【正文】 2023年 2月 27日星期一 上午 3時(shí) 51分 11秒 03:51: ? 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 2月 27日星期一 3時(shí) 51分 11秒 03:51:1127 February 2023 ? 1空山新雨后，天氣晚來(lái)秋。 , February 27, 2023 ? 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :51:1103:51Feb2327Feb23 ? 1故人江海別，幾度隔山川。 ? 行政法規(guī) 行政法規(guī)主要指國(guó)務(wù)院為執(zhí)行憲法和法律而制定的法律規(guī)范。 – 德國(guó) 1997頒布的 《 多媒體法 》 ，是世界上第一部規(guī)范互聯(lián)網(wǎng)傳播的法律。 –美國(guó) 2023年修訂了 《 計(jì)算機(jī)反欺詐與濫用法 》 ，增加了法人犯罪的責(zé)任等方面的規(guī)定。 ? 比較而言，美國(guó)、歐洲和日本由于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)水平相對(duì)較高，因而其網(wǎng)絡(luò)安全的法律法規(guī)也比較完善。 ? 用戶自我保護(hù)級(jí)和系統(tǒng)審計(jì)保護(hù)級(jí)：適用于一般的信息系統(tǒng) ? 安全標(biāo)記保護(hù)級(jí)和結(jié)構(gòu)化保護(hù)級(jí)：適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng) ? 訪問驗(yàn)證保護(hù)級(jí)：適用于涉及國(guó)家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)。 ? CTCPEC將安全需求分為保密性、完整性、可靠性和可說(shuō)明性 4個(gè)層次。 B2 結(jié)構(gòu)化保護(hù) ， 為工作站 、 終端等設(shè)備分配不同的安全級(jí)別 ， 按最小特權(quán)原則取消權(quán)力無(wú)限大的特權(quán)用戶 。 ? 一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。 動(dòng)態(tài)密鑰管理 ? 密鑰管理系統(tǒng)的三個(gè)邏輯實(shí)體： 申請(qǐng)者（無(wú)線工作站 STA） 認(rèn)證者（接入點(diǎn) AP） 認(rèn)證服務(wù)器（ AS） ? 認(rèn)證及密鑰管理流程 （ 1）認(rèn)證者和認(rèn)證服務(wù)器通過相互認(rèn)證，創(chuàng)建一個(gè)安全通道，該通道可以采用 RADIUS、 IPSec、TLS等認(rèn)證協(xié)議，一般使用 RADIUS。如果用戶未通過認(rèn)證，則受控端口處于未認(rèn)證狀態(tài)，用戶無(wú)法訪問認(rèn)證系統(tǒng)提供的服務(wù)。 訪問控制 ? 、授權(quán)和接入控制三個(gè)部分配合完成： – 認(rèn)證：使用 – 授權(quán)：使用 EAP協(xié)議 – 接入控制（訪問控制）：使用 RADIUS協(xié)議。發(fā)信人將此標(biāo)識(shí)符通知收信人，使收信人知道用哪一個(gè)公開密鑰進(jìn)行解密。根據(jù)計(jì)算，僅破譯其中的 RSA部分（密鑰為 1024bit長(zhǎng)，使用 1000MIPS的計(jì)算機(jī)）就需要 3億年。對(duì) ，還原出 P1。其加密過程如下： （ 1）明文 P首先經(jīng)過 MD5運(yùn)算，再用 A的 RSA的秘密密鑰 DA對(duì)報(bào)文摘要 MD5進(jìn)行加密，得出 H。發(fā)送者使用該算法加密文件，加密密鑰由隨機(jī)數(shù)產(chǎn)生器產(chǎn)生。 ? 為用戶管理密鑰，可以為用戶配制公開和秘密密鑰對(duì)，允許用戶把所知的公開密鑰簽名并分發(fā)給其他人，取消或停用失效或泄密的密鑰。39。i39。 ? SSL記錄協(xié)議的工作過程包括： – 分段 – 生成 MAC – 加密 – 壓縮等步驟。 1）客戶發(fā)送改變密鑰規(guī)范 Change_Cipher_Spec消息，把協(xié)商的密碼算法列表復(fù)制到當(dāng)前連接狀態(tài)中。第 2階段完成。 第 2階段：服務(wù)器認(rèn)證和密鑰交換。 ? 密碼組：客戶端支持的所有公鑰密碼算法、常規(guī)加密算法和散列函數(shù)算法的三個(gè)優(yōu)先序列，按優(yōu)先順序排列，排在第一位的密碼算法是客戶主機(jī)最希望使用的算法。 ? 握手協(xié)議過程可以分成 4個(gè)階段完成，如下圖所示。 ? 數(shù)據(jù)完整性機(jī)制 SSL協(xié)議使用報(bào)文鑒別碼 MAC來(lái)保證數(shù)據(jù)完整性。 ? SSL提供的面向連接的安全服務(wù)具有以下特性： （ 1）機(jī)密性：協(xié)議能夠在客戶端和服務(wù)器之間建立起一個(gè)安全通道，用對(duì)稱密碼（如 DES）對(duì)數(shù)據(jù)進(jìn)行加密后再進(jìn)行傳輸，并且由接收方軟件解密，以提供高度的機(jī)密性。 ? SSL連接狀態(tài) 記錄與連接相關(guān)的安全參數(shù) ： SSL的連接參數(shù) 1. 服務(wù)器和客戶機(jī)隨機(jī)數(shù)（ Server and Client Random）：是服務(wù)器和客戶機(jī)為每個(gè)連接選擇的一個(gè)用于標(biāo)識(shí)的字節(jié)序列，包含一個(gè) 32bit的時(shí)間戳以及一個(gè) 28B的隨機(jī)數(shù)，用來(lái)防止在密鑰交換過程中遭受重放攻擊。 2. 對(duì)等實(shí)體證書（ Peer Certificate）：對(duì)等實(shí)體的 V3證書，該參數(shù)可為空。 SSL協(xié)議體系 結(jié)構(gòu) ? SSL記錄協(xié)議 ： 封裝所有 SSL通信 （ 包括握手消息、報(bào)警消息和應(yīng)用數(shù)據(jù) ）， 提供保密性和完整性服務(wù) 。 IPSec的 應(yīng)用 —— 網(wǎng)關(guān) ? IPSec可以用于網(wǎng)關(guān)到主機(jī)通信以及網(wǎng)關(guān)到網(wǎng)關(guān)通信。 IPSec的工作模式 ? IPSec有兩種工作模式： – 傳輸模式（ Transport Mode） – 隧道模式（ Tunnel Mode） ? 如 下 圖所示。 ESP在安全 IP報(bào)文中的位置 封裝安全有效載荷（ ESP） ? 在 ESP首部中，包括一個(gè)安全關(guān)聯(lián)的安全參數(shù)索引 SPI（ 32bit）和序號(hào)（ 32bit）。 ? 鑒別數(shù)據(jù)（可變）：為 32bit字的整數(shù)倍，默認(rèn)長(zhǎng)度為 96bit。 ?使用 AH時(shí)，將 AH首部插在原數(shù)據(jù)報(bào)數(shù)據(jù)部分的前面，同時(shí)將 IP首部中的協(xié)議字段設(shè)為 51。 ?單向連接的目的 IP地址：接收實(shí)體的 IP地址。計(jì)算機(jī)網(wǎng)絡(luò)原理與實(shí)踐 （第 2版）配套課件 機(jī)械工業(yè)出版社 2023年 第 8章 網(wǎng)絡(luò)安全 (2) 本章內(nèi)容（ 2） 網(wǎng)絡(luò)安全協(xié)議 Ipsec 傳輸層安全協(xié)議 SSL 電子郵件安全協(xié)議 PGP 無(wú)線局域網(wǎng)的安全協(xié)議 安全標(biāo)準(zhǔn)與法律法規(guī) ? 網(wǎng)絡(luò)通信的安全性 依靠什么保證？ ? 網(wǎng)絡(luò)安全協(xié)議跟網(wǎng)絡(luò)協(xié)議體系的層次有什么關(guān)系？ ? 網(wǎng)絡(luò)安全協(xié)議主要有哪些？ 網(wǎng)絡(luò)安全協(xié)議 ? 網(wǎng)絡(luò)層安全協(xié)議 IPsec ? 傳輸層安全協(xié)議 SSL （ Security Socket Layer） ? 電子郵件安全協(xié)議 PGP （ Pretty Good Privacy） ? 無(wú)線局域網(wǎng)的安全協(xié)議 IPsec ?應(yīng)用于 網(wǎng)絡(luò) 層 IP報(bào)文 數(shù)據(jù)安全的一 整 套體系結(jié)構(gòu) 。 ?安全參數(shù)索引（ Security Parameter Index，SPI）：每個(gè) IPSec數(shù)據(jù)報(bào) 首部 （ AH或 ESP） 都有 32bit的 SPI字段。 ?在傳輸過程中，中間的路由器不查看 AH首部。包含經(jīng)數(shù)字簽名的報(bào)文摘要。在 ESP尾部中有下一個(gè)首部（ 8bit，作用和 AH首部一樣）。 I P 頭 T C P 頭 數(shù) 據(jù)原 始 I P 包I P 頭 T C P 頭 數(shù) 據(jù)傳 輸 模 式T C P 頭 數(shù) 據(jù)隧 道 模 式I P S e c 頭原 I P 頭I P S e c 頭新 I P 頭IPSec的工作模式 ? 傳輸模式主要對(duì)上層數(shù)據(jù)進(jìn)行保護(hù)，隧道模式用來(lái)保護(hù)整個(gè) IP數(shù)據(jù)報(bào)。 ? 在網(wǎng)關(guān)模式中，網(wǎng)關(guān)參與整個(gè)會(huì)話的鑒別過程，IPsec處理過程對(duì)內(nèi)部主機(jī)透明。 ? SSL握手協(xié)議 ： 創(chuàng)建 SSL會(huì)話 。 3. 壓縮方法（ Compression Method）：在加密之前使用的壓縮數(shù)據(jù)的算法。 2. 服務(wù)器寫 MAC密鑰（ Server Write MAC Secret）：服務(wù)器對(duì)發(fā)送數(shù)據(jù)進(jìn)行 MAC生成操作時(shí)使用的加密密鑰，長(zhǎng)度為 128bit。 （ 2）可鑒別性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識(shí)別對(duì)方的身份。在記錄協(xié)議中，密文與 MAC一起被發(fā)送到收方，收方收到數(shù)據(jù)后校驗(yàn)。 開始邏輯連接 服務(wù)器認(rèn)證和密鑰交換 客戶認(rèn)證和密鑰交換 結(jié)束握手過程 SSL握手協(xié)議工作過程 第 1階段：開始邏輯連接，商定雙方將使用的密碼算法。 例如， 三種密碼算法的優(yōu)先序列分別為 RSA、ECC、 DiffieHellman； AES12 3DES/RC5； SHA51 SHA MD5，則說(shuō)明，在認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證方面，客戶端最希望選用的三種算法分別是： RSA、 AES128和 SHA512。服務(wù)器向客戶端發(fā)送如下消息： 1）服務(wù)器公鑰證書 Server_Certificate。 第 3階段：客戶認(rèn)證和密鑰交換。 2）客戶用新的算法、密鑰參數(shù)發(fā)送 Finished消息，其中包括校驗(yàn)值，檢查密鑰交換和認(rèn)證過程是否成功 。 壓 縮分 段 / 組 合a b c d e f g h i a b c d e f g h i首 部 數(shù) 據(jù) 體 Ci應(yīng) 用 數(shù) 據(jù) M壓 縮 單 元記 錄 協(xié) 議 單 元M A C加 密 數(shù) 據(jù)S S L 封 裝39。iM 39。 ii MHM A CM )(|| 39。 PGP的特點(diǎn) PGP有以下幾個(gè)特點(diǎn)： （ 1）安全性好。 （ 2）公鑰加密算法（ RSA）。 （ 2） RSA的輸出 H和明文 P拼接在一起，生成 P1。將明文 P和加密的 MD5分開，并用 A的公開密鑰解出MD5。