‘郑州旅游攻略’:<浅析>Internet(上使用)的安全协议

admin 3个月前 (08-09) 科技 60 1
上周 GitHub 热点速览 vol.08:系统设计必看 The System Design Primer

Internet上使用‘<的>’安全“协议”

『网络安全是分层实』现‘<的>’,从<<应用>>层安全到数据链路层安全。

{一}、‘运输层安全“协议”’:(安全套接字)SSL

1.1.简介

  • SSL 是安全套接层 (Secure Socket Layer),可对万维网客户与服务器之间传送‘<的>’数据进行加密《和》鉴别。
  • SSL 《〖在〗》双方‘<的>’联络阶段协商将使用‘<的>’加密算法《和》密钥,以及客户与服务器之间‘<的>’鉴别。
  • 《〖在〗》联络阶段完成之后[,所有传送‘<的>’数据都使用《〖在〗》联络阶段商定‘<的>’‘会话’密钥。
  • SSL 不仅被所有常用‘<的>’浏览器《和》万维网服务器所支持,而且也是‘运输层安全“协议”’ TLS (Transport Layer Security)‘<的>’基础。

1.2.SSL ‘<的>’《‘位’》置

  • 《〖在〗》发送方,SSL 接收<应用>层‘<的>’数据(如 HTTP “或” IMAP “报文”),对数据进行加密,然后把加了密‘<的>’数据送往运输层 TCP 套接字。

  • 《〖在〗》接收方,SSL 从 TCP 【套接字读取数据】,解密后把数据交给<应用>层。(发送方《和》接收方都有SSL层)

1.3.使用SSL 技术[‘<的>’例子

当我们访问网站时,{一}般不涉及输入账号密码等操作‘<的>’网页使用‘<的>’都是 "HTTP" “协议”(使用80端口),即网站域名开头为:http://;当涉及账号密码等敏感信息‘<的>’操作时,网站{一}般都会使用 "HTTPS"“协议”(使用443端口),"S"表示‘<的>’即是SSL (Secure Socket Layer),即网站域名开头为:https://。

例如,我们访问中国工商银行‘<的>’官网:

《〖在〗》主页处‘<的>’域名栏中可以发现浏览器提醒‘<的>’ "不安全" 字样,『实际上该主页使用‘<的>’就是』HTTP“协议”,(即不加密信息),明文传输。由于这是谷歌浏览器,没有显示 "http://" ‘<的>’域名前缀。

{当{点击}登录时},跳转到另外{一}个网页:

进入申博Sunbet官网  第1张

从网站域名开头‘<的>’ "https://" 可以看出,涉及到账号密码等敏感信息‘<的>’登录页面使用‘<的>’是HTTPS“协议”,说明网页使用了SSL 技术[。

补充

HTTP“协议”使用了(安全套接字)(SSL)变成了HTTPS“协议”,使用‘<的>’端口由80变为443,其他<应用>层‘<的>’“协议”也可以使用(安全套接字):

  • IMAPS:TCP-993;
  • POP3S:TCP-995;
  • SMTPS:TCP-465;

1.4.(安全套接字)实现‘<的>’过程:https

进入申博Sunbet官网  第2张

https既采用了对称加密‘<的>’效率,也采用了非对称加密‘<的>’安全。

通信前Web服务器先把证书中‘<的>’公钥交给IE浏览器(客户),IE浏览器根据收到‘<的>’公钥生成{一}个对称密钥,然后使用公钥加密对称密钥并发送给Web服务器。

Web服务器使用私钥解密收到‘<的>’加密后‘<的>’对称密钥,随后使用对称密钥加密需要传输‘<的>’数据。《〖在〗》之后‘<的>’通信中都采用该对称密钥对数据加密《和》解密。

《〖在〗》传输对称密钥‘<的>’过程中使用非对称加密,《〖在〗》传输数据过程中使用对称加密。这样既保证了数据传输‘<的>’安全,也提高了效率。

所以,《〖在〗》使用https通信‘<的>’时候{一}开始都不会太快,因为要协商对称密钥,协商好之后才会快起来。

查看使用https网站‘<的>’证书

例如:《百度》。

进入申博Sunbet官网  第3张

{点击} "锁" (图标)。

进入申博Sunbet官网  第4张

{点击} "证书" 即可查看到该网站使用‘<的>’证书。

进入申博Sunbet官网  第5张

进入申博Sunbet官网  第6张

1.5.SSL 实现‘<的>’三个功能

  • SSL 服务器鉴别 :允许用户证实服务器‘<的>’身份。具有 SSL 功能‘<的>’浏览器维持{一}个表,上面有{一}些可信赖‘<的>’【认证中心】 CA (Certificate Authority)《和》它们‘<的>’公钥。
  • 加密‘<的>’ SSL ‘会话’ :客户《和》服务器交互‘<的>’所有数据都《〖在〗》发送方加密,《〖在〗》接收方解密。
  • SSL 客户鉴别 :允许服务器证实客户‘<的>’身份。

进入申博Sunbet官网  第7张

上图为颁发给《百度》首页‘<的>’证书,可以看到SSL除了可以加密‘会话’信息之外,还可以鉴别服务器《和》客户身份。

二、网络层安全“协议”:IPSec

『网络安全是分层实』现‘<的>’。

进入申博Sunbet官网  第8张

  • <<应用>>层安全:「比如微软‘<的>’」 "Outlook" 邮箱,可以通过《〖在〗》<应用>程序中‘<的>’某些设置实现数据传输‘<的>’安全。<<应用>>层安全‘<的>’特点为需要<应用>程序‘<的>’支持。

  • 传输层安全:传输安全是通过夹《〖在〗》<应用>层《和》传输层中间‘<的>’SSL层实现‘<的>’,发送方‘<的>’SSL可以将<应用>层‘<的>’数据加密后给传输层,接收方‘<的>’SSL传输层收到‘<的>’数据解密后给<应用>层。SSL安全‘<的>’特点为需要配置相应证书。

  • 网络层安全:属于底层安全,‘不需要<应用>程’序支持,也不需要配置证书,对用户来说是透明‘<的>’,即用户并不知道数据《〖在〗》该层进行了加密。

    比如,未加密‘<的>’数据经过发送方‘<的>’网卡实现了加密,接收方‘<的>’网卡实现数据解密,整个过程用户是不知道‘<的>’,是透明‘<的>’,即使数据《〖在〗》传输过程中被截获了,第三方也不能破解其中内容;“或”者数据被篡改了, 接收方也能发现[,这便是网络层安全。

2.1.IPsec与安全关联 SA

网络层保密是指所有《〖在〗》 IP 数据报中‘<的>’数据都是加密‘<的>’。

**IPsec 〖中最主要‘<的>’两个部分〗 **

  • 鉴别首部 AH (Authentication Header): AH鉴别源点《和》检查数据完整性,{但不能保密}。类似于数字签名,用于确保数据‘<的>’来源并判断数据是否被更改。
  • 封装安全有效载荷 ESP (Encapsulation Security Payload):ESP 比 AH 复杂得多,它鉴别源点、「检查数据完整性《和》提供」保密。 类似于既使用数字签名,又使用共享密钥对数据进行加密。

**安全关联 SA(Security Association) **

  • 《〖在〗》使用 AH “或” ESP 之前,先要从源主机到目‘<的>’主机建立{一}条网络层‘<的>’逻辑连接。此逻辑连接叫做安全关联 SA

  • IPsec 就把传统‘<的>’因特网无连接‘<的>’网络层转换为具有逻辑连接‘<的>’层。

  • SA(安全关联)是构成IPSec‘<的>’基础,是两个通信实体经协商(利用IKE“协议”)建立起来‘<的>’{一}种协定,它决定了用来保护数据分组安全‘<的>’安全“协议”(AH“协”议“或”者ESP“协议”)、转码方式、密钥及密钥‘<的>’有效存《〖在〗》时间等。

2.2.安全关联‘<的>’特点

  • 安全关联是{一}个单向连接。它由{一}个三元组唯{一}地确定,包括:

    (1) 安全“协议”(使用 AH “或” ESP)‘<的>’标识符;

    (2) 此单向连接‘<的>’源 IP 〖地址〗;

    (3) {一}个 32 《‘位’》‘<的>’连接标识符,称为安全参数索引 SPI (Security Parameter Index);

  • 对于{一}个给定‘<的>’安全关联 SA,每{一}个 IPsec 数据报都有{一}个存放 SPI ‘<的>’字段。通过此 SA <‘<的>’所有数据报都使用同样‘<的>’> SPI 值。

2.3.查看安全关联

  • 《〖在〗》Windows系统开始页面输入命令mmc打开 "Microsoft 管理控制台",打开 "文件" 选择 "添加/{删除管理单元}"。

进入申博Sunbet官网  第9张

  • 找到并添加 "IP安全监视器"。

进入申博Sunbet官网  第10张

  • 回到控制台界面, 可《〖在〗》[IP安全监视器中找到 "安全关联" 选项,选中后可查看已建立‘<的>’安全关联。

进入申博Sunbet官网  第11张

2.4.鉴别首部“协议” AH

  • 《〖在〗》使用鉴别首部“协议” AH 时,把 AH 首部插《〖在〗》原数据报数据部分‘<的>’前面,同时把 IP 首部中‘<的>’“协议”字段置为 51。
  • 《〖在〗》传输过程中,中间‘<的>’路由器都不查看 AH 首部。当数据报到达终点时,目‘<的>’主机才处理 AH 字段,以鉴别源点《和》检查数据报‘<的>’完整性。

进入申博Sunbet官网  第12张

AH首部

(1) 下{一}个首部(8 《‘位’》)。标志紧接着本首部‘<的>’下{一}个首部‘<的>’类型(如 TCP “或” UDP)。

(2) 有效载荷长度(8 《‘位’》),即鉴别数据字段‘<的>’长度,以 32 《‘位’》字为单《‘位’》。

(3) 安全参数索引 SPI (32 《‘位’》)。标志安全关联,两个计算机进行 通讯[时‘<的>’SPI值是固定‘<的>’。

(4) 序号(32 《‘位’》)。鉴别数据字段‘<的>’长度,以32 《‘位’》字为单《‘位’》。

(5) 保留(16 《‘位’》)。为今后用。

(6) 鉴别数据(可变)。为 32 《‘位’》字‘<的>’整数倍,它包含了经数字签名‘<的>’“报文”摘要。因此可用来鉴别源主机《和》检查 IP 数据报‘<的>’完整性。

2.5.封装安全有效载荷 ESP

使用 ESP 时,IP 数据报首部‘<的>’“协议”字段置为 50。当 IP 首部检查到“协议”字段是 50 时,就知道《〖在〗》 IP 首部后面紧接着‘<的>’是 ESP 首部,同时《〖在〗》原 IP 数据报后面增加了两个字段,即 ESP 尾部《和》 ESP 数据。

你应该了解‘<的>’ Java SPI 机制

  • **ESP 首部:**里面有标识{一}个安全关联‘<的>’安全参数索引 SPI (32 《‘位’》),《和》序号(32 《‘位’》)。
  • **ESP 尾部:**里面有下{一}个首部(8 《‘位’》,作用《和》 AH 首部‘<的>’{一}样)。ESP 尾部《和》原来数据报‘<的>’数据部分{一}起进行加密,因此攻击者无法得知所使用‘<的>’运输层“协议”。
  • **ESP 鉴别:**《和》 AH 中‘<的>’鉴别数据是{一}样‘<的>’。因此,用 ESP 封装‘<的>’数据报既有鉴别源站《和》检查数据报完整性‘<的>’功能,又能提供保密。

进入申博Sunbet官网  第13张

2.6.设置本地计算机‘<的>’IP安全策略

  • 《〖在〗》计算机‘<的>’ "开始" 界面搜索 "‘本地安全策略’"。

进入申博Sunbet官网  第14张

  • 右键 "IP安全策略" 打开菜单,选择 "创建 IP 安全策略"。

进入申博Sunbet官网  第15张

  • 「进入」 "IP安全策略向导" ,创建{一}个自定义‘<的>’ IP安全策略,随后{一}直 "下{一}步" 《结束向导》。

进入申博Sunbet官网  第16张

进入申博Sunbet官网  第17张

进入申博Sunbet官网  第18张

这里‘<的>’ "激活默认规则" 指‘<的>’是,当没有指定规则时,使用默认‘<的>’规则。

进入申博Sunbet官网  第19张

  • 「进入」自定义IP安全策略‘<的>’【属性】界面,〖去掉〗默认勾选‘<的>’ "使用添加向导" 这样可以看到更多‘<的>’细节,然后{点击} "添加",添加新‘<的>’IP安全规则。

进入申博Sunbet官网  第20张

「进入」 "新规则 【属性】" 界面,《〖在〗》 "IP《「「筛选器」」列表》" 选项中可选择《和》添加 IP《「「筛选器」」列表》,<它‘<的>’作用是>:指定受此新规则影响‘<的>’网络流量。比如所有‘<的>’ IP 通讯[、所有‘<的>’ ICMP 通讯[等,即设置允许接收从哪里来“或”到哪里去‘<的>’数据。

进入申博Sunbet官网  第21张

  • {点击} "添加" 「进入」 "IP 《「「筛选器」」列表》"界面,自定义IP 《「「筛选器」」列表》。

进入申博Sunbet官网  第22张

  • 〖去掉〗默认勾选‘<的>’ "使用添加向导" 选项,继续{点击} "添加" ,「进入」 "IP 「「筛选器」」 【属性】" 界面。该界面可以设置 IP「「筛选器」」 ‘<的>’〖地址〗、“协议”《和》描述信息。

进入申博Sunbet官网  第23张

  • 《〖在〗》 "〖地址〗" (选项卡‘<的>’) "源〖地址〗" 选项中可以设置 与本计算机通信‘<的>’流量数据中‘<的>’源〖地址〗。

进入申博Sunbet官网  第24张

  • 同样也可以设置目标〖地址〗。

进入申博Sunbet官网  第25张

  • 《〖在〗》 "“协议”" “ 选项卡中[”,可以设置通信‘<的>’“协议”类型《和》相应‘<的>’端口。

进入申博Sunbet官网  第26张

进入申博Sunbet官网  第27张

  • 《〖在〗》 "描述" 选项卡可给自定义‘<的>’IP「「筛选器」」添加描述。

进入申博Sunbet官网  第28张

  • ‘编辑完’ IP 「「筛选器」」【属性】后,回到 "IP《「「筛选器」」列表》" 可看到刚才添加‘<的>’IP「「筛选器」」。

进入申博Sunbet官网  第29张

  • {点击} "确认" ,回到 "新规则 【属性】" 界面, 可《〖在〗》[ "IP 《「「筛选器」」列表》" 中看到刚才自定义‘<的>’IP《「「筛选器」」列表》。

进入申博Sunbet官网  第30张

《〖在〗》 "「「筛选器」」操作" “ 选项卡中[”,可以指定如何保障新建‘<的>’IP《「「筛选器」」列表》‘<的>’网络流量‘<的>’安全,即指定《〖在〗》 "IP 《「「筛选器」」列表》" 中设置‘<的>’允许通行‘<的>’流量使用‘<的>’安全方法(AH“或”ESP等)。同样不使用向导,{点击} "添加",添加「「筛选器」」‘<的>’操作。

进入申博Sunbet官网  第31张

  • 《〖在〗》「进入」‘<的>’ "新「「筛选器」」操作 【属性】" 界面中,【可以设置对应‘<的>’】安全方法,比如可以无条件阻止“或”许可之前选定‘<的>’ IP 筛选列表中‘<的>’通信流量,也可以《〖在〗》协商安全‘<的>’情况下进行通信。我们选中 "协商安全" 选项,然后{点击} "添加" ,添加对应‘<的>’安全方法。

进入申博Sunbet官网  第32张

  • 「进入」 "新增安全方法" 界面,“可以看到有两种安全方法”,{一}种为 "(完整性《和》加密)",相当于既使用数字签名也使用共享密钥加密;另{一}种为 "仅保持完整性",相当于数字签名。这便是IPSec中‘<的>’AH“协议”《和》ESP“协议”这两种“协议”。

进入申博Sunbet官网  第33张

  • 选择 "自定义" 选项,再{点击} "设置" ,「进入」 "自定义安全方法设置" 界面。《〖在〗》该界面中可以选择使用‘<的>’安全“协议”AH“或”者ESP及相应‘<的>’算法,也可以设置‘会话’密钥生成‘<的>’间隔(密钥生成时间):每传输多少数据“或”每经过多长时间生成新密钥。

进入申博Sunbet官网  第34张

  • 设置完相应‘<的>’安全方法后回到 "新「「筛选器」」操作 【属性】" 界面, 可以看到刚才自定义‘<的>’安全方法及相应设置。《〖在〗》界面下方‘<的>’三个选项中,前两项设置如字面意思,第三项设置意思为新密钥生成之后,以后加密数据都不会再使用旧密钥。随后{点击} "<应用>" 《和》 "确认" 回到 "新规则 【属性】" 界面。

进入申博Sunbet官网  第35张

进入申博Sunbet官网  第36张

《〖在〗》 "身份验证方法" “ 选项卡中[”,可以指定通信双方建立信任关系‘<的>’方法,即验证通信双方‘<的>’身份。{点击} "添加" 「进入」 "新身份验证方法 【属性】" 界面。

进入申博Sunbet官网  第37张

  • 《〖在〗》该界面中,可以指定身份验证方法。例如通过设置共享密钥,来实现身份验证。

进入申博Sunbet官网  第38张

  • 设置完成后{点击} "确认" 可回到 "新规则 【属性】" 界面,可看到新增‘<的>’身份验证方法。

进入申博Sunbet官网  第39张

"新规则 【属性】" 界面‘<的>’ "隧道设置" 选项卡可设置IPSec隧道相关【属性】。

进入申博Sunbet官网  第40张

"新规则 【属性】" 界面‘<的>’ "连接类型" 选项卡可指定使用新规则‘<的>’连接类型。

进入申博Sunbet官网  第41张

  • 这样便完成了新规则‘<的>’【属性】设置,回到自定义IP安全策略‘<的>’【属性】界面,可以看到添加‘<的>’自定义列表。

进入申博Sunbet官网  第42张

  • {点击} "确定",回到 "‘本地安全策略’" 界面,可看到新增‘<的>’ "toServer" 安全策略,此时该安全策略还未生效。右键选择 "分配" {可指派该策}略,使计算机使用该安全策略进行通信。

进入申博Sunbet官网  第43张

2.7.仿真练习

进入申博Sunbet官网  第44张

把本地计算机当作Web服务器,按图中要求设置Web服务器到三台计算机‘<的>’安全策略,其中计算机XP1‘<的>’IP〖地址〗为192.168.80.101,XP2为192.168.80.102,XP3为192.168.80.103 。

  • 设置Web服务器到计算机XP1‘<的>’安全策略:

    《〖在〗》 "新规则 【属性】" 界面‘<的>’ "IP《「「筛选器」」列表》" “〖中添加〗新列表”,指定通信‘<的>’目标〖地址〗为XP1‘<的>’IP〖地址〗:192.168.80.101 。

    进入申博Sunbet官网  第45张

    进入申博Sunbet官网  第46张

    《〖在〗》 "IP《「「筛选器」」列表》" 中选中 "toXP1" ‘<的>’情况下,《〖在〗》 "「「筛选器」」操作" 〖中添加〗安全方法名称为改为AH。

    进入申博Sunbet官网  第47张

    进入申博Sunbet官网  第48张

    进入申博Sunbet官网  第49张

    《〖在〗》 "IP《「「筛选器」」列表》" 中选中 "toXP1" 《和》 "「「筛选器」」操作" 中选中 "AH"‘<的>’情况下,《〖在〗》 "身份验证方法" 〖中添加〗Web服务器到XP1‘<的>’身份验证方法:使用共享密钥aaa。

    进入申博Sunbet官网  第50张

    进入申博Sunbet官网  第51张

    "隧道设置" 《和》 "连接类型" 两项该例中不用设置,由此完成从Web服务器到XP1安全策略‘<的>’设置。

  • 设置Web服务器到计算机XP2《和》XP3‘<的>’安全策略与到XP1‘<的>’设置同理。最后,Web服务器把到XP1~XP3‘<的>’安全策略都按要求添加了。

进入申博Sunbet官网  第52张

  • 回到 "‘本地安全策略’" 界面,选中新增‘<的>’ "toXPS" 安全策略,右键 "分配" ,该安全策略生效,即按要求完成了Web服务器‘<的>’安全策略设置。

进入申博Sunbet官网  第53张

设置完之后,当Web〖服务〗器与XP1《和》XP2‘通信时’,使用装包工具抓到‘<的>’数据包只能看到加密后‘<的>’数据;当Web〖服务〗器与XP3‘通信时’,由于没有加密,所以抓包工具抓到‘<的>’数据包能看到传输‘<的>’明文。 可《〖在〗》[虚拟机中模拟四台计算机进行验证,这里就不展开了。

2.8.关于IP安全规则冲突『问题』

如下图所示,《〖在〗》IP安全规则中勾选‘<的>’ "所有 IP 通讯[量" 是否与其他勾选‘<的>’安全规则冲突呢?是不冲突‘<的>’,选择IP安全规则时采用‘<的>’是最佳匹配原则。比如:老师说中午12点下课,班干部11:30开完会后可以离开,张三11点就能走,虽然时间不同,但是每个学生都清楚自己几点可以走,这就是最佳匹配。‘通信时’,如果是与XP2通信,那么计算机就采用 "toXP2" 安全规则;与XP3通信,则采用 "toXP3" 安全规则;如果都不是,才采用 "所有 IP 通讯[量" 安全规则。

进入申博Sunbet官网  第54张

,

Sunbet

Sunbet www.xzsxzxx.cn是Sunbet娱乐‘<的>’官方网站,是亚洲唯{一}‘<的>’Sunbet。“公司业务主要范围”:Sunbet、Sunbet、sunbet娱乐等。

申博声明:该文看法仅代表作者自己,与本平台无关。转载请注明:‘郑州旅游攻略’:<浅析>Internet(上使用)的安全协议

网友评论

  • (*)

最新评论

  • UG环球注册 2020-08-09 00:04:16 回复

    欧博网址欢迎进入欧博网址(Allbet Gaming):www.aLLbetgame.us,欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。远超预期

    1