03、互联网安全机制.ppt

互联网安全机制 ISO/OSI安全体系结构 开放系统互联参考模型(OSI/RM )是国际标准化组织(ISO)为解决异构网络互联而制定的开放式计算机网络层次结构模型。 1988年，为在开放系统互联的环境下实现信息安全，ISO/TC97技术委员会制定了ISO7498-2国际标准“信息处理系统--开放系统互联--基本参考模型--安全体系结构”，为网络安全的研究奠定了基础。我国也制定了国家标准：《GB/T9387. 2信息开放系统 开放系统互联 基本参考模型第 2部分:安全体系结构》。这些标准给出了 OSI 参考模型的七层协议之上的信息安全体系结构，这是一个普遍适用的安全体系结构，对具体网络环境的信息安全体系结构具有重要指导意义。 ISO/OSI安全体系结构 ISO/OSI安全体系结构 常用的安全技术 各种加密算法： 3DES、RSA、MD5、SHA1 数字信封 数字摘要 数字签名 数字时间戳 网络层安全机制（IPSec） IPv4的安全缺陷： 对通信双方不能保证收到的IP数据报： 1、?确系来自声明的发送方（IP头内的源地址）； 2、?确系原始数据，未被任何篡改； 3、?未发生泄密事件，即原始数据在传输中途未被其他人偷看。 网络层安全机制（IPSec） IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。 IPSec定义了一种标准、健壮的以及包容广泛的机制，可用它为IP及其上层协议提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。 网络层安全机制（IPSec） IPSec是一组开放协议的总称，构成了应用于 IP 层上网络数据安全的一整套体系结构。 包括： 1、认证报头 AH指定的认证协议。 2、数据报封装安全负载 （ESP） 指定的数据加密和认证协议。 3、密钥管理协议 （IKE）。 网络层安全机制（IPSec） 网络层安全机制（IPSec） 网络层安全机制（IPSec） AH和ESP的区别： AH不能加密数据包所承载的内容，因而它不能提供机密性。 ESP要求使用高强度加密算法，会受到许多限制。 多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。 Windows中的IPSec配置 1） “控制面板”→“管理工具”→“本地安全策略” 2）“IP安全策略” Windows中的IPSec配置 Windows中的IPSec配置 每个 IPSec 规则由下列各项组成： 所选的筛选器列表。 所选的筛选器操作。 所选的身份验证方法。 所选的连接类型。 所选的隧道设置。 Windows中的IPSec配置 可以使用下列方法配置 IPSec 策略： 创建一个新策略并为该策略定义一组规则，同时根据需要添加筛选器列表与筛选器操作。 创建筛选器列表与筛选器操作集，然后创建策略并添加将筛选器列表与筛选器操作组合起来的规则。 Windows中的IPSec配置 对于其中任一配置方法，创建 IPSec 策略之后，都必须指派这些策略。 SSL 概述 1994 年,Netscape 公司为了保护Web 通信协议HTTP,开发了SSL协议。该协议第1 个成熟的版本是SSL2.0 版。SSL2.0 协议的出现,基本上解决了Web 通信协议的安全问题,很快引起了大家的关注。 1996 年,Netscape 公司发布了SSL3.0,该版本增加了对除RSA算法以外的其他算法的支持和一些新的安全特性,并且修改了前一个版本中存在的安全缺陷,与SSL2.0 相比,更加成熟和稳定,因此很快成为事实上的工业标准。 1997 年,IETF 基于SSL3.0 协议发布了TLS(transport layer security)1.0 传输层安全协议的草案。1999 年,正式发布了RFC2246。 SSL 概述 SSL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：－－－－－－－－－|????HTTP??????|－－－－－－－－－|????SSL???????|－－－－－－－－－|????TCP???????|－－－－－－－－－|????IP????????| SSL 概述 SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。 不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用htt