统和设备以不同的方式相互沟通：如固定的局域网、无线和移动蜂窝网络、专用广域网、固定网络和互联网等不同的通讯方式。在这个星云状的网络领域考虑平安的唯一有效的方法是“分层次〞的保护。趋势科技欧洲、中东和非洲地区平安总经理SimonYoung称，平安专业人员，已经根本上接受了采取多层次的防御措施防御各种攻击和威胁的观点。一种产品或者技术不能防御一切可能的威胁。一种分层次的方法能够让企业建立多条防线。在最根本的层面上，网络平安包括：使用熟悉的用户名/口令相结合的方法识别用户身份;使用卡、USB密钥或者生物计量(如指纹和视网膜扫描等)等物理形式进行身份识别;或者使用某些方法结合在一起的方式进行身份识别(这对于访问网络中更敏感的局部是必要的)。下一层是防火墙。防火墙管理识别用户身份的效劳和允许访问的应用程序。防火墙可以防止网络边缘的PC或者效劳器上，或者安装在路由器和交换机等物理网络硬件上。除了防火墙之外，入侵防御和检测系统接下来监视网络的状况、恶意软件或者可疑的行为，阻止违反网络管理员定义的规那么和政策的活动。但是，必须强调的是，没有任何一种方法是绝对平安的。区别合法的和不合法的行为的难度还需要人类某种程度的干预。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.防火墙的优点：

〔1〕防火墙能强化平安策略。

〔2〕防火墙能有效地记录Internet上的活动。

〔3〕防火墙限制暴露用户点,对网络存取和访问进行监控审计。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

〔4〕防火墙是一个平安策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为平安问题的检查点，使可疑的访问被拒绝于门外。(5)还支持具有Internet效劳特性的VPN。VPN的英文全称是“VirtualPrivateNetwork〞，翻译过来就是“虚拟专用网络〞。虚拟专用网〔VPN〕被定义为通过一个公用网络〔通常是因特网〕建立一个临时的、平安的连接，是一条穿过混乱的公用网络的平安、稳定的隧道。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设物理线路。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2kxp等软件里也都支持VPN功能。

虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供给商同公司的内部网建立可信的平安连接，并保证数据的平安传输。虚拟专用网可用于实现平安连接；实现企业网站之间平安通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网。常用的虚拟专用网络协议有：

IPSec:IPsec(缩写IPSecurity)是保护IP协议平安通信的标准，它主要对IP协议分组进行加密和认证。

IPsec作为一个协议族〔即一系列相互关联的协议〕由以下局部组成：(1)保护分组流的协议；(2)用来建立这些平安分组流的密钥交换协议。前者又分成两个局部：加密分组流的封装平安载荷〔ESP〕及较少使用的认证头〔AH〕，认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。

PPTP:PointtoPointTunnelingProtocol--点到点隧道协议

在因特网上建立IP虚拟专用网〔VPN〕隧道的协议，主要内容是在因特网上建立多协议平安虚拟专用网的通信方式。

L2F:Layer2Forwarding--第二层转发协议

L2TP:Layer2TunnelingProtocol--第二层隧道协议

GRE：VPN的第三层隧道协议--通用路由封装SSLVPNMPLSVPNSocks5VPNDenning入侵检测模型信息平安的技术层次视点Systemsecurity物理安全Systemsecurity运行安全Informationsecurity数据安全Informationsecurity内容安全

系统自身的平安“系统平安〞InformationSecurity信息利用的平安“信息对抗〞信息自身的平安“信息平安〞层次结构结构层次三级信息平安框架信息内容对抗国家计算机与网络平安管理中心主任方滨兴院士提出信息系统的平安体系管理体系培训制度法律组织体系技术体系技术管理技术机制机构岗位人事安全策略与服务密钥管理审计状态检测入侵监控OSI安全技术运行环境及系统安全技术物理安全系统安全安全服务安全机制OSI安全管理“平安是一个过程，而不是一个产品〞，BruceSchneier网络平安生命周期模型 评估，设计，工程实施、开发和制造，布署，运行、管理和支持.平安过程与系统平安生命周期模型网络信息平安设计四步方法论美国国家平安局制定的信息保障技术框架〔IATF〕

信息平安的层次分析4开放系统互连(OSI)平安体系结构网络体系结构是计算机之间相互通信的层次，以及各层中的协议和层次之间接口的集合。国际标准化组织ISO在提出了开放系统互连〔OpenSystemInterconnection，OSI〕模型，这是一个定义连接异种计算机的标准主体结构。OSI采用了分层的结构化技术，每层的目的都是为上层提供某种效劳。OSI参考模型OSI平安体系结构的研究始于1982年，于1988年完成，其成果标志是ISO发布了ISO7498-2标准，作为OSI根本参考模型的补充。这是基于OSI参考模型的七层协议之上的信息平安体系结构。它定义了5类平安效劳、8种特定的平安机制、5种普遍性平安机制。它确定了平安效劳与平安机制的关系以及在OSI七层模型中平安效劳的配置。OSI平安体系结构的5类平安效劳1.鉴别鉴别效劳提供通信中的对等实体和数据来源的鉴别2.访问控制防止对资源的未授权使用，防止以未授权方式使用某一资源3.数据机密性这种效劳对数据提供保护，使之不被非授权地泄露4.数据完整性例如使用顺序号，检测数据重放攻击5.抗否认这种效劳可取如下两种形式，或两者之一：〔1〕有数据原发证明的抗否认〔2〕有交付证明的抗否认OSI平安体系结构的8种平安机制〔1〕加密对数据进行密码变换以产生密文。加密既能为数据提供机密性，也能为通信业务流信息提供机密性，并且是其他平安机制中的一局部或对平安机制起补充作用。一般情况，在一个层次上进行加密，但也有可能需要在多个层上提供加密。〔2〕数字签名机制数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完整性，并保护数据，防止被他人伪造。〔3〕访问控制机制为了决定和实施一个实体的访问权，访问控制机制可以使用该实体已鉴别的身份，或使用有关该实体的信息。例如：访问控制信息库、鉴别信息〔如口令〕、平安标记〔4〕数据完整性机制数据完整性有两个方面：单个数据单元的完整性和数据单元序列的完整性。发送实体给数据单元附加一个量，这个量为该数据的函数。保护数据单元序列的完整性〔即防止乱序、数据的丧失、重放、插入或篡改〕还需要某种明显的排序形式，如顺序号、时间标记或密码链。〔5〕鉴别交换机制如果在鉴别实体时，这一机制得到否认的结果，就会导致连接的拒绝或终止〔6〕通信业务填充机制能用来提供各种不同级别的保护，对抗通信业务分析〔7〕路由选择控制机制在检测到持续的操作攻击时，端系统可以提示网络的提供者经不同的路由建立连接〔8〕公证机制在两个或多个实体之间通信的数据，如它的完整性、时间和目的地等能借助可信第三方的公证机制得到确保OSI的平安效劳与平安机制的关系保密性完整性鉴别访问控制不可否认性加密YYY----数字签名--YY--Y访问控制------Y--数据完整性--Y----Y鉴别----Y----业务填充Y--------路由控制Y--------公证--------YOSI平安管理OSI平安管理包括系统平安管理〔OSI环境平安〕、OSI平安效劳的管理与平安机制的管理。平安管理信息库〔SMIB〕是一个概念上的集合，存储开放系统所需的与平安有关的全部信息。每个端系统必须包含必需的本地信息，使它能执行某个适当的平安策略。SMIB是一个分布式信息库，在实际中，SMIB的某些局部可以与MIB〔管理信息库〕结合成一体，也可以分开。SMIB有多种实现方法，例如，数据表、嵌入开放系统软件或硬件中的数据或规那么。信息平安管理内容

内容：信息平安政策制定、风险评估、控制目标与方式的选择、制定标准的操作流程、信息平安培训等.涉及领域：平安方针策略、组织平安、资产分类与控制、人员平安、物理与环境平安、通信与运营平安、访问控制、系统开发与维护、业务连续性、法律符合性等.5Internet平安体系结构Internet不同层的网络平安技术5.1网络层平安5.2传输层平安5.3应用层平安基于TCP/IP协议的网络平安体系根底框架

5.1网络层平安--IPSec5.2传输层平安--SSL5.3应用层平安—S-HTTP,SET5.1网络层平安IPSec--一组协议在IP加密传输信道技术方面，IETF已经指定IPSec来制定IP平安协议〔IPSecurityProtocol,IPSP〕和对应的Internet密钥管理协议〔InternetKeyManagementProtocol,IKMP〕的标准。

IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的，而在IPv4中是可选的。IPSP的主要目的是使需要平安效劳的用户能够使用相应的加密平安体制。该体制应该与算法独立，可以自己选择和替换加密算法而不会对应用和上层协议产生任何影响。此外，该体制必须能支持多种平安政策，并且对其他不使用该体制的用户完全透明。按照这些要求，IPSec工作组使用认证头部〔AH〕和平安内容封装〔ESP〕两种机制，前者提供认证和数据完整性，后者实现通信保密。AH〔AuthenticationHeader，验证头部协议〕ESP〔EncapsulatingSecurityPayload，封装平安载荷〕协议IPSec体系结构

AH为IP数据包提供如下3种效劳：无连接的数据完整性验证、数据源身份认证和防重放攻击。ESP除了为IP数据包提供AH已有的3种效劳外，还提供另外两种效劳：数据包加密、数据流加密。IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。对IP包进行的IPSec处理有两种：AH和ESP。AH提供无连接的数据完整性、数据来源验证和抗重放攻击效劳；而ESP除了提供AH的这些功能外，还可以提供对数据包加密和数据流量加密。AH和ESP可以单独使用，也可以嵌套使用。通过这些组合方式，可以在两台主机、两台平安网关〔防火墙和路由器〕，或者主机与平安网关之间使用。5.2传输层平安常见的传输层平安技术有SSL-SecuresocketlayerSSL分为两层，上面是SSL协商层，双方通过协商约定有关加密的算法，进行身份认证等；下面是SSL记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。SSL采用公钥方式进行身份认证，大量数据传输仍使用对称密钥方式进行数据加密。通过双方协商，SSL可以支持多种身份认证、加密和检验算法。SSL结构图高层协议SSL协商层SSL记录层传输层低层协议SSL协议协商层工作过程示意图通过X.509证书传输其拥有者的公开密钥为了保持Internet上的通用性，目前一般的SSL协议只要求效劳器方向客户方出示证书以证明自己的身份，而不要求用户方同样出示证书，在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证。5.3应用层平安

IP层的平安协议能够为网络连接建立平安的通信信道，传输层平安协议允许为进程之间的数据通道增加平安属性，但它们都无法根据所传送的不同内容的平安要求予以区别对待。如果确实想要区分具体文件的不同的平安性要求，就必须在应用层采用平安机制。平安HTTP协议〔S-HTTP〕是Web上使用的超文本传输协议〔HTTP〕的平安增强版本，由企业集成技术公司设计。它建立在HTTP1.1的根底上，提供了数据加密、身份认证、数据完整、防止否认等功能。S-HTTP通过协商可以选择不同的密钥管理方法、平安策略，以及加密算法等。它在对称密钥方式下工作时，它不要求客户方用公钥Certificate进行身份认证，相对于SSL而言，降低了对公钥体系的要求。S-HTTP提供了文件级的平安机制，因此每个文件都可以设置成保密/签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。S-HTTP提供了对多种单向散列〔Hash〕函数的支持，如MD2、MD5及SHA；对多种私钥体制的支持，如DES、三元DES、RC2、RC4；对数字签名体制的支持，如RSA和DSS。HTTPSstandsfor"HypertextTransferProtocoloverSecureSocketLayer".

HTTPSisnotaseparateprotocol,butisacombinationofanormalHTTPconnectionoveranencryptedSecureSocketsLayer(SSL)orTransportLayerSecurity(TLS)connection.

Whenyouuses:,theURLwillusetheHTTPProtocolbutoveradifferentdefaultTCPport(443-unsecuredHTTPportisusually80)andwithanadditionalencryption/authenticationlayerbetweentheHTTPandTCP.

Thism