網(wǎng)絡(luò)安全協(xié)議概述

第4章網(wǎng)絡(luò)安全協(xié)議4.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議4.2PGP協(xié)議4.3SSL協(xié)議4.4IPSec協(xié)議簡(jiǎn)介網(wǎng)絡(luò)安全協(xié)議所起的作用就是網(wǎng)絡(luò)的各個(gè)層面上提供不同的安全服務(wù)。3/30/202314.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議TCP/IP協(xié)議集確立了Internet的技術(shù)基礎(chǔ)。TCP/IP的發(fā)展始于美國(guó)DOD（國(guó)防部）方案。IAB（Internet架構(gòu)委員會(huì)）的下屬工作組IETF（Internet工程任務(wù)組）研發(fā)了其中多數(shù)協(xié)議。IAB最初由美國(guó)政府發(fā)起，如今轉(zhuǎn)變?yōu)楣_而自治的機(jī)構(gòu)。IAB協(xié)同研究和開發(fā)TCP/IP協(xié)議集的底層結(jié)構(gòu)，并引導(dǎo)著Internet的發(fā)展。3/30/20232TCP/IP協(xié)議族是因特網(wǎng)的基礎(chǔ)協(xié)議，是一組協(xié)議的集合，包括基于傳輸層的TCP協(xié)議、UDP協(xié)議和基于網(wǎng)絡(luò)層的IP協(xié)議、ICMP協(xié)議和IGMP協(xié)議等。TCP/IP的核心功能是尋址和路由選擇（網(wǎng)絡(luò)層的IP/IPV6）以及傳輸控制（傳輸層的TCP、UDP）。3/30/20233ISO/OSI參考模型將網(wǎng)絡(luò)的結(jié)構(gòu)分成了7層，每層都實(shí)現(xiàn)特定的功能，但因特網(wǎng)體系結(jié)構(gòu)卻只分成了4層概念功能層來進(jìn)行描述。OSI的參考模型TCP/IP的參考模型3/30/20234TCP/IP協(xié)議集應(yīng)用層網(wǎng)際層傳輸層網(wǎng)絡(luò)接口層SMTPDNSSNMPTELNETHTTPNFSFTPTCPUDPICMPIGMPIPRARPARPLANWANMAN3/30/202354.1.2網(wǎng)絡(luò)安全協(xié)議概述網(wǎng)絡(luò)安全協(xié)議3/30/202364.2PGP協(xié)議4.2.1PGP簡(jiǎn)介PGP（PrettyGoodPrivacy），是一個(gè)提供安全電子郵件的軟件包，提供加密、鑒別、數(shù)字簽名和壓縮等技術(shù)，是PhilZimmermann在1991年編寫的一個(gè)安全電子郵件加密方案，已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)。PGP的版本有兩大類：僅供個(gè)人用于非商業(yè)目的PGP免費(fèi)版和公司用的PGP商業(yè)版。不同版本的PGP在公共域中可以得到，例如，你可以在國(guó)際PGP主頁(yè)上找到合適平臺(tái)的PGP軟件。PGP也是一個(gè)商業(yè)產(chǎn)品，并且可以作為許多電子郵件用戶代理（例如微軟的Exchange和Outlook）的插件。PGP應(yīng)用程序的特點(diǎn)是速度快、效率高、跨平臺(tái)。PGP是位于應(yīng)用層的一個(gè)安全協(xié)議，實(shí)際上它也是一個(gè)應(yīng)用層上提供安全服務(wù)的軟件。

3/30/202374.2.2PGP的功能1）采用一次一密的對(duì)稱加密算法，密鑰隨郵件加密傳送，每次可以不同。2）采用數(shù)字簽名防止了中途篡改和偽造。3）郵件內(nèi)容經(jīng)過壓縮，減少了傳送量。4）進(jìn)行base64編碼，便于兼容不同郵件傳送系統(tǒng)。PGP最核心的功能是：文件加密、通信加密和數(shù)字簽名。PGP采用的安全加密算法和處理手段主要包括IDEA對(duì)稱密碼算法、MD5報(bào)文摘要算法、RSA公鑰算法、base64編碼、ZIP程序壓縮等。3/30/20238PGP加密的工作原理圖3/30/20239PGP通過單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名，保證信件內(nèi)容無(wú)法修改，使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密且不可否認(rèn)。發(fā)信人與收信人的公鑰公布在公開的地方，公鑰本身的權(quán)威性由第三方，特別是收信人所熟悉或信任的第三方進(jìn)行簽名認(rèn)證。3/30/2023104.2.3PGP的應(yīng)用舉例3/30/202311配置PGP啟動(dòng)PGP后，PGP軟件會(huì)在任務(wù)欄生成一個(gè)小圖標(biāo)，即中的小鎖圖標(biāo)，點(diǎn)擊小鎖，彈出的菜單中選擇“PGPMail”，會(huì)出現(xiàn)一個(gè)程序欄。

3/30/202312當(dāng)PGP安裝后，該軟件會(huì)為用戶產(chǎn)生一個(gè)公共密鑰對(duì)。這個(gè)公共密鑰可以公布在用戶的個(gè)人網(wǎng)站或者放在公共密鑰服務(wù)器上。私有密鑰用密碼進(jìn)行了保護(hù)。每次用戶訪問這個(gè)私有密鑰的時(shí)候，必須輸入密碼。PGP會(huì)讓用戶選擇是使用數(shù)字簽名還是加密這個(gè)消息，或者是兩者都使用。其簽名的消息或者加密的消息都跟在MIME頭部的后面。PGP也提供了公共密鑰認(rèn)證機(jī)制，但是這個(gè)機(jī)制完全不同于更為通用的認(rèn)證中心。PGP公共密鑰通過委托網(wǎng)站進(jìn)行認(rèn)證。當(dāng)用戶A認(rèn)為密鑰/用戶名對(duì)確實(shí)是一起的，那么他就可以進(jìn)行認(rèn)證。另外，PGP允許用戶A聲明他信任的其他用戶負(fù)責(zé)更多密鑰的認(rèn)證。一些PGP用戶通過密鑰簽署協(xié)議來簽署各自的密鑰。用戶找個(gè)機(jī)會(huì)碰面，交換包含公共密鑰的磁盤，通過用他們的私有密鑰簽寫各自的密鑰來認(rèn)證密鑰。PGP公共密鑰也可以通過因特網(wǎng)上的PGP公共密鑰服務(wù)器發(fā)布。當(dāng)然，也可以在個(gè)人網(wǎng)頁(yè)上很容易的得到公共密鑰。3/30/202313PGP中使用PGPKeys管理鑰匙環(huán)（KeyRing）1.密鑰的生成、傳播和廢除密鑰的生成通常在安裝過程中完成。在PGPKeys中也可生成新的密鑰，即在任務(wù)欄彈出的菜單中選擇PGPKeys→Keys→NewKey。若想廢除密鑰，只須選取Revoke即可。3/30/2023143/30/2023153/30/2023163/30/202317密鑰屬性對(duì)話框3/30/2023182.數(shù)字簽名用自己的私鑰對(duì)郵件等簽名。3.加密與解密點(diǎn)擊“Encrypt”，彈出選擇所加密文件的對(duì)話框?！癈onventionalEncryption”→輸入確認(rèn)口令→完成。4.解密，是加密的反過程。用“Decrypt、Verify”。3/30/2023194.3SSL協(xié)議SSL是SecureSocketLayer（安全套接層協(xié)議）的縮寫，是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議,位于TCP和應(yīng)用層之間，是一個(gè)獨(dú)立的安全協(xié)議，換句話說，即是高層應(yīng)用協(xié)議（例如HTTP、FTP、Telnet等）能透明的建立在SSL之上。SSL主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，常用客戶/服務(wù)器方式，可在服務(wù)器端和用戶端同時(shí)實(shí)現(xiàn)支持。SSL協(xié)議提供的服務(wù)可以歸納為如下三個(gè)方面：1）用戶和服務(wù)器身份的合法性認(rèn)證。2）SSL鏈路上數(shù)據(jù)機(jī)密性。3）SSL鏈路上數(shù)據(jù)的完整性。

3/30/202320現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器，用戶端采用支持SSL的瀏覽器實(shí)現(xiàn)安全通信。對(duì)于電子商務(wù)應(yīng)用來說，使用SSL能夠?qū)π庞每ê蛡€(gè)人信息提供信息的完整性和保密性保護(hù)。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行電子簽名，因此不能提供交易的不可否認(rèn)性，這是SSL在電子商務(wù)中使用的最大不足。有鑒于此，網(wǎng)景公司在從Communicator4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名（FormSigning）"的功能，在電子商務(wù)中，可利用這一功能來對(duì)包含購(gòu)買者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名，從而保證交易信息的不可否認(rèn)性。

3/30/202321SSL協(xié)議在傳輸層和更高層提供了網(wǎng)絡(luò)安全傳輸服務(wù)，它要求建立在可靠的傳輸層協(xié)議（例如TCP）之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證的工作，在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的安全性。它也是傳輸層安全協(xié)議（TransportLayerSecurity，TLS）的基礎(chǔ)，使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證，還可以選擇對(duì)用戶進(jìn)行認(rèn)證。3/30/202322SSL協(xié)議是兩層協(xié)議：上層協(xié)議包括SSL握手協(xié)議、更改密碼規(guī)格協(xié)議和警報(bào)協(xié)議，下層協(xié)議為SSL記錄協(xié)議。相應(yīng)的其操作分為兩個(gè)階段：第一階段是握手階段（發(fā)送方和接收方協(xié)商并確定加密算法和密鑰），第二階段為數(shù)據(jù)加密傳輸階段（依據(jù)第一階段商定的密鑰加密數(shù)據(jù)）。SSL協(xié)議采用公共密鑰技術(shù)，并已成為Internet上保密通信的工業(yè)標(biāo)準(zhǔn)?，F(xiàn)行Web瀏覽器普遍將HTTP和SSL協(xié)議相結(jié)合，從而實(shí)現(xiàn)安全通信。SSL協(xié)議的絕大功能由SSL握手協(xié)議和記錄協(xié)議完成。4.3.2SSL結(jié)構(gòu)及算法3/30/202323SSL協(xié)議棧3/30/202324SSL握手協(xié)議（SSLHandshakeProtocol)SSL握手協(xié)議建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前客戶和服務(wù)器之間的“握手”?！拔帐帧笔且粋€(gè)協(xié)商的過程，這個(gè)協(xié)議使得客戶和服務(wù)器能夠互相鑒別對(duì)方的身份，協(xié)商加密和鑒別算法以及協(xié)商密鑰。在傳輸任何數(shù)據(jù)之前，必須使用握手協(xié)議?？蛻艉头?wù)器鑒別身份是采用發(fā)送X.509數(shù)字證書來進(jìn)行的。加密算法可選擇使用DES，3-DES，IDEA，RC2，RC4等；鑒別算法可選擇使用SHA算法和MD5報(bào)文摘要算法；密鑰交換和協(xié)商通常采用RSA公鑰算法來完成。3/30/202325SSL更改密碼規(guī)格協(xié)議是使用SSL記錄協(xié)議服務(wù)的SSL高層協(xié)議的3個(gè)特定協(xié)議之一,也是其中最簡(jiǎn)單的一個(gè)。協(xié)議由單個(gè)消息組成,該消息只包含一個(gè)值為1的單個(gè)字節(jié)。該消息的唯一作用就是使未決狀態(tài)拷貝為當(dāng)前狀態(tài),更新用于當(dāng)前連接的密碼組。為了保障SSL傳輸過程的安全性,雙方應(yīng)該每隔一段時(shí)間改變加密規(guī)范。SSL告警協(xié)議是用來為對(duì)等實(shí)體傳遞SSL的相關(guān)警告。如果在通信過程中某一方發(fā)現(xiàn)任何異常,就需要給對(duì)方發(fā)送一條警示消息通告。警示消息有兩種:一種是Fatal錯(cuò)誤,如傳遞數(shù)據(jù)過程中,發(fā)現(xiàn)錯(cuò)誤的MAC,雙方就需要立即中斷會(huì)話,同時(shí)消除自己緩沖區(qū)相應(yīng)的會(huì)話記錄;第二種是Warning消息,這種情況,通信雙方通常都只是記錄日志,而對(duì)通信過程不造成任何影響。SSL握手協(xié)議可以使得服務(wù)器和客戶能夠相互鑒別對(duì)方,協(xié)商具體的加密算法和MAC算法以及保密密鑰,用來保護(hù)在SSL記錄中發(fā)送的數(shù)據(jù)。3/30/202326SSL記錄協(xié)議（SSLRecordProtocol)在握手協(xié)議完成之后，才能進(jìn)行SSL記錄協(xié)議，它的主要功能是為高層協(xié)議提供封裝數(shù)據(jù)、壓縮、添加消息鑒別碼MAC、加密等基本功能的支持。3/30/2023274.3.3SSL的應(yīng)用3/30/2023283/30/2023294.4IPSec協(xié)議簡(jiǎn)介IPSec（InternetProtocolSecurity)即Internet安全協(xié)議，是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。IPSec主要提供以下安全服務(wù)：數(shù)據(jù)內(nèi)容的機(jī)密性、數(shù)據(jù)起源地驗(yàn)證、數(shù)據(jù)的完整性驗(yàn)證、抗重播保護(hù)。IPSec（通常稱IP安全協(xié)議）是一組安全I(xiàn)P協(xié)議集，是在IP包級(jí)為IP業(yè)務(wù)提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn)，其基本目的就是把安全機(jī)制引入IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持加密性和認(rèn)證性服務(wù)，使用戶能有選擇的使用，并得到所期望的安全服務(wù)。3/30/2023304.4.1IPSec的優(yōu)勢(shì)與應(yīng)用IPSec位于TCP/IP分層結(jié)構(gòu)的IP層上，因此它可以加密和鑒別在IP層的所有通信量，所有的分布式應(yīng)用，包括遠(yuǎn)程注冊(cè)、客戶/服務(wù)器、電子郵件、文件傳輸、Web訪問等，都可以通過IPSec增加安全特征。IPSec是一種基于端對(duì)端的安全模式。適合下列網(wǎng)絡(luò)：局域網(wǎng)：C/S模式，對(duì)等模式廣域網(wǎng)：路由器-對(duì)-路由器模式，網(wǎng)關(guān)－對(duì)－網(wǎng)關(guān)模式遠(yuǎn)程訪問：撥號(hào)客戶機(jī)，專網(wǎng)對(duì)Internet的訪問。3/30/202331IPSec的優(yōu)越性：1）IPSec具有更好的兼容性。2）比高層安全協(xié)議的性能更好，實(shí)現(xiàn)起來更方便；比底層安全協(xié)議更能適應(yīng)通信介質(zhì)的多樣性。3）系統(tǒng)開銷小。4）透明性。5）開放性。IPSec安全協(xié)議定義了如何通過在IP數(shù)據(jù)包中增加擴(kuò)展頭和字段來保證IP包的秘密性、可認(rèn)證性和完整性。3/30/2023324.4.2IPSec體系結(jié)構(gòu)IPSec也是由多個(gè)子協(xié)議組成，將幾種安全技術(shù)結(jié)合形成一個(gè)比較完整的安全體系結(jié)構(gòu)。它是由因特網(wǎng)密鑰交換協(xié)議（IKE：InternetKeyExchange）、認(rèn)證頭（AuthenticationHeader，AH）以及安全封裝載荷（EncapsulatingSecurityPayload，ESP）三個(gè)子協(xié)議組成。IPSec通過在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制——認(rèn)證頭和安全封裝載荷來支持IP數(shù)據(jù)段的秘密性、可認(rèn)證性和完整性。通過IP安全協(xié)議和密鑰管理協(xié)議構(gòu)建起IP層安全體系結(jié)構(gòu)的框架，以保護(hù)所有基于IP的服務(wù)和應(yīng)用。當(dāng)這些安全機(jī)制正確實(shí)現(xiàn)時(shí)，它不會(huì)對(duì)用戶、主機(jī)和其他未采用這些安全機(jī)制的Internet部件產(chǎn)生負(fù)面影響。由于這些安全機(jī)制是獨(dú)立于算法的，所以在選擇和改變算法時(shí)也不會(huì)影響其它部分的實(shí)現(xiàn)，對(duì)用戶和上層應(yīng)用是透明的。3/30/2023331）因特網(wǎng)密鑰交換協(xié)議（IKE）：用于動(dòng)態(tài)建立安全關(guān)聯(lián)（SA：SecurityAssociation），所謂SA是通信對(duì)等方中間對(duì)某些要素的一種協(xié)定。IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理，它主要包括三個(gè)功能：對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商；方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行)；跟蹤對(duì)以上這些約定的實(shí)施。2）認(rèn)證頭（AH）：設(shè)計(jì)AH協(xié)議的主要目的是用來增加數(shù)據(jù)完整性的認(rèn)證機(jī)制，為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保修改過的數(shù)據(jù)包可以被檢查出來。通過它可以防止地址欺騙攻擊和重發(fā)攻擊。它支持的散列算法是HMAC－MD5－96，HMAC－SHA－1－96。3）安全封裝載荷（ESP）：設(shè)計(jì)ESP協(xié)議的主要目的是提供IP數(shù)據(jù)包的安全性。ESP的作用是提供機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重播保護(hù)等安全服務(wù)。ESP支持的加密算法有：3DES，RC5，IDEA，三密鑰三重IDEA，CAST，Blowfish，支持的散列算法有HMAC－MD5－96，HMAC－SHA－1－96。

IPSec各個(gè)子協(xié)議的功能3/30/202334IPSec體系結(jié)構(gòu)模型TCP/UDP傳輸層IPSec驅(qū)動(dòng)程序受保護(hù)的IP數(shù)據(jù)包TCP/UDP傳輸層IPSec驅(qū)動(dòng)程序IKESA對(duì)主機(jī)AIKESA對(duì)主機(jī)B網(wǎng)絡(luò)層SA協(xié)商3/30/2023354.4.3基于IPSec的虛擬專用網(wǎng)IPSec作為網(wǎng)絡(luò)層安全協(xié)議，產(chǎn)生于IPv6的制定之中，用于提供IP層的安全性。目前IPSec最主要的應(yīng)用是構(gòu)建安全虛擬專用網(wǎng)（VPN，VirtualPrivateNetwork）。VPN是利用開放的公眾網(wǎng)絡(luò)資源建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等連接起來，并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN有兩層含義：它是“虛擬的”，即建立隧道或虛電路把不同的物理網(wǎng)絡(luò)或設(shè)備連接起來，不再使用物理的專線建立專用網(wǎng)，而是將其建立在分布廣泛的公共網(wǎng)絡(luò)上，如Internet；它是“專用的”，對(duì)基于IPSec的VPN而言，是一組連接的閉合用戶群（CVC），它不僅具有服務(wù)質(zhì)量（QoS）的保證，而且更多地強(qiáng)調(diào)安全服務(wù)。VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的無(wú)縫延伸，VPN可將位于不同地點(diǎn)的遠(yuǎn)程用戶、分支機(jī)構(gòu)和合作伙伴等連接起來。3/30/202336VPN是當(dāng)前企