网络层安全.ppt

补充内容网络层安全;内 容 提 要;IPsec概述;IPsec是什么？;　IPSec 有两个目标：  　　保护 IP 数据包的内容。  　　通过数据包筛选及受信任通讯的实施来防御网络攻击。  　　这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。 　　IPSec 基于端对端的安全模式，在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识，但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持 IPSec。 ;该模式允许为下列企业方案成功部署 IPSec： 局域网 (LAN)：客户端/服务器和对等网络  广域网 (WAN)：路由器到路由器和网关到网关  远程访问：拨号客户机和从专用网络访问 Internet  　　通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。Microsoftreg; Windowsreg; 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc. 共同开发的。 　　IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。;IPSec的安全特性主要有： 不可否认性 “不可否认性”可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。“不可否认性”是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但“不可否认性”不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。 反重播性 “反重播”确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。 ·数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。  ·数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。 　　·认证 数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。;IPsec产生背景;IPsec发展过程;;IPsec设计目标与功能;IPsec安全实现的方法;IPsec协议安全机制特点;IPsec体系结构（1）;IPsec体系结构（2）;IPsec实现模式（1）;;;;比较：;;;;;安全关联SA——传输邻接SA束;安全关联SA——嵌套隧道SA束;安全关联SA——特性;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全关联SA——小结;安全策略——概念;安全策略——目的IP地址;安全策略——源IP地址;安全策略——传输层协议;安全策略——传输层协议;安全策略——传输层协议;安全策略——传输层协议;安全策略——传输层协议