2011年软考系统架构设计师学习笔记第十一章5

 　11.1.5 安全协议

　　1、IPSec 协议简述

　　因特网工程任务组(IETF)，IPSec 在 IP层上 对数据包 进行高强度 的 安全处理 提供 数据源验证、无连接数据完整性、数据机密性、抗重播、有限通信流机密性等安全服务。

　　1. IPSec 协议工作原理

　　通过使用两种信息安全协议 来为数据报提供高质量的安全性：认证头(AH)协议 和 封装安全载荷(ESP)协议，以及像 Internet 密钥交换(Internet Key Exchange，IKE)协议这样的密钥管理协过程和协议。

　　IPSec 允许系统或网络用户 控制安全服务提供的粒度。

　　由通信双方建立的安全关联(Security Association，SA)来提供。

　　3. IPSec 协议 安全性分析

　　可以应用于所有跨越网络边界的通信。

　　如果所有来自外部的通信必须使用IP，且防火墙是 Internet 与 组织的唯一入口，则 IPSec 是不能被绕过的。

　　IPSec 位于传输层(TCP、UDP)之下，因此对应用程序是透明的，实现时，没有必要在用户或服务器上更改软件。

　　IPSec 对最终用户是透明的，没有必要 培训用户掌握安全机制。

　　2、SSL 协议

　　SSL 协议(Secure Socket Layer)对计算机之间的 整个会话进行加密，位于 TCP 和 应用层 之间，可为应用层 提供 安全业务，主要是 Web应用。

　　基本目标是 在通信双方之间 建立安全的连接。

　　SSL 协议工作原理

　　两个重要的概念：SSL 连接和SSL 会话。

　　连接 是 提供恰当类型服务的传输，对于 SSL ，连接是点到点的关系。

　　SSL 的会话是 客户和服务器之间的关联，会话通过握手协议来创建。

　　会话定义了 加密安全 参数的一个集合。

　　会话可以用来避免为每个连接进行 昂贵的新安全参数的协商。

　　3、PGP 协议

　　1. PGP 协议的定义

　　PGP(Pretty Good Privacy)针对 电子邮件 在 Internet上 通信的 安全问题而设计的一种混合加密系统。

　　公钥密码和分组密码 是在同一个系统中，PGP 的用户拥有一张公钥表。

　　PGP 应用程序具有很多优点：速度快、效率高、可移植性好。

　　2. PGP 协议 的 加密过程

　　用 IDEA 算法对明文加密，接着用接收者的 RSA公钥 对这个IDEA密钥进行加密。

　　PGP 没有用 RSA 算法直接对明文加密，而是对 IDEA 密钥 进行加密。

　　由于 IDEA 算法 速度很快，所以不会因为邮件的数量大而耽误时间，而IDEA的密钥位数较少，所以使用RSA算法在速度上也不会有很大影响。