1.網(wǎng)絡認證協(xié)議Kerberos
Kerberos 是一種網(wǎng)絡認證協(xié)議,其設計目標是通過密鑰系統(tǒng)為客戶機 / 服務器應用程序提供強大的認證服務。該認證過程的實現(xiàn)不依賴于主機操作系統(tǒng)的認證誉裆,無需基于主機地址的信任,不要求網(wǎng)絡上所有主機的物理安全,并假定網(wǎng)絡上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)据某。在以上情況下, Kerberos 作為一種可信任的第三方認證服務诗箍,是通過傳統(tǒng)的密碼技術(如:共享密鑰)執(zhí)行認證服務的癣籽。
認證過程具體如下:客戶機向認證服務器(AS)發(fā)送請求,要求得到某服務器的證書滤祖,然后 AS 的響應包含這些用客戶端密鑰加密的證書筷狼。
證書的構成為:
服務器 “ticket” ;
一個臨時加密密鑰(又稱為會話密鑰 “session key”) 匠童。
客戶機將 ticket (包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝)傳送到服務器上桑逝。會話密鑰可以(現(xiàn)已經(jīng)由客戶機和服務器共享)用來認證客戶機或認證服務器,也可用來為通信雙方以后的通訊提供加密服務俏让,或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。
上述認證交換過程需要只讀方式訪問 Kerberos 數(shù)據(jù)庫茬暇。但有時首昔,數(shù)據(jù)庫中的記錄必須進行修改,如添加新的規(guī)則或改變規(guī)則密鑰時糙俗。修改過程通過客戶機和第三方 Kerberos 服務器(Kerberos 管理器 KADM)間的協(xié)議完成勒奇。有關管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護多份 Kerberos 數(shù)據(jù)庫的拷貝巧骚,這可以認為是執(zhí)行過程中的細節(jié)問題赊颠,并且會不斷改變以適應各種不同數(shù)據(jù)庫技術格二。
Kerberos又指麻省理工學院為這個協(xié)議開發(fā)的一套計算機網(wǎng)絡安全系統(tǒng)。系統(tǒng)設計上采用客戶端/服務器結構與DES加密技術竣蹦,并且能夠進行相互認證顶猜,即客戶端和服務器端均可對對方進行身份認證《焕ǎ可以用于防止竊聽长窄、防止replay攻擊、保護數(shù)據(jù)完整性等場合纲菌,是一種應用對稱密鑰體制進行密鑰管理的系統(tǒng)挠日。Kerberos的擴展產(chǎn)品也使用公開密鑰加密方法進行認證。
2.安全外殼協(xié)議SSH
SSH 為 Secure Shell 的縮寫翰舌,由 IETF 的網(wǎng)絡小組(Network Working Group)所制定嚣潜;SSH 為建立在應用層基礎上的安全協(xié)議。SSH 是目前較可靠椅贱,專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議懂算。利用 SSH 協(xié)議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統(tǒng)上的一個程序夜涕,后來又迅速擴展到其他操作平臺犯犁。SSH在正確使用時可彌補網(wǎng)絡中的漏洞。SSH客戶端適用于多種平臺女器。幾乎所有UNIX平臺—包括HP-UX酸役、Linux、AIX驾胆、Solaris涣澡、Digital UNIX、Irix丧诺,以及其他平臺入桂,都可運行SSH。
傳統(tǒng)的網(wǎng)絡服務程序驳阎,如:ftp抗愁、pop和telnet在本質上都是不安全的,因為它們在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)呵晚,別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)蜘腌。而且,這些服務程序的安全驗證方式也是有其弱點的饵隙, 就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊撮珠。所謂“中間人”的攻擊方式, 就是“中間人”冒充真正的服務器接收你傳給服務器的數(shù)據(jù)金矛,然后再冒充你把數(shù)據(jù)傳給真正的服務器芯急。服務器和你之間的數(shù)據(jù)傳送被“中間人”一轉手做了手腳之后勺届,就會出現(xiàn)很嚴重的問題。通過使用SSH娶耍,你可以把所有傳輸?shù)臄?shù)據(jù)進行加密免姿,這樣"中間人"這種攻擊方式就不可能實現(xiàn)了,而且也能夠防止DNS欺騙和IP欺騙伺绽。使用SSH养泡,還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣饶斡ΑSH有很多功能澜掩,它既可以代替Telnet,又可以為FTP杖挣、PoP肩榕、甚至為PPP提供一個安全的"通道" 。
從客戶端來看惩妇,SSH提供兩種級別的安全驗證株汉。
第一種級別(基于口令的安全驗證)
只要你知道自己帳號和口令,就可以登錄到遠程主機歌殃。所有傳輸?shù)臄?shù)據(jù)都會被加密乔妈,但是不能保證你正在連接的服務器就是你想連接的服務器∶ブ澹可能會有別的服務器在冒充真正的服務器路召,也就是受到“中間人”這種方式的攻擊。
第二種級別(基于密匙的安全驗證)
需要依靠密匙波材,也就是你必須為自己創(chuàng)建一對密匙股淡,并把公用密匙放在需要訪問的服務器上。如果你要連接到SSH服務器上廷区,客戶端軟件就會向服務器發(fā)出請求唯灵,請求用你的密匙進行安全驗證。服務器收到請求之后隙轻,先在該服務器上你的主目錄下尋找你的公用密匙埠帕,然后把它和你發(fā)送過來的公用密匙進行比較。如果兩個密匙一致玖绿,服務器就用公用密匙加密“質詢”(challenge)并把它發(fā)送給客戶端軟件敛瓷。客戶端軟件收到“質詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務器镰矿。
用這種方式,你必須知道自己密匙的口令俘种。但是秤标,與第一種級別相比绝淡,第二種級別不需要在網(wǎng)絡上傳送口令。
第二種級別不僅加密所有傳送的數(shù)據(jù)苍姜,而且“中間人”這種攻擊方式也是不可能的(因為他沒有你的私人密匙)牢酵。但是整個登錄的過程可能需要10秒。
3.安全電子交易協(xié)議SET
安全電子交易協(xié)議(secure Electronic Transaction簡稱SET) 由威士(VISA)國際組織衙猪、萬事達(MasterCard)國際組織創(chuàng)建馍乙,結合IBM、Microsoft垫释、Netscope丝格、GTE等公司制定的電子商務中安全電子交易的一個國際標準。
安全電子交易協(xié)議SET是一種應用于因特網(wǎng)(Internet)環(huán)境下棵譬,以信用卡為基礎的安全電子交付協(xié)議显蝌,它給出了一套電子交易的過程規(guī)范。通過SET協(xié)議可以實現(xiàn)電子商務交易中的加密订咸、認證曼尊、密鑰管理機制等,保證了在因特網(wǎng)上使用信用卡進行在線購物的安全脏嚷。
其主要目的是解決信用卡電子付款的安全保障性問題骆撇,這包括:保證信息的機密性,保證信息安全傳輸父叙,不能被竊聽神郊,只有收件人才能得到和解密信息;保證支付信息的完整性高每,保證傳輸數(shù)據(jù)完整接收屿岂,在中途不被篡改;認證商家和客戶鲸匿,驗證公共網(wǎng)絡上進行交易活動包括會計機構的設置爷怀、會計人員的配備及其職責權利的履行和會計法規(guī)、制度的制定與實施等內容带欢。合理运授、有效地組織會計工作,意義重大乔煞,它有助于提高會計信息質量吁朦,執(zhí)行國家財經(jīng)紀律和有關規(guī)定;有助于提高經(jīng)濟效益渡贾,優(yōu)化資源配置逗宜。會計工作的組織必須合法合規(guī)。講求效益,必須建立完善的內部控制制度纺讲,必須有強有力的組織保證擂仍。
工作流程
1)消費者利用自己的PC機通過因特網(wǎng)選定所要購買的物品,并在計算機上輸入訂貨單熬甚、訂貨單上需包括在線商店逢渔、購買物品名稱及數(shù)量、交貨時間及地點等相關信息乡括。
2)通過電子商務服務器與有關在線商店聯(lián)系肃廓,在線商店作出應答,告訴消費者所填訂貨單的貨物單價诲泌、應付款數(shù)盲赊、交貨方式等信息是否準確,是否有變化档礁。
3)消費者選擇付款方式角钩,確認訂單簽發(fā)付款指令。此時SET開始介入呻澜。
4)在SET中递礼,消費者必須對訂單和付款指令進行數(shù)字簽名,同時利用雙重簽名技術保證商家看不到消費者的帳號信息羹幸。
5)在線商店接受訂單后脊髓,向消費者所在銀行請求支付認可。信息通過支付網(wǎng)關到收單銀行栅受,再到電子貨幣發(fā)行公司確認将硝。批準交易后,返回確認信息給在線商店屏镊。
6)在線商店發(fā)送訂單確認信息給消費者依疼。消費者端軟件可記錄交易日志,以備將來查詢而芥。
7)在線商店發(fā)送貨物或提供服務并通知收單銀行將錢從消費者的帳號轉移到商店帳號律罢,或通知發(fā)卡銀行請求支付。在認證操作和支付操作中間一般會有一個時間間隔棍丐,例如误辑,在每天的下班前請求銀行結一天的帳。
前兩步與SET無關歌逢,從第三步開始SET起作用巾钉,一直到第六步,在處理過程中通信協(xié)議秘案、請求信息的格式砰苍、數(shù)據(jù)類型的定義等SET都有明確的規(guī)定潦匈。在操作的每一步,消費者赚导、在線商店历等、支付網(wǎng)關都通過CA(認證中心)來驗證通信主體的身份,以確保通信的對方不是冒名頂替辟癌,所以,也可以簡單地認為SET規(guī)格充分發(fā)揮了認證中心的作用荐捻,以維護在任何開放網(wǎng)絡上的電子商務參與者所提供信息的真實性和保密性黍少。
4.安全套接層協(xié)議SSL
SSL的英文全稱是“Secure Sockets Layer”,中文名為“安全套接層協(xié)議 ”处面,它是網(wǎng)景(Netscape)公司提出的基于 WEB 應用的安全協(xié)議厂置。
SSL協(xié)議指定了一種在應用程序協(xié)議(如HTTP、Telnet魂角、NNTP和FTP等)和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機制昵济,它為TCP/IP連接提供數(shù)據(jù)加密、服務器認證野揪、消息完整性以及可選的客戶機認證访忿。
VPN SSL200設備網(wǎng)關適合應用于中小企業(yè)規(guī)模,滿足其企業(yè)移動用戶斯稳、分支機構海铆、供應商、合作伙伴等企業(yè)資源(如基于 Web 的應用挣惰、企業(yè)郵件系統(tǒng)卧斟、文件服務器、C/S 應用系統(tǒng)等)安全接入服務憎茂。企業(yè)利用自身的網(wǎng)絡平臺珍语,創(chuàng)建一個增強安全性的企業(yè)私有網(wǎng)絡。SSL VPN客戶端的應用是基于標準Web瀏覽器內置的加密套件與服務器協(xié)議出相應的加密方法竖幔,即經(jīng)過授權用戶只要能上網(wǎng)就能夠通過瀏覽器接入服務器建立SSL安全隧道板乙。
5.網(wǎng)絡層安全協(xié)議IPSec
IPSec由IETF制定,面向TCMP赏枚,它為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議亡驰。
IPSec主要功能為加密和認證,為了進行加密和認證饿幅,IPSec還需要有密鑰的管理和交換的功能凡辱,以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。以上三方面的工作分別由AH栗恩,ESP和IKE(Internet Key Exchange透乾,Internet 密鑰交換)三個協(xié)議規(guī)定。為了介紹這三個協(xié)議,需要先引人一個非常重要的術語SA(Security Association安全關聯(lián))乳乌。所謂安全關聯(lián)是指安全服務與它服務的載體之間的一個“連接”捧韵。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護汉操。要實現(xiàn)AH和ESP再来,都必須提供對SA的支持。通信雙方如果要用IPSec建立一條安全的傳輸通路磷瘤,需要事先協(xié)商好將要采用的安全策略芒篷,包括使用的加密算法、密鑰采缚、密鑰的生存期等针炉。當雙方協(xié)商好使用的安全策略后,我們就說雙方建立了一個SA扳抽。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接篡帕,可以由AH或ESP提供。當給定了一個SA贸呢,就確定了IPSec要執(zhí)行的處理镰烧,如加密,認證等楞陷。SA可以進行兩種方式的組合拌滋,分別為傳輸臨近和嵌套隧道。
IPSec的工作原理類似于包過濾防火墻猜谚,可以看作是對包過濾防火墻的一種擴展败砂。當接收到一個IP數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配魏铅。當找到一個相匹配的規(guī)則時昌犹,包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。這里的處理工作只有兩種:丟棄或轉發(fā)览芳。IPSec通過查詢SPD(Security Policy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理斜姥。但是IPSec不同于包過濾防火墻的是,對IP數(shù)據(jù)包的處理方法除了丟棄沧竟,直接轉發(fā)(繞過IPSec)外铸敏,還有一種,即進行IPSec處理悟泵。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡安全性杈笔。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過糕非,可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內部某些站點蒙具,也可以拒絕某個內部站點對某些外部網(wǎng)站的訪問球榆。但是包過濾防火墻不能保證自內部網(wǎng)絡出去的數(shù)據(jù)包不被截取,也不能保證進入內部網(wǎng)絡的數(shù)據(jù)包未經(jīng)過篡改禁筏。只有在對IP數(shù)據(jù)包實施了加密和認證后持钉,才能保證在外部網(wǎng)絡傳輸?shù)臄?shù)據(jù)包的機密性、真實性篱昔、完整性每强,通過Internet進行安全的通信才成為可能。IPSec既可以只對IP數(shù)據(jù)包進行加密州刽,或只進行認證舀射,也可以同時實施二者。但無論是進行加密還是進行認證怀伦,IPSec都有兩種工作模式,一種是隧道模式山林,另一種是傳輸模式房待。
參考文章:
Kerberos
SSH
安全電子交易協(xié)議
安全套接層協(xié)議
IPSec協(xié)議
https://www.bilibili.com/video/BV1cL4y1p7kZ?p=2&share_source=copy_webb站視頻都來看看
