目地:確保TCP/IP符合資安CIA要求
常見做法是OSI之L7,L4,L3加入安全機制
L7應用層的安全通訊
目地:確保電子郵件,電子商務…等安全
常用技術包括:pgp,s/mine,pem,SET
L4傳輸層的安全通訊
目地:確保兩個應用間通信之安全
常用技術包括:SSL,TLS
L3網路層的安全通訊
目地:確保ip傳輸安全
常用技術包括:ipsec
ps:常見的安全Web交易
1.SSL,可支援任何Socket層應用的安全。
2.SHTTP,特別設計來加強HTTP安全的協定。
3.PCT
4.GSSAPI(Generic Security Service Application Program Interface,通用安全服務應用程式介面)
………………………………………………………………………………………
SSL(Secure Socket Layer,安全套接協議層)
可將應用層協定(如Http,FTP,Telnet,…等)建立在SSL上
TLS(transport layer security,傳輸層安全),IETF對SSL作的標準化
主要目標是在兩個正在通信的應用程式之間提供保密性和資料完整性。
類似ssl v3,應用在傳輸層,以憑證為主的驗證
與SSL一樣,TLS是獨立於應用程式協定的,其使用的加密算法的種類別與SSL使用的相似。
TLS標準把如何啟動TLS handshake和如何解釋認證證書的決定權留給執行於其上層的協定的設計者和實作者來判斷。
TLS協定目標按其優先等級順序為:1密碼安全性,2互通性,3可擴充性
可擴充性指TLS提供一種框架,可在該框架內更換加密方法
WTLS(Wireless Transport Layer Security,無線傳輸層安全性)
WAP(Wireless Application Protocol,無線應用程式協定)體系結構中的安全性層協定。
它在傳輸協定層之上作業,它是模組化的,是否使用它取決於給定應用程式所需求的安全性層級
WTLS為WAP的上一層提供了保護其下的傳輸服務介面的安全傳輸服務介面。另外,它為管理安全連線提供了一個介面。
WTLS與TLS非常相似,但它最適合用於等待時間相對長的窄頻傳輸網路。但是,它加入了一些新特性,例如,資料電報支援、經過最最佳化的handshake和金鑰重新整理。與使用TLS一樣,它的主要目標是在兩個正在通信的應用程式之間提供保密性、資料完整性和認證。
就安全性而言WTLS分為三個等級:
Class 1:提供 768 bits/1024 bits金鑰長度之資料傳輸基本的加/解密功能。
Class 2:提供 1024 bits 金鑰長度之加解密、以及伺服器身分驗證功能。
Class 3:提供 1024 bits 金鑰長度之加解密、伺服器以及用戶端身分驗證功能。
WPKI安全機制:主要定義WAP 協定其安全的部分
WTLS(Wireless Transport Layer Security):提供手持設備和WAP Gateway之間的安全連接
WIM(WAP Identity Module,WAP身份識別模組):可以儲存非對稱金鑰以及憑證來進行PKI相關加解密、身分認證及簽章等功能
WML Script Crypto Library:一種類似 Java script 之安全機制模組,目前只提供簽章的一些功能
……..
SHTTP(Secure HTTP,安全的HTTP協定)
位於應用層,主要建立安全的資料傳送,可於ssl結合
EIT於1994年早期視市場需求研發的HTTP協定的延伸,僅適用於HTTP連線上
可提供通訊保密、身份識別、可信賴的資料傳輸服務、及數位簽名等。
與HTTP相容,支援S-HTTP的Web伺服器也接受一般的HTTP客戶端瀏覽,採S-HTTP瀏覽的網頁,其URL的協定部份須以SHTTP表示
PCT(Personal Communication Technique,私人通訊技術)
Microsoft 推出的傳輸加密協定,SSL改良版
允許雙方協調更多的加密演算法。
功能與結構可視為SSL的改良版,主要差別在於連線之初雙方的Handshake(交握)程序,步驟及訊息構造較SSL的簡潔
但由於 SSL 推出較早,目前仍以 SSL 較普遍。
………………………………………………………………………………………………………..
SET(secure eletronic transaction,安全電子交易)
安全協定與格式的集合,用在應用層
由Visa與Master Card兩大信用卡組織提出的安全電子交易協定
服務:
提供安全通訊管理進行交易
可用符合X.509v3數位憑證
保障通訊雙方隱私權
特性
資訊保密性:持卡人帳號,付款資料保持機密,商店無法獲知持卡人卡號,只有銀行知道
資料完整性:使用sha.1加RSA數位簽章確保不因傳輸而造成資料改變
帳號確認機制:商店可確認持卡人身份,用X.509v3數位憑證,並透過RSA簽署
商店確認機制:持卡人可確認商店是否加入特定商業聯盟,技術同帳號確認
…..
PGP(Pretty Good Privacy)
作者為Philip Zimmermann by 1991
http://www.pgpi.com
對email及檔案加解密之工具組,有opensource版和商業版
PGP也是一種混合密碼系統,支援的加密演算法包括:
IDEA:對稱式文件加密演算法、
RSA或Diffie-Hellman:公開金鑰私鑰製作
MD5:應用在電子簽章認證
提供的鑰匙長度:768-3072位元
提供的服務包括:
數位簽章:用SHA產生確認性,在用DSS或RSA產生不可否認性
訊息加密:用CAST-128,IDEA,3DES加密,產生的秘key在用RSA或elgamal加密
壓縮:用zip
電郵相容性:radix64轉換法
分段功能:
參考資料來源
http://www.ascc.sinica.edu.tw/nl/88/1503/04.txt
http://jedi.org/blog/archives/002592.html
http://zh.wikipedia.org/zh-tw/PGP
………
S/MIME(secure/multipurpose internet mail extension)
MIME網路郵件格式標準安全加強版
以RSA資料加密為基礎
功能
產生被包裝的資料:包含加密過內容,用來加密訊息的加密鑰匙
產生簽署過的資料:用簽署人privatekey加密內容的訊息摘要,base64將內容和簽章一起編碼
產生可讀的簽署過資料:同上,但base64只對簽章編碼,非s/mime也可讀
產生簽署過與包裝過資料:可簽署加密過資料,或加密簽署過資料
content-type(內容類型):
multipart/signed:可讀簽署方式,一部份是訊息mime類型,一部份是簽章pkcs7-signature
application/pkcs7-mine
signeddata:己簽署的s/mine物件
1算出要被簽署的訊息摘要
2用傳送端(簽署人)私鑰加密訊息摘要
3產生signerinfo區段,含簽署人公鑰憑證,算摘要演算法id,加密用演算法id,加密的訊息摘要
4用base64編碼
envelopeddata:己加密的s/mine物件
1用對稱式加密法產生session key(通訊鑰匙)
2用接收端RSA公鑰加密通訊鑰匙
3產生recipientinfo區段,內含公鑰憑證,演算法id,加密後的通訊鑰匙
4用通訊鑰匙將訊息加密
5base64將recipientinfo區段及加密訊息編碼
degenerate signeddata:只含公開鑰匙憑證的物件
application/pkcs7-signature
application/pkcs10-mine:用來傳送申請憑證的訊息