网络与信息安全资料.pptVIP

基于TCP/IP协议的网络安全体系基础框架 5.1 网络层安全--IPSec 5.2 传输层安全--SSL 5.3 应用层安全—S-HTTP,SET 5.1 网络层安全 IPSec--一组协议 在IP加密传输信道技术方面，IETF已经指定IPSec来制定IP安全协议（IP Security Protocol, IPSP）和对应的Internet密钥管理协议（Internet Key Management Protocol, IKMP）的标准。 IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的，而在IPv4中是可选的。 IPSP的主要目的是使需要安全服务的用户能够使用相应的加密安全体制。该体制应该与算法独立，可以自己选择和替换加密算法而不会对应用和上层协议产生任何影响。此外，该体制必须能支持多种安全政策，并且对其他不使用该体制的用户完全透明。 按照这些要求，IPSec工作组使用认证头部（AH）和安全内容封装（ESP）两种机制，前者提供认证和数据完整性，后者实现通信保密。 AH（Authentication Header，验证头部协议） ESP（Encapsulating Security Payload，封装安全载荷）协议 IPSec体系结构 AH为IP数据包提供如下3种服务：无连接的数据完整性验证、数据源身份认证和防重放攻击。 ESP除了为IP数据包提供AH已有的3种服务外，还提供另外两种服务：数据包加密、数据流加密。 IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。 对IP包进行的IPSec处理有两种：AH和ESP。AH提供无连接的数据完整性、数据来源验证和抗重放攻击服务；而ESP除了提供AH的这些功能外，还可以提供对数据包加密和数据流量加密。 AH和ESP可以单独使用，也可以嵌套使用。通过这些组合方式，可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用。 传输层安全 常见的传输层安全技术有SSL-Secure socket layer SSL分为两层，上面是SSL协商层，双方通过协商约定有关加密的算法，进行身份认证等； 下面是SSL记录层，它把上层的数据经分段、压缩后加密，由传输层传送出去。SSL采用公钥方式进行身份认证，大量数据传输仍使用对称密钥方式进行数据加密。通过双方协商，SSL可以支持多种身份认证、加密和检验算法。 SSL结构图 高层协议 SSL协商层 SSL记录层 传输层 低层协议 SSL协议协商层工作过程示意图 通过X.509证书传输其拥有者的公开密钥 为了保持Internet上的通用性，目前一般的SSL协议只要求服务器方向客户方出示证书以证明自己的身份，而不要求用户方同样出示证书，在建立起SSL信道后再加密传输用户的口令实现客户方的身份认证。 5.3 应用层安全 IP层的安全协议能够为网络连接建立安全的通信信道，传输层安全协议允许为进程之间的数据通道增加安全属性，但它们都无法根据所传送的不同内容的安全要求予以区别对待。 如果确实想要区分具体文件的不同的安全性要求，就必须在应用层采用安全机制。 安全HTTP协议（S-HTTP）是Web上使用的超文本传输协议（HTTP）的安全增强版本，由企业集成技术公司设计。 它建立在HTTP1.1的基础上，提供了数据加密、身份认证、数据完整、防止否认等功能。S-HTTP通过协商可以选择不同的密钥管理方法、安全策略，以及加密算法等。 它在对称密钥方式下工作时，它不要求客户方用公钥Certificate进行身份认证，相对于SSL而言，降低了对公钥体系的要求。 S-HTTP提供了文件级的安全机制，因此每个文件都可以设置成保密/签字状态。用作加密及签名的算法可以由参与通信的收发双方协商。S-HTTP提供了对多种单向散列（Hash）函数的支持，如MD2、MD5及SHA；对多种私钥体制的支持，如DES、三元DES、RC2、RC4；对数字签名体制的支持，如RSA和DSS。 MasterCard、Visa国际公司和微软公司已经同意联手推出Internet上的安全信用卡交易服务。他们发布了相应的安全电子交易（SET）协议，其中规定了信用卡持有人用其信用卡通过Internet进行付费的方法。这套机制的后台有一个证书颁发的基础设施，提供对X.509证书的支持。 TCP/IP各层安全服务与安全协议的对应 OSI安全体系到TCP/IP安全体系的映射 ISO7498-2给出的是开放系统互连安全的一种参考模型，它是从现实应用的各种网络中提取出较为抽象的共性而形成的