【正文】 的 的協(xié)議標(biāo)準(zhǔn)，常見的主要有 SHTTP和 PGP 3. 安全超文本傳輸協(xié)議 (SHTTP)是一種結(jié)合 而設(shè)計的消息的安全通信協(xié)議。它是 IPSec協(xié)議的重要組成部分，是用于為 IP數(shù)據(jù)包 第 9章 網(wǎng)絡(luò)安全協(xié)議 6. 因特網(wǎng)密鑰交換協(xié)議 (IKE)用于動態(tài)建立 ，為IPSec的 AH 和 ESP協(xié)議提供 ，同時也為 ISAKMP提供 第 9章 網(wǎng)絡(luò)安全協(xié)議 1. 簡述 TCP/IP 2. SHTTP和 PGP這兩個網(wǎng)絡(luò)安全協(xié)議是為什么應(yīng)用而設(shè)計的 ? 3. 假設(shè)甲需要發(fā)送一份機密文件 (如 )給乙，試簡述甲、乙雙方采用 SSL協(xié)議 4. 簡述 IPSec分別工作在傳輸模式和隧道模式下的數(shù)據(jù)安 第 9章 網(wǎng)絡(luò)安全協(xié)議 演講完畢，謝謝觀看！ 。 SSL協(xié)議可提供以下 3種基本的安全功能服務(wù) : 、 、 。密鑰協(xié)商部分主要是因特網(wǎng)密鑰交換協(xié)議 (IKE)，其用于動態(tài)建立安全關(guān)聯(lián)(SA) ，為 IPSec的 AH 和 ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為 ISAKMP提供密鑰管理和安全管理。 SSL握 手協(xié)議的目的是使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息，如 SSL 協(xié)議版本號、選擇壓縮方法和密碼說明 第 9章 網(wǎng)絡(luò)安全協(xié)議 (4) IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商部分。 網(wǎng)絡(luò)安全協(xié)議是為了增強現(xiàn)有 TCP/IP網(wǎng)絡(luò)的安全性而 (2) 目前已經(jīng)有眾多的網(wǎng)絡(luò)安全協(xié)議，根據(jù) TCP/IP分層模型相對應(yīng)的主要的安全協(xié)議有應(yīng)用層的 SHTTP、 PGP，傳輸層的 SSL、 TLS，網(wǎng)絡(luò)層的 IPSec以及網(wǎng)絡(luò)接口層的 PPTP、 L2TP 小 第 9章 網(wǎng)絡(luò)安全協(xié)議 (3) SSL協(xié)議是在傳輸層提供安全保護的協(xié)議。 IKE為 IPSec的 AH 和 ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為 ISAKMP (密鑰管理協(xié)議， IKE沿用此框架 )提供密鑰管 理和安全管理。如何保證 SPI和 SA之間的唯一性呢？根據(jù)IPSec結(jié)構(gòu)文檔的規(guī)定，在數(shù)據(jù)包內(nèi)，由 SPI、目的地址來唯一標(biāo)識一個 SA，如果接收端無法實現(xiàn)唯一性，數(shù)據(jù)包就不能通過安全檢查。因此，如果要對特定業(yè)務(wù)流提供多種安全保護，那么就要有多個 SA序列組合 (稱為 SA綁定 ) SA可以通過靜態(tài)配置來建立，也可以利用密鑰管理協(xié)議(IKE) 第 9章 網(wǎng)絡(luò)安全協(xié)議 3. 一個 SA通常由以下參數(shù)定義 : (1) AH (2) AH (3) ESP (4) ESP (5) ESP 第 9章 網(wǎng)絡(luò)安全協(xié)議 (6) 加密算法的密鑰同步初始化向量字段的存在性和大 (7) (8) (9) SA (10) SA (11) 一個系統(tǒng)中，可能存在多個 SA，而每一個 SA都是通過一個三元組 (安全參數(shù)索引 SPI 、目的 IP地址、安全協(xié)議標(biāo)識符 AH/ESP) 第 9章 網(wǎng)絡(luò)安全協(xié)議 4. SPI是和 SA相關(guān)的一個非常重要的元素。如果通信雙方 (用戶 A和用戶 B)通過 ESP進行安全通信，那么用戶 A需要有一個 SA，即 SA(out)，用來處理發(fā)送的 (流出 )數(shù)據(jù)包 。具體格式因所使用的算法的不同 而不同， ESP要求至少支持兩種認(rèn)證算法，即 HMACMD5和HMACSHA1 第 9章 網(wǎng)絡(luò)安全協(xié)議 當(dāng)利用 IPSec進行通信時，采用哪種認(rèn)證算法、加密算法以及采用什么密鑰都是事先協(xié)商好的。另外， ESP也可提供認(rèn)證服務(wù)，但與 AH相比，二者的認(rèn)證范圍不同， ESP只 認(rèn)證 ESP 第 9章 網(wǎng)絡(luò)安全協(xié)議 圖 945 ESP的格式 第 9章 網(wǎng)絡(luò)安全協(xié)議 2. ESP ESP的格式在 RFC 2406中有明確的規(guī)定 (如圖 945所示 )，由 7個字段組成 : (1) 安全參數(shù)索引 (SPI): 被用來指定加密算法和密鑰信息，是經(jīng)過認(rèn)證但未被加密的。它與目的 IP地址和安全協(xié)議結(jié)合在一起即可唯一地標(biāo)識用于此數(shù)據(jù)項的 (5) 序列號 (SN): 長度為 32 bit，是一個無符號單調(diào)遞增計數(shù)值，每當(dāng)一個特定的 SPI數(shù)據(jù)包被傳送時，序列號加 1，用 (6) 認(rèn)證數(shù)據(jù) : 是一個長度可變的域，長度為 32 bit的整數(shù)倍。它是 IPSec協(xié)議的重要組成部分，是用于為 IP數(shù)據(jù)包 1. 認(rèn)證頭是為 IP數(shù)據(jù)包提供強認(rèn)證的一種安全機制，它具有為 IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等 第 9章 網(wǎng)絡(luò)安全協(xié)議 在 IPSec中，數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊這三項功能組合在一起統(tǒng)稱為認(rèn)證。 IPSec傳輸模式下的 AH、 ESP的數(shù)據(jù)封裝格式如圖 942所示，當(dāng)采用 AH傳輸模式時，主要對 IP數(shù)據(jù)包 (IP頭中的可變信息除外 )提供認(rèn)證保護 。在兩種模式下， AH頭都會緊跟在 IP頭后，用于為 IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和一些可選的、 第 9章 網(wǎng)絡(luò)安全協(xié)議 (3) 安全封裝載荷（ ESP）： 是 IPSec協(xié)議的另一個協(xié)議，可以在傳輸模式以及隧道模式下使用， ESP頭可以位于 IP頭與上層協(xié)議之間，或者用它封裝整個 IP數(shù)據(jù)報。安全協(xié)議部分定義了對通信的各種保護方式 。 第 9章 網(wǎng)絡(luò)安全協(xié)議 2. SSL并不能抵抗通信流量分析。 SSL握手協(xié)議使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息， 此協(xié)議使得客戶端和服務(wù)器獲得共同的SSL 協(xié)議版本號、選擇壓縮方法和密碼說明、可選的相互認(rèn)證、產(chǎn)生一個主要秘密并由此得到消息認(rèn)證和加密的各種會 第 9章 網(wǎng)絡(luò)安全協(xié)議 SSL SSL 1. SSL的應(yīng)用降低了 HTTP服務(wù)器和瀏覽器之間相互作用的速度，原因在于在瀏覽器和服務(wù)器之間用來初始化 SSL會話和連接的狀態(tài)信息時需要用到公鑰加密和解密方案。雖然加密說明一般在握手協(xié)議后改變，但它也可以在 其他任何時候改變。此處的修正，是指在雜湊之前將一 第 9章 網(wǎng)絡(luò)安全協(xié)議 在 SSL記錄協(xié)議上面有幾個子協(xié)議，每個子協(xié)議都可能指向正用 SSL記錄協(xié)議發(fā)送的特定類型的消息。 “協(xié)議版本號”確定了所用的 SSL版本號 (例如 )。 SSL 提供完整性校驗服務(wù)，使所有經(jīng)過 SSL協(xié)議處理 SSL不是一個單獨的協(xié)議，而是兩層協(xié)議，如圖 931所示。 1999年， IETF在基于 SSL協(xié)議可提供以下 3 (1) 信息加密。 同時， L2TP提供了較為完善的身份認(rèn)證機制，而 PPTP的身份鑒別完全依賴于 PPP協(xié) 第 9章 網(wǎng)絡(luò)安全協(xié)議 為傳輸層提供安全保護的協(xié)議主要有 SSL和 TLS。 第 9章 網(wǎng)絡(luò)安全協(xié)議 2. L2F L2F是第二層轉(zhuǎn)發(fā)協(xié)議，是由 Cisco Systems 建議的標(biāo)準(zhǔn)。 IPSec 第 9章 網(wǎng)絡(luò)安全協(xié)議 網(wǎng)絡(luò)接口層的安全協(xié)議主要有 PPTP、 L2F、 L2TP 1. PPTP PPTP(點到點隧道協(xié)議 )是由微軟、朗訊和 3CO