信息安全概论———网络安全协议
网络安全协议
网络安全协议:TCP/IP固有漏洞,所以为保证信息安全,在各种层次上产生各种安全协议,是以密码学为基础的,在网络中提供安全服务为目的协议;
数据链路层:PPTP,L2F,L2TP,主要用于构建access VPN,本质是使用隧道技术构建VPN;
应用层:IPSEC;
传输层:SSL;
应用层:S-HTTP,SSH,SET;
IPsec
IPsec在IPv6上是必选项,是其安全标准,也是IPv6比IPv4安全性优秀的重要原因。IPv6数据包除了基本包头和数据之外,增加了扩展头,是在扩展之后,将非关键字段移出基本包头来实现最小的开销;
IPsec优点:
- 在传输层之下,对应用层透明;
- 对终端用户透明
- 可以为个体用户提供安全保障,保护企业内部信息;(???)
结构:
主要包括两个基本协议:分别封装安全有效负荷协议(ESP),认证头协议(AH)
四个要件:加密算法,认证算法,解释域,密钥管理;
ESP协议:为报文提供加密和可选认证服务(消息认证);
AH协议:认证服务,包括数据源认证,无连接的完整性和一个抗重放服务;
差异:二者均包含认证功能,AH的作用于是整个IP数据包,ESP只包括 数据部分,不包括IP头;所以AH认证的安全性要高于ESP;
加密算法:必须支持DES;用于支持ESP;
认证算法:支持AH和ESP,默认使用SHA和MD5;
解释域:获得IPSEC的相关安全参数和信息,相当于一个系统参考;
密钥管理:确定和分配密钥;
安全关联SA:安全参数和策略集合,定义了一个单向连接;
SAD(安全关联数据库),SPD(安全策略数据库);
SA工作流程:
- 对发送的IP数据包,查询SPD,SAD;先查询SPD,确定对IP数据包要使用的策略,如果希望应用IPsec,就在SAD得到对应的SA指针,根据SA,就实施具体的协议;否则丢弃数据包,报错;
- 对于接收的IP数据包,先查询SAD,如果有这样的IPSEC的策略,就表示存在这样的IPSEC处理策略,直接处理数据,之后查询SPD,设定是否希望处理,如果设置相符,就算作接受有效,做其他处理,否则,则表示对该IP包的IPSE处理不被允许,则丢弃;
SAD中每个SA为(SA标识,IP目的地址,安全协议(ESP/AH))及其他具体应用IPsec的信息;(怎么用)
SPD中每个SP为选择因子,包括源,目的,名字,协议等;(用不用)
SPD作用:每个IPsec是否应用,应该由管理者自己决定,所以,SPD就是相当于用户自己设置的接受和发送IP包时对IPsec的使用策略,可用可不用;
工作模式:
传输模式:
协议用来对上层提供保护,只对IP数据包的有效数据负载进行加密和认证;直将IPsec头添加在IP头之后。
隧道模式:
协议用来封装IP数据报文,对整个IP数据包加密和认证,需要新生成一个IP头,而IPsec头是对之前旧IP头和负载信息的处理;
AH头:
AH头对整个IP数据包认证,保证其完整性;但是也只是对传输过程中不变的 部分认证,存在一些会变化的数据域;
AH在传输模式下,也是对整个IP数据包的认证,之后插入到原来的IP头之后,即相当于覆盖了传输模式,依旧使用自己覆盖全部数据的功能。 在隧道模式下,会在生成了新的IP头之后,再对所有的IP数据包(包括新IP头)进行认证,所以模式是用来指定是否需要生成新IP头,但是AH总会将最终的IP数据包整体处理;在IPv6中是作为扩展头出现,IPv4中放置在IP头之后;
一个AH头主要包括三个字(32位)的固定长度,其中有下一个扩展头的类型,认证头载荷长度(认证头字数-2),SPI(SA标识符),序列号(防重放),认证数据(使用认证协议得到);
ESP:
ESP只针对有效数据进行处理;
无论哪种模式,都是先添加ESP尾,使长度为字长整数倍,之后加密,设置ESP头,对于可选的认证服务,即对整个ESP认证,并在最后添加ESP认证;
模式的区别在于,是对原始数据处理还是对原始IP包处理;
IPsec的抗重放机制:
在SA中添加了序列号计数器和抗重放窗口,若提供抗重放机制,序列号计数器不允许重置,必须重新建立新的SA;抗重放窗口即跟根据当前收到的数据包设置的滑动窗口,可以知道哪些序号的数据包已经收到过了,哪些没有,来判断重放;
IPsec的密钥交换协议(IKE,应用层协议):
方式就是在通信双方中建立起共享安全参数和密钥,是之前的DH密钥交换之类的密钥交换协议的一种标准化和实现。
过程:
- 双方第一次通信,明文协商选定有关的加密算法,认证算法,密钥交换方式类型(DH有很多组,不同的组有不同安全级别)
- 双方第二次通信,交换DH算法中的信息,之后双方各自计算得到对称密钥;
- 双方第三次通信,发一些用自己密钥处理的信息,验证对方和自己的密钥是否相同;
一般为了建立起IPsec 的共享安全参数和密钥,一般会先建立IKE 的共享安全参数和密钥,在这样的保护下,才会去再次协商,用类似的方式建立IPsec 的共享安全参数和密钥,但是后者一般采用快速模式,即三次通信变为三次握手。
SSL
用于保护服务器和客户端间数据传输安全的传输层加密协议,提供加密和认证,身份认证功能;实际位置位TCP和应用层之间,被封装在TCP数据包中。
组成:(传输层和应用层间,用来具体的数据封装)SSL记录协议;(之后为应用层协议,用来构建环境 )SSL握手协议;SSL转换密码协议;SSL报警协议;
SSL的安全环境是指会通过SSL握手协议来建立SSL会话,每个会话有建立的会话状态,包括算法和密钥的确定,之后在该环境下会多次连接来发送信息,全部发送之后会结束会话;
SSL记录协议:
- 将应用层的数据分割成段;
- 使用压缩算法减少传输量;(加了一步压缩)
- 分段认证并将认证信息放置在尾部
- 将全部信息加密
- 添加记录头
SSL握手协议:
用来建立会话,有身份认证的功能;
在C/S间传递消息报文,完成会话协商谈判;
- 建立安全能力:
C->S:client_hello给出自己支持和建议的安全参数;
S->C :server_hello 选定最终的安全参数 - 服务器认证和密钥交换:S->C:
certificate:服务器发送自己的X.509证书
server_key_exchange:服务器自己发送一些自己的信息和密钥相关信息;
certificate_request:可以向用户请求一个证书;
server_done:等待应答; - 客户端认证和密钥交换: C->S
certificate:若server请求证书,就发送自己的证书;如果没有证书,可以发送no_certificate;
client_key_exchange:密钥参数信息;
certificate_verify:发送之前信息的散列证明上述信息自己已经收到,并确认自己的身份 - 结束
C->S: change_cipher_spec:通知server开始使用密码规范;
C->S:finished:加密过的信息,给server验证自己密码是否对
S->C: change_cipher_spec:通知client开始使用密码规范;
S->C:finished:加密过的信息,给client验证自己密码是否对
SSL转换密码协议:通知对方更新密码规范的协议;
SSL报警协议:报警信息作为记录协议的负载交换的;
HTTPS
安全版的HTTP:就是在HTTP基础上增加了SSL,而且SSL是内嵌到操作系统内核来实现的,对上层应用透明;当然也可以以函数库供应用调用。
HTTPS端口为443
HTTPS主要功能为;建立安全信道;确认网站服务器和客户端的真实性;HTTPS的单向认证一般认证服务器身份即可,电子商务可能会要求双向认证;用户的CA证书一般在U盾中;
SET
安全电子交易协议:用在Internet上,以信用卡为基础的电子付款系统规范;
SSL协议虽然也可以用在电子商务中,但只是保证了网络节点间机密,完整等信息,但并没有针对电子商务的特点设计。
六大组件:持卡人,商家,支付网关,清算机构,发卡机构,CA;
流程:
- 消费者在验证商家的CA证书之后,发送给商家有订购信息和支付信息的用顾客签名加密了的信息,使用双重签名技术使商家只能得到订购信息,得不到支付信息;
- 商家验证消费者身份,通过网关,清算机构,向发卡机构确认交易;
- 商家发货,顾客收货;清算机构付款给商家;
- 这之间的每一步,都会通过CA来验证通信双方的身份;
特殊技术:
(1)电子信封:用对方的公钥加密用来通信的对称密钥,形成一个装着密钥的信封,将密钥传递给对方;
(2)双重签名:用于分离支付信息和订购信息;
两个信息是直接全部给商家的,但是不允许商家看支付信息的,而且也要使二者有一种绑定能力,以免中途被伪造;
过程:
- 用户把OI和PI散列连接起来再散列之后使用私钥加密,生成DS;
- 用户将DS,OI明文,PI的散列,发给商家(这里利用了散列的抗碰撞性和不可逆性),商家可以用DS得到PI的散列和OI的散列,现已有OI和PI的散列就可以通过散列函数得到和用户发的信息一致的散列值,确认到信息是对的;
- 用户将DS,PI明文,OI的散列使用一个对称密钥加密,并制作一个银行公钥的电子信封将密钥和信息给银行, 中间先给商家,让它转交;
SSL与SET比较:
SSL没有突出身份认证,而SET中所有人的身份都要求认证;
SET规范了整个交易流程,最大限度保证了商务性,协调性和集成性;
SET是应用层,SSL是传输层;
SSL主要与在WEB上,而SET可用于多平台;
SET代价大;
信息安全概论———网络安全协议相关推荐
- 密码学-第一讲信息安全概论
一.机械化-电气化-信息化(摩尔定律.吉尔德定律.千倍定律) 信息的保密性.完整性.认证性和不可否认性 密码技术的基本思想是对数据进行可逆的数学变化(即加密)未授权者不能理解信息的真实含义 密码编码: ...
- 信息安全概论(第3版)课后习题答案 牛少彰 崔宝江 李剑编著
整理不易,点个赞呗 信息安全概论(第3版)习题参考答案 (牛少彰 崔宝江 李剑) 第一章 概论 1.谈谈你对信息的理解. 答:信息是事物运动的状态和状态变化的方式. 2.什么是信息技术? 答:笼统地说 ...
- 信息安全概论作业题(精简版)
信息安全概论课后答案(精简版) 第一章 3.信息安全的基本属性主要表现在哪几个方面? (1)完整性(Integrity) (2)保密性(Confidentiality) (3)可用性(Availabi ...
- 计算机网络技术和信息安全的区别,信息安全是个什么样的专业?信息安全和网络安全有什么区别?...
信息安全专业所学的有信息安全.网络安全.操作系统安全.信息论与编码.计算机网络.接口与通讯技术.PKI原理与技术.计算机病毒及其防治技术.入侵检测技术.WEB技术与应用.安全协议导论.网络攻击与防御技 ...
- 哈工大信息安全概论期末复习
防扒链接: 何以牵尘的博客_CSDN博客-哈工大课内学习,哈工大精品课程笔记领域博主何以牵尘擅长哈工大课内学习,哈工大精品课程笔记,等方面的知识https://blog.csdn.net/m0_617 ...
- 叙述无保密机制的rsa签名过程_电科18年12月考试《信息安全概论》期末大作业【标准答案】...
17年12月考试<信息安全概论>期末大作业-0001 试卷总分:100 得分:0 一. 单选题 (共 49 道试题,共 98 分) 1.信息具有的重要性质中,不包括() A.普遍性: ...
- 信息安全与网络安全有什么区别?
生活中我们经常会听到要保障自己的或者企业的信息安全.那到底什么是信息安全呢?信息安全包含哪些内容?与网络安全又有什么区别呢?今天我们就一起来详细了解一下. 什么叫做信息安全? 信息安全定义如下:为数据 ...
- 【信息安全概论】笔记
课堂中零零散散记录的笔记 网络攻击对信息造成的影响: 对信息进行阻断.截获.篡改.伪造.破坏信息的可用性 黑客的普遍含义是指对信息系统的非法入侵者? 黑客的普遍含义是指违反或不遵守网络和信息系统安全策 ...
- 【网络信息安全】网络安全与信息安全的关系
1.信息安全主要包括哪四个层面的内容? ① 硬件安全:信息系统安全的首要问题,包括硬件的稳定性.可靠性和可用性. ② 软件安全:如保护信息系统不被非法侵入,系统软件和应用软件不被非法复制.篡改,不受恶 ...
- 哈工大信息安全概论复习笔记(2)
哈工大信息安全概论复习笔记(2) 文章目录 哈工大信息安全概论复习笔记(2) 考点八 RSA公钥算法 考点九 散列函数的特点和作用 考点十 EMI.EMC.防电磁泄漏主要方法 考点十一 容错与容灾的概 ...
最新文章
- MDaemon无法发送加密附件
- BZOJ4810: [Ynoi2017]由乃的玉米田
- 计算c53的c语言的程序,C程序设计的常用算法.doc
- 用户在购买机器之后不知如何正确保养笔记本电脑
- android surfaceflinger研究----SurfaceFlinger loop
- python2和python3如何共存,如何安装多版本python python2和python3共存以及pip共存
- http缓存管理器_小心缓存管理器
- 内核使用硬件ip的dma,dma_alloc_coherent 与 dma_alloc_writecombine (转)
- Paip. DDBS 分布式 数据库系统 attilax总结C0G
- CSS表格及表单美化
- MySQL、SQLyog、navicat安装
- 数据库 组合主键 外键
- DirectX是什么,出现游戏打不开问题解决方案
- 使用python画简单的图
- 使用牛顿迭代法求根 一元三次方程的根
- 【MySQL】数据库中的三大范式
- 创业团队产品如何战胜大公司的抄袭 腾讯抄你肿么办?
- 【reverse】2021 极客大挑战(部分)
- 首都师范 博弈论 3 3 1求解二人零和博弈
- android开发--Canvas清屏只需三句话
热门文章
- 「新手指南」如何在Mac上格式化U盘和移动硬盘?
- 2021免费注册TK域名使用一年的方法
- c语言大写字母A变小写a流程图,大小写字母转换
- linux驱动篇-Led
- caj打开文件错误验证服务器,CAJ 打开pdf文件错误(无法读取交叉引用表)的解决方法...
- 计算机网络:端到端原则对互联网的影响与面临的问题
- 01 #pragma once用法总结
- 计算机网络---网卡,交换机和路由器|CSDN创作打卡
- android 软解8k视频,Android Q+5G现场播放8K视频:画面流畅
- iOSAPP创建桌面快捷方式