Protocolos de seguridad utilizados en Internet

Others 2020-09-23 11:05:57 views: null

Protocolo de seguridad de la capa de red

IP apenas tiene seguridad y no puede garantizar:

  • Confidencialidad de los datos;
  • Integridad de los datos;
  • Certificación de fuente de datos

IPsec proporciona un mecanismo estándar, robusto y completo para garantizar la seguridad de la capa IP. IPsec es la abreviatura de "Seguridad IP".

Las tres partes de IPsec

  1. Los dos protocolos del formato de datagrama de seguridad IP
    (1) Protocolo de encabezado de autenticación (AH): proporciona autenticación de punto de origen e integridad de datos, pero no puede mantenerse confidencial
    (2) Protocolo de carga útil de seguridad de encapsulación (Carga útil de seguridad de encapsulación): proporciona un punto de origen Autenticación, integridad y confidencialidad de los datos.

  2. Tres protocolos relacionados con los algoritmos de encriptación (no discutidos aquí)

  3. Protocolo Internet Key Exchange IKE (Internet KeyExchange).

Dos modos de trabajo del datagrama de seguridad IP

  1. Modo de transporte: agregue una cantidad de información de control antes y después de todo el segmento del mensaje de la capa de transporte , más el encabezado IP para formar un datagrama de seguridad IP. Todo el segmento del mensaje de la capa de transporte está protegido, lo que es adecuado para una transmisión segura de un host a otro . Todos los hosts que necesitan utilizar IPsec ejecutan el protocolo IPsec.
  2. Modo túnel: agregue información de control antes y después del datagrama IP original, además de un nuevo encabezado IP para formar un datagrama de seguridad IP. Esto requiere que el protocolo IPsec se esté ejecutando en todos los enrutadores a través de los cuales pasa el datagrama IPsec. El método de túnel se usa comúnmente para implementar una red privada virtual VPN.

Independientemente del método que se utilice, el encabezado IP del datagrama de seguridad IP final no está cifrado . El llamado "datagrama seguro" significa que la parte de datos del datagrama está encriptada y puede autenticarse. La parte de datos del datagrama generalmente se denomina carga útil del datagrama .

Asociación de Seguridad SA

Antes de usar AH o ESP, se debe establecer una conexión lógica en la capa de red desde el host de origen al host de destino. Esta conexión lógica se denomina Asociación de seguridad (SA). IPsec transforma la capa de red tradicional sin conexión a Internet en una capa de red conectada lógicamente.

Suponga que el host H1 de la sede de la empresa y el host H2 de la sucursal deben comunicarse de forma segura a través de Internet. La asociación de seguridad SA entre la sede de la empresa y las sucursales se establece entre los enrutadores R1 y R2.
Inserte la descripción de la imagen aquí
Si el host H1 de la sede de la empresa desea comunicarse de forma segura con el host H2 de un vendedor extranjero, se debe establecer una asociación de seguridad SA entre el enrutador R1 de la sede de la empresa y el host H2 del vendedor extranjero.
Inserte la descripción de la imagen aquí

Protocolo de seguridad de la capa de transporte

Los siguientes dos protocolos se utilizan ampliamente ahora:

  • Capa de conexión segura SSL (Capa de conexión segura)
  • TLS (seguridad de la capa de transporte).

SSL actúa entre HTTP y la capa de transporte de la capa de aplicación del sistema final, y establece un canal seguro sobre TCP para brindar seguridad a los datos de la capa de aplicación transmitidos a través de TCP. En 1999, IETF lanzó el estándar de seguridad de la capa de transporte TLS sobre la base de SSL3.0 para proporcionar servicios de transmisión de datos seguros para todas las aplicaciones de red basadas en TCP.
Inserte la descripción de la imagen aquí

  • SSL / TLS está construido sobre TCP confiable y no tiene nada que ver con la independencia del protocolo de la capa de aplicación.
  • SSL / TLS ha sido compatible con todos los navegadores y servidores web de uso común.
  • El objetivo básico de SSL / TLS: lograr una comunicación segura y confiable entre dos entidades de aplicación.
  • La capa de aplicación que más usa SSL es HTTP, pero SSL no solo se usa para HTTP, sino que se puede usar para cualquier protocolo de capa de aplicación. Cuando la aplicación HTTP llama a SSL para cifrar toda la página web, la página web le indicará al usuario que el lugar donde originalmente se mostraba http en la barra de URL es ahora https. La s agregada después de http significa seguridad, lo que indica que ahora se usa el protocolo HTTP que proporciona servicios de seguridad (el número de puerto HTTPS de TCP es 443 en lugar del número de puerto habitual 80).

Servicios de seguridad proporcionados por SSL

(1) La autenticación del servidor SSL permite a los usuarios verificar la identidad del servidor. El cliente que admite SSL autentica la identidad real del servidor y obtiene la clave pública del servidor verificando el certificado del servidor.

(2) La autenticación de cliente SSL, un servicio de seguridad opcional de SSL, permite al servidor verificar la identidad del cliente.

(3) La sesión SSL cifrada cifra todos los mensajes enviados entre el cliente y el servidor y detecta si los mensajes han sido manipulados.

Protocolo de seguridad de la capa de aplicación

PGP (Pretty Good Privacy) es un paquete completo de software de seguridad de correo electrónico que incluye tecnología de cifrado, autenticación, firma electrónica y compresión. PGP no utiliza ningún concepto nuevo, solo integra algunos algoritmos existentes como MD5, RSA e IDEA. Aunque PGP se ha utilizado ampliamente, PGP no es un estándar oficial para Internet.

Principio de funcionamiento de PGP

  • PGP proporciona seguridad de correo electrónico, autenticación de remitente e integridad de mensajes.
    Suponga que A envía un texto sin formato de correo electrónico X a B, utilizando PGP para el cifrado.
    A tiene tres claves: la clave privada de A, la clave pública de B y la clave de un solo uso.
    B tiene dos claves: la clave privada de B y la clave pública de A.

Trabajo del remitente A

Inserte la descripción de la imagen aquí
(1) Realice el cálculo MD5 en el correo de texto sin formato X para obtener el resumen H. Utilice la clave privada de A para cifrar H (es decir, firma digital) para obtener el código de autenticación del mensaje MAC, que se empalma después del texto plano X para obtener el correo extendido (X, MAC).
(2) Utilice la clave única de A para cifrar el correo extendido (X, MAC).
(3) Utilice la clave pública de B para cifrar la clave de un solo uso generada por A. Debido a que la clave utilizada para el cifrado es de un solo uso, es decir, la clave solo se utilizará una vez y el contenido previamente cifrado no se descifrará debido a una fuga de claves.
Incluso si se filtra la clave, solo afectará el proceso de comunicación una vez.
(4) Envíe la clave única cifrada y el correo extendido cifrado a B.

Trabajo del destinatario B

Inserte la descripción de la imagen aquí
(1) Separe la clave única cifrada del mensaje extendido cifrado (X, MAC).
(2) Utilice la propia clave privada de B para resolver la clave única de A.
(3) Utilice la clave única resuelta para descifrar el mensaje y luego separe el texto sin formato X y MAC.
(4) Utilice la clave pública de A para descifrar el MAC (es decir, verificación de firma) para obtener un resumen de mensajes H. Este resumen de mensaje es el resumen de mensaje generado por A utilizando el correo de texto plano X a través de la operación MD5.
(5) Realice la operación de resumen de mensaje MD5 en el correo de texto plano separado X para obtener otro resumen de mensaje H (X). Compare H (X) con la H obtenida previamente para ver si son iguales. Si lo mismo, se pasa la autenticación del remitente del correo, y también se confirma la integridad del mensaje.

Supongo que te gusta

Origin blog.csdn.net/qq1350975694/article/details/107079302
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com