第章网络空间安全协议.pptxVIP

第六章 网络平安协议;6.1 概述;网络平安协议按照其完成的功能可以分为: 〔1〕密钥建立协议 :一般情况下是在参与协议的两个或者多个实体之间建立共享的秘密，通常用于建立在一次通信中所使用的会话密钥。 已有密钥建立协议，如Diffie-Hellman协议，Blom协议，MQV协议，端—端协议、MTI协议等。 〔2〕认证协议:认证协议中包括实体认证〔身份认证〕协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。 最具代表性的身份认证协议有两类：一类是1984年Shamir提出的基于身份的身份认证协议；另一类是1986年Fiat等人提出的零知识身份认证协议。随后，人们在这两类协议的根底上又提出了新的使用的身份认证协议：Schnorr协议、Okamoto协议、Guillou-Quisquater协议和Feige-Fiat-Shamir协议等。 数字签名协议主要有两类：一类是普通数字签名协议，通常称为数字签名算法，如RSA数字签名算法、DSA等；另一类是特殊数字签名协议，如不可否认的数字签名协议、Fail-Stop数字签名协议、群数字签名协议等。; 〔3〕认证和密钥交换协议 ：将认证和密钥交换协议结合在一起，是网络通信中最普遍应用的平安协议。该类协议首先对通信实体的身份进行认证，如果认证成功，进一步进行密钥交换，以建立通信中的工作密钥，也叫密钥确认协议。 常见的认证密钥交换协议有：互联网密钥交换〔IKE〕 协议、分布式认证平安效劳〔DASS〕协议、Kerberos协议、X.509协议。 (4)电子商务协议 这类协议用于电子商务系统中以确保电子支付和电子交易的平安性、可靠性、公平性。常见的协议有：SET协议、iKP协议和电子现金等。 (5)平安通信协议 这类协议用于计算机通信网络中保证信息的平安交换。常见的协议有：PPTP/L2PP 协议、IPSEC协议、SSL/TLS协议、PGP协议、SIME协议、S-HTTP协议等。;6.2 网络平安协议的类型-IPSec; IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据平安的一整套体系结构，包括网络认证协议 Authentication Header(AH)、封装平安载荷协议。 Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP都可以提供认证效劳，但AH提供的认证效劳要强于ESP。而IKE主要是对密钥进行交换管理，对算法、协议和密钥3个方面进行协商。;6.2 网络平安协议的类型-SSL; 2021年10月15日，Google发布了一份关于SSLv3〔SSL3.0〕漏洞的简要分析报告。该报告认为SSLv3漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。 BEAST既是此种攻击，攻击者可获取SSL通信中的局部信息的明文，对明文内容的完全控制。而另一种POODLE攻击是针对SSLv3中CBC模式加密算法，和BEAST不同的是，它不需要对明文内容的完全控制。问题的原因出在SSL设计上:：SSL先进行认证之后再加密，SSL的加密和认证过程搞反了。 在SSLv3之后，TLS 1.0开始出现，TLS(Transport Layer Security)平安传输层协议是SSLv3开展的新阶段，TLS 1.0就等于SSLv3.1。;6.2 网络平安协议的类型-SET; 网上银行使用已经存在的程序和设备通过确认信用卡、清算客户银行户头完成交易，SET协议那么通过隐藏信用卡号来保证整个支付过程的平安。因此上，SET必须保证信用卡持有者与银行在现存系统和网络上能够保持持续的联系。 SET是由Electronic Wallet〔电子钱包〕、Merchant Server〔商店端效劳机〕、Payment Gateway〔付款转接站〕和Certification Authority〔认证中心〕组成的，它们构成了Internet 上符合SET标准的信用卡授权交易。;6.2 网络平安协议的类型-S-HTTP;6.2 网络平安协议的类型-S-