第二章 網(wǎng)絡(luò)安全協(xié)議

1、第二章第二章 網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議 災(zāi)害信息工程系災(zāi)害信息工程系 孫曉玲孫曉玲 崇德博智崇德博智 扶危定傾扶危定傾 2.1 TCT/IP協(xié)議簇協(xié)議簇 2.2 網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議 2.3 SSL協(xié)議協(xié)議 2.4 IPSec協(xié)議協(xié)議 小結(jié)小結(jié) 第二章第二章 網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議 崇德博智崇德博智 扶危定傾扶危定傾 TCP/IP協(xié)議簇是因特網(wǎng)的基礎(chǔ)協(xié)議，不能簡單協(xié)議簇是因特網(wǎng)的基礎(chǔ)協(xié)議，不能簡單 說成是說成是TCP協(xié)議和協(xié)議和IP協(xié)議的和，它是一組協(xié)議的集協(xié)議的和，它是一組協(xié)議的集 合，包括傳輸層的合，包括傳輸層的TCP協(xié)議和協(xié)議和UDP協(xié)議等，網(wǎng)絡(luò)層協(xié)議等，網(wǎng)絡(luò)層 的的IP協(xié)議、協(xié)議

2、、ICMP協(xié)議和協(xié)議和IGMP協(xié)議等以及數(shù)據(jù)鏈路協(xié)議等以及數(shù)據(jù)鏈路 層和應(yīng)用層的若干協(xié)議。層和應(yīng)用層的若干協(xié)議。 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 2.1.1 TCP/IP協(xié)議簇的基本組成協(xié)議簇的基本組成 OSI參考模型是指用分層的思想把計(jì)算機(jī)之間參考模型是指用分層的思想把計(jì)算機(jī)之間 的通信劃分為具有層間關(guān)系的七個協(xié)議層，要完成的通信劃分為具有層間關(guān)系的七個協(xié)議層，要完成 一次通信，需要在七個相對獨(dú)立的協(xié)議層上完成各一次通信，需要在七個相對獨(dú)立的協(xié)議層上完成各 自進(jìn)程才能實(shí)現(xiàn)，但自進(jìn)程才能實(shí)現(xiàn)，但TCP/IP參考模型卻只用了四層，參考模型卻只用了四層， 如圖

3、如圖2-1-1所示。所示。 TCP/IP協(xié)議是協(xié)議是20世紀(jì)世紀(jì)70年代中期，美國國防部年代中期，美國國防部 為其為其ARPANET開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議標(biāo)準(zhǔn)。開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議標(biāo)準(zhǔn)。 以以TCP/IP為基礎(chǔ)建立的因特網(wǎng)是目前國際上規(guī)模最為基礎(chǔ)建立的因特網(wǎng)是目前國際上規(guī)模最 大的計(jì)算機(jī)網(wǎng)絡(luò)。大的計(jì)算機(jī)網(wǎng)絡(luò)。 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 圖 2-1-1 TCP/IP協(xié)議簇的體系結(jié)構(gòu) 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 2.1.2 TCP/IP協(xié)議的封裝協(xié)議的封裝 在基于在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中，各種應(yīng)用層的

4、數(shù)協(xié)議的網(wǎng)絡(luò)中，各種應(yīng)用層的數(shù) 據(jù)都被封裝在據(jù)都被封裝在IP數(shù)據(jù)包中在網(wǎng)絡(luò)上進(jìn)行傳輸。其數(shù)數(shù)據(jù)包中在網(wǎng)絡(luò)上進(jìn)行傳輸。其數(shù) 據(jù)封裝過程如圖據(jù)封裝過程如圖2-1-2所示。所示。 基于基于TCP/IP協(xié)議的所有應(yīng)用層的數(shù)據(jù)協(xié)議的所有應(yīng)用層的數(shù)據(jù)(如如HTTP、 FTP、EMAIL、DNS等等)在傳輸層都是通過在傳輸層都是通過TCP(或或 UDP)數(shù)據(jù)包的格式進(jìn)行封裝的數(shù)據(jù)包的格式進(jìn)行封裝的(見圖見圖2-1-3)。 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 圖 2-1-2 TCP/IP協(xié)議的封裝過程結(jié)構(gòu) 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾

5、圖 2-1-3 TCP數(shù)據(jù)包的封裝格式 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 圖 2-1-4 IP數(shù)據(jù)包的封裝格式 崇德博智崇德博智 扶危定傾扶危定傾 圖 2-1-5 TCP的建立與關(guān)閉過程 崇德博智崇德博智 扶危定傾扶危定傾 2.1.3 TCP/IP協(xié)議簇的安全問題協(xié)議簇的安全問題 隨著隨著Internet的發(fā)展，的發(fā)展，TCP/IP協(xié)議得到了廣泛的應(yīng)用，協(xié)議得到了廣泛的應(yīng)用， 幾乎所有的網(wǎng)絡(luò)均采用了幾乎所有的網(wǎng)絡(luò)均采用了TCP/IP協(xié)議。由于協(xié)議。由于TCP/IP協(xié)議在協(xié)議在 最初設(shè)計(jì)時是基于一種可信環(huán)境的，沒有考慮安全性問題，最初設(shè)計(jì)時是基于一種可信環(huán)境的

6、，沒有考慮安全性問題， 因此它自身存在許多固有的安全缺陷，例如因此它自身存在許多固有的安全缺陷，例如: (1) 對對IP協(xié)議，其協(xié)議，其IP地址可以通過軟件進(jìn)行設(shè)置，這樣地址可以通過軟件進(jìn)行設(shè)置，這樣 會造成地址假冒和地址欺騙兩類安全隱患。會造成地址假冒和地址欺騙兩類安全隱患。 (2) IP協(xié)議支持源路由方式，即源發(fā)方可以指定信息包協(xié)議支持源路由方式，即源發(fā)方可以指定信息包 傳送到目的節(jié)點(diǎn)的中間路由，為源路由攻擊埋下了隱患。傳送到目的節(jié)點(diǎn)的中間路由，為源路由攻擊埋下了隱患。 (3) 在在TCP/IP協(xié)議的實(shí)現(xiàn)中也存在著一些安全缺陷和漏協(xié)議的實(shí)現(xiàn)中也存在著一些安全缺陷和漏 洞，如序列號產(chǎn)生容易被

7、猜測、參數(shù)不檢查而導(dǎo)致的緩沖區(qū)洞，如序列號產(chǎn)生容易被猜測、參數(shù)不檢查而導(dǎo)致的緩沖區(qū) 溢出等。溢出等。 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 (4) 在在TCP/IP協(xié)議簇中的各種應(yīng)用層協(xié)議協(xié)議簇中的各種應(yīng)用層協(xié)議(如如Telnet、 FTP、SMTP等等)缺乏認(rèn)證和保密措施，這就為欺騙、否認(rèn)、缺乏認(rèn)證和保密措施，這就為欺騙、否認(rèn)、 拒絕、篡改、竊取等行為開了方便之門，使得基于這些缺陷拒絕、篡改、竊取等行為開了方便之門，使得基于這些缺陷 和漏洞的攻擊形式多樣。和漏洞的攻擊形式多樣。 2.1 TCP/IP協(xié)議簇協(xié)議簇 崇德博智崇德博智 扶危定傾扶危定傾 為了解決為了

8、解決TCP/IP協(xié)議簇的安全性問題，彌補(bǔ)協(xié)議簇的安全性問題，彌補(bǔ) TCP/IP協(xié)議簇在設(shè)計(jì)之初對安全功能的考慮不足，協(xié)議簇在設(shè)計(jì)之初對安全功能的考慮不足， 以以Internet工程任務(wù)組工程任務(wù)組(IETF)為代表的相關(guān)組織不斷為代表的相關(guān)組織不斷 通過對現(xiàn)有協(xié)議的改進(jìn)和設(shè)計(jì)新的安全通信協(xié)議，通過對現(xiàn)有協(xié)議的改進(jìn)和設(shè)計(jì)新的安全通信協(xié)議， 對現(xiàn)有的對現(xiàn)有的TCP/IP協(xié)議簇提供相關(guān)的安全保證，在協(xié)協(xié)議簇提供相關(guān)的安全保證，在協(xié) 議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，從而形議的不同層次設(shè)計(jì)了相應(yīng)的安全通信協(xié)議，從而形 成了由各層安全通信協(xié)議構(gòu)成的成了由各層安全通信協(xié)議構(gòu)成的TCP/IP協(xié)議簇的安協(xié)

9、議簇的安 全架構(gòu)，具體參看圖全架構(gòu)，具體參看圖2-2-1。 2.2 網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)安全協(xié)議 崇德博智崇德博智 扶危定傾扶危定傾 圖 2-2-1 TCP/IP協(xié)議簇的安全架構(gòu) 崇德博智崇德博智 扶危定傾扶危定傾 各個安全協(xié)議的具體含義描述如下。各個安全協(xié)議的具體含義描述如下。 1. 應(yīng)用層的安全協(xié)議應(yīng)用層的安全協(xié)議 (1) S-HTTP(Secure HTTP): 為保證為保證Web的安的安 全，由全，由IETF開發(fā)的協(xié)議，該協(xié)議利用開發(fā)的協(xié)議，該協(xié)議利用MIME，基于，基于 文本進(jìn)行加密、報(bào)文認(rèn)證和密鑰分發(fā)等。文本進(jìn)行加密、報(bào)文認(rèn)證和密鑰分發(fā)等。 (2) SSH(Secure Shell):

10、 對對BSD系列的系列的UNIX的的 r系列命令加密而采用的安全技術(shù)。系列命令加密而采用的安全技術(shù)。 (3) SSL-Telnet、SSL-SMTP、SSL-POP3: 以以 SSL協(xié)議分別對協(xié)議分別對Telnet、SMTP、POP3等應(yīng)用進(jìn)行等應(yīng)用進(jìn)行 的加密。的加密。 崇德博智崇德博智 扶危定傾扶危定傾 (4) PET(Privacy Enhanced Telnet): 使使 Telnet具有加密功能，在遠(yuǎn)程登錄時對連接本身進(jìn)具有加密功能，在遠(yuǎn)程登錄時對連接本身進(jìn) 行加密的方式行加密的方式(由富士通和由富士通和WIDE開發(fā)開發(fā))。 (5) PEM(Privacy Enhanced Mail

11、): 由由IEEE標(biāo)標(biāo) 準(zhǔn)化的具有加密簽名功能的郵件系統(tǒng)。準(zhǔn)化的具有加密簽名功能的郵件系統(tǒng)。 (6) S/MIME(Secure/Multipurpose Internet Mail Extensions): 安全的多用途安全的多用途Internet郵件擴(kuò)充郵件擴(kuò)充 協(xié)議。協(xié)議。 (7) PGP(Pretty Good Privacy): 具有加密及具有加密及 簽名功能的電子郵件協(xié)議簽名功能的電子郵件協(xié)議(RFC1991)。 崇德博智崇德博智 扶危定傾扶危定傾 2. 傳輸層的安全協(xié)議傳輸層的安全協(xié)議 (1) SSL(Secure Socket Layer): 基于基于WWW 服務(wù)器和瀏覽器之間

12、的具有加密、報(bào)文認(rèn)證、簽名服務(wù)器和瀏覽器之間的具有加密、報(bào)文認(rèn)證、簽名 驗(yàn)證和密鑰分配的加密協(xié)議。驗(yàn)證和密鑰分配的加密協(xié)議。 (2) TLS(Transport Layer Security，IEEE標(biāo)標(biāo) 準(zhǔn)準(zhǔn)): 將將SSL通用化的協(xié)議通用化的協(xié)議(RFC2246)。 (3) SOCKS v5: 此協(xié)議是防火墻和此協(xié)議是防火墻和VPN用的數(shù)用的數(shù) 據(jù)加密和認(rèn)證協(xié)議，見據(jù)加密和認(rèn)證協(xié)議，見IEEE RFC1928(以以NEC開發(fā)開發(fā) 為主為主)。 崇德博智崇德博智 扶危定傾扶危定傾 3. 網(wǎng)絡(luò)層的安全協(xié)議網(wǎng)絡(luò)層的安全協(xié)議 IPSec(Internet Protocol Security，IEE

13、E標(biāo)標(biāo) 準(zhǔn)準(zhǔn)): 為通信雙方提供機(jī)密性和完整性服務(wù)。為通信雙方提供機(jī)密性和完整性服務(wù)。 4. 網(wǎng)絡(luò)接口層的安全協(xié)議網(wǎng)絡(luò)接口層的安全協(xié)議 (1) PPTP(Point to Point Tunneling Protocol)： 點(diǎn)點(diǎn) 到點(diǎn)隧道協(xié)議。到點(diǎn)隧道協(xié)議。 (2) L2F(Layer 2 Forwarding): 第二層轉(zhuǎn)發(fā)協(xié)議。第二層轉(zhuǎn)發(fā)協(xié)議。 (3) L2TP(Layer 2 Tunneling Protocol): 綜合了綜合了 PPTP和和L2F的協(xié)議，稱為第二層隧道協(xié)議。的協(xié)議，稱為第二層隧道協(xié)議。 崇德博智崇德博智 扶危定傾扶危定傾 9.2.1 應(yīng)用層的安全協(xié)議應(yīng)用層的安全協(xié)議

14、 應(yīng)用層的安全協(xié)議針對不同的應(yīng)用安全需求，應(yīng)用層的安全協(xié)議針對不同的應(yīng)用安全需求， 設(shè)計(jì)不同的安全機(jī)制。常見的協(xié)議主要有設(shè)計(jì)不同的安全機(jī)制。常見的協(xié)議主要有S-HTTP 和和PGP。 1. S-HTTP S-HTTP (Secure Hyper Text Transfer Protocol)是是安全超文本轉(zhuǎn)換協(xié)議安全超文本轉(zhuǎn)換協(xié)議的簡稱，它是一種的簡稱，它是一種 結(jié)合結(jié)合 HTTP 而設(shè)計(jì)的面向消息的安全通信協(xié)議。而設(shè)計(jì)的面向消息的安全通信協(xié)議。S- HTTP為為 HTTP 客戶端和服務(wù)器提供了多種安全機(jī)客戶端和服務(wù)器提供了多種安全機(jī) 制，為制，為WWW中廣泛存在的潛在的終端用戶提供適中廣泛存

15、在的潛在的終端用戶提供適 當(dāng)?shù)陌踩?wù)選項(xiàng)。當(dāng)?shù)陌踩?wù)選項(xiàng)。 崇德博智崇德博智 扶危定傾扶危定傾 2. PGP PGP(Pretty Good Privacy)加密技術(shù)的創(chuàng)始人加密技術(shù)的創(chuàng)始人 是美國的是美國的Philip Zimmermann，他的創(chuàng)造性工作是，他的創(chuàng)造性工作是 把把RSA公鑰體系和傳統(tǒng)加密公鑰體系和傳統(tǒng)加密(IDEA)體系結(jié)合起來，體系結(jié)合起來， 并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè) 計(jì)。計(jì)。 PGP提供了一種安全的通信方式，它可以提供了一種安全的通信方式，它可以對郵對郵 件進(jìn)行保密件進(jìn)行保密以防止非授權(quán)者閱讀，它還能以

16、防止非授權(quán)者閱讀，它還能對郵件加對郵件加 上數(shù)字簽名上數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者，從而使收信人可以確認(rèn)郵件的發(fā)送者， 并能確信郵件有沒有被篡改。并能確信郵件有沒有被篡改。PGP采用了一種雜合采用了一種雜合 算法，把算法，把RSA和和IDEA算法都應(yīng)用其中，用于電子郵算法都應(yīng)用其中，用于電子郵 件的壓縮和計(jì)算明文的摘要值等。件的壓縮和計(jì)算明文的摘要值等。 崇德博智崇德博智 扶危定傾扶危定傾 2.2.2 傳輸層的安全協(xié)議傳輸層的安全協(xié)議 傳輸層的安全協(xié)議有傳輸層的安全協(xié)議有SSL、TLS、SOCKS v5等。等。 Netscape公司開發(fā)的公司開發(fā)的SSL(Secure Socket

17、 Layer) 協(xié)議是安全套接層協(xié)議，是一種安全通信協(xié)議。協(xié)議是安全套接層協(xié)議，是一種安全通信協(xié)議。 SSL是為客戶端是為客戶端/服務(wù)器之間的服務(wù)器之間的HTTP協(xié)議提供加密協(xié)議提供加密 的安全協(xié)議的安全協(xié)議，作為標(biāo)準(zhǔn)被集成在瀏覽器上。，作為標(biāo)準(zhǔn)被集成在瀏覽器上。SSL位于傳位于傳 輸層與應(yīng)用層之間，并非是輸層與應(yīng)用層之間，并非是Web專用的安全協(xié)議，也能專用的安全協(xié)議，也能 為為Telnet、SMTP、 FTP等其他協(xié)議所應(yīng)用，但等其他協(xié)議所應(yīng)用，但SSL只只 能用于能用于TCP，不能用于，不能用于UDP。 TLS是是SSL通用化的加密協(xié)議，由通用化的加密協(xié)議，由IETF標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化。 崇

18、德博智崇德博智 扶危定傾扶危定傾 SOCKS v4是為是為TELNET、FTP、HTTP、 WAIS和和GOPHER等基于等基于TCP協(xié)議的客戶端協(xié)議的客戶端/服務(wù)器服務(wù)器 應(yīng)用提供的協(xié)議。應(yīng)用提供的協(xié)議。SOCKS v5擴(kuò)展了擴(kuò)展了SOCKS v4以以 使其支持使其支持UDP，擴(kuò)展了框架以包含一般的強(qiáng)安全認(rèn)，擴(kuò)展了框架以包含一般的強(qiáng)安全認(rèn) 證方案，擴(kuò)展了尋址方案以包括域名和證方案，擴(kuò)展了尋址方案以包括域名和IPv6地址，地址， 此協(xié)議在傳輸層及應(yīng)用層之間進(jìn)行操作。此協(xié)議在傳輸層及應(yīng)用層之間進(jìn)行操作。 崇德博智崇德博智 扶危定傾扶危定傾 2.2.3 網(wǎng)絡(luò)層的安全協(xié)議網(wǎng)絡(luò)層的安全協(xié)議 IPSec

19、協(xié)議協(xié)議是在網(wǎng)絡(luò)層上實(shí)現(xiàn)的具有加密、認(rèn)是在網(wǎng)絡(luò)層上實(shí)現(xiàn)的具有加密、認(rèn) 證功能的安全協(xié)議，由證功能的安全協(xié)議，由IETF標(biāo)準(zhǔn)化，它既適合于標(biāo)準(zhǔn)化，它既適合于IP v4，也適合于，也適合于IPv6。IPSec協(xié)議能夠?yàn)樗谢趨f(xié)議能夠?yàn)樗谢?TCP/IP協(xié)議的應(yīng)用提供安全服務(wù)。協(xié)議的應(yīng)用提供安全服務(wù)。 崇德博智崇德博智 扶危定傾扶危定傾 2.2.4 網(wǎng)絡(luò)接口層的安全協(xié)議網(wǎng)絡(luò)接口層的安全協(xié)議 網(wǎng)絡(luò)接口層的安全協(xié)議主要有網(wǎng)絡(luò)接口層的安全協(xié)議主要有PPTP、L2F、L2TP 等。等。 1. PPTP PPTP(點(diǎn)到點(diǎn)隧道協(xié)議點(diǎn)到點(diǎn)隧道協(xié)議)是由微軟、朗訊和是由微軟、朗訊和3COM等等 公司推出的協(xié)議

20、標(biāo)準(zhǔn)，是集成在公司推出的協(xié)議標(biāo)準(zhǔn)，是集成在Windows NT 4.0、 Windows 98等系統(tǒng)上的點(diǎn)對點(diǎn)的安全協(xié)議，它使用擴(kuò)等系統(tǒng)上的點(diǎn)對點(diǎn)的安全協(xié)議，它使用擴(kuò) 展的展的GRE(Generic Routing Encapsulation，通用，通用 路由封裝路由封裝)協(xié)議封裝協(xié)議封裝PPP分組，通過在分組，通過在IP網(wǎng)上建立的隧網(wǎng)上建立的隧 道來透明傳送道來透明傳送PPP幀。幀。PPTP在邏輯上延伸了在邏輯上延伸了PPP會話，會話， 從而形成了虛擬的遠(yuǎn)程撥號。從而形成了虛擬的遠(yuǎn)程撥號。 崇德博智崇德博智 扶危定傾扶危定傾 2. L2F L2F是第二層轉(zhuǎn)發(fā)協(xié)議，是由是第二層轉(zhuǎn)發(fā)協(xié)議，是由C

21、isco Systems 建議的標(biāo)建議的標(biāo) 準(zhǔn)。它在準(zhǔn)。它在RFC 2341中定義，是基于中定義，是基于ISP的、為遠(yuǎn)程接入服務(wù)的、為遠(yuǎn)程接入服務(wù) 器器RAS提供提供VPN功能的協(xié)議。它是功能的協(xié)議。它是1998年標(biāo)準(zhǔn)化的遠(yuǎn)程訪年標(biāo)準(zhǔn)化的遠(yuǎn)程訪 問問VPN的協(xié)議。的協(xié)議。 3. L2TP 1996年年6月，月，Microsoft和和CISCO 向向IETF PPP擴(kuò)展工作擴(kuò)展工作 組組(PPPEXT)提交了一個提交了一個MS-PPTP和和Cisco L2F協(xié)議的聯(lián)合協(xié)議的聯(lián)合 版本，該提議被命名為第二層隧道協(xié)議版本，該提議被命名為第二層隧道協(xié)議(L2TP)。L2TP是是 綜合了綜合了PPTP和

22、和L2F等協(xié)議的另一個基于數(shù)據(jù)鏈路層的隧道等協(xié)議的另一個基于數(shù)據(jù)鏈路層的隧道 協(xié)議，它繼承了協(xié)議，它繼承了L2F的格式和的格式和PPTP中的最出色的部分。中的最出色的部分。 崇德博智崇德博智 扶危定傾扶危定傾 為傳輸層提供安全保護(hù)的協(xié)議主要有為傳輸層提供安全保護(hù)的協(xié)議主要有SSL和和 TLS。 TLS用于在兩個通信應(yīng)用程序之間提供保密用于在兩個通信應(yīng)用程序之間提供保密 性和數(shù)據(jù)完整性服務(wù)。性和數(shù)據(jù)完整性服務(wù)。 2.3 SSL協(xié)議協(xié)議 崇德博智崇德博智 扶危定傾扶危定傾 2.3.1 SSL安全服務(wù)安全服務(wù) SSL協(xié)議可提供以下協(xié)議可提供以下3種基本的安全功能服務(wù)。種基本的安全功能服務(wù)。 (1)

23、信息加密信息加密。SSL 所采用的加密技術(shù)既有對稱加密所采用的加密技術(shù)既有對稱加密 技術(shù)技術(shù)(如如DES、 IDEA)，也有非對稱加密技術(shù)，也有非對稱加密技術(shù)(如如RSA)，從而，從而 確保了信息傳遞過程中的機(jī)密性。確保了信息傳遞過程中的機(jī)密性。 (2) 身份認(rèn)證身份認(rèn)證。通信雙方的身份可通過通信雙方的身份可通過RSA(數(shù)字簽數(shù)字簽 名技術(shù)名技術(shù))、DSA(數(shù)字簽名算法數(shù)字簽名算法)和和ECDSA(橢圓曲線數(shù)字簽名橢圓曲線數(shù)字簽名 算法算法)來驗(yàn)證，來驗(yàn)證，SSL協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行身份認(rèn)證，協(xié)議要求在握手交換數(shù)據(jù)前進(jìn)行身份認(rèn)證， 以此來確保用戶的合法性。以此來確保用戶的合法性。 崇德

24、博智崇德博智 扶危定傾扶危定傾 (3) 信息完整性校驗(yàn)信息完整性校驗(yàn)。通信的發(fā)送方通過散列函數(shù)通信的發(fā)送方通過散列函數(shù) 產(chǎn)生消息驗(yàn)證碼產(chǎn)生消息驗(yàn)證碼(MAC)，接收方通過驗(yàn)證，接收方通過驗(yàn)證MAC來保證信息的來保證信息的 完整性。完整性。SSL 提供完整性校驗(yàn)服務(wù)，使所有經(jīng)過提供完整性校驗(yàn)服務(wù)，使所有經(jīng)過SSL協(xié)議處協(xié)議處 理的業(yè)務(wù)都能全部準(zhǔn)確、無誤地到達(dá)目的地。理的業(yè)務(wù)都能全部準(zhǔn)確、無誤地到達(dá)目的地。 SSL不是一個單獨(dú)的協(xié)議，而是兩層協(xié)議，如不是一個單獨(dú)的協(xié)議，而是兩層協(xié)議，如 圖圖2-3-1所示。其中，最主要的兩個所示。其中，最主要的兩個SSL子協(xié)議是握子協(xié)議是握 手協(xié)議和記錄協(xié)議。手協(xié)

25、議和記錄協(xié)議。 崇德博智崇德博智 扶危定傾扶危定傾 圖圖2-3-1 SSL的分層結(jié)構(gòu)的分層結(jié)構(gòu) 崇德博智崇德博智 扶危定傾扶危定傾 2.3.2 SSL記錄協(xié)議記錄協(xié)議 SSL記錄協(xié)議記錄協(xié)議從它的高層從它的高層SSL子協(xié)議收到數(shù)據(jù)子協(xié)議收到數(shù)據(jù) 后，后，進(jìn)行數(shù)據(jù)分段、壓縮、認(rèn)證和加密進(jìn)行數(shù)據(jù)分段、壓縮、認(rèn)證和加密， 即它把輸即它把輸 入的任意長度的數(shù)據(jù)輸出為一系列的入的任意長度的數(shù)據(jù)輸出為一系列的SSL數(shù)據(jù)段數(shù)據(jù)段(或或 者叫者叫“SSL記錄記錄”)，每個這樣的數(shù)據(jù)段最大為，每個這樣的數(shù)據(jù)段最大為16 383(214-1)個字節(jié)。個字節(jié)。 每個每個SSL記錄包括內(nèi)容類型、協(xié)議版本號、長記錄包括

26、內(nèi)容類型、協(xié)議版本號、長 度、度、 數(shù)據(jù)有效載荷和數(shù)據(jù)有效載荷和MAC等信息。等信息。 崇德博智崇德博智 扶危定傾扶危定傾 SSLSSL記錄層記錄層 崇德博智崇德博智 扶危定傾扶危定傾 2.3.3 SSL握手協(xié)議握手協(xié)議 SSL 握手協(xié)議是位于握手協(xié)議是位于SSL記錄協(xié)議之上的主要子協(xié)議，記錄協(xié)議之上的主要子協(xié)議， SSL握手消息被提供給握手消息被提供給SSL記錄層，在那里它們被封裝進(jìn)一記錄層，在那里它們被封裝進(jìn)一 個或多個個或多個SSL記錄里。記錄里。 這些記錄根據(jù)當(dāng)前這些記錄根據(jù)當(dāng)前SSL會話指定的壓會話指定的壓 縮方法、加密說明和當(dāng)前縮方法、加密說明和當(dāng)前SSL連接對應(yīng)的密鑰來進(jìn)行處理和

27、連接對應(yīng)的密鑰來進(jìn)行處理和 傳輸。傳輸。SSL握手協(xié)議使客戶端和服務(wù)器建立并保持用于安全握手協(xié)議使客戶端和服務(wù)器建立并保持用于安全 通信的狀態(tài)信息，通信的狀態(tài)信息， 此協(xié)議使得客戶端和服務(wù)器獲得共同的此協(xié)議使得客戶端和服務(wù)器獲得共同的 SSL 協(xié)議版本號、選擇壓縮方法和密碼說明、可選的相互認(rèn)協(xié)議版本號、選擇壓縮方法和密碼說明、可選的相互認(rèn) 證、產(chǎn)生一個主要秘密并由此得到消息認(rèn)證和加密的各種會證、產(chǎn)生一個主要秘密并由此得到消息認(rèn)證和加密的各種會 話密鑰。話密鑰。 崇德博智崇德博智 扶危定傾扶危定傾 崇德博智崇德博智 扶危定傾扶危定傾 2.3.4 SSL協(xié)議性能分析協(xié)議性能分析 SSL協(xié)議性能可從

28、訪問速度和安全性進(jìn)行分析。協(xié)議性能可從訪問速度和安全性進(jìn)行分析。 1. 訪問速度訪問速度 SSL的應(yīng)用降低了的應(yīng)用降低了HTTP服務(wù)器和瀏覽器之間相互作用服務(wù)器和瀏覽器之間相互作用 的速度，原因在于在瀏覽器和服務(wù)器之間用來初始化的速度，原因在于在瀏覽器和服務(wù)器之間用來初始化SSL會會 話和連接的狀態(tài)信息時需要用到公鑰加密和解密方案。實(shí)際話和連接的狀態(tài)信息時需要用到公鑰加密和解密方案。實(shí)際 上，在開始連接到上，在開始連接到HTTP服務(wù)器和收到第一個服務(wù)器和收到第一個HTML頁面時，頁面時， 用戶經(jīng)歷了一個額外的幾秒鐘的停頓用戶經(jīng)歷了一個額外的幾秒鐘的停頓(SSL協(xié)議對接下來的會協(xié)議對接下來的會

29、話中的主密鑰進(jìn)行緩存處理話中的主密鑰進(jìn)行緩存處理)。 崇德博智崇德博智 扶危定傾扶危定傾 這個耽擱只影響瀏覽器和服務(wù)器之間的第一次這個耽擱只影響瀏覽器和服務(wù)器之間的第一次SSL連接。連接。 與創(chuàng)建會話相比，采用與創(chuàng)建會話相比，采用DES、RC2、RC4算法來進(jìn)行加密和算法來進(jìn)行加密和 解密數(shù)據(jù)的額外負(fù)擔(dān)很少解密數(shù)據(jù)的額外負(fù)擔(dān)很少(沒必要讓用戶感覺到?jīng)]必要讓用戶感覺到)，所以，對，所以，對 于擁有高速計(jì)算機(jī)，而聯(lián)網(wǎng)速度相對很慢的用戶來說，在于擁有高速計(jì)算機(jī)，而聯(lián)網(wǎng)速度相對很慢的用戶來說，在 SSL會話或多個利用共享的主秘密的會話建立后，傳送大量會話或多個利用共享的主秘密的會話建立后，傳送大量 數(shù)

30、據(jù)時，數(shù)據(jù)時，SSL的開銷就顯得微不足道。另一方面，繁忙的的開銷就顯得微不足道。另一方面，繁忙的 SSL服務(wù)器管理者會考慮為了配合公鑰操作而去尋找速度很服務(wù)器管理者會考慮為了配合公鑰操作而去尋找速度很 快的計(jì)算機(jī)或者硬件配置?？斓挠?jì)算機(jī)或者硬件配置。 崇德博智崇德博智 扶危定傾扶危定傾 2. 安全性安全性 SSL并不能抵抗通信流量分析。例如，通過檢并不能抵抗通信流量分析。例如，通過檢 查沒有被加密的查沒有被加密的IP源和目的地址以及源和目的地址以及TCP端口號或端口號或 者檢查通信數(shù)據(jù)量，一個通信分析者可以揭示哪一者檢查通信數(shù)據(jù)量，一個通信分析者可以揭示哪一 方在使用什么服務(wù)，有時甚至揭露商業(yè)

31、或私人關(guān)系方在使用什么服務(wù)，有時甚至揭露商業(yè)或私人關(guān)系 的秘密。為了利用的秘密。為了利用SSL的安全保護(hù)，客戶和服務(wù)器的安全保護(hù)，客戶和服務(wù)器 必須知道另一方也在用必須知道另一方也在用SSL。 崇德博智崇德博智 扶危定傾扶危定傾 IPSec通過認(rèn)證包頭通過認(rèn)證包頭AH(Authentication Header) 和封裝安全負(fù)載和封裝安全負(fù)載ESP( Encapsulated Security Payload)兩個協(xié)議確保基于無連接的數(shù)據(jù)兩個協(xié)議確?；跓o連接的數(shù)據(jù) 的真實(shí)性、機(jī)密性和完整性的要求，加強(qiáng)了的真實(shí)性、機(jī)密性和完整性的要求，加強(qiáng)了IP協(xié)議協(xié)議 的安全性，克服了原有的安全性，克服了原

32、有IPv4協(xié)議在安全性方面存在協(xié)議在安全性方面存在 的不足。的不足。 2.4 IPSec協(xié)議協(xié)議 崇德博智崇德博智 扶危定傾扶危定傾 2.4.1 IPSec的安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu) IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商 部分。部分。安全協(xié)議部分定義了對通信的各種保護(hù)方式安全協(xié)議部分定義了對通信的各種保護(hù)方式; 密鑰協(xié)密鑰協(xié) 商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通 信實(shí)體的身份進(jìn)行鑒別。信實(shí)體的身份進(jìn)行鑒別。 具體來講，具體來講，IPSec協(xié)議主要由因特網(wǎng)密鑰交換協(xié)議主要由因特網(wǎng)密鑰交換(IKE)協(xié)議、協(xié)議、 認(rèn)證頭認(rèn)證頭(AH)以及安全封裝載荷以及安全封裝載荷(ESP)三個子協(xié)議組成三個子協(xié)議組成，同時，同時 還涉及認(rèn)證、加密算法以及安全關(guān)聯(lián)還涉及認(rèn)證、加密算法以及安全關(guān)聯(lián)(SA)等內(nèi)容。等內(nèi)容。 崇德博智崇德博智 扶危定傾扶危