0 引言
一般的网络协议都没考虑安全性需求。这就带来了互联网许多的攻击行为,如窃取信息、篡改信息、假冒等,为保证网络传输和应用的安全,出现了很多运行在基础网络协议上的安全协议以增强网络协议的安全。下面在介绍Kerberos等几种常用网络安全协议所在层次,所能承担的安全服务、加密机制、应用领域等的同时,重点对具有相似功能的协议进行比较。
1 几种常用的网络安全协议
1.1网络认证协议Kerberos
它足美国麻省理T学院开发的基于私钥加密算法并需可信任第三方作为认证服务器的网络认证协议。
(1)在TCP/IP协议栈中所处的层次如图1。
图1 Kerberos在TCP/IP协议栈中所处的层次
(2)安全服务:Kerberos可提供防旁听、防重放及通信数据的保密性和完整性等安全服务,但最重要的是:认证;授权t记账与审计。
(3)加密机制:Kerberos用DES进行加密和认证。
(4)工作原理:Kerberos根据称为密钥分配中心KDC的第三方服务中心来验证网络中计算机相互的身份,并建立密钥以保证计算机间安全连接。KDC由认证服务器AS和票据授权服务器TGS两部分组成。
(5)应用领域:需解决连接窃听或需用户身份认证的领域。
(6)优点:安全性较高,Kerberos对用户的口令加密后作为用户的私钥,使窃听者难以在网上取得相应的口令信息;用户透明性好,用户在使用过程中仅在登录时要求输入口令;扩展性较好,Kerberos为每个服务提供认证,可方便地实现用户数的动态改变。
(7)缺点:Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,若攻击者记录申请回答报文,就易形成代码攻击,随着用户数的增加,密钥管理较复杂;AS和TGS是集中式管理,易形成瓶颈,系统的性能和安全严重依赖于AS和TGS的性能和安全;Kerbems增加了网络环境管理的复杂性,系统管理须维护Kerberos认证服务器以支持网络I Kerberos中旧认证码很有可能被存储和重用;它对猜测口令攻击很脆弱,攻击者可收集票据试图破译它们l Kerberos依赖于Kerberos软件都是可信的,黑客能用完成Kerberos协议和记录口令的软件来代替所有客户的Kerberos软件。
1.2安全电子交易协议SET(Secure ElectronicTransaction)
网上交易时持卡人希望在交易中保密自己的账户信息,商家则希望客户的定单不可抵赖,且在交易中交易各方都希望验明他方身份以防被骗。为此Visa和MasterCard联合多家科研机构共同制定了应用于Interact上以银行卡为基础进行在线交易的安全标准SET。
(1)在TCP/IP协议栈中所处的层次如图2。
图2 SET在TCP/IP协议栈中所处的层次
(2)安全服务:SET提供消费者、商家和银行间多方的认证,并确保交易数据的安全性、完整可靠性和交易的不可否认性。
(3)加密机制:SET中采用的公钥加密算法是RSA,私钥加密算法是DES。
(4)工作原理:持卡人将消息摘要用私钥加密得到数字签名。随机产生一对称密钥,用它对消息摘要、教字签名与证书(含客户的公钥)进行加密,组成加密信息,接着将这个对称密钥用商家的公钥加密得到数字信封;当商家收到客户传来的加密信息与数字信封后,用他的私钥解密数字信封得到对称密钥,再用它对加密信息解密,接着验证数字签名:用客户的公钥对数字签名解密,得到消息摘要,再与消息摘要对照;认证完毕,商家与客户即可用对称密钥对信息加密传送。
(5)应用领域:主要应用于保障网上购物信息的安全性。
(6)优点:安全性高,因为所有参与交易的成员都必须先申请数字证书来识别身份。通过数字签名商家可免受欺诈,消费者可确保商家的合法性,而且信用卡号不会被窃取。
(7)缺点:SET过于复杂,使用麻烦,要进行多次加解密、数字签名、验证数字证书等,故成本高,处理效率低,商家服务器负荷重;它只支持B2C模式,不支持B2B模式,且要求客户具有。电子钱包”;它只适应于卡支付业务;它要求客户、商家,银行都要安装相应软件。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/171211.html