数据结构
网络
关系型数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究与互联网协议安全相关的基本概念
在当今广泛使用计算机网络的时代,夸大保护个人在互联网上使用数据的重要性是不可能的。由于底层技术的复杂性和广度以及技术随时间的演变,互联网安全涵盖了各种各样的主题。电子邮件、在线购物、银行业务、无线网络等服务都拥有专门的安全程序,就像无线网络一样。已经实施了多种安全协议——安全套接字层 (SSL)、传输层安全 (TLS) 等——以使互联网尽可能地免受风险。
多层重叠的安全
封装安全载荷,也称为“ESP”,是 IPSec 中用于提供加密(或机密性)和身份验证(无连接完整性和数据源身份验证)的协议的术语。在实现此目标的同时,构成通信会话的每个 IP 数据包的内容都经过身份验证和加密。
身份验证报头 (AH) 协议是 IPSec 的一部分,并提供与 ESP 相同的服务,包括无连接完整性和数据源身份验证。但是,与 ESP 不同,AH 协议不加密数据以保持信息的机密性。AH 身份验证报头确保 IP 数据包和 AH 可能包含的任何其他报头的完整性和责任。
我们可以单独或结合使用这两种过程来达到所需的安全性级别。精确的加密方法用于确定它们提供的保护是否足够。它们不依赖于任何特定算法,这使得轻松实现新算法而不会影响先前编写的代码的功能。
这些协议还支持两种 IPsec 模式——传输模式和隧道模式。
传输模式对于在 IP 负载下运行的高层协议(如 UDP 或 TCP)来说是安全的。AH 和 ESP 负责提供所需的安全性级别,并在它们拦截来自传输层前往网络层的数据包时保护传输报头。在使用传输模式时,通信端点也是加密端点,这确保了整个连接的最高安全性。
在隧道模式下,通过将数据封装在保护套中然后将其发送到安全网关进行解封装来加密数据。
隧道模式是在数据包的最终目的地与安全网关的位置不同的情况下可以使用的一种选项。
如果系统在与另一个系统建立连接时尝试加密通信通道,然后回退到未加密的通信,则该系统使用机会加密。它与立即返回到未加密通信的设计(OE)形成对比。使用此策略时,两个平台之间不需要进一步的深入协调。
可以使用称为消息验证码的较小数据片段和称为散列消息验证码代码(带密钥的散列消息验证码)的技术来验证消息的真实性。HMAC 通过使用保密的密钥和消息片段来生成 MAC 作为输出。此 MAC 存储在身份验证报头的身份验证数据字段中,可以在 AH 中找到。TCP 段中的所有内容都围绕计算,并且考虑了身份验证报头。当此 IP 数据包到达其最终位置时,使用相同的密钥重复相同的计算。如果数据包的 MAC 值与接收到的值匹配,则可以认为该数据包是真实的。
作为 IPsec 和ISAKMP 协议的扩展,IPsec NAT 穿越使 VPN 客户端和网关即使在使用 NAT 路由器的情况下也能相互通信。例如,IPsec 被商务旅客广泛用于将他们的个人电脑连接到位于各自家庭办公室的虚拟专用网络 (VPN)。当这些用户不在办公室时,他们通常需要使用 NAT 网关(例如酒店提供的网关)才能连接到互联网。在当今的环境中,许多防火墙都配备了网络地址转换 (NAT) 网关。这些网关允许公司局域网 (LAN) 对外部世界显示为具有单个 IP 地址。如果您对了解执行网络地址转换 (NAT) 的设备感兴趣,则应查看 RFC 1631。
连接系统和安全性:安全关联是互联网协议 (IP) 身份验证和机密性过程 (SA) 中的一个基本概念。关联可以提供安全服务来保护仅在一个方向上(在发送方和接收方之间)发送的连接中的数据。在连接两个私有且安全的参与方时,需要建立两个不同的安全关联。IPSec 中的关键管理过程主要关注密钥的确定和分发。在遵守 IP 安全体系结构指南中规定的标准的同时,它必须支持两种基本管理方法。
手动:系统管理员将手动设置每个系统的密钥以及任何其他通信系统的密钥。它在相对静态且变化不多的环境中有效。
当使用自动化技术时,可以根据需要生成 SA 密钥,并且它还简化了在配置始终处于变化状态的大型分布式系统中使用密钥的过程。您可以通过使用自动化方法获得这两个好处。对于较小的安装,通常选择手动密钥管理而不是自动化系统,因为前者需要的投入时间和物力要少得多。
结论
无需向用户介绍安全程序,无需发布单独的密钥材料,并且在员工离职后无需撤销密钥材料。如有必要,IPSec 可以为单个用户提供安全保障。此功能对远程员工以及在公司内部创建用于使用敏感数据的私有虚拟子网络很有用。
浏览量 122 次
