网络安全-网络安全性协议

信息安全案例教程：技术与应用6.4网络安全协议6.4.1应用层安全协议6.4.2传输层安全协议SSL6.4.3网络层安全协议Ipsec6.4.4IPv6新一代网络的安全机制6.4.5无线加密协议2022/12/25信息安全案例教程：技术与应用6.4.1应用层安全协议安全外壳协议SSH用密码算法提供安全可靠的远程登录、文件传输和远程复制等网络应用程序。安全超文本传输协议S-HTTPS-HTTP提供了文件级的安全机制，用作加密及签名的算法可以由参与通信的收发双方协商。2022/12/25信息安全案例教程：技术与应用6.4.1应用层安全协议电子邮件安全协议S/MIMES/MIME是由RSA安全公司于1990年中旬设计的，S/MIME第3版于1999年由互联网工程任务小组(IETF)指定为电子邮件安全的标准协议，它具有数字签名和数据加密的功能。它可以自动将所有送出的邮件加密、签名或同时加密和签名，也可以有选择地给特定的邮件加密、签名或同时加密和签名。S/MIME要求签名者必须持有公钥证书。2022/12/25信息安全案例教程：技术与应用6.4.1应用层安全协议电子交易安全协议SET保障信用卡持有者在互联网上进行在线交易时的安全，它是由美国Visa和Master两个信用卡公司于1996年发起研制的。电子现金协议eCash由银行发行的具有一定面额的电子字据，用于在互联网上流通，模拟现金在实际生活中的使用。电子现金的任何持有人都可以从发行电子现金的银行中将其兑现成与其面额等价的现金。2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

1.SSL基本概念传输层安全协议通常指的是安全套接层协议SSL(SecuritySocketLayer)和传输层安全协议TLS(TransportLayerSecurity)两个协议。SSL协议是介于应用层和可靠的传输层协议(TCP)之间的安全通信协议。其主要功能是当两个应用层相互通信时，为传送的信息提供保密性和可靠性。SSL协议的优势在于它是与应用层协议独立无关的，因而高层的应用层协议(如HTTP、FTP、TELNET)能透明的建立于SSL协议之上。2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

1.SSL基本概念SSL提供一个安全的“握手”来初始化TCP/IP连接，来完成客户机和服务器之间关于安全等级、密码算法、通信密钥的协商，以及执行对连接端身份的认证工作。在此之后SSL连接上所传送的应用层协议数据都会被加密，从而保证通信的机密性。SSL可以用于任何面向连接的安全通信，但通常用于安全Web应用的HTTP协议。2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

2.SSL使用的安全机制以及提供的安全服务SSL使用公钥密码系统和技术进行客户机和服务器通信实体身份的认证和会话密钥的协商，使用对称密码算法对SSL连接上传输的敏感数据进行加密。SSL提供的面向连接的安全性具有以下三个基本性质：连接是秘密的。连接是可认证的。连接是可靠的。2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

2.SSL使用的安全机制以及提供的安全服务SSL中使用的安全机制有：加密机制数据签名机制数据完整性机制交换鉴别机制公证机制2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

3.SSL协议的基本结构2022/12/25信息安全案例教程：技术与应用6.4.2传输层安全协议SSL

4.SSL协议的安全性下面是SSL协议对几种常用攻击的应对能力：1）监听和中间人攻击：SSL使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都可以找到不同的加密算法。它在每次连接时通过产生一个哈希函数生成一个临时使用的会话密钥。除了不同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管SSL协议为监听者提供了很多明文，但由于RSA交换密钥有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式的攻击具有较高的防范性。2022/12/25信息安全案案例教程：：技术与应应用6.4.2传输层安全全协议SSL4.SSL协议的安全全性下面是SSL协议对几种种常用攻击击的应对能能力：2）流量分析析攻击：流流量分析攻攻击的核心心是通过检检查数据包包的未加密密字段或未未保护的数数据包属性性，试图进进行攻击。。在一般情情况下该攻攻击是无害害的，SSL无法阻止这这种攻击。。3）重放攻击击：通过在在MAC数据中设置置时间戳可可以防止这这种攻击。。SSL协议本身也也存在诸多多缺陷，如如认证和加加解密的速速度较慢；；对用户不不透明；尤尤其是SSL不提供网络络运行可靠靠性的功能能，不能增增强网的健健壮性，对对拒绝服务务攻击就无无能为力；；依赖于第第三方认证证等等。2022/12/20信息安全案案例教程：：技术与应应用6.4.3网络层安全全协议IPsec1.IPsec基本概念IPSec定义了一种种标准、健健壮的以及及包容广泛泛的机制，，可用它为为IP及其上层协协议(如TCP和UDP)提供安全保保证。IPSec的目标是为为IPv4和IPv6提供具有较较强的互操操作能力、、高质量和和基于密码码的安全功功能，在IP层实现多种种安全服务务，包括访访问控制、、数据完整整性、数据据源验证、、抗重播、、机密性等等。IPSec通过支持一一系列加密密算法如DES、三重DES、IDEA、AES等确保通信信双方的机机密性。2022/12/20信息安全案案例教程：：技术与应应用6.4.3网络层安全全协议IPsec1.IPsec基本概念IPSec可在网络层层上对数据据包进行安安全处理，，IPSec支持数据加加密，同时时确保资料料的完整性性，这样就就可以保护护所有的分分布应用，，包括远程程登录、客客户/服务器、电电子邮件、、文件传输输和Web访问等。各种应用程程序可以享享用IPSec提供的安全全服务和密密钥管理，，而不必设设计和实现现自己的安安全机制，，因此减少少了密钥协协商的开销销，也降低低了产生安安全漏洞的的可能性。。IPSec可连续或递递归应用，，在路由器器、防火墙墙、主机和和通信链路路上配置，，实现端到到端安全、、虚拟专用用网络和安安全隧道技技术等。2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec1.IPsec基本概概念IPSec的一个个典型型方案案2022/12/20信息息安安全全案案例例教教程程：：技技术术与与应应用用6.4.3网络络层层安安全全协协议议IPsec1.IPsec基本本概概念念IPSec协议议主主要要包包括括：：1）认认证证头头AH(AuthenticationHead)协议议：：它它规规定定认认证证格格式式，，用用于于支支持持数数据据完完整整性性和和IP包的的认认证证。。数数据据完完整整性性确确保保在在包包的的传传输输过过程程中中内内容容不不可可更更改改。。认认证证确确保保终终端端系系统统或或网网络络设设备备能能对对用用户户或或应应用用程程序序进进行行认认证证，，并并相相应应地地提提供供流流量量过过滤滤功功能能，，同同时时还还能能防防止止地地址址欺欺骗骗攻攻击击和和重重放放攻攻击击。。2）载载荷荷安安全全封封装装ESP(EncapsulatingSecurityPayload)协议议：：提提供供IP数据据报报的的完完整整性性和和认认证证功功能能，，还还可可以以利利用用加加密密技技术术保保障障数数据据的的机机密密性性。。3）因因特特网网密密钥钥交交换换IKE(InternetKeyExchange)协议议：：可可以以确确保保IP数据据报报的的保保密密性性，，也也可可以以提提供供完完整整性性和和认认证证功功能能(视加加密密算算法法和和应应用用模模式式而而定定)。2022/12/20信息息安安全全案案例例教教程程：：技技术术与与应应用用6.4.3网络络层层安安全全协协议议IPsec1.IPsec基本本概概念念虽然然AH和ESP都可可以以提提供供身身份份认认证证，，但但它它们们有有如如下下区区别别：：ESP要求求使使用用高高强强度度加加密密算算法法，，会会受受到到许许多多限限制制。。多数数情情况况下下，，使使用用AH的认认证证服服务务已已能能满满足足要要求求，，相相对对来来说说，，ESP开销销较较大大。。设置置AH和ESP两套套安安全全协协议议意意味味着着可可以以对对IPSec网络络进进行行更更细细粒粒度度的的控控制制，，选选择择安安全全方方案案可可以以有有更更大大的的灵灵活活度度。。2022/12/20信息息安安全全案案例例教教程程：：技技术术与与应应用用6.4.3网络络层层安安全全协协议议IPsec2.IPSec的两两种种应应用用模模式式IPSec有两两种种工工作作模模式式模模式式：：传传输输模模式式和和隧隧道道模模式式。。传输输模模式式用用于于在在两两台台主主机机之之间间进进行行的的端端到到端端通通信信。。发发送送端端IPsec将IP包载载荷荷用用ESP或AH进行行加加密密或或认认证证，，但但不不包包括括IP头，数数据包包传输输到目目标IP后，由由接收收端IPsec认证和和解密密。隧道模模式用用于点点到点点通信信，对对整个个IP包提供供保护护。2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec2.IPSec的两种种应用用模式式2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec3.IPSec协议内内容IPSec协议不不是一一个单单独的的协议议，它它给出出了应应用于于IP层上网网络数数据安安全的的一整整套体体系结结构，，它主主要包包括：：1）认证证头AH(AuthenticationHead)协议。。2）载荷荷安全全封装装ESP(EncapsulatingSecurityPayload)协议。。3）因特特网密密钥交交换IKE(InternetKeyExchange)协议。。虽然AH和ESP都可以以提供供身份份认证证，但但它们们有如如下区区别：：ESP要求使使用高高强度度加密密算法法，会会受到到许多多限制制。多数情况下下，使使用AH的认证证服务务已能能满足足要求求，相相对来来说，，ESP开销较较大。。设置AH和ESP两套安安全协协议意意味着着可以以对IPSec网络进进行更更细粒粒度的的控制制，选选择安安全方方案可可以有有更大大的灵灵活度度。2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec3.IPSec协议内内容SA是IPSec的基础础。在使用用AH或ESP之前，，先要要从源源主机机到目目的主主机建建立一一条网网络层层的逻逻辑连连接，，此逻逻辑连连接叫叫做安安全关关联SA。这样，，IPsec就将传传统的的因特特网无无连接接的网网络层层转换换为具具有逻逻辑连连接的的层。。SA是通信信对等等方之之间对对某些些要素素的一一种协协定，，例如如IPSec协议、、协议议的操操作模模式(传输模模式和和隧道道模式式)、密码码算法法、密密钥、、用于于保护护它们们之间间数据据流的的密钥钥的生生存期期。安全关关联是是单向向的，，因此此输出出和输输入的的数据据流需需要独独立的的SA。2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec3.IPSec协议内内容一个安安全关关联SA由一个个三元元组惟惟一地地确定定，它它包括括：安全参参数索索引SPI(SecurityParameterIndex)目标IP地址安全协协议标标识符符2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec3.IPSec协议内内容因特网网密钥交交换协协议IKEIKE的主要要用途途是在在IPSec通信双双方之之间建建立起起共享享安全全参数数及验验证的的密钥钥。2022/12/20信息安安全案案例教教程：：技术术与应应用6.4.3网络层层安全全协议议IPsec4．IPSecVPN与SSLVPNIPSecVPN与SSLVPN的比较较部署安全性可扩展性访问控制能能力经济性2022/12/20信息安全案案例教程：：技术与应应用6.4.4IPv6新一代网络络的安全机机制1IPv6的新特性2IPv6安全机制对对现行网络络安全体系系的新挑战战2022/12/20信息安全案案例教程：：技术与应应用6.4.4IPv6新一代网络络的安全机机制1IPv6的新特性（1）新包头格格式（2）更大的地地址空间（3）高效的层层次寻址及及路由结构构（4）全状态和和无状态地地址配置（5）内置安全全设施（6）更好的QoS支持（7）用于邻节节点交互的的新协议（8）可扩展性性2022/12/20信息安全案案例教程：：技术与应应用6.4.4IPv6新一代网络络的安全机制2IPv6安全机制对对现行网络络安全体系系的新挑战战安全包含着着各个层次次、各个方方面的问题题，不是仅仅仅由一个个安全的网网络层就可可以解决得得了的。如果黑客从从网络层以以上的应用用层发动进进攻，比如如利用系统统缓冲区溢溢出或木马马进行攻击击，纵使再再安全的网网络层也于于事无补。。而且仅仅从从网络层来来看，IPv6也不是尽善善尽美的。。它毕竟同同IPv4有着极深的的渊源。2022/12/20信息安全案案例教程：：技术与应应用6.4.4IPv6新一代网络络的安全机机制2IPv6安全机制对对现行网络络安全体系系的新挑战战由于IPv6引进了加密密和认证，，还可能产产生新的攻攻击方式。。当前的网络络安全体系系是基于现现行的IPv4协议的，防防范黑客的的主要工具具有防火墙墙、网络扫扫描、系统统扫描、Web安全保护、、入侵检测测系统等。。IPv6的安全机制制对他们的的冲击可能能是巨大的的，甚至是是致命的。。2022/12/20信息安全案案例教程：：技术与应应用6.4.4IPv6新一代网络络的安全机机制2IPv6安全机制对对现行网络络安全体系系的新挑战战为了适应新新的网络协协议，寻找找新的解决决安全问题题的途径变变得非常急急迫。安全研究人人员也需要要面对新的的情况，进进一步研究究和积累经经验，尽快快找出适应应的安全解解决方法。。2022/12/20无线网络，，尤其是以以WAP(WirelessApplicationProtocol，无线应用用协议)和WiFi(WirelessFidelity，通常指无无线局域网网)为代表的技技术为应用用带来了极极大的方便但是由于无线网网络基于电电磁波的传传输，因此此极易产生生信息窃取取或中间人人攻击等攻攻击行为，，相应地也也需要有适适用于无线线网络环境境的加密技技术。6.4.5无线网络中中的加密信息安全案案例教程：：技术与应应用2022/12/20无线线加加密密协协议议WEP(WirelessEncryptionProtocol)，有有时时候候也也称称做做““有有线线等等效效加加密密协协议议””(WireEquivalentPrivacy，简简写写同同样样是是WEP)，是是为为了了使使无无线线网网络络能能够够达达到到如如有有线线网网络络等等同同的的安安全全而而设设计计的的协协议议。WEP是1999年9月通通过过的的IEEE802.11标准准的的一一部部分分，，使使用用RC4加密密算算法法对对信信息息进进行行加加密密，，并并使使用用CRC-32验证证完整整性性。。6.4.5无线线网网络络中中的的加加密密信息息安安全全案案例例教教程程：：技技术术与与应应用用2022/12/20密钥钥长度度是是影影响响WEP安全全性性的的因因素素之之一一，，破破解解较较长长的的密密钥钥可可以以通通过过拦拦截截较较多多的的数数据据包包来来完成成。。WEP的应应用用中中还还有有其其他他的的弱弱点点，，包包括括密密钥钥初初始始化化串串雷雷同同的的可可能能性性和和伪伪造造的的封封包包。而更普普遍遍的的弱弱点点，，如如设设备备默默认认不不启启动动WEP或人人为为设设置置相相同同的的密密钥钥等等做做法法，，使使得得WEP的安安全全措措施施很很轻轻易易被被攻攻破破。因此此，无无线线网网络络中中通通常常建建议议采采用用WPA或WPA2安全全标标准准。。6.4.5无线线网网络络中中的的加加密密信息息安安全全案案例例教教程程：：技技术术与与应应用用2022/12/20WPA的全全名名为为Wi-Fi访问问控控制制协协议议(Wi-FiProtectedAccess)，包包括括WPA和WPA2两个个标标准准。WPA实现现了了IEEE802.11i标准准的的大大部部分分要要求求，，是是在在802.11i标准准完完备备之之前前替替代代WEP的一一套套过过渡渡方方案案。。WPA的设设计计可可以以用用在在所所有有的的无无线线网网卡卡上上。而WPA2实现现了了完完整整的的802.11i标准准这两个个标标准准修修改改了了WEP中的的几几个个严严重重弱弱点点，，都都能能实实现现较较好好的的安安全全性性。。6.4.5无线线网网络络中中的的加加密密信息息安安全全案案例例教教程程：：技技术术与与应应用用2022/12/209、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Tuesday,December20,202210、雨中黄黄叶树，，灯下白白头人。。。01:24:1801:24:1801:2412/20/20221:24:18AM11、以我我独沈沈久，，愧君君相见见频。。。12月月-2201:24:1801:24Dec-2220-Dec-2212、故人人江海海别，，几度度隔山山川。。。01:24:1801:24:1801:24Tuesday,December20,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2201:24:1801:24:18December20,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。20十十二二月月20221:24:18上上午午01:24:1812月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月221:24上上午12月-2201:24December20,202216、行动出成果果，工作出财财富。。2022/12/201:24:1801:24:1820December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。1:24:18上上午1:24上上午午01:24:1812月月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Tuesday,December20,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。01:24:1901:24:1901:2412/20/20221:24:19AM11、成功功就是是日复复一日日那一一点点点小小小努力力的积积累。。。12月月-2201:24:1901:24Dec-2220-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。01:24:1901:24:1901:24Tuesday,December20,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2201:24:1901:24:19December20,202214、意意志