【正文】 P首部前面再加上一個明文 IP頭（用于路由）。 封裝安全有效載荷（ ESP） ? 鑒別首部 （ AH）可以提供完整性和認證功能 ，但不能確保數(shù)據(jù)的保密性 。 ? 序列號（ 32bit）：單調(diào)遞增的計數(shù)值，用來 檢測重放攻擊 ，以 32bit字為單位。 密鑰管理 IKE協(xié)議 ?主要功能 ：建立和管理 SA，協(xié)商安全策略 。如果同時使用 AH和 ESP來保護對等方之間的數(shù)據(jù)流，則需要兩個 SA：一個用于 AH，一個用于 ESP。 IPsec體系結(jié)構(gòu)圖 安全關(guān)聯(lián) ?安全關(guān)聯(lián)（ Security Association， SA） 是 從源主機到目的主機 的 立一條網(wǎng)絡(luò)層的邏輯連接。接收方通過 SPI、 目的 IP地址和安全協(xié)議標識來搜索安全關(guān)聯(lián)數(shù)據(jù)庫（ Security Association Database， SAD），確定與該數(shù)據(jù)報相關(guān)聯(lián)的SA。 AH在安全 IP報文中的位置 下 一 個 首 部 載 荷 長 度 保 留安 全 參 數(shù) 索 引序 列 號鑒 別 數(shù) 據(jù) （ 可 變 3 2 位 字 長 ）0 8 1 6 3 1鑒別首部 （ AH） 格式 ? 下一個首部（ 8bit）：標 識 緊接著本首部的下一個首部的類型（如 TCP或 UDP）。 AH的工作過程 ? 發(fā)送 IP數(shù)據(jù)報時，首先 確定 目的 IP地址和選擇一個安全參數(shù)索引 SPI，然后產(chǎn)生一個 SA，使用這個 SA的算法和密鑰計算整個 IP數(shù)據(jù)報的散列（如MD5）填入 AH首部的鑒別數(shù)據(jù)部分，然后 發(fā)送 。 ? ESP的認證數(shù)據(jù)和 AH中的鑒別數(shù)據(jù)是一樣的。 ? 在隧道模式中，要保護的整個 IP數(shù)據(jù)報都封裝到另一個 IP數(shù)據(jù)報里，同時在外部 IP首部 與內(nèi)部 IP首部 之間嵌入 IPSec首部 。 ? IPSec增加了系統(tǒng)的復雜性，而且， IPSec 不支持對非 IP協(xié)議的封裝，在非隧道模式下也不能保護通信流量的隱蔽性。 ? SSL修改加密規(guī)范協(xié)議 ： 允許通信雙方在通信過程中更換密碼算法或參數(shù)，給出算法的名稱和參數(shù)。 5. 主密鑰（ Master Secret）：由客戶機和服務(wù)器共享，是一個 48字節(jié)長的密碼。 4. 服務(wù)器寫密鑰（ Server Write Key）：對稱密鑰，用于從服務(wù)器到客戶機的數(shù)據(jù)的加密，也用于客戶端解密，長度為 128bit。 SSL的安全機制 SSL中使用的安全機制包括加密機制、數(shù)據(jù)簽名機制、數(shù)據(jù)完整性機制、交換鑒別機制和公證機制 。 ? 公證 （證書） 機制 真正傳輸數(shù)據(jù)之前，首先交換證書以確認身份。 1）客戶端首先向服務(wù)器端發(fā)送一個 Client_Hello消息，該消息包括如下參數(shù)： ? 版本號 vc：它是客戶端主機安裝的 SSL最高版本號，比如 vc=3。 ? 隨機數(shù) rs：它是由服務(wù)器程序的偽隨機數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共 32字節(jié)，包括一個 4字節(jié)長的時間戳和一個 28字節(jié)長的現(xiàn)時數(shù)。 3）請求客戶端公鑰證書 Certificate_Request。 2）客戶端密鑰交換消息 Client_Key_Exchange。 4）服務(wù)器接收到 2）后，同樣發(fā)送 Finished消息。 （ 2）然后根據(jù)實際需要，對每段 Mi用雙方在 SSL握手協(xié)議第 1階段中商定的壓縮函數(shù)壓縮成 。即用密鑰 KC, E和雙方在 SSL握手協(xié)議第 1階段中商定的常規(guī)加密算法將 加密得 Ci。ii MHM A CM39。 （ 2）加密速度快。 （ 3）單向散列算法（ MD5）。 （ 4）對 IDEA加密，使用一次一密的加密密鑰，即 128bit的 KM。 PGP加密算法 ? PGP兩個地方使用了 RSA：數(shù)字簽名（對 128bit的 MD5加密）和對 128bit的 IDEA密鑰加密。 3. 報文部分，包括： 報文首部、收信人將信件存盤時的默認文件名、時間戳、報文。 ? TKIP基于 RC4加密算法，將 WEP密鑰的長度由 40位增加到 128位，初始化向量的長度由 24位增加到 48位，并對 WEP進行了改進，提高了加密強度。 IEEE ? 其認證模型包含三個實體： – 申請者（ Supplicant） – 認證者（ Authenticator） – 認證服務(wù)器（ Authentication Server) ? 申請者 ：一般為一個用戶終端系統(tǒng)，裝有申請者客戶端軟件，發(fā)起 。 可擴展認證協(xié)議 EAP 及 LAN擴展 EAPoL ? EAP（ Extensible Authentication Protocol ） ：可擴展認證協(xié)議只定義了認證框架，具有良好的可擴展性，實際的認證過程取決于框架內(nèi)填充的認證方法。 （ 3）申請者和認證者通過各自的 EAP主密鑰產(chǎn)生成對主密鑰（ Pairwise Master Key， PMK）。 ? TCSEC的缺點：提出的時間較早，主要考慮對象是單機，對網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫安全基本沒有考慮。 歐洲的 ITSEC ? 信息技術(shù)安全評估標準（ Information Technology Security Evaluation Criteria，ITSEC）由法、英、荷、德歐洲四國在 1990年聯(lián)合發(fā)布。 信息技術(shù)安全評價的通用標準CC ? 信息技術(shù)安全評價的通用標準（ Common Criteria of Information Technical Security Evaluation，CCITSE， CC），由美、加、英、法、德、荷六國于 1996年聯(lián)合提出。 第 2級 系統(tǒng)審計保護級 除具備第 1級所有的安全保護功能外 ， 要求創(chuàng)建和維護訪問的審計跟蹤記錄 ， 使所有的用戶對自己行為的合法性負責 。 –歐盟 2023年頒布了 《 網(wǎng)絡(luò)刑事公約 》 （草案）。 – 歐盟、日本和美國等大多數(shù)國家都把它作為一種網(wǎng)絡(luò)安全保護法律。 – 西歐和日本近年來在各個領(lǐng)域都制定了一系列促進信息網(wǎng)絡(luò)在本國能夠順利發(fā)展的專門法律、法規(guī)。如公安部制定的 《 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 》 、《 計算機病毒防治管理辦法 》 、 《 金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定 》 、 《 關(guān)于開展計算機安全員培訓工作的通知 》 等。 2023年 2月 27日星期一 上午 3時 51分 11秒 03:51: ? 1比不了得就不比，得不到的就不要。 03:51:1103:51:1103:51Monday, February 27, 2023 ? 1不知香積寺，數(shù)里入云峰。 03:51:1103:51:1103:512/27/2023 3:51:11 AM ? 1越是沒有本領(lǐng)的就越加自命不凡。 上午 3時 51分 11秒 上午 3時 51分 03:51: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 03:51:1103:51:1103:51Monday, February 27, 2023 ? 1知人者智，自知者明。 2023年 2月 27日星期一 上午 3時 51分 11秒 03:51: ? 1楚塞三湘接，荊門九派通。 2023年 2月 上午 3時 51分 :51February 27, 2023 ? 1行動出成果，工作出財富。 課后思考題 ? IPsec的安全關(guān)聯(lián)（ SA）的作用是什么？安全關(guān)聯(lián)通過什么協(xié)議建立？建立安全關(guān)聯(lián)時需要確定哪些要素？ ? PGP在哪些地方使用了公開密鑰加密算法，在哪些地方使用了對稱密鑰加密算法？ ? 靜夜四無鄰，荒居舊業(yè)貧。 ? 這些法律法規(guī)構(gòu)成了我國網(wǎng)絡(luò)信息安全立法體系的完整框架，具體包括 3個層面： –法律 –行政法規(guī) –地方性法規(guī)、規(guī)章和規(guī)范性文檔 我國有關(guān)的法律法規(guī) ? 法律： 主要指由全國人民代表大會及其常委會通過的法律規(guī)范。 國外的法律法規(guī) —— 網(wǎng)絡(luò)交易方面 3. 網(wǎng)絡(luò)交易方面的立法 – 1996年聯(lián)合國大會通過了聯(lián)合國貿(mào)易法委員會的 《 電子商務(wù)示范法 》 ，這部示范法對于網(wǎng)絡(luò)市場中的數(shù)據(jù)電文、網(wǎng)上合同成立及生效條件、運輸?shù)葘ｍ楊I(lǐng)域的電子商務(wù)等，都作了十分具體的規(guī)范。 – 2023年達成的 《 網(wǎng)絡(luò)犯罪公約 》 ，是第一個有關(guān)打擊網(wǎng)絡(luò)犯罪的國際條約。 第 4級 結(jié)構(gòu)化保護級 除繼承前面安全級別的安全功能的基礎(chǔ)上 ， 將安全保護機制劃分為關(guān)鍵部分和非關(guān)鍵部分 ， 對關(guān)鍵部分直接控制訪問對象的存取 ， 從而加強系統(tǒng)的抗?jié)B透能力 。 ? 定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準則，提出了國際認可的表述信息技術(shù)安全性的結(jié)構(gòu)，即： – 規(guī)范產(chǎn)品和系統(tǒng)安全行為的 功能要求。