第7章-网络安全技术-网络10.ppt

第七章网络安全技术 一. 基本要求与基本知识点 （1）掌握网络通信中的加密方式； （2）了解网络模型与安全协议。 （3）理解几个典型的安全协议。 （4）掌握防火墙的概念、组成及分类； 二. 教学重点与难点 （1）网络通信中的加密方式； （2）IPSec协议； （3）SSL协议； （4）PGP电子邮件加密； （5）防火墙技术和体系结构。 7.1网络通信中的一般加密方式 从数据在网络中传输角度看，由于网络中所有的节点或链路都可能成为攻击的位置，因此数据加密成为保护传输安全的有效而重要的手段。一般的数据加密可以通过链路加密、端到端加密来实现。 1、链路加密 链路加密是目前最常用的一种加密方式，通常在物理层和链路层中实现，它用于保护通信节点间链路上传输的数据。链路加密是网络节点到节点之间的链路上的信息加密方式，加密仅限于链路上，而不包括节点内部，如图7-1所示。 1、链路加密 图7-1 链路加密 所有消息在被传输之前进行加密，每个节点对收到的消息进行解密，再使用下一个链路的密钥对消息进行加密，然后进行传输。一条消息可能要经过许多通信链路的传输到达终点。 链路加密具有以下特点： （1）链路加密对用户是透明的，即加密/解密操作由网络自动进行，用户无需干预。 （2）每条链路上加密独立，使用不同的加密密钥。因此一条链路出现问题不会波及其它链路上的信息安全。 （3）所有链路上的消息均以密文形式出现，攻击者无法获取消息的结构、消息的源点与终点等信息，防止对通信业务进行分析，此即信号流安全机制。 （4）在网络节点中，消息以明文形式存在，因此对各节点的安全性要求较高。 2、端到端加密 端到端加密是网络层以上的加密，即是面向网络高层主体的加密。这种加密方式，在发送端进行数据加密，在接受端进行数据解密，数据在中间节点和链路上为密文，如图7-2所示。 图7-2 端-端加密 端到端加密具有以下特点： （1）数据在发送端进行加密，在到达接收端时进行解密，数据在中间结点和线路上为密文形式，整个传输过程中均受到保护； （2）端到端加密方式只加密数据信息本身，不加密路径控制信息，容易泄露通信双方的身份； （3）密钥管理机制较复杂。 7.2网络安全协议 7.2.1网络模型与安全协议 1、OSI七层参考模型 1978年国际标准化组织ISO提出了开放系统OSI（Open System Interconnectoin）网络设计七层参考模型，如图7-3所示。 图7-3 OSI网络七层模型 1、OSI七层参考模型 ① 物理层：是设备间的物理接口，它定义了接口硬件的机械、电气和电信号等特性及功能。 ② 数据链路层：是保证其向高层提供一条无差错的、可靠的传输线路，保证数据通信的正确性。（以“帧”为单位进行数据管理） ③ 网络层：是通信子网的关键，信息从通信子网的发送端传送到接收端，需要由网络层进行必要的路由选择、差错校验、流量控制及顺序检测等，使信息准确无误的进行传输。（以“数据分组”为单位，进行节点-节点的传输） ④ 传输层：是衔接通信子网和资源子网的桥梁，它对高层起到屏蔽作用，使其上层实体间的交互不受下层数据通信技术细节的影响，用户只感受到端-端的服务。（进行端-端的传输） ⑤ 会话层：控制应用进程间为完成一个特定的处理任务而进行的一系列通信对话所引起的信息交换，他使用传输层提供的传输服务向表示层提供会话服务。 ⑥ 表示层：目的是解决不同开放系统互连时的信息表示问题，为上层提供数据转换、格式变换、语言选择等功能。 ⑦ 应用层：为应用进程提供访问OSI环境的接口。 2、TCP/IP参考模型 Internet是迄今全球最大的、开放的，由众多网络互连而成的计算机互联网，又称国际互联网。这些众多的网络共同遵循TCP/IP协议。 TCP/IP从功能、概念上描述了Internet，它由大量的计算机网络协议和标准协议簇组成，其中主要协议是传输控制协议TCP（Transmission Control Protocol）和网际协议IP（Internet Protocol），如图7-4所示。 图7-4 TCP/IP协议模型 ① 应用层：向用户提供一组服务，如文件传输、电子邮件，远程登录、域名服务和WEB服务等。 ② 传输层：为端到端应用程序间的通信提供支持。 ③ 网际层：负责处理网络相邻节点间的通信。它向传输层提供统一的IP数据包，屏蔽了各种网络帧格式的差异，成为异构网络互连的关键。 ④ 网络接口层：是TCP/IP模型的最底层，负责接收IP数据包并通过网络发送，或从网络上接收物理帧，从中抽出IP数据包，并将其送给IP层。 3、网络结构体系 上述模型以结构化的方法，将网络按功能分成一系列的层次，每层完成特定的功能。 相邻层中的较高层直接使用较低层提供的服务，来