【正文】 DES算法的密鑰長(zhǎng)度僅有 56位，密鑰長(zhǎng)度不夠長(zhǎng)，同樣也存在安全隱患。但是 USM中使用的認(rèn)證方式是基于代理的，認(rèn)證是單向的，因?yàn)楣芾碚颈豢醋魇墙?jīng)過(guò)授權(quán)的，因此它可以免于認(rèn)證。 SNMP代理和SNMP管理站通稱(chēng)為 SNMP實(shí)體，由 SNMP引擎和 SNMP應(yīng)用程序兩部分組成，如圖 。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 3. SNMPv3安全機(jī)制 1998年 1月， IETF SNMPv3工作組公布了 SNMPv3。 最后privDst=dstParty， 組成完整的 SNMPv2報(bào)文 ， 并經(jīng)過(guò) BER編碼發(fā)送出去 。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 SNMPv2加密報(bào)文操作如下：發(fā)送實(shí)體首先構(gòu)造管理通信消息SnmpMgmtCom， 這需要查找本地?cái)?shù)據(jù)庫(kù) ， 發(fā)現(xiàn)合法的參加者和上下文 。 SNMPv2加密報(bào)文如圖 ： privDst：指向目標(biāo)參加者的對(duì)象標(biāo)識(shí)符，即報(bào)文的接收者，這一部分是明文。 （ 1）團(tuán)體（ Community） ： SNMP的團(tuán)體是一個(gè)代理和多個(gè)管理站之間的認(rèn)證和訪(fǎng)問(wèn)控制關(guān)系。SNMPv3在安全方面發(fā)揮到了目前情況下 SNMP協(xié)議的極致。這樣，通過(guò)身份認(rèn)證的交易參與方將對(duì)交易過(guò)程中發(fā)生的一切相關(guān)責(zé)任負(fù)責(zé)。即客戶(hù)的訂單信息和支付信息，以及商家向銀行所發(fā)出的支付授權(quán)的內(nèi)容均應(yīng)該在傳輸?shù)倪^(guò)程中保持原來(lái)的樣子，而不能被不懷好意的人修改。因?yàn)橹Ц缎畔?yīng)該是只有銀行才可以看到的。 ? 為了保證安全性，只有在必要的時(shí)候、必要的交易階段才向必要的交易參與方提供必要的交易信息。 SET本身不是一個(gè)支付系統(tǒng)，它是一個(gè)安全協(xié)議和格式規(guī)范的集合。 S / M I M E集成了三類(lèi)標(biāo)準(zhǔn)： M I M E（ RFC1521） ， 加密消息語(yǔ)法標(biāo)準(zhǔn) （ Cryptographic Message Syntax Standard）和證書(shū)請(qǐng)求語(yǔ)法標(biāo)準(zhǔn)（ Certification Request Syntax Standard）。 （ 5）接收者用發(fā)送者的公鑰解密接收到的數(shù)字簽名。 電子郵件安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 PGP的簽名驗(yàn)證過(guò)程： （ 1） PGP根據(jù)報(bào)文內(nèi)容，利用單向 hash函數(shù)計(jì)算出定長(zhǎng)的報(bào)文摘要。 （ 2）發(fā)送者采用對(duì)稱(chēng)加密算法，使用會(huì)話(huà)密鑰對(duì)報(bào)文進(jìn)行加密。 PGP是一個(gè)完整的電子郵件安全軟件包，它包含四個(gè) 密碼單元：對(duì)稱(chēng)加密算法、非對(duì)稱(chēng)加密算法、單向散列算法以及隨機(jī) 數(shù)產(chǎn)生器。所以無(wú)論低層協(xié)議能提供何種形式的安全功能，在應(yīng)用層提供安全服務(wù)是有理由的。如果要根據(jù)某個(gè)具體的應(yīng)用程序?qū)Π踩膶?shí)際要求來(lái)進(jìn)行安全加密的話(huà)，就必須要借助于應(yīng)用層的安全協(xié)議，也只有應(yīng)用層才能夠?qū)ΠY下藥，才能夠提供這種特定的安全服務(wù)。 1996年， Netscape公司發(fā)布了 《 draftfreiersslversion302： The SSL Protocol Version 》 ，該版本相比 ，因此，很快就成為了事實(shí)上的工業(yè)標(biāo)準(zhǔn)。 在傳輸層提供安全機(jī)制的優(yōu)點(diǎn)在于：它不需要強(qiáng)制為每個(gè)應(yīng)用作安全方面的改進(jìn)；傳輸層能夠?yàn)椴煌耐ㄐ艖?yīng)用配置不同的安全策略和密鑰。在階段 2中，可由通信的任何一方發(fā)起一個(gè)快速模式(Quick Mode)交換，其目的是建立針對(duì)某一安全協(xié)議的 SA，即建立用于保護(hù)通信數(shù)據(jù)的 IPSecSA。 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec中的主要協(xié)議 （ 3） IKE（ Inter Key Exchange） ②積極模式則是 ISAKMP中積極交換模式的具體實(shí)例化，積極模式通常要求交換三條消息，前兩條消息用于安全策略協(xié)商，交換 DH公開(kāi)值和一些輔助數(shù)據(jù)，并且在第二條消息中還要認(rèn)證響應(yīng)者的身份；第三條消息用于對(duì)發(fā)起者的身份進(jìn)行認(rèn)證，并提供參與交換的證據(jù)。其交換的最終結(jié)果是一個(gè)通過(guò)驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全聯(lián)盟。IKE由 RFC2409文件描述。用 IPSec保護(hù)一個(gè) IP包之前，必須先建立一個(gè)安全關(guān)聯(lián)(SA)。其加密算法和認(rèn)證算法是由 ESP安全聯(lián)盟的相應(yīng)組件所決定的。 第 4章 網(wǎng)絡(luò)安全協(xié)議 傳輸方式和隧道方式 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec中的主要協(xié)議 （ 2） ESP(Encapsulating Security Payload) ESP協(xié)議為保證重要數(shù)據(jù)在公網(wǎng)傳輸時(shí)不被他人竊取，除了提供AH提供的所有服務(wù)外還提供數(shù)據(jù)加密服務(wù)。由于 AH不提供機(jī)密性保證，所以它也不需要加密算法。對(duì) AH的詳細(xì)描述在 RFC2402中。 （ 2）如果策略指明無(wú)需安全保護(hù)，就返回調(diào)用進(jìn)程以普通方式傳輸此報(bào)文。 （ 4）如果查詢(xún) SADB返回一個(gè) SA項(xiàng)，則根據(jù)該項(xiàng)指示的變換策略調(diào)用相應(yīng)的 AH認(rèn)證或 ESP解密操作。實(shí)際上這些選擇器是用來(lái)過(guò)濾輸出通信量的，目的是將其映射到特定的 SA。 IPSec密鑰協(xié)商部分使用 IKE (Inter Key Exchange)協(xié)議實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商， IKE協(xié)商的安全參數(shù)包括加密機(jī)制散列機(jī)制、認(rèn)證機(jī)制、 DiffieHellman組密鑰資源以及 IKE SA協(xié)商的時(shí)間限制等，同時(shí) IKE還負(fù)責(zé)這些安全參數(shù)的刷新。 第 4章 網(wǎng)絡(luò)安全協(xié)議 IPSec協(xié)議簇 IPSec（ Inter Protocol Security）是 IETF為了在 IP層提供通信安全而制定的一套協(xié)議簇。 第 4章 網(wǎng)絡(luò)安全協(xié)議 ? IPSec的優(yōu)點(diǎn) – 提供強(qiáng)大的安全性，應(yīng)用于防火墻和路由器 – 防火墻內(nèi)部的 IPSec可以抵制旁路 – IPSec在傳輸層以下，對(duì)應(yīng)用程序透明 – IPSec對(duì)終端用戶(hù)透明 – 需要時(shí)可以為單個(gè)用戶(hù)提供安全性 ? 路由選擇應(yīng)用， IPSec保證： – 路由器的通告 (新的路由器通告它的存在 )來(lái)自被認(rèn)可的路由器 – 鄰站通告 (一個(gè)路由器嘗試與另一個(gè)路由選擇域的一臺(tái)路由器建立或維護(hù)鄰站關(guān)系 )來(lái)自被認(rèn)可的路由器 – 重定向報(bào)文來(lái)自于原始報(bào)文發(fā)給它的路由器 – 路由選擇更新不會(huì)被假造 網(wǎng)絡(luò)層安全通信協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 網(wǎng)絡(luò)層安全通信協(xié)議 在網(wǎng)絡(luò)層提供安全機(jī)制的缺點(diǎn)在于很難解決像數(shù)據(jù)的不可否認(rèn)之類(lèi)的問(wèn)題。 第 4章 網(wǎng)絡(luò)安全協(xié)議 L2TP協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 網(wǎng)絡(luò)層安全通信協(xié)議 從 ISO/O SI互聯(lián)參考模型的七層體系結(jié)構(gòu)來(lái)看 ， 網(wǎng) 絡(luò) 層 是 網(wǎng) 絡(luò) 傳 輸 過(guò) 程 中 非 常 重 要 的 一 個(gè) 功 能 層 ， 它主要負(fù)責(zé)網(wǎng)絡(luò)地址的分配和網(wǎng)絡(luò)上數(shù)據(jù)包 的路由選擇 。 LAC和 LNS任一端均可發(fā)起隧道的建立，它包括兩輪消息交換 .主要完成如下功能： LAC和 LNS相互間的認(rèn)證，采用 CHAP認(rèn)證算法； LAC和 LNS各自為隧道分配隧道 ID，并通知對(duì)方；確定隧道的承載類(lèi)型和幀封裝類(lèi)型；確定接收窗口尺寸；隧道終結(jié)可用 StopCCN消息完成。 Ns指示數(shù)據(jù)或控制消息的序列號(hào)，從 0開(kāi)始，每發(fā)送一個(gè)消息其值加 1。 第 4章 網(wǎng)絡(luò)安全協(xié)議 L2TP協(xié)議 L2TP格式： Tunnel ID指示控制鏈接的標(biāo)識(shí)符。對(duì)于控制消息來(lái)說(shuō)，該位必須設(shè)置為 1。數(shù)據(jù)消息設(shè)置為 0，控制消息設(shè)置為 1如果 L位為 1，表示長(zhǎng)度域存在。 在由 L2TP構(gòu)建的 VPN中 ，有兩種類(lèi)型的服務(wù)器 ， 一種是 L 2 TP訪(fǎng)問(wèn)集中器 L A C（ L2TP Access Concentrator） ， 它是附屬在網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和 L2TP協(xié)議處理能力的設(shè)備 ， LAC一般就是一個(gè)網(wǎng)絡(luò)接入服務(wù)器 ， 用于為用戶(hù)提供網(wǎng)絡(luò)接入服務(wù)；另一種是 L2TP網(wǎng)絡(luò)服務(wù)器 LNS（ L2TP Network Server） ， 是PPP端系統(tǒng)上用于處理 L2TP協(xié)議服務(wù)器端部分的軟件 。這種方式不需要 ISP的參與，不再需要位于 ISP處的前端處理器， ISP只提供透明的傳輸通道。被動(dòng)模式的 PPTP會(huì)話(huà)通過(guò)一個(gè)一般是位于 ISP處的前端處理器發(fā)起，在客戶(hù)端不需要安裝任何與 PPTP有關(guān)的軟件。如果 PPP客戶(hù)端將 PPTP添加到它的協(xié)議中，所有列出來(lái)的 PPTP通信都會(huì)在支持 PPTP的客戶(hù)端上開(kāi)始與終止。 PPTP支持的是一種客戶(hù) LAN型隧道的 VPN實(shí)現(xiàn)。 由于 PPTP基于 PPP協(xié)議 ， 因而它支持多種網(wǎng)絡(luò)協(xié)議 ， 可將 IP、 I P X、APPLETALK、 NetBEUI的數(shù)據(jù)包封裝于 PPP數(shù)據(jù)幀中 。 第 4章 網(wǎng)絡(luò)安全協(xié)議 PPP協(xié)議 建立 失敗 失敗 NCP 配置 認(rèn)證成功 通信結(jié)束 載波停止 檢測(cè)到載波 雙方協(xié)商一些選項(xiàng) 認(rèn)證 網(wǎng)絡(luò) 打開(kāi) 終止 靜止 圖 PPP協(xié)議的狀態(tài)圖 第 4章 網(wǎng)絡(luò)安全協(xié)議 PPTP協(xié)議 點(diǎn)到點(diǎn)隧道協(xié)議 (PointPoint Tunneling Protocol，RFC2637)是對(duì) PPP的擴(kuò)展 。 PPP定義一種如何在點(diǎn)到點(diǎn)鏈路上傳