網路安全協議:tcp/ip固有漏洞,所以為保證資訊保安,在各種層次上產生各種安全協議,是以密碼學為基礎的,在網路中提供安全服務為目的協議;
資料鏈路層:pptp,l2f,l2tp,主要用於構建access vpn,本質是使用隧道技術構建vpn;
應用層:ipsec;
傳輸層:ssl;
應用層:s-http,ssh,set;
ipsec在ipv6上是必選項,是其安全標準,也是ipv6比ipv4安全性優秀的重要原因。ipv6資料報除了基本包頭和資料之外,增加了擴充套件頭,是在擴充套件之後,將非關鍵字段移出基本包頭來實現最小的開銷;
ipsec優點:
結構:
主要包括兩個基本協議:分別封裝安全有效負荷協議(esp),認證頭協議(ah)
四個要件:加密演算法,認證演算法,解釋域,金鑰管理;
esp協議:為報文提供加密和可選認證服務(訊息認證);
ah協議:認證服務,包括資料來源認證,無連線的完整性和乙個抗重放服務;
差異:二者均包含認證功能,ah的作用於是整個ip資料報,esp只包括 資料部分,不包括ip頭;所以ah認證的安全性要高於esp;
加密演算法:必須支援des;用於支援esp;
認證演算法:支援ah和esp,預設使用sha和md5;
解釋域:獲得ipsec的相關安全引數和資訊,相當於乙個系統參考;
金鑰管理:確定和分配金鑰;
安全關聯sa:安全引數和策略集合,定義了乙個單向連線;
sad(安全關聯資料庫),spd(安全策略資料庫);
sa工作流程:
sad中每個sa為(sa標識,ip目的位址,安全協議(esp/ah))及其他具體應用ipsec的資訊;(怎麼用)
spd中每個sp為選擇因子,包括源,目的,名字,協議等;(用不用)
spd作用:每個ipsec是否應用,應該由管理者自己決定,所以,spd就是相當於使用者自己設定的接受和傳送ip包時對ipsec的使用策略,可用可不用;
工作模式:
傳輸模式:
協議用來對上層提供保護,只對ip資料報的有效資料負載進行加密和認證;直將ipsec頭新增在ip頭之後。
隧道模式:
協議用來封裝ip資料報文,對整個ip資料報加密和認證,需要新生成乙個ip頭,而ipsec頭是對之前舊ip頭和負載資訊的處理;
ah頭:
ah頭對整個ip資料報認證,保證其完整性;但是也只是對傳輸過程中不變的 部分認證,存在一些會變化的資料域;
ah在傳輸模式下,也是對整個ip資料報的認證,之後插入到原來的ip頭之後,即相當於覆蓋了傳輸模式,依舊使用自己覆蓋全部資料的功能。 在隧道模式下,會在生成了新的ip頭之後,再對所有的ip資料報(包括新ip頭)進行認證,所以模式是用來指定是否需要生成新ip頭,但是ah總會將最終的ip資料報整體處理;在ipv6中是作為擴充套件頭出現,ipv4中放置在ip頭之後;
乙個ah頭主要包括三個字(32位)的固定長度,其中有下乙個擴充套件頭的型別,認證頭載荷長度(認證頭字數-2),spi(sa識別符號),序列號(防重放),認證資料(使用認證協議得到);
esp:
esp只針對有效資料進行處理;
無論哪種模式,都是先新增esp尾,使長度為字長整數倍,之後加密,設定esp頭,對於可選的認證服務,即對整個esp認證,並在最後新增esp認證;
模式的區別在於,是對原始資料處理還是對原始ip包處理;
ipsec的抗重放機制:
在sa中新增了序列號計數器和抗重放視窗,若提供抗重放機制,序列號計數器不允許重置,必須重新建立新的sa;抗重放視窗即跟根據當前收到的資料報設定的滑動視窗,可以知道哪些序號的資料報已經收到過了,哪些沒有,來判斷重放;
ipsec的金鑰交換協議(ike,應用層協議):
方式就是在通訊雙方中建立起共享安全引數和金鑰,是之前的dh金鑰交換之類的金鑰交換協議的一種標準化和實現。
過程:
一般為了建立起ipsec 的共享安全引數和金鑰,一般會先建立ike 的共享安全引數和金鑰,在這樣的保護下,才會去再次協商,用類似的方式建立ipsec 的共享安全引數和金鑰,但是後者一般採用快速模式,即三次通訊變為三次握手。
用於保護伺服器和客戶端間資料傳輸安全的傳輸層加密協議,提供加密和認證,身份認證功能;實際位置位tcp和應用層之間,被封裝在tcp資料報中。
組成:(傳輸層和應用層間,用來具體的資料封裝)ssl記錄協議;(之後為應用層協議,用來構建環境 )ssl握手協議;ssl轉換密碼協議;ssl報警協議;
ssl的安全環境是指會通過ssl握手協議來建立ssl會話,每個會話有建立的會話狀態,包括演算法和金鑰的確定,之後在該環境下會多次連線來傳送資訊,全部傳送之後會結束會話;
ssl記錄協議:
ssl握手協議:
用來建立會話,有身份認證的功能;
在c/s間傳遞訊息報文,完成會話協商談判;
ssl轉換密碼協議:通知對方更新密碼規範的協議;
ssl報警協議:報警資訊作為記錄協議的負載交換的;
安全版的http:就是在http基礎上增加了ssl,而且ssl是內嵌到作業系統核心來實現的,對上層應用透明;當然也可以以函式庫**用呼叫。
https埠為443
https主要功能為;建立安全通道;確認**伺服器和客戶端的真實性;https的單向認證一般認證伺服器身份即可,電子商務可能會要求雙向認證;使用者的ca證書一般在u盾中;
安全電子交易協議:用在internet上,以信用卡為基礎的電子付款系統規範;
ssl協議雖然也可以用在電子商務中,但只是保證了網路節點間機密,完整等資訊,但並沒有針對電子商務的特點設計。
六大元件:持卡人,商家,支付閘道器,清算機構,發卡機構,ca;
流程:
特殊技術:
(1)電子信封:用對方的公鑰加密用來通訊的對稱金鑰,形成乙個裝著金鑰的信封,將金鑰傳遞給對方;
(2)雙重簽名:用於分離支付資訊和訂購資訊;
兩個資訊是直接全部給商家的,但是不允許商家看支付資訊的,而且也要使二者有一種繫結能力,以免中途被偽造;
過程:
ssl與set比較:
ssl沒有突出身份認證,而set中所有人的身份都要求認證;
set規範了整個交易流程,最大限度保證了商務性,協調性和整合性;
set是應用層,ssl是傳輸層;
ssl主要與在web上,而set可用於多平台;
set代價大;
網路安全協議複習
本部分內容主要介紹tcp ip協議體系結構中,每層包含的協議及其英文全稱。位址解析協議 arp address resolution protocol 逆位址解析協議 rarp reverse address resolution protocol 網際網路控制訊息協議 icmp internet ...
《網路安全協議》課程實驗大綱
網路安全協議 課程 實驗大綱 適用專業 網路工程專業 實驗學時 12學時 一 實驗的性質 任務和基本要求 一 本實驗課的性質 任務 網路安全協議 是網路工程專業的專業限選課,本課程旨在培養學生對網路安全協議的分析能力,同時為後續專業課程的學習打下堅實的基礎。實驗是鞏固課堂教學質量必不可少的重要手段。...
網路安全入門 HTTP協議入門
環境介紹 借助多文件之間的相互關聯形成的超文字,連成相互參閱的全球資訊網 所涉及的技術 目前所使用的http協議為http 1.1,所以也稱之為駐足不前http協議 uri 統一資源識別符號,因此可見url是一種具體的uri,也就是說url是uri的子集。客戶端 用來傳送請求 get與post的區別...