【正文】 供的 。 課件制作人：謝希仁 鏈路加密 ? 由于報文是以明文形式在各結(jié)點內(nèi)加密的，所以結(jié)點本身必須是安全的。 ? 所有的中間結(jié)點 (包括可能經(jīng)過的路由器 )未必都是安全的。因此必須采取有效措施。 ? 鏈路加密的最大缺點是在中間結(jié)點暴露了信息的內(nèi)容。 ? 在網(wǎng)絡(luò)互連的情況下，僅采用鏈路加密是不能實現(xiàn)通信安全的。 課件制作人：謝希仁 端到端加密 ? 端到端加密是在源結(jié)點和目的結(jié)點中對傳送的 PDU 進(jìn)行加密和解密，報文的安全性不會因中間結(jié)點的不可靠而受到影響。 結(jié)點 1 結(jié)點 2 DK 明文 X 結(jié)點 n EK 明文 X 結(jié)點 0 EK(X) 鏈路 1 EK(X) 鏈路 2 EK(X) 鏈路 n 端到端鏈路傳送的都是密文 在端到端加密的情況下 ， PDU 的控制信息部分 (如源結(jié)點地址 、 目的結(jié)點地址 、 路由信息等 )不能被加密 ，否則中間結(jié)點就不能正確選擇路由 。 課件制作人：謝希仁 因特網(wǎng)商務(wù)中的加密 安全插口層 SSL ? SSL 又稱為 安全套接層 (Secure Socket Layer)，可對萬維網(wǎng)客戶與服務(wù)器之間傳送的數(shù)據(jù)進(jìn)行加密和鑒別。 ? SSL 在雙方的聯(lián)絡(luò)階段協(xié)商將使用的加密算法和密鑰，以及客戶與服務(wù)器之間的鑒別。 ? 在聯(lián)絡(luò)階段完成之后，所有傳送的數(shù)據(jù)都使用在聯(lián)絡(luò)階段商定的會話密鑰。 ? SSL 不僅被所有常用的瀏覽器和萬維網(wǎng)服務(wù)器所支持，而且也是運(yùn)輸層安全協(xié)議 TLS (Transport Layer Security)的基礎(chǔ)。 課件制作人：謝希仁 安全插口層 SSL 的位置 TCP 應(yīng)用層 安全插口層 運(yùn)輸層 HTTP IMAP SSL 功能 標(biāo)準(zhǔn)插口 在發(fā)送方 ， SSL 接收應(yīng)用層的數(shù)據(jù) （ 如 HTTP 或 IMAP 報文 ） ， 對數(shù)據(jù)進(jìn)行加密 ， 然后將加了密的數(shù)據(jù)送往 TCP 插口 。 在接收方 ， SSL 從 TCP 插口讀取數(shù)據(jù) ， 解密后將數(shù)據(jù)交給應(yīng)用層 。 課件制作人：謝希仁 SSL 提供以下三個功能 (1) SSL 服務(wù)器鑒別 允許用戶證實服務(wù)器的身份。具有 SS L功能的瀏覽器維持一個表，上面有一些可信賴的 認(rèn)證中心 CA (Certificate Authority)和它們的公開密鑰。 (2) 加密的 SSL 會話 客戶和服務(wù)器交互的所有數(shù)據(jù)都在發(fā)送方加密，在接收方解密。 (3) SSL 客戶鑒別 允許服務(wù)器證實客戶的身份。 課件制作人：謝希仁 安全電子交易 SET (Secure Electronic Transaction) ? 安全電子交易 SET 是專為在因特網(wǎng)上進(jìn)行安全支付卡交易的協(xié)議。 ? SET 的主要特點是： (1) SET 是專為與支付有關(guān)的報文進(jìn)行加密的。 (2) SET 協(xié)議涉及到三方，即顧客、商家和商業(yè)銀行。所有在這三方之間交互的敏感信息都被加密。 (3) SET 要求這三方都有證書。在 SET 交易中，商家看不見顧客傳送給商業(yè)銀行的信用卡號碼。 課件制作人：謝希仁 因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族 IPsec 1. IPsec 與安全關(guān)聯(lián) SA ? IPsec 就是“ IP安全 (Security)協(xié)議”的縮寫。 ? 網(wǎng)絡(luò)層保密是指所有在 IP 數(shù)據(jù)報中的數(shù)據(jù)都是加密的。此外，網(wǎng)絡(luò)層還應(yīng)提供源站鑒別 ，即當(dāng)目的站收到 IP 數(shù)據(jù)報時，能確信這是從該數(shù)據(jù)報的源 IP地址的主機(jī)發(fā)來的。 課件制作人：謝希仁 IPsec 中最主要的兩個部分 ? 鑒別首部 AH (Authentication Header)： AH提供源站鑒別和數(shù)據(jù)完整性，但不能保密。 ? 封裝安全有效載荷 ESP (Encapsulation Security Payload)： ESP 比 AH 復(fù)雜得多，它提供源站鑒別、數(shù)據(jù)完整性和保密。 課件制作人：謝希仁 安全關(guān)聯(lián) SA (Security Association) ? 在使用 AH 或 ESP 之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。此邏輯連接叫做安全關(guān)聯(lián) SA。 ? IPsec 就將傳統(tǒng)的因特網(wǎng)無連接的網(wǎng)絡(luò)層轉(zhuǎn)換為具有邏輯連接的層。 課件制作人：謝希仁 2. 安全關(guān)聯(lián) ? 安全關(guān)聯(lián)是一個單向連接。它由一個三元組惟一地確定，包括： (1) 安全協(xié)議（使用 AH 或 ESP）的標(biāo)識符 (2) 此單向連接的源 IP 地址 (3) 一個 32 bit 的連接標(biāo)識符，稱為 安全參數(shù)索引 SPI (Security Parameter Index) ? 對于一個給定的安全關(guān)聯(lián) SA，每一個 Ipsec 數(shù)據(jù)報都有一個存放 SPI 的字段。通過此 SA 的所有數(shù)據(jù)報都使用同樣的 SPI 值。 2. 鑒別首部 AH ? 在使用鑒別首部 AH 時，將 AH 首部插在原數(shù)據(jù)報數(shù)據(jù)部分的前面，同時將 IP 首部中的協(xié)議字段置為 51。 ? 在傳輸過程中，中間的路由器都不查看 AH 首部。當(dāng)數(shù)據(jù)報到達(dá)目的站時，目的站主機(jī)才處理 AH 字段，以鑒別源主機(jī)和檢查數(shù)據(jù)報的完整性。 IP 首部 AH 首部 TCP/UDP 報文段 協(xié)議 = 51 可鑒別的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 AH 首部 (1) 下一個首部 (8 bit)。標(biāo)志緊接著本首部的下一個首部的類型（如 TCP 或 UDP）。 (2) 有效載荷長度 (8 bit)，即鑒別數(shù)據(jù)字段的長度，以 32 bit 字為單位。 (3) 安全參數(shù)索引 SPI (32 bit)。標(biāo)志安全關(guān)聯(lián)。 (4) 序號 (32 bit)。鑒別數(shù)據(jù)字段的長度，以 32 bit字為單位。 (5) 保留 (16 bit)。為今后用。 (6) 鑒別數(shù)據(jù) (可變 )。為 32 bit 字的整數(shù)倍，它包含了經(jīng)數(shù)字簽名的報文摘要。因此可用來鑒別源主機(jī)和檢查 IP 數(shù)據(jù)報的完整性。 課件制作人：謝希仁 3. 封裝安全有效載荷 ESP ? 在 ESP 首部中有標(biāo)識一個安全關(guān)聯(lián)的安全參數(shù)索引 SPI (32 bit)，和序號 (32 bit)。 ? 在 ESP 尾部中有下一個首部（ 8 bit，作用和 AH 首部的一樣）。 ESP 尾部和原來數(shù)據(jù)報的數(shù)據(jù)部分一起進(jìn)行加密，因此攻擊者無法得知所使用的運(yùn)輸層協(xié)議。 ? ESP 的鑒別數(shù)據(jù)和 AH 中的鑒別數(shù)據(jù)是一樣的。因此，用 ESP 封裝的數(shù)據(jù)報既有鑒別源站和檢查數(shù)據(jù)報完整性的功能，又能提供保密。 課件制作人：謝希仁 在 IP 數(shù)據(jù)報中的 ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 報文段 協(xié)議 = 50 可鑒別的 保密 的 IP 數(shù)據(jù)報 原 數(shù)據(jù)報的數(shù)據(jù)部分 ESP 尾部 ESP 鑒別數(shù)據(jù) 加密 的部分 鑒別 的部分 課件制作人：謝希仁 防火墻 (firewall) ? 防火墻 是由軟件、硬件構(gòu)成的系統(tǒng)，用來在兩個網(wǎng)絡(luò)之間實施接入控制策略。接入控制策略是由使用防火墻的單位自行制訂的，為的是可以最適合本單位的需要。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為“ 可信賴的網(wǎng)絡(luò) ” (trusted work)，而將外部的因特網(wǎng)稱為“ 不可信賴的網(wǎng)絡(luò) ” (untrusted work)。 ? 防火墻可用來解決內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)的安全問題。 課件制作人：謝希仁 防火墻在互連網(wǎng)絡(luò)中的位置 G 內(nèi)聯(lián)網(wǎng) 可信賴的網(wǎng)絡(luò) 不可信賴的網(wǎng)絡(luò) 分組過濾 路由器 R 分組過濾 路由器 R 應(yīng)用網(wǎng)關(guān) 外局域網(wǎng) 內(nèi)局域網(wǎng) 防火墻 因特網(wǎng) 課件制作人：謝希仁 防火墻的功能 ? 防火墻的功能有兩個： 阻止 和 允許 。 ? “阻止”就是阻止某種類型的通信量通過防火墻（從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)，或反過來）。 ? “允許”的功能與“阻止”恰好相反。 ? 防火墻必須能夠識別通信量的各種類型。不過在大多數(shù)情況下防火墻的主要功能是“阻止”。 課件制作人：謝希仁 防火墻技術(shù)一般分為兩類 (1) 網(wǎng)絡(luò)級防火墻 —— 用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵。屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制訂好的一套準(zhǔn)則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。 (2) 應(yīng)用級防火墻 —— 從應(yīng)用程序來進(jìn)行接入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分各種應(yīng)用。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。