證。如果收發(fā)雙方使用的是單鑰體制,那他們就使用同一密鑰;如果收發(fā)雙方使用的是公鑰 已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密密鑰算出AH,接收方用同一或另一密鑰對(duì)之進(jìn)行驗(yàn)
體制,那他們就使用不同的密鑰 IP ESP的基本想法是對(duì)整個(gè)IP包進(jìn)行封裝,或者只對(duì)ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀
態(tài))進(jìn)行封裝、并對(duì)ESP的絕大部分?jǐn)?shù)進(jìn)行加密。在管道狀態(tài)下,為當(dāng)前已加密的ESP附
加了一個(gè)新的IP頭(純文本),它可以用來對(duì)IP包在 Internet上作路由選擇。接收方把這個(gè)
頭取掉,再對(duì)ESP進(jìn)行解密,處理并取掉ESP頭,再對(duì)原來的1P包或更高層協(xié)議的數(shù)據(jù)就
像普通的IP包那樣進(jìn)行處理 AH與ESP體制可以合用,也可以分用。不管怎么用,都逃不脫傳輸分析的攻擊。我們
不太清楚在 Internet層上,是否真有經(jīng)濟(jì)有效的對(duì)抗傳輸分析的手段,不過,在 Internet用戶
里,真正把傳輸分析當(dāng)回事幾的也是客多無幾。
の、多PSP其相應(yīng)的密鑰管理協(xié)議的實(shí)現(xiàn)均基于Um系統(tǒng)。任何1PSP的實(shí)現(xiàn)都必 應(yīng)協(xié)議的源碼糾纏在一起,而這源碼又能在Unix系統(tǒng)上使用,其原因大概就在于此。
但是,如果要想在 Internet上更廣泛地使用和采納安全協(xié)議,就必須有相應(yīng)的MS=DOS或 Windows版本。而在這些系統(tǒng)上實(shí)現(xiàn) Internet層安全協(xié)議所直接面臨的一個(gè)問題就是,PC
上相應(yīng)的實(shí)現(xiàn)TCPP的公共源碼資源什么也沒有。為克服這一困難, Wagner和 Bellovin實(shí)
現(xiàn)了一個(gè) IPSEC 7模塊,它像一個(gè)設(shè)備驅(qū)動(dòng)程序一樣工作,完全處于IP層以下。い(ath
其它通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是: Internet層一般對(duì)屬于不同進(jìn) Internet層安全性的主要優(yōu)點(diǎn)是它的透明性,就是說,安全服務(wù)的提供不需要應(yīng)用程序
程和相應(yīng)條例的包不作區(qū)別,對(duì)所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控
制策略來處理。這可能導(dǎo)致提供不了所需的功能,也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密鑰
分配的這些問題,RFC1825允許(甚至可以說是推薦)使用面向用戶的密鑰分配,其中,不
同的連接會(huì)得到不同的加密密鑰。但是,面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng)內(nèi)核作
比較大的改動(dòng)。雖然IPSP的規(guī)范已經(jīng)基本制訂完畢,但密鑰管理的情況千變?nèi)f化,要做的工作還很多。
尚未引起足夠重視的一個(gè)重要的問題是在多播( Multicas)環(huán)境下的密鑰分配問題,例如,在
Internet多播骨干網(wǎng)( Mbone)或IPv6網(wǎng)中的密鑰分配問題。門、的回本(
簡(jiǎn)言之, Internet層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的。相應(yīng)的安全協(xié)議可
以用來在 nternet上建立安全的P通道和虛擬私有網(wǎng)。例如,利用它對(duì)IP包的加密和解密
功能,可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。事實(shí)上,許多壓商已經(jīng)這樣做了。RSA數(shù)據(jù)
安全公司已經(jīng)發(fā)起了一個(gè)倡議,來推進(jìn)多家防火墻和 TCP/IP軟件廠商聯(lián)合開發(fā)虛擬私有
網(wǎng)。該倡議被稱為S-WAN(安全廣域網(wǎng))倡議。其目標(biāo)是制訂和推薦 Internet層的安全協(xié)議
標(biāo)準(zhǔn)。金的
1.4.5安全的傳輸層、會(huì)話層和應(yīng)用層 (點(diǎn)動(dòng))點(diǎn) )足
1.4.5.1傳輸層的安全性
在 Internet A應(yīng)用編程序中,通常使用廣義的進(jìn)程間通信(IPC)機(jī)制來同不同層次的安全
協(xié)議打交道。比較流行的兩個(gè)IPC編程界面是 BSD Sockets和傳輸層界面(TL),在Unix系
統(tǒng)V命令里可以找到。ー國(guó)日寫品磁、中武式 在 Internet I中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的IPC界面如 BSD Sockets等,
路,制定了建立在可靠的傳輸服務(wù)(如 TCPXIP所提供)基礎(chǔ)上的安全套接層協(xié)議(SSL)。具體做法包括雙實(shí)體的認(rèn)證,數(shù)據(jù)加密密鑰的交換等31 Netscape通信公司遵循了這個(gè)思
SSL版本3(SSLv3)于1995年12月制定。它主要包含以下兩個(gè)協(xié)議:も)是可的 SSL記錄協(xié)議。它涉及應(yīng)用程序提供的信息的分段壓縮、數(shù)據(jù)認(rèn)證和加密。SLy3
提供對(duì)數(shù)據(jù)認(rèn)證用的MD5和SHA以及數(shù)據(jù)加密用的R4和DES等的支持,用來對(duì)數(shù)據(jù)進(jìn)行
?SSL握手協(xié)議。用來交換版本號(hào)、加密 認(rèn)證和加密的密鑰可以通過SSL的握手協(xié)議來協(xié)商設(shè)知面出,國(guó)合料H 算法(相互)身份認(rèn)證 并交換密鑰SSLv3提
上的密鑰交換機(jī)制的支持。n千必管的要論3大 供對(duì) Deffie- Hellman密鑰交換算法、基于RSA的密鑰交換機(jī)制和另實(shí)現(xiàn)在 Fortezza Chip
Netscape通信公司已經(jīng)向公眾推出了S9L的參考實(shí)現(xiàn)(稱為 Sslrel)a另免費(fèi)的SSL
實(shí)現(xiàn)叫做 Ssleayo Sslrel(和 Ssleay均可給任何 TCP/IP應(yīng)用提供SSL功能。 Internet號(hào)碼 分配當(dāng)局(IANA)已經(jīng)為具備SSE功能的應(yīng)用分配了固定端口號(hào),例如,帶SSL的HTTP
(htps)被分配以端口號(hào)443,帶SSレ的SMTP( smtp)被分配以端號(hào)465帶SSL的NNTP
(snp)被分配以端口號(hào)563。r江ー個(gè)ーT (微軟推出了SSL版本2的改進(jìn)版本,叫做PCT(私人通信技術(shù))。至少?gòu)乃褂玫挠涗浉?/div>
Most Significant Bit)上的取值有所不同:SSL該位取0,PCT該位取1這樣區(qū)分之后,就可 式來看,SL和PCT是十分相似的。它們的主要差別是它們?cè)诎姹咎?hào)字段的最顯著位(The
以對(duì)這兩個(gè)協(xié)議都給以支持的亮調(diào)下前
下1996年4月,IETF授權(quán)一個(gè)傳輸層安全(mLS)工作組著手制定一個(gè)傳輸層安全協(xié)議
(TLSP),以便作為標(biāo)準(zhǔn)提案向IESG正式提交。『TLSP將會(huì)在許多地方酷似SL。劉詞 我們已經(jīng)看到, Internet層安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性,即安全服務(wù)的提供不要
求應(yīng)用層做任何改變。這對(duì)傳輸層來說是做不到的原則上本任何 TCP/IP應(yīng)用,只要應(yīng)用
傳輸層安全協(xié)議,比如說SSL或PCT,就必定要進(jìn)行若干修改以增加相應(yīng)的功能,并使用
(稍微)不同的IPC界面。于是,傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層IPC界面和應(yīng)用
程序兩端都進(jìn)行修改。可是,比起 Internet層和應(yīng)用層的安全機(jī)制來,這里的修改還是相當(dāng) 小的。另=個(gè)缺點(diǎn)是,基于UDP的通信很難在傳輸層建立起安全機(jī)制來。同網(wǎng)絡(luò)層安全機(jī)
制相比,傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的(而不是主機(jī)對(duì)主機(jī)的)安全
服務(wù)。這之成就如果再加上應(yīng)用級(jí)的安全服務(wù),就可以再向前跨越一大步了。顯與公全
1.4.5.3應(yīng)用層的安全性 1.4.5,2會(huì)話層不提供安全服務(wù)(略)。(國(guó)氣全支)AA 文對(duì)
網(wǎng)絡(luò)層(傳輸層)的安全協(xié)議允許為主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上
這意味著真正的(或許再加上機(jī)密的)數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間,但卻不可能區(qū)
分在同一通道上傳輸?shù)囊粋€(gè)個(gè)具體文件的安全性要求。比如說,如果合個(gè)主機(jī)與另一個(gè)主機(jī)
之間建立起一條安全的P通道,那么所有在這條通道上跑的IP包就都要自動(dòng)地被加密。同
本文地址:http://m.murenxiang.com.cn//article/3702.html
上一篇:系統(tǒng)癱瘓
下一篇:UNIX文件系統(tǒng)