Network Security Tutorial
Network Security Useful Resources
Selected Reading
- Network Security – Critical Necessity
- Network Security – Firewalls
- Network Security – Access Control
- Network Security – Data Link Layer
- Network Security – Network Layer
- Network Security – Transport Layer
- Network Security – Application Layer
- Network Security – Overview
- Network Security - Home
Network Security Useful Resources
Selected Reading
- Who is Who
- Computer Glossary
- HR Interview Questions
- Effective Resume Writing
- Questions and Answers
- UPSC IAS Exams Notes
Network Security – Application Layer
Network Security – Apppcation Layer
各种商业服务现在通过客户服务器申请在线提供。 最受欢迎的形式是网络应用和电子邮件。 在这两项申请中,客户都向指定服务器通信,并获取服务。
用户和服务器在使用任何服务器应用程序的服务时,交换了大量关于内联网或互联网的信息。 我们知道,这些信息交易很容易受到各种袭击。
网络安全意味着在网络中转口时,确保数据免遭攻击。 为实现这一目标,制定了许多实时安全议定书。 该议定书至少需要提供以下主要目标:
The parties can negotiate interactively to authenticate each other.
Estabpsh a secret session key before exchanging information on network.
Exchange the information in encrypted form.
有趣的是,这些议定书在不同层次的网络模式上开展工作。 例如,S/MPAS程序在应用层面运作,SSL协议是在运输层面开展工作的,IPsec协议在网络层面运作。
本章将讨论实现电子邮件通信和相关安全议定书安全的不同进程。 之后,保障国家安全局的方法得到了涵盖。 以后各章将介绍实现网络安全的各项议定书。
E-mail Security
如今,电子邮件已广为使用。 在开始了解电子邮件安全议定书之前,请简要讨论电子邮件基础设施。
E-mail Infrastructure
发送电子邮件的最简单方式是把发送者机器直接发送到接收人的机器。 在这种情况下,这两台机器必须同时在网络上运行。 然而,由于用户有时可能将其机器与网络连接起来,因此这种设置不切实际。
因此,建立电子邮件服务器的概念已经形成。 该邮局将邮件送至一个永久可上网的邮件服务器。 当收受机与网络连接时,从邮件服务器上读到邮件。
总的说来,电子邮件基础设施包括一个短信服务器,也称为Message Transfer agents(MTAs)和用户机器,管理一个电子邮件方案,由用户代理人(UA)和当地MTA组成。
通常,电子邮件电文从美国空运协会传送,穿过海运公会的影子,最后用收货机到达美国航空公司。
电子邮件所用的程序如下:
用于发送电子邮件信息的简单邮递转让议定书。
邮政局(POP)和互联网信息获取议定书(IMAP)被用来从服务器中检索用户的信息。
MIME
基本的互联网电子邮件标准是1982年撰写的,它描述了在因特网上交换的电子邮件信息的形式。 它主要支持作为基本罗马字母文字书写的电子邮件信息。
到1992年,人们认为有必要改进。 因此,还确定了另一个标准Multi有功能的因特网邮寄。 这是一套基本因特网电子邮件标准的延伸。 监控监提供发送电子邮件的能力,使用除基本罗马字母外的特性,如(俄文版)、希腊字母或甚至中文的图像。
监查处满足的另一个需要是发送非文本内容,如图像或录像片。 由于这一特点,通过员工和管理当局协调会的电子邮件通信标准已得到广泛采用。
E-Mail Security Services
越来越多地使用电子邮件进行重要和关键的交易,需要提供以下某些基本安保服务:
Confidentiapty-电子邮箱致词不应由任何人宣读,而应由预期的收件人宣读。
Authentication-电子邮箱收受人可以确定发件人的身份。
Integrity——向接收人保证,自发送电子邮件以来,电子邮件信息没有改动。
Non-repudiation-电子邮箱收受人能够向第三方证明发件人确实发出了电文。
提交文件-电子邮箱发送人收到将电文送交邮件发送系统的确认。
交付程序——发送人收到电文的确认。
隐私、认证、信息完整性和非否定等安保服务通常通过使用公用钥匙加密法提供。
电子邮件通信通常有三种不同的情况。 我们将讨论在这些情况下实现上述安全服务的方法。
One-to-One E-mail
在这种情况下,发送人只向一名接收人发出电子邮件信息。 通常,至少有2个海运管理局参与通信。
让ender客想向接收人发出保密的电子邮件。 本案的隐私规定如下:
发送人和接收人分别拥有私人和公共钥匙(SPVT、S、PUB和(RPVT、R、PUB)。
投稿人产生一种秘密的对称钥匙,KS用于加密。 虽然发送人本来可以使用RPUB进行加密,但使用不对称钥匙实现更快的加密和加密。
发送人用关键KS发送加密信息,并贴上KS的加密信息,附有接收人的公用钥匙,RPUB。
发送人向接收人发送加密信息和加密KS。
接收人首先通过加密获取KS,使用其私人钥匙,即RPVT。
接收人随后使用对称钥匙KS进行加密。
如果在这种情况下也需要信息的完整性、认证和非否定性服务,那么上述进程将采取下列步骤。
投递人用私人钥匙SPVT生成电文并用数字表示。
投递人将这一已签署的散货单连同其他部件寄给接收人。
接收人使用公用钥匙SPUB,并提取在发件人签名下收到的散货。
接收人随后敲响了加密的电文,现在比较了两种散射值。 如果符合要求,信息的完整性就被认为可以实现。
此外,收件人确信电文是由发送人发送的(真实)。 最后,原告不能否认他没有发出信息(不拒绝)。
One-to-Multiple Recipients E-mail
在这种情况下,发送人向两个或两个以上接收者发出电子邮件信息。 名单由发送人电子邮件方案管理(UA+当地的MTA)。 所有受援者都得到同样的信息。
让我们假设,发送人希望向许多接收者发出保密的电子邮件(例如R1、R2和R3)。 本案的隐私规定如下:
发送人和所有接收人都有自己的私人和公共钥匙。
投稿人产生一种秘密的对称钥匙,Ks,并将电文与这一钥匙加以加密。
发送人随后在R1、R2和R3的公用钥匙上多次加密K、S、R2(K/S)、R2、PUB(KS)和R3 PUB(KS)。
发送人向接收人发送加密信息和相应的加密KS。 例如,接收人1(R1)收到加密信息和R1PUB(KS)。
每个接收人首先使用其私人钥匙通过加密提取关键KS。
然后,每个接收人使用对称钥匙KS对电文进行加密。
为了提供电文的完整性、真实性和非否定性,所要采取的步骤与上述单对一的电子邮件设想中的步骤相似。
One-to-Distribution List E-mail
在这种情形下,发送人向两个或两个以上接收人发出电子邮件信息,但接收人名单没有由发送人在当地管理。 总的来说,电子邮件服务器(MTA)保持了邮寄名单。
投递人寄给管理邮寄名单的海运部的邮件,然后由海运部向名单上的所有接收人发送邮件。
在此情况下,如果发送人希望向邮寄名单的接收人发出保密电子邮件(例如R1、R2和R3);隐私保障如下:
发送人和所有接收人都有自己的私人和公共钥匙。 The Exploder Server has a pair of private-pubpc key for each maipng pst (ListPUB, ListPVT) maintained by it.
投放人产生一种秘密的关键Ks,然后用这一钥匙对电文进行加密。
发送人然后将KS与清单有关的公用钥匙加密起来,获得<>项清单>(KS)。
发送者发送了加密信息和名单PUB(KS)。 这份清单使用<PVT,并获取K。
爆炸品在KS上贴有尽可能多的公共钥匙,因为名单上有成员。
探索者将所收到的加密信息和相应的加密KS转发给名单上的所有接收人。 例如,勘探者将加密电文和R1PUB(KS)转发给接收方1等。
为了提供电文的完整性、认证和不否定,所要遵循的步骤与单对一的电子邮件假设情况相同。
有趣的是,使用上述安全方法确保电子邮件的电子邮件方案预计将针对上文讨论的所有可能情况开展工作。 上述电子邮件安全机制大多由两个受欢迎的计划提供,即“维护隐私”和S/MIME。 我们在以下几节中讨论了这两个问题。
PGP
前良好隐私是一种电子邮件加密办法。 它已成为为电子邮件通信提供安保服务的标准。
如上所述,它使用公用钥匙加密法、对称钥匙加密法、散列函数和数字签名。 它提供:
Privacy
Sender Authentication
Message Integrity
Non-repudiation
除这些安保服务外,它还提供数据压缩和关键管理支助。 PGP利用现有的加密算法,如RSA、IDEA、MD5等,而不是发明新的算法。
Working of PGP
计算电文的哈希数。 (千年发展目标5算法)
由此而来的128个借方h使用投递人的私人钥匙(RSA Algorithm)签字。
数字签字被压缩为电文,结果被压缩。
生成并使用128倍测量钥匙KS将压缩电文与IDEA加密。
KS使用RSA算法使用接收人的公用钥匙进行加密,结果附在加密电文之后。
PGP信息的形式载于以下图表。 身份证上注明了哪些钥匙被用于加密KS,哪些关键是用来核实 has上签字。
在PGP计划中,在签名和加密的电文,然后在传输前编码MIME。
PGP Certificate
PGP钥匙证书通常通过信任链建立。 例如,A的公用钥匙由B使用其公用钥匙签字,B的公用钥匙由C使用其公用钥匙签字。 随着这一进程的继续,它建立了一个信任网。
在PGP环境中,任何用户都可以作为认证机构行事。 任何PGP用户都可以认证另一个PGP用户的公用钥匙。 但是,如果使用者承认证书颁发者是值得信赖的开张者,这种证书对另一个用户是有效的。
这种认证方法存在几个问题。 可能难以找到一个链条,从一个已知的、值得信赖的公共钥匙到预期的关键。 此外,可能还有多个链条,可导致用户的不同钥匙。
PGP还可以使用具有认证权的公用钥匙基础结构,公用钥匙可由CA(X.509证书)认证。
S / MIME
S/MPAS是安全的多功能互联网邮件发布站。 S/MPAS是一个安全的电子邮件标准。 其依据是早先称为“监评”的非保密电子邮件标准。
Working of S/MIME
S/MPAS办法与PGP相似。 该系统还使用公用钥匙加密法、对称钥匙加密法、洗衣机功能和数字签名。 它提供与PGP类似的安全服务,用于电子邮件通信。
S/MPAS所使用的最常用的测量层是RC2和TriDES。 通常的公共关键方法是RSA,而洗衣算法是SHA-1或MD5。
S/MIME具体说明了在加密后生成数据的“应用/pkcs7-mime”等额外的监测和评价类型。 整个监测、监测和评价实体均被加密并包装成物体。 S/MPAS有标准化加密信息格式(不同于PGP)。 事实上,为确定电文中被加密和(或)签字的部分,将采用一些关键词延长监理处。
S/MPAS依靠X.509份公用钥匙分配证书。 它需要有上下级的公用钥匙基础结构来提供认证支助。
Employabipty of S/MIME
由于要求认证机构出具履约证明,并非所有用户都能利用S/MPAS,因为有些人可能希望加密电文,并配以公/私钥匙。 例如,没有证书的参与或行政管理。
在实践中,虽然大多数电子邮件申请都实施S/MPAS,但证书注册程序很复杂。 相反,PGP的支持通常需要增加一个插头,而插头则涉及管理钥匙所需的一切。 信托网没有真正使用。 人民以另一种方式交换其公共钥匙。 一旦获得,他们就保存一份公用钥匙的副本,这些钥匙通常与他们交换电子邮件。
PGP和S/MPAS系统的网络结构中的执行层见以下形象。 这两项计划都为电子邮件通信提供了申请水平的安全。
其中一项计划,无论是PGP还是S/MPAS,都是根据环境而实施的。 可以通过适应PGP,在封闭网络中提供安全的电子邮件通信。 对于互联网上的电子邮件安全,如果邮件常常与新的不知名用户交换,则S/MPAS被视为一种很好的选择。
DNS Security
在第一章中,我们提到,攻击者可以使用DNS Cache Poisoning对目标使用者发动攻击。
Vulnerabipty of Standard DNS
在标准的国家计算机系统计划中,只要用户想要与任何域名连接,其计算机便与国家计算机系统服务器联系,并寻找相关的IP地址。 一旦获得IP地址,该计算机即与IP地址连接。
在这项计划中,没有任何核查程序。 一台计算机为其国家计算机服务器查询与网站有关的地址,国家计算机信息系统服务器对IP地址做出回应,而你的计算机无疑认为这是正当的响应,并与该网站链接。
国家安全局的调查实际上在几个阶段进行。 例如,当计算机要求“www.tutorialspoint.com”时,国家航天中心在几个阶段进行监视。
该计算机首先向当地的国家计算机服务器查询(ISP提供的)。 如果ISP在其藏匿处有这一名称,它就会向“罗特区名录”提出质询,以便找到“.com”和根基区的答复。
根据答复,该计算机然后询问“.com”目录,可以找到“辅导点。 ......
根据所收到的资料,该计算机查询了“辅导点.com”,可以找到www.o.org。 辅导员。
DNSSEC Defined
国家安全局在利用国家情报和安全局进行查询时,要求答复实体签署答复。 DNSSEC是以公用钥匙加密为基础的。
在英国航天中心标准中,每个英国航天中心区都有公私营钥匙。 国家安全局服务器发送的所有信息都与原产区确保真实性的私人钥匙签署。 国家航天中心客户需要了解该区的公共钥匙,以检查签名。 客户可能与所有顶级域的公共钥匙或国家基本标准混在一起。
与国家安全局一道,调查程序如下:
当您的计算机查询其能够找到的根区时,复函由根区服务器签署。
计算机检查了根区签署钥匙,确认它是有真实信息的合法根基区。
复函中,根区提供了资料,说明C.com区服务器的签名钥匙及其所在地,使计算机能够与.com目录联系,并确保其合法。
之后,该名录提供辅导点.com的签字钥匙和资料,使其能够与Google.com联系,并核实你与真正的辅导点相关联,如上述地区所证实的。
发送的信息是资源记录。 下表显示了高级“com”服务器域名“辅导点.com”的RSet实例。
| Domain Name | Time to pve | Type | Value |
|---|---|---|---|
| tutorialspoint.com | 86400 | NS | dns.tutorialspoint.com |
| dns.tutorialspoint.com | 86400 | A | 36..1.2.3 |
| tutorialspoint.com | 86400 | KEY | 3682793A7B73F731029CE2737D... |
| tutorialspoint.com | 86400 | SIG | 86947503A8B848F5272E53930C... |
KEY记录是“辅导”的公开关键。
SIG记录是SNS、A和KEY记录的顶级服务器,以核实其真实性。 其价值为Kcompvt(H(NS,A,KEY)。
因此,据认为,当国家安全局全面展开工作时,用户的计算机能够证实国家安全局的反应是合法和真实的,并避免通过国家安全局的毒害处发起的国家安全局攻击。
Summary
电子邮件的安全过程确保了通信的终端至终端安全。 它提供保密、质认证、信息完整性和非否定的安全服务。
为电子邮件安全制定了两项计划:PGP和S/MPAS。 这两种办法都使用秘密和公共钥匙的加密。
标准的国家抽样调查很容易受到诸如国家抽样调查/毒害等攻击。 通过使用使用公用钥匙加密法的国家安全局,确保国家安全局的监视是可行的。
在本章中,我们讨论了应用层面为终端到终端通信提供网络安全的机制。
Advertisements