返回
tcp-ip各层的安全性和提高各层安全性的方法

tcp-ip各层的安全性和提高各层安全性的方法

ID:22377721

大小:61.50 KB

页数:11页

时间:2018-10-28

tcp-ip各层的安全性和提高各层安全性的方法_第1页
tcp-ip各层的安全性和提高各层安全性的方法_第2页
tcp-ip各层的安全性和提高各层安全性的方法_第3页
tcp-ip各层的安全性和提高各层安全性的方法_第4页
tcp-ip各层的安全性和提高各层安全性的方法_第5页
资源描述:

《tcp-ip各层的安全性和提高各层安全性的方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、TCP/IP各层的安全性和提高各层安全性的方法~教育资源库  TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私用网络,在传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全性和提高各层安全性的方法。  一、Inter层的安全性  对Inter层的安全协议进行标准化的想法早就有了。在过去十年里,已经提出了一些方案。例如,安全协议3号(SP3)就是美国国家安全局以及标准技术协会作为安全数据网络系统(SDNS)的一部分而制定的。网络层安全协议(NLSP)是由国际标准化组织为无连接网络协议(CL

2、NP)制定的安全协议标准。集成化NLSP(I-NLSP)是美国国家科技研究所提出的包括IP和CLNP在内的统一安全机制。Se-to-live域或IPv6中的hoplimit域,都是在AH的计算中必须忽略不计的。RFC1828首次规定了加封状态下AH的计算和验证中要采用带密钥的MD5算法。而与此同时,MD5和加封状态都被批评为加密强度太弱,并有替换的方案提出。  IPESP的基本想法是整个IP包进行封装,或者只对ESP内上层协议的数据(运输状态)进行封装,并对ESP的绝大部分数据进行加密。在管道状态下,为当前已加密的E

3、SP附加了一个新的IP头(纯文本),它可以用来对IP包在Inter上作路由选择。接收方把这个IP头取掉,再对ESP进行解密,处理并取掉ESP头,再对原来的IP包或更高层协议的数据就象普通的IP包那样进行处理。RFC1827中对ESP的格式作了规定,RFC1829中规定了在密码块链接(CBC)状态下ESP加密和解密要使用数据加密标准(DES)。虽然其他算法和状态也是可以使用的,但一些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚至连私用加密都要限制。  AH与ESP体制可以合用,也可以分用。不管怎么用,都逃

4、不脱传输分析的攻击。人们不太清楚在Inter层上,是否真有经济有效的对抗传输分析的手段,但是在Inter用户里,真正把传输分析当回事儿的也是寥寥无几。  1995年8月,Inter工程领导小组(IESG)批准了有关IPSP的RFC作为Inter标准系列的推荐标准。除RFC1828和RFC1829外,还有两个实验性的RFC文件,规定了在AH和ESP体制中,用安全散列算法(SHA)来代替MD5(RFC1852)和用三元DES代替DES(RFC1851)。  在最简单的情况下,IPSP用手工来配置密钥。然而,当IPSP大规

5、模发展的时候,就需要在Inter上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求,指定管理密钥的方法。  因此,IPSEC工作组也负责进行Inter密钥管理协议(IKMP),其他若干协议的标准化工作也已经提上日程。其中最重要的有:  IBM提出的标准密钥管理协议(MKMP)   SUN提出的Inter协议的简单密钥管理(SKIP)  PhilKarn提出的Photuris密钥管理协议  HugoKraan提出的OAKLEY密钥决定协议  在这里需要再次强调指出,这些协议草案的相似点多于不同点。除

6、MKMP外,它们都要求一个既存的、完全可操作的公钥基础设施(PKI)。MKMP没有这个要求,因为它假定双方已经共同知道一个主密钥(MasterKey),可能是事先手工发布的。SKIP要求Diffie-Hellman证书,其他协议则要求RSA证书。  1996年9月,IPSEC决定采用OAKLEY作为ISAKMP框架下强制推行的密钥管理手段,采用SKIP作为IPv4和IPv6实现时的优先选择。目前已经有一些厂商实现了合成的ISAKMP/OAKLEY方案。Photuris以及类Photuris的协议的基本想法是对每一个会

7、话密钥都采用Diffie-Hellman密钥交换机制,并随后采用签名交换来确认Diffie--Hellman参数,确保没有中间人进行攻击。这种组合最初是由Diffie、Ooschot和Wiener在一个站对站(STS)的协议中提出的。Photuris里面又添加了一种所谓的cookie交换,它可以提供清1234下一页友情提醒:,特别!障(anti-logging)功能,即防范对服务攻击的否认。  Photuris以及类Photuris的协议由于对每一个会话密钥都采用Diffie-Hellman密钥交换机制,故可提供回传

8、保护(back-trafficprotection,BTP)和完整转发安全性(perfect-foran密钥,所有其他攻击者就可以冒充被破解的密码的拥有者。但是,攻击者却不一定有本事破解该拥有者过去或未来收发的信息。  值得注意的是,SKIP并不提供BTP和PFS。尽管它采用Diffie-Hellman密钥交换机制,但交换的进行是隐含的,也就是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。