网络安全协议概述(PPT93页).pptx
合集下载
第6讲网络信息安全之安全协议
20
对于隧道模式,去除外部IP头和ESP头,恢 复原IP数据报。如果该数据报是一个分段, 则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播 等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证 有些字段在传输中可能会改变(如服务类型、 标志、分段偏移、生存期、头校验和等), AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密, 并且IP数据报并非顺序到达接收方,因此每个 ESP数据报必须携带能够使接收方建立解密同 步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入 在传输模式下, ESP头插在IP头之后,并填写 ESP头中各个字段值,ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器 在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址 对于传输模式,数据包只有一个IP头,不会 出现上述情况 (2) SA查找 利用三元组<SPI,目的IP地址,AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理,否则丢弃该数据报
7
AH和ESP协议可以分别单独使用,也可以联 合使用。每个协议都支持两种应用模式: (1) 传输模式:为上层协议数据提供安全保护 (2) 隧道模式:以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必须 定义强制实现的加密算法 因此,在使用数据认证和加密机制时, 必须解 决三个问题:
2
通常安全协议是基于某一通信协议,提供安 全机制或服务,并非单独运行 按网络体系结构划分,安全协议可以分成数 据链路层安全协议、网络层安全协议、传输 层安全协议和应用层安全协议 数据链路层:PPTP/L2TP协议通过隧道技术 在某种程度上增强了PPP协议的安全性 网络层:IPSec(IP Security)协议是基于IP协 议的安全协议
对于隧道模式,去除外部IP头和ESP头,恢 复原IP数据报。如果该数据报是一个分段, 则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播 等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证 有些字段在传输中可能会改变(如服务类型、 标志、分段偏移、生存期、头校验和等), AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密, 并且IP数据报并非顺序到达接收方,因此每个 ESP数据报必须携带能够使接收方建立解密同 步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入 在传输模式下, ESP头插在IP头之后,并填写 ESP头中各个字段值,ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器 在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址 对于传输模式,数据包只有一个IP头,不会 出现上述情况 (2) SA查找 利用三元组<SPI,目的IP地址,AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理,否则丢弃该数据报
7
AH和ESP协议可以分别单独使用,也可以联 合使用。每个协议都支持两种应用模式: (1) 传输模式:为上层协议数据提供安全保护 (2) 隧道模式:以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必须 定义强制实现的加密算法 因此,在使用数据认证和加密机制时, 必须解 决三个问题:
2
通常安全协议是基于某一通信协议,提供安 全机制或服务,并非单独运行 按网络体系结构划分,安全协议可以分成数 据链路层安全协议、网络层安全协议、传输 层安全协议和应用层安全协议 数据链路层:PPTP/L2TP协议通过隧道技术 在某种程度上增强了PPP协议的安全性 网络层:IPSec(IP Security)协议是基于IP协 议的安全协议
第9章网络安全协议PPT讲义
SPD:安全策略数据库,存储策略并提供查询支持。 通过使用一个或多个选择符来确定每个条目。
3.安全关联与安全策略——安全策略
IPSec策略由“安全策略数据库(Security Policy Database, SPD)”加以维护。在每个条目中定义了 要保护什么样的通信、怎样保护它以及和谁共享这 种保护。
欺骗:欺骗(Spoofing)可发生在IP系统的所有层次上,物理层、数据 链路层、IP层、传输层及应用层都容易受到影响。 IP地址欺骗 针对IP协议的攻击——源路由选项攻击 针对ARP协议的攻击——ARP欺骗攻击 针对TCP 协议的攻击——序列号猜测攻击 针对DNS协议的攻击——DNS欺骗
认证攻击:TCP/IP协议只能以IP地址进行鉴别,而不能对节点上的用 户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性。
SPD:对于通过的流量的策略 三种选择:discard, bypass IPSec, apply IPSec
3.安全关联与安全策略——安全策略例子
例子:可在一个安全网关上制定IPSec策略
对在本地保护的子网与远程网关的子网间通信的所有数 据,全部采用DES加密,并用HMAC-MD5进行鉴别;
对于需要加密的、发给另一个服务器的所有Web通信均用 3DES加密,同时用HMAC-SHA鉴别。
例如:DNS欺骗攻击
3. TCP/IP体系结构中各层的安全协议
网络安全协议是基于密码学的通信协议,通过信息 的安全交换来实现某种安全目的所共同约定的逻辑 操作规则。
安全协议的研究目标都与安全性有关,例如,认证 主体的身份;在主体之间分配会话密钥;实现机密 性、完整性、不可否认性、可用性等。
3. TCP/IP体系结构中各层的安全协议——网络接口层
3.安全关联与安全策略——安全策略
IPSec策略由“安全策略数据库(Security Policy Database, SPD)”加以维护。在每个条目中定义了 要保护什么样的通信、怎样保护它以及和谁共享这 种保护。
欺骗:欺骗(Spoofing)可发生在IP系统的所有层次上,物理层、数据 链路层、IP层、传输层及应用层都容易受到影响。 IP地址欺骗 针对IP协议的攻击——源路由选项攻击 针对ARP协议的攻击——ARP欺骗攻击 针对TCP 协议的攻击——序列号猜测攻击 针对DNS协议的攻击——DNS欺骗
认证攻击:TCP/IP协议只能以IP地址进行鉴别,而不能对节点上的用 户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性。
SPD:对于通过的流量的策略 三种选择:discard, bypass IPSec, apply IPSec
3.安全关联与安全策略——安全策略例子
例子:可在一个安全网关上制定IPSec策略
对在本地保护的子网与远程网关的子网间通信的所有数 据,全部采用DES加密,并用HMAC-MD5进行鉴别;
对于需要加密的、发给另一个服务器的所有Web通信均用 3DES加密,同时用HMAC-SHA鉴别。
例如:DNS欺骗攻击
3. TCP/IP体系结构中各层的安全协议
网络安全协议是基于密码学的通信协议,通过信息 的安全交换来实现某种安全目的所共同约定的逻辑 操作规则。
安全协议的研究目标都与安全性有关,例如,认证 主体的身份;在主体之间分配会话密钥;实现机密 性、完整性、不可否认性、可用性等。
3. TCP/IP体系结构中各层的安全协议——网络接口层
网络基本安全协议ppt
协议主要过程如下:
◦ ◦ ◦ ◦ ◦ (1) I,A,B,EA(RA,I,A,B)B (2) I,A,B,EA(RA,I,A,B),EB(RB,I,A,B)T (3) I,EA(RA,K),EB(RB,K)B (4) I,EA(RA,K)A (5) A解密报文,恢复出她的密钥和随机数,然后她确认 协议中的索引号和随机数都没有改变。
上述协议存在的问题
◦ 如果M破坏了T,整个网络都会遭受损害:他有T与每个 用户共享的所有秘密密钥;他可以读所有过去和将来的 通信业务。他所做的事情就是对通信线路进行搭线窃听 ,并监视加密的报文业务。 ◦ 这个系统的另外一个问题是T可能会成为瓶颈:他必须 参与每一次密钥交换
采用非对称秘密体制时,通信双方各拥有一对 密钥,称为公开密钥和私有密钥。公开密钥可以向 外界公布,由其它协议参与者用来对消息进行加密 、解密或签名验证;私有密钥不对外公开,由密钥所 属者用来相应地对消息进行解密、加密或签名。
也称为Kerberos协议,是一种NeedhamSchroeder协议,面向开放系统的,可以为网络通 信提供可信第三方服务的认证机制。协议内容为:
◦ ◦ ◦ ◦ (1) (2) (3) (4) A,BT EA(T,L,K,B),EB(T,L,K,A)A EK(A,T),EB(T,L,K,A)B EK(T+1)A
SKEY是一种认证程序,又称为一次性通行字系 统(One-Time Password System),依赖于单向函 数的安全性,采用MD4或MD5算法。
基本协议:
◦ (1) 机发送一个随机字符串给A; ◦ (2) A用她的私钥对此随机字符串加密,并将此字符串他和 她的名字一起传送回主机; ◦ (3) 主机在它的数据库中查找A的公开密钥,并用公开密钥 解密; ◦ (4) 如果解密后的字符串与主机在第一步中发送给A的字符 串匹配,则允许A访问系统。
《网络协议概述》PPT课件
PC导致了局域网的出现
局域网的标准:IEEE802 IEEE802也符合OSI/RM标准 开始就建立在标准化的基础上
因特网的标准化工作
因特网协会 ISOC
因特网研究部 IRTF
因特网研究指导小组 IRSG
RG …
RG
因特网体系结构 研究委员会 IAB
因特网工程部 IETF
因特网工程指导小组 IESG
Computer Network
Andrew S. Tanebaum
局域网的拓扑
集线器
星形网
总线网
匹配电阻
干线耦合器
环形网
树形网
由局域网和广域网组成互联网
局域网
互联网 结点交换机
局域网
路由器
广域网
相距较远的局域网通过路由器与广域网相连 组成了一个覆盖范围很广的互联网
T
T
H T
T
C
T
H
T
C
C
通信子
TCP/IP 的三个服务层次
IEPv沙eorvy漏etrh计iEn时vge器royvte形hri状nIgP的 IPIP可屏为蔽各各式种各底TC样程P的/物I应P理协用网议程络序族技提术供差服异务
应用层
HTTP … SMTP
DNS … RTP
运输层
TCP
UDP
网际层
IP
网络接口层
网络接口 1 网络接口 2 … 网络接口 3
• (各层之间)独立性。某一层并不需要知道它的 下一层是如何实现的,而仅仅需要知道该层通过 层间的接口所提供的服务。
• 灵活性。当某层发生变化(技术原因),只要接 口关系保持不变,该层的上下层均不受影响,甚 至取消该层。
• 可分割性。各层都可以采用最合适的技术实现。 • 易实现和可维护性。庞大的系统变得较小和易处
局域网的标准:IEEE802 IEEE802也符合OSI/RM标准 开始就建立在标准化的基础上
因特网的标准化工作
因特网协会 ISOC
因特网研究部 IRTF
因特网研究指导小组 IRSG
RG …
RG
因特网体系结构 研究委员会 IAB
因特网工程部 IETF
因特网工程指导小组 IESG
Computer Network
Andrew S. Tanebaum
局域网的拓扑
集线器
星形网
总线网
匹配电阻
干线耦合器
环形网
树形网
由局域网和广域网组成互联网
局域网
互联网 结点交换机
局域网
路由器
广域网
相距较远的局域网通过路由器与广域网相连 组成了一个覆盖范围很广的互联网
T
T
H T
T
C
T
H
T
C
C
通信子
TCP/IP 的三个服务层次
IEPv沙eorvy漏etrh计iEn时vge器royvte形hri状nIgP的 IPIP可屏为蔽各各式种各底TC样程P的/物I应P理协用网议程络序族技提术供差服异务
应用层
HTTP … SMTP
DNS … RTP
运输层
TCP
UDP
网际层
IP
网络接口层
网络接口 1 网络接口 2 … 网络接口 3
• (各层之间)独立性。某一层并不需要知道它的 下一层是如何实现的,而仅仅需要知道该层通过 层间的接口所提供的服务。
• 灵活性。当某层发生变化(技术原因),只要接 口关系保持不变,该层的上下层均不受影响,甚 至取消该层。
• 可分割性。各层都可以采用最合适的技术实现。 • 易实现和可维护性。庞大的系统变得较小和易处
《网络安全概述》PPT课件
2019年1月22日9时50分
计算机网络安全基础
2.3 传输层协议报头结构
2.3.1 TCP (传输控制协议) TCP 通信的可靠性在于使用了面向连接的会话。 主机使用 TCP 协议发送数据到另一主机前,传 输层会启动一个进程,用于创建与目的主机之 间的连接。通过该连接,可以跟踪主机之间的 会话或者通信数据流。同时,该进程还确保每 台主机都知道并做好了通信准备。完整的 TCP 会话要求在主机之间创建双向会话。
计算机网络安全基础
2.3.2 UDP
UDP 仅仅是将接收到的数据按照先来后到的顺序转发到应用 程序
2019年1月22日9时50分
计算机网络安全基础
2.3.2 UDP
也使用端口号来标识特定的应用层进程 并将数据报发送到正 确的服务或应用
2019年1月22日9时50分
计算机网络安全基础
2.5 TCP/IP报文捕获分析
2019年1月22日9时50分
计算机网络安全基础
2019年1月22日9时50分
计算机网络安全基础
网络安全解决方案
2019年1月22日9时50分
计算机网络安全基础
2019年1月22日9时50分
计算机网络安全基础
2019年1月22日9时50分
计算机网络安全基础
2019年1月22日9时50分
计算机网络安全基础
小结
本章介绍了网络监听的基本原理、应用和具有代表性的网 络监听工具,还介绍了分析网络数据必须了解的TCP/IP 协议数据报结构等基础知识
2019年1月22日9时50分
计算机网络安全基础
2.3.1 TCP
2019年1月22日9时50分
计算机网络安全基础
2.3.1 TCP
网络安全协议概述
网络安全协议概述引言随着互联网的普及和发展,网络安全问题变得越来越重要。
为了保护网络上的信息和通信安全,各种网络安全协议被提出和使用。
网络安全协议是在网络通信过程中使用的协议,用于确保数据的机密性、完整性和认证性。
本文将对网络安全协议进行概述,介绍其基本原理和常见的协议类型。
网络安全协议的基本原理网络安全协议的基本原理是通过使用加密、认证和数据完整性验证等技术手段来保证数据在传输过程中的安全性。
网络安全协议通常包括以下几个重要的要素:1. 加密加密是网络安全协议中最基本和最重要的手段之一。
它通过对数据进行算法变换,将其转换为密文,并保证只有具备相应密钥的人才能解密。
加密技术可以分为对称加密和非对称加密两种类型。
•对称加密:使用相同的密钥进行加解密操作。
密钥的安全性非常重要,因此在对称加密中,密钥的分发和管理是一个关键问题。
•非对称加密:使用一对相关的密钥,分别称为公钥和私钥。
公钥用于加密数据,而私钥用于解密数据。
非对称加密可以解决密钥分发和管理的问题,因为公钥可以公开,而私钥只有密钥的所有者知道。
2. 认证认证是网络安全协议中实现身份验证的手段。
在网络通信中,为了确保通信双方的身份合法和可信,认证技术可以用于验证用户、设备或服务的身份。
常见的认证方式包括密码、数字证书和双因素认证等。
•密码认证:用户通过提供用户名和密码进行身份验证。
密码需要在传输和存储过程中进行适当的保护,以防止被非法获取。
•数字证书认证:使用公钥基础设施(PKI)颁发和验证数字证书,以确保通信双方的身份合法和可信。
•双因素认证:通过结合两种以上的认证方式,如密码和生物特征识别,增加身份验证的安全性。
3. 数据完整性验证数据完整性验证是确保数据在传输过程中未被篡改或损坏的手段。
它可以通过使用数据哈希函数、消息认证码(MAC)或数字签名等技术来实现。
•数据哈希函数:通过将数据转换为固定长度的哈希值,验证数据在传输过程中是否发生了变化。
网络安全知识培训(ppt 93页)
内容
1.网络安全基础知识 2.网络漏洞和网络攻击技术 3.网络安全防御技术-产品 4.网络安全策略-网络安全服务
一、网络安全基础知识
1.网络安全的兴起 2.网络安全的目的 3.网络攻击后果 4.网络安全风险
网络安全的兴起
• Internet 技术迅猛发展和普及 • 有组织、有目的地网络攻击-Hacker出
信息安全的目的
进
拿
改
看
跑
可
不
不
不
不
不
审
来
走
了
懂
了
查
网络攻击后果
攻击发生 (财政影响)
• 财政损失 • 知识产权损失 • 时间消耗 • 由错误使用导致的生产力消耗 • 责任感下降 • 内部争执
利润
Q1 Q2 Q3 Q4
可见的网络攻击影响
网络安全风险
• 安全需求和实际操作脱离 • 内部的安全隐患 • 动态的网络环境 • 有限的防御策略 • 安全策略和实际执行之间的巨大差异 • 用户对安全产品的依赖和理解误差
VPN 最大优势 ---- 投资回报
到2002年,按企业/组织规模大小,实施VPN 比例将达到:
57% ----大型企业 55% ----中心企业 51% ----小型企业
来源: Infonetics Research
• 大幅度减少电信服务费用,尤其针对地域上分散的公司和企业 • 针对远程拨号上网访问的用户,省去了每个月的电信费用
中继
路由
Internet
操作系统
Intranet
• UNIX • Windows • Linux • Freebsd • Macintosh • Novell
应用程序服务的安全漏洞
1.网络安全基础知识 2.网络漏洞和网络攻击技术 3.网络安全防御技术-产品 4.网络安全策略-网络安全服务
一、网络安全基础知识
1.网络安全的兴起 2.网络安全的目的 3.网络攻击后果 4.网络安全风险
网络安全的兴起
• Internet 技术迅猛发展和普及 • 有组织、有目的地网络攻击-Hacker出
信息安全的目的
进
拿
改
看
跑
可
不
不
不
不
不
审
来
走
了
懂
了
查
网络攻击后果
攻击发生 (财政影响)
• 财政损失 • 知识产权损失 • 时间消耗 • 由错误使用导致的生产力消耗 • 责任感下降 • 内部争执
利润
Q1 Q2 Q3 Q4
可见的网络攻击影响
网络安全风险
• 安全需求和实际操作脱离 • 内部的安全隐患 • 动态的网络环境 • 有限的防御策略 • 安全策略和实际执行之间的巨大差异 • 用户对安全产品的依赖和理解误差
VPN 最大优势 ---- 投资回报
到2002年,按企业/组织规模大小,实施VPN 比例将达到:
57% ----大型企业 55% ----中心企业 51% ----小型企业
来源: Infonetics Research
• 大幅度减少电信服务费用,尤其针对地域上分散的公司和企业 • 针对远程拨号上网访问的用户,省去了每个月的电信费用
中继
路由
Internet
操作系统
Intranet
• UNIX • Windows • Linux • Freebsd • Macintosh • Novell
应用程序服务的安全漏洞
七、网络安全概述PPT课件
LOGO
网络安全概述
主讲人:冯景瑜
内容安排
网络安全基础知识 网络安全的重要性 网络安全的根源 网络攻击过程 网络安全策略及其原则 常用的防护措施 小结
2020/8/4
.
2
网络安全基础知识
安全的含义(Security or Safety?)
平安,无危险;保护,保全。 (汉语大词典)
网络安全
保护计算机系统,使其没有危险,不受威 胁,不出事故。
.
7
几次大规模蠕虫病毒爆发的数据统计表
蠕虫名称 Ramen Sadmind/IIS CodeRed 红色代码 Nimda 尼姆达 Slapper Blaster 冲击波 Sasser 震荡波 Zotob Mocbot 魔波 MyInfect 麦英
2020/8/4
漏洞发布时间 06/23/2000 12/14/1999 04/06/2001 05/15/2001 07/30/2002 07/16/2003 04/13/2004 08/09/2005 08/08/2006 03/30/2007
基于TCP/IP的Internet是在可信任网络环境中开发 出来的成果,体现在TCP/IP协议上的总体构想和设 计本身,基本未考虑安全问题,并不提供人们所需的 安全性和保密性
TCP/IP协议最初设计的应用环境是互相信任的
2020/8/4
.
29
安全漏洞简介
漏洞也叫脆弱性(Vulnerability),是计算机 系统在硬件、软件、协议的具体实现或系统安 全策略上存在的缺陷和不足。
信息泄漏 完整性破坏 拒绝服务 未授权访问
2020/8/4
.
34
基本威胁1-信息泄漏
信息泄漏指敏感数据在有意或无意中被泄漏、 丢失或透露给某个未授权的实体。
网络安全概述
主讲人:冯景瑜
内容安排
网络安全基础知识 网络安全的重要性 网络安全的根源 网络攻击过程 网络安全策略及其原则 常用的防护措施 小结
2020/8/4
.
2
网络安全基础知识
安全的含义(Security or Safety?)
平安,无危险;保护,保全。 (汉语大词典)
网络安全
保护计算机系统,使其没有危险,不受威 胁,不出事故。
.
7
几次大规模蠕虫病毒爆发的数据统计表
蠕虫名称 Ramen Sadmind/IIS CodeRed 红色代码 Nimda 尼姆达 Slapper Blaster 冲击波 Sasser 震荡波 Zotob Mocbot 魔波 MyInfect 麦英
2020/8/4
漏洞发布时间 06/23/2000 12/14/1999 04/06/2001 05/15/2001 07/30/2002 07/16/2003 04/13/2004 08/09/2005 08/08/2006 03/30/2007
基于TCP/IP的Internet是在可信任网络环境中开发 出来的成果,体现在TCP/IP协议上的总体构想和设 计本身,基本未考虑安全问题,并不提供人们所需的 安全性和保密性
TCP/IP协议最初设计的应用环境是互相信任的
2020/8/4
.
29
安全漏洞简介
漏洞也叫脆弱性(Vulnerability),是计算机 系统在硬件、软件、协议的具体实现或系统安 全策略上存在的缺陷和不足。
信息泄漏 完整性破坏 拒绝服务 未授权访问
2020/8/4
.
34
基本威胁1-信息泄漏
信息泄漏指敏感数据在有意或无意中被泄漏、 丢失或透露给某个未授权的实体。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.2 网络安全协议的类型-IPSec
• IPSec是IP Security的缩写。为了加强 Internet的安全性,Internet安全协议工程任务 组研究制定了IPSec协议用于保护IP层通信的安 全协议。
•
IPsec协议工作在OSI 模型的第三层,与传
输层或更高层的协议相比,IPsec协议必须处理
的数据加密两端均使用SSL3.0),便可以成功获取到
传输数据(例如cookies)。
•
BEAST既是此种攻击,攻击者可获取SSL通信中
的部分信息的明文,对明文内容的完全控制。而另 一种POODLE攻击是针对SSLv3中CBC模式加密算法, 和BEAST不同的是,它不需要对明文内容的完全控 制。问题的原因出在SSL设计上::SSL先进行认证之 后再加密,SSL的加密和认证过程搞反了。
3、认证性:防止非法的通信者进入。进行通信时, 必须先确认通信双方的真实身份。甲乙双方进行通信, 必须确认甲乙是真正的通信双方,防止除甲乙以外的 人冒充甲或乙的身份进行通信。
网络安全协议按照其完成的功能可以分为:
(1)密钥建立协议 :一般情况下是在参与协议的两个或者多个实 体之间建立共享的秘密,通常用于建立在一次通信中所使用的会话密 钥。 已有密钥建立协议,如Diffie-Hellman协议,Blom协议,MQV协 议,端—端协议、MTI协议等。
了应用于IP层上网络数据安全的一整套体系结
构,包括网络认证协议 Authentication
Header(AH)、封装安全载荷协议。
•
Encapsulating Security Payload(ESP)、密钥
管理协议Internet Key Exchange (IKE)和用于网络
认证及加密的一些算法等。这些协议用于提供
• 在SSLv3之后,TLS 1.0开始出现,TLS(Transport Layer Security)安全传输层协议是SSLv3发展的新阶段, TLS 1.0就等于SSLv3.1。
6.1 概述
• 网络安全协议就是在协议中采用了若干密码算法协 议——加密技术、认证技术、以保证信息安全交换 的网络协议。
• 安全协议具有以下三种特点:
1、保密性:即通信的内容不向他人泄漏。为了维 护个人权利,必须确保通信内容发给所指定的人,同 时还必须防止某些怀有特殊目的的人的“窃听”。
2、完整性:把通信的内容按照某种算法加密,生 成密码文件即密文进行传输。在接收端对通信内容进 行破译,必须保证破译后的内容与发出前的内容完全 一致。
数字签名协议主要有两类:一类是普通数字签名协议,通常称 为数字签名算法,如RSA数字签名算法、DSA等;另一类是特殊数字 签名协议,如不可否认的数字签名协议、Fail-Stop数字签名协议、群 数字签名协议等。
(3)认证和密钥交换协议 :将认证和密钥交换 协议结合在一起,是网络通信中最普遍应用的安全 协议。该类协议首先对通信实体的身份进行认证, 如果认证成功,进一步进行密钥交换,以建立通信 中的工作密钥,也叫密钥确认协议。
数据认证、数据完整性和加密性三种保护形式。
AH和ESP都可以提供认证服务,但AH提供的认 证服务要强于ESP。而IKE主要是对密钥进行交
换管理,对算法、协议和密钥3个方面进行协 商。
6.2 网络安全协议的类型-SSL
•
SSL协议由两层组成,底层是建立在可靠的传输
协议(例如:TCP)上的是SSL的记录层,用来封装
如此即可避免资料在网络上传送时被其他人窃
听。 它利用公开密钥的加密技术(RSA)来作为用
户端与主机端在传送机密资料时的加密通讯协定。
•
2014年10月15日,Google发布了一份关于
SSLv3(SSL3.0)漏洞的简要分析报告。该报告认为
SSLv3漏洞贯穿于所有的SSLv3版本中,利用该漏洞,
黑客可以通过中间人攻击等类似的方式(只要劫持到
常见的认证密钥交换协议有:互联网密钥交换 (IKE) 协议、分布式认证安全服务(DASS)协议、 Kerberos协议、X.509协议。
(4)电子商务协议 这类协议用于电子商务系统 中以确保电子支付和电子交易的安全性、可靠性、 公平性。常见的协议有:SET协议、iKP协议和电子 现金等。
(5)安全通信协议 这类协议用于计算机通信网 络中保证信息的安全交换。常见的协议有: PPTP/L2PP 协议、IPSEC协议、SSL/TLS协议、PGP协 议、SIME协议、S-HTTP协议等。
第六章 网络安全协议
网络层的安全协议:IPSec, 传输层的安全协议:SSL/TLS, 应用层的安全协议:
SET(信用卡支付安全协议) SHTTP(Web安全协议) PGP(电子邮件安全协议) S/MIME(电子邮件安全协议) PEM(电子邮件安全协议) SSH(远程登录安全协议) Kerberos(网络认证协议)等。
可靠性和分片的问题,这同时也增加了它的复
杂性和处理开销。相对而言,SSL/TLS依靠更高
层的TCP(OSI的第四层)来管理可靠性和分片。
IPSec 基于端对端的安全模式,在源 IP 和目标
IP 地址之间建立信任和安全性。只有发送和接
收的计算机需要知道通讯是安全的。
•
c 协议不是一个单独的协议,它给出
高层的协议。SSL握手协议准许服务器端与客户端在
开始传输数据前,能够通过特定的加密算法相互鉴
别。SSL的先进之处在于它是一个独立的应用协议,
其它更高层协议能够建立在SSL协议上。
目前大部分的Web Server及Browser大多支持SSL
的资料加密传输协定。因此,可以利用这个功能,
将部分具有机密性质的网页设定在加密的传输模式,
(2)认证协议:认证协议中包括实体认证(身份认证)协议、消 息认证协议、数据源认证和数据目的认证协议等,用来防止假冒、篡 改、否认等攻击。 最具代表性的身份认证协议有两类:一类是1984年Shamir提出的基于 身份的身份认证协议;另一类是1986年Fiat等人提出的零知识身份认 证协议。随后,人们在这两类协议的基础上又提出了新的使用的身份 认证协议:Schnorr协议、Okamoto协议、Guillou-Quisquater协议和 Feige-Fiat-Shamir协议等。