網絡安全協議
網絡安全協議的定義
網絡安全協議可定義為基於密碼學的通信協議,包含兩層含義:
- 網絡安全協議以密碼學為基礎
- 網絡安全協議也是通信協議
第一層含義體現了網絡安全協議與普通協議間的差異,使用密碼技術時,算法和密鑰兩個要素都不可或缺。
第二層含義體現了網絡安全協議與普通協議之間的共性
公鑰密碼和對稱密碼的對比
- 密鑰交互和保密的角度:公鑰密碼優於對稱密碼。但保障數據機密性時對稱密碼的到廣泛應用,原因之一是對稱密碼算法效率高
- 應用的角度:公鑰密碼主要用於:
- 計算數字簽名確保不可否認性
- 用於密鑰交換
- 密鑰的實用角度:
- 保障機密性,使用接收方的公鑰加密
- 用於數字簽名,使用發送方的私鑰加密
數字簽名
確保不可否認性,原理與消息驗證碼類似,具備認證功能
使用發送方的私鑰加密摘要,驗證發使用發送方的公鑰驗證
消息驗證碼和數字簽名的區別
- 消息驗證碼使用通信雙方共享的會話密鑰處理摘要
- 數字簽名使用發送方的私鑰加密摘要,驗證發使用發送方的公鑰驗證
常見的網絡安全協議
1.網絡認證協議Kerberos
Kerberos 是一種網絡認證協議,其設計目標是通過密鑰系統為客戶機 / 服務器應用程序提供強大的認證服務。該認證過程的實現不依賴於主機操作系統的認證,無需基於主機地址的信任,不要求網絡上所有主機的物理安全,並假定網絡上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下, Kerberos 作為一種可信任的第三方認證服務,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。
認證過程具體如下:客戶機向認證服務器(AS)發送請求,要求得到某服務器的證書,然后 AS 的響應包含這些用客戶端密鑰加密的證書。
證書的構成為:
- 服務器 “ticket” ;
- 一個臨時加密密鑰(又稱為會話密鑰 “session key”) 。
- 客戶機將 ticket (包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝)傳送到服務器上。會話密鑰可以(現已經由客戶機和服務器共享)用來認證客戶機或認證服務器,也可用來為通信雙方以后的通訊提供加密服務,或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。
上述認證交換過程需要只讀方式訪問 Kerberos 數據庫。但有時,數據庫中的記錄必須進行修改,如添加新的規則或改變規則密鑰時。修改過程通過客戶機和第三方 Kerberos 服務器(Kerberos 管理器 KADM)間的協議完成。有關管理協議在此不作介紹。另外也有一種協議用於維護多份 Kerberos 數據庫的拷貝,這可以認為是執行過程中的細節問題,並且會不斷改變以適應各種不同數據庫技術。
Kerberos又指麻省理工學院為這個協議開發的一套計算機網絡安全系統。系統設計上采用客戶端/服務器結構與DES加密技術,並且能夠進行相互認證,即客戶端和服務器端均可對對方進行身份認證。可以用於防止竊聽、防止replay攻擊、保護數據完整性等場合,是一種應用對稱密鑰體制進行密鑰管理的系統。Kerberos的擴展產品也使用公開密鑰加密方法進行認證。
2.安全外殼協議SSH
SSH 為 Secure Shell 的縮寫,由 IETF 的網絡小組(Network Working Group)所制定;SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序,后來又迅速擴展到其他操作平台。SSH在正確使用時可彌補網絡中的漏洞。SSH客戶端適用於多種平台。幾乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台,都可運行SSH。
傳統的網絡服務程序,如:ftp、pop和telnet在本質上都是不安全的,因為它們在網絡上用明文傳送口令和數據,別有用心的人非常容易就可以截獲這些口令和數據。而且,這些服務程序的安全驗證方式也是有其弱點的, 就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。所謂“中間人”的攻擊方式, 就是“中間人”冒充真正的服務器接收你傳給服務器的數據,然后再冒充你把數據傳給真正的服務器。服務器和你之間的數據傳送被“中間人”一轉手做了手腳之后,就會出現很嚴重的問題。通過使用SSH,你可以把所有傳輸的數據進行加密,這樣"中間人"這種攻擊方式就不可能實現了,而且也能夠防止DNS欺騙和IP欺騙。使用SSH,還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替Telnet,又可以為FTP、PoP、甚至為PPP提供一個安全的"通道" 。
從客戶端來看,SSH提供兩種級別的安全驗證。
第一種級別(基於口令的安全驗證)
只要你知道自己帳號和口令,就可以登錄到遠程主機。所有傳輸的數據都會被加密,但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器,也就是受到“中間人”這種方式的攻擊。
第二種級別(基於密匙的安全驗證)
需要依靠密匙,也就是你必須為自己創建一對密匙,並把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上,客戶端軟件就會向服務器發出請求,請求用你的密匙進行安全驗證。服務器收到請求之后,先在該服務器上你的主目錄下尋找你的公用密匙,然后把它和你發送過來的公用密匙進行比較。如果兩個密匙一致,服務器就用公用密匙加密“質詢”(challenge)並把它發送給客戶端軟件。客戶端軟件收到“質詢”之后就可以用你的私人密匙解密再把它發送給服務器。
用這種方式,你必須知道自己密匙的口令。但是,與第一種級別相比,第二種級別不需要在網絡上傳送口令。
第二種級別不僅加密所有傳送的數據,而且“中間人”這種攻擊方式也是不可能的(因為他沒有你的私人密匙)。但是整個登錄的過程可能需要10秒。
3.安全電子交易協議SET
安全電子交易協議(secure Electronic Transaction簡稱SET) 由威士(VISA)國際組織、萬事達(MasterCard)國際組織創建,結合IBM、Microsoft、Netscope、GTE等公司制定的電子商務中安全電子交易的一個國際標准。
安全電子交易協議SET是一種應用於因特網(Internet)環境下,以信用卡為基礎的安全電子交付協議,它給出了一套電子交易的過程規范。通過SET協議可以實現電子商務交易中的加密、認證、密鑰管理機制等,保證了在因特網上使用信用卡進行在線購物的安全。
其主要目的是解決信用卡電子付款的安全保障性問題,這包括:保證信息的機密性,保證信息安全傳輸,不能被竊聽,只有收件人才能得到和解密信息;保證支付信息的完整性,保證傳輸數據完整接收,在中途不被篡改;認證商家和客戶,驗證公共網絡上進行交易活動包括會計機構的設置、會計人員的配備及其職責權利的履行和會計法規、制度的制定與實施等內容。合理、有效地組織會計工作,意義重大,它有助於提高會計信息質量,執行國家財經紀律和有關規定;有助於提高經濟效益,優化資源配置。會計工作的組織必須合法合規。講求效益,必須建立完善的內部控制制度,必須有強有力的組織保證。
工作流程
1)消費者利用自己的PC機通過因特網選定所要購買的物品,並在計算機上輸入訂貨單、訂貨單上需包括在線商店、購買物品名稱及數量、交貨時間及地點等相關信息。
2)通過電子商務服務器與有關在線商店聯系,在線商店作出應答,告訴消費者所填訂貨單的貨物單價、應付款數、交貨方式等信息是否准確,是否有變化。
3)消費者選擇付款方式,確認訂單簽發付款指令。此時SET開始介入。
4)在SET中,消費者必須對訂單和付款指令進行數字簽名,同時利用雙重簽名技術保證商家看不到消費者的帳號信息。
5)在線商店接受訂單后,向消費者所在銀行請求支付認可。信息通過支付網關到收單銀行,再到電子貨幣發行公司確認。批准交易后,返回確認信息給在線商店。
6)在線商店發送訂單確認信息給消費者。消費者端軟件可記錄交易日志,以備將來查詢。
7)在線商店發送貨物或提供服務並通知收單銀行將錢從消費者的帳號轉移到商店帳號,或通知發卡銀行請求支付。在認證操作和支付操作中間一般會有一個時間間隔,例如,在每天的下班前請求銀行結一天的帳。
前兩步與SET無關,從第三步開始SET起作用,一直到第六步,在處理過程中通信協議、請求信息的格式、數據類型的定義等SET都有明確的規定。在操作的每一步,消費者、在線商店、支付網關都通過CA(認證中心)來驗證通信主體的身份,以確保通信的對方不是冒名頂替,所以,也可以簡單地認為SET規格充分發揮了認證中心的作用,以維護在任何開放網絡上的電子商務參與者所提供信息的真實性和保密性。
4.安全套接層協議SSL
SSL的英文全稱是“Secure Sockets Layer”,中文名為“安全套接層協議 ”,它是網景(Netscape)公司提出的基於 WEB 應用的安全協議。
SSL協議指定了一種在應用程序協議(如HTTP、Telnet、NNTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。
VPN SSL200設備網關適合應用於中小企業規模,滿足其企業移動用戶、分支機構、供應商、合作伙伴等企業資源(如基於 Web 的應用、企業郵件系統、文件服務器、C/S 應用系統等)安全接入服務。企業利用自身的網絡平台,創建一個增強安全性的企業私有網絡。SSL VPN客戶端的應用是基於標准Web瀏覽器內置的加密套件與服務器協議出相應的加密方法,即經過授權用戶只要能上網就能夠通過瀏覽器接入服務器建立SSL安全隧道。
5.網絡層安全協議IPSec
IPSec由IETF制定,面向TCMP,它為IPv4和IPv6協議提供基於加密安全的協議。
IPSec主要功能為加密和認證,為了進行加密和認證,IPSec還需要有密鑰的管理和交換的功能,以便為加密和認證提供所需要的密鑰並對密鑰的使用進行管理。以上三方面的工作分別由AH,ESP和IKE(Internet Key Exchange,Internet 密鑰交換)三個協議規定。為了介紹這三個協議,需要先引人一個非常重要的術語SA(Security Association安全關聯)。所謂安全關聯是指安全服務與它服務的載體之間的一個“連接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護。要實現AH和ESP,都必須提供對SA的支持。通信雙方如果要用IPSec建立一條安全的傳輸通路,需要事先協商好將要采用的安全策略,包括使用的加密算法、密鑰、密鑰的生存期等。當雙方協商好使用的安全策略后,我們就說雙方建立了一個SA。SA就是能向其上的數據傳輸提供某種IPSec安全保障的一個簡單連接,可以由AH或ESP提供。當給定了一個SA,就確定了IPSec要執行的處理,如加密,認證等。SA可以進行兩種方式的組合,分別為傳輸臨近和嵌套隧道。
IPSec的工作原理類似於包過濾防火牆,可以看作是對包過濾防火牆的一種擴展。當接收到一個IP數據包時,包過濾防火牆使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時,包過濾防火牆就按照該規則制定的方法對接收到的IP數據包進行處理。這里的處理工作只有兩種:丟棄或轉發。IPSec通過查詢SPD(Security Policy Database安全策略數據庫)決定對接收到的IP數據包的處理。但是IPSec不同於包過濾防火牆的是,對IP數據包的處理方法除了丟棄,直接轉發(繞過IPSec)外,還有一種,即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火牆更進一步的網絡安全性。進行IPSec處理意味着對IP數據包進行加密和認證。包過濾防火牆只能控制來自或去往某個站點的IP數據包的通過,可以拒絕來自某個外部站點的IP數據包訪問內部某些站點,也可以拒絕某個內部站點對某些外部網站的訪問。但是包過濾防火牆不能保證自內部網絡出去的數據包不被截取,也不能保證進入內部網絡的數據包未經過篡改。只有在對IP數據包實施了加密和認證后,才能保證在外部網絡傳輸的數據包的機密性、真實性、完整性,通過Internet進行安全的通信才成為可能。IPSec既可以只對IP數據包進行加密,或只進行認證,也可以同時實施二者。但無論是進行加密還是進行認證,IPSec都有兩種工作模式,一種是隧道模式,另一種是傳輸模式。
參考文章:https://blog.csdn.net/weixin_41924879/article/details/101384544