WEB开发网
开发学院网络安全安全技术 TCP/IP 协议体系的安全性 阅读

TCP/IP 协议体系的安全性

 2008-09-05 13:21:22 来源:WEB开发网   
核心提示: 1.IP协议的改进 1994年7月IETF(Internet Engineering Task Force,因特网工程任务组)确定了下一代IP协议的基础,TCP/IP 协议体系的安全性(4),开始了IPv6的研究实验工作,1995年12月,随着网络的发展和安全技术应用的深入,TCP/IP将

1.IP协议的改进

1994年7月IETF(Internet Engineering Task Force,因特网工程任务组)确定了下一代IP协议的基础,开始了IPv6的研究实验工作。1995年12月,IETF公布了IPv6草案。目前有关IPv6的实用化研究开发工作正在进行。最近两种原本为IPv6设计的安全机制被 加进了IPv4。其中一种称为AH(Authentication Header)机制,提供证实和完整性服务, 但不提供保密服务;另一种称为ESP(Encapsulation Security payload)机制,提供完整性服务、证实服务及保密服务。

2.路由技术的改进

为保护RIP和OSPF报文的安全,目前已提出采用著名的Keyed MD5证实算法对发送路 由报文的结点进行证实。这种方法能够足以抵御目前使用的大部分攻击,但不能完全消 除重播可能。有些路由器内含了证实TCP会话过程的机制,从而能减少多个自治域之间通 过BGP所传输的路由信息遭受攻击的危险性。由于IPv6提供AH和ESP机制,与IPv6一起使 用的内部网关协议就可依赖这些机制获得安全保护。至于外部网关协议,内含证实过程 的IDRP(Inter-Domain Routing Protocol)将取代BGP。IDRP可和非IPv6的协议一起使用 ,比如IPv4。

3.DNS安全扩充

Eastlake和Kaufman对DNS设计了一种安全扩充。该安全扩充提供了DNS信息证实机制 ,并允许用户的公开密钥存储于DNS中,由请求方对其进行证实。当采用密钥管理协议产 生会话密钥时,需要有一种方法来证实参与密钥交互过程的各方,存于DNS中的用户签名 的公开密钥就可用于这样的证实过程。DNS安全扩充允许用户签名的公开密钥与地址记录 、姓名记录和邮箱一起进行认证分配,从而使动态密钥管理较易实现。DNS信息证实极大 地减少了非法者针对DNS或DNS使用者的攻击威胁。

4.密钥管理协议

在密钥管理方面,缺少动态密钥管理标准一直是一个最大的问题。IETF正在研究一 种采用Diffie-Hellman技术的密钥交换协议Oakley。作为协议的一部分,公开密钥证书存储于DNS中,以抵御对Diffie-Hellman的man-in-the-middle攻击。使用该协议产 生的密钥与以往产生的任何密钥都无关,因此攻击都无法通过破获几个主密钥来导出会 话密钥。IETF还推出了一种ISAKMP(Internet Security Association And Key Managem ent Protocol)协议,允许就密钥生存期和敏感级等问题进行协商。Oakley和ISAKMP的配 合使用在几年后将很普遍,它们不仅能用于网间协议,还能用于传送层甚至低层,如ATM协议。

Internet安全是广大网络用户普遍关心的一个重要问题。尽管利用协议中存在的安 全缺口来实施攻击技术性强、难度大,但突破率高、危害性极大。正因为如此,各国耗资致力于该问题的研究,并已取得了显著的成效。TCP/IP的重要性是毋庸置疑的,可以 相信,随着网络的发展和安全技术应用的深入,TCP/IP将不断地改进和完善,从而更显 示出其旺盛的生命力。

上一页  1 2 3 4 

Tags:TCP IP 协议

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接