傳輸層的安全性
在internet應用程式設計序中 通常使用廣義的程序間通訊(ipc)機制來同不同層次的
安全協議打交道。比較流行的兩個ipc程式設計介面是bsd sockets和傳輸層介面(tli)
在unix系統v裡可以找到。
在internet中提供安全服務的首先乙個想法便是強化它的ipc介面 如bsd sockets
等 具體做法包括雙端實體的認證 資料加密金鑰的交換等。netscape通訊公司遵
循了這個思路 制定了建立在可靠的傳輸服務(如tcp/ip所提供)基礎上的安全套接
層協議(ssl)。ssl版本3(sslv3)於2023年12月制定。它主要包含以下兩個協議:
·ssl記錄協議 它涉及應用程式提供的資訊的分段、壓縮、資料認證和加密。ssl
v3提供對資料認證用的md5和sha以及資料加密用的r4和des等的支援 用來對數
據進行認證和加密的金鑰可以通過ssl的握手協議來協商。
·ssl握手協議 用來交換版本號、加密演算法、(相互)身份認證並交換金鑰。sslv3
提供對deffie-hellman金鑰交換演算法、基於rsa的金鑰交換機制和另一種實現在
fortezza chip上的金鑰交換機制的支援。
netscape通訊公司已經向公眾推出了ssl的參考實現(稱為sslref)。另一免費的ssl
實現叫做ssleay。sslref和ssleay均可給任何tcp/ip應用提供ssl功能。internet
號碼分配當局(iana)已經為具備ssl功能的應用分配了固定埠號 例如 帶ssl的
http(https)被分配以埠號443 帶ssl的smtp(ssmtp)被分配以埠號465 帶ssl
的nntp(snntp)被分配以埠號563。
微軟推出了ssl版本2的改進版本 叫做pct(私人通訊技術)。至少從它使用的記錄
格式來看 ssl和pct是十分相似的。它們的主要差別是它們在版本號欄位的最顯著
位(the most significant bit)上的取值有所不同: ssl該位取0 pct該位取1。這
樣區分之後 就可以對這兩個協議都給以支援。
2023年4月 ietf授權乙個傳輸層安全(tls)工作組著手制定乙個傳輸層安全協議
(tlsp) 以便作為標準提案向iesg正式提交。tlsp將會在許多地方酷似ssl。
我們已經看到 internet層安全機制的主要優點是它的透明性 即安全服務的提供
不要求應用做任何改變。這對傳輸層來說是做不到的。原則上 任何tcp/ip應用
只要應用傳輸層安全協議 比如說ssl或pct 就必定要進行若干修改以增加相應的
功能 並使用(稍微)不同的ipc介面。於是 傳輸層安全機制的主要缺點就是要對
傳輸層ipc介面和應用程式兩端都進行修改。可是 比起internet層和應用層的安全
機制來 這裡的修改還是相當小的。另乙個缺點是 基於udp的通訊很難在傳輸層建
立起安全機制來。同網路層安全機制相比 傳輸層安全機制的主要優點是它提供基
於程序對程序的(而不是主機對主機的)安全服務。這一成就如果再加上應用級的安
全服務 就可以再向前跨越一大步了。
防火牆及其他 6
大多數ipsp及其相應的金鑰管理協議的實現均基於unix系統。任何ipsp的實現都必 須跟對應協議棧的原始碼糾纏在一起 而這原始碼又能在unix系統上使用 其原因大概 就在於此。但是 如果要想在internet上更廣泛地使用和採納安全協議 就必須有 相應的ms dos或windows版本。而在這些系...
防火牆及其他 2
防火牆技術 古時候 人們常在寓所之間砌起一道磚牆 一旦火災發生 它能夠防止火勢蔓 延到別的寓所。自然 這種牆因此而得名 防火牆 現在 如果乙個網路接到了internet上面 它的使用者就可以訪問外部世界並與 之通訊。但同時 外部世界也同樣可以訪問該網路並與之互動。為安全起見 可以在該網路和inter...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...