網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全性協(xié)議

網(wǎng)絡(luò)安全——網(wǎng)絡(luò)安全性協(xié)議信息安全案例教程：技術(shù)與應(yīng)用6.4.1應(yīng)用層安全協(xié)議安全外殼協(xié)議SSH用密碼算法提供安全可靠的遠(yuǎn)程登錄、文件傳輸和遠(yuǎn)程復(fù)制等網(wǎng)絡(luò)應(yīng)用程序。安全超文本傳輸協(xié)議S-HTTPS-HTTP提供了文件級的安全機(jī)制，用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.1應(yīng)用層安全協(xié)議電子郵件安全協(xié)議S/MIMES/MIME是由RSA安全公司于1990年中旬設(shè)計(jì)的，S/MIME第3版于1999年由互聯(lián)網(wǎng)工程任務(wù)小組(IETF)指定為電子郵件安全的標(biāo)準(zhǔn)協(xié)議，它具有數(shù)字簽名和數(shù)據(jù)加密的功能。它可以自動(dòng)將所有送出的郵件加密、簽名或同時(shí)加密和簽名，也可以有選擇地給特定的郵件加密、簽名或同時(shí)加密和簽名。S/MIME要求簽名者必須持有公鑰證書。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.1應(yīng)用層安全協(xié)議電子交易安全協(xié)議SET保障信用卡持有者在互聯(lián)網(wǎng)上進(jìn)行在線交易時(shí)的安全，它是由美國Visa和Master兩個(gè)信用卡公司于1996年發(fā)起研制的。電子現(xiàn)金協(xié)議eCash由銀行發(fā)行的具有一定面額的電子字據(jù)，用于在互聯(lián)網(wǎng)上流通，模擬現(xiàn)金在實(shí)際生活中的使用。電子現(xiàn)金的任何持有人都可以從發(fā)行電子現(xiàn)金的銀行中將其兌現(xiàn)成與其面額等價(jià)的現(xiàn)金。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

1.SSL基本概念傳輸層安全協(xié)議通常指的是安全套接層協(xié)議SSL(SecuritySocketLayer)和傳輸層安全協(xié)議TLS(TransportLayerSecurity)兩個(gè)協(xié)議。SSL協(xié)議是介于應(yīng)用層和可靠的傳輸層協(xié)議(TCP)之間的安全通信協(xié)議。其主要功能是當(dāng)兩個(gè)應(yīng)用層相互通信時(shí)，為傳送的信息提供保密性和可靠性。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的，因而高層的應(yīng)用層協(xié)議(如HTTP、FTP、TELNET)能透明的建立于SSL協(xié)議之上。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

1.SSL基本概念SSL提供一個(gè)安全的“握手”來初始化TCP/IP連接，來完成客戶機(jī)和服務(wù)器之間關(guān)于安全等級、密碼算法、通信密鑰的協(xié)商，以及執(zhí)行對連接端身份的認(rèn)證工作。在此之后SSL連接上所傳送的應(yīng)用層協(xié)議數(shù)據(jù)都會(huì)被加密，從而保證通信的機(jī)密性。SSL可以用于任何面向連接的安全通信，但通常用于安全Web應(yīng)用的HTTP協(xié)議。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

2.SSL使用的安全機(jī)制以及提供的安全服務(wù)SSL使用公鑰密碼系統(tǒng)和技術(shù)進(jìn)行客戶機(jī)和服務(wù)器通信實(shí)體身份的認(rèn)證和會(huì)話密鑰的協(xié)商，使用對稱密碼算法對SSL連接上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密。SSL提供的面向連接的安全性具有以下三個(gè)基本性質(zhì)：連接是秘密的。連接是可認(rèn)證的。連接是可靠的。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

2.SSL使用的安全機(jī)制以及提供的安全服務(wù)SSL中使用的安全機(jī)制有：加密機(jī)制數(shù)據(jù)簽名機(jī)制數(shù)據(jù)完整性機(jī)制交換鑒別機(jī)制公證機(jī)制2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

3.SSL協(xié)議的基本結(jié)構(gòu)2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

4.SSL協(xié)議的安全性下面是SSL協(xié)議對幾種常用攻擊的應(yīng)對能力：1）監(jiān)聽和中間人攻擊：SSL使用一個(gè)經(jīng)過通信雙方協(xié)商確定的加密算法和密鑰，對不同的安全級別應(yīng)用都可以找到不同的加密算法。它在每次連接時(shí)通過產(chǎn)生一個(gè)哈希函數(shù)生成一個(gè)臨時(shí)使用的會(huì)話密鑰。除了不同連接使用不同密鑰外，在一次連接的兩個(gè)傳輸方向上也使用各自的密鑰。盡管SSL協(xié)議為監(jiān)聽者提供了很多明文，但由于RSA交換密鑰有較好的密鑰保護(hù)性能，以及頻繁更換密鑰的特點(diǎn)，因此對監(jiān)聽和中間人式的攻擊具有較高的防范性。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.2傳輸層安全協(xié)議SSL

4.SSL協(xié)議的安全性下面是SSL協(xié)議對幾種常用攻擊的應(yīng)對能力：2）流量分析攻擊：流量分析攻擊的核心是通過檢查數(shù)據(jù)包的未加密字段或未保護(hù)的數(shù)據(jù)包屬性，試圖進(jìn)行攻擊。在一般情況下該攻擊是無害的，SSL無法阻止這種攻擊。3）重放攻擊：通過在MAC數(shù)據(jù)中設(shè)置時(shí)間戳可以防止這種攻擊。SSL協(xié)議本身也存在諸多缺陷，如認(rèn)證和加解密的速度較慢；對用戶不透明；尤其是SSL不提供網(wǎng)絡(luò)運(yùn)行可靠性的功能，不能增強(qiáng)網(wǎng)的健壯性，對拒絕服務(wù)攻擊就無能為力；依賴于第三方認(rèn)證等等。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3網(wǎng)絡(luò)層安全協(xié)議IPsec

1.IPsec基本概念I(lǐng)PSec定義了一種標(biāo)準(zhǔn)、健壯的以及包容廣泛的機(jī)制，可用它為IP及其上層協(xié)議(如TCP和UDP)提供安全保證。IPSec的目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全功能，在IP層實(shí)現(xiàn)多種安全服務(wù)，包括訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證、抗重播、機(jī)密性等。IPSec通過支持一系列加密算法如DES、三重DES、IDEA、AES等確保通信雙方的機(jī)密性。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

1.IPsec基本概念I(lǐng)PSec可在網(wǎng)絡(luò)層上對數(shù)據(jù)包進(jìn)行安全處理，IPSec支持?jǐn)?shù)據(jù)加密，同時(shí)確保資料的完整性，這樣就可以保護(hù)所有的分布應(yīng)用，包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸和Web訪問等。各種應(yīng)用程序可以享用IPSec提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。IPSec可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端安全、虛擬專用網(wǎng)絡(luò)和安全隧道技術(shù)等。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3網(wǎng)絡(luò)層安全協(xié)議IPsec

1.IPsec基本概念I(lǐng)PSec的一個(gè)典型方案2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

1.IPsec基本概念I(lǐng)PSec協(xié)議主要包括：1）認(rèn)證頭AH(AuthenticationHead)協(xié)議：它規(guī)定認(rèn)證格式，用于支持?jǐn)?shù)據(jù)完整性和IP包的認(rèn)證。數(shù)據(jù)完整性確保在包的傳輸過程中內(nèi)容不可更改。認(rèn)證確保終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備能對用戶或應(yīng)用程序進(jìn)行認(rèn)證，并相應(yīng)地提供流量過濾功能，同時(shí)還能防止地址欺騙攻擊和重放攻擊。2）載荷安全封裝ESP(EncapsulatingSecurityPayload)協(xié)議：提供IP數(shù)據(jù)報(bào)的完整性和認(rèn)證功能，還可以利用加密技術(shù)保障數(shù)據(jù)的機(jī)密性。3）因特網(wǎng)密鑰交換IKE(InternetKeyExchange)協(xié)議：可以確保IP數(shù)據(jù)報(bào)的保密性，也可以提供完整性和認(rèn)證功能(視加密算法和應(yīng)用模式而定)。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

1.IPsec基本概念雖然AH和ESP都可以提供身份認(rèn)證，但它們有如下區(qū)別：ESP要求使用高強(qiáng)度加密算法，會(huì)受到許多限制。多數(shù)情況下，使用AH的認(rèn)證服務(wù)已能滿足要求，相對來說，ESP開銷較大。設(shè)置AH和ESP兩套安全協(xié)議意味著可以對IPSec網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的控制，選擇安全方案可以有更大的靈活度。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

2.IPSec的兩種應(yīng)用模式IPSec有兩種工作模式模式：傳輸模式和隧道模式。傳輸模式用于在兩臺(tái)主機(jī)之間進(jìn)行的端到端通信。發(fā)送端IPsec將IP包載荷用ESP或AH進(jìn)行加密或認(rèn)證，但不包括IP頭，數(shù)據(jù)包傳輸?shù)侥繕?biāo)IP后，由接收端IPsec認(rèn)證和解密。隧道模式用于點(diǎn)到點(diǎn)通信，對整個(gè)IP包提供保護(hù)。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

2.IPSec的兩種應(yīng)用模式2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

3.IPSec協(xié)議內(nèi)容IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它主要包括：1）認(rèn)證頭AH(AuthenticationHead)協(xié)議。2）載荷安全封裝ESP(EncapsulatingSecurityPayload)協(xié)議。3）因特網(wǎng)密鑰交換IKE(InternetKeyExchange)協(xié)議。雖然AH和ESP都可以提供身份認(rèn)證，但它們有如下區(qū)別：ESP要求使用高強(qiáng)度加密算法，會(huì)受到許多限制。多數(shù)情況下，使用AH的認(rèn)證服務(wù)已能滿足要求，相對來說，ESP開銷較大。設(shè)置AH和ESP兩套安全協(xié)議意味著可以對IPSec網(wǎng)絡(luò)進(jìn)行更細(xì)粒度的控制，選擇安全方案可以有更大的靈活度。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

3.IPSec協(xié)議內(nèi)容SA是IPSec的基礎(chǔ)。在使用AH或ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接，此邏輯連接叫做安全關(guān)聯(lián)SA。這樣，IPsec就將傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。SA是通信對等方之間對某些要素的一種協(xié)定，例如IPSec協(xié)議、協(xié)議的操作模式(傳輸模式和隧道模式)、密碼算法、密鑰、用于保護(hù)它們之間數(shù)據(jù)流的密鑰的生存期。安全關(guān)聯(lián)是單向的，因此輸出和輸入的數(shù)據(jù)流需要獨(dú)立的SA。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

3.IPSec協(xié)議內(nèi)容一個(gè)安全關(guān)聯(lián)SA由一個(gè)三元組惟一地確定，它包括：安全參數(shù)索引SPI(SecurityParameterIndex)目標(biāo)IP地址安全協(xié)議標(biāo)識符2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

3.IPSec協(xié)議內(nèi)容因特網(wǎng)密鑰交換協(xié)議IKEIKE的主要用途是在IPSec通信雙方之間建立起共享安全參數(shù)及驗(yàn)證的密鑰。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.3

網(wǎng)絡(luò)層安全協(xié)議IPsec

4．IPSecVPN與SSLVPNIPSecVPN與SSLVPN的比較部署安全性可擴(kuò)展性訪問控制能力經(jīng)濟(jì)性2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.4IPv6新一代網(wǎng)絡(luò)的安全機(jī)制1IPv6的新特性2IPv6安全機(jī)制對現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.4IPv6新一代網(wǎng)絡(luò)的安全機(jī)制

1IPv6的新特性（1）新包頭格式（2）更大的地址空間（3）高效的層次尋址及路由結(jié)構(gòu)（4）全狀態(tài)和無狀態(tài)地址配置（5）內(nèi)置安全設(shè)施（6）更好的QoS支持（7）用于鄰節(jié)點(diǎn)交互的新協(xié)議（8）可擴(kuò)展性2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.4IPv6新一代網(wǎng)絡(luò)的安全機(jī)制

2IPv6安全機(jī)制對現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)安全包含著各個(gè)層次、各個(gè)方面的問題，不是僅僅由一個(gè)安全的網(wǎng)絡(luò)層就可以解決得了的。如果黑客從網(wǎng)絡(luò)層以上的應(yīng)用層發(fā)動(dòng)進(jìn)攻，比如利用系統(tǒng)緩沖區(qū)溢出或木馬進(jìn)行攻擊，縱使再安全的網(wǎng)絡(luò)層也于事無補(bǔ)。而且僅僅從網(wǎng)絡(luò)層來看，IPv6也不是盡善盡美的。它畢竟同IPv4有著極深的淵源。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.4IPv6新一代網(wǎng)絡(luò)的安全機(jī)制

2IPv6安全機(jī)制對現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)由于IPv6引進(jìn)了加密和認(rèn)證，還可能產(chǎn)生新的攻擊方式。當(dāng)前的網(wǎng)絡(luò)安全體系是基于現(xiàn)行的IPv4協(xié)議的，防范黑客的主要工具有防火墻、網(wǎng)絡(luò)掃描、系統(tǒng)掃描、Web安全保護(hù)、入侵檢測系統(tǒng)等。IPv6的安全機(jī)制對他們的沖擊可能是巨大的，甚至是致命的。2024/3/24信息安全案例教程：技術(shù)與應(yīng)用6.4.4IPv6新一代網(wǎng)絡(luò)的安全機(jī)制

2IPv6安全機(jī)制對現(xiàn)行網(wǎng)絡(luò)安全體系的新挑戰(zhàn)為了適應(yīng)新的網(wǎng)絡(luò)協(xié)議，尋找新的解決安全問題的途徑變得非常急迫。安全研究人員也需要面對新的情況，進(jìn)一步研究和積累經(jīng)驗(yàn)，盡快找出適應(yīng)的安全解決方法。2024/3/24無線網(wǎng)絡(luò)，尤其是以WAP(WirelessApplicationProtocol，無線應(yīng)用協(xié)議)和