實(shí)現TCPP的公共源碼資源發(fā)布者：本站     時(shí)間：2019-08-29 10:08:11

如果收發(fā)雙方使用的是單鑰體制，那他們就使用同一密鑰；如果收發(fā)雙方使用的是公鑰 已經(jīng)被事先計算好。發(fā)送方用一個(gè)加密密鑰算出AH，接收方用同一或另一密鑰對之進(jìn)行驗
體制，那他們就使用不同的密鑰 IP ESP的基本想法是對整個(gè)IP包進(jìn)行封裝，或者只對ESP內上層協(xié)議的數據(運輸狀
 
態(tài))進(jìn)行封裝、并對ESP的絕大部分數進(jìn)行加密。在管道狀態(tài)下，為當前已加密的ESP附
加了一個(gè)新的IP頭(純文本)，它可以用來(lái)對IP包在 Internet上作路由選擇。接收方把這個(gè)
頭取掉，再對ESP進(jìn)行解密，處理并取掉ESP頭，再對原來(lái)的1P包或更高層協(xié)議的數據就
像普通的IP包那樣進(jìn)行處理 AH與ESP體制可以合用，也可以分用。不管怎么用，都逃不脫傳輸分析的攻擊。我們
 
不太清楚在 Internet層上，是否真有經(jīng)濟有效的對抗傳輸分析的手段，不過(guò)，在 Internet用戶(hù)
里，真正把傳輸分析當回事幾的也是客多無(wú)幾。
 
の、多PSP其相應的密鑰管理協(xié)議的實(shí)現均基于Um系統。任何1PSP的實(shí)現都必 應協(xié)議的源碼糾纏在一起，而這源碼又能在Unix系統上使用，其原因大概就在于此。
但是，如果要想在 Internet上更廣泛地使用和采納安全協(xié)議，就必須有相應的MS=DOS或 Windows版本。而在這些系統上實(shí)現 Internet層安全協(xié)議所直接面臨的一個(gè)問(wèn)題就是，PC
 
 
上相應的實(shí)現TCPP的公共源碼資源什么也沒(méi)有。為克服這一困難， Wagner和 Bellovin實(shí)
現了一個(gè) IPSEC 7模塊，它像一個(gè)設備驅動(dòng)程序一樣工作，完全處于IP層以下。い(ath
其它通信層次和網(wǎng)絡(luò )部件做任何改動(dòng)。它的最主要的缺點(diǎn)是: Internet層一般對屬于不同進(jìn) Internet層安全性的主要優(yōu)點(diǎn)是它的透明性，就是說(shuō)，安全服務(wù)的提供不需要應用程序
程和相應條例的包不作區別，對所有去往同一地址的包，它將按照同樣的加密密鑰和訪(fǎng)問(wèn)控
制策略來(lái)處理。這可能導致提供不了所需的功能，也會(huì )導致性能下降。針對面向主機的密鑰
分配的這些問(wèn)題，RFC1825允許(甚至可以說(shuō)是推薦)使用面向用戶(hù)的密鑰分配，其中，不
同的連接會(huì )得到不同的加密密鑰。但是，面向用戶(hù)的密鑰分配需要對相應的操作系統內核作
比較大的改動(dòng)。雖然IPSP的規范已經(jīng)基本制訂完畢，但密鑰管理的情況千變萬(wàn)化，要做的工作還很多。
 
尚未引起足夠重視的一個(gè)重要的問(wèn)題是在多播( Multicas)環(huán)境下的密鑰分配問(wèn)題，例如，在
Internet多播骨干網(wǎng)( Mbone)或IPv6網(wǎng)中的密鑰分配問(wèn)題。門(mén)、的回本(
簡(jiǎn)言之， Internet層是非常適合提供基于主機對主機的安全服務(wù)的。相應的安全協(xié)議可
以用來(lái)在 nternet上建立安全的P通道和虛擬私有網(wǎng)。例如，利用它對IP包的加密和解密
功能，可以簡(jiǎn)捷地強化防火墻系統的防衛能力。事實(shí)上，許多壓商已經(jīng)這樣做了。RSA數據
安全公司已經(jīng)發(fā)起了一個(gè)倡議，來(lái)推進(jìn)多家防火墻和 TCP/IP軟件廠(chǎng)商聯(lián)合開(kāi)發(fā)虛擬私有
網(wǎng)。該倡議被稱(chēng)為S-WAN(安全廣域網(wǎng))倡議。其目標是制訂和推薦 Internet層的安全協(xié)議
 
 
標準。金的
 
1.4.5安全的傳輸層、會(huì )話(huà)層和應用層 (點(diǎn)動(dòng))點(diǎn) )足
 
 
1.4.5.1傳輸層的安全性
 
在 Internet A應用編程序中，通常使用廣義的進(jìn)程間通信(IPC)機制來(lái)同不同層次的安全

協(xié)議打交道。比較流行的兩個(gè)IPC編程界面是 BSD Sockets和傳輸層界面(TL)，在Unix系
 
 
統V命令里可以找到。ー國日寫(xiě)品磁、中武式 在 Internet I中提供安全服務(wù)的首先一個(gè)想法便是強化它的IPC界面如 BSD Sockets等，
 
 
路，制定了建立在可靠的傳輸服務(wù)(如 TCPXIP所提供)基礎上的安全套接層協(xié)議(SSL)。具體做法包括雙實(shí)體的認證，數據加密密鑰的交換等31 Netscape通信公司遵循了這個(gè)思
SSL版本3(SSLv3)于1995年12月制定。它主要包含以下兩個(gè)協(xié)議:も)是可的 SSL記錄協(xié)議。它涉及應用程序提供的信息的分段壓縮、數據認證和加密。SLy3
提供對數據認證用的MD5和SHA以及數據加密用的R4和DES等的支持，用來(lái)對數據進(jìn)行
?SSL握手協(xié)議。用來(lái)交換版本號、加密 認證和加密的密鑰可以通過(guò)SSL的握手協(xié)議來(lái)協(xié)商設知面出，國合料H 算法(相互)身份認證 并交換密鑰SSLv3提
 
 
 
上的密鑰交換機制的支持。n千必管的要論3大 供對 Deffie- Hellman密鑰交換算法、基于RSA的密鑰交換機制和另實(shí)現在 Fortezza Chip
 
 
Netscape通信公司已經(jīng)向公眾推出了S9L的參考實(shí)現(稱(chēng)為 Sslrel)a另免費的SSL
實(shí)現叫做 Ssleayo Sslrel(和 Ssleay均可給任何 TCP/IP應用提供SSL功能。 Internet號碼 分配當局(IANA)已經(jīng)為具備SSE功能的應用分配了固定端口號，例如，帶SSL的HTTP
 
 
(htps)被分配以端口號443，帶SSレ的SMTP( smtp)被分配以端號465帶SSL的NNTP
 
 
(snp)被分配以端口號563。r江ー個(gè)ーT (微軟推出了SSL版本2的改進(jìn)版本，叫做PCT(私人通信技術(shù))。至少從它使用的記錄格
 
 
Most Significant Bit)上的取值有所不同:SSL該位取0，PCT該位取1這樣區分之后，就可 式來(lái)看，SL和PCT是十分相似的。它們的主要差別是它們在版本號字段的最顯著(zhù)位(The
 
 
以對這兩個(gè)協(xié)議都給以支持的亮調下前
 
 
 
下1996年4月，IETF授權一個(gè)傳輸層安全(mLS)工作組著(zhù)手制定一個(gè)傳輸層安全協(xié)議
(TLSP)，以便作為標準提案向IESG正式提交?！篢LSP將會(huì )在許多地方酷似SL。劉詞 我們已經(jīng)看到， Internet層安全機制的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不要
求應用層做任何改變。這對傳輸層來(lái)說(shuō)是做不到的原則上本任何 TCP/IP應用，只要應用
傳輸層安全協(xié)議，比如說(shuō)SSL或PCT，就必定要進(jìn)行若干修改以增加相應的功能，并使用
(稍微)不同的IPC界面。于是，傳輸層安全機制的主要缺點(diǎn)就是要對傳輸層IPC界面和應用
程序兩端都進(jìn)行修改?？墒?，比起 Internet層和應用層的安全機制來(lái)，這里的修改還是相當 小的。另=個(gè)缺點(diǎn)是，基于UDP的通信很難在傳輸層建立起安全機制來(lái)。同網(wǎng)絡(luò )層安全機
制相比，傳輸層安全機制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對進(jìn)程的(而不是主機對主機的)安全
服務(wù)。這之成就如果再加上應用級的安全服務(wù)，就可以再向前跨越一大步了。顯與公全
 
 
1.4.5.3應用層的安全性 1.4.5，2會(huì )話(huà)層不提供安全服務(wù)(略)。(國氣全支)AA 文對
 
 
 
網(wǎng)絡(luò )層(傳輸層)的安全協(xié)議允許為主機(進(jìn)程)之間的數據通道增加安全屬性。本質(zhì)上
這意味著(zhù)真正的(或許再加上機密的)數據通道還是建立在主機(或進(jìn)程)之間，但卻不可能區
 
 
分在同一通道上傳輸的一個(gè)個(gè)具體文件的安全性要求。比如說(shuō)，如果合個(gè)主機與另一個(gè)主機
之間建立起一條安全的P通道，那么所有在這條通道上跑的IP包就都要自動(dòng)地被加密。