IPSec、SSL、S-HTTP和S/MIME安全協(xié)議的比較

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 一．引言   由于許多網(wǎng)絡攻擊都是因網(wǎng)絡協(xié)議如TCP/IP的固有漏洞引起的，因此，為了保證網(wǎng)絡傳輸和應用的安全，出現(xiàn)了很多運行在基礎網(wǎng)絡協(xié)議上的安全協(xié)議，如IPSec、SSL、S-HTTP、S/MIME等，下面對他們進行了簡單的介紹，并對它們進行了比較。   二．四種安全協(xié)議簡介   1.IPSec IPSec是Internet Protocol Security的縮寫,它是設計為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議，它使用AH和ESP協(xié)議來實現(xiàn)其安全，使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及安全協(xié)商（Security Association）。IPSec安全協(xié)議工作在網(wǎng)絡層，運行在它上面的所有網(wǎng)絡通道都是加密的。IPSec安全服務包括訪問控制、數(shù)據(jù)源認證、無連接數(shù)據(jù)完整性、抗重播、數(shù)據(jù)機密性和有限的通信流量機密性。IPSec使用身份認證機制進行訪問控制，即兩個IPSec實體試圖進行通信前，必須通過IKE協(xié)商SA，協(xié)商過程中要進行身份認證，身份認證采用公鑰簽名機制，使用數(shù)字簽名標準（DSS）算法或RSA算法，而公通常是從證書中獲得的；IPSec使用消息鑒別機制實現(xiàn)數(shù)據(jù)源驗證服務，即發(fā)送方在發(fā)送數(shù)據(jù)包前，要用消息鑒別算法HMAC計算MAC，HMAC將消息的一部分和密鑰作為輸入，以MAC作為輸出，目的地收到IP包后，使用相同的驗證算法和密鑰計算驗證數(shù)據(jù)，如果計算出的MAC與數(shù)據(jù)包中的MAC完全相同，則認為數(shù)據(jù)包通過了驗證；無連接數(shù)據(jù)完整性服務是對單個數(shù)據(jù)包是否被篡改進行檢查，而對數(shù)據(jù)包的到達順序不作要求，IPSec使用數(shù)據(jù)源驗證機制實現(xiàn)無連接完整性服務；IPSec的抗重播服務，是指防止攻擊者截取和復制IP包，然后發(fā)送到源目的地，IPSec根據(jù) IPSec頭中的序號字段，使用滑動窗口原理，實現(xiàn)抗重播服務；通信流機密性服務是指防止對通信的外部屬性（源地址、目的地址、消息長度和通信頻率等）的泄露，從而使攻擊者對網(wǎng)絡流量進行分析，推導其中的傳輸頻率、通信者身份、數(shù)據(jù)包大小、數(shù)據(jù)流標識符等信息。IPSec使用ESP隧道模式，對IP包進行封裝，可達到一定程度的機密性，即有限的通信流機密性。   2.SSL協(xié)議 安全套接層（Security Socket Layer，SSL）協(xié)議就是設計來保護網(wǎng)絡傳輸信息的,它工作在傳輸層之上，應用層之下，其底層是基于傳輸層可靠的流傳輸協(xié)議(如TCP)。SSL協(xié)議最早由Netscape公司于1994年11月提出并率先實現(xiàn)（SSLv2）的，之后經(jīng)過多次修改，最終被IETF所采納，并制定為傳輸層安全（Transport Layer Security，TLS）標準。該標準剛開始制定時是面向Web應用的安全解決方案，隨著SSL部署的簡易性和較高的安全性逐漸為人所知，現(xiàn)在它已經(jīng)成為Web上部署最為廣泛的信息安全協(xié)議之一。近年來SSL的應用領域不斷被拓寬，許多在網(wǎng)絡上傳輸?shù)拿舾行畔ⅲㄈ珉娮由虅?、金融業(yè)務中的信用卡號或PIN碼等機密信息）都紛紛采用SSL來進行安全保護。SSL通過加密傳輸來確保數(shù)據(jù)的機密性，通過信息驗證碼（Message Authentication Codes，MAC）機制來保護信息的完整性，通過數(shù)字證書來對發(fā)送和接收者的身份進行認證。     實際上SSL協(xié)議本身也是個分層的協(xié)議，它由消息子層以及承載消息的記錄子層組成。 SSL記錄協(xié)議首先按照一定的原則如性能最優(yōu)原則把消息數(shù)據(jù)分成一定長度的片斷；接著分別對這些片斷進行消息摘要和MAC計算，得到MAC值；然后再對這些片斷進行加密計算；最后把加密后的片斷和MAC值連接起來，計算其長度，并打上記錄頭后發(fā)送到傳輸層。這是一般的消息數(shù)據(jù)到達后，記錄層所做的工作。但有的特殊消息如握手消息，由于發(fā)送時還沒有完全建立好加密的通道，所以并不完全按照這個方式進行；而且有的消息比較短小，如警示消息（Alert），出于性能考慮也可能和其它的一些消息一起被打包成一個記錄。 消息子層是應用層和SSL記錄層間的接口，負責標識并在應用層和SSL記錄層間傳輸數(shù)據(jù)或者對握手信息和警示信息的邏輯進行處理，可以說是整個SSL層的核心。其中尤其關鍵的又是握手信息的處理，它是建立安全通道的關鍵，握手狀態(tài)機運行在這一層上。警示消息的處理實現(xiàn)上也可以作為握手狀態(tài)機的一部分。SSL協(xié)議為了描述所有消息，引入了SSL規(guī)范語言，其語法結構主要仿照C語言，而是無歧義、精簡的。 3. S-HTTP 安全超文本傳輸協(xié)議（Secure HyperText Transfer Protocol，S-HTTP）是EIT公司結合 HTTP 而設計的一種消息安全通信協(xié)議。S-HTTP協(xié)議處于應用層，它是HTTP協(xié)議的擴展，它僅適用于HTTP聯(lián)結上，S-HTTP可提供通信保密、身份識別、可信賴的信息傳輸服務及數(shù)字簽名等。S-HTTP 提供了完整且靈活的加密算法及相關參數(shù)。選項協(xié)商用來確定客戶機和服務器在安全事務處理模式、加密算法（如用于簽名的非對稱算法 RSA 和 DSA等、用于對稱加解密的 DES 和 RC2 等）及證書選擇等方面達成一致。 　　S-HTTP 支持端對端安全傳輸，客戶機可能“首先”啟動安全傳輸（使用報頭的信息），如，它可以用來支持加密技術。S-HTTP是通過在S-HTTP所交換包的特殊頭標志來建立安全通訊的。當使用 S-HTTP時，敏感的數(shù)據(jù)信息不會在網(wǎng)絡上明文傳輸。 4. S/MIME S/MIME是Secure / Multipurpose Internet Mail Extensions的縮寫，是從PEM （Privacy Enhanced Mail）和MIME(Internet郵件的附件標準)發(fā)展而來的。S/MIME是利用單向散列算法（如SHA-1、MD5等）和公鑰機制的加密體系。S/MIME的證書格式采用X.509標準格式。S/MIME的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書均由上一級的組織負責認證，而最上一級的組織（根證書）之間相互認證，整個信任關系是樹狀結構的。另外，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。 三．四種安全協(xié)議的比較 1．SSL與IPSEC     SSL與IPSEC在很多地方上是非常相似的。兩種協(xié)議都有密鑰協(xié)商，加密參數(shù)的握手階段，之后還有加密數(shù)據(jù)的傳輸階段。傳輸模式（TCP）下使用的IPSEC與SSL行為比較接近，它為通信數(shù)據(jù)但不包括IP頭信息提供認證。     SSL與IPSEC的主要不同在于： （1）SSL用來保護在傳輸層（TCP）上通信的數(shù)據(jù)的安全，而IPSEC除此之外還用來保護在IP層上的數(shù)據(jù)包的安全，如UDP包。 （2）對一個已經(jīng)在使用的系統(tǒng)，SSL不需要改動協(xié)議棧但需要改變應用層，與此相反，IPSEC不需要改變應用層但需要改變協(xié)議棧。 （3）SSL可以單向認證（僅認證服務器），但IPSEC要求雙方認證。 （4）當涉及應用層中間節(jié)點，IPSEC只能提供鏈接保護，而SSL提供端到端保護。 （5）IPSEC受NAT影響較為嚴重，而SSL可以穿過NAT而毫無影響。 2．SSL與S-HTTP     S-HTTP是應用層的加密協(xié)議，它能感知到應用層數(shù)據(jù)的結構，而不是像SSL一樣完全當作流來處理，也就是說，S-HTTP把消息當成對象進行簽名或加密傳輸，而SSL則主動把數(shù)據(jù)流分幀處理，而不理會消息的邊界。也由于這樣，S-HTTP可以提供基于消息的抗抵賴性證明，而SSL不可以。因此，S-HTTP比SSL更靈活，功能更強大，但是實現(xiàn)較困難，而使用也更困難，也因此現(xiàn)在使用基于SSL的HTTPS要比S-HTTP要更普遍。   3． SSL與S/MIME的比較   S/MIME協(xié)議是專門用來保護E-mail安全的，也是一種應用層加密協(xié)議。而SMTP/SSL保護E-mail效果不是很理想，因為SMTP/SSL僅提供使用SMTP的鏈路的安全，而從郵件服務器到本地的路徑是用POP/MAPI協(xié)議，這無法使用SMTP/SSL來保護。相反S/MIME使用加密整個郵件的內(nèi)容后使用MIME數(shù)據(jù)發(fā)送，這種發(fā)送可以是任何一種方式，擺脫了安全鏈路的限制只需要收發(fā)郵件的兩個終端支持S/MIME即可。   四．結論   IPSec安全協(xié)議工作在網(wǎng)絡層，SSL工作在傳輸層之上、應用層之下，S-HTTP和S/MIME都工作在應用層。相比較而言，SSL簡單，應用廣泛。因此，當所需要的保護基于TCP并是直接連接而不是經(jīng)過中介且較為簡單時可以考慮SSL部署，但SSL不提供針對消息等對象的抗抵賴性證明，也不提供時間戳等上層所需要用的標記。如果是比較復雜的安全要求，最好使用有專門針對性的安全協(xié)議，如電子郵件采用S/MIME協(xié)議，信用卡支付采用安全電子交易（SET）協(xié)議。   來源：CCW