证。如果收发双方使用的是单钥体制,那他们就使用同一密钥;如果收发双方使用的是公钥 已经被事先计算好。发送方用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验
体制,那他们就使用不同的密钥 IP ESP的基本想法是对整个IP包进行封装,或者只对ESP内上层协议的数据(运输状
态)进行封装、并对ESP的绝大部分数进行加密。在管道状态下,为当前已加密的ESP附
加了一个新的IP头(纯文本),它可以用来对IP包在 Internet上作路由选择。接收方把这个
头取掉,再对ESP进行解密,处理并取掉ESP头,再对原来的1P包或更高层协议的数据就
像普通的IP包那样进行处理 AH与ESP体制可以合用,也可以分用。不管怎么用,都逃不脱传输分析的攻击。我们
不太清楚在 Internet层上,是否真有经济有效的对抗传输分析的手段,不过,在 Internet用户
里,真正把传输分析当回事几的也是客多无几。
の、多PSP其相应的密钥管理协议的实现均基于Um系统。任何1PSP的实现都必 应协议的源码纠缠在一起,而这源码又能在Unix系统上使用,其原因大概就在于此。
但是,如果要想在 Internet上更广泛地使用和采纳安全协议,就必须有相应的MS=DOS或 Windows版本。而在这些系统上实现 Internet层安全协议所直接面临的一个问题就是,PC
上相应的实现TCPP的公共源码资源什么也没有。为克服这一困难, Wagner和 Bellovin实
现了一个 IPSEC 7模块,它像一个设备驱动程序一样工作,完全处于IP层以下。い(ath
其它通信层次和网络部件做任何改动。它的最主要的缺点是: Internet层一般对属于不同进 Internet层安全性的主要优点是它的透明性,就是说,安全服务的提供不需要应用程序
程和相应条例的包不作区别,对所有去往同一地址的包,它将按照同样的加密密钥和访问控
制策略来处理。这可能导致提供不了所需的功能,也会导致性能下降。针对面向主机的密钥
分配的这些问题,RFC1825允许(甚至可以说是推荐)使用面向用户的密钥分配,其中,不
同的连接会得到不同的加密密钥。但是,面向用户的密钥分配需要对相应的操作系统内核作
比较大的改动。虽然IPSP的规范已经基本制订完毕,但密钥管理的情况千变万化,要做的工作还很多。
尚未引起足够重视的一个重要的问题是在多播( Multicas)环境下的密钥分配问题,例如,在
Internet多播骨干网( Mbone)或IPv6网中的密钥分配问题。門、的回本(
简言之, Internet层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可
以用来在 nternet上建立安全的P通道和虚拟私有网。例如,利用它对IP包的加密和解密
功能,可以简捷地强化防火墙系统的防卫能力。事实上,许多压商已经这样做了。RSA数据
安全公司已经发起了一个倡议,来推进多家防火墙和 TCP/IP软件厂商联合开发虚拟私有
网。该倡议被称为S-WAN(安全广域网)倡议。其目标是制订和推荐 Internet层的安全协议
标准。金的
1.4.5安全的传输层、会话层和应用层 (点动)点 )足
1.4.5.1传输层的安全性
在 Internet A应用编程序中,通常使用广义的进程间通信(IPC)机制来同不同层次的安全
协议打交道。比较流行的两个IPC编程界面是 BSD Sockets和传输层界面(TL),在Unix系
统V命令里可以找到。ー国日写品磁、中武式 在 Internet I中提供安全服务的首先一个想法便是强化它的IPC界面如 BSD Sockets等,
路,制定了建立在可靠的传输服务(如 TCPXIP所提供)基础上的安全套接层协议(SSL)。具体做法包括双实体的认证,数据加密密钥的交换等31 Netscape通信公司遵循了这个思
SSL版本3(SSLv3)于1995年12月制定。它主要包含以下两个协议:も)是可的 SSL记录协议。它涉及应用程序提供的信息的分段压缩、数据认证和加密。SLy3
提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持,用来对数据进行
?SSL握手协议。用来交换版本号、加密 认证和加密的密钥可以通过SSL的握手协议来协商設知面出,国合料H 算法(相互)身份认证 并交换密钥SSLv3提
上的密钥交换机制的支持。n千必管的要论3大 供对 Deffie- Hellman密钥交换算法、基于RSA的密钥交换机制和另实现在 Fortezza Chip
Netscape通信公司已经向公众推出了S9L的参考实现(称为 Sslrel)a另免费的SSL
实现叫做 Ssleayo Sslrel(和 Ssleay均可给任何 TCP/IP应用提供SSL功能。 Internet号码 分配当局(IANA)已经为具备SSE功能的应用分配了固定端口号,例如,带SSL的HTTP
(htps)被分配以端口号443,带SSレ的SMTP( smtp)被分配以端号465带SSL的NNTP
(snp)被分配以端口号563。r江ー个ーT (微软推出了SSL版本2的改进版本,叫做PCT(私人通信技术)。至少从它使用的记录格
Most Significant Bit)上的取值有所不同:SSL该位取0,PCT该位取1这样区分之后,就可 式来看,SL和PCT是十分相似的。它们的主要差别是它们在版本号字段的最显著位(The
以对这两个协议都给以支持的亮调下前
下1996年4月,IETF授权一个传输层安全(mLS)工作组着手制定一个传输层安全协议
(TLSP),以便作为标准提案向IESG正式提交。『TLSP将会在许多地方酷似SL。刘词 我们已经看到, Internet层安全机制的主要优点是它的透明性,即安全服务的提供不要
求应用层做任何改变。这对传输层来说是做不到的原则上本任何 TCP/IP应用,只要应用
传输层安全协议,比如说SSL或PCT,就必定要进行若干修改以增加相应的功能,并使用
(稍微)不同的IPC界面。于是,传输层安全机制的主要缺点就是要对传输层IPC界面和应用
程序两端都进行修改。可是,比起 Internet层和应用层的安全机制来,这里的修改还是相当 小的。另=个缺点是,基于UDP的通信很难在传输层建立起安全机制来。同网络层安全机
制相比,传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全
服务。这之成就如果再加上应用级的安全服务,就可以再向前跨越一大步了。显与公全
1.4.5.3应用层的安全性 1.4.5,2会话层不提供安全服务(略)。(国气全支)AA 文对
网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质上
这意味着真正的(或许再加上机密的)数据通道还是建立在主机(或进程)之间,但却不可能区
分在同一通道上传输的一个个具体文件的安全性要求。比如说,如果合个主机与另一个主机
之间建立起一条安全的P通道,那么所有在这条通道上跑的IP包就都要自动地被加密。同
本文地址://www.xrqsnxx.com//article/3702.html