【正文】 因此，網(wǎng)絡(luò)安全管理需加強。再有密鑰在線路上傳輸也存在被竊取的可能，如果傳輸線路沒有被加密的話。由于認(rèn)證是單向的，所以這也給某些攻擊提供了條件；再有就是認(rèn)證中的消息摘要使用的 MD5算法，這種算法的原理已經(jīng)泄露，同樣給網(wǎng)絡(luò)安全管理帶來了難度。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 SNMP協(xié)議從 SNMPv SNMPv2，再到 SNMPv3，安全性能有所加強，特別是 SNMPv3增加了基于用戶的安全模型 USM和基于視圖的訪問控制模型 VACM，大大增強了 SNMP安全性。 SNMP引擎由 4組件組成：調(diào)度器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問控制子系統(tǒng)。RFC 2271定義了 SNMPv3的體系結(jié)構(gòu)，體現(xiàn)出模塊化設(shè)計思想，可以簡單地實現(xiàn)功能的增加和修改。它由 RFC22712275組成， SNMPv3參考了 SNMPv2*與SNMPv2u，采用基于用戶的管理框架。 一旦這些檢查 全 部 通 過 ， 就 可 以 執(zhí) 行 協(xié) 議 請 求 的 操 作 。 目標(biāo)方實體接收到 SnmpPrivMsg后首先檢查報文格式 ， 如果這一檢查通過 ， 則查找本地數(shù)據(jù)庫 ， 發(fā)現(xiàn)需要的驗證信息 。 第三步是檢查目標(biāo)參加者的加密協(xié)議 ， 如果需要加密 ， 則采用指定的加密協(xié)議對S n m p A u t h M s g加密 ， 生成 p r i v D a t a ( S n m p A u t h M s g )。 然后 ， 如果需要認(rèn)證協(xié)議 ， 則在 SnmpMgmtCom前面加上認(rèn)證信息 authInfo， 構(gòu)成認(rèn)證報文 SnmpAuthMsg， 否則把 authInfo置為長度為0的字節(jié)串 （ O C T E T S T R I N G） 。 authData(SnmpMgmtCom)：即經(jīng)過認(rèn)證的管理消息，包含目標(biāo)參加者 dstParty、源參加者 srcParty、上下文 context，以及協(xié)議數(shù)據(jù)單元 pdu等 4部分。 privData(SnmpAuthMsg)：經(jīng)過加密的報文，接收者需解密后才可以閱讀。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 2． SNMPv2安全機制 為了解決 SNMPv1安全問題， SNMPv2發(fā)展可謂曲折漫長，先后開發(fā)了如下的協(xié)議版本：基于參加者 SNMPsec、基于參加者 SNMPv2p、基于共同體名的 SNMPv2c、基于用戶的 SNMPv2u、基于用戶的 SNMPv2*等。 （ 2）簡單的認(rèn)證服務(wù) 一般來說，認(rèn)證服務(wù)的目的是保證通信是經(jīng)過授權(quán)的。屬于同一團體的管理和被管理代理才能互相作用，發(fā)送給不同團體的報文被忽略。本節(jié)主要介紹 SNMP協(xié)議的安全機制。在 IETF的努力下，從 SNMPv2開始，在研發(fā) SNMP協(xié)議時，安全問題得到充分考慮。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SET Participants 第 4章 網(wǎng)絡(luò)安全協(xié)議 Sequence of events for transactions 1. The customer opens an account. 2. The customer receives a certificate. 3. Merchants have their own certificates. 4. The customer places an order. 5. The merchant is verified. 6. The order and payment are sent. 7. The merchant request payment authorization. 8. The merchant confirm the order. 9. The merchant provides the goods or service. 10. The merchant requests payments. 第 4章 網(wǎng)絡(luò)安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 SNMP協(xié)議 SNMP協(xié)議在研發(fā)之初并沒有過多地考慮協(xié)議本身的安全問題，因為當(dāng)時網(wǎng)絡(luò)規(guī)模比較小。即可在交易過程中判斷當(dāng)前交易的參與方是否是合法認(rèn)證證書的持有者，以及是否是他所聲稱的那個人。而且還應(yīng)該保證，即使被別人修改之后，在交易的下一個環(huán)節(jié)中，交易參與方可以及時的發(fā)現(xiàn)并中止本次電子交易的過程，然后等待有效信息的到來。 （ 2）數(shù)據(jù)的完整性。同樣，也應(yīng)該防止銀行看到客戶的訂單信息，訂單信息應(yīng)該是只有商家才可以看到的。它區(qū)別于 SSL 的一個最重要的特征是，防止商家得到客戶的信用卡號碼。 第 4章 網(wǎng)絡(luò)安全協(xié)議 SET協(xié)議 SET協(xié)議主要特征： （ 1）信息的保密性。 ? 通過使用符合 任。它可以使用戶以一種安全的方式在公共、開放的 Inter上傳送銀行帳戶等敏感信息。 電子郵件安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 表 S/MIME的各種服務(wù) 電子郵件安全協(xié)議 MISE內(nèi)容類型 MISE子類型 S/MIME類型 S/MIME服務(wù) 附件擴展名 應(yīng)用 PKcs7MIMS 簽名數(shù)據(jù) 保證數(shù)據(jù)的完整性、認(rèn)證和無法否認(rèn)接收；使用不透明簽名 .p7m 封裝數(shù)據(jù) 保證數(shù)據(jù)的真實性 .p7m 復(fù)合 Signed NA 保證數(shù)據(jù)的完整性，認(rèn)證和無法否認(rèn)接收；使用透明簽名 NA 應(yīng)用 Pkcs7signature NA 保證數(shù)據(jù)的完整性，認(rèn)證和無法否認(rèn)接收；使用透明簽名 .p7s 第 4章 網(wǎng)絡(luò)安全協(xié)議 SET協(xié)議 SET(Secure Electronic Transaction)協(xié)議是由 VISA和MasterCard等國際信用卡組織于 1997年提出的一種電子商務(wù)協(xié)議，它被設(shè)計為開放的電子交易信息加密和安全的規(guī)范，可為Inter公網(wǎng)上的電子交易提供整套安全解決方案：確保交易信息的保密性和完整性；確保交易參與方身份的合法性；確保交易的不可抵賴性。 S/MIME與 PGP主要有兩點不同：它的認(rèn)證機制依賴于層次結(jié)構(gòu) 的證書認(rèn)證機構(gòu)，所有下一級的組織和個人的證書由上一級的組 織負(fù)責(zé)認(rèn)證，而最上一級的組織（根證書）之間相互認(rèn)證，整個 信任關(guān)系基本是樹狀的 ， 這就是所謂的 Tree of Trust。它是從 PEM（ Privacy Enhanced Mail） 和 MIME(Inter郵件的附件標(biāo)準(zhǔn) )發(fā)展而來的 。 （ 6）接收者比較（ 4）、（ 5）步計算的結(jié)果是否相同，相同則表示驗證通過，否則拒絕。 （ 4）接收者用相同的單向 hash函數(shù)計算接收到的報文的摘要。 （ 2）發(fā)送者用自己的私鑰對報文摘要進行加密得到數(shù)字簽名。 （ 5）接收者使用會話密鑰解密報文。 （ 3）發(fā)送者采用非對稱加密算法，使用接收者的公開密鑰對會話密鑰進行加密，并與加密報文結(jié)合。 電子郵件安全協(xié)議 第 4章 網(wǎng)絡(luò)安全協(xié)議 PGP(Pretty Good Privacy) ? Philip R. Zimmerman的主要工作 – 選擇了最好的加密算法作為基礎(chǔ)構(gòu)件 – 集成加密算法，形成通用的應(yīng)用程序 – 制作軟件包和文檔，包括源碼，免費提供 – 提供完全兼容的低價格的商用版本 ? PGP快速發(fā)展和流行的原因 – 免費獲得，運行不同平臺的多個版本 – 建立在普遍認(rèn)為非常安全的算法的基礎(chǔ)上 – 應(yīng)用范圍廣泛 – 不受任何組織和政府控制 第 4章 網(wǎng)絡(luò)安全協(xié)議 PGP的加密解密過程： （ 1）根據(jù)一些隨機的環(huán)境數(shù)據(jù)（如擊鍵信息）產(chǎn)生一個密鑰。它的特點是通過單向散列算法對郵件體進行簽名，以保證 郵件體無法修改，使用對稱和非對稱密碼相結(jié)合的技術(shù)保證郵件體保 密且不可否認(rèn)。 第 4章 網(wǎng)絡(luò)安全協(xié)議 1. PGP PGP(Pretty Good Privacy)是 Phillip Zimmerman在 1991年提出來 的，它既是一種規(guī)范也是一種應(yīng)用，已經(jīng)成為全球范圍內(nèi)流行的安全 郵件系統(tǒng)之一。 在應(yīng)用層提供安全機制的缺點在于：針對每個應(yīng)用，都要單獨設(shè)計一套安全機制。由此可見安全服務(wù)直接在應(yīng)用層上處理單獨應(yīng)用需求是最靈活的方法，例如一個郵件系統(tǒng)可能需要對發(fā)出的郵件進行簽名這在由低層提供安全服務(wù)的情況下是無法實現(xiàn)的，因為它不知道郵件的結(jié)構(gòu)和哪些部分需要簽名。應(yīng)用層安全協(xié)議主要有： S/MIME、 PGP、 PEM、 SET、Kerberos、 SHTTP、 SSH等。這兩個安全協(xié)議并不區(qū)分一個具體應(yīng)用程序的要求，只要在主機之間或進程之間建立起一條安全通道，那么根據(jù)此協(xié)議，所有通過該安全通道的信息都要自動用同一種方式進行數(shù)據(jù)安全加密。 第 4章 網(wǎng)絡(luò)安全協(xié)議 ? SSL and TLS – SSL was originated by Netscape – TLS working group was formed within IETF – First version of TLS can be viewed as an ? SSL Architecture IP HTTP/ S HTTP FTP SMTP TCP SSL or TLS SSL/TLS協(xié)議簇 第 4章 網(wǎng)絡(luò)安全協(xié)議 ? SSL會話和 SSL連