应用层的网路安全通讯协定-淡江大学.ppt

PGP安全電子郵件系統 PGP是1991年Philip Zimmermann 設計，以公開金鑰演算法為基礎所發展出來的電子郵件傳送工具，提供隱密性、資料來源鑑別、資料真確性與不可否認性等服務 PGP應用下列技術提供電子郵件安全服務： 隱密性：採用CBC模式的IDEA加密演算法 金鑰管理：應用RSA長度384、512或1024位元 訊息真確性及數位簽章：使用RSA與MD5的演算法 壓縮：訊息在加密前先用ZIP2.0 壓縮，可減少資料量和明文資料的重複性 PGP 訊息的傳送及接收 電子郵件系統所使用的符號及其意義 PGP的數位簽章結構圖 PGP協定的數位簽章機制 鑑別性 PGP的訊息加密結構圖 PGP協定的訊息加密機制 機密性 SSL安全傳輸協定 SSL (Secure Socket Layer)是由Netscape於1995年所發表的網路安全協定。其主要功能是建立瀏覽器與web伺服器間資料傳遞的安全通道 SSL透過加密的技術來保障交易資料的安全，當用戶端在傳送資料時，便啟動SSL加密機制 「https://」開頭，即表示具有SSL保護的網頁 SSL安全傳輸協定(續) SSL提供的安全服務主要有下列幾項： 提供資料傳送的機密性 (Confidentiality) 提供資料傳送的完整性 (Integrity) 提供使用者與顧客間的身分鑑別機制 (Authenticity) SSL協定主要分成兩部份： SSL紀錄協定(SSL Record Protocol) 提供資料機密性及完整性兩種服務 SSL交握協定(SSL Handshake Protocol) 提供使用者與伺服器間的身分驗證機制 SSL紀錄協定運作過程 完整性 機密性 SSL交握協定運作過程 TLS傳輸層安全協定 IETF (Internet Engineering Task Force)組織在1999年發表了傳輸層安全(Transport Layer Security, TLS)協定 TLS主要是以SSL第三版本為基礎，TLS大部分的記錄格式與SSL相同 僅版本編號的部分有些出入 在加密套件與訊息驗證碼的選擇上也有些許不同 在亂數的產生方式及訊息驗證碼也有些微出入 但基本精神都是一致的 IPSec 由於網路層目前多半使用IP作為資料傳輸的協定，但在安全上仍有漏洞，有鑑於此，IETF便積極制定一套網路層的安全通訊協定，稱之為IP安全通訊協定(IP Secure, IPSec) IPSec主要提供三種安全服務： 鑑別性(Authentication) 機密性(Confidentiality) 金鑰管理(Key Management) IPSec主要包含兩種協定： 確認性標頭協定(Authentication Header, AH)：用來確保來源認證性及資料完整性 安全資料封裝協定(Encapsulating Security Payload, ESP)：用來提供資料機密性 確認性標頭的格式內容 IPSec之確認性標頭協定 安全資料封裝協定的格式內容 IPSec之安全資料封裝協定 IP並不在簽章的範圍內，因此，ESP無法偵測到IP標頭是否遭到竄改 IPSec Transport Mode 在原IP Header與IP Payload間插入IPSec Header 適用Host-to-Host環境 Internet Router Router LAN 1 (加密) LAN 2 (解密) IPSec between Hosts Payload IPA,IPB Host A Host B Payload IPSec IPA,IPB Payload IPA,IPB IPSec Tunnel Mode 在封包前面加上新IP Header與IPSec Header 適用Gateway-to-Gateway環境 Internet LAN 1 (加密) LAN 2 (解密) IPSec between Gateways Payload IPA,IPB Host A Host B Payload IPA,IPB IPSec Gateway X IPSec Gateway Y Payload IPSec IPA,IPB IPX,IPY IPSec之金鑰管理機制 金鑰管理服務的主要目的是在幫助使用者安全地協議出所需的秘密金鑰 手動(Manual)金鑰管理： 系統管理者以人工的方式用自己的金鑰與其他系統的金鑰來設定所需的安全協議 適合小型且通訊對象固定的環境來使用 自動(Automated)金鑰管理： 安全協議的設定工作由系統自動來執行 適合大型且通訊對象經常變動的環境中 採用改良的Diffie-Hellman IPSec IP Security Architecture RFC 2401/1825