【正文】 SHTTP 網(wǎng)絡(luò)安全協(xié)議的類型 PEM ? PEM是增強(qiáng)電子郵件隱秘性的標(biāo)準(zhǔn)草案，它在互聯(lián)網(wǎng)電子郵件的標(biāo)準(zhǔn)格式上增加了加密、鑒別和密鑰管理的功能，允許使用公開密鑰和專用密鑰的加密方式，并能夠支持多種加密工具。 ? PEM提供以下四種安全服務(wù)： ? 數(shù)據(jù)隱蔽 :使數(shù)據(jù)免遭非授權(quán)的泄露 ,防止有人半路截取和竊聽。 ? 數(shù)據(jù)完整性 :提供通信期間數(shù)據(jù)的完整性可用于偵查和防止數(shù)據(jù)的偽造和篡改。 ? 對發(fā)送方的鑒別 :用來證明發(fā)送方的身份防止有人冒名頂替。 ? 防發(fā)送方否認(rèn) :結(jié)合上述功能 ,防止發(fā)送方事后不承認(rèn)發(fā)送過此文件。 網(wǎng)絡(luò)安全協(xié)議的類型 PEM 網(wǎng)絡(luò)安全協(xié)議的類型 PEM ? S/MIME，多用途網(wǎng)際郵件擴(kuò)充協(xié)議（ Secure Multipurpose Inter Mail Extensions. RFC 2311）。 Inter電子郵件由一個郵件頭部和一個可選的郵件主體組成，其中郵件頭部含有郵件的發(fā)送方和接收方的有關(guān)信息。 ? 用戶可以使用 MIME增加非文本對象，比如把圖像、音頻、格式化的文本或微軟的 Word文件加到郵件主體中去。 MIME中的數(shù)據(jù)類型一般是復(fù)合型的，也稱為復(fù)合數(shù)據(jù)。 ? S/MIME是多功能電子郵件擴(kuò)充報(bào)文基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一種協(xié)議，是在 MIME上定義安全服務(wù)措施的實(shí)施方式。目前， S/MIME已成為產(chǎn)業(yè)界廣泛認(rèn)可的協(xié)議。 ? S/MIME只保護(hù)郵件的郵件主體，對頭部信息則不進(jìn)行加密。S/MIME增加了新的 MIME數(shù)據(jù)類型如 “應(yīng)用 /pkcs7MIME”（ application/pkcs7MIME）、 “復(fù)合 /已簽名 ”（ multipart/signed）和 “應(yīng)用 /pkcs7簽名 ”（ application/pkcs7signature）等，這些復(fù)合數(shù)據(jù)用于提供數(shù)據(jù)保密、完整性保護(hù)、認(rèn)證和鑒定服務(wù)等功能。郵件如果包含了上述 MIME復(fù)合數(shù)據(jù)，則有關(guān)的 MIME 附件也會在郵件中存在。接收者在客戶端閱讀郵件之前， S/MIME應(yīng)用處理這些附件。它是 MIME 的安全版本。 網(wǎng)絡(luò)安全協(xié)議的類型 SSH ? SSH（ Secure Shell，安全外殼協(xié)議）， IETF 的網(wǎng)絡(luò)小組（ Network Working Group）所制定，專為 遠(yuǎn)程登錄 會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。 ? 傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如： ftp、 pop和 tel在本質(zhì)上都是不安全的，因?yàn)樗鼈冊诰W(wǎng)絡(luò)上用 明文 傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。這些別有用心的人就是 “中間人 ”(maninthemiddle),他們冒充真正的服務(wù)器接收你發(fā)送的數(shù)據(jù)，還冒充你發(fā)送數(shù)據(jù)給服務(wù)器。 SSH使得這種“中間人”攻擊不復(fù)存在，它對所傳輸?shù)臄?shù)據(jù)加密，還可以防止 DNS和 IP欺騙。而且它傳輸?shù)臄?shù)據(jù)速度很快，因?yàn)檫@些數(shù)據(jù)都是經(jīng)過壓縮的。 網(wǎng)絡(luò)安全協(xié)議的類型 SSH ? SSH提供兩種級別的驗(yàn)證 —— ?基于口令的認(rèn)證 ?（需傳送口令，可能受到“中間人”攻擊） ?基于密匙的驗(yàn)證（不需要傳送口令，但是你必須知道自己的密匙，登錄過程需要 10秒）。 ? SSH共分為三層 ?傳輸層協(xié)議（ SSHTRANS） , 提供強(qiáng)力的加密技術(shù)、密碼主機(jī)認(rèn)證及完整性保護(hù)。 ?用戶認(rèn)證協(xié)議 [SSHUSERAUTH], 用于向服務(wù)器提供客戶端用戶鑒別功能。 ?連接協(xié)議 [SSHCONNECT]將多個加密隧道分成邏輯通道，它提供了交互式登錄話路、遠(yuǎn)程命令執(zhí)行、轉(zhuǎn)發(fā) TCP/IP 連接和轉(zhuǎn)發(fā) X11 連接。 ? Kerberos：（ Network Authentication Protocol，網(wǎng)絡(luò)認(rèn)證協(xié)議）。蘋果的 Mac OS X， Red Hat Enterprise Linux4 和后續(xù)的操作系統(tǒng)， windows2023和后續(xù)的操作系統(tǒng)都默認(rèn) Kerberos為其默認(rèn)認(rèn)證方法。 ? 它采用客戶端 /服務(wù)器結(jié)構(gòu)與 DES加密技術(shù)，客戶端和服務(wù)器端能夠相互認(rèn)證，可用于防止竊聽、防止 replay攻擊、保護(hù) 數(shù)據(jù)完整性 等場合，是一種應(yīng)用對稱 密鑰 體制進(jìn)行 密鑰管理 的系統(tǒng)。 ? Kerberos的認(rèn)證過程：客戶機(jī)向認(rèn)證服務(wù)器（ AS）發(fā)送請求，要求得到某服務(wù)器的證書，然后 AS 的響應(yīng)包含這些用客戶端 密鑰 加密的證書。 ? 證書的構(gòu)成為： 1) 服務(wù)器 “ticket” ； 2) 一個臨時(shí)加密密鑰（又稱為會話密鑰 “session key”） 。 ? 客戶機(jī)將 ticket （包括用服務(wù)器密鑰加密的客戶機(jī)身份和一份會話密鑰的拷貝）傳送到服務(wù)器上。 網(wǎng)絡(luò)層安全協(xié)議 IPSec IPSec協(xié)議由四個主要部分組成： ? 安全載荷協(xié)議 ESP(IP Encapsulating Security Payload)、 ? 認(rèn)證頭協(xié)議 AH (IP Authentication Header)、 ? 安全關(guān)聯(lián) SA（ Security Associations） ? 密鑰管理 IKE（ Inter Key Exchange Protocol）。 其中， AH和 ESP都可以提供認(rèn)證服務(wù)，但AH提供的認(rèn)證服務(wù)要強(qiáng)于 ESP。而 IKE主要是對密鑰進(jìn)行交換管理，對算法、協(xié)議和密鑰 3個方面進(jìn)行協(xié)商。 ? IPsec協(xié)議工作在 OSI 模型的第三層，使其在單獨(dú)使用時(shí)適于保護(hù)基于 TCP或 UDP的協(xié)議（如 安全套接子層（ SSL）就不能保護(hù)UDP層的通信流）。 ? 與傳輸層或更高層的協(xié)議相比， IPsec協(xié)議必須處理可靠性和分片的問題，這同時(shí)也增加了它的復(fù)雜性和處理開銷。而SSL/TLS依靠更高層的 TCP（ OSI的第四層）來管理可靠性和分片 ? IPSec提供了兩種安全協(xié)議：認(rèn)證頭 AH(Authentication Header)和封裝安全有效載荷 ESP(Encapsulating Security Payload)，這兩個協(xié)議以 IP擴(kuò)展頭的方式增加到 IP包中，可以對 IP數(shù)據(jù)包或上層協(xié)議數(shù)據(jù)包進(jìn)行安全保護(hù)，增加了對IP數(shù)據(jù)項(xiàng)的安全性。 ? AH只提供了數(shù)據(jù)完整性認(rèn)證機(jī)制，用來證明數(shù)據(jù)源端點(diǎn)，保證數(shù)據(jù)完整性，防止數(shù)據(jù)篡改和重播。 ESP同時(shí)提供數(shù)據(jù)完整性認(rèn)證和數(shù)據(jù)加密傳輸機(jī)制 ? (1)傳輸模式：為上層協(xié)議數(shù)據(jù)和選擇的 IP頭字段提供認(rèn)證保護(hù)，且僅適用于主機(jī)實(shí)現(xiàn)。在這種模式中， AH和ESP會攔截從傳輸層到網(wǎng)絡(luò)層的數(shù)據(jù)包，并根據(jù)具體的配置提供安全保護(hù)。 ? (2)隧道模式：對整個 IP數(shù)據(jù)項(xiàng)提供認(rèn)證保護(hù)，除了用于主機(jī)還可用于安全網(wǎng)關(guān)。如果安全性是由一個設(shè)備來提供的，而該設(shè)備并非數(shù)據(jù)包的始發(fā)點(diǎn)，或者數(shù)據(jù)包需要保密傳輸?shù)脚c實(shí)際目的地不同的另一個目的地，則需要采用隧道模式。 AH和 ESP可以分別單獨(dú)使用，也可以聯(lián)合使用。每個協(xié)議都支持兩種應(yīng)用模式，即傳輸模式和隧道模式。這兩種模式的區(qū)別是其所保護(hù)的內(nèi)容不相同：一個是 IP包，一個是 IP載荷。 ESP 格式 ? ESP頭緊跟在 IP頭后。在 IP v4中，這個 IP頭的協(xié)議字段是 50，以表明 IP頭之后是一個 ESP頭。 ? 安全參數(shù)索引 (SPI)：它是一個 32位的隨機(jī)數(shù)。通過目的地址和安全協(xié)議 (ESP)，來標(biāo)識這個數(shù)據(jù)所屬的安全關(guān)聯(lián)。接收方通過這個字段就對收到的 IP數(shù)據(jù)包進(jìn)行相應(yīng)的處理。通常，在密鑰交換過程中由目標(biāo)主機(jī)來選定 SPI。 SPI是經(jīng)過驗(yàn)證的，但并沒有加密，因?yàn)?SPI是一種狀態(tài)標(biāo)識，由它來指定所采用的加密算法及密鑰，以及對數(shù)據(jù)包進(jìn)行解密。 ? 序列號 (SN)：它是一個單向遞增的 32位無符號整數(shù)。使用序列號可以使 ESP具有抗重播攻擊的能力，因?yàn)橥ㄟ^它，可以區(qū)分使用同一組加密策略處理不同數(shù)據(jù)包。加密數(shù)據(jù)部分包含原 IP數(shù)據(jù)包的有效負(fù)載和填充域。 ? 有效負(fù)載數(shù)據(jù)：被 ESP保護(hù)的數(shù)據(jù)包包含在載荷數(shù)據(jù)字段中，其字段長度由數(shù)據(jù)長度來決定。因此是可變長的數(shù)據(jù)?？赏ㄟ^下一負(fù)載頭來指明其數(shù)據(jù)類型。 ? 填充： 0～ 255個字節(jié)，填充內(nèi)容可以由密碼算法來指定。 ? 填充長度：該字段為 8位，指出添加多少填充字段的長度，接收端利用它恢復(fù)載荷數(shù)據(jù)的實(shí)際長度。該字段是必須存在，因此，即使沒有填充項(xiàng)時(shí)，其值也必須表示出來（為 0）。 ? 下一負(fù)載頭：該字段為 8位，用來指出有效負(fù)載所使用的類型。在隧道模式下使用 ESP，則該值為 4。如果在傳輸模式下使用，這個值表示它上一級協(xié)議的類型，如 TCP對應(yīng)的值為 6。 ? 認(rèn)證數(shù)據(jù)： ESP數(shù)據(jù)的完整性校驗(yàn)值，該字段是可變長的。通常是由認(rèn)證算法對 ESP數(shù)據(jù)包進(jìn)行密鑰處理的散列函數(shù)。該字段是可選的，只有對 ESP數(shù)據(jù)包進(jìn)行處理