2.密码编码学与应用加密技术案例.ppt

网络安全综合管理高级工程师 培训讲师：白滨 belite@126.com 密码编码学与应用加密技术 单钥体制 公钥体制 典型对称加密算法 典型公钥加密算法 散列函数特点二 MD5散列函数实验 VPN技术的起源——IP 的安全性 I P包本身并不继承任何安全特性 不安全的表现 伪造出I P包的地址 修改其内容 重播以前的包以 传输途中拦截并查看包的内容 解决方案 VPN 虚拟专用网络VPN VPN是指依靠ISP和其它NSP在公用网络上建立专用的数据通信网络的技术。 IETF草案理解基于IP的VPN定义： 使用IP机制仿真出一个私有的广域网，是通过私有的隧道技术在公共数据网络上仿真出一条点到点的专线技术。 基于IP的VPN 到目前为止，基于IP的VPN业务获得了极大的增长空间 客观因素：包括互联网带宽和服务质量 (QOS) 问题 主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全 VPN对推动整个电子商务、电子贸易将起到不可低估的作用 VPN安全性 VPN采用四种技术来保证安全 隧道技术（Tuneling） 加密技术 密钥管理技术 身份认证技术 VPN关键技术---隧道技术 隧道技术 类似于点对点连接技术，隧道技术在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 实现以下功能 将数据流量强制到特定的目的地 隐藏私有的网络地址 在IP网上传输非IP协议数据包 提供数据安全支持协助完成用户基于AAA(authentication鉴定,authorization授权,accounting计费)的管理。 PPTP协议 由Microsoft和Ascend在PPP协议基础上开发，用于Clien—LAN型隧道VPN的实现（VPDN） 对用户的PPP帧封装成IP报文进行隧道传送 需要用户配置，增加难度和安全隐患 不具备数据源身份认证，仅依靠PPP的身份认证机制 L2TP协议 由PPTP和Cisco的L2F协议相结合的产物，支持Client—LAN及LAN—LAN的VPN连接 L2TP仅仅定义了控制包的加密传输方式，对传输中的数据并不加密 不适用于企业Extranet的VPN连接方式 IPSec协议 IETF制定VPN安全协议标准—IPSec和IKMP密钥管理协议 IPSec提供以下安全服务 数据源鉴别 数据完整性 防止数据重传 数据加密 不可否认 IPSec重要组成部分 AH (Authentication Header，验证包头) ESP(Encapsulating Security Payload封装安全载荷） SA (安全关连) IKE(Internet密钥交换） IPSec文档结构 SA(Security Association) 所有的SA都是单向的，由一特定的SPI(Security Parameter Index)、DA(Destination Address)和安全标识符的组合唯一确定的 SA包括： AH实现中所用的鉴别算法和算法模式 AH实现中鉴别算法所使用的密钥 ESP实现中所用的加密算法和模式 ESP实现中加密算法所使用的密钥 加密算法的初始向量域；密钥生存周期或时间 SA的生存周期、SA的源地址 AH(Authentication Header) AH用来在没有IP报文加密机制下提供多个主机或网关间通信的数据完整性保护和鉴别功能 鉴别信息来自对整个IP报文包括报头和其它报头以及用户数据中的所有信息计算而来 鉴别数据的第一步是为发送端分配SA ESP ESP报头用来对在多个主机或网关之间通信的IP报文提供完整性保护、鉴别和加密 ESP可用于只对传输层PDU加密或对整个IP报文进行加密 ESP存在两种工作模式：隧道模式和传输模式 传输模式VPN 隧道模式VPN 隧道模式下的LAN－LAN VPN 隧道模式下主机－网关VPN Web 安全与TLS 1.超文本传输协议(HTTP)潜在的风险 以明文形式进行数据的传输 恶意Active X控件及JAVA applets的破坏 利用ASP、CGI、PHP等漏洞进行攻击 2.HTTP HTTPS，WEB安全传输演示实验 协议本身的安全性支持 身份认证 Basic Authentication Digest Access Authentication 保密性 TLS( Transport Layer Security) SSL/TLS协议(1) 1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯 版本和历史 1.0，不成熟 2.0，基本上解决了Web通讯的安全问题 Micros