电子邮件安全威胁
垃圾邮件,增加网络负荷,占用服务器空间。
诈骗邮件,能迅速让大量受害者上当。
邮件炸弹,短时间向同一又想发送大量电子邮件
通过电子邮件附件传播网络病毒。
电子邮件安全需求
机密性,完整性,身份认证,抗抵赖。
image.png
image.png
pgp标准
可在各种平台(windows, unix)免费运行
可用于普通文件加密及军事目的
所用算法被证实为非常安全:
公钥加密:rsa, dss , diffie-hellman
对称加密:cast,3des,idea
散列:md5,sha-1
image.png
image.png
PGP 报文格式
image.png
安装pgp时,软件为用户生成一个公开密钥对,公钥防止用户网站或某公钥服务器上。
私钥则使用用户口令进行保护,用户为随机生成的rsa私钥指定一个口令,只有给出口令才能将私钥释放出来使用。
ssl安全套接字层
image.png
基于应用层实现web安全
image.png
基于传输层实现web安全
ssl 或 tls 可作为基础协议栈的组成部分,对应用透明,也可直接嵌入到浏览器中使用
使用ssl或tls后,传送的应用层数据会被加密
基于网络层实现web安全
ipsec提供端到端的安全机制,各种应用均可利用ipsec提供的安全机制。
ssl
image.png
image.png
握手过程
image.png
密钥派生
image.png
数据记录
image.png
image.png
image.png
image.png
完整ssl
image.png
image.png
image.png
image.png
image.png
image.png
ssl 握手过程:
- 客户发送支持的算法列表,以及客户端的一个一次随机数
- 服务器从算法列表中选择算法,并发回给用户:选择+证书+服务器的一次性随机数
-
客户验证证书,提取服务器公钥,生成(pre_master_secret), 并利用服务器的公钥加密pre_master_secret,发送给服务器
4.客户与服务器基于pre_master_secret 和一次性随机数分别独立计算加密密钥和mac密钥
5.客户发送一个针对所有握手消息的mac
6.服务器发送一个针对所有握手消息的mac
image.png
image.png
ssl 记录协议的操作步骤
1.将数据分段成可操作的数据块
2.对分块数据进行数据压缩
3.计算mac值
4.对压缩数据及mac值进行加密
5.加入ssl记录头
6.在tcp传输
image.png
image.png
vpn
image.png
vpn功能:
数据机密性保护
数据完整性保护
数据源身份认证
防重放攻击
访问控制
vpn关键技术:
1.隧道技术
2.数据加密
3.身份认证
4.密钥管理
5.访问控制
6.网络管理
image.png
image.png
传输模式(主机是ipsec感知,数据报的发送和接收均由端系统完成)
隧道模式(边缘路由器是ip感知的)
image.png
安全关联
image.png
安全关联数据库
image.png
安全策略数据库
image.png
传输模式和隧道模式
image.png
image.png
网友评论