freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全的普及宣傳研究畢業(yè)論文-文庫吧

2025-06-08 01:06 本頁面


【正文】 加密算法。在對數(shù)據(jù)進行解密時使用的密鑰和加密使用的密鑰是完全相同的,這種加密算法稱為對稱加密算法,也叫做私鑰算法;同時在對數(shù)據(jù)進行解密時使用的密鑰和加密使用的密鑰是完全不相同的,這種加密算法稱為非對稱加密算法,也叫做公鑰算法。當(dāng)前涉及到的各種加密算法有:(1)對稱加密算法(私鑰算法)DES(Data Encryption Standard)DES加密共有三種形式,分為DES(40bit長度加密),DES(56bit長度加密)以及3DES(3倍的56bit長度加密,即168bit長度加密);由于3DES加密長度夠長,安全性夠高,所以推薦使用3DES。AES(Advanced Encryption Standard)AES加密共有三種形式,分為AES 128(128bit長度加密),AES 192(192bit長度加密)以及AES 256(256bit長度加密);由于AES 256加密長度夠長,安全性夠高,所以推薦使用AES 256。(2)對稱加密算法(公約加密算法)RSA公鑰加密算法的名字是發(fā)明者的人名:Rivest, Shamir and Adleman,該算法的長度位數(shù)不定,由人手工定義。注:在硬件方面,當(dāng)采用公鑰加密算法時,速度明顯慢于私鑰加密算法。雖然使用公鑰加密算法似乎更安全,但通常都使用私鑰加密算法,而使用私鑰加密算法的重點就是要保證密鑰的安全傳遞與交換,所以該工作就由公鑰加密算法來完成。最后的過程就是先使用公鑰加密算法安全地交換私鑰算法的密鑰,然后再使用私鑰算法對數(shù)據(jù)進行加密,這樣既保證了私鑰算法的密鑰安全,同時又獲得了數(shù)據(jù)加密的速度,兩者兼得。HMAC(Hashed Message Authentication Code):Hash算法的特征在于任何大小的數(shù)據(jù)通過Hash計算后,得到的Hash值都是固定長度的,所以如果僅僅是根據(jù)Hash值,是無法推算出數(shù)據(jù)內(nèi)容的,包括將數(shù)據(jù)內(nèi)容還原。在正常的數(shù)據(jù)傳輸中,數(shù)據(jù)在發(fā)送之前先計算出相應(yīng)的Hash值,當(dāng)接收者收到數(shù)據(jù)后也要對數(shù)據(jù)計算Hash值,如果發(fā)現(xiàn)自己計算的Hash值與數(shù)據(jù)附帶的值不匹配,便認(rèn)為數(shù)據(jù)在傳輸過程中遭到了篡改,從而拒絕不正確的數(shù)據(jù)包?;贖ash的以上特征, Hash多用于認(rèn)證,而認(rèn)證對等體雙方在相互認(rèn)證時,只需要交換密碼的Hash值即可,而無需交換密碼,從而防止了密碼被竊取。目前Hash算法有:MD5(Message Digest 5):將任何數(shù)據(jù)通過計算后輸出128bit長度的Hash值。SHA1(Secure Hash Algorithm 1):160bit digest,將任何數(shù)據(jù)通過計算后輸出160bit長度的Hash值。顯然SHA1擁有著比MD5更高的安全性。IPSec的引入IPsec協(xié)議是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進行保密而安全的通訊。然而IPsec本身并不是一個協(xié)議,而是一個協(xié)議簇,包含著為之服務(wù)的各種協(xié)議,以實現(xiàn)IPsec要完成的各個功能。IPsec所提供的主要安全服務(wù)有:(1)數(shù)據(jù)機密性(Confidentiality):IPsec 發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對包進行加密。(2)數(shù)據(jù)完整性(Data Integrity):IPsec 接收方對發(fā)送方發(fā)送來的包進行認(rèn)證,以確保數(shù)據(jù)在傳輸過程中沒有被篡改。(3)數(shù)據(jù)來源認(rèn)證(Data Authentication):IPsec 在接收端可以認(rèn)證發(fā)送IPsec 報文的發(fā)送端是否合法。(4)防重放(AntiReplay):IPsec 接收方可檢測并拒絕接收過時或重復(fù)的報文。IPSec的封裝模式IPsec 有如下兩種工作模式:(1)隧道(tunnel)模式:用戶的整個IP 數(shù)據(jù)包被用來計算AH或ESP 頭,AH或ESP 頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP 數(shù)據(jù)包中。通常,隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通信,此時加密點不等于通信點。(2) 傳輸(transport)模式:只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP 包頭后面。通常,傳輸模式應(yīng)用在兩臺主機之間的通訊,或一臺主機和一個安全網(wǎng)關(guān)之間的通信,此時加密點等于通信點。,Data為傳輸層數(shù)據(jù)。 數(shù)據(jù)封裝形式IPSec協(xié)議的實現(xiàn)之所以說IPsec協(xié)議不是一個單獨的協(xié)議,則是因為它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header,認(rèn)證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,因特網(wǎng)密鑰交換)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中,AH協(xié)議和ESP協(xié)議用于提供安全服務(wù),IKE協(xié)議用于密鑰交換。在實際進行 IP 通信時,可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP 都可以提供認(rèn)證服務(wù),不過,AH 提供的認(rèn)證服務(wù)要強于ESP。同時使用AH 和ESP 時,備支持的AH 和ESP 聯(lián)合使用的方式為:先對報文進行ESP 封裝,再對報文進行AH 封裝,封裝之后的報文從內(nèi)到外依次是原始IP 報文、ESP 頭、AH 頭和外部IP 頭。以上介紹的便是為IPSec服務(wù)的三種協(xié)議,即:IKE、ESP和AH。后續(xù)將分別對這三種協(xié)議進行詳細探討。對于IPSec數(shù)據(jù)流處理而言,有兩個必要的數(shù)據(jù)庫:安全策略數(shù)據(jù)庫SPD和安全關(guān)聯(lián)數(shù)據(jù)庫SADB。其中SPD指定了數(shù)據(jù)流應(yīng)該使用的策略,SADB則包含了活動的SA參數(shù),二者都需要單獨的輸入輸出數(shù)據(jù)庫。IPSec協(xié)議要求在所有通信流處理的過程中都必須檢查SPD,不管通信流是輸入還是輸出。SPD中包含一個策略條目的有序列表,通過使用一個或多個選擇符來確定每一個條目。IPSec選擇符包括:目的IP地址、源IP地址、名字、上層協(xié)議、源端口和目的端口以及一個數(shù)據(jù)敏感級別。SA(Security Association,安全關(guān)聯(lián))IPsec的所有會話都是在通道中傳輸?shù)模琒A則是IPSec的基礎(chǔ),但SA并不是隧道,而是一組規(guī)則,是通信對等方之間對某些要素的一種協(xié)定,如IPSec安全協(xié)議、協(xié)議的操作模式、密碼算法、密鑰、用于保護它們之間的數(shù)據(jù)流密鑰的生存期,等等。SA由3個部分內(nèi)容唯一標(biāo)識,即SPI、IP目的地址和安全協(xié)議標(biāo)識符。根據(jù)IPSec的封裝模式同樣也可以將SA分為傳輸模式SA和隧道模式SA,二者的應(yīng)用機理則根據(jù)IPSec的實際實施來決策。SA可以創(chuàng)建也可以刪除,可由手工進行創(chuàng)建和刪除操作,也可通過一個Internet標(biāo)準(zhǔn)密鑰管理協(xié)議來完成,如IKE。SA的創(chuàng)建份兩步進行:協(xié)商SA參數(shù),然后用SA更新SADB。如果安全策略要求建立安全、保密的連接,但又找不到相應(yīng)的SA,IPSec內(nèi)核便會自動調(diào)用IKE,IKE會與目的主機或者途中的主機/路由器協(xié)商具體的SA,而且如果策略要求,還需要創(chuàng)建這個SA。SA在創(chuàng)建好且加入SADB后,保密數(shù)據(jù)包便會在兩個主機間正常地傳輸。SA的刪除有諸多情況:(1)存活時間過期;(2)密鑰已遭破解;(3)使用SA加密/解密或驗證的字節(jié)數(shù)已經(jīng)超過策略設(shè)定的某一個閥值;(4)另一端請求刪除相應(yīng)SA。同SA創(chuàng)建一樣,SA的刪除也有手工刪除和通過IKE刪除兩種方式。為了降低系統(tǒng)被破解的威脅,系統(tǒng)經(jīng)常需要定期定量更新密鑰,而IPSec本身沒有提供更新密鑰的能力,為此必須先刪除已有的SA,然后再去協(xié)商并建立一個新SA。為了避免耽擱通信,在現(xiàn)有的SA過期之前,必須協(xié)商好一個新的SA。 AH和ESPIPsec 提供了兩種安全機制:認(rèn)證和加密。認(rèn)證機制使IP 通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性,以防數(shù)據(jù)在傳輸過程中被竊聽。IPsec 協(xié)議中的AH 協(xié)議定義了認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)源認(rèn)證和完整性保證;ESP 協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)可靠性保證。[21][22]AH(Authentication Header,認(rèn)證頭)AH用于為IP提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和一些有限的(可選的)抗重放服務(wù),但不提供任何加密服務(wù),故而不需要任何加密算法,但需要一個認(rèn)證器,用于進行后續(xù)的認(rèn)證操作。AH 的工作原理是在每一個數(shù)據(jù)包上添加一個身份驗證報文頭,此報文頭插在標(biāo)準(zhǔn)IP 包頭后面,對數(shù)據(jù)提供完整性保護。AH定義了保護方法、頭的位置、認(rèn)證范圍以及輸入輸出的處理機制,且沒有定義要用的具體認(rèn)證算法, 可選擇的認(rèn)證算法有MD5(Message Digest)、SHA1(Secure Hash Algorithm)等。AH作為一種IP協(xié)議,其在IPv4數(shù)據(jù)報中的協(xié)議字段值為51,表明IP頭之后是AH頭。: AH頭格式下一個頭字段:8bit長度,表示AH頭之后的下一個載荷的類型。在傳輸模式下,是受保護的上層協(xié)議的值,如UDP或TCP。而在隧道模式下,是受保護的IP協(xié)議的值。SPI字段:SPI(任意制定的32bit整數(shù)值)、源地址或者外部IP頭的目的地址和安全協(xié)議(AH或ESP)三者共同構(gòu)成的一個三元組,來唯一標(biāo)識這個包的安全關(guān)聯(lián)SA。序列號:序列號包含一個單向遞增的計數(shù)器,是一個32bit的唯一的無符號整數(shù)值。當(dāng)建立SA時,發(fā)送方和接收方的序列號初始化為0。通信雙方每使用一個特定的SA發(fā)出一個數(shù)據(jù)報,就將它們相應(yīng)的序列號加1。而序列號的主要作用就是用來防止重放數(shù)據(jù)報。AH規(guī)范強制發(fā)送方發(fā)送序列號給接收方,而接收方有權(quán)選擇是否使用抗重放特性,這時接收方可以不管數(shù)據(jù)流中的數(shù)據(jù)報序列號。如果接收方啟動了抗重放功能,它便使用滑動接收窗口機制檢測重放包。認(rèn)證數(shù)據(jù)字段:包含完整性校驗值(ICV),采用的轉(zhuǎn)碼方案則決定了ICV的長度,而SA指定生成ICV的算法。計算ICV的算法因IPSec實施的不同而不同,然而為了保證互操作性,AH有2個默認(rèn)強制執(zhí)行的認(rèn)證器:HMACSHA96和HMACMD596。ESP(Encapsulating Security Protocol,封裝安全載荷)[23]IPsec 封裝安全負載(IPsec ESP)是 IPsec 體系結(jié)構(gòu)中的一種主要協(xié)議,保證為通信中的數(shù)據(jù)提供機密性和完整性。ESP 的工作原理是在每一個數(shù)據(jù)包的標(biāo)準(zhǔn)IP 包頭后面添加一個ESP 報文頭,并在數(shù)據(jù)包后面追加一個ESP 尾。與AH 協(xié)議不同的是,ESP 將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP 包中,以保證數(shù)據(jù)的機密性。常見的加密算法有DES、3DES、AES 等。同時,作為可選項,用戶可以選擇MDSHA1 算法保證報文的完整性和真實性。同AH一樣,ESP是否啟用抗重放服務(wù)也是由接收方來決定。ESP 頭可以放置在 IP 頭之后、上層協(xié)議頭之前 (傳送層),或者在被封裝的 IP 頭之前 (隧道模式)。IANA 分配給 ESP 一個協(xié)議數(shù)值 50,在 ESP 頭前的協(xié)議頭總是在“next head”字段(IPv6)或“協(xié)議”(IPv4)字段里包含該值 50。ESP 包含一個非加密協(xié)議頭,后面是加密數(shù)據(jù)。該加密數(shù)據(jù)既包括了受保護的 ESP 頭字段也包括了受保護的用戶數(shù)據(jù),這個用戶數(shù)據(jù)可以是整個 IP 數(shù)據(jù)報,也可以是 IP 的上層協(xié)議幀(如:TCP 或 UDP)。: ESP頭格式這里需要注意的是SPI和序列號均沒有被加密。(1)ESP處理對于ESP來說,密文是得到認(rèn)證的,認(rèn)證的明文則是未加密的。其間的含義在于對于外出包來說,先進行加密;對于進入的包來說,認(rèn)證是首先進行的。1)處理外出數(shù)據(jù)包當(dāng)某IPSec實現(xiàn)接收一個外出的數(shù)據(jù)包時,它使用相應(yīng)的選擇符(目的IP地址端口、傳輸協(xié)議等)查找SPD并且確認(rèn)哪些策略適用于數(shù)據(jù)流。如果需要IPSec處理并且SA已經(jīng)建立,則與數(shù)據(jù)包選擇符相匹配的SPD項將指向SADB中的相應(yīng)SA。如果SA未建立,IPSec實現(xiàn)將使用IKE協(xié)議協(xié)商一個SA并將其鏈接到SPD選項,接下來SA將用于進行以下處理:I.生成序列號;II.加密數(shù)據(jù)包;III.計算ICV:IV.分段。2)處理進入數(shù)據(jù)包當(dāng)接收方收到ESP包后的第一件事就是檢查處理這個包的SA,如果查找失敗,則丟棄此包,并重新審核該事件。而一旦確認(rèn)了一個有效的SA,就可以用它對包進行相應(yīng)處理,處理步驟如下:I.用查到的SA對ESP包進行處理。首先檢驗已確定IP頭中的選擇符是否和SA中的匹配,如果不匹配則拋棄該數(shù)據(jù)包并審核事件;如果匹配,IPSec應(yīng)用跟蹤SA以及它相對于其他SA的應(yīng)用順序并重復(fù)查找SA和步驟I,直到遇到一個傳輸層協(xié)議或者一個非IPSec擴展頭。II.使用包中的選擇符進入SPDB中查找一條和包選擇符相匹配的策略。III.檢查所找到的SA是否和步驟II找到的策略相匹配,如果匹配失敗,則重復(fù)步驟III和IV,直到所有的策略匹配完成或者匹配成功。IV.如果啟用了抗重放服務(wù),使用抗重放窗口來決定某個包是否是重放包,如果是重放包,拋棄該數(shù)據(jù)包并審核事件。V.如果SA指定需要認(rèn)證服務(wù),應(yīng)用SA指定的認(rèn)證算法和密鑰生成數(shù)據(jù)包的ICV,將其和ESP認(rèn)證數(shù)據(jù)域中的值相比較,如果二者不同,則拋棄該數(shù)據(jù)包并審核事件。VI.如果SA指定需要加密服務(wù),應(yīng)用SA指定的加密算法和密鑰解密數(shù)據(jù)包。一般加密處理對CPU和內(nèi)存的占用很大,如果允許IPSec系統(tǒng)進行不必要的數(shù)據(jù)包加密/解密,系統(tǒng)很容易受到拒絕服務(wù)攻擊,所以需要加密/解密時,只有成功認(rèn)證數(shù)據(jù)包后才進行加密和解密。 IKE協(xié)議在使用IPSec保護IP包之前必須建立一個SA,而IKE(Internet Key Exchange,Internet密鑰交換)則可以動態(tài)地創(chuàng)建SA,并組裝和管理SADB。IKE是一種混合協(xié)議(),是基于由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)[24][25]定義的一個框架,并執(zhí)行了兩個密鑰管理協(xié)議——Oakley和SKEME的一部分。因此,ISAKMP、O
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1