1.公钥基础设施( PKI)
PKI 是利用公钥加密和数字签名技术建立的安全服务基础设施,以保证网络环境中数据的秘密性、完整性与不可抵赖性。PKI 是一种针对电子商务、电子政务应用,利用非对称加密体系,提供安全服务的通用性网络安全基础设施。PKI 系统对用户是透明的,用户获得加密和数字签名服务时,无须知道PKI 是如何管理证书与密钥。PKI 建立的安全通信信任平台与密钥管理体系,能够为所有网络应用提供加密与数字签名服务,实现PKI系统的关键是密钥的管理。PKI 的主要任务是确定用户可信任的合法身份。这个信任关系是通过公钥证书来实现。公钥证书就是用户身份与所持有公钥的结合,这是由可信任的第3 方权威机构(认证中心)来确认。
2.数字签名
在网络环境中,通常使用数字签名来模拟日常生活中的亲笔签名。数字签名将信息发送人的身份与信息传送相结合,以保证信息在传输过程中的完整性,并提供信息发送者的身份认证,防止信息发送人抵赖行为的发生。
利用非对称加密(例如RSA 算法)进行数字签名是最常用的方法。非对称加密算法(例如RSA 算法)效率比较低,并对加密的信息块长度有一定的限制。在使用非对称加密算法进行数字签名前,通常先使用单向散列函数或哈希函数(Hashing Function 签名信息进行计算,生成信息
摘要,并对信息摘要进行签名。
目前,广泛应用的数字签名算法是消息摘要(Message Digest5,MD5)。它是Rivest 于1994 年发表的一种单向散列算法,可对任意长度的数据生成128 位的散列值,也叫作不可逆指纹。MD5 算法没有对数据进行加密或修改,只是生成一个用于判断数据完整性与真实性的散列值。因此,利用数字签名可验证数据在传输过程中是否被篡改,同时确认发送放的身份,防止信息交互中的抵赖现象发生。
3.TCP/IP 协议安全机制
在主机-网络层(数据链路层对应它的一部分)中,主要的安全协议包括PPTP、L2TP 与UF 等。在互联层(或网络层)中,最主要的安全机制是IPSec 的两个组成协议,即认证头部(AH)与封装安全有效载荷(ESP)。在传输层中,主要的安全协议包括SSL、SSH 与SOCKS 等。在应用层中,针对不同网络服务或应用的安全机制比较多,例如用于增强Web 安全的S-HTTP、用于保障邮件安全的S/MIME、用于电子商务安全交易的SET 等。S/MIME 主要支持功能有:加密的数据、签名的数据、透明签名的数据、签名并加密的数据。
4.IPSec
IPSec 主要包括3 个组成部分:认证头(Authentication Header,AH)、封装安全负载(Encapsulating Security Payload,ESP)与密钥管理协议。其中,AH 协议可提供数据源身份认证、数据完整性认证,以及可选的抗重放数据包功能;ESP 协议可提供AH 协议的所有功能与数据加密服务;密钥管理协议用于通信双方之间协商安全参数,例如工作模式、认证或加密算法、密钥与生存期等。实际上,AH 与ESP 协议都是网络层的安全协议,而密钥管理协议是应用层的安全协议。
5.安全套接层(SSL)协议
SSL 协议使用非对称加密体制和数字证书技术,可保护信息传输的秘密性和完整性。SSL 是国际上最早应用于电子商务的一种网络安全协议。同期,Microsoft 公司开发了类似的PCT 协议。鉴于SSL 与PCT 不兼容的现状,IETF 发布了传输层协议(Transport Layer Security,TLS),希望推动传输层安全协议的标准化。
6.SSL 协议特点
SSL 可用于HTTP、FTP、TELNET 等,但是目前主要应用于HTTP 协议,为基于Web 服务的各种网络应用中的客户机与服务器之间的用户身份认证与安全数据传输提供服务。SSL 处于端系统的应用层与传输层之间,在TCP 之上建立一个加密的安全通道,为TCP 协议的数据传输提供安全保障。当 HTTP 协议使用SSL 时,HTTP 请求、应答报文格式与处理方法不变。不同之处在于:应用进程产生的报文通过SSL 加密后,再通过TCP 连接传输;在接收方的TCP 软件将加密的报文传送给SSL 解密后,再发送给应用层的HTTP 协议。当 Web 系统釆用SSL 时,Web 服务器的默认端口号从80 变换为443,Web 浏览器使用https 代替常用的http。
SSL 主要包含两个协议:SSL 握手协议(SSL Handshake Protocol)与 SSL 记录协议(SSL Record Protocol),SSL 握手协议实现双方的加密算法协商与密钥传递;SSL 记录协议定义 SSL 数据传输格式,实现对数据的加密与解密操作。
7.PGP 协议
PGP 协议于1995 年开发,包括电子邮件的加密、身份认证、数字签名等安全功能。PGP 用来保证数据在传输过程中的安全,它的设计思想与数字信封是一致的。PGP 数字签名能够保证邮件的完整性、身份认证与不可抵赖性,数据加密可以保证邮件内容的机密性。
它主要由5 种服务组成:鉴别、机密性、压缩、电子邮件的兼容性和分段,支持多语种安装平台。数字签名使用DSS/SHA 或RSA/SHA 算法,报文加密采用CAST 或IDEA,或使用Diffie-Hellman 的3DES 或RSA 算法。PGP 也提供了公共密钥认证机制,但是这个机制完全不同于通用的认证中心(CA)。PGP 公共密钥通过委托网站进行认证,它也可以通过互联网上的PGP 公共密钥服务器发布。
8.电子支付安全(SET)协议
电子商务是以 Internet 环境为基础,在计算机系统支持下进行的商务活动。电子商务是基于浏览器/Web 服务器工作模式,实现网上购物和在线支付的一种新型商业运营模式。SET 使用了对称加密与非对称加密体系,以及数字信封、数字签名、信息摘要技术与双重签名技术,以保证信息在Web 环境中传输和处理的安全性。
9.防火墙主要功能
检查所有从外部网络进入内部网络的数据包。检查所有从内部网络流出到外部网络的数据包。执行安全策略,限制所有不符合安全策略要求的数据包通过。具有防攻击能力,保证自身安全性的能力。
10.网络防火墙构成
常用防火墙有3 种:包过滤路由器、应用级网关和电路级网关。
10.1 包过滤路由器
包过滤路由器依据一套规则对收到的IP 包进行处理,决定是转发还是丢弃。包过滤路由器也称为屏蔽路由器(Screening Router),它是被保护的内部网络与外部网络之间的第一道防线。包过滤规则通常基于部分或全部报头内容。路由器按照设置的分组过滤规则(即访问控制表),检查每个分组的源地址、目的地址,决定该分组是否应该转发。例如,对于TCP 报头信息,可以是源地址、目的地址、协议类型、IP 选项、源端口号、目的端口号、TCPACK 标识等。包过滤路由器只工作于传输层也可以工作于应用层。
10.2 应用级网关
应用级网关也叫代理服务器,它在应用级的通信中扮演着一个消息传递者的角色。应用级网关不足之处在于它在每次连接中有多余的处理开销,处理数据时开销较大。
10.3 电路级网关
电路级网关不允许一个端到端的直接TCP 连接。