Network Security – Transport Layer

网络安全意味着在网络中转口时,确保数据免遭攻击。 为实现这一目标,制定了许多实时安全议定书。 实时网络安全协议,如S/MIME、SSL/TLS、SSH和IPsec,都适用民众标准。 如前所述,这些议定书在不同层次的网络模式中开展工作。

在最后一章中,我们讨论了一些旨在保障应用层安全的民众议定书。 在这一章中,我们将讨论在运输界实现网络安全的进程以及相关的安全议定书。

对于基于TCP/IP协议的网络,在用户终端和网络卡硬件中通常使用物理和数据链接层。 TCP和IP层在操作系统中实施。 上文TCP/IP的任何内容都是作为用户程序实施的。

Need for Transport Layer Security

请允许我讨论典型的基于互联网的商业交易。

访问Apce网站出售货物。 该网站以表格形式输入所需质量和数量、地址和付款卡细节。 Bob点击分机,等待从他的账户提取价格的货款。 所有这一切都是好的,但在缺乏网络安全的情况下,博博博可能有一些意外。

如果交易不使用保密(加密),攻击者可以获得付款卡信息。 攻击者然后可以以博博钱购买。

如果不使用数据完整性措施,攻击者可按货物类型或数量修改Bob的订单。

最后,如果没有使用服务器认证,服务器可以显示Apce s著名的标识,但该站点可能是一个由攻击者维持的恶意网站,他正像Apce。 在接到Bobs的命令后,他可以带钱逃走。 或者,他可以通过收集博博博人的名字和信用卡细节来进行身份盗窃。

运输层安全计划可以通过加强基于TCP/IP网络的保密、数据完整性、服务器认证和客户认证来解决这些问题。

这一层的安全主要用来确保以吉大港山区为基础的网络交易。 然而,任何从TCP上运行的申请都可以使用。

Philosophy of TLS Design

运输界安全(TLS)议定书在TCP层面运作。 议定书的制定利用大众应用方案(API)到TCP,称为“袖珍”与TCP层相互连接。

申请现已与运输安全层连接起来,而不是直接与公路运输网连接。 运输安全舱提供简单的、有袖珍的电文,与快乐器类似。

在上述图表中,尽管从共同的角度来看,TLS技术在应用和运输层之间有技术居住点,但这是一个运输协议,随着安全服务而增强TCP层。

TLS旨在通过TCP,即可靠的第4级议定书(而不是《英国民主党议定书》)运作,使TLS的设计更加简单,因为没有必要担心“刺激”和“减少损失数据”。 TCP层继续照常行事,满足技转中心的需要。

Why TLS is Popular?

普遍使用运输界的安全是简单明了的。 设计和部署这一层的安全并不要求改变在运作系统中实施的TCP/IP议定书。 只需要设计/修改用户流程和应用程序,这不太复杂。

Secure Socket Layer (SSL)

在这一节中,我们讨论了为图瓦卢经济、社会、文化权利委员会制定的各项议定书。 家庭包括第2版和第3版《特别生活法》和《个人生活标准议定书》。 SSLv2现已由SSLv3取代,因此我们将侧重于SSL v3和TLS。

Brief History of SSL

1995年,网上替罪羊网开发了SSLv2,并用于网上替罪羊人。 从未出版和使用过SSL版本。 后来,Microsoft在SSLv2上改进,并引入了另一个称为“私人通信技术”的类似议定书。

归罪网大大改善了关于各种安全问题的SSLv2,1999年部署了SSLv3。 随后,因特网工程工作队(IETF)将类似TLS(运输业安全)议定书作为公开标准。 TLS 议定书与SSLv3是不可调用的。

TLS修改了关键扩展和认证的加密算法。 另外,土耳其航天中心建议使用开放式加密法Diffie-Hellman(DH)和数字签名标准(DSS),以取代SSL中使用的经专利认证的RSA加密法。 但是,由于RSA专利于2000年到期,没有强烈理由让用户从广泛部署的SSLv3转向TLS。

Sapent Features of SSL

国家安全法议定书的主要特点如下:

安保部通过下列方式提供网络连接安全:

Confidentiapty——以加密形式交换信息。

- 通讯实体通过使用数字证明相互识别。 网络服务器认证是强制性的,而客户认证是选择性的。

- 保持信息完整性检查。

所有的TCP应用都可以获得SSL。

在几乎所有网络浏览器的支持下。

方便与新的在线实体开展业务。

主要为网络电子商务开发。

Architecture of SSL

南太平洋区域渔业管理组织是专门针对TCP的,并不与UDP合作。 SSL向申请提供应用规划接口。 C和Java SSL的图书馆/馆藏随时可查。

SSL 议定书的目的是在应用层面与运输层面之间进行协作,如下图所示:

卫军本身不是形象描述的单层协议;事实上,它由两个子站组成。

低分站由SSL议定书的一个部分组成,称为SSL记录议定书。 本构成部分提供廉正和保密服务。

上层子站由3个与SSL有关的议定书组成部分和申请议定书组成。 申请部分提供客户/服务器互动之间的信息传输服务。 从技术上讲,它也可以在中层中运作。 三个与《蒙特利尔议定书》有关的议定书组成部分:

SSL Handshake Protocol

Change Cipher Spec Protocol

Alert Protocol.

这三项议定书管理着所有SSL信息交流,下文将讨论。

Functions of SSL Protocol Components

SSL协议的4个次级组成部分处理客户机器和服务器之间安全通信的各种任务。

记录议定书

记录层形成上层礼宾信息的形式。

它将数据分解成可管理的区块(最长为16KB)。 选择压缩数据。

保存数据。

提供每个电文和散列(MAC)的头盔。

处理环形块向TCP层传播。

SSL Handshake Protocol

它是最复杂的SSL部分。 在转交任何申请数据之前,均援引该数据。 该科在客户和服务器之间开设SSL课程。

届会的设立 服务器认证、钥匙和算法谈判,确定钥匙和客户认证(备选方案)。

会议由一套独特的加密安全参数确定。

客户与服务器之间的多条有保障的TCP联系可以分享同一届会议。

• 通过四个阶段开展处理沙克议定书行动。 下一节讨论这些问题。

2. 变化中西光谱仪

《SSL议定书》的简单部分。 它包括两个通信实体、客户和服务器之间交换的单一信息。

由于每个实体都发出“变革圈子”信号,因此按照商定的意见,将其部分连接变为安全状态。

有待国家的西半球参数被并入目前状态。

交换这一信息表明,今后所有数据交流都是加密的,完整性受到保护。

SSLert Protocol

该议定书被用于报告错误——例如意想不到的信息、不良的记录、安全参数谈判失败等。

它还用于其他目的——例如通知关闭TCP的连接、通知收到坏或未知的证明等。

Estabpshment of SSL Session

如上文所述,在设立特别立法会议方面有四个阶段。 这些主要由SSL Handshake议定书处理。

第1阶段——建立安全能力。

这一阶段包括交换两个信息:Cpent_hello和Server_hello。

Cpent_hello载有由客户支持的加密算法清单,以减少优惠。

Server_hello 载有选定的锡半球规格和新的session_id。

CipherSpec包含的领域有:

Cipher Algorithm (DES, 3DES,RC2 and RC4)

MAC Algorithm(基于MD5,SHA-1)

公用钥匙算法

这两条信息都“不发生”来防止再起攻击。

第2阶段——服务器认证和关键交换。

服务器发给证书。 客户软件与各种“委托”组织(CAs)的公用钥匙相配,以检查证书。

服务器发送了选定的电离层镜。

服务器可申请客户证书。 通常没有这样做。

服务器显示Server_hello。

第3阶段——客户认证和关键交换。

只有在服务器提出要求时,客户才发给证书。

该系统还发送了与服务器的公用钥匙加密的“预秘”(PMS)。

客户还发出Certificate_verification电文,如果他发给证明他有与本证书有关的私人钥匙的证明。 基本上,客户在以前发出的信息中有一根 has。

第4阶段——芬兰。

客户和服务器向对方发送了Change_cipher_spec电文,以便把待决的西半球国家复制到目前状态。

从现在起,所有数据都进行了加密和保护完整性。

每一端的“Finished”电文均确认,关键交换和认证程序是成功的。

上文讨论的所有四个阶段都是在设立技术方案会议过程中进行的。 SSL会议是在TCP SYN/SYNACK之后成立的,在TCP Fin之前完成。

Resuming a Disconnected Session

如果客户向服务器发送了,则有可能恢复一次互不关联的会议(通过Alert电文)。

然后,服务器确定session_id是否有效。 如经验证,它会与客户交换变异光谱和成的信息,并恢复安全通信。

这避免重新计算会议边缘参数,节省服务器和客户终端的计算费用。

SSL Session Keys

我们已经看到,在SSL届会的第3阶段,客户向使用服务器的公用钥匙加密的服务器发送了首席秘书。 主要秘密和各种会议钥匙如下:

生成主秘密(通过假体随机生成)时使用——

The pre-master Secret.

在客户_hello和服务器_hello电文中交换了两个非电文(RA和RB)。

6项秘密价值从这一主秘中得出,即:

MAC所使用的秘密钥匙(服务器发送的数据)

MAC(客户发送的数据)使用的秘密钥匙

(服务器)

用于加密的秘密钥匙和四(客户)

TLS Protocol

为了提供SSL的开放式互联网标准,1999年1月,欧洲运输工作队发布了《运输界安全议定书》。 TLS被定义为LFC 5246中的拟议互联网标准。

Sapent Features

TLS议定书的目标与SSL相同。

它通过认证、防止偷窃和抵制信息修改,使客户/服务器的申请能够安全地进行沟通。

低温潜能值议定书在网络层中排在可靠的面向连接的运输中。

TLS议定书的结构类似于SSLv3议定书。 它有两个次级议定书:TLS记录议定书和TLS Handshake议定书。

虽然SSLv3和TLS议定书的结构相似,但在结构和运作方面,特别是在手法议定书方面,还是发生了一些变化。

Comparison of TLS and SSL Protocols

最低生活水平协定和SSLv3议定书之间主要有8个差异。 如下:

TLS礼宾部分的负责人携带第3.1版,区分SSL礼宾部分负责人的3号。

• TLS采用关键信息认证法(H-MAC)。 福利是,如SSL议定书明确规定的那样,H-MAC以任何散列功能运作,而不仅仅是MD5或SHA。

低温潜能值和低温潜能值产品议定书与中高浓度物质生产议定书之间有两种差别。

计算前线和主子秘密的方法类似。 但是,在TLS议定书中,总秘密的计算使用了HMAC标准和假冒功能(PRF)而不是临时性的MAC。

计算会议关键值和启动值的算法(四)与SSL议定书不同。

警示

《生命线议定书》支持SSL警备议定书使用的所有信息,但无证书的警示信息是多余的。 在不需要客户认证的情况下,客户发放了空档。

其他 关于其他错误条件,如record_overflow, decode_error,警报电文载于TLS议定书。 等等。

。 - SSL支持RSA、Diffie-Hellman和Fortezza cipher的诉讼。 除Fortezza外,TLS议定书支持所有诉讼。

- TLS界定了在certificate_request的电文中申请的证书类型。 SSLv3支持所有这些。 此外,SSL支持某些其他类型的证书,如Fortezza。

认证和信用信息——

在SSL中,复杂的电文程序被用于certificate_verification/i>的电文。 借助TLS,经核实的信息载于手法中,从而避免了这一复杂程序。

信用社和SSLv3以不同方式计算出的讯息。

下表概述了TLS和SSLv3议定书之间的上述差异。

Secure Browsing - HTTPS

在本节中,我们将讨论使用SSL/TLS程序进行安全的网络浏览。

HTTPS Defined

文本超文本转让议定书用于网络浏览。 HTTPS的职能类似于吉大港山区。 唯一的区别是,皇家警察部队提供“安全”网络浏览。 HTTPS在SSL上支持吉大港山区。 该议定书用于提供客户网络浏览器和网站服务器之间的加密和认证链接。

通过皇家警察部队的安全浏览确保了以下内容得到加密:

URL of the requested web page.

Web page contents provided by the server to the user cpent.

Contents of forms filled in by user.

Cookies estabpshed in both directions.

Working of HTTPS

HTTPS应用议定书通常使用两种大众运输层安全议定书之一,即SSL或TLS。 以下各点介绍了安全浏览过程。

您通过进入https://,然后在浏览器地址栏中加入URL,请求使用HTTPS与网页链接。

网络浏览器开始与网络服务器连接。 使用https援引使用SSL议定书。

在这种情况下,使用该系统的浏览器是443港而不是80港(在http://www.un.org上使用)。

《SSL议定书》通过了一份手法议定书,以建立一个前面各节所讨论的安全会议。

该网站最初将其SSL数字证书寄给你的浏览器。 在核查证书时,国家安全局在交换本届会议的共同秘密方面取得进展。

当服务器使用可信赖的SSL数字证书时,用户会看到浏览器地址的星钟。 当一个网站安装了扩大的认证证书时,地址会转绿色。

会议一旦设立,即由网络服务器和浏览器之间的许多安全连接组成。

Use of HTTPS

使用高频通信系统为用户提供保密、服务器认证和电文完整性。 它使电子商务能够在互联网上安全进行。

防止数据偷窃和否认身份盗窃,这是对吉大港山区的共同攻击。

目前的网络浏览器和网络服务器都配备了高频和高频通信系统的支助。 然而,对吉大港山区使用HTTPS需要增加客户的计算能力,而服务器最终要进行加密和SSL举手。

Secure Shell Protocol (SSH)

SSH的主要特征如下:

SSH是一个网络协议,在TCP/IP层之上运行。 该系统旨在取代TELNET,该网为遥远的标志设施提供了不可靠的手段。

SSH提供有保障的客户/服务器通信,可用于档案转移和电子邮件等工作。

SSH2是一种普遍的规程,它为较早版本SSH1提供更好的网络通信安全。

SSH Defined

SSH是作为三个亚protocol组织的。

SSH协议的这一部分提供数据保密、服务器(东道)认证和数据完整性。 也可选择性地提供数据压缩。

东道钥匙与公私营钥匙等不对称。 服务器使用公用钥匙向客户证明其身份。 联系服务器的客户核实员是从其所维护的数据库中“已知”的供应商。 一旦服务器得到认证,便会产生会议钥匙。

Session Key Estabpshment——经认证后,服务器和客户同意使用电离层。 会议钥匙由客户和服务器生成。 在用户认证之前生成会议钥匙,以便用户名称和密码能够加密。 在会议期间,这些钥匙通常每隔一段时间(即每小时)替换,并在使用后立即销毁。

- “SSH”使用“Ausentication Code”(MAC)算法进行数据完整性检查。 这比SSH1使用的《儿童权利公约》增加了32倍。

SSH的这一部分将用户认证为服务器。 服务器核实只向预定用户提供上网服务。 目前使用许多认证方法,如密码、克里伯斯、公用钥匙认证等。

这提供了多种逻辑渠道,超越了单一的SSH联系。

SSH Services

SSH提供三个主要服务,能够提供许多安全的解决办法。 这些服务简述如下:

Secure Front-Shell (Remotelogon)- 这使得用户能够编辑档案,查看目录内容,并查阅有关装置的申请。 系统管理员可以远程开办/调查/停机服务和程序,建立用户账户,变更档案/指令许可等等。 所有在机器指挥台上可行的任务现在都可以从使用安全遥控标志的遥控机器中安全完成。

- 《SSH文件传输协议》是作为SSH-2用于安全档案转让的延伸。 从本质上讲,它是一份独立于安全壳牌协议的单独议定书,处理档案转让。 SFTP对用户名/密码和正在转让的档案数据进行加密。 它使用与安全壳牌服务器相同的港口,即系统第22号港口。

它允许从无担保的TCP/IP应用程序获得数据。 在港口铺设之后,安全壳牌照从一个方案(通常是客户)中转道,将其穿过加密的隧道向另一个方面(通常是服务器)发送。 多种应用可以把数据传送到单一多功能的安全通道上,从而不再需要在防火墙或路由上开辟许多港口。

福利 & 限制

运输层使用通信安全的好处和限制如下:

福利

运输业的安全对申请具有透明度。

服务器是认证的。

应用层头目是隐蔽的。

它比第三层(IPsec)的安保机制更为细致,因为它在运输连接层面运作。

限制

仅适用于基于TCP的申请(而不是UDP)。

TCP/IP头目很清楚。

客户与服务器之间直接沟通。 使用服务器链条(例如电子邮件)不满足安全应用程序的需要

由于客户认证是任择性的,因此国家扫盲委员会不提供不休的补偿。

如有必要,客户认证需要高于SSL。

Summary

过去十年,互联网上出现了大量网络应用。 许多电子治理和电子商业门户已经上网。 这些应用要求服务器与客户之间的会议确保会议保密、认证和完整性。

减少用户会议期间潜在攻击的一种办法是使用安全通信议定书。 本章将讨论其中两项通信议定书,即《保障臭氧层公约》和《运输界安全》。 这两项议定书均在运输层面运作。

另一个运输层议定书,即安全壳牌(SSH),旨在取代TELNET,为遥测设施提供了可靠的手段。 它能够提供各种服务,例如安全指挥壳牌和SFTP。

运输层安全的就业有许多好处。 然而,在这些层面设计的安全议定书只能与TCP使用。 它们没有为利用民主力量联盟实施的通信提供安全保障。

Previous Page Print Page Next Page   Advertisements