网络各层的安全实例:从物理层到应用层的保护

在前面的各节中,我们学习了利用密码学技术实现机密性、完整性、数字签名和实体鉴别等安全服务的基本方法。在本节中,我们将讨论这些方法在网络各层的具体应用实例。这些安全应用实例涉及从物理层到应用层的所有层次。

1. 为什么需要在网络各层提供安全服务?

读者可能会有这样的疑惑:为什么需要在网络的各层都提供安全服务,而不是仅在底层或最高层提供安全服务?通常,低层协议的安全服务会为所有上层协议提供安全性,但层次越低,提供的安全性越通用,受众面越广,安全防护的粒度也就越粗。

1.1 低层安全与高层安全的对比

例如,在IP层的安全机制可以为所有主机提供安全通信服务,但却无法保证用户间电子邮件的安全性。因为利用电子邮件通信的双方并不直接在IP层上进行通信,电子邮件需要通过中间的邮件服务器转发。

1.2 应用层的安全不足

反过来,仅在应用层提供安全服务是否足够?由于网络应用种类繁多,出于开发成本、维护成本和使用成本的考虑,大多数用户只希望网络为各种应用提供基本的安全性保护,不一定需要每种网络应用都使用自己专用的安全协议。

2. 物理层实例:信道加密机

信道加密是在物理层保证通信数据机密性和完整性的方法。这项技术在计算机网络出现之前就已经存在。信道加密机位于通信结点前端,对通信结点发送的所有数据进行加密,然后将其发送到物理链路上。

image

2.1 信道加密的优点

使用信道加密技术的一个好处是对上层协议几乎没有任何影响(即具有很好的透明性),又能为通过该链路的所有数据提供安全保护。

  • 透明性:由于信道加密在物理层进行,对上层协议和应用完全透明,不需要对现有网络协议和应用进行修改。
  • 全面保护:信道加密对通过链路的所有数据进行加密,包括控制信息和数据内容,防止窃听和篡改。
  • 流量分析防护:由于信道加密掩盖了源地址和目的地址,可以防止基于流量分析的攻击。

2.2 信道加密的局限

信道加密也有一些局限性:

  • 结点安全性要求:由于数据在结点内部以明文形式存在,结点本身必须是安全的,防止物理入侵。
  • 局部保护:信道加密只能保护网络的局部链路安全,不能提供端到端的安全保护。

因此,仅采用信道加密不能保证端到端通信的安全性,它只能用于保护网络局部链路的通信安全。

2.3 实际应用

信道加密通常在以下情况下使用:

  • 无线链路:如卫星链路和无线电链路,容易被窃听的链路。
  • 专用网络:如军用网络和政府网络,要求高安全性的链路。

在实际应用中,信道加密常与其他层次的安全机制结合使用,以提供全面的安全保护。

3. 数据链路层实例:802.11i

随着802.11无线局域网技术的广泛应用,无线网络的安全问题越来越受到关注。802.11无线局域网主要在数据链路层为用户提供安全性

3.1 早期无线局域网的安全机制

早期802.11无线局域网的安全机制比较简单,主要使用以下几种安全机制为用户提供极其有限的安全保护:

  • SSID匹配:提供无加密的鉴别服务,主要以服务集标识符(SSID)作为基本的鉴别方式。用户终端必须配置与AP相同的SSID才能接入网络。这种鉴别方式不能防止窃听和冒充。
  • MAC地址过滤:通过设置允许或拒绝接入的MAC地址列表进行简单的访问控制。攻击者可以通过侦听有效的MAC地址并进行伪装来绕过这种控制。
  • WEP算法:提供实体鉴别、访问控制、数据加密和完整性检验,但由于加密强度较低和密钥管理不完善,存在严重的安全隐患。

3.2 IEEE 802.11i

IEEE 802.11i提供了更强的加密形式,包括一种可扩展的鉴别机制集合、更强的加密算法,以及一种密钥分发机制。它的商业名称为WPA2,提供了企业模式和家庭模式两种应用模式。

image

3.2.1 企业模式

企业模式通过使用鉴别服务器和复杂的安全鉴别机制来保护无线网络的通信安全:

  • 鉴别服务器:负责终端和AP之间的双向鉴别和密钥分发。
  • 强加密算法:如AES(高级加密标准),提供高强度的数据加密。
  • 密钥管理:动态生成和分发临时密钥,防止长期使用同一密钥带来的安全风险。
3.2.2 家庭模式

家庭模式(也称为个人模式)在AP和无线终端上配置预设共享密钥(PSK)来保护无线网络的通信安全:

  • 预设共享密钥:简单易用,适合家庭和小型办公室用户。
  • 适度安全性:虽然不如企业模式安全性高,但对于家庭用户来说已经足够。

3.3 WAPI

我国发布了WAPI(无线局域网鉴别和保密基础架构) 标准,采用公钥密码技术进行双向鉴别和会话密钥生成。虽然功能强大,但与IEEE 802.11i不兼容,支持的设备较少。

4. 网络层实例:IPsec

IPsec(IP security) 是一组为互联网网络层提供安全服务的协议,能够在传输方式和隧道方式下运行,为IP数据报提供鉴别、数据完整性和机密性服务。

image

4.1 传输方式

传输方式保护运输层交给网络层传递的内容,即只保护IP数据报的有效载荷,通常用于主机到主机的数据保护。

image

4.1.1 工作机制

在传输方式下,IPsec保护运输层的有效载荷,不保护IP首部。发送主机使用IPsec加密有效载荷,并封装成IP数据报进行传输。接收主机解密数据报并传递给运输层。

4.2 隧道方式

隧道方式保护包括IP首部在内的整个IP数据报,为了对整个IP数据报进行鉴别或加密,要为该IP数据报增加一个新的IP首部,而将原IP数据报作为有效载荷进行保护。

image

4.2.1 工作机制

隧道方式通常用于两个路由器之间或一个主机与一个路由器之间,常用来实现虚拟专用网(VPN)。IPsec隧道方式通过在数据报前添加新的IP首部,将原数据报作为有效载荷进行加密和传输。

4.3 IPsec的主要协议

IPsec协议簇中有两个主要协议:鉴别首部(AH)协议封装安全载荷(ESP)协议

4.3.1 鉴别首部(AH)协议

AH协议提供源鉴别和数据完整性服务,但不提供机密性服务。源结点将AH首部插入IP数据报首部和被保护的数据之间,目的结点通过验证AH字段来鉴别源和数据的完整性。

image

4.3.2 封装安全载荷(ESP)协议

ESP协议提供鉴别、数据完整性和机密性服务。ESP首部包含SPI字段和序号字段,ESP尾部包含下一个首部字段和填充数据。ESP协议对有效载荷和ESP尾部进行加密。

image

4.4 安全关联(SA)

在两个结点之间用AH协议或ESP协议进行通信之前,首先要建立一条网络层的逻辑连接,称为安全关联(SA) 。通过SA,双方确定加密或鉴别算法以及安全参数,并在SA建立时产生一个安全参数索引(SPI)。

5. 运输层实例:SSL/TLS

SSL(Secure Socket Layer)TLS(Transport Layer Security) 是广泛使用的运输层安全协议,主要用于确保在线购物等网络应用的安全。

image

5.1 SSL/TLS的安全服务

  • 服务器鉴别:验证服务器的真实身份并获得服务器的公钥。
  • 客户鉴别:可选服务,允许服务器验证客户的身份。
  • 加密会话:对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。

5.2 SSL/TLS的工作过程

SSL/TLS协议先进行浏览器和服务器之间的握手,完成加密算法的协商和会话密钥的传递,然后进行安全数据传输。

5.3 SSL/TLS在浏览器中的应用

SSL/TLS协议广泛应用于浏览器中。例如,在IE浏览器中,可以在选项设置中启用SSL3.0和TLS1.0。访问支持SSL/TLS的网页时,网址栏显示https,表示使用安全的HTTP协议。

5.4 SSL/TLS的应用实例

以万维网应用为例,SSL/TLS协议的工作过程如下:

image

  1. 协商加密算法:浏览器向服务器提供可选的加密算法,服务器选定一种并告知浏览器。
  2. 服务器鉴别:服务器向浏览器发送包含公钥的数字证书,浏览器验证证书。
  3. 会话密钥计算:浏览器随机产生一个秘密数,用服务器公钥加密后发送给服务器,双方根据协商算法生成共享的对称会话密钥。
  4. 安全数据传输:双方用会话密钥加密和解密传送的数据,并验证其完整性。

6. 应用层实例:PGP

PGP(Pretty Good Privacy) 是一种用于电子邮件的安全软件,提供机密性、完整性、发件人鉴别和不可否认性四种安全服务。

6.1 PGP的工作原理

PGP利用散列函数、发件方私钥、收件方公钥和一次性密钥实现安全电子邮件的发送和接收。

6.1.1 发件方处理过程

image

  1. 生成邮件摘要:发件方用散列函数生成邮件摘要。
  2. 签名摘要:用发件方私钥对摘要进行签名。
  3. 加密邮件和摘要:用一次性密钥加密邮件及其签名的摘要。
  4. 加密一次性密钥:用收件方公钥加密一次性密钥。
  5. 发送加密内容:将加密的邮件、摘要和一次性密钥发送给收件方。
6.1.2 收件方处理过程

image

  1. 解密一次性密钥:收件方用自己的私钥解密一次性密钥。
  2. 解密邮件和摘要:用一次性密钥解密邮件及其摘要。
  3. 验证摘要签名:用发件方公钥核实摘要签名,验证邮件的完整性并对发件方进行鉴别。

6.2 PGP的公钥分发

发件方和收件方可以通过CA签发的证书或第三方签署的方式获得对方的公钥,常见的方式是将公钥发布在个人网页上或通过电子邮件分发。

总结

网络各层的安全服务确保了通信的全方位保护。从物理层的信道加密到应用层的PGP,每一层都有其独特的安全机制。理解和应用这些机制,可以有效保障网络通信的安全。

图文来源:《计算机网络教程》第六版微课版

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/414084.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

GoLang:Go语言开发环境的配置

Go语言 Go语言开发环境的配置 - 文章信息 - Author: 李俊才 (jcLee95) Visit me at CSDN: https://jclee95.blog.csdn.netMy WebSite:http://thispage.tech/Email: 291148484163.com. Shenzhen ChinaAddress of this article:https://blog.csdn.net/qq_28550263/a…

【Matlab】时间序列模型(ARIMA)

文章目录 前言一、示例二、代码实现----Matlab全部数据的平稳性检验ADF检验图检验法 划分训练集平稳性检验确定 p,q结果分析和模型检验模型预测 前言 接上一篇博客,用 Matlab 完成代码编写。 【学习笔记】时间序列模型(ARIMA) 一、示例 已知一个上市公…

Pandas 9-绘制柱状图

1. 准备数据 首先,需要准备一个DataFrame。 import pandas as pd # 创建一个DataFrame data { Name: [Alice, Bob, Charlie, David], Age: [24, 27, 22, 32], City: [New York, Los Angeles, Chicago, Houston], Score: [85, 92, 78, 88]} df pd.…

sql-labs46-50通关攻略

第46关 一.查询数据库 http://172.16.1.142/Less-46/?sort1%20and%20updatexml(1,concat(0x7e,(select%20database()),0x7e),1)--http://172.16.1.142/Less-46/?sort1%20and%20updatexml(1,concat(0x7e,(select%20database()),0x7e),1)-- 二.查表 http://172.16.1.142/Les…

软件测试 | 测试用例

测试用例(Test Case)是为了实施测试而向被测试的系统提供的一组集合,这组集合包含:测试环境,测试步骤,测试数据,预期结果等要素。 设计测试用例原则⼀: 测试用例中⼀个必需部分是对…

【微机原理】指令JZ和JNZ的区别

🌟 嗨,我是命运之光! 🌍 2024,每日百字,记录时光,感谢有你一路同行。 🚀 携手启航,探索未知,激发潜能,每一步都意义非凡。 JZ(Jump …

php特性刷题

93 上面注释的是一些配置信息 然后包含flag.php页面 高亮显示 如果,先判断是否存在GET传参的参数num,如果弱比较等于4476,就会输出“no non no !” 如果包含字母那么就错误(包含大小写) 判断变量 $num 是否等于 4…

QEMU - user network

Documentation/Networking - QEMUQEMU/KVM中的网络虚拟化--Part2 User Networking | Xiaoye Zhengs blog (zxxyy.github.io)QEMU Network — ARM SoC Device Assignment Notes documentation (cwshu.github.io)slirp / libslirp GitLabGitHub - virtualsquare/libvdeslirp: li…

Python中排序算法之选择排序

选择排序算法是对《Python中排序算法之冒泡排序》中提到的冒泡排序算法的改进。 1 选择排序原理 选择排序是在参加排序的所有元素中找到数值最小(或最大)的元素,如果它不是左侧第一个元素,就使它与左侧第一个元素中的数据相互交…

Mysql8利用binlog实现数据恢复

文章目录 1binlog基本概念2 binlog相关常用命令3 binlog工具mysqlbinlog4 测试数据准备&导入数据5 模拟误删表6 数据恢复方式说明7 数据恢复分析(偏移量方式恢复)8 数据恢复9 验证10 数据恢复的局限性11 总结 1binlog基本概念 binlog即binary log,二进制日志文件…

Python爬虫02

xml 和html 区别 jsonpath模块 场景 多层嵌套的复杂字典直接提取数据 安装 pip install jsonpath使用 from jsonpath import jsonpathret jsonpath(dict, jaonpath语法规则字符串)语法规则 eg:

基于PHP评论区的存储型XSS漏洞

评论区的XSS漏洞是指攻击者在评论区输入恶意脚本,当其他用户浏览该页面时,这些恶意脚本会被执行,从而造成安全威胁。这种漏洞通常出现在网站没有对用户输入进行充分过滤和转义的情况下,为存储型XSS。存储型XSS攻击是指攻击者在目标…

使用 EasyExcel 高效读取大文件 Excel

使用 EasyExcel 高效读取大文件 Excel 的最佳实践 在现代应用中,数据处理经常涉及到大规模数据集的处理,Excel 作为一种常见的文件格式,经常用于数据导入和导出。然而,传统的 Excel 处理库如 Apache POI 在处理大文件时可能会面临…

实战项目:俄罗斯方块(一)

文章目录 🍊自我介绍🍊vt100 控制码1.概述2.数字格式①常用数字控制码②常用控制码 🍊绘制方格 你的点赞评论就是对博主最大的鼓励 当然喜欢的小伙伴可以:点赞关注评论收藏(一键四连)哦~ 🍊自我…

关于VUE3开发频繁引入ref,reactive,computed等基础函数。

利用unplugin-auto-import插件可以避免频繁引入ref,reactive,computed等基础函数。 1.安装unplugin-auto-import依赖 npm i -D unplugin-auto-import 2.在vite.config.ts中注入依赖 效果

Webfunny前端监控如何搭建高并发使用场景

Webfunny可以支持千万级别PV的日活量了。但是,我们默认的部署配置,是无法支持这么高的日活量的,需要我们做一些支持高并发的配置和操作,下面让我们一起看下如何让webfunny支持更高的并发量吧,下图为webfunny高并发架构…

AI安全前沿:模型攻击与防御策略

引言 随着chatGPT的横空出世,通用人工智能的时代正式开启。人工智能极大地影响了人类的生活方式和生产方式,例如以ChatGPT为代表的各类大模型,能够理解和生成人类语言,并以对话的方式同人类进行互动,能够执行撰写文本…

Hot Chips 2024:博通(Broadcom)展示AI计算ASIC的光学连接

引言 在2024年的Hot Chips会议上,博通展示了其最新的AI计算专用集成电路(ASIC),这款ASIC集成了光学连接技术。这一展示不仅体现了博通在定制AI加速器领域的领先地位,也预示着未来数据中心网络技术的一个重要发展方向。…

重塑视频监控体验:WebRTC技术如何赋能智慧工厂视频高效管理场景

视频汇聚EasyCVR视频监控平台,作为一款智能视频监控综合管理平台,凭借其强大的视频融合汇聚能力和灵活的视频能力,在各行各业的应用中发挥着越来越重要的作用。 EasyCVR平台不仅兼容多种主流标准协议及私有协议/SDK的接入(如&…

qt实现三原色滑动条变色

在qt中有这样一个控件: 就是这个Horizontal Slider他的作用相信大家都知道了,也就是通过滑动来改变数值。今天我们就使用这个控件实现一个三原色滑动变色。 实现效果: 1.创建UI界面 这个就不用多说了,这个大家就按照我的这个去…