關(guān)于簡單網(wǎng)絡(luò)安全協(xié)議有哪些
關(guān)于簡單網(wǎng)絡(luò)安全協(xié)議有哪些
今天學(xué)習(xí)啦小編就給大家說下簡單網(wǎng)絡(luò)安全協(xié)議有那些~具體知識點如下。
簡單網(wǎng)絡(luò)安全協(xié)議一:
RP(Address Resolution Protocol)地址解析協(xié)議
它是用于映射計算機的物理地址和臨時指定的網(wǎng)絡(luò)地址。啟動時它選擇一個協(xié)議(網(wǎng)絡(luò)層)地址,并檢查這個地址是否已經(jīng)有別的計算機使用,如果沒有被使用,此結(jié)點被使用這個地址,如果此地址已經(jīng)被別的計算機使用,正在使用此地址的計算機會通告這一信息,只有再選另一個地址了。
SNMP(Simple Network Management P)網(wǎng)絡(luò)管理協(xié)議
它是TCP/IP協(xié)議中的一部份,它為本地和遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備管理提供了一個標(biāo)準(zhǔn)化途徑,是分布式環(huán)境中的集中化管理的重要組成部份。
BGP4(Border Gateway Protocol Vertion 4)邊界網(wǎng)關(guān)協(xié)議-版本4
它是用于在自治網(wǎng)絡(luò)中網(wǎng)關(guān)主機(每個主機有自己的路由)之間交換路由信息的協(xié)議,它使管理員能夠在已知的路由策略上配置路由加權(quán),可以更方便地使用無級內(nèi)部域名路由(CIDR),它是一種在網(wǎng)絡(luò)中可以容納更多地址的機制,它比外部網(wǎng)關(guān)協(xié)議(EGP)更新。BGP4經(jīng)常用于網(wǎng)關(guān)主機之間,主機中的路由表包括了已知路由的列表,可達(dá)的地址和路由加權(quán),這樣就可以在路由中選擇最好的通路了。BGP在局域網(wǎng)中通信時使用內(nèi)部BGP(IBGP),因為IBGP不能很好工作。
DHCP(Dynamic Host Configuration Protocol)動態(tài)主機配置協(xié)議
它是在TCP/IP網(wǎng)絡(luò)上使客戶機獲得配置信息的協(xié)議,它是基于BOOTP協(xié)議,并在BOOTP協(xié)議的基礎(chǔ)上添加了自動分配可用網(wǎng)絡(luò)地址等功能。這兩個協(xié)議可以通過一些機制互操作。DHCP協(xié)議在安裝TCP/IP協(xié)議和使用TCP/IP協(xié)議進(jìn)行通迅時,必須配置IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)三個參數(shù),這三個參數(shù)可以手動配置,也可以使用DHCP自動配置。
FTP(File Transfer Protocol)文件傳輸協(xié)議
它是一個標(biāo)準(zhǔn)協(xié)議,是在計算機和網(wǎng)絡(luò)之間交換文件的最簡單的方法。象傳送可顯示文件的HTTP和電子郵件的SMTP一樣,F(xiàn)TP也是應(yīng)用TCP/IP協(xié)議的應(yīng)用協(xié)議標(biāo)準(zhǔn)。FTP通常用于將網(wǎng)頁從創(chuàng)作者上傳到服務(wù)器上供人使用,而從服務(wù)器上下傳文件也是一種非常普遍的使用方式。作為用戶,您可以用非常簡單的DOS界面來使用FTP,也可以使用由第三方提供的圖形界面的FTP來更新(刪除,重命名,移動和復(fù)制)服務(wù)器上的文件?,F(xiàn)在有許多服務(wù)器支持匿名登錄,允許用戶使用FTP和ANONYMOUS作為用戶名進(jìn)行登錄,通??墒褂萌魏慰诹罨蛑话椿剀囨I。
HDLC(High-Level Data Link Control)高層數(shù)據(jù)鏈路協(xié)議
它是一組用于在網(wǎng)絡(luò)結(jié)點間傳送數(shù)據(jù)的協(xié)議。在HDLC中,數(shù)據(jù)被組成一個個的單元(稱為幀)通過網(wǎng)絡(luò)發(fā)送,并由接收方確認(rèn)收到。HDLC協(xié)議也管理數(shù)據(jù)流和數(shù)據(jù)發(fā)送的間隔時間。HDLC是在數(shù)據(jù)鏈路層中最廣泛最使用的協(xié)議之一?,F(xiàn)在作為ISO的標(biāo)準(zhǔn),HDLC是基于IBM的SDLC協(xié)議的,SDLC被廣泛用于IBM的大型機環(huán)境之中。在HDLC中,屬于SDLC的被稱為通響應(yīng)模式(NRM)。在通常響應(yīng)模式中,基站(通常是大型機)發(fā)送數(shù)據(jù)給本地或遠(yuǎn)程的二級站。不同類型的HDLC被用于使用X.25協(xié)議的網(wǎng)絡(luò)和幀中繼網(wǎng)絡(luò),這種協(xié)議可以在局域網(wǎng)或廣域網(wǎng)中使用,無論此網(wǎng)是公共的還是私人的。
HTTP1.1(Hypertext Transfer Protocol Vertion 1.1)超文本傳輸協(xié)議-版本1.1
它是用來在Internet上傳送超文本的傳送協(xié)議。它是運行在TCP/IP協(xié)議族之上的HTTP應(yīng)用協(xié)議,它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少。任何服務(wù)器除了包括HTML文件以外,還有一個HTTP駐留程序,用于響應(yīng)用用戶請求。您的瀏覽器是HTTP客戶,向服務(wù)器發(fā)送請求,當(dāng)瀏覽器中輸入了一個開始文件或點擊了一個超級鏈接時,瀏覽器就向服務(wù)器發(fā)送了HTTP請求,此請求被送往由IP地址指定的URL。駐留程序接收到請求,在進(jìn)行必要的操作后回送所要求的文件。
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議
它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中,用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作,并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實際上應(yīng)用了Netscape的完全套接字層(SSL)作為HTTP應(yīng)用層的子層。(HTTPS使用端口443,而不是象HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。)SSL使用40 位關(guān)鍵字作為RC4流加密算法,這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證,如果需要的話用戶可以確認(rèn)發(fā)送者是誰。
ICMP(Internet Control Message Protocol)Internet控制信息協(xié)議
它是一個在主機和網(wǎng)關(guān)之間消息控制和差錯報告協(xié)議。ICMP使用IP數(shù)據(jù)報,但消息由TCP/IP軟件處理,對于應(yīng)用程序使用者是不可見的。在被稱為Catenet的系統(tǒng)中,IP協(xié)議被用作主機到主機的數(shù)據(jù)報服務(wù)。網(wǎng)絡(luò)連接設(shè)備稱為網(wǎng)關(guān)。這些網(wǎng)關(guān)通過網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議(GGP)相互交換用于控制的信息。通常,贍養(yǎng)或目的主機將和源主機通信,例如,為報告在數(shù)據(jù)報過程中的錯誤。為了這個目的才使用了ICMP,它使用IP做于底層支持,好象它是一個高層協(xié)議,而實際上它是IP的一部分,必須由其它IP模塊實現(xiàn)。ICMP消息在以下幾種情況下發(fā)送:當(dāng)數(shù)據(jù)報不能到達(dá)目的地時,當(dāng)網(wǎng)關(guān)的已經(jīng)失去緩存功能,當(dāng)網(wǎng)關(guān)能夠引導(dǎo)主機在更短路由上發(fā)送。IP并非設(shè)計為設(shè)計為絕對可靠,這個協(xié)議的目的是為了當(dāng)網(wǎng)絡(luò)出現(xiàn)問題的時候返回控制信息,而不是使IP協(xié)議變得絕對可靠,并不保證數(shù)據(jù)報或控制信息能夠返回。一些數(shù)據(jù)報仍將在沒有任何報告的情況下丟失。
IPv6(Internet Protocol Version 6)Internet協(xié)議-版本6
它是Internet協(xié)議的最新版本,已作為IP的一部分并被許多主要的操作系統(tǒng)所支持。IPv6也被稱為“Ipng”(下一代IP),它對現(xiàn)行的IP(版本4)進(jìn)行重大的改進(jìn)。使用IPv4和IPv6的網(wǎng)絡(luò)主機和中間結(jié)點可以處理IP協(xié)議中任何一層的包。用戶和服務(wù)商可以直接安裝IPv6而不用對系統(tǒng)進(jìn)行什么重大的修改。相對于版本4新版本的最大改進(jìn)在于將IP地址從32位改為128位,這一改進(jìn)是為了適應(yīng)網(wǎng)絡(luò)快速的發(fā)展對IP地址的需求,也從根本上改變了IP地址短缺的問題。簡化IPv4首部字段被刪除或者成為可選字段,減少了一般情況下包的處理開銷以及IPv6首部占用的帶寬。改進(jìn)IP 首部選項編碼方式的修改導(dǎo)致更加高效的傳輸,在選項長度方面更少的限制,以及將來引入新的選項時更強的適應(yīng)性。加入一個新的能力,使得那些發(fā)送者要求特殊處理的屬于特別的傳輸流的包能夠貼上標(biāo)簽,比如非缺省質(zhì)量的服務(wù)或者實時服務(wù)。為支持認(rèn)證,數(shù)據(jù)完整性以及(可選的)數(shù)據(jù)保密的擴展都在IPv6中說明。本文描述IPv6基本首部以及最初定義的IPv6 擴展首部和選項。還將討論包的大小問題,數(shù)據(jù)流標(biāo)簽和傳輸類別的語法,以及IPv6對上層協(xié)議的影響。IPv6 地址的格式和語法在其它文章中單獨說明。IPv6版的 ICMP 是所有IPv6應(yīng)用都需要包含的。
OSPF(Open Shortest Path First)開放最短路優(yōu)先
OSPF是用于大型自主網(wǎng)絡(luò)中替代路由信息協(xié)議的協(xié)議標(biāo)準(zhǔn)。象RIP一樣,OSPF也是由IETF設(shè)計用作內(nèi)部網(wǎng)關(guān)協(xié)議族中的一個標(biāo)準(zhǔn)。在使用OSPF時網(wǎng)絡(luò)拓樸結(jié)構(gòu)的變化可以立即在路由器上反映出來。不象RIP,OSPF不是全部當(dāng)前結(jié)點保存的路由表,而是通過最短路優(yōu)先算法計算得到最短路,這樣可以降低網(wǎng)絡(luò)通信量。如果您熟悉最短路優(yōu)先算法就會知道,它是一種只關(guān)心網(wǎng)絡(luò)拓樸結(jié)構(gòu)的算法,而不關(guān)心其它情況,如優(yōu)先權(quán)的問題,對于這一點,OSPF改變了算法使它根據(jù)不同的情況給某些通路以優(yōu)先權(quán)。
POP3(Post Office Protocol Version 3)郵局協(xié)議-版本3
它是一個關(guān)于接收電子郵件的客戶/服務(wù)器協(xié)議。電子郵件由服務(wù)器接收并保存,在一定時間之后,由客戶電子郵件接收程序檢查郵箱并下載郵件。POP3它內(nèi)置于IE和Netscape瀏覽器中。另一個替代協(xié)議是交互郵件訪問協(xié)議(IMAP)。使用IMAP您可以將服務(wù)器上的郵件視為本地客戶機上的郵件。在本地機上刪除的郵件還可以從服務(wù)器上找到。E-mail 可以被保存在服務(wù)器上,并且可以從服務(wù)器上找回。
PPP(Point to Point Protocol)點對點協(xié)議
它是用于串行接口的兩臺計算機的通信協(xié)議,是為通過電話線連接計算機和服務(wù)器而彼此通信而制定的協(xié)議。網(wǎng)絡(luò)服務(wù)提供商可以提供您點對點連接,這樣提供商的服務(wù)器就可以響應(yīng)您的請求,將您的請求接收并發(fā)送到網(wǎng)絡(luò)上,然后將網(wǎng)絡(luò)上的響應(yīng)送回。PPP是使用IP協(xié)議,有時它被認(rèn)為是TCP/IP協(xié)議族的一員。PPP協(xié)議可用于不同介質(zhì)上包括雙絞線,光纖和衛(wèi)星傳輸?shù)娜p工協(xié)議,它使用HDLC進(jìn)行包的裝入。PPP協(xié)議既可以處理同步通信也可以處理異步通信,可以允許多個用戶共享一個線路,又可發(fā)進(jìn)行SLIP協(xié)議所沒有的差錯控制。
RIP(Routing Infomation Protocol)路由信息協(xié)議
RIP是最早的路由協(xié)議之一,而且現(xiàn)在仍然在廣泛使用。它從類別上應(yīng)該屬于內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)類,它是距離向量路由式協(xié)議,這種協(xié)議在計算兩個地方的距離時只計算經(jīng)過的路由器的數(shù)目,如果到相同目標(biāo)有兩個不等速或帶寬不同的路由器,但是經(jīng)過的路由器的個數(shù)一樣,RIP認(rèn)為兩者距離一樣,而實際傳送數(shù)據(jù)時,很明顯一個快一個慢,這就是RIP協(xié)議的不足之處,而OSPF在它的基礎(chǔ)上克服了RIP的缺點。
SMTP(Simple Mail Transfer Protocol)簡單郵件傳送協(xié)議
它是用來發(fā)送電子郵件的TCP/IP協(xié)議。它的內(nèi)容由IETF的RFC 821定義。另外一個和SMTP相同功能的協(xié)議是X.400。SMTP的一個重要特點是它能夠在傳送中接力傳送郵件,傳送服務(wù)提供了進(jìn)程間通信環(huán)境(IPCE),此環(huán)境可以包括一個網(wǎng)絡(luò),幾個網(wǎng)絡(luò)或一個網(wǎng)絡(luò)的子網(wǎng)。理解到傳送系統(tǒng)(或IPCE)不是一對一的是很重要的。進(jìn)程可能直接和其它進(jìn)程通過已知的IPCE通信。郵件是一個應(yīng)用程序或進(jìn)程間通信。郵件可以通過連接在不同IPCE上的進(jìn)程跨網(wǎng)絡(luò)進(jìn)行郵件傳送。更特別的是,郵件可以通過不同網(wǎng)絡(luò)上的主機接力式傳送。
TCP/IP(Transmission Control Protocol/Internet Protocol)傳輸控制協(xié)議/Internet協(xié)議
TCP/IP協(xié)議起源于美國國防高級研究計劃局。提供可靠數(shù)據(jù)傳輸?shù)膮f(xié)議稱為傳輸控制協(xié)議TCP,好比貨物裝箱單,保證數(shù)據(jù)在傳輸過程中不會丟失;提供無連接數(shù)據(jù)報服務(wù)的協(xié)議稱為網(wǎng)絡(luò)協(xié)議IP,好比收發(fā)貨人的地址和姓名,保證數(shù)據(jù)到達(dá)指定的地點。TCP/IP協(xié)議是互聯(lián)網(wǎng)上廣泛使用的一種協(xié)議,使用TCP/IP協(xié)議的因特網(wǎng)等網(wǎng)絡(luò)提供的主要服務(wù)有:電子郵件、文件傳送、遠(yuǎn)程登錄、網(wǎng)絡(luò)文件系統(tǒng)、電視會議系統(tǒng)和萬維網(wǎng)。它是Interent的基礎(chǔ),它提供了在廣域網(wǎng)內(nèi)的路由功能,而且使Internet上的不同主機可以互聯(lián)。從概念上,它可以映射到四層:網(wǎng)絡(luò)接口層,這一層負(fù)責(zé)在線路上傳輸幀并從線路上接收幀;Internet層,這一層中包括了IP協(xié)議,IP協(xié)議生成Internet數(shù)據(jù)報,進(jìn)行必要的路由算法,IP協(xié)議實際上可以分為四部分:ARP,ICMP,IGMP和IP;再上向就是傳輸層,這一層負(fù)責(zé)管理計算機間的會話,這一層包括兩個協(xié)議TCP和UDP,由應(yīng)用程序的要求不同可以使用不同的協(xié)議進(jìn)行通信;最后一層是應(yīng)用層,就是我們熟悉的FTP,DNS,TELNET等。熟悉TCP/IP是熟悉Internet的必由之路。
TELNET Protocol虛擬終端協(xié)議
TELNET協(xié)議的目的是提供一個相對通用的,雙向的,面向八位字節(jié)的通信方法,它主要的目標(biāo)是允許接口終端設(shè)備的標(biāo)準(zhǔn)方法和面向終端的相互作用。是讓用戶在遠(yuǎn)程計算機登錄,并使用遠(yuǎn)程計算機上對外開放的所有資源。
Time Protocol時間協(xié)議
該協(xié)議提供了一個獨立于站點的,機器可讀的日期和時間信息。時間服務(wù)返回的是以秒數(shù),是從1900年1月1日午夜到現(xiàn)在的秒數(shù)。設(shè)計這個協(xié)議的一個重要目的在于,網(wǎng)絡(luò)上的許多主機并沒有時間的觀念,在分布式的系統(tǒng)上,我們可以想一想,北京的時間和東京的時間如何分呢?主機的時間往往可以人為改變,而且因為機器時鐘內(nèi)的誤差而變得不一致,因此需要使用時間服務(wù)器通過選舉方式得到網(wǎng)絡(luò)時間,讓服務(wù)器有一個準(zhǔn)確的時間觀念。不要小看時間,這對于一些以時間為標(biāo)準(zhǔn)的分布運行的程序簡單是太重要了。這個協(xié)議可以工作在TCP和UDP協(xié)議下。時間是由32位表示的,是自1900年1月1日0時到當(dāng)前的秒數(shù),我們可以計算一下,這個協(xié)議只能表示到2036年就不能用了,但是我們也知道計算機發(fā)展速度這么快,到時候可能就會有更好的協(xié)議代替這個協(xié)議。
TFTP(Trivial File Transfer Protocol)小文件傳輸協(xié)議
它是一個網(wǎng)絡(luò)應(yīng)用程序,它比FTP簡單也比FTP功能少。它在不需要用戶權(quán)限或目錄可見的情況下使用,它使用UDP協(xié)議而不是TCP協(xié)議。
UDP(User Datagram Protocol)用戶數(shù)據(jù)報協(xié)議
它是定義用來在互連網(wǎng)絡(luò)環(huán)境中提供包交換的計算機通信的協(xié)議,此協(xié)議默認(rèn)認(rèn)為網(wǎng)路協(xié)議(IP)是其下層協(xié)議。UDP是TCP的另外一種方法,象TCP一樣,UDP使用IP協(xié)議來獲得數(shù)據(jù)單元(叫做數(shù)據(jù)報),不象TCP的是,它不提供包(數(shù)據(jù)報)的分組和組裝服務(wù)。而且,它還不提供對包的排序,這意味著,程序程序必須自己確定信息是否完全地正確地到達(dá)目的地。如果網(wǎng)絡(luò)程序要加快處理速度,那使用UPD就比TCP要好。UDP提供兩種不由IP層提供的服務(wù),它提供端口號來區(qū)別不同用戶的請求,而且可以提供奇偶校驗。在OSI模式中,UDP和TCP一樣處于第四層,傳輸層。
簡單網(wǎng)絡(luò)安全協(xié)議二:
SSL、TLS、IPSec、Telnet、SSH、SET等
由于許多網(wǎng)絡(luò)攻擊都是因網(wǎng)絡(luò)協(xié)議如TCP/IP的固有漏洞引起的,因此,為了保證網(wǎng)絡(luò)傳輸和應(yīng)用的安全,出現(xiàn)了很多運行在基礎(chǔ)網(wǎng)絡(luò)協(xié)議上的安全協(xié)議,如IPSec、SSL、 S-HTTP、S/MIME等,下面對他們進(jìn)行了簡單的介紹,并對它們進(jìn)行了比較。
1.IPSec
IPSec 是Internet Protocol Security的縮寫,它是設(shè)計為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議,它使用AH和ESP協(xié)議來實現(xiàn)其安全,使用 ISAKMP/Oakley及SKIP進(jìn)行密鑰交換、管理及安全協(xié)商(Security Association)。IPSec安全協(xié)議工作在網(wǎng)絡(luò)層,運行在它上面的所有網(wǎng)絡(luò)通道都是加密的。IPSec安全服務(wù)包括訪問控制、數(shù)據(jù)源認(rèn)證、無連 接數(shù)據(jù)完整性、抗重播、數(shù)據(jù)機密性和有限的通信流量機密性。IPSec使用身份認(rèn)證機制進(jìn)行訪問控制,即兩個IPSec實體試圖進(jìn)行通信前,必須通過 IKE協(xié)商SA,協(xié)商過程中要進(jìn)行身份認(rèn)證,身份認(rèn)證采用公鑰簽名機制,使用數(shù)字簽名標(biāo)準(zhǔn)(DSS)算法或RSA算法,而公通常是從證書中獲得的; IPSec使用消息鑒別機制實現(xiàn)數(shù)據(jù)源驗證服務(wù),即發(fā)送方在發(fā)送數(shù)據(jù)包前,要用消息鑒別算法HMAC計算MAC,HMAC將消息的一部分和密鑰作為輸入, 以MAC作為輸出,目的地收到IP包后,使用相同的驗證算法和密鑰計算驗證數(shù)據(jù),如果計算出的MAC與數(shù)據(jù)包中的MAC完全相同,則認(rèn)為數(shù)據(jù)包通過了驗 證;無連接數(shù)據(jù)完整性服務(wù)是對單個數(shù)據(jù)包是否被篡改進(jìn)行檢查,而對數(shù)據(jù)包的到達(dá)順序不作要求,IPSec使用數(shù)據(jù)源驗證機制實現(xiàn)無連接完整性服務(wù); IPSec的抗重播服務(wù),是指防止攻擊者截取和復(fù)制IP包,然后發(fā)送到源目的地,IPSec根據(jù) IPSec頭中的序號字段,使用滑動窗口原理,實現(xiàn)抗重播服務(wù);通信流機密性服務(wù)是指防止對通信的外部屬性(源地址、目的地址、消息長度和通信頻率等)的 泄露,從而使攻擊者對網(wǎng)絡(luò)流量進(jìn)行分析,推導(dǎo)其中的傳輸頻率、通信者身份、數(shù)據(jù)包大小、數(shù)據(jù)流標(biāo)識符等信息。IPSec使用ESP隧道模式,對IP包進(jìn)行 封裝,可達(dá)到一定程度的機密性,即有限的通信流機密性。
2.SSL協(xié)議
安全套接層(Security Socket Layer,SSL)協(xié)議就是設(shè)計來保護(hù)網(wǎng)絡(luò)傳輸信息的,它工作在傳輸層之上,應(yīng)用層之下,其底層是基于傳輸層可靠的流傳輸協(xié)議(如TCP)。SSL協(xié)議 最早由Netscape公司于1994年11月提出并率先實現(xiàn)(SSLv2)的,之后經(jīng)過多次修改,最終被IETF所采納,并制定為傳輸層安全 (Transport Layer Security,TLS)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)剛開始制定時是面向Web應(yīng)用的安全解決方案,隨著SSL部署的簡易性和較高的安全性逐漸為人所知,現(xiàn)在它已經(jīng)成 為Web上部署最為廣泛的信息安全協(xié)議之一。近年來SSL的應(yīng)用領(lǐng)域不斷被拓寬,許多在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔?如電子商務(wù)、金融業(yè)務(wù)中的信用卡號或PIN 碼等機密信息)都紛紛采用SSL來進(jìn)行安全保護(hù)。SSL通過加密傳輸來確保數(shù)據(jù)的機密性,通過信息驗證碼(Message Authentication Codes,MAC)機制來保護(hù)信息的完整性,通過數(shù)字證書來對發(fā)送和接收者的身份進(jìn)行認(rèn)證。
實際上SSL協(xié)議本身也是個分層的協(xié)議,它由消息子層以及承載消息的記錄子層組成。
SSL 記錄協(xié)議首先按照一定的原則如性能最優(yōu)原則把消息數(shù)據(jù)分成一定長度的片斷;接著分別對這些片斷進(jìn)行消息摘要和MAC計算,得到MAC值;然后再對這些片斷 進(jìn)行加密計算;最后把加密后的片斷和MAC值連接起來,計算其長度,并打上記錄頭后發(fā)送到傳輸層。這是一般的消息數(shù)據(jù)到達(dá)后,記錄層所做的工作。但有的特 殊消息如握手消息,由于發(fā)送時還沒有完全建立好加密的通道,所以并不完全按照這個方式進(jìn)行;而且有的消息比較短小,如警示消息(Alert),出于性能考 慮也可能和其它的一些消息一起被打包成一個記錄。
消息子層是應(yīng)用層和SSL記錄層間的接口,負(fù)責(zé)標(biāo)識并在應(yīng)用層和SSL記錄層間傳輸數(shù)據(jù)或者對握 手信息和警示信息的邏輯進(jìn)行處理,可以說是整個SSL層的核心。其中尤其關(guān)鍵的又是握手信息的處理,它是建立安全通道的關(guān)鍵,握手狀態(tài)機運行在這一層上。 警示消息的處理實現(xiàn)上也可以作為握手狀態(tài)機的一部分。SSL協(xié)議為了描述所有消息,引入了SSL規(guī)范語言,其語法結(jié)構(gòu)主要仿照C語言,而是無歧義、精簡 的。
3. S-HTTP
安全超文本傳輸協(xié)議(Secure HyperText Transfer Protocol,S-HTTP)是EIT公司結(jié)合 HTTP 而設(shè)計的一種消息安全通信協(xié)議。S-HTTP協(xié)議處于應(yīng)用層,它是HTTP協(xié)議的擴展,它僅適用于HTTP聯(lián)結(jié)上,S-HTTP可提供通信保密、身份識 別、可信賴的信息傳輸服務(wù)及數(shù)字簽名等。S-HTTP 提供了完整且靈活的加密算法及相關(guān)參數(shù)。選項協(xié)商用來確定客戶機和服務(wù)器在安全事務(wù)處理模式、加密算法(如用于簽名的非對稱算法 RSA 和 DSA等、用于對稱加解密的 DES 和 RC2 等)及證書選擇等方面達(dá)成一致。
S-HTTP 支持端對端安全傳輸,客戶機可能“首先”啟動安全傳輸(使用報頭的信息),如,它可以用來支持加密技術(shù)。S-HTTP是通過在S-HTTP所交換包的特殊頭標(biāo)志來建立安全通訊的。當(dāng)使用 S-HTTP時,敏感的數(shù)據(jù)信息不會在網(wǎng)絡(luò)上明文傳輸。
4. S/MIME
S/MIME 是Secure / Multipurpose Internet Mail Extensions的縮寫,是從PEM (Privacy Enhanced Mail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來的。S/MIME是利用單向散列算法(如SHA-1、MD5等)和公鑰機制的加密體系。 S/MIME的證書格式采用X.509標(biāo)準(zhǔn)格式。S/MIME的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu),所有下一級的組織和個人的證書均由上一級的組織負(fù) 責(zé)認(rèn)證,而最上一級的組織(根證書)之間相互認(rèn)證,整個信任關(guān)系是樹狀結(jié)構(gòu)的。另外,S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。