网络安全06-安全协议.pptVIP

网络与信息安全 安全的通信协议 网络与信息安全的构成 物理安全性 设备的物理安全：防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制，阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输 安全的分层结构和主要技术 协议 协议是指两方或多方为完成一项任务所进行的一系列步骤，而每一步必须依次执行，在前一步完成之前，后面的步骤都不能执行 协议特点： 协议中的每一方都必须了解协议，并且预先知道所要完成的所有步骤； 协议中的每一方都必须同意并遵循它； 协议必须是清楚的，每一步必须明确定义，并且不会引起误解； 协议必须是完整的，对每种可能的情况必须规定具体的动作； 网络协议 计算机网络中多个互连的计算机或网络设备之间不断交换数据 为使相互通信的两个计算机或网络设备高度协调地进行数据交换，每台计算机或网络设备就必须在信息内容、格式和传输顺序等方面遵守事先预定好的规则 这些为进行网络中数据通信而制定的规则、标准或约定就是俗称的网络协议 安全协议的必要性 随着计算机网络技术向整个经济社会各层次的延伸，人们对Internet、Intranet等的依赖性越来越大 任何一种网络应用和服务的使用程度必将取决于所使用网络的信息安全有无保障 网络安全已成为现代计算机网络应用的最大障碍，也是急需解决的难题之一 安全协议为网络中的信息交换提供了强大的安全保护 安全协议的含义 在网络协议中使用加密技术、认证技术等密码技术以保证信息交换安全的网络协议 具体地说就是建立在密码体系上的一种互通协议，为需要安全的各方提供一系列的密钥管理、身份认证及信息完整性等措施以保证通信的安全完成 安全协议的理解 首先是协议 标准程序 语义、语法规则 双方或多方 数据交换 安全协议是 协议中与安全相关的部分 同安全相关的协议 安全协议的基石 通信技术 密码技术 对称密钥算法 公开密钥算法 密码技术的应用 保密：机密性 认证：完整性和真实性 相关问题 密钥的分发和交换 安全协议的种类 根据功能分 密钥安全协议 指参与协议的双方或多方之间建立的通信中的会话密钥 认证协议 主要用来在信息交换过程中防止信息的假冒、篡改或否认 密钥交换和认证协议 将密钥技术与认证技术相结合，同时完成信息的加密与认证的功能 安全协议 – 标准 IPSec SSL TCP/IP协议栈 协议栈的封装过程 网络层安全 传输层安全 应用层安全 IPSec IPSec IPSEC IP 安全协议。不是一个单独的协议，而是一组开放协议的总称，它给出了应用于IP层上网络数据安全的一整套体系结构，包括 网络安全协议 AH ESP 密钥管理协议IKE 认证和加密算法 在IP层解决安全问题，涉及的功能：认证、保密和秘钥管理 IPSec工作组 IETF：IP Security Protocol Working Group Architecture Encapsulating Security Payload(ESP) Authentication Header (AH) Encryption Algorithm Authentication Algorithm Key Management Domain of Interpretation(DOI) IPSec框架 IPSec总体结构描述 体系结构：包括总体概念，安全需求，定义，以及定义IPSec技术的机制； ESP： 使用ESP进行加密的消息格式和一般性问题，以及可选的认证； AH：使用认证消息格式和一般性问题； 加密算法：描述将各种不同加密算法用于ESP的文档； 认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档； 密钥管理：描述密钥管理模式； DOI：其它相关文档，批准的加密和认证算法标识，以及运行参数等； IPSec提供的服务 访问控制 数据完整性 数据源鉴别 重放攻击保护 数据保密性 密钥管理 有限通信流保密性 IPSec协议的实现 OS集成 IPSec集成在操作系统内，作为IP层的一部分 具有较高的效率 IPSec安全服务与IP层的功能紧密集合在一块 嵌入到现有协议栈 IPSec作为插件嵌入到链路层和IP层之间 较高的灵活性 效率受到影响 IPSec的部署 - 1 可配置和实施IPSec的端点包括主机、路由器、防火墙等 在终端主机上部署IPSec 提供端到端的安全保障，保护终端之间的IP分组 可以支持逐个数据流的安全保障 能够支持IPSec定义的各种工作模式 IPSec的部署 - 2 在网络节点（路由器或防火墙）上实施IPSec 对通过公用网的子网间通信提供保护 对内部网的用户透明 能同时实现对进入专用网络的用户进行身份认证和授权 缺点：网