資料結構
網路
關係型資料庫管理系統 (RDBMS)
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究與網際網路協議安全相關的基本概念
在當今廣泛使用計算機網路的時代,誇大保護個人在網際網路上使用資料的重要性是不可能的。由於底層技術的複雜性和廣度以及技術隨時間的演變,網際網路安全涵蓋了各種各樣的主題。電子郵件、線上購物、銀行業務、無線網路等服務都擁有專門的安全程式,就像無線網路一樣。已經實施了多種安全協議——安全套接字層 (SSL)、傳輸層安全 (TLS) 等——以使網際網路儘可能地免受風險。
多層重疊的安全
封裝安全載荷,也稱為“ESP”,是 IPSec 中用於提供加密(或機密性)和身份驗證(無連線完整性和資料來源身份驗證)的協議的術語。在實現此目標的同時,構成通訊會話的每個 IP 資料包的內容都經過身份驗證和加密。
身份驗證報頭 (AH) 協議是 IPSec 的一部分,並提供與 ESP 相同的服務,包括無連線完整性和資料來源身份驗證。但是,與 ESP 不同,AH 協議不加密資料以保持資訊的機密性。AH 身份驗證報頭確保 IP 資料包和 AH 可能包含的任何其他報頭的完整性和責任。
我們可以單獨或結合使用這兩種過程來達到所需的安全性級別。精確的加密方法用於確定它們提供的保護是否足夠。它們不依賴於任何特定演算法,這使得輕鬆實現新演算法而不會影響先前編寫的程式碼的功能。
這些協議還支援兩種 IPsec 模式——傳輸模式和隧道模式。
傳輸模式對於在 IP 負載下執行的高層協議(如 UDP 或 TCP)來說是安全的。AH 和 ESP 負責提供所需的安全性級別,並在它們攔截來自傳輸層前往網路層的資料包時保護傳輸報頭。在使用傳輸模式時,通訊端點也是加密端點,這確保了整個連線的最高安全性。
在隧道模式下,透過將資料封裝在保護套中然後將其傳送到安全閘道器進行解封裝來加密資料。
隧道模式是在資料包的最終目的地與安全閘道器的位置不同的情況下可以使用的一種選項。
如果系統在與另一個系統建立連線時嘗試加密通訊通道,然後回退到未加密的通訊,則該系統使用機會加密。它與立即返回到未加密通訊的設計(OE)形成對比。使用此策略時,兩個平臺之間不需要進一步的深入協調。
可以使用稱為訊息驗證碼的較小資料片段和稱為雜湊訊息驗證碼程式碼(帶金鑰的雜湊訊息驗證碼)的技術來驗證訊息的真實性。HMAC 透過使用保密的金鑰和訊息片段來生成 MAC 作為輸出。此 MAC 儲存在身份驗證報頭的身份驗證資料欄位中,可以在 AH 中找到。TCP 段中的所有內容都圍繞計算,並且考慮了身份驗證報頭。當此 IP 資料包到達其最終位置時,使用相同的金鑰重複相同的計算。如果資料包的 MAC 值與接收到的值匹配,則可以認為該資料包是真實的。
作為 IPsec 和ISAKMP 協議的擴充套件,IPsec NAT 穿越使 VPN 客戶端和閘道器即使在使用 NAT 路由器的情況下也能相互通訊。例如,IPsec 被商務旅客廣泛用於將他們的個人電腦連線到位於各自家庭辦公室的虛擬專用網路 (VPN)。當這些使用者不在辦公室時,他們通常需要使用 NAT 閘道器(例如酒店提供的閘道器)才能連線到網際網路。在當今的環境中,許多防火牆都配備了網路地址轉換 (NAT) 閘道器。這些閘道器允許公司區域網 (LAN) 對外部世界顯示為具有單個 IP 地址。如果您對了解執行網路地址轉換 (NAT) 的裝置感興趣,則應檢視 RFC 1631。
連線系統和安全性:安全關聯是網際網路協議 (IP) 身份驗證和機密性過程 (SA) 中的一個基本概念。關聯可以提供安全服務來保護僅在一個方向上(在傳送方和接收方之間)傳送的連線中的資料。在連線兩個私有且安全的參與方時,需要建立兩個不同的安全關聯。IPSec 中的關鍵管理過程主要關注金鑰的確定和分發。在遵守 IP 安全體系結構指南中規定的標準的同時,它必須支援兩種基本管理方法。
手動:系統管理員將手動設定每個系統的金鑰以及任何其他通訊系統的金鑰。它在相對靜態且變化不多的環境中有效。
當使用自動化技術時,可以根據需要生成 SA 金鑰,並且它還簡化了在配置始終處於變化狀態的大型分散式系統中使用金鑰的過程。您可以透過使用自動化方法獲得這兩個好處。對於較小的安裝,通常選擇手動金鑰管理而不是自動化系統,因為前者需要的投入時間和物力要少得多。
結論
無需向用戶介紹安全程式,無需釋出單獨的金鑰材料,並且在員工離職後無需撤銷金鑰材料。如有必要,IPSec 可以為單個使用者提供安全保障。此功能對遠端員工以及在公司內部建立用於使用敏感資料的私有虛擬子網路很有用。
瀏覽量 122 次
