網絡安全-網絡安全性協(xié)議

網絡安全——網絡安全性協(xié)議信息安全案例教程：技術與應用6.4.1應用層安全協(xié)議安全外殼協(xié)議SSH用密碼算法提供安全可靠的遠程登錄、文件傳輸和遠程復制等網絡應用程序。安全超文本傳輸協(xié)議S-HTTPS-HTTP提供了文件級的安全機制，用作加密及簽名的算法可以由參與通信的收發(fā)雙方協(xié)商。2024/3/24信息安全案例教程：技術與應用6.4.1應用層安全協(xié)議電子郵件安全協(xié)議S/MIMES/MIME是由RSA安全公司于1990年中旬設計的，S/MIME第3版于1999年由互聯網工程任務小組(IETF)指定為電子郵件安全的標準協(xié)議，它具有數字簽名和數據加密的功能。它可以自動將所有送出的郵件加密、簽名或同時加密和簽名，也可以有選擇地給特定的郵件加密、簽名或同時加密和簽名。S/MIME要求簽名者必須持有公鑰證書。2024/3/24信息安全案例教程：技術與應用6.4.1應用層安全協(xié)議電子交易安全協(xié)議SET保障信用卡持有者在互聯網上進行在線交易時的安全，它是由美國Visa和Master兩個信用卡公司于1996年發(fā)起研制的。電子現金協(xié)議eCash由銀行發(fā)行的具有一定面額的電子字據，用于在互聯網上流通，模擬現金在實際生活中的使用。電子現金的任何持有人都可以從發(fā)行電子現金的銀行中將其兌現成與其面額等價的現金。2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

1.SSL基本概念傳輸層安全協(xié)議通常指的是安全套接層協(xié)議SSL(SecuritySocketLayer)和傳輸層安全協(xié)議TLS(TransportLayerSecurity)兩個協(xié)議。SSL協(xié)議是介于應用層和可靠的傳輸層協(xié)議(TCP)之間的安全通信協(xié)議。其主要功能是當兩個應用層相互通信時，為傳送的信息提供保密性和可靠性。SSL協(xié)議的優(yōu)勢在于它是與應用層協(xié)議獨立無關的，因而高層的應用層協(xié)議(如HTTP、FTP、TELNET)能透明的建立于SSL協(xié)議之上。2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

1.SSL基本概念SSL提供一個安全的“握手”來初始化TCP/IP連接，來完成客戶機和服務器之間關于安全等級、密碼算法、通信密鑰的協(xié)商，以及執(zhí)行對連接端身份的認證工作。在此之后SSL連接上所傳送的應用層協(xié)議數據都會被加密，從而保證通信的機密性。SSL可以用于任何面向連接的安全通信，但通常用于安全Web應用的HTTP協(xié)議。2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

2.SSL使用的安全機制以及提供的安全服務SSL使用公鑰密碼系統(tǒng)和技術進行客戶機和服務器通信實體身份的認證和會話密鑰的協(xié)商，使用對稱密碼算法對SSL連接上傳輸的敏感數據進行加密。SSL提供的面向連接的安全性具有以下三個基本性質：連接是秘密的。連接是可認證的。連接是可靠的。2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

2.SSL使用的安全機制以及提供的安全服務SSL中使用的安全機制有：加密機制數據簽名機制數據完整性機制交換鑒別機制公證機制2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

3.SSL協(xié)議的基本結構2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

4.SSL協(xié)議的安全性下面是SSL協(xié)議對幾種常用攻擊的應對能力：1）監(jiān)聽和中間人攻擊：SSL使用一個經過通信雙方協(xié)商確定的加密算法和密鑰，對不同的安全級別應用都可以找到不同的加密算法。它在每次連接時通過產生一個哈希函數生成一個臨時使用的會話密鑰。除了不同連接使用不同密鑰外，在一次連接的兩個傳輸方向上也使用各自的密鑰。盡管SSL協(xié)議為監(jiān)聽者提供了很多明文，但由于RSA交換密鑰有較好的密鑰保護性能，以及頻繁更換密鑰的特點，因此對監(jiān)聽和中間人式的攻擊具有較高的防范性。2024/3/24信息安全案例教程：技術與應用6.4.2傳輸層安全協(xié)議SSL

4.SSL協(xié)議的安全性下面是SSL協(xié)議對幾種常用攻擊的應對能力：2）流量分析攻擊：流量分析攻擊的核心是通過檢查數據包的未加密字段或未保護的數據包屬性，試圖進行攻擊。在一般情況下該攻擊是無害的，SSL無法阻止這種攻擊。3）重放攻擊：通過在MAC數據中設置時間戳可以防止這種攻擊。SSL協(xié)議本身也存在諸多缺陷，如認證和加解密的速度較慢；對用戶不透明；尤其是SSL不提供網絡運行可靠性的功能，不能增強網的健壯性，對拒絕服務攻擊就無能為力；依賴于第三方認證等等。2024/3/24信息安全案例教程：技術與應用6.4.3網絡層安全協(xié)議IPsec

1.IPsec基本概念IPSec定義了一種標準、健壯的以及包容廣泛的機制，可用它為IP及其上層協(xié)議(如TCP和UDP)提供安全保證。IPSec的目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全功能，在IP層實現多種安全服務，包括訪問控制、數據完整性、數據源驗證、抗重播、機密性等。IPSec通過支持一系列加密算法如DES、三重DES、IDEA、AES等確保通信雙方的機密性。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

1.IPsec基本概念IPSec可在網絡層上對數據包進行安全處理，IPSec支持數據加密，同時確保資料的完整性，這樣就可以保護所有的分布應用，包括遠程登錄、客戶/服務器、電子郵件、文件傳輸和Web訪問等。各種應用程序可以享用IPSec提供的安全服務和密鑰管理，而不必設計和實現自己的安全機制，因此減少了密鑰協(xié)商的開銷，也降低了產生安全漏洞的可能性。IPSec可連續(xù)或遞歸應用，在路由器、防火墻、主機和通信鏈路上配置，實現端到端安全、虛擬專用網絡和安全隧道技術等。2024/3/24信息安全案例教程：技術與應用6.4.3網絡層安全協(xié)議IPsec

1.IPsec基本概念IPSec的一個典型方案2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

1.IPsec基本概念IPSec協(xié)議主要包括：1）認證頭AH(AuthenticationHead)協(xié)議：它規(guī)定認證格式，用于支持數據完整性和IP包的認證。數據完整性確保在包的傳輸過程中內容不可更改。認證確保終端系統(tǒng)或網絡設備能對用戶或應用程序進行認證，并相應地提供流量過濾功能，同時還能防止地址欺騙攻擊和重放攻擊。2）載荷安全封裝ESP(EncapsulatingSecurityPayload)協(xié)議：提供IP數據報的完整性和認證功能，還可以利用加密技術保障數據的機密性。3）因特網密鑰交換IKE(InternetKeyExchange)協(xié)議：可以確保IP數據報的保密性，也可以提供完整性和認證功能(視加密算法和應用模式而定)。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

1.IPsec基本概念雖然AH和ESP都可以提供身份認證，但它們有如下區(qū)別：ESP要求使用高強度加密算法，會受到許多限制。多數情況下，使用AH的認證服務已能滿足要求，相對來說，ESP開銷較大。設置AH和ESP兩套安全協(xié)議意味著可以對IPSec網絡進行更細粒度的控制，選擇安全方案可以有更大的靈活度。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

2.IPSec的兩種應用模式IPSec有兩種工作模式模式：傳輸模式和隧道模式。傳輸模式用于在兩臺主機之間進行的端到端通信。發(fā)送端IPsec將IP包載荷用ESP或AH進行加密或認證，但不包括IP頭，數據包傳輸到目標IP后，由接收端IPsec認證和解密。隧道模式用于點到點通信，對整個IP包提供保護。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

2.IPSec的兩種應用模式2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

3.IPSec協(xié)議內容IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網絡數據安全的一整套體系結構，它主要包括：1）認證頭AH(AuthenticationHead)協(xié)議。2）載荷安全封裝ESP(EncapsulatingSecurityPayload)協(xié)議。3）因特網密鑰交換IKE(InternetKeyExchange)協(xié)議。雖然AH和ESP都可以提供身份認證，但它們有如下區(qū)別：ESP要求使用高強度加密算法，會受到許多限制。多數情況下，使用AH的認證服務已能滿足要求，相對來說，ESP開銷較大。設置AH和ESP兩套安全協(xié)議意味著可以對IPSec網絡進行更細粒度的控制，選擇安全方案可以有更大的靈活度。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

3.IPSec協(xié)議內容SA是IPSec的基礎。在使用AH或ESP之前，先要從源主機到目的主機建立一條網絡層的邏輯連接，此邏輯連接叫做安全關聯SA。這樣，IPsec就將傳統(tǒng)的因特網無連接的網絡層轉換為具有邏輯連接的層。SA是通信對等方之間對某些要素的一種協(xié)定，例如IPSec協(xié)議、協(xié)議的操作模式(傳輸模式和隧道模式)、密碼算法、密鑰、用于保護它們之間數據流的密鑰的生存期。安全關聯是單向的，因此輸出和輸入的數據流需要獨立的SA。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

3.IPSec協(xié)議內容一個安全關聯SA由一個三元組惟一地確定，它包括：安全參數索引SPI(SecurityParameterIndex)目標IP地址安全協(xié)議標識符2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

3.IPSec協(xié)議內容因特網密鑰交換協(xié)議IKEIKE的主要用途是在IPSec通信雙方之間建立起共享安全參數及驗證的密鑰。2024/3/24信息安全案例教程：技術與應用6.4.3

網絡層安全協(xié)議IPsec

4．IPSecVPN與SSLVPNIPSecVPN與SSLVPN的比較部署安全性可擴展性訪問控制能力經濟性2024/3/24信息安全案例教程：技術與應用6.4.4IPv6新一代網絡的安全機制1IPv6的新特性2IPv6安全機制對現行網絡安全體系的新挑戰(zhàn)2024/3/24信息安全案例教程：技術與應用6.4.4IPv6新一代網絡的安全機制

1IPv6的新特性（1）新包頭格式（2）更大的地址空間（3）高效的層次尋址及路由結構（4）全狀態(tài)和無狀態(tài)地址配置（5）內置安全設施（6）更好的QoS支持（7）用于鄰節(jié)點交互的新協(xié)議（8）可擴展性2024/3/24信息安全案例教程：技術與應用6.4.4IPv6新一代網絡的安全機制

2IPv6安全機制對現行網絡安全體系的新挑戰(zhàn)安全包含著各個層次、各個方面的問題，不是僅僅由一個安全的網絡層就可以解決得了的。如果黑客從網絡層以上的應用層發(fā)動進攻，比如利用系統(tǒng)緩沖區(qū)溢出或木馬進行攻擊，縱使再安全的網絡層也于事無補。而且僅僅從網絡層來看，IPv6也不是盡善盡美的。它畢竟同IPv4有著極深的淵源。2024/3/24信息安全案例教程：技術與應用6.4.4IPv6新一代網絡的安全機制

2IPv6安全機制對現行網絡安全體系的新挑戰(zhàn)由于IPv6引進了加密和認證，還可能產生新的攻擊方式。當前的網絡安全體系是基于現行的IPv4協(xié)議的，防范黑客的主要工具有防火墻、網絡掃描、系統(tǒng)掃描、Web安全保護、入侵檢測系統(tǒng)等。IPv6的安全機制對他們的沖擊可能是巨大的，甚至是致命的。2024/3/24信息安全案例教程：技術與應用6.4.4IPv6新一代網絡的安全機制

2IPv6安全機制對現行網絡安全體系的新挑戰(zhàn)為了適應新的網絡協(xié)議，尋找新的解決安全問題的途徑變得非常急迫。安全研究人員也需要面對新的情況，進一步研究和積累經驗，盡快找出適應的安全解決方法。2024/3/24無線網絡，尤其是以WAP(WirelessApplicationProtocol，無線應用協(xié)議)和