證。如果收發雙方使用的是單鑰體制,那他們就使用同一密鑰;如果收發雙方使用的是公鑰 已經被事先計算好。發送方用一個加密密鑰算出AH,接收方用同一或另一密鑰對之進行驗
體制,那他們就使用不同的密鑰 IP ESP的基本想法是對整個IP包進行封裝,或者只對ESP內上層協議的數據(運輸狀
態)進行封裝、并對ESP的絕大部分數進行加密。在管道狀態下,為當前已加密的ESP附
加了一個新的IP頭(純文本),它可以用來對IP包在 Internet上作路由選擇。接收方把這個
頭取掉,再對ESP進行解密,處理并取掉ESP頭,再對原來的1P包或更高層協議的數據就
像普通的IP包那樣進行處理 AH與ESP體制可以合用,也可以分用。不管怎么用,都逃不脫傳輸分析的攻擊。我們
不太清楚在 Internet層上,是否真有經濟有效的對抗傳輸分析的手段,不過,在 Internet用戶
里,真正把傳輸分析當回事幾的也是客多無幾。
の、多PSP其相應的密鑰管理協議的實現均基于Um系統。任何1PSP的實現都必 應協議的源碼糾纏在一起,而這源碼又能在Unix系統上使用,其原因大概就在于此。
但是,如果要想在 Internet上更廣泛地使用和采納安全協議,就必須有相應的MS=DOS或 Windows版本。而在這些系統上實現 Internet層安全協議所直接面臨的一個問題就是,PC
上相應的實現TCPP的公共源碼資源什么也沒有。為克服這一困難, Wagner和 Bellovin實
現了一個 IPSEC 7模塊,它像一個設備驅動程序一樣工作,完全處于IP層以下。い(ath
其它通信層次和網絡部件做任何改動。它的最主要的缺點是: Internet層一般對屬于不同進 Internet層安全性的主要優點是它的透明性,就是說,安全服務的提供不需要應用程序
程和相應條例的包不作區別,對所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控
制策略來處理。這可能導致提供不了所需的功能,也會導致性能下降。針對面向主機的密鑰
分配的這些問題,RFC1825允許(甚至可以說是推薦)使用面向用戶的密鑰分配,其中,不
同的連接會得到不同的加密密鑰。但是,面向用戶的密鑰分配需要對相應的操作系統內核作
比較大的改動。雖然IPSP的規范已經基本制訂完畢,但密鑰管理的情況千變萬化,要做的工作還很多。
尚未引起足夠重視的一個重要的問題是在多播( Multicas)環境下的密鑰分配問題,例如,在
Internet多播骨干網( Mbone)或IPv6網中的密鑰分配問題。門、的回本(
簡言之, Internet層是非常適合提供基于主機對主機的安全服務的。相應的安全協議可
以用來在 nternet上建立安全的P通道和虛擬私有網。例如,利用它對IP包的加密和解密
功能,可以簡捷地強化防火墻系統的防衛能力。事實上,許多壓商已經這樣做了。RSA數據
安全公司已經發起了一個倡議,來推進多家防火墻和 TCP/IP軟件廠商聯合開發虛擬私有
網。該倡議被稱為S-WAN(安全廣域網)倡議。其目標是制訂和推薦 Internet層的安全協議
標準。金的
1.4.5安全的傳輸層、會話層和應用層 (點動)點 )足
1.4.5.1傳輸層的安全性
在 Internet A應用編程序中,通常使用廣義的進程間通信(IPC)機制來同不同層次的安全
協議打交道。比較流行的兩個IPC編程界面是 BSD Sockets和傳輸層界面(TL),在Unix系
統V命令里可以找到。ー國日寫品磁、中武式 在 Internet I中提供安全服務的首先一個想法便是強化它的IPC界面如 BSD Sockets等,
路,制定了建立在可靠的傳輸服務(如 TCPXIP所提供)基礎上的安全套接層協議(SSL)。具體做法包括雙實體的認證,數據加密密鑰的交換等31 Netscape通信公司遵循了這個思
SSL版本3(SSLv3)于1995年12月制定。它主要包含以下兩個協議:も)是可的 SSL記錄協議。它涉及應用程序提供的信息的分段壓縮、數據認證和加密。SLy3
提供對數據認證用的MD5和SHA以及數據加密用的R4和DES等的支持,用來對數據進行
?SSL握手協議。用來交換版本號、加密 認證和加密的密鑰可以通過SSL的握手協議來協商設知面出,國合料H 算法(相互)身份認證 并交換密鑰SSLv3提
上的密鑰交換機制的支持。n千必管的要論3大 供對 Deffie- Hellman密鑰交換算法、基于RSA的密鑰交換機制和另實現在 Fortezza Chip
Netscape通信公司已經向公眾推出了S9L的參考實現(稱為 Sslrel)a另免費的SSL
實現叫做 Ssleayo Sslrel(和 Ssleay均可給任何 TCP/IP應用提供SSL功能。 Internet號碼 分配當局(IANA)已經為具備SSE功能的應用分配了固定端口號,例如,帶SSL的HTTP
(htps)被分配以端口號443,帶SSレ的SMTP( smtp)被分配以端號465帶SSL的NNTP
(snp)被分配以端口號563。r江ー個ーT (微軟推出了SSL版本2的改進版本,叫做PCT(私人通信技術)。至少從它使用的記錄格
Most Significant Bit)上的取值有所不同:SSL該位取0,PCT該位取1這樣區分之后,就可 式來看,SL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著位(The
以對這兩個協議都給以支持的亮調下前
下1996年4月,IETF授權一個傳輸層安全(mLS)工作組著手制定一個傳輸層安全協議
(TLSP),以便作為標準提案向IESG正式提交。『TLSP將會在許多地方酷似SL。劉詞 我們已經看到, Internet層安全機制的主要優點是它的透明性,即安全服務的提供不要
求應用層做任何改變。這對傳輸層來說是做不到的原則上本任何 TCP/IP應用,只要應用
傳輸層安全協議,比如說SSL或PCT,就必定要進行若干修改以增加相應的功能,并使用
(稍微)不同的IPC界面。于是,傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用
程序兩端都進行修改??墒?,比起 Internet層和應用層的安全機制來,這里的修改還是相當 小的。另=個缺點是,基于UDP的通信很難在傳輸層建立起安全機制來。同網絡層安全機
制相比,傳輸層安全機制的主要優點是它提供基于進程對進程的(而不是主機對主機的)安全
服務。這之成就如果再加上應用級的安全服務,就可以再向前跨越一大步了。顯與公全
1.4.5.3應用層的安全性 1.4.5,2會話層不提供安全服務(略)。(國氣全支)AA 文對
網絡層(傳輸層)的安全協議允許為主機(進程)之間的數據通道增加安全屬性。本質上
這意味著真正的(或許再加上機密的)數據通道還是建立在主機(或進程)之間,但卻不可能區
分在同一通道上傳輸的一個個具體文件的安全性要求。比如說,如果合個主機與另一個主機
之間建立起一條安全的P通道,那么所有在這條通道上跑的IP包就都要自動地被加密。同
本文地址:http://123beaconmarketing.com//article/3702.html