《计算机网络(第5版)》课件-第7章 网络安全.ppt

课件制作人：谢希仁 IPsec 中最主要的两个部分 鉴别首部 AH (Authentication Header)： AH鉴别源点和检查数据完整性，但不能保密。 封装安全有效载荷 ESP (Encapsulation Security Payload)：ESP 比 AH 复杂得多，它鉴别源点、检查数据完整性和提供保密。 课件制作人：谢希仁 安全关联 SA(Security Association) 在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA。 IPsec 就把传统的因特网无连接的网络层转换为具有逻辑连接的层。 课件制作人：谢希仁 安全关联的特点 安全关联是一个单向连接。它由一个三元组唯一地确定，包括： (1) 安全协议（使用 AH 或 ESP）的标识符 (2) 此单向连接的源 IP 地址 (3) 一个 32 位的连接标识符，称为安全参数索引 SPI (Security Parameter Index) 对于一个给定的安全关联 SA，每一个 IPsec 数据报都有一个存放 SPI 的字段。通过此 SA 的所有数据报都使用同样的 SPI 值。 课件制作人：谢希仁 2. 鉴别首部协议 AH 在使用鉴别首部协议 AH 时，把 AH 首部插在原数据报数据部分的前面，同时把 IP 首部中的协议字段置为 51。 在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达终点时，目的主机才处理 AH 字段，以鉴别源点和检查数据报的完整性。 IP 首部 AH 首部 TCP/UDP 报文段 协议 = 51 AH 首部 (1) 下一个首部(8 位)。标志紧接着本首部的下一个首部的类型（如 TCP 或 UDP）。 (2) 有效载荷长度(8 位)，即鉴别数据字段的长度，以 32 位字为单位。 (3) 安全参数索引 SPI (32 位)。标志安全关联。 (4) 序号(32 位)。鉴别数据字段的长度，以32 位字为单位。 (5) 保留(16 位)。为今后用。 (6) 鉴别数据(可变)。为 32 位字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查 IP 数据报的完整性。 课件制作人：谢希仁 3. 封装安全有效载荷 ESP 使用 ESP 时，IP 数据报首部的协议字段置为 50。当 IP 首部检查到协议字段是 50 时，就知道在 IP 首部后面紧接着的是 ESP 首部，同时在原 IP 数据报后面增加了两个字段，即 ESP 尾部和 ESP 数据。 在 ESP 首部中有标识一个安全关联的安全参数索引 SPI (32 位)，和序号(32 位)。 课件制作人：谢希仁 3. 封装安全有效载荷 ESP（续） 在 ESP 尾部中有下一个首部（8 位，作用和 AH 首部的一样）。ESP 尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。 ESP 鉴别和 AH 中的鉴别数据是一样的。因此，用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。 课件制作人：谢希仁 在 IP 数据报中的ESP 的各字段 IP 首部 ESP 首部 TCP/UDP 报文段 使用 ESP 的 IP 数据报 原数据报的数据部分 ESP 尾部 ESP 鉴别 加密的部分 鉴别的部分 协议 = 50 课件制作人：谢希仁 7.6.2 运输层安全协议1. 安全套接层 SSL SSL 是安全套接层 (Secure Socket Layer)，可对万维网客户与服务器之间传送的数据进行加密和鉴别。 在联络阶段：协商将使用的加密算法和密钥，以及客户与服务器之间的鉴别。 联络阶段完成之后：所有传送的数据都使用在联络阶段商定的会话密钥。 SSL 不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议 TLS (Transport Layer Security)的基础。 课件制作人：谢希仁 SSL 的位置 TCP 应用层 SSL 运输层 HTTP IMAP SSL 功能 标准套接字 在发送方，SSL 接收应用层的数据（如 HTTP 或 IMAP 报文），对数据进行加密，然后把加了密的数据送往 TCP 套接字。 在接收方，SSL 从 TCP 套接字读取数据，解密后把数据交给应用层。 课件制作人：谢希仁 SSL 提供以下三个功能 SSL 服务器鉴别 允许用户证实服务器的身份。 具有 SS L 功能的浏览器维持一个表，上面有一些可信赖的认证中心 CA (Certificate Authority)和它们的公钥。 (2) 加密的 SSL 会话 客户和服务器交互的所有数据都在发送方加密，在接收方解密。 (3) SSL 客户鉴