【正文】 P首部前面再加上一個(gè)明文 IP頭（用于路由）。 封裝安全有效載荷（ ESP） ? 鑒別首部 （ AH）可以提供完整性和認(rèn)證功能 ，但不能確保數(shù)據(jù)的保密性 。 ? 序列號(hào)（ 32bit）：?jiǎn)握{(diào)遞增的計(jì)數(shù)值，用來(lái) 檢測(cè)重放攻擊 ，以 32bit字為單位。 密鑰管理 IKE協(xié)議 ?主要功能 ：建立和管理 SA，協(xié)商安全策略 。如果同時(shí)使用 AH和 ESP來(lái)保護(hù)對(duì)等方之間的數(shù)據(jù)流，則需要兩個(gè) SA：一個(gè)用于 AH，一個(gè)用于 ESP。 IPsec體系結(jié)構(gòu)圖 安全關(guān)聯(lián) ?安全關(guān)聯(lián)（ Security Association， SA） 是 從源主機(jī)到目的主機(jī) 的 立一條網(wǎng)絡(luò)層的邏輯連接。接收方通過(guò) SPI、 目的 IP地址和安全協(xié)議標(biāo)識(shí)來(lái)搜索安全關(guān)聯(lián)數(shù)據(jù)庫(kù)（ Security Association Database， SAD），確定與該數(shù)據(jù)報(bào)相關(guān)聯(lián)的SA。 AH在安全 IP報(bào)文中的位置 下 一 個(gè) 首 部 載 荷 長(zhǎng) 度 保 留安 全 參 數(shù) 索 引序 列 號(hào)鑒 別 數(shù) 據(jù) （ 可 變 3 2 位 字 長(zhǎng) ）0 8 1 6 3 1鑒別首部 （ AH） 格式 ? 下一個(gè)首部（ 8bit）：標(biāo) 識(shí) 緊接著本首部的下一個(gè)首部的類型（如 TCP或 UDP）。 AH的工作過(guò)程 ? 發(fā)送 IP數(shù)據(jù)報(bào)時(shí)，首先 確定 目的 IP地址和選擇一個(gè)安全參數(shù)索引 SPI，然后產(chǎn)生一個(gè) SA，使用這個(gè) SA的算法和密鑰計(jì)算整個(gè) IP數(shù)據(jù)報(bào)的散列（如MD5）填入 AH首部的鑒別數(shù)據(jù)部分，然后 發(fā)送 。 ? ESP的認(rèn)證數(shù)據(jù)和 AH中的鑒別數(shù)據(jù)是一樣的。 ? 在隧道模式中，要保護(hù)的整個(gè) IP數(shù)據(jù)報(bào)都封裝到另一個(gè) IP數(shù)據(jù)報(bào)里，同時(shí)在外部 IP首部 與內(nèi)部 IP首部 之間嵌入 IPSec首部 。 ? IPSec增加了系統(tǒng)的復(fù)雜性，而且， IPSec 不支持對(duì)非 IP協(xié)議的封裝，在非隧道模式下也不能保護(hù)通信流量的隱蔽性。 ? SSL修改加密規(guī)范協(xié)議 ： 允許通信雙方在通信過(guò)程中更換密碼算法或參數(shù)，給出算法的名稱和參數(shù)。 5. 主密鑰（ Master Secret）：由客戶機(jī)和服務(wù)器共享，是一個(gè) 48字節(jié)長(zhǎng)的密碼。 4. 服務(wù)器寫(xiě)密鑰（ Server Write Key）：對(duì)稱密鑰，用于從服務(wù)器到客戶機(jī)的數(shù)據(jù)的加密，也用于客戶端解密，長(zhǎng)度為 128bit。 SSL的安全機(jī)制 SSL中使用的安全機(jī)制包括加密機(jī)制、數(shù)據(jù)簽名機(jī)制、數(shù)據(jù)完整性機(jī)制、交換鑒別機(jī)制和公證機(jī)制 。 ? 公證 （證書(shū)） 機(jī)制 真正傳輸數(shù)據(jù)之前，首先交換證書(shū)以確認(rèn)身份。 1）客戶端首先向服務(wù)器端發(fā)送一個(gè) Client_Hello消息，該消息包括如下參數(shù)： ? 版本號(hào) vc：它是客戶端主機(jī)安裝的 SSL最高版本號(hào)，比如 vc=3。 ? 隨機(jī)數(shù) rs：它是由服務(wù)器程序的偽隨機(jī)數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共 32字節(jié)，包括一個(gè) 4字節(jié)長(zhǎng)的時(shí)間戳和一個(gè) 28字節(jié)長(zhǎng)的現(xiàn)時(shí)數(shù)。 3）請(qǐng)求客戶端公鑰證書(shū) Certificate_Request。 2）客戶端密鑰交換消息 Client_Key_Exchange。 4）服務(wù)器接收到 2）后，同樣發(fā)送 Finished消息。 （ 2）然后根據(jù)實(shí)際需要，對(duì)每段 Mi用雙方在 SSL握手協(xié)議第 1階段中商定的壓縮函數(shù)壓縮成 。即用密鑰 KC, E和雙方在 SSL握手協(xié)議第 1階段中商定的常規(guī)加密算法將 加密得 Ci。ii MHM A CM39。 （ 2）加密速度快。 （ 3）單向散列算法（ MD5）。 （ 4）對(duì) IDEA加密，使用一次一密的加密密鑰，即 128bit的 KM。 PGP加密算法 ? PGP兩個(gè)地方使用了 RSA：數(shù)字簽名（對(duì) 128bit的 MD5加密）和對(duì) 128bit的 IDEA密鑰加密。 3. 報(bào)文部分，包括： 報(bào)文首部、收信人將信件存盤(pán)時(shí)的默認(rèn)文件名、時(shí)間戳、報(bào)文。 ? TKIP基于 RC4加密算法，將 WEP密鑰的長(zhǎng)度由 40位增加到 128位，初始化向量的長(zhǎng)度由 24位增加到 48位，并對(duì) WEP進(jìn)行了改進(jìn)，提高了加密強(qiáng)度。 IEEE ? 其認(rèn)證模型包含三個(gè)實(shí)體： – 申請(qǐng)者（ Supplicant） – 認(rèn)證者（ Authenticator） – 認(rèn)證服務(wù)器（ Authentication Server) ? 申請(qǐng)者 ：一般為一個(gè)用戶終端系統(tǒng)，裝有申請(qǐng)者客戶端軟件，發(fā)起 。 可擴(kuò)展認(rèn)證協(xié)議 EAP 及 LAN擴(kuò)展 EAPoL ? EAP（ Extensible Authentication Protocol ） ：可擴(kuò)展認(rèn)證協(xié)議只定義了認(rèn)證框架，具有良好的可擴(kuò)展性，實(shí)際的認(rèn)證過(guò)程取決于框架內(nèi)填充的認(rèn)證方法。 （ 3）申請(qǐng)者和認(rèn)證者通過(guò)各自的 EAP主密鑰產(chǎn)生成對(duì)主密鑰（ Pairwise Master Key， PMK）。 ? TCSEC的缺點(diǎn)：提出的時(shí)間較早，主要考慮對(duì)象是單機(jī)，對(duì)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫(kù)安全基本沒(méi)有考慮。 歐洲的 ITSEC ? 信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)（ Information Technology Security Evaluation Criteria，ITSEC）由法、英、荷、德歐洲四國(guó)在 1990年聯(lián)合發(fā)布。 信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)CC ? 信息技術(shù)安全評(píng)價(jià)的通用標(biāo)準(zhǔn)（ Common Criteria of Information Technical Security Evaluation，CCITSE， CC），由美、加、英、法、德、荷六國(guó)于 1996年聯(lián)合提出。 第 2級(jí) 系統(tǒng)審計(jì)保護(hù)級(jí) 除具備第 1級(jí)所有的安全保護(hù)功能外 ， 要求創(chuàng)建和維護(hù)訪問(wèn)的審計(jì)跟蹤記錄 ， 使所有的用戶對(duì)自己行為的合法性負(fù)責(zé) 。 –歐盟 2023年頒布了 《 網(wǎng)絡(luò)刑事公約 》 （草案）。 – 歐盟、日本和美國(guó)等大多數(shù)國(guó)家都把它作為一種網(wǎng)絡(luò)安全保護(hù)法律。 – 西歐和日本近年來(lái)在各個(gè)領(lǐng)域都制定了一系列促進(jìn)信息網(wǎng)絡(luò)在本國(guó)能夠順利發(fā)展的專門(mén)法律、法規(guī)。如公安部制定的 《 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 》 、《 計(jì)算機(jī)病毒防治管理辦法 》 、 《 金融機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作暫行規(guī)定 》 、 《 關(guān)于開(kāi)展計(jì)算機(jī)安全員培訓(xùn)工作的通知 》 等。 2023年 2月 27日星期一 上午 3時(shí) 51分 11秒 03:51: ? 1比不了得就不比，得不到的就不要。 03:51:1103:51:1103:51Monday, February 27, 2023 ? 1不知香積寺，數(shù)里入云峰。 03:51:1103:51:1103:512/27/2023 3:51:11 AM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 上午 3時(shí) 51分 11秒 上午 3時(shí) 51分 03:51: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 03:51:1103:51:1103:51Monday, February 27, 2023 ? 1知人者智，自知者明。 2023年 2月 27日星期一 上午 3時(shí) 51分 11秒 03:51: ? 1楚塞三湘接，荊門(mén)九派通。 2023年 2月 上午 3時(shí) 51分 :51February 27, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 課后思考題 ? IPsec的安全關(guān)聯(lián)（ SA）的作用是什么？安全關(guān)聯(lián)通過(guò)什么協(xié)議建立？建立安全關(guān)聯(lián)時(shí)需要確定哪些要素？ ? PGP在哪些地方使用了公開(kāi)密鑰加密算法，在哪些地方使用了對(duì)稱密鑰加密算法？ ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 ? 這些法律法規(guī)構(gòu)成了我國(guó)網(wǎng)絡(luò)信息安全立法體系的完整框架，具體包括 3個(gè)層面： –法律 –行政法規(guī) –地方性法規(guī)、規(guī)章和規(guī)范性文檔 我國(guó)有關(guān)的法律法規(guī) ? 法律： 主要指由全國(guó)人民代表大會(huì)及其常委會(huì)通過(guò)的法律規(guī)范。 國(guó)外的法律法規(guī) —— 網(wǎng)絡(luò)交易方面 3. 網(wǎng)絡(luò)交易方面的立法 – 1996年聯(lián)合國(guó)大會(huì)通過(guò)了聯(lián)合國(guó)貿(mào)易法委員會(huì)的 《 電子商務(wù)示范法 》 ，這部示范法對(duì)于網(wǎng)絡(luò)市場(chǎng)中的數(shù)據(jù)電文、網(wǎng)上合同成立及生效條件、運(yùn)輸?shù)葘ｍ?xiàng)領(lǐng)域的電子商務(wù)等，都作了十分具體的規(guī)范。 – 2023年達(dá)成的 《 網(wǎng)絡(luò)犯罪公約 》 ，是第一個(gè)有關(guān)打擊網(wǎng)絡(luò)犯罪的國(guó)際條約。 第 4級(jí) 結(jié)構(gòu)化保護(hù)級(jí) 除繼承前面安全級(jí)別的安全功能的基礎(chǔ)上 ， 將安全保護(hù)機(jī)制劃分為關(guān)鍵部分和非關(guān)鍵部分 ， 對(duì)關(guān)鍵部分直接控制訪問(wèn)對(duì)象的存取 ， 從而加強(qiáng)系統(tǒng)的抗?jié)B透能力 。 ? 定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了國(guó)際認(rèn)可的表述信息技術(shù)安全性的結(jié)構(gòu)，即： – 規(guī)范產(chǎn)品和系統(tǒng)安全行為的 功能要求。