【正文】 2023年 2月 27日星期一 上午 3時 51分 11秒 03:51: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 2月 27日星期一 3時 51分 11秒 03:51:1127 February 2023 ? 1空山新雨后，天氣晚來秋。 , February 27, 2023 ? 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 :51:1103:51Feb2327Feb23 ? 1故人江海別，幾度隔山川。 ? 行政法規(guī) 行政法規(guī)主要指國務院為執(zhí)行憲法和法律而制定的法律規(guī)范。 – 德國 1997頒布的 《 多媒體法 》 ，是世界上第一部規(guī)范互聯(lián)網(wǎng)傳播的法律。 –美國 2023年修訂了 《 計算機反欺詐與濫用法 》 ，增加了法人犯罪的責任等方面的規(guī)定。 ? 比較而言，美國、歐洲和日本由于計算機網(wǎng)絡技術水平相對較高，因而其網(wǎng)絡安全的法律法規(guī)也比較完善。 ? 用戶自我保護級和系統(tǒng)審計保護級：適用于一般的信息系統(tǒng) ? 安全標記保護級和結構化保護級：適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng) ? 訪問驗證保護級：適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)。 ? CTCPEC將安全需求分為保密性、完整性、可靠性和可說明性 4個層次。 B2 結構化保護 ， 為工作站 、 終端等設備分配不同的安全級別 ， 按最小特權原則取消權力無限大的特權用戶 。 ? 一直是評估多用戶主機和小型操作系統(tǒng)的主要方法。 動態(tài)密鑰管理 ? 密鑰管理系統(tǒng)的三個邏輯實體： 申請者（無線工作站 STA） 認證者（接入點 AP） 認證服務器（ AS） ? 認證及密鑰管理流程 （ 1）認證者和認證服務器通過相互認證，創(chuàng)建一個安全通道，該通道可以采用 RADIUS、 IPSec、TLS等認證協(xié)議，一般使用 RADIUS。如果用戶未通過認證，則受控端口處于未認證狀態(tài)，用戶無法訪問認證系統(tǒng)提供的服務。 訪問控制 ? 、授權和接入控制三個部分配合完成： – 認證：使用 – 授權：使用 EAP協(xié)議 – 接入控制（訪問控制）：使用 RADIUS協(xié)議。發(fā)信人將此標識符通知收信人，使收信人知道用哪一個公開密鑰進行解密。根據(jù)計算，僅破譯其中的 RSA部分（密鑰為 1024bit長，使用 1000MIPS的計算機）就需要 3億年。對 ，還原出 P1。其加密過程如下： （ 1）明文 P首先經過 MD5運算，再用 A的 RSA的秘密密鑰 DA對報文摘要 MD5進行加密，得出 H。發(fā)送者使用該算法加密文件，加密密鑰由隨機數(shù)產生器產生。 ? 為用戶管理密鑰，可以為用戶配制公開和秘密密鑰對，允許用戶把所知的公開密鑰簽名并分發(fā)給其他人，取消或停用失效或泄密的密鑰。39。i39。 ? SSL記錄協(xié)議的工作過程包括： – 分段 – 生成 MAC – 加密 – 壓縮等步驟。 1）客戶發(fā)送改變密鑰規(guī)范 Change_Cipher_Spec消息，把協(xié)商的密碼算法列表復制到當前連接狀態(tài)中。第 2階段完成。 第 2階段：服務器認證和密鑰交換。 ? 密碼組：客戶端支持的所有公鑰密碼算法、常規(guī)加密算法和散列函數(shù)算法的三個優(yōu)先序列，按優(yōu)先順序排列，排在第一位的密碼算法是客戶主機最希望使用的算法。 ? 握手協(xié)議過程可以分成 4個階段完成，如下圖所示。 ? 數(shù)據(jù)完整性機制 SSL協(xié)議使用報文鑒別碼 MAC來保證數(shù)據(jù)完整性。 ? SSL提供的面向連接的安全服務具有以下特性： （ 1）機密性：協(xié)議能夠在客戶端和服務器之間建立起一個安全通道，用對稱密碼（如 DES）對數(shù)據(jù)進行加密后再進行傳輸，并且由接收方軟件解密，以提供高度的機密性。 ? SSL連接狀態(tài) 記錄與連接相關的安全參數(shù) ： SSL的連接參數(shù) 1. 服務器和客戶機隨機數(shù)（ Server and Client Random）：是服務器和客戶機為每個連接選擇的一個用于標識的字節(jié)序列，包含一個 32bit的時間戳以及一個 28B的隨機數(shù)，用來防止在密鑰交換過程中遭受重放攻擊。 2. 對等實體證書（ Peer Certificate）：對等實體的 V3證書，該參數(shù)可為空。 SSL協(xié)議體系 結構 ? SSL記錄協(xié)議 ： 封裝所有 SSL通信 （ 包括握手消息、報警消息和應用數(shù)據(jù) ）， 提供保密性和完整性服務 。 IPSec的 應用 —— 網(wǎng)關 ? IPSec可以用于網(wǎng)關到主機通信以及網(wǎng)關到網(wǎng)關通信。 IPSec的工作模式 ? IPSec有兩種工作模式： – 傳輸模式（ Transport Mode） – 隧道模式（ Tunnel Mode） ? 如 下 圖所示。 ESP在安全 IP報文中的位置 封裝安全有效載荷（ ESP） ? 在 ESP首部中，包括一個安全關聯(lián)的安全參數(shù)索引 SPI（ 32bit）和序號（ 32bit）。 ? 鑒別數(shù)據(jù)（可變）：為 32bit字的整數(shù)倍，默認長度為 96bit。 ?使用 AH時，將 AH首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時將 IP首部中的協(xié)議字段設為 51。 ?單向連接的目的 IP地址：接收實體的 IP地址。計算機網(wǎng)絡原理與實踐 （第 2版）配套課件 機械工業(yè)出版社 2023年 第 8章 網(wǎng)絡安全 (2) 本章內容（ 2） 網(wǎng)絡安全協(xié)議 Ipsec 傳輸層安全協(xié)議 SSL 電子郵件安全協(xié)議 PGP 無線局域網(wǎng)的安全協(xié)議 安全標準與法律法規(guī) ? 網(wǎng)絡通信的安全性 依靠什么保證？ ? 網(wǎng)絡安全協(xié)議跟網(wǎng)絡協(xié)議體系的層次有什么關系？ ? 網(wǎng)絡安全協(xié)議主要有哪些？ 網(wǎng)絡安全協(xié)議 ? 網(wǎng)絡層安全協(xié)議 IPsec ? 傳輸層安全協(xié)議 SSL （ Security Socket Layer） ? 電子郵件安全協(xié)議 PGP （ Pretty Good Privacy） ? 無線局域網(wǎng)的安全協(xié)議 IPsec ?應用于 網(wǎng)絡 層 IP報文 數(shù)據(jù)安全的一 整 套體系結構 。 ?安全參數(shù)索引（ Security Parameter Index，SPI）：每個 IPSec數(shù)據(jù)報 首部 （ AH或 ESP） 都有 32bit的 SPI字段。 ?在傳輸過程中，中間的路由器不查看 AH首部。包含經數(shù)字簽名的報文摘要。在 ESP尾部中有下一個首部（ 8bit，作用和 AH首部一樣）。 I P 頭 T C P 頭 數(shù) 據(jù)原 始 I P 包I P 頭 T C P 頭 數(shù) 據(jù)傳 輸 模 式T C P 頭 數(shù) 據(jù)隧 道 模 式I P S e c 頭原 I P 頭I P S e c 頭新 I P 頭IPSec的工作模式 ? 傳輸模式主要對上層數(shù)據(jù)進行保護，隧道模式用來保護整個 IP數(shù)據(jù)報。 ? 在網(wǎng)關模式中，網(wǎng)關參與整個會話的鑒別過程，IPsec處理過程對內部主機透明。 ? SSL握手協(xié)議 ： 創(chuàng)建 SSL會話 。 3. 壓縮方法（ Compression Method）：在加密之前使用的壓縮數(shù)據(jù)的算法。 2. 服務器寫 MAC密鑰（ Server Write MAC Secret）：服務器對發(fā)送數(shù)據(jù)進行 MAC生成操作時使用的加密密鑰，長度為 128bit。 （ 2）可鑒別性：利用證書技術和可信的第三方認證，可以讓客戶端和服務器相互識別對方的身份。在記錄協(xié)議中，密文與 MAC一起被發(fā)送到收方，收方收到數(shù)據(jù)后校驗。 開始邏輯連接 服務器認證和密鑰交換 客戶認證和密鑰交換 結束握手過程 SSL握手協(xié)議工作過程 第 1階段：開始邏輯連接，商定雙方將使用的密碼算法。 例如， 三種密碼算法的優(yōu)先序列分別為 RSA、ECC、 DiffieHellman； AES12 3DES/RC5； SHA51 SHA MD5，則說明，在認證、數(shù)據(jù)加密和消息完整性驗證方面，客戶端最希望選用的三種算法分別是： RSA、 AES128和 SHA512。服務器向客戶端發(fā)送如下消息： 1）服務器公鑰證書 Server_Certificate。 第 3階段：客戶認證和密鑰交換。 2）客戶用新的算法、密鑰參數(shù)發(fā)送 Finished消息，其中包括校驗值，檢查密鑰交換和認證過程是否成功 。 壓 縮分 段 / 組 合a b c d e f g h i a b c d e f g h i首 部 數(shù) 據(jù) 體 Ci應 用 數(shù) 據(jù) M壓 縮 單 元記 錄 協(xié) 議 單 元M A C加 密 數(shù) 據(jù)S S L 封 裝39。iM 39。 ii MHM A CM )(|| 39。 PGP的特點 PGP有以下幾個特點： （ 1）安全性好。 （ 2）公鑰加密算法（ RSA）。 （ 2） RSA的輸出 H和明文 P拼接在一起，生成 P1。將明文 P和加密的 MD5分開，并用 A的公開密鑰解出MD5。