网络安全协议和标准
- SSL和TLS
- IPV4和IPV6 Security
- S/MIME(Secure/Multipurpose Internet Mail Extension)
安全关联(SA/Security Associations)
发送者和接收者之间的单向关系为交通流提供安全保障
主要由一下三个参数定义:
安全参数索引(SPI)
IP目标地址
安全协议标识符
安全关联数据库(SAD/Security Association Database)
SAD中的元组用于定义与每个SA相关联的参数值,如:
序列号,序列号溢出标记、抗重播窗口、AH信息、ESP信息、SA的有效期、IPSec协议工作模式、路径最大传输单元MTU
SA管理
- 创建
1.先协商SA参数,再更新SDAB
2.可通过人工创建,也可采用动态创建方式 - 删除
1.有效期过期:超出时间或使用SA的字节数已超过策略设定的值
2.密钥已遭破坏
3.另一端要求删除这个SA
抗重播服务(Antireply)
- 序列号字段
创建一个新的SA时,发送者会将序列号计数器初始化为0
每当在这一SA上发送数据包,序列号计数器会增加1,同时将当前序列设置为计数器数值
当达到最大的计数器数值即2^32-1,再重新创建一个新的SA - 一种“滑动窗口”机制
IP是无连接不可靠的,需设立窗口
窗口的最左端对应于窗口起始位置的数据包序列号N
则最右端对应于可以接受的合法分组的最高序列号N+W-1
窗口的移动
- 接收到的数据包必须全部满足如下条件,才不会被丢弃并将相应窗口位置做上标记
1.接收到的数据包的序列号必须是新的,即在窗口中未出现过
2.接收到的数据包的序列号必须落在窗口内部或者窗口的右侧
3.接收到的数据包能通过鉴别检查 - 接收到的数据包落在窗口右侧且能通过鉴别检查,窗口就会向前走,使得该序号成为窗口的右边界
封装安全载荷(ESP)
- 提供保密性和抗重播服务:包括数据内容的保密性和有限的流量保密性
- 可选:提供数据完整性和鉴别服务
- 是一个通用的、易于扩展的安全机制:协议同具体的算法是分开的
SSL(Secure Sockets Layer)安全传输层协议
- 允许服务器和客户端:
- 协商加密和MAC算法
- 协商要使用的加密密钥
- 包含一系列的分段消息
- 建立安全能力
- 服务器认证和密钥交换
- 客户认证和密钥交换
SSL连接
- 一个链接是一个提供一种合适类型服务的传输
- SSL连接是点对点的关系
- 连接是暂时的,每一个连接和一个会话关联
SSL会话
- 一个SSL会话是在客户与服务器之间的一个关联
- 会话由HandShake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数
- 会话用以避免为每个连接提供新的安全参数所需昂贵的谈判代价
网友评论