【正文】 SNMPv3應(yīng)用程序是 SNMP實(shí)體內(nèi)的應(yīng)用程序，當(dāng)前定義了 5類應(yīng)用程序：命令生成器、命令響應(yīng)器、通知發(fā)生器、通知接收器和代理轉(zhuǎn)發(fā)器。 被加密報(bào)文為 SnmpAuthMsg，包含下列內(nèi)容： 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 authInfo：認(rèn)證信息，由消息摘要 authDigest，以及目標(biāo)方和源方的時(shí)間戳 authDstTimestamp和 authSrcTimestamp組成。 （ 3）不可抵賴性。 還有 ， S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送，它的證書 格式采用 V3相符的公鑰證書。通信雙方的公鑰發(fā)布在公開的地方，如 FTP站點(diǎn)，而 公鑰本身的權(quán)威性則可由第三方（特別是收信方信任的第三方）進(jìn)行 簽名認(rèn)證。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SSL/TLS協(xié)議簇 1995年， Netscape公司在瀏覽器 接層協(xié)議 SSL(Secure Socket Layer)，以保護(hù)瀏覽器和 Web服務(wù)器之間重要數(shù)據(jù)的傳輸，該協(xié)議的第一個(gè)成熟的版本是 ，并被集成到 Netscape公司的 Inter產(chǎn)品中，包括 Navigator瀏覽器和 Web服務(wù)器產(chǎn)品等。同時(shí) IKE還實(shí)現(xiàn)了兩種密鑰管理協(xié)議（ Oakley和 SKEME）的一部分。 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec中的主要協(xié)議 （ 1） AH(Authentieation Header) 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec中的主要協(xié)議 （ 1） AH(Authentieation Header) AH封裝劃分為兩種模式：傳輸模式和隧道模式。 （ 2）以三元組 安全參數(shù)索引 SPI，目的 IP地址，安全協(xié)議標(biāo)識(shí)符 為選擇符查詢安全聯(lián)盟數(shù)據(jù)庫(kù) SADB，得到所需的安全聯(lián)盟 SA。 常見的安全認(rèn)證 、 數(shù)據(jù)加 密 、 訪問(wèn)控制 、 完整性鑒別等 ， 都可以在網(wǎng)絡(luò)層實(shí)現(xiàn) ?；蛘邽?3，標(biāo)明當(dāng)前的 L2TP版本號(hào)為第三版。被動(dòng)方式好處是降低了對(duì)客戶的要求，缺點(diǎn)是限制了用戶對(duì)因特網(wǎng)其它部分的訪問(wèn)。PPTP使用一種增強(qiáng)的 GRE（ Generic Routing Encapsulation）封裝機(jī)制使 PPP數(shù)據(jù)包按隧道方式穿越 IP網(wǎng)絡(luò) ， 并對(duì)傳送的 PPP數(shù)據(jù)流進(jìn)行流量控制和擁塞控制 。第 4章 網(wǎng)絡(luò)安全協(xié)議 第四章 網(wǎng)絡(luò)安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 Inter在最初建立時(shí)的指導(dǎo)思想是資源共享，因此以開放性和可擴(kuò)展性為核心。 PPTP并不對(duì) PPP協(xié)議進(jìn)行任何修改 ， 只提供了一種傳送 PPP的機(jī)制 ， 并增強(qiáng)了 PPP的認(rèn)證 、 壓縮 、 加密等功能 。主動(dòng)方式是由客戶建立一個(gè)與網(wǎng)絡(luò)另外一端服務(wù)器直接相連的 PPTP隧道。 Length域標(biāo)識(shí)以八位組表示的消息長(zhǎng)度。 該 層的安全協(xié)議主要有 IPSec等。 （ 3）如果查詢 SADB返回為 NULL，表明記錄出錯(cuò)這個(gè)報(bào)文被丟棄。如果將 AH頭插入 IP頭和路由擴(kuò)展頭之后，上層協(xié)議數(shù)據(jù)和端到端擴(kuò)展頭之前，則稱這種封裝為傳輸模式；如果將 AH頭插入原 IP分組的 IP頭之前，并在 AH頭之前插入新的 IP頭，則稱這種封裝為隧道模式。 IKE協(xié)商的安全參數(shù)包括加密機(jī)制、散列機(jī)制、認(rèn)證機(jī)制、 DiffieHellman組、密鑰資源以及 IKE SA協(xié)商的時(shí)間限制等。 ，基本上解決了 Web通信協(xié)議的安全問(wèn)題，很快引起了大家的關(guān)注。 電子郵件安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 PGP(Pretty Good Privacy) ? Philip R. Zimmerman的主要工作 – 選擇了最好的加密算法作為基礎(chǔ)構(gòu)件 – 集成加密算法，形成通用的應(yīng)用程序 – 制作軟件包和文檔，包括源碼，免費(fèi)提供 – 提供完全兼容的低價(jià)格的商用版本 ? PGP快速發(fā)展和流行的原因 – 免費(fèi)獲得，運(yùn)行不同平臺(tái)的多個(gè)版本 – 建立在普遍認(rèn)為非常安全的算法的基礎(chǔ)上 – 應(yīng)用范圍廣泛 – 不受任何組織和政府控制 第 4章 網(wǎng)絡(luò)安全協(xié)議 PGP的加密解密過(guò)程： （ 1）根據(jù)一些隨機(jī)的環(huán)境數(shù)據(jù)（如擊鍵信息）產(chǎn)生一個(gè)密鑰。 電子郵件安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 表 S/MIME的各種服務(wù) 電子郵件安全協(xié)議 MISE內(nèi)容類型 MISE子類型 S/MIME類型 S/MIME服務(wù) 附件擴(kuò)展名 應(yīng)用 PKcs7MIMS 簽名數(shù)據(jù) 保證數(shù)據(jù)的完整性、認(rèn)證和無(wú)法否認(rèn)接收；使用不透明簽名 .p7m 封裝數(shù)據(jù) 保證數(shù)據(jù)的真實(shí)性 .p7m 復(fù)合 Signed NA 保證數(shù)據(jù)的完整性，認(rèn)證和無(wú)法否認(rèn)接收；使用透明簽名 NA 應(yīng)用 Pkcs7signature NA 保證數(shù)據(jù)的完整性，認(rèn)證和無(wú)法否認(rèn)接收；使用透明簽名 .p7s 第 4章 網(wǎng)絡(luò)安全協(xié)議 SET協(xié)議 SET(Secure Electronic Transaction)協(xié)議是由 VISA和MasterCard等國(guó)際信用卡組織于 1997年提出的一種電子商務(wù)協(xié)議，它被設(shè)計(jì)為開放的電子交易信息加密和安全的規(guī)范，可為Inter公網(wǎng)上的電子交易提供整套安全解決方案：確保交易信息的保密性和完整性；確保交易參與方身份的合法性；確保交易的不可抵賴性。即可在交易過(guò)程中判斷當(dāng)前交易的參與方是否是合法認(rèn)證證書的持有者，以及是否是他所聲稱的那個(gè)人。 authData(SnmpMgmtCom)：即經(jīng)過(guò)認(rèn)證的管理消息，包含目標(biāo)參加者 dstParty、源參加者 srcParty、上下文 context，以及協(xié)議數(shù)據(jù)單元 pdu等 4部分。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 SNMP協(xié)議從 SNMPv SNMPv2，再到 SNMPv3，安全性能有所加強(qiáng)，特別是 SNMPv3增加了基于用戶的安全模型 USM和基于視圖的訪問(wèn)控制模型 VACM，大大增強(qiáng)了 SNMP安全性。 SNMP引擎由 4組件組成：調(diào)度器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問(wèn)控制子系統(tǒng)。 privData(SnmpAuthMsg)：經(jīng)過(guò)加密的報(bào)文，接收者需解密后才可以閱讀。而且還應(yīng)該保證，即使被別人修改之后，在交易的下一個(gè)環(huán)節(jié)中，交易參與方可以及時(shí)的發(fā)現(xiàn)并中止本次電子交易的過(guò)程，然后等待有效信息的到來(lái)。 S/MIME與 PGP主要有兩點(diǎn)不同：它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu) 的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組 織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織（根證書）之間相互認(rèn)證，整個(gè) 信任關(guān)系基本是樹狀的 ， 這就是所謂的 Tree of Trust。它的特點(diǎn)是通過(guò)單向散列算法對(duì)郵件體進(jìn)行簽名，以保證 郵件體無(wú)法修改，使用對(duì)稱和非對(duì)稱密碼相結(jié)合的技術(shù)保證郵件體保 密且不可否認(rèn)。 在傳輸層提供安全機(jī)制的缺點(diǎn)在于傳輸層不可能提供類似于“隧道” (路由器對(duì)路由器 )和“防火墻” (路由器對(duì)主機(jī) )這樣的服務(wù)。 IKE實(shí)際上是一種混合型協(xié)議，它建立在由 Inter安全關(guān)聯(lián)和密鑰管理協(xié)議 (ISAKMP， Inter Security Association and Key Management Protocol)定義的一個(gè)框架上。 AH可用來(lái)保護(hù)一個(gè)上層協(xié)議 (傳輸模式 )或一個(gè)完整的 IP數(shù)據(jù)報(bào) (隧道模式 ) 它既可以單獨(dú)使用也可以和 ESP聯(lián)合使用。對(duì)于每個(gè) IP分組，輸出處理遵從以下順序： – 將分組相應(yīng)字段的值與 SPD比較以找到匹配的 SPD項(xiàng)，后者將指向 0個(gè)或多個(gè) SA – 如果這個(gè)分組存在 SA，確定 SA和它關(guān)聯(lián)的 SPI – 完成需要的 IPSec處理，即 AH或 ESP SA選擇器 IPSec協(xié)議簇 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec處理過(guò)程 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec處理過(guò)程 IPSec輸入模塊執(zhí)行如下： （ 1）從 AH協(xié)議頭或 ESP協(xié)議頭中取安全參數(shù)索引 SPI，并從 IP協(xié)議頭中取得目標(biāo) IP地址以及協(xié)議類型。 因此 ， 在網(wǎng)絡(luò)層提供安全服務(wù)實(shí)現(xiàn)網(wǎng)絡(luò)的安 全訪問(wèn)具有很多先天性的優(yōu)點(diǎn) 。 Ver(版本號(hào) )可以設(shè)置為 2，標(biāo)明當(dāng)前的 L2TP版本號(hào)為第二版。在撥號(hào)連接到 ISP的過(guò)程中， ISP為用戶提供所有的相應(yīng)服務(wù)和幫助。 由 Microsoft和 Ascend開發(fā) 。在建立協(xié)議模型與協(xié)議實(shí)現(xiàn)時(shí)，更多考慮到易用性，而在安全性方面考慮存在嚴(yán)重不足，這就給攻擊者造成了可乘之機(jī)。 由于 PPTP基于 PPP協(xié)議 ， 因而它支持多種網(wǎng)絡(luò)協(xié)議 ， 可將 IP、 I P X、APPLETALK、 NetBEUI的數(shù)據(jù)包封裝于 PPP數(shù)據(jù)幀中 。這種方式不需要 ISP的參與，不再需要位于 ISP處的前端處理器， ISP只提供透明的傳輸通道。 第 4章 網(wǎng)絡(luò)安全協(xié)議 L2TP協(xié)議 L2TP格式： Tunnel ID指示控制鏈接的標(biāo)識(shí)符。 第 4章 網(wǎng)絡(luò)安全協(xié)議 ? IPSec的優(yōu)點(diǎn) – 提供強(qiáng)大的安全性，應(yīng)用于防火墻和路由器