精华内容
下载资源
问答
  • 运输层安全协议
    千次阅读
    2022-02-24 19:36:18

    一、运输层广泛应用的两个安全协议

    1、安全套接字层SSL

    2、运输层安全TLS

    二、在数据传输过程中的位置

    如下图所示:

    在发送方,SSL 接收应用层的数据,对数据进行加密,然后把加了密的数据送给TCP套接字。在接收方,SSL从TCP套接字处读取数据,解密后把数据交给应用层。

    三、SSL协议

    1、SSL的应用范围:应用层使用SSL最多的就是HTTP,但SSL并非仅用于HTTP,而是可用于任何应用层的协议。

    应用程序HTTP调用SSL对整个网页进行加密时,网页上会提示用户,在网址栏原来显示http的地方,现在变成了https。 在http后面加上的s代表security,表明现在使用的是提供安全服务的HTTP协议(TCP 的HTTPS端口号是443,而不是平时使用的端口号80)。

    2、SSL提供的安全服务

    ■SSL服务器鉴别,允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥。

    ■SSL客户鉴别,SSL的可选安全服务,允许服务器证实客户的身份。

    ■加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

    3、SSL的安全会话建立过程

    1.协商加密算法

    ➊ 浏览器A向服务器B发送浏览器的SSL版本号和一些可选的加密算法。❷B从中选定自己所支持的算法(如RSA),并告知A。

    2.服务器鉴别。

    ❸服务器B向浏览器A发送包含其RSA公钥的数字证书。❹A使用该证书的认证机构CA公开发布的RSA公钥对该证书进行验证。

    3.会话密钥计算。由浏览器A随机产生一个秘密数。❺用服务器B的RSA公钥进行加密后发送给B。❻双方根据协商的算法产生共享的对称会话密钥。

    4.安全数据传输。❼ 双方用会话密钥加密和解密它们之间传送的数据并验证其完整性。如下图所示:

    更多相关内容
  • 文章首先介绍了SSH协议的体系框架及通信流程,分析了SSH安全特性,然后研究并指出了SSH协议存在的若干安全缺陷,详细分析了中间人攻击和击键时间间隔分析攻击,最后针对这两种缺陷提出了有效的改进方法。
  • 网络安全协议(三)--基本安全协议

    千次阅读 2020-10-02 17:36:39
    安全协议 是建立在密码体制基础上的一种通信协议,计算机网络或分布式系统中的参与者通过安全协议的消息步,借助于密码算法来达到密钥分配、身份认证、信息保密以及安全地完成电子交易等目的。 安全协议的目的 安全...

    安全协议
    是建立在密码体制基础上的一种通信协议,计算机网络或分布式系统中的参与者通过安全协议的消息步,借助于密码算法来达到密钥分配、身份认证、信息保密以及安全地完成电子交易等目的。

    安全协议的目的
    安全协议是一种通信协议,它的主要目的是利用密码技术实现网络通信中的密钥分发和身份认证。安全协议是网络通信安全系统的基础,是实现计算机网络安全的关键。安全协议的目标分为认证性、非否认性、可追究性、公平性四种,其中,认证性应用最为广泛和重要。

    安全协议的分类
    根据参与者以及密码算法的使用情况进行分类,可以分为七类:
    无可信第三方的对称密钥协议
    具有可信第三方的对称密钥协议
    无可信第三方的公钥协议
    具有可信第三方的公钥协议
    使用对称密钥的签名协议
    使用对称密钥的重复认证协议
    应用密码校验函数(Cryptographic Check Functions)的认证协议
    按照协议完成的功能进行划分,可以分成以下四类:
    密钥交换协议
    认证协议
    认证和密钥交换协议
    电子商务协议

    密钥交换协议
    应用密码算法的前提是通信双方具有相应的加密和解密密钥,对这些密钥进行发布或协商的协议称为密钥交换协议。通常的密码技术是用单独的密钥对每一次单独的会话加密,这个密钥称为会话密钥,因为它只在一次特殊的通信中使用。会话密钥只用于通信期间。这个会话密钥怎么到达会话者的手中是很复杂的事情。

    使用对称密码的密钥交换协议
    采用对称密码体制时,通信双方使用同一个密钥(称为秘密密钥)进行信息的加密和解密。密钥交换协议的目的是使通信双方共同拥有这个秘密密钥。因而,对密钥交换协议的安全要求包括:
    ① 秘密性:保证非法主体不能获知该秘密密钥;
    ② 完整性:保证双方拥有的是同一个秘密密钥;
    ③ 可用性:保证密钥交换协议最终可以执行结束,并且在协议执行结束后双方可以建立起秘密密钥。
    协议
    (1) A呼叫T,并请求一个与B通信的会话密钥;
    (2) T产生一随机会话密钥,并对它的两个副本加密:一个用A的密钥,另一个用B的密钥加密。T发送这两个副本给A;
    (3) A对她的会话密钥的副本解密;
    (4) A将B的会话密钥副本送给B;
    (5) B对他的会话密钥的副本解密;
    (6) A和B用这个会话密钥安全地通信。
    上述协议存在的问题
    如果M破坏了T,整个网络都会遭受损害:他有T与每个用户共享的所有秘密密钥;他可以读所有过去和将来的通信业务。他所做的事情就是对通信线路进行搭线窃听,并监视加密的报文业务。
    这个系统的另外一个问题是T可能会成为瓶颈:他必须参与每一次密钥交换

    使用公钥密码的密钥交换协议
    采用非对称秘密体制时,通信双方各拥有一对密钥,称为公开密钥和私有密钥。公开密钥可以向外界公布,由其它协议参与者用来对消息进行加密、解密或签名验证;私有密钥不对外公开,由密钥所属者用来相应地对消息进行解密、加密或签名。
    对密钥分配协议的安全要求有:
    ① 完整性:保证接收方收到的密钥确实是发送方的公开密钥;
    ② 可用性:保证密钥分配协议最终可以执行结束,并且通信双方最终可以得到对方的公开密钥。
    协议
    (1) A从KDC得到B的公开密钥。
    (2) A产生随机会话密钥,用B的公开密钥加密它,然后传给B。
    (3) B用自己的私钥解密A的信息。
    (4) A、B两人用同一会话密钥对他们的通信进行加密。

    认证协议
    当A登录进入计算机(或自动柜员机、电话银行系统、或其它的终端类型)时,计算机怎么知道并确认她是谁呢?这需要用认证协议来解决。
    传统的办法是用通行字来解决这个问题的。A先输入她的通行字,然后计算机确认这个通行字是正确的,从而推断出登录的人是A。A和计算机两者都知道这个秘密通行字,而且A每次登录时,计算机都要求A输入通行字。

    利用单向函数的认证
    计算机存储通行字的单向函数而不是存储通行字。这样,认证过程就是:
    (1) A将她的通行字传送给计算机。
    (2) 计算机完成通行字的单向函数计算。
    (3) 计算机把单向函数的运算结果和它以前存储的值进行比较。
    用单向函数加密的通行字文件还是脆弱的
    字典式攻击
    Salt是使这种攻击更困难的一种方法。
    Salt是一种随机字符串,与通行字连接在一起,再用单向函数对其运算。然后将Salt值和单向函数运算的结果存入主机数据库中。

    SKEY认证
    SKEY是一种认证程序,又称为一次性通行字系统(One-Time Password System),依赖于单向函数的安全性,采用MD4或MD5算法。

    采用公开密钥密码的认证
    基本协议:
    (1) 主机发送一个随机字符串给A;
    (2) A用她的私钥对此随机字符串加密,并将此字符串和她的名字一起传送回主机;
    (3) 主机在它的数据库中查找A的公开密钥,并用公开密钥解密;
    (4) 如果解密后的字符串与主机在第一步中发送给A的字符串匹配,则允许A访问系统。
    安全的身份证明协议:
    (1) A根据一些随机数和她的私钥进行计算,并将结果传送给主机;
    (2) 主机将一不同的随机数传送给A;
    (3) A根据这些随机数(她产生的和她从主机接收的)和她的私钥进行一些计算,并将结果传送给主机;
    (4) 主机用从A那里接收来的各种数据和A的公开密钥进行计算,以此来验证A是否知道自己的私钥;
    (5) 如果她知道,则她的身份就被证实了。

    用联锁协议互相认证
    假设A和B是想要互相认证的两个用户。他们每人有一个另一人知道的通行字:A的通行字是PA,B的是PB。
    (1) A和B交换公开密钥;
    (2) A用B的公开密钥加密PA,并将它传送给B;
    (3) B用A的公开密钥加密PB,并发送给A;
    (4) B解密他在第(2)步中接收的信息,并验证它是否正确;
    (5) A解密她在第(3)步中接收的信息,并验证它是否正确。
    前述的协议是不安全的,因为M可以成功发起“中间人攻击” :
    (1) A和B交换公开密钥。M截取这两个报文,他用自己的公开密钥代替B的,并将它发送给A。然后,他又用他的公开密钥代替A的,并将它发送给B;
    (2) A用“B”的公开密钥对PA加密,并发送给B。M截取这个报文,用他的私钥对PA解密,再用B的公开密钥加密,并将它发送给B;
    (3) B用“A”的公开密钥对PB加密,并发送给A。M截取它,用他的私钥对PB解密。再用A的公开密钥对它加密,并发送给A;
    (4) A对PB解密,并验证它是正确的;
    (5) B对PA解密,并验证它是正确的。

    SKID协议
    SKID2和SKID3是为RACE(欧洲高级通信技术与开发)的RIPE(完整性基本评估)项目开发的对称密码识别协议。它们都采用MAC来提供安全性,并且SKID2和SKID3两个协议都假设A和B共享同一秘密密钥K。
    在SKID2中,允许B向A证明他的身份。下面是这个协议的过程:
    (1) A选用随机数RA(RIPE文件规定64比特的数),并将它发送给B;
    (2) B选用随机数RB(RIPE文件规定64比特的数),将下面的数发送给A:
    RB,HK(RA,RB,B)->A
    (3) HK是MAC(RIPE文件建议的RIPE-MAC函数)。B是B的名字。
    (4) A计算HK(RA,RB,B),并和她从B那里接收到的信息比较,如果结果一致,那么A知道她正与B通信。
    SKID3提供了A和B之间的相互认证。第(1)步到第(3)步与SKID2是一样的,以后的协议按下面进行:
    (1) A向B发送:
    (2) HK(RB,A)->B
    (3) B计算HK(RB,A),并将它与从A那里收到的比较,如果相同,那么B相信他正与A通信。
    这个协议对中间人攻击来说是不安全的。一般地,中间人攻击能够击败任何不包括某些秘密的协议。

    信息认证
    采用信息进行认证时,需要解决的问题是,当B从A那里接收信息,他怎么判别接收到的信息是可信的呢?解决这个问题的一个办法是使用签名技术,如果A对自己的信息进行签名,就能够使B相信信息的来源。

    认证和密钥交换协议
    认证和密钥交换协议综合利用密钥交换和认证,以解决一般的计算机问题:A和B分别坐在网络的两端,他们想安全地交谈。A和B怎么交换秘密密钥呢?他们中的每个人怎么确信他们当时正在同对方交谈而不是同M谈话呢?
    相关符号:
    在这里插入图片描述
    简单对称密钥管理协议
    协议过程
    (1) A将时间标记TA连同B的名字和随机会话密钥K一起,用她和T共享的密钥对整个报文加密。她将加了密的报文和她的身份A一起发送给T:
    A,EA(TA,B,K)->T
    (2) T解密从A来的报文。然后将一个新的时间标记TB连同A的名字和随机会话密钥一起,用他与B共享的密钥对整个报文加密,并将它发送给B:
    EB(TB,A,K)->B
    在这里插入图片描述
    带随机数的对称密钥管理协议
    假定A和B两人各与T共享一秘密密钥。协议过程:
    (1) A,RA->B
    (2) B,EB(A,RA,RB)->T
    (3) EA(B,K,RA,RB),EB(A,K)->A
    (4) EB(A,K),EK(RB)->B
    (5) B用他的密钥解密报文,提取K,并确认RB与他在第(2)步中的值一样。
    在这里插入图片描述
    带随机数的对称密钥协议的改进
    这个协议由Roger Needham和Michael Schroeder发明,也采用对称密码和T。协议过程如下:
    (1) (A,B,RA)->T
    (2) EA(RA,B,K,EB(K,A))->A
    (3) EB(K,A)->B
    (4) EK(RB)->A
    (5) EK(RB-1)->B
    (6) B用K对信息解密,并验证它是RB-1。
    在这里插入图片描述
    带索引的对称密钥协议
    在这里插入图片描述
    带时间标记的对称密钥协议
    也称为Kerberos协议,是一种Needham-Schroeder协议,面向开放系统的,可以为网络通信提供可信第三方服务的认证机制。协议内容为:
    (1) A,B->T
    (2) EA(T,L,K,B),EB(T,L,K,A)->A
    (3) EK(A,T),EB(T,L,K,A)->B
    (4) EK(T+1)->A
    在这里插入图片描述
    带时间标记和同步的协议
    也称为Neuman-Stubblebine协议。不管是由于系统缺陷还是由于破坏,时钟可能变得不同步。如果时钟不同步,这些协议的大多数可能受到攻击。如果发送者的时钟比接收者的时钟超前,M能够截取从发送者来的报文,当时间标记变成接收地当前时间时,M重放报文。这种攻击叫做隐瞒重放,并有使人气愤的结果。
    这个协议是Yahalom协议的增强,下面是协议过程:
    (1) A,RA->B
    (2) B,RB,EB(A,RA,TB)->T
    (3) EA(B,RA,K,TB),EB(A,K,TB),RB->A
    (4) EB(A,K,TB),EK(RB)->B
    (5) B解出用他的密钥加密的消息,提出密钥K,并确认TB和RB与它们在第(2)步中有相同的值。
    在这里插入图片描述
    这个协议的好处是:在预先确定的时间内,A能够用从T那里接收的消息与B作后续的认证。假设A和B完成了上面的协议和通信,然后终止连接,A和B也不必依赖T,就能够在3步之内重新认证。
    (1) A将T在第(3)步发给她的信息和一个新的随机数送给B。
    (2) B发给A另一个新的随机数,并且A的新随机数用他们的会话密钥加密。
    (3) A用他们的会话密钥加密B的新随机数,并把它发给B。
    重新认证过程:
    在这里插入图片描述
    分布式认证安全协议
    分布式认证安全协议(DASS)是由数字设备公司开发的,也提供相互认证和密钥交换。与前面的协议不同,DASS同时使用了公开密钥和对称密码。A和B每人有一个私钥,T有他们公钥签名的副本。
    协议过程:
    (1) B->T
    (2) ST(B,KB)->A
    (3) EK(TA),SKA(L,A,KP),SKP(EKB(K))->B
    (4) A->T
    (5) ST(A,KA)->B
    (6) EK(TB)->A
    (8) A用K解密TB以确认消息是当前的。
    在这里插入图片描述
    带T的公开密钥认证协议
    也称为Denning-Sacco协议,这个协议也使用公开密钥密码。T保存每个人的公开密钥数据库。
    (1) A发送一个有关她和B的身份消息给T:
    A,B->T
    (2) T把用T的私钥T签名的B的公钥KB发给A。T也把用T的私钥T签名的A自己的公钥KA发给A。
    ST(B,KB),ST(A,KA)->A
    (3) A向B传送随机会话密钥、时间标记(用她自己私钥签名并用B的公钥加密)和两个签了名的公开密钥。
    EB(SA(K,TA)),ST(B,KB),ST(A,KA)->B
    (4) B用他的私钥解密A的消息,然后用A的公钥验证她的签名。他检查以确认时间标记仍有效。
    在这里插入图片描述
    带T和随机数的公开密钥认证协议
    协议过程:
    (1) A,B->T
    (2) ST(KB)->A
    (3) EKB(A,RA)->B
    (4) A,B,EKT(RA)->T
    (5) ST(KA),EKB(ST(RA,K,A,B))->B
    (6) EKA(ST(RA,K,A,B),RB)->A
    (7) EK(RB)->B
    (8) B解密他的随机数,并验证随机数有没有改变。

    在这里插入图片描述
    秘密共享
    Blakley和Shamir分别于1979年独立地提出了秘密共享的概念,并分别设计了具体的体制。秘密共享体制为密钥管理提供了一个非常有效的途径,在政治、经济、军事、外交中得到了广泛应用。
    秘密共享的一般思想是:
    为了解密一种秘密,需要多方协作才能完成。某个人只有自己的密钥还不够,还需要另外的一些帮助才能获取整个秘密。结果是:可以设计复杂的方案,方案明确指定哪些人必须相互协作,才可以解密特定消息。

    基于秘密共享的协议
    Shamir门限方案
    Shamir的方法是将一个含有秘密的数据D(例如,密码系统中的密钥,保险柜的号码组合等)分成n块D1,… Dn,并满足下面的要求:
    知道任意k个或更多的Dj,就能够有效地计算出D;
    知道任意k-1个或更少的Dj,由于信息不够,不可能有效地计算出D。
    Shami称这种方法为(k,n)门限方案。
    Asmuth-Bloom门限方案
    1980年,Asmuth和Bloom提出了一种基于中国剩余定理的( k,n)门限方案。
    Asmuth和Bloom设计了一个有效的重新构造D的算法,其运算量是O(k),存储量O(n)。因此,他们的方案渐进的更有效于前述的Shamir多项式方案,回忆Shamir的门限方案所需要的工作量是O(k log2k)。当然在D值不大的情形,这两个方案区别不大。

    秘密共享的例子
    有骗子的秘密共享:
    来自外部的人员窃取内部人员的“影子”:上校A和B与M正坐在掩体中。M假装也是上校,他并没有合法的“影子”,而其他人都没有办法识破。同样要求发射导弹的消息从总统那里来了,并且每人都出示了他们的“影子”,“哈,哈!”M说,“我伪造了从总统那里来的消息,现在我知道你们两人的‘影子’了”。
    没有T的秘密共享:
    在五个官员中必须要有三个人同时插入他们的钥匙,才能打开银行的金库。没有人知道整个秘密,也没有裁判者T来把秘密分成5部分,而是使用一种五个官员可以恢复秘密的协议。通过这个协议,每人分得一部分秘密,而官员们在重构秘密之前,无人知道这个秘密。
    不暴露共享的共享秘密:
    上述方案有一个问题,就是当每个人聚到一起重构秘密时,就可能暴露他们自己的秘密。
    其实可以采用这种方法避免出现这种情况:如果最终的共享秘密是私钥(例如对数字签名),那么n个共享者中的每一个都可以完成文件的一部分签名。在第n部分签名后,文件已经用共享的私钥签名,并且共享者中没有人了解任何其它人的秘密。
    可验证的秘密共享:
    假设T给A、B、C和D每人分配了一部分秘密。他们中的任何人想知道他们是否持有有效秘密部分,唯一的办法就是尝试着去重构秘密。假设T发给B一个假的共享秘密,或者由于通信错误,B偶然接收到一个坏的共享秘密。因此要求可验证的秘密共享方案能够允许他们中的每个人分别验证自己持有一个有效的共享秘密,而不用重构这个秘密。

    数据库的密码保护
    数据库安全的重要性
    首先,数据库安全对于保护组织的信息资产非常重要。
    其次,保护数据库系统所在网络系统和操作系统非常重要,但仅仅如此远不足以保证数据库系统的安全。
    此外,数据库安全的不足不仅会损害数据库本身,而且还会影响到操作系统和整个网络基础设施的安全。
    最后,数据库是电子商务、电子政务、ERP等关键应用系统的基础,它的安全也是这些应用系统的基础。
    数据库的安全问题
    在这里插入图片描述

    展开全文
  • 传统的http协议,存在被监听、劫持等安全风险,故众多浏览器都已经http协议标记为“不安全”。尤其是谷歌Chrome浏览器对“不安全”的提示最为明显,360浏览器、搜狗浏览器等次之。未使用https协议的网站提示不安全该...

    传统的http协议,存在被监听、劫持等安全风险,故众多浏览器都已经http协议标记为“不安全”。尤其是谷歌Chrome浏览器对“不安全”的提示最为明显,360浏览器、搜狗浏览器等次之。

    87809e8a823d16748d005318c43fa237.png

    未使用https协议的网站提示不安全

    该问题已经严重影响了网站访问者,对网站的信任。如不解决,就连搜索引擎收录也不是那么友好。有的流量高的网站,偶发跳转其他网站的问题,而且往往出现跳转的都是一些垃圾网站。在经过对程序作了详细检查后,发现程序并无问题,检查域名解析,也并无问题,服务器也并未中毒,且服务器防护措施良好。

    52326cd2465cce1236eccf95b63913b0.png

    服务器示例配图

    这种情况,就要考虑是http协议的安全问题了,一句话,该更换https协议了。在我们直接使用https协议的时候,往往会发现网么网站无法访问,要么会出现证书无效https打上一条红色的删除线。而且会提示“不安全”、“危险”、“您与网站之间的链接并非安全”等字样。

    f5dcd5500c3f08e8ab2e912776886723.png

    网址被拦截的提示

    这种的,当然是要安装SSL证书的。因为https协议是基于SSL证书的,没有SSL证书,是无法正常使用https协议的。ssl证书选择是比较关键的,目前,市面上的SSL证书品牌较多,在此,笔者以三种国际知名证书品牌作为例子,讲述证书如何选择。

    e23666230a68d6bc167415c3d5f054ca.png

    https示例配图

    三种分别为Symantec、GeoTrust、Comodo。笔者根据个人经验,得出以下结论,当然代表个人观点:Symantec是一种较为高端的证书,适合银行、大型商务网站、交易类网站等;GeoTrust是一种中端证书,适合中小型企业、入门类网站等;Comodo是一种较为低端的证书,适合学习型网站和测试型。

    9b1016b53054705e3d06bad7fb3d6bf5.png

    ssl示例配图

    而每个品牌又有多个版本。可以概括为DV版、OV版、EV版,DV版是域名型,主要是验证域名所有权,将证书颁发给该域名,因此只有拥有域名所有权,就可以有域名证书。OV是组织验证型证书,认证必须有企业或组织资质,验证组织身份之后,颁发证书,证书是颁发给该组织,并绑定该域名,仅供该组织的该域名使用该证书。申请OV证书之后,在证书中不但可以看到使用的域名,而且可以查到该组织的组织名称和所在地理位置。

    1069a319ef041fe7d9a5583317626f52.png

    OV证书示例

    而EV是一种最高级证书,使该证书,不但我们可以对连接加密,而且会在浏览器地址栏显示公司名称。其他验证方式和OV一样,也是颁发给组织,供该组织的特定域名所有。另外对于通配符证书、多域名证书等,每个品牌和版本都有不用的类型,在此不一一列举。随后笔者在此会详细解释。

    f51c79d9a50801d3a1bb76dd1248aa13.png

    EV证书示例

    由此可见,安装SSL证书,可以完美解决谷歌Chrome浏览器提示“不安全”的问题。笔者认为,在未来,越来越多的互联网运营者会使用SSL证书,https协议必将取代http协议。同时,笔者也建议没有使用https的网站尽快使用https协议,尽快摆脱http协议的安全风险。

    展开全文
  • 应用层安全协议 1 2 安全表示法 协议设计 3 4 知识点应用层安全协议 高层安全协议结构 如图5-6所示ISO/IEC 10745提供了高层安全协议的通用构建工具和协议组件的模型根据该模型为实现应用层安全协议需要提供以下两类...
  • 基于TCP/IP协议簇的安全架构

    千次阅读 2021-10-24 10:48:40
    文章目录SNMPPGPS/MIMESSLTLSIPsecPPPPPTPL2F SNMP 简单网络管理协议(Simple Network Management Protocol)是专门设计用于在 IP 网络管理网络节点...安全的多用途网际邮件扩充协议(Secure Multipurpose Intern..

    在这里插入图片描述
    注意上图虚线框内的隧道协议
    隧道协议存在多种可能的实现方式,按照工作的层次,可分为两类:一类是二层隧道协议,用于传输二层网络(数据链路层)协议,它主要应用于构建拨号VPN(Access VPN);另一类是三层隧道协议,用于传输三层网络(网路层)协议,它主要应用于构建内部网VPN(Intranet VPN)和外联网(VPN Extranet VPN)。如IPSec属于第三层隧道协议。

    SNMP(简单网络管理协议)

    简单网络管理协议(Simple Network Management Protocol)是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。25端口
    SNMP

    PGP(优良保密协议)

    优良保密协议(Pretty Good Privacy)是一套用于消息加密、验证的应用程序。PGP加密由一系列散列、数据压缩、对称密钥加密,以及公钥加密的算法组合而成。

    MIME(多用途互联网邮件扩展类型)

    多用途互联网邮件扩展类型(Multipurpose Internet Mail Extensions)。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。它是一个互联网标准,扩展了电子邮件标准,使其能够支持:非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(multiple parts)组成的消息体;包含非ASCII字符的头信息(Header information)。

    S/MIME(安全的多用途网际邮件扩充协议)

    安全的多用途网际邮件扩充协议(Secure / Multipurpose Internet Mail Extensions)是从PEM (Privacy Enhanced Mail)和MIME(Internet邮件的附件标准)发展而来的。S/MIME是利用单向散列算法(如SHA-1、MD5等)和公钥机制的加密体系。 S/MIME的证书格式采用X.509标准格式。S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书均由上一级的组织负 责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系是树状结构的。另外,S/MIME将信件内容加密签名后作为特殊的附件传送

    PEM(隐私增强邮件)

    隐私增强邮件(Privacy Enhanced Mail),PEM的验证系统采用公开密钥鉴别机制。发送者利用其专用密钥对消息加上数字签名。这个数字签名还提供不可否认的特征。发送者可以使用接收者的公开密钥对整个消息进行加密以使这个消息具有信任度。然后,只有指定的接收者才能阅读这个消息。PEM的未来版本也将支持多功能Internet函件扩展标准(MIME)。OpenSSL 使用 PEM 文件格式存储证书和密钥。PEM 实质上是 Base64 编码的二进制内容,再加上开始和结束行,如证书文件的
    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----
    。在这些标记外面可以有额外的信息,如编码内容的文字表示。文件是 ASCII 的,可以用任何文本编辑程序打开它们。

    SSH(安全外壳协议)

    安全外壳协议(Secure Shell),由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。22端口
    SSH

    X.509(公钥证书的格式标准)

    X.509是密码学里公钥证书的格式标准。 X.509 证书己应用在包括TLS/SSL在内的众多 Internet协议里。同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书,证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名。另外除了证书本身功能,X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。
    X.509

    S-HTTP(安全超文本传输协议)

    安全超文本传输协议(Secure hypertext transfer protocol)是应用安全套接层协议(SSL)或安全传输层协议(TLS)作为HTTP应用层子层。

    HTTPS(超文本传输安全协议)

    超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
    HTTPS

    S-HTTP和HTTPS的区别

    S-HTTP和HTTPS都是在90年代中期所推出,由于HTTPS是由网景(Netscape)所开发,相对于S-HTTP,其更受一些主流厂家的推崇。S-HTTP和HTTPS的主要区别是在于S-HTTP 是工作于应用层的协议,而HTTPS是在传输层使用SSL的HTTP。
    S-HTTP仅仅提供了数据的加密机制,比如服务页面的数据,以及用户提交的数据(比如post),其余的协议部分是和原来HTTP是一样的。因此,S-HTTP是可以和传统的HTTP(未加密)同时使用,并且采用同一个端口号的。
    在HTTPS中,由于整个通信过程都是基于SSL的,即加密时在任何协议数据被传输之前就开始建立的。故HTTPS需要一个单独的端口号(比如HTTP是80,而HTTPS是443)。

    DNSSEC(域名系统安全扩展)

    域名系统安全扩展(Domain Name System Security Extensions)是Internet工程任务组(IETF)的对确保由域名系统 (DNS)中提供的关于互联网协议 (IP)网络使用特定类型的信息规格包。它是对DNS提供给DNS客户端(解析器)的DNS数据来源进行认证,并验证不存在性和校验数据完整性验证,但不提供或机密性和可用性。DNS用53端口。
    DNSSEC

    SSL(安全套接字协议)

    安全套接字协议(Secure Sockets Layer),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。SSL协议比 IPSEC 协议的优势在于:实现简单、易于配置。SSL是在网络应用层和传输层之间提供加密方案的协议。 默认端口443。
    SSL的体系结构中包含两个协议子层,其中底层是SSL记录协议层(SSL Record Protocol Layer);高层是SSL握手协议层(SSL HandShake Protocol Layer)。
    SSL记录协议层
    为 SSL 连接提供两种服务:机密性和报文完整性,所有的传输数据都被封装在记录中,记录由记录头和长度不为0的记录数据组成。
    SSL握手协议层
    被封装在记录协议中,其报文头包括类型、长度、内容三个字段。
    SSL协议在运行过程中可分为六个阶段:
    ① 建立连接阶段:客户通过网络向服务商打招呼,服务商回应; ② 交换密码阶段:客户与服务商之间交换双方认可的密码; ③ 会谈密码阶段:客户与服务商之间产生彼此交谈的会谈密码; ④ 检验阶段:检验服务商取得的密码; ⑤ 客户认证阶段:验证客户的可信度; ⑥ 结束阶段:客户与服务商之间相互交换结束信息。
    SSL

    TLS(安全传输层协议)

    安全传输层协议(Transport Layer Security)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
    TLS

    TCP(传输控制协议)

    传输控制协议(Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。
    TCP是一种面向广域网的通信协议,目的是在跨越多个网络通信时,为两个通信端点之间提供一条具有下列特点的通信方式:
    (1)基于流的方式;
    (2)面向连接;
    (3)可靠通信方式;
    (4)在网络状况不佳的时候尽量降低系统由于重传带来的带宽开销;
    (5)通信连接维护是面向通信的两个端点的,而不考虑中间网段和节点。
    TCP

    UDP(用户数据包协议)

    用户数据包协议(User Datagram Protocol) 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。UDP传输的段(segment)有8个字节的报头和有效载荷字段构成。UDP报头由4个域组成,其中每个域各占用2个字节,具体包括源端口号、目标端口号、数据包长度、校验值。UDP在IP报文的协议号是17。常用的UDP端口号有:53(DNS)、69(TFTP)、161(SNMP),使用UDP协议包括:TFTP、SNMP、NFS、DNS、BOOTP。
    UDP

    IPsec(互联网安全协议)

    互联网安全协议(Internet Protocol Security),是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。 IPsec主要由以下协议组成:
    一、认证头(AH,Authentication Header) ,为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。AH不支持数据加密。AH常用摘要算法(单向Hash函数) MD5和SHA1实现摘要和认证,确保数据完整;

    二、封装安全载荷(ESP,Encapsulated Security Payload) ,提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;

    三、安全关联(SA,Security Association),也叫安全联盟,提供算法和数据包,提供AH、ESP操作所需的参数。在两台IPsec路由器交换数据之前就要建立一种约定,这种约定就称为SA,安全关联是单向的,在两个使用IPsec的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。SA包含了安全参数索引(Security Parameter Index, SPl) 、IP目的地址安全协议(AH或者ESP)三个部分。安全关联有两种类型:传输模式和隧道模式。传输模式安全关联是两台主机间的安全关联。隧道模式安全关联是运用于IP隧道的安全关联。

    四、网络密钥交换协议(IKE,Internet key exchange),提供对称密码的钥匙的生存和交换。它属于一种混合型协议,由Internet安全关联和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP)与两种密钥交换协议(OAKLEY与SKEME)组成,即IKE由ISAKMP框架、OAKLEY密钥交换模式以及SKEME的共享和密钥更新技术组成。IKE定义了自己的密钥交换方式(手工密钥交换和自动IKE)。注意: ISAKMP只对认证和密钥交换提出了结构框架,但没有具体定义,因此支持多种不同的密钥交换。IKE使用了两个阶段的ISAKMP: 1、协商创建一个通信信道(IKE SA)并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性及消息源验证服务; 2、使用已建立的IKE SA建立IPsec SA 。
    在这里插入图片描述
    图中(a)、(b)、(c )、(d)为不同类型IPSec数据包的示意图,其中(c )和(d)工作在隧道模式;(b)和(d)支持报文加密。
    解析:IPSec的两种工作模式分别是传输模式和隧道模式。传输模式下AH、 ESP处理后IP头部不变,而隧道模式下AH、ESP处理后需要新封装一个新的IP头。AH只作摘要,因此只能验证数据完整性和合法性;而ESP既做摘要,也做加密,因此除了验证数据完整性和合法性之外,还能进行数据加密。
    (d)详解为:
    在这里插入图片描述
    IPsec

    ICMP(Internet控制报文协议)

    Internet控制报文协议(Internet Control Message Protocol)。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。ICMP报文是封装在IP数据报内传输。由于IP数据报首部校验和并不检验IP数据报的内容,因此不能保证经过传输的ICMP报文不产生差错。
    “Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。(操作系统已经取消了发送ICMP数据包的大小的限制,解决了这个漏洞)此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。对于“Ping of Death”攻击,可以采取两种方法进行防范:第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。

    PPP(点对点协议)

    点对点协议(Point to Point Protocol)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。PPP具有以下功能:
    (1)PPP具有动态分配IP地址的能力,允许在连接时刻协商IP地址;
    (2)PPP支持多种网络协议,比如TCP/IP、NetBEUI、NWLINK等;
    (3)PPP具有错误检测能力,但不具备纠错能力,所以ppp是不可靠传输协议;
    (4)无重传的机制,网络开销小,速度快。
    (5)PPP具有身份验证功能。
    (6) PPP可以用于多种类型的物理介质上,包括串口线、电话线、移动电话和光纤(例如SDH),PPP也用于Internet接入。
    PPP

    PPTP(点对点隧道协议)

    点对点隧道协议(Point-to-Point Tunneling Protocol)是一种协议(一套通信规则),它允许企业通过私人“隧道”在公共网络上扩展自己的企业网络。是实现虚拟专用网(VPN)的方式之一。PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据。这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。
    PPTP

    L2TP(第二层隧道协议)

    第二层隧道协议(Layer 2 Tunneling Protocol)是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。L2TP的封装格式为PPP帧封装L2TP报头,再封装UDP报头,再封装IP头。他们都传输PPP帧,但PPTP只适于IP网, L2TP既适于IP网也适于非IP网。
    L2TP

    L2F(第二层转发协议)

    第二层转发协议(Layer 2 Forwarding Protocol),创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密。L2F是专为隧道点对点协议(PPP)通信。

    VPN基本原理

    在这里插入图片描述
    VPN的组成部分:由客户机、传输介质(采用“隧道”技术)和服务器组成。企业内部网中必须配置一台VPN服务器,一方连接企业内部专用网络,另一方面连接Internet。

    在这里插入图片描述

    展开全文
  • 这里先为懂的童鞋讲解一下SSL和TSL协议,SSL(Secure Sockets Layer 安全套接字协议),及其继任者TLS(Transport Layer Security,安全传输层协议)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输...
  • 网络安全协议(一)

    千次阅读 2020-10-02 16:02:12
    网络 是由两台以上计算机连在一起组成的“计算机群”,再加上相应“通信设备”组成的综合系统。...通信协议:通信规则(无协议的两台设备可以连接但无法通信,如同讲不同语言的两人无法对讲) B.另一种分类法:
  • (八)安全协议简介

    千次阅读 2021-05-22 08:12:29
    安全协议 TCP/IP含有漏洞,所以为保证信息安全,在各种层次上产生各种安全协议安全协议是建立在密码体制基础上的一种通信协议,计算机网络或分布式系统中的参与者借助于密码算法来提供密钥分配、身份认证、信息...
  • 安全视角下的CAN协议分析

    千次阅读 2021-11-22 08:22:28
    协议于1986年美国密歇根州底特律市举行的国际汽车工程师学会(SAE)会议上正式发表。第一个CAN控制芯片,由英特尔和飞利浦生产,并且于1987年发布。 世界上第一台装载了基于CAN的多重线系统的汽车是1991年推出的...
  • 网络安全协议

    千次阅读 2019-06-29 23:16:48
    文章目录安全协议网络安全协议概述产生安全协议的原因网络安全协议所需要具有的功能安全协议体系结构安全协议体系结构详细介绍IPsec协议IPsec重要协议安全关联传输方式隧道模式IPsec组成IPsec的AH和ESPIPsec的IKE...
  • 传统的http协议,存在被监听、劫持等安全风险,故众多浏览器都已经http协议标记为“不安全”。尤其是谷歌Chrome浏览器对“不安全”的提示最为明显,360浏览器、搜狗浏览器等次之。未使用https协议的网站提示不安全该...
  • 目前大多数网站和app的接口都是采用http协议,但是http协议很容易就通过抓包工具监听到内容,甚至可以篡改内容,为了保证数据被别人看到和修改,可以通过以下几个方面避免。 重要的数据,要加密,比如用户名密码...
  • 应用层安全协议的五个种类

    千次阅读 2020-03-11 16:07:51
    应用层安全协议 五个种类 http PGP S/MIME RSA DES Kerberos
  • 计算机网络 互联网使用的安全协议

    千次阅读 2020-12-16 21:30:40
    网络层安全协议 IP 安全性很差: 没有为通信提供良好的数据源鉴别机制; 没有为数据提供强大的完整性保护机制; 没有为数据提供任何机密性保护; 在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者...
  • TCP/IP协议栈常见的安全风险

    千次阅读 2020-06-08 11:23:10
    应用层 内容安全 传输层 TCP/UDP拒绝服务攻击、端口扫描 网络层 IP欺骗、地址扫描 数据链路层 MAC欺骗/洪泛、ARP欺骗 物理层 设备破坏、链路侦听
  • 安全多方计算(Secure Multi-Party Computation,SMPC)一直是我们的重点研究内容,其相关理论和技术满足了如隐私保护、区块链、机器学习等诸多前沿领域的安全计算需求,其实践化研究更是当前信息技术发展的总体趋势...
  • 安全系列之介绍Kerberos认证协议

    千次阅读 多人点赞 2020-05-23 21:16:47
    一直以来Kerberos都是应用广泛的强/集群安全/网络身份验证/协议,虽然讲解资料也不少,但和HDFS一样很少有讲通的,很多都是使用kerberos原始论文的概念直接塞给读者,造成很多概念闭塞难懂。或者是讲故事买门票坐...
  • 文章目录一、WEP(有线等效保密)二、WPA(Wi-Fi网络安全接入)三、WAPI(无线局域网鉴别和保密基础结构) WLAN是Wireless Local Area Network的简称,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和...
  • 针对Nginx SSL协议进行安全加固

    千次阅读 2022-03-04 14:04:31
    Nginx SSL协议进行安全加固 nginx开启openssl模块 /bin/sh: line 2: ./config: No such file or directory make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127 make[1]: Leaving directory `...
  • IPsec并是一个单一协议,而是能够在IP层提供互联网通信安全协议族。IPsec并没有限定用户必须使用何种特定的加密和鉴别算法。实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数(例如:密钥长度)。...
  • HTTP协议及其安全隐患

    千次阅读 2020-03-18 13:20:18
      在TCP/IP协议栈中,应用层包含很多的协议,其中应用最为广泛的协议被称之为HTTP协议。在日常生活中使用HTTP协议十分广泛,比如在访问网站的时候,使用的协议就是HTTP协议。 HTTP协议   HTTP是一个基于请求与...
  • 目录 O、术语 一、背景: ...七、Modbus协议安全性分析 7.1Modbus 协议的固有问题 7.2协议实现产生的问题 7.3安全建议 八、Modbus 90功能码的研究 写在前面:本博客主要结合网上资源以及本...
  • https(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI...
  • 之前不求甚解,只知道SSH可以进行远程连接,清楚Telnet,其实学过FTP,看到SFTP,也没去看他们到底区别在哪里,Shell编程学了一点也系统,感觉好多要学。今天先来学习Telnet和SSH协议。 Telnet 简介 Telnet...
  • 一、互联网安全协议概述1.1 互联网协议体系TCP/IP协议的体系结构IP数据报格式及TCP/UDP报文段格式 Web技术构成:HTTP协议、HTML标记语言。 TCP/IP协议栈中安全机制的相对位置:网络层、运输层和应用层。1.2 互联网...
  • 什么是HTTP?为什么是不安全的?

    千次阅读 多人点赞 2020-01-21 18:54:22
    我们在输入网址的时候一般是www.baidu.com,浏览器都会自动帮我们加上HTTP或者HTTPS这样的前缀,国内...了解HTTPS之前需要先了解HTTP,知道了HTTP的局限,才能掌握HTTPS安全的本质。 基本概念 在TCP/IP网络协...
  • UDP协议及其安全隐患

    千次阅读 2020-03-18 11:47:29
    UDP协议 UDP协议是TCP/IP协议栈中传输层另外一个中要的协议。 UDP协议的消息格式 源端口和目的端口也是用来标志应用程序 ...UDP协议不存在序列号和确认好号,如果在从发送方到接收方的传递过程中出现数据报的 丢...
  • 网络安全:ARP和IP协议

    千次阅读 2022-03-25 17:01:40
    本文根据网络分层,对ARP和IP协议进行安全分析。 一、ARP ARP是数据链路层的协议,执行32位IP地址和48位MAC地址的转换。 1.ARP功能 从数据包的角度,可以分为以下步骤: 主机 A 希望与主机B通信,但是只知道主机B...
  • 深度学习之SSL安全协议详解

    千次阅读 2019-04-19 13:29:41
    "SSL"协议对于黑客技术学习,是必须要掌握的,因为它在很多应用通信中无处不在。 "SSL"这个名词,可能大家没怎么听说过,但是它的一个应用大家肯定都熟悉,那就是"HTTPS"! HTTPS是基于SSL安全连接的HTTP协议。HTTPS...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 374,849
精华内容 149,939
关键字:

以下协议哪个是不安全的