7-网络安全协议教案.ppt

第7讲 网络安全协议 杨 明 紫金学院计算机系 网络安全技术 网络安全技术 攻击技术和防御技术 防御技术 密码技术、网络安全协议、防火墙技术、入侵检测技术、虚拟专用网技术等。 攻击技术 网络监听、网络扫描、网络入侵、恶意代码、网络后门 网络安全协议的概念 协议 相互通信的两个计算机系统必须高度协调工作才行，而这种“协调”是相当复杂的 控制两个对等实体进行通信而建立的规则、标准或约定 语法、语义和同步三要素 网络安全协议 提供机密性、完整性、真实性等安全服务的网络协议 网络安全协议一般要利用密码技术 网络安全协议及传输技术 IPSec安全体系结构 密钥交换协议IKE 安全参数与密钥 安全关联(SA)是通信双方对交换和保护数据的相关方法和参数的约定 IKE的功能 IKE负责建立和管理SA IKE负责为AH和ESP协议生成相关密钥 IPSec安全传输技术 传输模式 用来直接加密主机之间的网络通信 隧道模式 用来在两个子网之间建造 “虚拟隧道”实现两个网络之间的安全通信 应用层安全协议 电子邮件的安全性 传统的电子邮件服务难以保证邮件的机密性和完整性，也难以鉴别发送方 安全电子邮件PGP PGP——Pretty Good Privacy(相当好的保密) 主要用于安全电子邮件，它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。 PGP的鉴别过程 PGP提供机密性的过程 PGP提供鉴别与机密性的过程 小结 网络安全概述 提供机密性、完整性、真实性等安全服务的网络协议 网络层安全协议IPSec 为IP网络通信提供透明的安全服务，保护 传输层安全协议SSL 已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输 应用层安全协议PGP 安全电子邮件 * * 网络信息安全 * 内容 网络安全概述 网络层安全协议IPSec 传输层安全协议SSL 应用层安全协议PGP 网络层安全协议 网络层安全协议 IPSec 一个工业标准网络安全协议 为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。 IPSec的基本目标 保护IP数据包安全 为抵御网络攻击提供防护措施 HTTP SMTP DNS RTP TCP UDP IP 网际层 网络接口层 运输层 应用层 … … … 网络接口 1 网络接口 2 网络接口 3 网络层安全协议 IPSec主要包含3个功能域：鉴别机制、机密性机制和密钥管理。 鉴别机制确保收到的报文来自该报文首部所声称的源实体，并保证该报文在传输过程中未被非法篡改； 机密性机制使得通信内容不会被第三方窃听； 密钥管理机制则用于配合鉴别机制和机密性机制处理密钥的安全交换。 IPSec组成 ESP协议 AH协议 加密算法 DOI解释域 密钥管理IKE 认证算法 IPSec体系结构 鉴别首部协议（AH） 封装安全载荷协议（ESP） 密钥管理协议（IKE） 用于网络验证及加密的一些算法 鉴别首部协议(AH) AH的基本功能 为IP通信提供数据源认证、数据完整性和反重播保证， 不提供任何机密性服务 AH的工作原理 在每一个IP数据报上添加一个鉴别首部 此首部包含一个带密钥的哈希散列，该哈希散列在整个数据报中计算，因此对数据的任何更改将致使散列无效，从而对数据提供了完整性保护。 鉴别首部协议(AH) 封装安全载荷协议ESP ESP协议的功能 它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。 ESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。 ESP主要保障IP数据报的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。 封装安全载荷协议 ESP报文格式 密钥交换协议IKE IPSec体系结构 IPSec安全传输技术 IPSec传输模式 IPSec安全传输技术 IPSec隧道模式 传输层安全协议 安全套接层协议（SSL） 是Netscape公司开发的网络安全协议，其主要目的是为网络通信应用进程间提供一个安全通道。 于1996年由Netscape公司推出SSL 3.0，得到了广泛的应用，并已被IETF的传输层安全工作小组（TLS working group）所采纳。 目前，SSL协议已经成为因特网事实上的传输层安全标准。 目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。 SSL协议的结构 SSL主要提供连接的保密性、可靠性和相互认证三种安全服务 传输层安全协议 SSL协议的组成 SSL记录协议 用于封装各种高层协议； SSL协议的高层协议 SSL握手协议 改变加密约定协议 警报协议 SSL握手协议 用来在客户端和服务器真正传输应用层数据之前建立安全