帆布网站做哪个,建设网站需要的人员及资金,wordpress上传服务器域名,中国建设服务信息官网安全协议 安全协议概述安全协议分类IPSecIPSec安全协议IPSec架构IPSec封装模式AH协议ESP协议SET协议SET协议电子交易模型SET协议安全目标认证中心CA 安全协议概述
安全协议是信息交换安全的核心#xff0c;它在网络不同层次上、针对不同应用#xff0c;通过对各种密码学技术… 安全协议 安全协议概述安全协议分类IPSecIPSec安全协议IPSec架构IPSec封装模式AH协议ESP协议SET协议SET协议电子交易模型SET协议安全目标认证中心CA 安全协议概述
安全协议是信息交换安全的核心它在网络不同层次上、针对不同应用通过对各种密码学技术的应用与结合为网络传输协议增加安全算法协商和数据加/解密等安全机制从而实现信息交换的安全性。数据交换中的机密性、完整性、真实性和不可否认性主要通过密码技术实现。通信双方需要在数据交换之前采用加密算法、签名算法和密钥交换算法等问题进行协商并达成一致在数据交换过程中通信双方按所达成的协议进行加密和认证处理以保证信息交换的安全性。
安全协议分类
按网络体系结构层次划分安全协议可分为
链路层安全协议局域网安全协议IEEE 802.10、虚拟局域网VLAN协议IEEE 802.1Q、点对点隧道协议PPTP、L2TP等。网络层安全协议IP安全协议IPsec等。传输层安全协议安全套接层协议SSL等。应用层安全协议安全电子邮件协议PGP、PEM、S-MIME安全超文本传输协议S-HTTP、安全电子交易协议SET、安全电子付费协议SEPP等。
IPSec
IPSec是一种开放标准的网络层安全框架结构通过使用加密为基础的安全服务以确保在IP网络上进行安全通信。比如Windows系列用的就是IETF IPSec 工作组开发的标准。安全IPSec是IETF的IPSec小组建立的一组IP安全协议集。IPSec定义在网际层使用的安全服务其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。协商IPSec的安全服务要求支持共享密钥。其必须支持手工输入密钥的方式目的是保证IPSec协议的互操作性。同时也引入密钥管理协议Internet密钥交换协议——IKE该协议可以动态认证IPSec对等体协商安全服务并自动生成共享密钥。IPSec有两个安全目标 保护IP数据包的内容通过数据包筛选和受信任通信来抵御网络攻击 IPSec协议工作在网络层使其在单独使用时可以同时保护基于TCP或UDP的协议数据。与传输层或更高层的安全协议相比IPsec协议提供的安全保护更为基础但它必须处理可靠性和分片的问题同时也增加了复杂性和处理开销。
IPSec安全协议
IPSec架构 IPSecInternet Protocol Security是一种用于保护网络通信的安全协议套件。它通过提供加密、身份验证和完整性保护等功能确保数据在传输过程中的机密性、完整性和可信性。
IPSec的架构包括以下几个主要组件 安全关联IPSec安全联盟SASecurity AssociationSA是IPSec通信的安全参数集合包括加密算法、身份验证方法、密钥管理和安全参数的生命周期等。 每个SA都有唯一的标识符用于识别通信中使用的安全参数。安全联盟是IPSec的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和ESP都要用到安全联盟IKE的一个主要功能就是建立和维护安全联盟。 访问控制列表Access Control ListACLACL用于确定哪些数据包需要进行IPSec处理。它可以基于源IP地址、目标IP地址、协议类型等条件来匹配数据包并指定相应的IPSec策略。 安全策略数据库Security Policy DatabaseSPDSPD用于存储与IPSec相关的安全策略信息包括SA的参数、ACL规则等。它决定了数据包的处理方式即是否需要进行IPSec保护。 安全关联数据库Security Association DatabaseSADSAD用于存储已建立的SA的信息包括标识符、加密算法、密钥等。在数据包传输过程中根据SA的标识符可以找到相应的安全参数。 密钥管理协议Key Management Protocol密钥管理协议用于生成、分发和更新IPSec通信所需的密钥。常见的密钥管理协议有Internet Key ExchangeIKE和Internet Security Association and Key Management ProtocolISAKMP。
IPSec可以运用于IP层或者在IP层之上的传输层提供对IP数据包的安全保护。它可以用于虚拟私有网络VPN、远程访问控制、数据中心互连等场景保障网络通信的安全性和机密性。
IPSec封装模式 隧道模式Tunnel Mode用户的整个IP数据包被用来计算AH或ESP头AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常隧道模式应用在两个安全网关之间的通信。 传输模式Transport Mode只是传输层数据被用来计算AH或ESP头AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常传输模式应用在两台主机之间的通信或一台主机和一个安全网关之间的通信。
AH协议 AH(Authentication Header) 协议AH用来向IP数据包IP 报头数据负载提供身份验证、完整性与抗重播攻击。但不提供机密性即它不对数据进行加密。数据可读但禁止修改。AH使用哈希算法签名数据包。 例如使用计算机 A 的 Alice 将数据发送给使用计算机 B 的 Bob。IP 报头、AH 报头和数据的完整性都得到保护。这意味着 Bob 可以确定确实是 Alice 发送的数据并且数据未被修改。 AH被置于IP报头与IP负载之间。在IP 报头的协议字段使用 51 来标识AH。AH可以独立使用也可以与ESP协议组合使用。
字段描述Next Header使用IP协议字段的协议标识符来标识IP负载AH Length表示AH报头的长度Reserved保留字段SPI安全参数索引与目标地址及安全协议AH或ESP组合使用以确保通信的正确安全关联Sequence Number用于该数据包的抗重放攻击Authentication Data身份与完整性认证数据
ESP协议
ESP(Encapsulated Security Payload) 协议ESP封装安全负载协议是IPsec体系结构中另一个主要协议它提供IP层加密和验证数据源以抵御网络监听保证机密性。 因为AH虽然可以保护通信免受篡改,但并不对数据进行加密。 ESP通过加密需要保护的数据以及在ESP的数据部分放置这些加密的数据来提供机密性且其加密采用对称密钥加密算法。 传输模式ESP头放置在IP头之后、上层协议头之前IP数据负载部分之前加密一个传输层的段如TCP、UDP、ICMP、IGMP隧道模式ESP头在被封装的IP头之前加密一整个的IP 数据报 封装受保护数据可以为整个原始数据报提供机密性。 IANA分配给ESP的协议标识值为50在ESP头前的协议头总是在“next head”字段IPv6或“协议”IPv4字段里包含该值 50。 ESP提供机密性、数据起源验证、无连接的完整性、抗重放和有限业务流机密性。ESP可以独立使用也可与 AH 组合使用。
字段描述SPI安全参数索引32位用来标识处理此数据包的特定安全关联Sequence Number序号32位用于抵抗重放攻击的唯一、递增序号受保护数据通过加密保护的传输层协议内容传输模式或IP包隧道模式填充用于满足加密算法对明文长度要求、保证填充长度字段和下一个头字段排列、提供部分业务流机密性填充长度填充字节的数量8位。下一个头标识受保护数据的协议标识如上层协议标识符8位。验证数据包含完整性校验值ICV的可变长度字段用于验证数据完整性。
验证数据可变完整性检查值。验证数据是可变长字段它包含一个完整性校验值ICVESP分组中该值的计算不包含验证数据本身。字段长度由选择的验证函数指定。验证数据字段是可选的只有安全联盟SA选择验证服务才包含验证数据字段。验证算法规范必须指定ICV长度、验证的比较规则和处理步骤。
SET协议
电子交易安全性一直是影响电子商务发展的主要因素之一。在开放式网络环境下, 交易过程所涉及的商业信息、个人隐私和支付资金如果不能得到有效的保护, 以电子支付为基础的网上交易就不可能得到真正的发展。SETSecurity Electronic Transaction是由世界两大信用卡组织Visa和Master Card联合Netscape、Microsoft等公司于1997年6月1日推出的基于RSA不对称密钥算法的安全电子交易标准。SET是以信用卡支付为基础, 在Internet上实现安全电子交易的技术协议和系统规范。该协议得到了IBM、微软、AOL、GTE、SAIC等众多公司的支持和IETF标准的认可, 是构建安全电子支付系统和网上交易环境的重要标准之一。 SET协议电子交易模型
基于SET的电子交易与传统信用卡购物在交易流程上十分相似但实施过程是在Internet上进行。数据传输和交易安全遵循SET规范。 在SET协议电子交易模型图中连接各交易角色的实线代表Internet虚线代表专用网。
交易前买方应在发卡银行开设信用卡帐户获取信用卡并向认证中心注册签证成为电子交易的合法用户。卖方应与信用卡收单银行签约并取得认证中心的电子证书, 成为Internet上提供商品或服务的可信商家。交易时用户通过Internet在商家Web上浏览产品目录、选择购买商品并将定单填好、确认后连同付款指令发送给商家。其中用户要对付款指令中的信用卡帐户信息用自己的公开密钥进行加密以保证商家无法看到并对全部信息进行加密和数字签名对摘要以保证定单和付款指令的安全性和有效性。商家收到订单和付款指令后验证用户身份并解密取出定单信息再将用户公钥加密的帐户信息加密和数字签名后发送给认证中心。认证中心验证商家身份并初次解密后将信息与Internet隔绝用用户的私有密钥再次解密从而获得用户信用卡帐户的明文信息然后通过专线发送给收单银行。收单银行根据收到的付款信息通过金融专用网络向发卡银行发出付款认证要求发卡银行将认证结果传回收单银行。收单银行将认证结果加密和数字签名后传回商家。商家验证收单银行身份并解密取出认证结果后将交易是否成功的消息加密和数字签名后发送给用户。用户验证商家身份并解密可得到交易是否成功的确认。若交易成功商家发送商品或提供服务然后通知收单银行请求支付收单银行将相应款项从发卡银行用户帐户中解付到商家帐户上从而完成了一次电子交易过程。
SET协议安全目标
SET协议规定电子交易时证书信息、购买信息、认可信息及划帐信息的格式和实体间消息的传输协议为不同交易软件遵循相同的传输协议和消息格式具有兼容性和互操作性提供保证。基于SET协议的电子交易系统可实现以下安全目标 信息传输的安全性信息在Internet上安全传输, 不会被窃取或篡改。用户资料的安全性商家只能看到定单, 不能看到帐户信息。多方认证解决交易中用户支付能力、商家信誉度和通信双方身份确认等一系列认证问题。
认证中心CA 为实现这些安全目标SET协议引入认证中心作为整个交易体系的核心。 认证中心CACertificate Authority是电子交易中受信任的第三方机构负责生成、颁发、撤销和管理证书提供对各个交易实体身份和密钥的认证。 根据国际电信联盟制定的X.509 标准为电子交易系统中的各个实体颁发证书。X.509证书包含版本号、证书序列号、证书有效期限、拥有者的唯一标识名、拥有者的公开密钥信息、CA的唯一标识名、CA的数字签名与签名算法等内容见PKI证书格式。
AttributeCertificate :: SEQUENCE {acinfo AttributeCertificateInfo,signatureAlgorithm AlgorithmIdentifier,signatureValue BIT STRING}AttributeCertificateInfo :: SEQUENCE {version AttCertVersion, --version is v2,holder Holder,issuer AttCertIssuer,signature AlgorithmIdentifier,serialNumber CertificateSerialNumber,attrCertValidityPeriod AttCertValidityPeriod,attributes SEQUENCE OF Attribute,issuerUniqueID UniqueIdentifier OPTIONAL,extensions Extensions OPTIONAL}在SET协议下不同的CA结点构成多个信任层次呈树型结构。如果通信实体对签发证书的CA结点本身不信任可通过回溯祖先结点的方法向上层CA验证该CA结点的身份以确定证书的有效性依此类推可一直追溯到公认权威的Root CA处。不同层次的CA结点之间也可通过回溯共同祖先结点的方法进行相互认证。这样SET协议下电子交易系统中的各种实体或角色包括CA自身都能够通过证书予以认证。
