第5章网络安全协议.pptxVIP

第5章 网络安全协议;5.1 网络安全协议的概念;;5.2 IPSec协议;网络层安全;IPSec的目标;IPv6和IPv4报头;;;IPSec的模式;AH头部格式;（1） 下一个头（Next Header）：8位 表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议。 在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）； 在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议。 （2） 载荷长度（Payload Length）：8位 其值是以32位（4字节）为单位的整个AH数据（包括头部和变长的认证数据）的长度再减2。 （3） 保留（reserved）：16位 作为保留用，实现中应全部设置为0。;（4） SPI(Security Parameter Inde安全参数索引)：32位 与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包惟一地确定一个SA。 [1，255]保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为[256，232- 1]。 （5） 序列号(Sequence Number)：32位 作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1。 该字段可以用于抵抗重放攻击。;（6） 验证数据（Authentication Data） 可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（Integrity Check Value，完整性校验值）。 该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充，用于生成ICV的算法由SA指定。;AH协议的两种模式;AH的处理过程;负 载;传输模式下的AH认证工作原理;通道模式下的AH认证工作原理;ESP头部格式;ESP传输模式示意图;ESP隧道模式;传输模式下的ESP工作原理;隧道模式下的ESP工作原理;ESP认证;组合IPSec 协议;;安全联盟SA;;5.3 SSL协议;SSL协议概述;SSL协议概述;SSL协议的功能;协议的使用;;SSL的体系结构;SSL握手步骤1;SSL握手步骤2;SSL握手步骤3;SSL握手步骤4;SSL记录协议;SSL协议安全性分析;;SSL协议和SET协议的比较;;;;;5.4 虚拟专用网络VPN ;VPN技术产生的背景;信息在传输中可能泄密;信息在传输中可能失真;信息的来源可能伪造的;信息传输的成本可能很高;数据在公网上传输随时都面临安全性问题 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能被伪造 信息传输的成本可能很高（相对于专线）;;;;;;在端到端的数据通路上随处都有可能发生数据的泄漏，包括： 拨入段链路上 ISP接入设备上 在因特网上 在安全网关上 在企业内部网上;;VPN是虚拟专用网络，是企业网在因特网等公共网络上的延伸 VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网 提供高安全能、低价位的因特网接入解决方案;;远程访问虚拟网（Access VPN）： 对于出差流动员工、远程办公人员和远程小办公室，Access VPN通过公用网络与企业内部网络建立私有的网络连接。在Access VPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道（Tunnel）连接来传输私有网络数据。 ;企业内部虚拟网（Intranet VPN）： 越来越多的企业需要在全国乃至世界范围内建立各种办事机构,分公司,研究所等.各个分公司之间 传统的网络连接方式一般是租用专线. 但随着分公司的不断增加,网络结构变得复杂,费用昂贵. Intranet VPN通过公用网络进行企业各个分布点互联,可以降低广域网带宽的费用,能使用灵活的拓扑结构,???更快更容易得连接新站点. ;企业扩展虚拟网（Extranet VPN）： Extranet VPN是指利用VPN将企业网延伸至合作伙伴与客户, 用于企业与客户、合作伙伴之间建立互联网络。一方面可 以向客户,合作伙伴提供有效的信息服务,另一方面可以保证自身内部网络的安全. ;VPN采用的四项技术;隧道技术(Tunneling) 一条虚拟的专门的链路,利用internet或其它的复杂网络完成远端两点之间的虚拟的点到点的传输. 三个基本要素 承载者:支持隧道的方法和协议. 被承载者 隧道封装协议:实现隧道方法的协议,将承载者和被承载者隔绝开来,保证了两者之间的透明性. ;IPSec VPN通道建立方式;;;;;IPSEC VPN功能-