網(wǎng)絡(luò)安全協(xié)議概述課件_第1頁(yè)
網(wǎng)絡(luò)安全協(xié)議概述課件_第2頁(yè)
網(wǎng)絡(luò)安全協(xié)議概述課件_第3頁(yè)
網(wǎng)絡(luò)安全協(xié)議概述課件_第4頁(yè)
網(wǎng)絡(luò)安全協(xié)議概述課件_第5頁(yè)
已閱讀5頁(yè),還剩73頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

31十月20221網(wǎng)絡(luò)安全協(xié)議概述23十月20221網(wǎng)絡(luò)安全協(xié)議概述4.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議TCP/IP協(xié)議集確立了Internet的技術(shù)基礎(chǔ)。TCP/IP的發(fā)展始于美國(guó)DOD(國(guó)防部)方案。IAB(Internet架構(gòu)委員會(huì))的下屬工作組IETF(Internet工程任務(wù)組)研發(fā)了其中多數(shù)協(xié)議。IAB最初由美國(guó)政府發(fā)起,如今轉(zhuǎn)變?yōu)楣_(kāi)而自治的機(jī)構(gòu)。IAB協(xié)同研究和開(kāi)發(fā)TCP/IP協(xié)議集的底層結(jié)構(gòu),并引導(dǎo)著Internet的發(fā)展。10/31/202224.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議TCP/IP協(xié)議集TCP/IP協(xié)議族是因特網(wǎng)的基礎(chǔ)協(xié)議,是一組協(xié)議的集合,包括基于傳輸層的TCP協(xié)議、UDP協(xié)議和基于網(wǎng)絡(luò)層的IP協(xié)議、ICMP協(xié)議和IGMP協(xié)議等。TCP/IP的核心功能是尋址和路由選擇(網(wǎng)絡(luò)層的IP/IPV6)以及傳輸控制(傳輸層的TCP、UDP)。10/31/20223TCP/IP協(xié)議族是因特網(wǎng)的基礎(chǔ)協(xié)議,是一組協(xié)議的集合,包括ISO/OSI參考模型將網(wǎng)絡(luò)的結(jié)構(gòu)分成了7層,每層都實(shí)現(xiàn)特定的功能,但因特網(wǎng)體系結(jié)構(gòu)卻只分成了4層概念功能層來(lái)進(jìn)行描述。OSI的參考模型TCP/IP的參考模型10/31/20224ISO/OSI參考模型將網(wǎng)絡(luò)的結(jié)構(gòu)分成了7層,每層都實(shí)現(xiàn)特定TCP/IP協(xié)議集應(yīng)用層網(wǎng)際層傳輸層網(wǎng)絡(luò)接口層SMTPDNSSNMPTELNETHTTPNFSFTPTCPUDPICMPIGMPIPRARPARPLANWANMAN10/31/20225TCP/IP協(xié)議集應(yīng)用層網(wǎng)際層傳輸層網(wǎng)絡(luò)接口層SMTPDNS4.1.2網(wǎng)絡(luò)安全協(xié)議概述網(wǎng)絡(luò)安全協(xié)議10/31/202264.1.2網(wǎng)絡(luò)安全協(xié)議概述網(wǎng)絡(luò)安全協(xié)議10/23/20224.2PGP協(xié)議4.2.1PGP簡(jiǎn)介PGP(PrettyGoodPrivacy),是一個(gè)提供安全電子郵件的軟件包,提供加密、鑒別、數(shù)字簽名和壓縮等技術(shù),是PhilZimmermann在1991年編寫(xiě)的一個(gè)安全電子郵件加密方案,已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)。PGP的版本有兩大類(lèi):僅供個(gè)人用于非商業(yè)目的PGP免費(fèi)版和公司用的PGP商業(yè)版。不同版本的PGP在公共域中可以得到,例如,你可以在國(guó)際PGP主頁(yè)上找到合適平臺(tái)的PGP軟件。PGP也是一個(gè)商業(yè)產(chǎn)品,并且可以作為許多電子郵件用戶(hù)代理(例如微軟的Exchange和Outlook)的插件。PGP應(yīng)用程序的特點(diǎn)是速度快、效率高、跨平臺(tái)。PGP是位于應(yīng)用層的一個(gè)安全協(xié)議,實(shí)際上它也是一個(gè)應(yīng)用層上提供安全服務(wù)的軟件。

10/31/202274.2PGP協(xié)議4.2.1PGP簡(jiǎn)介10/23/20224.2.2PGP的功能1)采用一次一密的對(duì)稱(chēng)加密算法,密鑰隨郵件加密傳送,每次可以不同。2)采用數(shù)字簽名防止了中途篡改和偽造。3)郵件內(nèi)容經(jīng)過(guò)壓縮,減少了傳送量。4)進(jìn)行base64編碼,便于兼容不同郵件傳送系統(tǒng)。

PGP最核心的功能是:文件加密、通信加密和數(shù)字簽名。PGP采用的安全加密算法和處理手段主要包括IDEA對(duì)稱(chēng)密碼算法、MD5報(bào)文摘要算法、RSA公鑰算法、base64編碼、ZIP程序壓縮等。10/31/202284.2.2PGP的功能1)采用一次一密的對(duì)稱(chēng)加密算法,密鑰PGP加密的工作原理圖10/31/20229PGP加密的工作原理圖10/23/20229PGP通過(guò)單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名,保證信件內(nèi)容無(wú)法修改,使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密且不可否認(rèn)。發(fā)信人與收信人的公鑰公布在公開(kāi)的地方,公鑰本身的權(quán)威性由第三方,特別是收信人所熟悉或信任的第三方進(jìn)行簽名認(rèn)證。10/31/202210PGP通過(guò)單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名,保證信件內(nèi)容無(wú)法修4.2.3PGP的應(yīng)用舉例10/31/2022114.2.3PGP的應(yīng)用舉例10/23/202211配置PGP啟動(dòng)PGP后,PGP軟件會(huì)在任務(wù)欄生成一個(gè)小圖標(biāo),即中的小鎖圖標(biāo),點(diǎn)擊小鎖,彈出的菜單中選擇“PGPMail”,會(huì)出現(xiàn)一個(gè)程序欄。

10/31/202212配置PGP啟動(dòng)PGP后,PGP軟件會(huì)在任務(wù)欄生成一個(gè)小圖標(biāo),當(dāng)PGP安裝后,該軟件會(huì)為用戶(hù)產(chǎn)生一個(gè)公共密鑰對(duì)。這個(gè)公共密鑰可以公布在用戶(hù)的個(gè)人網(wǎng)站或者放在公共密鑰服務(wù)器上。私有密鑰用密碼進(jìn)行了保護(hù)。每次用戶(hù)訪(fǎng)問(wèn)這個(gè)私有密鑰的時(shí)候,必須輸入密碼。PGP會(huì)讓用戶(hù)選擇是使用數(shù)字簽名還是加密這個(gè)消息,或者是兩者都使用。其簽名的消息或者加密的消息都跟在MIME頭部的后面。PGP也提供了公共密鑰認(rèn)證機(jī)制,但是這個(gè)機(jī)制完全不同于更為通用的認(rèn)證中心。PGP公共密鑰通過(guò)委托網(wǎng)站進(jìn)行認(rèn)證。當(dāng)用戶(hù)A認(rèn)為密鑰/用戶(hù)名對(duì)確實(shí)是一起的,那么他就可以進(jìn)行認(rèn)證。另外,PGP允許用戶(hù)A聲明他信任的其他用戶(hù)負(fù)責(zé)更多密鑰的認(rèn)證。一些PGP用戶(hù)通過(guò)密鑰簽署協(xié)議來(lái)簽署各自的密鑰。用戶(hù)找個(gè)機(jī)會(huì)碰面,交換包含公共密鑰的磁盤(pán),通過(guò)用他們的私有密鑰簽寫(xiě)各自的密鑰來(lái)認(rèn)證密鑰。PGP公共密鑰也可以通過(guò)因特網(wǎng)上的PGP公共密鑰服務(wù)器發(fā)布。當(dāng)然,也可以在個(gè)人網(wǎng)頁(yè)上很容易的得到公共密鑰。10/31/202213當(dāng)PGP安裝后,該軟件會(huì)為用戶(hù)產(chǎn)生一個(gè)公共密鑰對(duì)。這個(gè)公共密PGP中使用PGPKeys管理鑰匙環(huán)(KeyRing)1.密鑰的生成、傳播和廢除密鑰的生成通常在安裝過(guò)程中完成。在PGPKeys中也可生成新的密鑰,即在任務(wù)欄彈出的菜單中選擇PGPKeys→Keys→NewKey。若想廢除密鑰,只須選取Revoke即可。10/31/202214PGP中使用PGPKeys管理鑰匙環(huán)(KeyRing)1010/31/20221510/23/20221510/31/20221610/23/20221610/31/20221710/23/202217密鑰屬性對(duì)話(huà)框10/31/202218密鑰屬性對(duì)話(huà)框10/23/2022182.數(shù)字簽名用自己的私鑰對(duì)郵件等簽名。3.加密與解密點(diǎn)擊“Encrypt”,彈出選擇所加密文件的對(duì)話(huà)框。→“ConventionalEncryption”→輸入確認(rèn)口令→完成。4.解密,是加密的反過(guò)程。用“Decrypt、Verify”。10/31/2022192.數(shù)字簽名10/23/2022194.3SSL協(xié)議SSL是SecureSocketLayer(安全套接層協(xié)議)的縮寫(xiě),是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,位于TCP和應(yīng)用層之間,是一個(gè)獨(dú)立的安全協(xié)議,換句話(huà)說(shuō),即是高層應(yīng)用協(xié)議(例如HTTP、FTP、Telnet等)能透明的建立在SSL之上。SSL主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用客戶(hù)/服務(wù)器方式,可在服務(wù)器端和用戶(hù)端同時(shí)實(shí)現(xiàn)支持。SSL協(xié)議提供的服務(wù)可以歸納為如下三個(gè)方面:1)用戶(hù)和服務(wù)器身份的合法性認(rèn)證。2)SSL鏈路上數(shù)據(jù)機(jī)密性。3)SSL鏈路上數(shù)據(jù)的完整性。

10/31/2022204.3SSL協(xié)議SSL是SecureSocketL現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器,用戶(hù)端采用支持SSL的瀏覽器實(shí)現(xiàn)安全通信。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō),使用SSL能夠?qū)π庞每ê蛡€(gè)人信息提供信息的完整性和保密性保護(hù)。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行電子簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。有鑒于此,網(wǎng)景公司在從Communicator4.04版開(kāi)始的所有瀏覽器中引入了一種被稱(chēng)作"表單簽名(FormSigning)"的功能,在電子商務(wù)中,可利用這一功能來(lái)對(duì)包含購(gòu)買(mǎi)者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。

10/31/202221現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTSSL協(xié)議在傳輸層和更高層提供了網(wǎng)絡(luò)安全傳輸服務(wù),它要求建立在可靠的傳輸層協(xié)議(例如TCP)之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證的工作,在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密,從而保證通信的安全性。它也是傳輸層安全協(xié)議(TransportLayerSecurity,TLS)的基礎(chǔ),使用戶(hù)/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽(tīng),并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證,還可以選擇對(duì)用戶(hù)進(jìn)行認(rèn)證。10/31/202222SSL協(xié)議在傳輸層和更高層提供了網(wǎng)絡(luò)安全傳輸服務(wù),它要求SSL協(xié)議是兩層協(xié)議:上層協(xié)議包括SSL握手協(xié)議、更改密碼規(guī)格協(xié)議和警報(bào)協(xié)議,下層協(xié)議為SSL記錄協(xié)議。相應(yīng)的其操作分為兩個(gè)階段:第一階段是握手階段(發(fā)送方和接收方協(xié)商并確定加密算法和密鑰),第二階段為數(shù)據(jù)加密傳輸階段(依據(jù)第一階段商定的密鑰加密數(shù)據(jù))。SSL協(xié)議采用公共密鑰技術(shù),并已成為Internet上保密通信的工業(yè)標(biāo)準(zhǔn)。現(xiàn)行Web瀏覽器普遍將HTTP和SSL協(xié)議相結(jié)合,從而實(shí)現(xiàn)安全通信。SSL協(xié)議的絕大功能由SSL握手協(xié)議和記錄協(xié)議完成。4.3.2SSL結(jié)構(gòu)及算法10/31/202223SSL協(xié)議是兩層協(xié)議:上層協(xié)議包括SSL握手協(xié)議、更改密碼規(guī)SSL協(xié)議棧10/31/202224SSL協(xié)議棧10/23/202224SSL握手協(xié)議(SSLHandshakeProtocol)SSL握手協(xié)議建立在SSL記錄協(xié)議之上,用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前客戶(hù)和服務(wù)器之間的“握手”?!拔帐帧笔且粋€(gè)協(xié)商的過(guò)程,這個(gè)協(xié)議使得客戶(hù)和服務(wù)器能夠互相鑒別對(duì)方的身份,協(xié)商加密和鑒別算法以及協(xié)商密鑰。在傳輸任何數(shù)據(jù)之前,必須使用握手協(xié)議。客戶(hù)和服務(wù)器鑒別身份是采用發(fā)送X.509數(shù)字證書(shū)來(lái)進(jìn)行的。加密算法可選擇使用DES,3-DES,IDEA,RC2,RC4等;鑒別算法可選擇使用SHA算法和MD5報(bào)文摘要算法;密鑰交換和協(xié)商通常采用RSA公鑰算法來(lái)完成。10/31/202225SSL握手協(xié)議(SSLHandshakeProtocolSSL更改密碼規(guī)格協(xié)議是使用SSL記錄協(xié)議服務(wù)的SSL高層協(xié)議的3個(gè)特定協(xié)議之一,也是其中最簡(jiǎn)單的一個(gè)。協(xié)議由單個(gè)消息組成,該消息只包含一個(gè)值為1的單個(gè)字節(jié)。該消息的唯一作用就是使未決狀態(tài)拷貝為當(dāng)前狀態(tài),更新用于當(dāng)前連接的密碼組。為了保障SSL傳輸過(guò)程的安全性,雙方應(yīng)該每隔一段時(shí)間改變加密規(guī)范。SSL告警協(xié)議是用來(lái)為對(duì)等實(shí)體傳遞SSL的相關(guān)警告。如果在通信過(guò)程中某一方發(fā)現(xiàn)任何異常,就需要給對(duì)方發(fā)送一條警示消息通告。警示消息有兩種:一種是Fatal錯(cuò)誤,如傳遞數(shù)據(jù)過(guò)程中,發(fā)現(xiàn)錯(cuò)誤的MAC,雙方就需要立即中斷會(huì)話(huà),同時(shí)消除自己緩沖區(qū)相應(yīng)的會(huì)話(huà)記錄;第二種是Warning消息,這種情況,通信雙方通常都只是記錄日志,而對(duì)通信過(guò)程不造成任何影響。SSL握手協(xié)議可以使得服務(wù)器和客戶(hù)能夠相互鑒別對(duì)方,協(xié)商具體的加密算法和MAC算法以及保密密鑰,用來(lái)保護(hù)在SSL記錄中發(fā)送的數(shù)據(jù)。10/31/202226SSL更改密碼規(guī)格協(xié)議是使用SSL記錄協(xié)議服務(wù)的SSL高層協(xié)SSL記錄協(xié)議(SSLRecordProtocol)在握手協(xié)議完成之后,才能進(jìn)行SSL記錄協(xié)議,它的主要功能是為高層協(xié)議提供封裝數(shù)據(jù)、壓縮、添加消息鑒別碼MAC、加密等基本功能的支持。10/31/202227SSL記錄協(xié)議(SSLRecordProtocol)104.3.3SSL的應(yīng)用10/31/2022284.3.3SSL的應(yīng)用10/23/20222810/31/20222910/23/2022294.4IPSec協(xié)議簡(jiǎn)介IPSec(InternetProtocolSecurity)即Internet安全協(xié)議,是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。IPSec主要提供以下安全服務(wù):數(shù)據(jù)內(nèi)容的機(jī)密性、數(shù)據(jù)起源地驗(yàn)證、數(shù)據(jù)的完整性驗(yàn)證、抗重播保護(hù)。IPSec(通常稱(chēng)IP安全協(xié)議)是一組安全I(xiàn)P協(xié)議集,是在IP包級(jí)為IP業(yè)務(wù)提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn),其基本目的就是把安全機(jī)制引入IP協(xié)議,通過(guò)使用現(xiàn)代密碼學(xué)方法支持加密性和認(rèn)證性服務(wù),使用戶(hù)能有選擇的使用,并得到所期望的安全服務(wù)。10/31/2022304.4IPSec協(xié)議簡(jiǎn)介IPSec(InternetP4.4.1IPSec的優(yōu)勢(shì)與應(yīng)用IPSec位于TCP/IP分層結(jié)構(gòu)的IP層上,因此它可以加密和鑒別在IP層的所有通信量,所有的分布式應(yīng)用,包括遠(yuǎn)程注冊(cè)、客戶(hù)/服務(wù)器、電子郵件、文件傳輸、Web訪(fǎng)問(wèn)等,都可以通過(guò)IPSec增加安全特征。IPSec是一種基于端對(duì)端的安全模式。適合下列網(wǎng)絡(luò):局域網(wǎng):C/S模式,對(duì)等模式廣域網(wǎng):路由器-對(duì)-路由器模式,網(wǎng)關(guān)-對(duì)-網(wǎng)關(guān)模式遠(yuǎn)程訪(fǎng)問(wèn):撥號(hào)客戶(hù)機(jī),專(zhuān)網(wǎng)對(duì)Internet的訪(fǎng)問(wèn)。10/31/2022314.4.1IPSec的優(yōu)勢(shì)與應(yīng)用IPSec位于TCP/IPIPSec的優(yōu)越性:1)IPSec具有更好的兼容性。2)比高層安全協(xié)議的性能更好,實(shí)現(xiàn)起來(lái)更方便;比底層安全協(xié)議更能適應(yīng)通信介質(zhì)的多樣性。3)系統(tǒng)開(kāi)銷(xiāo)小。4)透明性。5)開(kāi)放性。IPSec安全協(xié)議定義了如何通過(guò)在IP數(shù)據(jù)包中增加擴(kuò)展頭和字段來(lái)保證IP包的秘密性、可認(rèn)證性和完整性。10/31/202232IPSec的優(yōu)越性:10/23/2022324.4.2IPSec體系結(jié)構(gòu)IPSec也是由多個(gè)子協(xié)議組成,將幾種安全技術(shù)結(jié)合形成一個(gè)比較完整的安全體系結(jié)構(gòu)。它是由因特網(wǎng)密鑰交換協(xié)議(IKE:InternetKeyExchange)、認(rèn)證頭(AuthenticationHeader,AH)以及安全封裝載荷(EncapsulatingSecurityPayload,ESP)三個(gè)子協(xié)議組成。IPSec通過(guò)在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制——認(rèn)證頭和安全封裝載荷來(lái)支持IP數(shù)據(jù)段的秘密性、可認(rèn)證性和完整性。通過(guò)IP安全協(xié)議和密鑰管理協(xié)議構(gòu)建起IP層安全體系結(jié)構(gòu)的框架,以保護(hù)所有基于IP的服務(wù)和應(yīng)用。當(dāng)這些安全機(jī)制正確實(shí)現(xiàn)時(shí),它不會(huì)對(duì)用戶(hù)、主機(jī)和其他未采用這些安全機(jī)制的Internet部件產(chǎn)生負(fù)面影響。由于這些安全機(jī)制是獨(dú)立于算法的,所以在選擇和改變算法時(shí)也不會(huì)影響其它部分的實(shí)現(xiàn),對(duì)用戶(hù)和上層應(yīng)用是透明的。10/31/2022334.4.2IPSec體系結(jié)構(gòu)IPSec也是由多個(gè)子協(xié)議1)因特網(wǎng)密鑰交換協(xié)議(IKE):用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SA:SecurityAssociation),所謂SA是通信對(duì)等方中間對(duì)某些要素的一種協(xié)定。IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理,它主要包括三個(gè)功能:對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商;方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行);跟蹤對(duì)以上這些約定的實(shí)施。2)認(rèn)證頭(AH):設(shè)計(jì)AH協(xié)議的主要目的是用來(lái)增加數(shù)據(jù)完整性的認(rèn)證機(jī)制,為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證,以確保修改過(guò)的數(shù)據(jù)包可以被檢查出來(lái)。通過(guò)它可以防止地址欺騙攻擊和重發(fā)攻擊。它支持的散列算法是HMAC-MD5-96,HMAC-SHA-1-96。3)安全封裝載荷(ESP):設(shè)計(jì)ESP協(xié)議的主要目的是提供IP數(shù)據(jù)包的安全性。ESP的作用是提供機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重播保護(hù)等安全服務(wù)。ESP支持的加密算法有:3DES,RC5,IDEA,三密鑰三重IDEA,CAST,Blowfish,支持的散列算法有HMAC-MD5-96,HMAC-SHA-1-96。

IPSec各個(gè)子協(xié)議的功能10/31/2022341)因特網(wǎng)密鑰交換協(xié)議(IKE):用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SAIPSec體系結(jié)構(gòu)模型TCP/UDP傳輸層IPSec驅(qū)動(dòng)程序受保護(hù)的IP數(shù)據(jù)包TCP/UDP傳輸層IPSec驅(qū)動(dòng)程序IKESA對(duì)主機(jī)AIKESA對(duì)主機(jī)B網(wǎng)絡(luò)層SA協(xié)商10/31/202235IPSec體系結(jié)構(gòu)模型TCP/UDPIPSec驅(qū)動(dòng)程序受保護(hù)4.4.3基于IPSec的虛擬專(zhuān)用網(wǎng)IPSec作為網(wǎng)絡(luò)層安全協(xié)議,產(chǎn)生于IPv6的制定之中,用于提供IP層的安全性。目前IPSec最主要的應(yīng)用是構(gòu)建安全虛擬專(zhuān)用網(wǎng)(VPN,VirtualPrivateNetwork)。VPN是利用開(kāi)放的公眾網(wǎng)絡(luò)資源建立私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái),并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN有兩層含義:它是“虛擬的”,即建立隧道或虛電路把不同的物理網(wǎng)絡(luò)或設(shè)備連接起來(lái),不再使用物理的專(zhuān)線(xiàn)建立專(zhuān)用網(wǎng),而是將其建立在分布廣泛的公共網(wǎng)絡(luò)上,如Internet;它是“專(zhuān)用的”,對(duì)基于IPSec的VPN而言,是一組連接的閉合用戶(hù)群(CVC),它不僅具有服務(wù)質(zhì)量(QoS)的保證,而且更多地強(qiáng)調(diào)安全服務(wù)。VPN是企業(yè)網(wǎng)在公共網(wǎng)絡(luò)上的無(wú)縫延伸,VPN可將位于不同地點(diǎn)的遠(yuǎn)程用戶(hù)、分支機(jī)構(gòu)和合作伙伴等連接起來(lái)。10/31/2022364.4.3基于IPSec的虛擬專(zhuān)用網(wǎng)IPSec作為網(wǎng)絡(luò)層安VPN是當(dāng)前企業(yè)最大限度的利用Internet進(jìn)行安全經(jīng)濟(jì)商務(wù)活動(dòng)的最佳解決方案。安全是構(gòu)建VPN的首要考慮問(wèn)題,IPSec是實(shí)現(xiàn)VPN安全性的關(guān)鍵技術(shù),并已成為VPN國(guó)際標(biāo)準(zhǔn),IPSec為VPN的可互操作性、安全網(wǎng)絡(luò)管理和通信提供了一個(gè)安全手段。10/31/202237VPN是當(dāng)前企業(yè)最大限度的利用Internet進(jìn)行安全經(jīng)濟(jì)商4.4.4IPSec的應(yīng)用舉例建立和實(shí)現(xiàn)IPSec的過(guò)程:1)建立域或本地計(jì)算機(jī)策略,制定哪些網(wǎng)絡(luò)通信需要是安全的,以及如何處理安全性。2)根據(jù)這些策略,IPSec將建立一組篩選器,以決定需要安全地傳輸哪些網(wǎng)絡(luò)數(shù)據(jù)包。3)當(dāng)IPSec從發(fā)送應(yīng)用程序到接收一系列需要安全傳輸?shù)鼐W(wǎng)絡(luò)數(shù)據(jù)包時(shí),發(fā)送計(jì)算機(jī)將這種情況傳遞到接收計(jì)算機(jī)。兩臺(tái)計(jì)算機(jī)將根據(jù)IPSec策略交換證書(shū),并驗(yàn)證彼此的身份。4)在驗(yàn)證了身份之后,兩臺(tái)計(jì)算機(jī)將商定一個(gè)算法,每一臺(tái)計(jì)算機(jī)都將生成同一個(gè)私鑰,而不必在網(wǎng)絡(luò)上傳輸密鑰,這同樣是根據(jù)IPSec策略進(jìn)行的。5)發(fā)送計(jì)算機(jī)使用私鑰加密所傳輸?shù)臄?shù)據(jù)包,加上數(shù)字簽名,這樣接收計(jì)算機(jī)就知道是誰(shuí)發(fā)送數(shù)據(jù)包,然后傳輸數(shù)據(jù)包。6)接收計(jì)算機(jī)驗(yàn)證數(shù)字簽名,然后使用密鑰解密數(shù)據(jù)包,并將其發(fā)送給接收應(yīng)用程序。10/31/2022384.4.4IPSec的應(yīng)用舉例建立和實(shí)現(xiàn)IPSec的過(guò)程:要解決的問(wèn)題1.PGP、SSL、IPSec協(xié)議分別工作在TCP/IP分層結(jié)構(gòu)中的什么位置,并說(shuō)明它們提供的安全服務(wù)有何區(qū)別?2.SSL協(xié)議中的握手協(xié)議和記錄協(xié)議的主要功能?3.網(wǎng)絡(luò)上有人篡改IP地址,進(jìn)行“IP欺騙”,可以采用什么安全協(xié)議來(lái)解決?4.什么是虛擬專(zhuān)用網(wǎng)?5.練習(xí)使用SSL和PGP軟件。6.會(huì)設(shè)置系統(tǒng)的IP安全策略。10/31/202239要解決的問(wèn)題1.PGP、SSL、IPSec協(xié)議分別工作在TC31十月202240網(wǎng)絡(luò)安全協(xié)議概述23十月20221網(wǎng)絡(luò)安全協(xié)議概述4.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議TCP/IP協(xié)議集確立了Internet的技術(shù)基礎(chǔ)。TCP/IP的發(fā)展始于美國(guó)DOD(國(guó)防部)方案。IAB(Internet架構(gòu)委員會(huì))的下屬工作組IETF(Internet工程任務(wù)組)研發(fā)了其中多數(shù)協(xié)議。IAB最初由美國(guó)政府發(fā)起,如今轉(zhuǎn)變?yōu)楣_(kāi)而自治的機(jī)構(gòu)。IAB協(xié)同研究和開(kāi)發(fā)TCP/IP協(xié)議集的底層結(jié)構(gòu),并引導(dǎo)著Internet的發(fā)展。10/31/2022414.1TCP/IP協(xié)議族與網(wǎng)絡(luò)安全協(xié)議TCP/IP協(xié)議集TCP/IP協(xié)議族是因特網(wǎng)的基礎(chǔ)協(xié)議,是一組協(xié)議的集合,包括基于傳輸層的TCP協(xié)議、UDP協(xié)議和基于網(wǎng)絡(luò)層的IP協(xié)議、ICMP協(xié)議和IGMP協(xié)議等。TCP/IP的核心功能是尋址和路由選擇(網(wǎng)絡(luò)層的IP/IPV6)以及傳輸控制(傳輸層的TCP、UDP)。10/31/202242TCP/IP協(xié)議族是因特網(wǎng)的基礎(chǔ)協(xié)議,是一組協(xié)議的集合,包括ISO/OSI參考模型將網(wǎng)絡(luò)的結(jié)構(gòu)分成了7層,每層都實(shí)現(xiàn)特定的功能,但因特網(wǎng)體系結(jié)構(gòu)卻只分成了4層概念功能層來(lái)進(jìn)行描述。OSI的參考模型TCP/IP的參考模型10/31/202243ISO/OSI參考模型將網(wǎng)絡(luò)的結(jié)構(gòu)分成了7層,每層都實(shí)現(xiàn)特定TCP/IP協(xié)議集應(yīng)用層網(wǎng)際層傳輸層網(wǎng)絡(luò)接口層SMTPDNSSNMPTELNETHTTPNFSFTPTCPUDPICMPIGMPIPRARPARPLANWANMAN10/31/202244TCP/IP協(xié)議集應(yīng)用層網(wǎng)際層傳輸層網(wǎng)絡(luò)接口層SMTPDNS4.1.2網(wǎng)絡(luò)安全協(xié)議概述網(wǎng)絡(luò)安全協(xié)議10/31/2022454.1.2網(wǎng)絡(luò)安全協(xié)議概述網(wǎng)絡(luò)安全協(xié)議10/23/20224.2PGP協(xié)議4.2.1PGP簡(jiǎn)介PGP(PrettyGoodPrivacy),是一個(gè)提供安全電子郵件的軟件包,提供加密、鑒別、數(shù)字簽名和壓縮等技術(shù),是PhilZimmermann在1991年編寫(xiě)的一個(gè)安全電子郵件加密方案,已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)。PGP的版本有兩大類(lèi):僅供個(gè)人用于非商業(yè)目的PGP免費(fèi)版和公司用的PGP商業(yè)版。不同版本的PGP在公共域中可以得到,例如,你可以在國(guó)際PGP主頁(yè)上找到合適平臺(tái)的PGP軟件。PGP也是一個(gè)商業(yè)產(chǎn)品,并且可以作為許多電子郵件用戶(hù)代理(例如微軟的Exchange和Outlook)的插件。PGP應(yīng)用程序的特點(diǎn)是速度快、效率高、跨平臺(tái)。PGP是位于應(yīng)用層的一個(gè)安全協(xié)議,實(shí)際上它也是一個(gè)應(yīng)用層上提供安全服務(wù)的軟件。

10/31/2022464.2PGP協(xié)議4.2.1PGP簡(jiǎn)介10/23/20224.2.2PGP的功能1)采用一次一密的對(duì)稱(chēng)加密算法,密鑰隨郵件加密傳送,每次可以不同。2)采用數(shù)字簽名防止了中途篡改和偽造。3)郵件內(nèi)容經(jīng)過(guò)壓縮,減少了傳送量。4)進(jìn)行base64編碼,便于兼容不同郵件傳送系統(tǒng)。

PGP最核心的功能是:文件加密、通信加密和數(shù)字簽名。PGP采用的安全加密算法和處理手段主要包括IDEA對(duì)稱(chēng)密碼算法、MD5報(bào)文摘要算法、RSA公鑰算法、base64編碼、ZIP程序壓縮等。10/31/2022474.2.2PGP的功能1)采用一次一密的對(duì)稱(chēng)加密算法,密鑰PGP加密的工作原理圖10/31/202248PGP加密的工作原理圖10/23/20229PGP通過(guò)單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名,保證信件內(nèi)容無(wú)法修改,使用公鑰和私鑰技術(shù)保證郵件內(nèi)容保密且不可否認(rèn)。發(fā)信人與收信人的公鑰公布在公開(kāi)的地方,公鑰本身的權(quán)威性由第三方,特別是收信人所熟悉或信任的第三方進(jìn)行簽名認(rèn)證。10/31/202249PGP通過(guò)單向散列算法對(duì)郵件內(nèi)容進(jìn)行簽名,保證信件內(nèi)容無(wú)法修4.2.3PGP的應(yīng)用舉例10/31/2022504.2.3PGP的應(yīng)用舉例10/23/202211配置PGP啟動(dòng)PGP后,PGP軟件會(huì)在任務(wù)欄生成一個(gè)小圖標(biāo),即中的小鎖圖標(biāo),點(diǎn)擊小鎖,彈出的菜單中選擇“PGPMail”,會(huì)出現(xiàn)一個(gè)程序欄。

10/31/202251配置PGP啟動(dòng)PGP后,PGP軟件會(huì)在任務(wù)欄生成一個(gè)小圖標(biāo),當(dāng)PGP安裝后,該軟件會(huì)為用戶(hù)產(chǎn)生一個(gè)公共密鑰對(duì)。這個(gè)公共密鑰可以公布在用戶(hù)的個(gè)人網(wǎng)站或者放在公共密鑰服務(wù)器上。私有密鑰用密碼進(jìn)行了保護(hù)。每次用戶(hù)訪(fǎng)問(wèn)這個(gè)私有密鑰的時(shí)候,必須輸入密碼。PGP會(huì)讓用戶(hù)選擇是使用數(shù)字簽名還是加密這個(gè)消息,或者是兩者都使用。其簽名的消息或者加密的消息都跟在MIME頭部的后面。PGP也提供了公共密鑰認(rèn)證機(jī)制,但是這個(gè)機(jī)制完全不同于更為通用的認(rèn)證中心。PGP公共密鑰通過(guò)委托網(wǎng)站進(jìn)行認(rèn)證。當(dāng)用戶(hù)A認(rèn)為密鑰/用戶(hù)名對(duì)確實(shí)是一起的,那么他就可以進(jìn)行認(rèn)證。另外,PGP允許用戶(hù)A聲明他信任的其他用戶(hù)負(fù)責(zé)更多密鑰的認(rèn)證。一些PGP用戶(hù)通過(guò)密鑰簽署協(xié)議來(lái)簽署各自的密鑰。用戶(hù)找個(gè)機(jī)會(huì)碰面,交換包含公共密鑰的磁盤(pán),通過(guò)用他們的私有密鑰簽寫(xiě)各自的密鑰來(lái)認(rèn)證密鑰。PGP公共密鑰也可以通過(guò)因特網(wǎng)上的PGP公共密鑰服務(wù)器發(fā)布。當(dāng)然,也可以在個(gè)人網(wǎng)頁(yè)上很容易的得到公共密鑰。10/31/202252當(dāng)PGP安裝后,該軟件會(huì)為用戶(hù)產(chǎn)生一個(gè)公共密鑰對(duì)。這個(gè)公共密PGP中使用PGPKeys管理鑰匙環(huán)(KeyRing)1.密鑰的生成、傳播和廢除密鑰的生成通常在安裝過(guò)程中完成。在PGPKeys中也可生成新的密鑰,即在任務(wù)欄彈出的菜單中選擇PGPKeys→Keys→NewKey。若想廢除密鑰,只須選取Revoke即可。10/31/202253PGP中使用PGPKeys管理鑰匙環(huán)(KeyRing)1010/31/20225410/23/20221510/31/20225510/23/20221610/31/20225610/23/202217密鑰屬性對(duì)話(huà)框10/31/202257密鑰屬性對(duì)話(huà)框10/23/2022182.數(shù)字簽名用自己的私鑰對(duì)郵件等簽名。3.加密與解密點(diǎn)擊“Encrypt”,彈出選擇所加密文件的對(duì)話(huà)框?!癈onventionalEncryption”→輸入確認(rèn)口令→完成。4.解密,是加密的反過(guò)程。用“Decrypt、Verify”。10/31/2022582.數(shù)字簽名10/23/2022194.3SSL協(xié)議SSL是SecureSocketLayer(安全套接層協(xié)議)的縮寫(xiě),是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,位于TCP和應(yīng)用層之間,是一個(gè)獨(dú)立的安全協(xié)議,換句話(huà)說(shuō),即是高層應(yīng)用協(xié)議(例如HTTP、FTP、Telnet等)能透明的建立在SSL之上。SSL主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用客戶(hù)/服務(wù)器方式,可在服務(wù)器端和用戶(hù)端同時(shí)實(shí)現(xiàn)支持。SSL協(xié)議提供的服務(wù)可以歸納為如下三個(gè)方面:1)用戶(hù)和服務(wù)器身份的合法性認(rèn)證。2)SSL鏈路上數(shù)據(jù)機(jī)密性。3)SSL鏈路上數(shù)據(jù)的完整性。

10/31/2022594.3SSL協(xié)議SSL是SecureSocketL現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器,用戶(hù)端采用支持SSL的瀏覽器實(shí)現(xiàn)安全通信。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō),使用SSL能夠?qū)π庞每ê蛡€(gè)人信息提供信息的完整性和保密性保護(hù)。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行電子簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。有鑒于此,網(wǎng)景公司在從Communicator4.04版開(kāi)始的所有瀏覽器中引入了一種被稱(chēng)作"表單簽名(FormSigning)"的功能,在電子商務(wù)中,可利用這一功能來(lái)對(duì)包含購(gòu)買(mǎi)者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。

10/31/202260現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTSSL協(xié)議在傳輸層和更高層提供了網(wǎng)絡(luò)安全傳輸服務(wù),它要求建立在可靠的傳輸層協(xié)議(例如TCP)之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證的工作,在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密,從而保證通信的安全性。它也是傳輸層安全協(xié)議(TransportLayerSecurity,TLS)的基礎(chǔ),使用戶(hù)/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽(tīng),并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證,還可以選擇對(duì)用戶(hù)進(jìn)行認(rèn)證。10/31/202261SSL協(xié)議在傳輸層和更高層提供了網(wǎng)絡(luò)安全傳輸服務(wù),它要求SSL協(xié)議是兩層協(xié)議:上層協(xié)議包括SSL握手協(xié)議、更改密碼規(guī)格協(xié)議和警報(bào)協(xié)議,下層協(xié)議為SSL記錄協(xié)議。相應(yīng)的其操作分為兩個(gè)階段:第一階段是握手階段(發(fā)送方和接收方協(xié)商并確定加密算法和密鑰),第二階段為數(shù)據(jù)加密傳輸階段(依據(jù)第一階段商定的密鑰加密數(shù)據(jù))。SSL協(xié)議采用公共密鑰技術(shù),并已成為Internet上保密通信的工業(yè)標(biāo)準(zhǔn)?,F(xiàn)行Web瀏覽器普遍將HTTP和SSL協(xié)議相結(jié)合,從而實(shí)現(xiàn)安全通信。SSL協(xié)議的絕大功能由SSL握手協(xié)議和記錄協(xié)議完成。4.3.2SSL結(jié)構(gòu)及算法10/31/202262SSL協(xié)議是兩層協(xié)議:上層協(xié)議包括SSL握手協(xié)議、更改密碼規(guī)SSL協(xié)議棧10/31/202263SSL協(xié)議棧10/23/202224SSL握手協(xié)議(SSLHandshakeProtocol)SSL握手協(xié)議建立在SSL記錄協(xié)議之上,用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前客戶(hù)和服務(wù)器之間的“握手”?!拔帐帧笔且粋€(gè)協(xié)商的過(guò)程,這個(gè)協(xié)議使得客戶(hù)和服務(wù)器能夠互相鑒別對(duì)方的身份,協(xié)商加密和鑒別算法以及協(xié)商密鑰。在傳輸任何數(shù)據(jù)之前,必須使用握手協(xié)議??蛻?hù)和服務(wù)器鑒別身份是采用發(fā)送X.509數(shù)字證書(shū)來(lái)進(jìn)行的。加密算法可選擇使用DES,3-DES,IDEA,RC2,RC4等;鑒別算法可選擇使用SHA算法和MD5報(bào)文摘要算法;密鑰交換和協(xié)商通常采用RSA公鑰算法來(lái)完成。10/31/202264SSL握手協(xié)議(SSLHandshakeProtocolSSL更改密碼規(guī)格協(xié)議是使用SSL記錄協(xié)議服務(wù)的SSL高層協(xié)議的3個(gè)特定協(xié)議之一,也是其中最簡(jiǎn)單的一個(gè)。協(xié)議由單個(gè)消息組成,該消息只包含一個(gè)值為1的單個(gè)字節(jié)。該消息的唯一作用就是使未決狀態(tài)拷貝為當(dāng)前狀態(tài),更新用于當(dāng)前連接的密碼組。為了保障SSL傳輸過(guò)程的安全性,雙方應(yīng)該每隔一段時(shí)間改變加密規(guī)范。SSL告警協(xié)議是用來(lái)為對(duì)等實(shí)體傳遞SSL的相關(guān)警告。如果在通信過(guò)程中某一方發(fā)現(xiàn)任何異常,就需要給對(duì)方發(fā)送一條警示消息通告。警示消息有兩種:一種是Fatal錯(cuò)誤,如傳遞數(shù)據(jù)過(guò)程中,發(fā)現(xiàn)錯(cuò)誤的MAC,雙方就需要立即中斷會(huì)話(huà),同時(shí)消除自己緩沖區(qū)相應(yīng)的會(huì)話(huà)記錄;第二種是Warning消息,這種情況,通信雙方通常都只是記錄日志,而對(duì)通信過(guò)程不造成任何影響。SSL握手協(xié)議可以使得服務(wù)器和客戶(hù)能夠相互鑒別對(duì)方,協(xié)商具體的加密算法和MAC算法以及保密密鑰,用來(lái)保護(hù)在SSL記錄中發(fā)送的數(shù)據(jù)。10/31/202265SSL更改密碼規(guī)格協(xié)議是使用SSL記錄協(xié)議服務(wù)的SSL高層協(xié)SSL記錄協(xié)議(SSLRecordProtocol)在握手協(xié)議完成之后,才能進(jìn)行SSL記錄協(xié)議,它的主要功能是為高層協(xié)議提供封裝數(shù)據(jù)、壓縮、添加消息鑒別碼MAC、加密等基本功能的支持。10/31/202266SSL記錄協(xié)議(SSLRecordProtocol)104.3.3SSL的應(yīng)用10/31/2022674.3.3SSL的應(yīng)用10/23/20222810/31/20226810/23/2022294.4IPSec協(xié)議簡(jiǎn)介IPSec(InternetProtocolSecurity)即Internet安全協(xié)議,是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。IPSec主要提供以下安全服務(wù):數(shù)據(jù)內(nèi)容的機(jī)密性、數(shù)據(jù)起源地驗(yàn)證、數(shù)據(jù)的完整性驗(yàn)證、抗重播保護(hù)。IPSec(通常稱(chēng)IP安全協(xié)議)是一組安全I(xiàn)P協(xié)議集,是在IP包級(jí)為IP業(yè)務(wù)提供保護(hù)的安全協(xié)議標(biāo)準(zhǔn),其基本目的就是把安全機(jī)制引入IP協(xié)議,通過(guò)使用現(xiàn)代密碼學(xué)方法支持加密性和認(rèn)證性服務(wù),使用戶(hù)能有選擇的使用,并得到所期望的安全服務(wù)。10/31/2022694.4IPSec協(xié)議簡(jiǎn)介IPSec(InternetP4.4.1IPSec的優(yōu)勢(shì)與應(yīng)用IPSec位于TCP/IP分層結(jié)構(gòu)的IP層上,因此它可以加密和鑒別在IP層的所有通信量,所有的分布式應(yīng)用,包括遠(yuǎn)程注冊(cè)、客戶(hù)/服務(wù)器、電子郵件、文件傳輸、Web訪(fǎng)問(wèn)等,都可以通過(guò)IPSec增加安全特征。IPSec是一種基于端對(duì)端的安全模式。適合下列網(wǎng)絡(luò):局域網(wǎng):C/S模式,對(duì)等模式廣域網(wǎng):路由器-對(duì)-路由器模式,網(wǎng)關(guān)-對(duì)-網(wǎng)關(guān)模式遠(yuǎn)程訪(fǎng)問(wèn):撥號(hào)客戶(hù)機(jī),專(zhuān)網(wǎng)對(duì)Internet的訪(fǎng)問(wèn)。10/31/2022704.4.1IPSec的優(yōu)勢(shì)與應(yīng)用IPSec位于TCP/IPIPSec的優(yōu)越性:1)IPSec具有更好的兼容性。2)比高層安全協(xié)議的性能更好,實(shí)現(xiàn)起來(lái)更方便;比底層安全協(xié)議更能適應(yīng)通信介質(zhì)的多樣性。3)系統(tǒng)開(kāi)銷(xiāo)小。4)透明性。5)開(kāi)放性。IPSec安全協(xié)議定義了如何通過(guò)在IP數(shù)據(jù)包中增加擴(kuò)展頭和字段來(lái)保證IP包的秘密性、可認(rèn)證性和完整性。10/31/202271IPSec的優(yōu)越性:10/23/2022324.4.2IPSec體系結(jié)構(gòu)IPSec也是由多個(gè)子協(xié)議組成,將幾種安全技術(shù)結(jié)合形成一個(gè)比較完整的安全體系結(jié)構(gòu)。它是由因特網(wǎng)密鑰交換協(xié)議(IKE:InternetKeyExchange)、認(rèn)證頭(AuthenticationHeader,AH)以及安全封裝載荷(EncapsulatingSecurityPayload,ESP)三個(gè)子協(xié)議組成。IPSec通過(guò)在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制——認(rèn)證頭和安全封裝載荷來(lái)支持IP數(shù)據(jù)段的秘密性、可認(rèn)證性和完整性。通過(guò)IP安全協(xié)議和密鑰管理協(xié)議構(gòu)建起IP層安全體系結(jié)構(gòu)的框架,以保護(hù)所有基于IP的服務(wù)和應(yīng)用。當(dāng)這些安全機(jī)制正確實(shí)現(xiàn)時(shí),它不會(huì)對(duì)用戶(hù)、主機(jī)和其他未采用這些安全機(jī)制的Internet部件產(chǎn)生負(fù)面影響。由于這些安全機(jī)制是獨(dú)立于算法的,所以在選擇和改變算法時(shí)也不會(huì)影響其它部分的實(shí)現(xiàn),對(duì)用戶(hù)和上層應(yīng)用是透明的。10/31/2022724.4.2IPSec體系結(jié)構(gòu)IPSec也是由多個(gè)子協(xié)議1)因特網(wǎng)密鑰交換協(xié)議(IKE):用于動(dòng)態(tài)建立安全關(guān)聯(lián)(SA:SecurityAssociation),所謂SA是通信對(duì)等方中間對(duì)某些要素的一種協(xié)定。IKE協(xié)議主要是對(duì)密鑰交換進(jìn)行管理,它主要包括三個(gè)功能:對(duì)使用的協(xié)議、加密算法和密鑰進(jìn)行協(xié)商;方便的密鑰交換機(jī)制(這可能需要周期性的進(jìn)行);跟蹤對(duì)以上這些約定的實(shí)施。2)認(rèn)證頭(AH):設(shè)計(jì)AH協(xié)議的主要目的是用來(lái)增加數(shù)據(jù)完整性的認(rèn)證機(jī)制,為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證,以確保修改過(guò)的數(shù)據(jù)包可以被檢查出來(lái)。通過(guò)它可以防止地址欺騙攻擊和重發(fā)攻擊。它支持的散列算

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論