1. 網際網路的網路層安全協議族ipsec包括哪些主要協議
ipsec ipsec:ip層協議安全結構 (ipsec:security architecture for ip network) ipsec 在 ip 層提供安全服務,它使系統能按需選擇安全協議,決定服務所使用的演算法及放置需求服務所需密鑰到相應位置。 ipsec 用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。 ipsec 能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發包(部分序列完整性形式)、保密性和有限傳輸流保密性。因為這些服務均在 ip 層提供,所以任何高層協議均能使用它們,例如 tcp 、 udp 、icmp 、 bgp 等等。 這些目標是通過使用兩大傳輸安全協議,頭部認證(ah) 和封裝安全負載 (esp),以及密鑰管理程序和協議的使用來完成的。所需的 ipsec 協議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統的需求來決定。 當正確的實現、使用這些機制時,它們不應該對不使用這些安全機制保護傳輸的用戶、主機和其他英特網部分產生負面的影響。這些機制也被設計成演算法獨立的。這種模塊性允許選擇不同的演算法集而不影響其他部分的實現。例如:如果需要,不同的用戶通訊可以採用不同的演算法集。 定義一個標準的默認演算法集可以使得全球因英特網更容易協同工作。這些演算法輔以 ipsec 傳輸保護和密鑰管理協議的使用為系統和應用開發者部署高質量的網際網路層的加密的安全技術提供了途徑。 ipsec 不是特殊的加密演算法或認證演算法,也沒有在它的數據結構中指定一種特殊的加密演算法或認證演算法,它只是一個開放的結構,定義在ip數據包格式中,為各種的數據加密或認證的實現提供了數據結構,為這些演算法的實現提供了統一的體系結構,因此,不同的加密演算法都可以利用ipsec定義的體系結構在網路數據傳輸過程中實施 vista系統常用英文專業詞語 互聯網協議安全(internet protocol security),一個標准機制,用於在網路層面上為穿越ip網路的數據包提供認證,完整性,以及機密性。
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
3. ■■■■■■■■■■■■■■■【域】如何運用
域和工作組的區別。
1、中央集權與各自為政的區別。
2、域的安全性高於工作組。
3、域 好比校長董事會
工作組 好比下面的各個系部
4、感覺如果設的不好, 你在域管理者面前有可能是裸奔.
5、樓上的解釋好像不大對, 這么說吧, 工作組是自由市場, 有幾個工作組就有幾個自由市場, 你可以隨時自由出入而沒什麼限制,從網上鄰居最先看到的往往是自己機器所在的工作組的機器們。而域是嚴格控制許可權的私人會所, 沒有正確的域用戶是根本無法登錄到域上的,也就無法訪問域所控制的資源。
6、域的登陸密碼是通過伺服器驗證的
7、看樣子要提醒MS以後不要將名稱搞的這么專業,還是要考慮到中國的國情,早知道將"域"改成"中央"將"工作組"改成"自由市場",這樣方便易懂,就不會有這么多的問題了.
8、簡單的說域是具有管理的能力的一種機制,採用的是分級的管理許可權,比如:中央-》省->市-》縣-》。。。-》個人但許可權比這還要嚴格得多。
而工作組在有域服務的時候,也就是網路中已經存在域伺服器的時候可以看作是域中除去工作站外最簡單的組織結構,在沒有域服務的時候相互間是可以相互訪問的。
9、網上復制過來的
區域網中工作組和域的主要差別!
為什麼要組建區域網呢?就是要實現資源的共享,既然資源要共享,資源就不會太少。如何管理這些在不同機器上的資源呢?域和工作組就是在這樣的環境中產生的兩種不同的網路資源管理模式。那麼究竟什麼是域,什麼是工作組呢?它們的區別又是什麼呢?
「自由」的工作組
工作組(Work Group)就是將不同的電腦按功能分別列入不同的組中,以方便管理。比如在一個網路內,可能有成百上千台工作電腦,如果這些電腦不進行分組,都列在「網上鄰居」內,可想而知會有多麼亂(恐怕網路鄰居也會顯示「下一頁」吧)。為了解決這一問題,Windows 9x/NT/2000才引用了「工作組」這個概念,比如一所高校,會分為諸如數學系、中文系之類的,然後數學系的電腦全都列入數學系的工作組中,中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源,就在「網上鄰居」里找到那個系的工作組名,雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢?其實方法很簡單,只需要右擊Windows桌面上的「網上鄰居」,在彈出的菜單出選擇「屬性」,點擊「標識」,在「計算機名」一欄中添入你想好的名字,在「工作組」一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組,那麼就相當於新建一個工作組,當然也只有你自己的電腦在裡面。不過要注意,計算機名和工作組的長度都不能超過15個英文字元,可以輸入漢字,但是也不能超過7個漢字。「計算機說明」是附加信息,不填也可以,但是最好填上一些這台電腦主人的信息,如「數學系主機」等。單擊「確定」按鈕後,Windows 98提示需要重新啟動,按要求重新啟動之後,再進入「網上鄰居」,就可以看到你所在工作組的成員了。
相對而言,所處在同一個工作組內部成員相互交換信息的頻率最高,所以你一進入「網上鄰居」,首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員,需要雙擊「整個網路」,然後你才會看到網路上其他的工作組,雙擊其他工作組的名稱,這樣你才可以看到裡面的成員,與之實現資源交換。
除此之外,你也可以退出某個工作組,方法也很簡單,只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源,只不過換了一個工作組而已。也就是說,你可以隨便加入同一網路上的任何工作組,也可以隨時離開一個工作組。「工作組」就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個「房間」,以方便網上計算機共享資源的瀏覽。
域的管理和設置
打個比方,如果說工作組是「免費的旅店」那麼域(Domain)就是「星級的賓館」;工作組可以隨便出出進進,而域則需要嚴格控制。「域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下,任何一台電腦只要接入網路,其他機器就都可以訪問共享資源,如共享上網等。盡管對等網路上的共享文件可以加訪問密碼,但是非常容易被破解。在由Windows 9x構成的對等網中,數據的傳輸是非常不安全的。
不過在「域」模式下,至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱為「域控制器(Domain Controller,簡寫為DC)」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時,域控制器首先要鑒別這台電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄,用戶就不能訪問伺服器上有許可權保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域,僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的,必須要由網路管理員進行相應的設置,把這台電腦加入到域中。這樣才能實現文件的共享。
1. 伺服器端設置
以系統管理員身份在已經設置好Active Directory(活動目錄)的Windows 2000 Server上登錄,選擇「開始」菜單中「程序」選項中的「管理工具」,然後再選擇「Active Directory用戶和計算機」,之後在程序界面中右擊「Computers」,在彈出的菜單中單擊「新建」,然後選擇「計算機」,之後填入想要加入域的計算機名即可。要加入域的計算機名最好為英文,中文計算機名可能會引起一些問題。
2. 客戶端設置
首先要確認計算機名稱是否正確,然後在桌面「網上鄰居」上右擊滑鼠,點擊「屬性」出現網路屬性設置窗口,確認「主網路登錄」為「Microsoft網路用戶」。選中窗口上方的「Microsoft網路用戶」(如果沒有此項,說明沒有安裝,點擊「添加」安裝「Microsoft網路用戶」選項)。點擊「屬性」按鈕,出現「Microsoft網路用戶屬性」對話框,選中「登錄到Windows NT域」復選框,在「Windows NT域」中輸入要登錄的域名即可。這時,如果是Windows 98操作系統的話,系統會提示需要重新啟動計算機,重新啟動計算機之後,會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後,就可以使用Windows 2000 Server域中的資源了。請注意,這里的域用戶賬號和密碼,必須是網路管理員為用戶建的那個賬號和密碼,而不是由本機用戶自己創建的賬號和密碼。如果沒有將計算機加入到域中,或者登錄的域名、用戶名、密碼有一項不正確,都會出現錯誤信息。
10、xp可以當伺服器建立活動目錄嗎?
xp可以做伺服器,但是微軟限制了並發連接只有10個
不能升級AD
11、Group裡面是對等的,沒有server或client的概念應該.
domain裡面好像除了域伺服器外,其它的機器也是對等的.
哪位老大能通俗易懂地講講Win2k中的「域」的概念?
1、域的英文是domain,按照字典的翻譯,這個詞的解釋應該是:
do·main / A doU`meIn / B noun [count] **
1 a particular area of activity or life:
This is a subject that has now moved into the political domain.
1a. an area of activity considered as belonging to or controlled by a particular person or group:
the common idea that engineering is a male domain
Organic foods are no longer the sole domain of health fanatics.
The garden has always been Al』s domain.
—> PUBLIC DOMAIN1
2 LITERARY an area of land owned and controlled by a particular person, especially in the past
3 TECHNICAL in mathematics, a range of possible values of a VARIABLE
4 COMPUTING a DOMAIN NAME
在M$的操作系統中,我們可以理解域為一個社區,伺服器相當於社區的會所,域中的主機相當於私人住宅,域管理員相當於社區的管理員,用戶則相當於居民。
在社區中興建一個住宅需要管理員的許可,你的主機要加入域也需要域管理員的同意。
社區的會所只對社區用戶開放,你要訪問伺服器,就得有ID。
私人住宅的主人有自己住宅的管理權,當然,主人如果大方,也可以把自己的住宅開放給別人用,也有出租房屋的,大家一起用,這就是多用戶共享一台主機。
社區可以按照管理的方式,分為封閉管理和開放管理,封閉管理就是拒絕所有的陌生人,也有豎起籬笆牆什麼的防止小偷小摸的,這就是防火牆。
兩個社區可以搞聯誼,雙方共享資源,這就是域的互信協議,在這個協議下,兩個社區的用戶可以適當的訪問別的社區資源。
2、嗯,剛才看有XD問工作組,這里我也白話白話。
工作組有點像北京公園里老頭老太太們佔山頭練京劇。
今天這一堆人圍一個山頭開始唱京劇,旁邊一堆人圍了一個山頭唱合唱。這些都是自發的,通常情況下大家也都守規矩,各自占各自的地盤,互不打擾。這就是工作組。
但這個區域是開放的,來去自由。隨便哪個過客路過也能加入其中瞄一瞄,唱兩句。所以常見到一個工作組裡面有一堆人不認識的,時不時還有人自發捐出點歌譜、行頭啥的,隨便用。這就是工作組間的共享。
要是碰上那些不守規矩的,跑到唱歌的那邊唱大戲,大家也沒轍,實在不行了,撤攤換一個工作組名稱重新圈塊地兒。
當然也有公家(domain)佔地趕的工作組四處跑的
有一天工作組里的老頭老太太們混的有一定規模了,成立一個協會啥的,有了正式的管理員,有了固定的地盤,就升級成域了。
3、域其實就是一個安全的邊界。它的存在主要是便於管理大型的網路的,可以進行統一的管理,such as統一發布組策略,同意安裝某種軟體等等,並且域中的用戶在登陸的時候,身份驗證的過程是在域控制器上完成的。
而工作組呢,只適應於小型的網路。如果電腦比較多的話,那麼工作組管理起來就極為不方便。因為每台電腦上面都有自己的安全賬戶資料庫,所以身份驗證過程必須在本地進行,如果你要是想登陸工作組中其他的電腦上面,你必須在那台電腦上面有你的用戶賬戶才行。
4、但是同一個域的用戶可以拿自己的帳戶打開別人的機器(別人的機器沒有開機密碼的情況下),只有用自己的帳戶登陸域即可,好像不太安全!
這個不是域的錯,是主機用戶的錯,主機用戶這么大方,夜不閉戶的,別人進取轉轉也沒什麼不妥吧
不想讓別人訪問,在本機的用戶組中把域用戶刪除就行了
5、不好意思,這篇文章有點誤導的嫌疑
關於MS中域的理解:我們知道,2000/XP和98的一個明顯不同是引入了多用戶機制,把主機比喻為私人住宅可以,那麼各個用戶名id和密碼就相當於進入這個房間的鑰匙,但是這——不是域的概念。我們想像一下,一個學校機房供全校學生使用,計算機是公用的,那麼每個機器都要給每個學生設立帳號是一件令人瘋狂的工作,如果一個新學生來了,我要給他在每台電腦上開新帳號,如果他要走了,我又要挨個機器每台去刪。這時域的觀念就引入了。一個域的伺服器主要功能就是負責域帳號的管理,這個域帳號在域內所有的計算機上都是通用的,也就是說,社區管理員只需要設立伺服器上的用戶和密碼,該用戶就可以自由使用社區內的所有資源。看到差別了么?」私人住宅的主人有自己住宅的管理權「這個觀點不是完全正確的,一旦你把自己的房間登入了社區,社區的所有用戶就可以自由訪問你的房間了,當然你可以把房間斷開,不登入社區,這樣才對自己住宅有完全的管理權,一旦登入了域,就要看域伺服器上管理員是如何設置域策略的,設置的嚴格的話,你幾乎不能對你的私人住宅做任何管理,因為域策略是大於本機策略的。
4. 網路安全和通信協議
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。 網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。 通過通信信道和設備互連起來的多個不同地理位置的數據通信系統,要使其能協同工作實現信息交換和資源共享,它們之間必須具有共同的語言。交流什麼、怎樣交流及何時交流,都必須遵循某種互相都能接受的規則。這個規則就是通信協議。
5. 各網路層安全協議有哪些
應用層
·DHCP(動態主機分配協議)
· DNS (域名解析)
· FTP(File Transfer Protocol)文件傳輸協議
· Gopher (英文原義:The Internet Gopher Protocol 中文釋義:(RFC-1436)網際Gopher協議)
· HTTP (Hypertext Transfer Protocol)超文本傳輸協議
· IMAP4 (Internet Message Access Protocol 4) 即 Internet信息訪問協議的第4版本
· IRC (Internet Relay Chat )網路聊天協議
· NNTP (Network News Transport Protocol)RFC-977)網路新聞傳輸協議
· XMPP 可擴展消息處理現場協議
· POP3 (Post Office Protocol 3)即郵局協議的第3個版本
· SIP 信令控制協議
· SMTP (Simple Mail Transfer Protocol)即簡單郵件傳輸協議
· SNMP (Simple Network Management Protocol,簡單網路管理協議)
· SSH (Secure Shell)安全外殼協議
· TELNET 遠程登錄協議
· RPC (Remote Procere Call Protocol)(RFC-1831)遠程過程調用協議
· RTCP (RTP Control Protocol)RTP 控制協議
· RTSP (Real Time Streaming Protocol)實時流傳輸協議
· TLS (Transport Layer Security Protocol)安全傳輸層協議
· SDP( Session Description Protocol)會話描述協議
· SOAP (Simple Object Access Protocol)簡單對象訪問協議
· GTP 通用數據傳輸平台
· STUN (Simple Traversal of UDP over NATs,NAT 的UDP簡單穿越)是一種網路協議
· NTP (Network Time Protocol)網路校時協議
傳輸層
·TCP(Transmission Control Protocol)傳輸控制協議
· UDP (User Datagram Protocol)用戶數據報協議
· DCCP (Datagram Congestion Control Protocol)數據報擁塞控制協議
· SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制傳輸協議
· RTP(Real-time Transport Protocol或簡寫RTP)實時傳送協議
· RSVP (Resource ReSer Vation Protocol)資源預留協議
· PPTP ( Point to Point Tunneling Protocol)點對點隧道協議
網路層
IP(IPv4 · IPv6) Internet Protocol(網路之間互連的協議)
ARP : Address Resolution Protocol即地址解析協議,實現通過IP地址得知其物理地址。
RARP :Reverse Address Resolution Protocol 反向地址轉換協議允許區域網的物理機器從網關伺服器的 ARP 表或者緩存上請求其 IP 地址。
ICMP :(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用於在IP主機、路由器之間傳遞控制消息。
ICMPv6:
IGMP :Internet 組管理協議(IGMP)是網際網路協議家族中的一個組播協議,用於IP 主機向任一個直接相鄰的路由器報告他們的組成員情況。
RIP : 路由信息協議(RIP)是一種在網關與主機之間交換路由選擇信息的標准。
OSPF :(Open Shortest Path First開放式最短路徑優先).
BGP :(Border Gateway Protocol )邊界網關協議,用來連接Internet上獨立系統的路由選擇協議
IS-IS:(Intermediate System to Intermediate System Routing Protocol)中間系統到中間系統的路由選擇協議.
IPsec:「Internet 協議安全性」是一種開放標準的框架結構,通過使用加密的安全服務以確保在 Internet 協議 (IP) 網路上進行保密而安全的通訊。
數據鏈路層
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌環 · 乙太網 · FDDI · 幀中繼 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
6. 安裝常用的網路安全協議有哪些
常用的網路安全協議包括:SSL、TLS、IPSec、Telnet、SSH、SET 等
網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
網路安全的內容包括:計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
7. 網路安全中,tcp/ip協議的缺陷是哪些
由於自身的缺陷、網路的開放性以及黑客的攻擊是造成互聯網路不安全的主要原因。TCP/IP作為Internet使用的標准協議集,是黑客實施網路攻擊的重點目標。TCP-/IP協議組是目前使用最廣泛的網路互連協議。但TCP/IP協議組本身存在著一些安全性問題。TCP/IP協議是建立在可信的環境之下,首先考慮網路互連缺乏對安全方面的考慮;這種基於地址的協議本身就會泄露口令,而且經常會運行一些無關的程序,這些都是網路本身的缺陷。互連網技術屏蔽了底層網路硬體細節,使得異種網路之間可以互相通信。這就給「黑客」們攻擊網路以可乘之機。由於大量重要的應用程序都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網路帶來嚴重的後果。網路的開放性,TCP/IP協議完全公開,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等等性質使網路更加不安全。
8. 信息安全協議有哪些<<信息安全概論>>
1.IPSec
IPSec 是Internet Protocol Security的縮寫,它是設計為IPv4和IPv6協議提供基於加密安全的協議,它使用AH和ESP協議來實現其安全,使用 ISAKMP/Oakley及SKIP進行密鑰交換、管理及安全協商(Security Association)。IPSec安全協議工作在網路層,運行在它上面的所有網路通道都是加密的。IPSec安全服務包括訪問控制、數據源認證、無連 接數據完整性、抗重播、數據機密性和有限的通信流量機密性。IPSec使用身份認證機制進行訪問控制,即兩個IPSec實體試圖進行通信前,必須通過 IKE協商SA,協商過程中要進行身份認證,身份認證採用公鑰簽名機制,使用數字簽名標准(DSS)演算法或RSA演算法,而公通常是從證書中獲得的; IPSec使用消息鑒別機制實現數據源驗證服務,即發送方在發送數據包前,要用消息鑒別演算法HMAC計算MAC,HMAC將消息的一部分和密鑰作為輸入, 以MAC作為輸出,目的地收到IP包後,使用相同的驗證演算法和密鑰計算驗證數據,如果計算出的MAC與數據包中的MAC完全相同,則認為數據包通過了驗 證;無連接數據完整性服務是對單個數據包是否被篡改進行檢查,而對數據包的到達順序不作要求,IPSec使用數據源驗證機制實現無連接完整性服務; IPSec的抗重播服務,是指防止攻擊者截取和復制IP包,然後發送到源目的地,IPSec根據 IPSec頭中的序號欄位,使用滑動窗口原理,實現抗重播服務;通信流機密性服務是指防止對通信的外部屬性(源地址、目的地址、消息長度和通信頻率等)的 泄露,從而使攻擊者對網路流量進行分析,推導其中的傳輸頻率、通信者身份、數據包大小、數據流標識符等信息。IPSec使用ESP隧道模式,對IP包進行 封裝,可達到一定程度的機密性,即有限的通信流機密性。
2.SSL協議
安全套接層(Security Socket Layer,SSL)協議就是設計來保護網路傳輸信息的,它工作在傳輸層之上,應用層之下,其底層是基於傳輸層可靠的流傳輸協議(如TCP)。SSL協議 最早由Netscape公司於1994年11月提出並率先實現(SSLv2)的,之後經過多次修改,最終被IETF所採納,並制定為傳輸層安全 (Transport Layer Security,TLS)標准。該標准剛開始制定時是面向Web應用的安全解決方案,隨著SSL部署的簡易性和較高的安全性逐漸為人所知,現在它已經成 為Web上部署最為廣泛的信息安全協議之一。近年來SSL的應用領域不斷被拓寬,許多在網路上傳輸的敏感信息(如電子商務、金融業務中的信用卡號或PIN 碼等機密信息)都紛紛採用SSL來進行安全保護。SSL通過加密傳輸來確保數據的機密性,通過信息驗證碼(Message Authentication Codes,MAC)機制來保護信息的完整性,通過數字證書來對發送和接收者的身份進行認證。
實際上SSL協議本身也是個分層的協議,它由消息子層以及承載消息的記錄子層組成。
SSL 記錄協議首先按照一定的原則如性能最優原則把消息數據分成一定長度的片斷;接著分別對這些片斷進行消息摘要和MAC計算,得到MAC值;然後再對這些片斷 進行加密計算;最後把加密後的片斷和MAC值連接起來,計算其長度,並打上記錄頭後發送到傳輸層。這是一般的消息數據到達後,記錄層所做的工作。但有的特 殊消息如握手消息,由於發送時還沒有完全建立好加密的通道,所以並不完全按照這個方式進行;而且有的消息比較短小,如警示消息(Alert),出於性能考 慮也可能和其它的一些消息一起被打包成一個記錄。
消息子層是應用層和SSL記錄層間的介面,負責標識並在應用層和SSL記錄層間傳輸數據或者對握 手信息和警示信息的邏輯進行處理,可以說是整個SSL層的核心。其中尤其關鍵的又是握手信息的處理,它是建立安全通道的關鍵,握手狀態機運行在這一層上。 警示消息的處理實現上也可以作為握手狀態機的一部分。SSL協議為了描述所有消息,引入了SSL規范語言,其語法結構主要仿照C語言,而是無歧義、精簡 的。
3. S-HTTP
安全超文本傳輸協議(Secure HyperText Transfer Protocol,S-HTTP)是EIT公司結合 HTTP 而設計的一種消息安全通信協議。S-HTTP協議處於應用層,它是HTTP協議的擴展,它僅適用於HTTP聯結上,S-HTTP可提供通信保密、身份識 別、可信賴的信息傳輸服務及數字簽名等。S-HTTP 提供了完整且靈活的加密演算法及相關參數。選項協商用來確定客戶機和伺服器在安全事務處理模式、加密演算法(如用於簽名的非對稱演算法 RSA 和 DSA等、用於對稱加解密的 DES 和 RC2 等)及證書選擇等方面達成一致。
S-HTTP 支持端對端安全傳輸,客戶機可能「首先」啟動安全傳輸(使用報頭的信息),如,它可以用來支持加密技術。S-HTTP是通過在S-HTTP所交換包的特殊頭標志來建立安全通訊的。當使用 S-HTTP時,敏感的數據信息不會在網路上明文傳輸。
4. S/MIME
S/MIME 是Secure / Multipurpose Internet Mail Extensions的縮寫,是從PEM (Privacy Enhanced Mail)和MIME(Internet郵件的附件標准)發展而來的。S/MIME是利用單向散列演算法(如SHA-1、MD5等)和公鑰機制的加密體系。 S/MIME的證書格式採用X.509標准格式。S/MIME的認證機制依賴於層次結構的證書認證機構,所有下一級的組織和個人的證書均由上一級的組織負 責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系是樹狀結構的。另外,S/MIME將信件內容加密簽名後作為特殊的附件傳送。
9. 網路安全協議包括什麼
SSL、TLS、IPSec、Telnet、SSH、SET 等
10. 用於保障ip通信數據安全的ipsec協議,是屬於網路協議中的什麼安全協議
互聯網安全協議(英語:Internet Protocol Security,縮寫為IPsec),是一個協議包,通過對IP協議的分組進行加密和認證來保護IP協議的網路傳輸協議族(一些相互關聯的協議的集合)。其工作原理就是在發送端對數據進行加密,在接收端進行解密,從而實現信息的安全傳輸功能。