网络安全概述(ppt 105页).ppt

* 安全关联－SA 用于通信对等方之间对某些要素的一种协定，如： IPSec协议 协议的操作模式：传输、隧道 密码算法 密钥 用于保护数据流的密钥的生存期 * 安全关联－SA 通过像IKE这样的密钥管理协议在通信对等方之间协商而生成 当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该SA参数 SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换 终止的SA将从SAD中删除 * 安全关联－SA SAn …… SA3 SA2 SA1 * 安全关联－SA 安全参数索引 32位整数，唯一标识SA 1－255被IANA保留将来使用 0被保留用于本地实现 SAn …… SA3 SA2 SA1 * 安全关联－SA 输出处理SA的目的IP地址 输入处理SA的源IP地址 SAn …… SA3 SA2 SA1 * 安全关联－SA AH ESP SAn …… SA3 SA2 SA1 * 安全关联－SA 32位整数，刚开始通常为0 每次用SA来保护一个包时增1 用于生成AH或ESP头中的序列号域 在溢出之前，SA会重新进行协商 SAn …… SA3 SA2 SA1 * 安全关联－SA 用于外出包处理 标识序列号计数器的溢出时，一个SA是否仍 可以用来处理其余的包 SAn …… SA3 SA2 SA1 * 安全关联－SA 使用一个32位计数器和位图确定一个输入 的AH或ESP数据包是否是一个重放包 SAn …… SA3 SA2 SA1 * 安全关联－SA AH认证密码算法和所需要的密钥 SAn …… SA3 SA2 SA1 * 安全关联－SA ESP认证密码算法和所需要的密钥 SAn …… SA3 SA2 SA1 * 安全关联－SA ESP加密算法，密钥，初始化向量(IV)和IV模式 IV模式：ECB，CBC，CFB，OFB SAn …… SA3 SA2 SA1 * 安全关联－SA 传输模式 隧道模式 SAn …… SA3 SA2 SA1 * 安全关联－SA 路径最大传输单元 是可测量和可变化的 它是IP数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的IP数据 包的最大长度 SAn …… SA3 SA2 SA1 * 安全关联－SA 包含一个时间间隔 外加一个当该SA过期时是被替代还是终止 SAn …… SA3 SA2 SA1 * 安全策略－SP SP：指定用于到达或源自特定主机/网络的数据流的策略 SPD：包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 * 安全策略－SP选择符 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 * 安全策略－SP选择符 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 * 安全策略－SP选择符 指定传输协议（只要传输协议 能访问） SRn …… SR3 SR2 SR1 * 安全策略－SP选择符 完整的DNS名 或e-mail地址 SRn …… SR3 SR2 SR1 * 安全策略－SP选择符 完整的DNS用户名 SRn …… SR3 SR2 SR1 * 密钥管理 VPN技术的开放性预示着必须采用各种公开密码算法，这样算法的安全强度不能仅依赖于算法本身，只能依靠密钥的机密性。大规模部署VPN，也离不开自动密钥管理协议的支持。 VPN系统中常用的几种密钥管理协议包括：IKE协议、SKIP协议、Kerberos协议。 * VPN分类 按VPN业务类型划分： Intranet VPN（内部公文流转） Access VPN（远程拨号VPN） Extranet VPN（各分支机构互联） 按VPN发起主体划分： 客户发起，也称基于客户的VPN 服务器发起，也称客户透明方式或基于网络的VPN * 按隧道协议层次划分： 二层隧道协议：L2F/L2TP 、PPTP 三层隧道协议：GRE （通用路由封装协议） 、IPSec 介于二、三层间的隧道协议：MPLS 基于SOCKS V5的VPN 此外，根据VPN实现方式不同，还可进一步分为软件实现和硬件实现等。 * IPSec体系 两个通信协议：AH , ESP 两种操作模式：传输模式，隧道模式 一个密钥交换管理协议：IKE 两个数据库：安全策略数据库SPD，安全关联数据库SAD IPSec协议提供的安全服务包括：访问控制、无连接完整性、数据源鉴别、重传攻击保护、机密性、有限的流量保密等。 * IPSec体系结构 * IPSec协议主要内容包括： 协议框架－RF