一、应用层安全协议
1.S-HTTP与HTTPS
(1)S-HTTP
S-HTTP
(安全超文本传输协议)是
HTTP
的扩展,是一个面向报文的安全通信协议,
使用
TCP协议
的端口
80
,位于
应用层
。
(2)HTTPS
HTTPS
是
HTTP + SSL
,使用
TCP 协议
的
443
端口,由于SSL的快速发展,使得 HTTPS 基本取代了S-HTTP。
① TLS(传输层安全协议)
是更为安全的升级版 SSL。
SSI7TLS 在Web安全通信中被称为
HTTPS
。
位于
传输层
。
2.PGP
是一个
电子邮件加密软件包
。
它提供
应用层
安全服务。
(1)优点
①
跨平台且免费
,并且得到许多制造商的支持。
②
基于比较安全的加密算法
(
RSA、IDEA、MD5
)。(用摘要算法从明文提取)
③ 具有
广泛的应用领域
,既可加密文件,也可以用于个人安全通信。
④ 该软件包
不是由政府或标准化组织开发和控制
的,这一点对于具有自由倾向的网民特具吸引力。
(2)PGP提供2种服务
① 数据加密
数据加密机制
可以应用于本地存储的文件,也可以应用于网络上传输的电子邮件
。
② 数字签名
数字签名机制
用于数据源身份认证和报文完整性验证
。
(3)PGP认证加密验证
PGP
使用
RSA公钥证书
进行身份认证
,使用
IDEA(128位密钥)
进行数据加密
,使用
MD5
进行数据完整性验证
。
3.SET(安全电子交易)
保证在互联网上进行安全的
支付商业
活动。
它提供
应用层
安全服务。
(1)提供三种服务
① 在交易涉及的各方之间
提供安全信道
。
② 使用
X.509 数字证书
实现安全的电子交易。(在X.509标准中,
数字证书的一般格式包含的数据域有版本号、序列号、签名算法、发行者、有效期、主体名、公钥、发行者ID、主体ID、扩展域和认证机构的签名
。)
③ 保证信息的
机密性
。
二、Kerberos认证服务
是麻省理工为校园网用户访问服务器进行身份认证设计的安全认证协议。
1.Kerberos安全机制
(1)AS(认证服务器)
Authentication Server,为用户发放
TGT
的服务器。
(2)TGS(票证授予服务器,加密解密)
负责发放访问应用服务器时需要的票证
。
(3)KDC(密钥分发中心)
认证服务器 和 票证授予服务器 组成
密钥分发中心
(Key Distribution Center,
KDC
)。
(4)V(用户请求访问的应用服务器)
(5)TGT初始认证信息
Ticket Granting Ticket,用户向
TGS
证明自己身份的初始票据,即
Ktgs(A,Ks)
。
2.认证流程(重点)
PC端向
AS(认证服务器)
发送明文认证身份,
AS
会将它传给
KDC(密钥分发中心)
,
KDC
就会注册PC端相关的账号和密码,然后返回给
AS
,
AS
再交给PC端;
PC端访问
TGS
(票证授予服务器),
TGS
会返回给PC两个票据(1个是会话的密钥,1个是票据),
TGS
拿着票据交给目标(如谷歌浏览器),谷歌浏览器返回应答。
3.防止重放攻击
在
Kerberos系统
中,使用
一次性密钥和时间戳
来防止重放攻击。