网络管理与安全技术.ppt
《网络管理与安全技术.ppt》由会员分享,可在线阅读,更多相关《网络管理与安全技术.ppt(92页珍藏版)》请在沃文网上搜索。
1、网络管理与安全技术第6章网络安全技术n6.1安全通信协议n6.2加密技术n6.3认证机制n6.4 VPN技术n6.5 网络病毒防治技术第6章安全通信协议6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSecn IPSecIPSecIP SecurityIP Security6.1.16.1.1 IPSec IPSec的作用的作用 IPSecIPSec通过在通过在IPIP层对所有业务流加密和认证,保证层对所有业务流加密和认证,保证了所有分布式应用程序的安全性。了所有分布式应用程序的安全性。n企业可在公网上建立自己的虚拟专用网。企业可在公网上建立自己的虚拟专用网。n配有配有IPS
2、ecIPSec系统的用户,通过系统的用户,通过ISPISP获取安全访问。获取安全访问。nIPSecIPSec既既可用于建立内部网安全连接也可用于外部可用于建立内部网安全连接也可用于外部网的安全连接。网的安全连接。nIPSecIPSec可可增加已有的安全协议的安全性。增加已有的安全协议的安全性。IPSecIPSec应用示例应用示例用户系统用户系统用户系统用户系统-IPSecIPSecIPSecIPSec-WAN-WAN-WAN-WAN-IPSecIPSecIPSecIPSec-网络设备网络设备网络设备网络设备-IP-LAN IP-LAN IP-LAN IP-LAN IP报头报头IPSec报头报头
3、安全安全IP负载负载IP报头报头IPSec报头报头安全安全IP负载负载IP报头报头IP负载负载具有具有IPSec的用户系统的用户系统具有具有IPSec的网络设备的网络设备IP报头报头IP负载负载IPSecIPSecIPSecIPSec具有以下意义:具有以下意义:具有以下意义:具有以下意义:n nIPSecIPSecIPSecIPSec用用用用于于于于防防防防火火火火墙墙墙墙和和和和路路路路由由由由器器器器等等等等网网网网络络络络设设设设备备备备中中中中,以以以以提提提提供供供供安安安安全全全全的的的的业业业业务务务务流流流流,而而而而在在在在LANLANLANLAN内内内内则则则则可可可可以以
4、以以不不不不必必必必进进进进行行行行安安安安全全全全性性性性处处处处理。理。理。理。n nIPSecIPSecIPSecIPSec用于防火墙可防止用用于防火墙可防止用用于防火墙可防止用用于防火墙可防止用IPIPIPIP的业务流绕过防火墙。的业务流绕过防火墙。的业务流绕过防火墙。的业务流绕过防火墙。n nIPSecIPSecIPSecIPSec位位位位于于于于网网网网络络络络层层层层,对对对对于于于于应应应应用用用用程程程程序序序序来来来来说说说说是是是是透透透透明明明明的的的的。无无无无需修改用户或服务器所使用的软件。需修改用户或服务器所使用的软件。需修改用户或服务器所使用的软件。需修改用户或
5、服务器所使用的软件。6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSecIPIPIPIP层层层层的的的的安安安安全全全全问问问问题题题题涉涉涉涉及及及及了了了了认认认认证证证证、保保保保密密密密和和和和密密密密钥钥钥钥管管管管理理理理三三三三个个个个领域。其安全性应达到:领域。其安全性应达到:领域。其安全性应达到:领域。其安全性应达到:n n 期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基于密码学的安全机制;期望安全的用户能够使用基于密码学的安全机制;n n 应能同时适用于应能同时适用于应能同时适用于应能同时
6、适用于IPv4IPv4IPv4IPv4和和和和IPv6;IPv6;IPv6;IPv6;n n 算法独立;算法独立;算法独立;算法独立;n n 有利于实现不同安全策略;有利于实现不同安全策略;有利于实现不同安全策略;有利于实现不同安全策略;n n 对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。对没有采用该机制的用户不会有负面影响。6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSec6.1.2 6.1.2 IPSec体系结构体系结构 n nIPSecIPSecIPSecIPSec在在在在IPIPIPIP层层层层
7、提提提提供供供供安安安安全全全全业业业业务务务务的的的的方方方方式式式式是是是是让让让让系系系系统统统统选选选选择择择择所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。所要求的安全协议、算法和密钥。n n安全协议有:安全协议有:安全协议有:安全协议有:1.1.1.1.认证报头认证报头认证报头认证报头AHAHAHAH(Authentication Header),Authentication Header),Authentication Header),Authentication Header),即认证协议。即认证协议。即认证协议。即认证协议。2.2.
8、2.2.封装的安全负载封装的安全负载封装的安全负载封装的安全负载ESPESPESPESP(Encapsulating Security Encapsulating Security Encapsulating Security Encapsulating Security Payload),Payload),Payload),Payload),即加密与认证协议。即加密与认证协议。即加密与认证协议。即加密与认证协议。ESPESPESPESP又又又又分为仅加密和加密与认证结合两种情况。分为仅加密和加密与认证结合两种情况。分为仅加密和加密与认证结合两种情况。分为仅加密和加密与认证结合两种情况。6.1
9、.2 6.1.2 IPSecIPSec体系结构体系结构体系结构体系结构 体系体系体系体系封装安全负载封装安全负载封装安全负载封装安全负载ESPESP验证头验证头验证头验证头AHAH验证算法验证算法验证算法验证算法加密算法加密算法加密算法加密算法解释域解释域解释域解释域DOIDOI密钥管理密钥管理密钥管理密钥管理策略策略策略策略n n体系:定义体系:定义体系:定义体系:定义IPSecIPSec技术的机制;技术的机制;技术的机制;技术的机制;n nESPESP:用其进行包加密的报文格式和一般性问题;用其进行包加密的报文格式和一般性问题;用其进行包加密的报文格式和一般性问题;用其进行包加密的报文格式
10、和一般性问题;n nAHAH:用其进行包认证的报文包格式和一般性问题用其进行包认证的报文包格式和一般性问题用其进行包认证的报文包格式和一般性问题用其进行包认证的报文包格式和一般性问题n n加加加加密密密密算算算算法法法法:描描描描述述述述将将将将各各各各种种种种不不不不同同同同加加加加密密密密算算算算法法法法用用用用于于于于ESPESP的的的的文文文文档;档;档;档;n n认认认认证证证证算算算算法法法法:描描描描述述述述将将将将各各各各种种种种不不不不同同同同加加加加密密密密算算算算法法法法用用用用于于于于AHAH以以以以及及及及ESPESP认证选项的文档;认证选项的文档;认证选项的文档;认
11、证选项的文档;n n 密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式密钥管理:描述密钥管理模式n nDOIDOI:其其其其他他他他相相相相关关关关文文文文档档档档,如如如如加加加加密密密密和和和和认认认认证证证证算算算算法法法法标标标标识识识识及及及及运运运运行参数等。行参数等。行参数等。行参数等。IPSecIPSec体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:体系结构中涉及的主要概念有:安全关联、模式、安全关联、模式、安全关联、模式、安全关联、模式、AHAH、ESPESP6.1.2 6.1.2 IPSecIPSec体系结
12、构体系结构体系结构体系结构1.1.安全关联安全关联(Security AssociationsSecurity Associations)n n SASA是是是是 IPIP认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。认证和保密机制中最关键的概念。n n一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关一个关联就是发送与接收者之间的一个单向关系。系。系。系。n n如果需要一个对等关系,即双向安全交换,则如果需要一个对等关系,即双向安全交换,则如果需要一个对等关系,即双向安全交换,则
13、如果需要一个对等关系,即双向安全交换,则需要两个需要两个需要两个需要两个SASA。n nSASASASA提供安全服务的方式是使用提供安全服务的方式是使用提供安全服务的方式是使用提供安全服务的方式是使用AHAHAHAH或或或或ESPESPESPESP之一。之一。之一。之一。n n 一个一个一个一个SASA可由三个参数惟一地表示可由三个参数惟一地表示可由三个参数惟一地表示可由三个参数惟一地表示 1.1.安全关联安全关联(Security AssociationsSecurity Associations)IPSecIPSec的实现还需要维护两个数据库:的实现还需要维护两个数据库:的实现还需要维护两
14、个数据库:的实现还需要维护两个数据库:安全关联数据库安全关联数据库安全关联数据库安全关联数据库SADSADSADSAD 安全策略数据库安全策略数据库安全策略数据库安全策略数据库SPDSPDSPDSPD通信双方如果要用通信双方如果要用通信双方如果要用通信双方如果要用IPSecIPSecIPSecIPSec建立一条安全的传输通路,建立一条安全的传输通路,建立一条安全的传输通路,建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用需要事先协商好将要采用的安全策略,包括使用需要事先协商好将要采用的安全策略,包括使用需要事先协商好将要采用的安全策略,包括使用的算法、密钥及密钥的生存期等。的
15、算法、密钥及密钥的生存期等。的算法、密钥及密钥的生存期等。的算法、密钥及密钥的生存期等。SASASASA就是能在其就是能在其就是能在其就是能在其协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种协商的基础上为数据传输提供某种IPSecIPSecIPSecIPSec安全保障安全保障安全保障安全保障的一个简单连接。(可以是的一个简单连接。(可以是的一个简单连接。(可以是的一个简单连接。(可以是AHAHAHAH或或或或ESPESPESPESP)SASASASA的组合方式有:传输模式和隧道模式的组合方式有:传输模式和隧道模式的组合方式有:传输模式和隧道模式的组合
16、方式有:传输模式和隧道模式2.2.AHAH和和ESPESP的两种使用模式的两种使用模式1)1)传输模式传输模式传输模式传输模式n n 传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如传输模式主要用于对上层协议的保护,如TCPTCP、UDPUDP和和和和ICMPICMP数据段的保护。数据段的保护。数据段的保护。数据段的保护。n n以传输模式运行的以传输模式运行的以传输模式运行的以传输模式运行的ESPESP协议对协议对协议对协议对IPIP报头之后的数报头之后的数报头之后的数报头之后的数据(负载)进行加密和认证,但不对据(负载)进行加密和认
17、证,但不对据(负载)进行加密和认证,但不对据(负载)进行加密和认证,但不对IPIP报头进报头进报头进报头进行加密和认证。行加密和认证。行加密和认证。行加密和认证。n n以传输模式运行的以传输模式运行的以传输模式运行的以传输模式运行的AHAHAHAH协议对负载及报头中选协议对负载及报头中选协议对负载及报头中选协议对负载及报头中选择的一部分进行认证。择的一部分进行认证。择的一部分进行认证。择的一部分进行认证。原原IP报头报头TCP数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密的认证的认证的2.2.AHAH和和ESPESP的两种使用模式的两种使用模式2)2)2)2)隧道模式隧道
18、模式隧道模式隧道模式隧道模式用于对整个隧道模式用于对整个IPIP数据报的保护,即给原数数据报的保护,即给原数据报加一个新的报头(网关地址)。原数据报就据报加一个新的报头(网关地址)。原数据报就成为新数据报的负载。成为新数据报的负载。原数据报在整个传送过程中就象在隧道中一样,原数据报在整个传送过程中就象在隧道中一样,传送路径上的路由器都有无法看到原数据报的报传送路径上的路由器都有无法看到原数据报的报头头。由于封装了原数据报,新数据报的源地址和目标由于封装了原数据报,新数据报的源地址和目标地址都与原数据报不同,从而增加了安全性。地址都与原数据报不同,从而增加了安全性。新新IP报头报头原原IP报头报
19、头数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密的认证的认证的6.1.3IPSec服务与应用服务与应用1.SA的组合方式的组合方式n一个一个SA能够实现能够实现AH协议或协议或ESP协议,但却协议,但却不能同时实现这两种协议。不能同时实现这两种协议。n当要求在主机间和网关间都实现当要求在主机间和网关间都实现IPSec业务业务时,就要求建立多个时,就要求建立多个SA,即采用即采用SA组合方组合方式。式。LAN实现IPSec安全网关安全网关安全网关安全网关隧道隧道SA一个或两个一个或两个SASA的组合方式的组合方式LANSA的组合方式的组合方式SASA的基本组合有四种方式的基
20、本组合有四种方式的基本组合有四种方式的基本组合有四种方式每个每个每个每个SASA所承载的通信服务或为所承载的通信服务或为所承载的通信服务或为所承载的通信服务或为AHAH或为或为或为或为ESPESP对主机到主机的对主机到主机的对主机到主机的对主机到主机的SASA,AHAH或或或或ESPESP的使用模式可以的使用模式可以的使用模式可以的使用模式可以是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。是传输模式也可以是隧道模式。如果如果如果如果SASA的两个端点中至少有一个安全网关,则的两个端点中至少有一个安全网关,则的两个端点中至少有一个安全网关,则的两个端点中至少
21、有一个安全网关,则AHAH或或或或ESPESP的使用模式必须是隧道模式的使用模式必须是隧道模式的使用模式必须是隧道模式的使用模式必须是隧道模式。6.1.4传输层安全协议传输层安全协议SSL6.1.4SSL协议概述协议概述n 安安全全套套接接层层协协议议SSLSSL是是在在InternetInternet上上提提供供一一种种保保证私密性的安全协议。证私密性的安全协议。n C/SC/S通信中,可始终对服务器和客户进行认证。通信中,可始终对服务器和客户进行认证。n SSLSSL协协议议要要求求建建立立在在可可靠靠的的TCPTCP之之上上,高高层层的的应应用用协议能透明地建立在协议能透明地建立在SSL
22、SSL之上。之上。n SSLSSL协协议议在在应应用用层层协协议议通通信信之之前前就就已已经经完完成成加加密密算法、通信密钥的协商以及服务器认证工作。算法、通信密钥的协商以及服务器认证工作。6.1.4Web安全性方法安全性方法n n保保保保护护护护WebWeb安安安安全全全全性性性性的的的的方方方方法法法法有有有有多多多多种种种种,这这这这些些些些方方方方法法法法所所所所提提提提供供供供的的的的安安安安全全全全业业业业务务务务和和和和使使使使用用用用机机机机制制制制都都都都彼彼彼彼此此此此类类类类似似似似,所所所所不不不不同同同同之之之之处处处处在在在在于于于于它它它它们们们们各各各各自自自自
23、的的的的应应应应用用用用范范范范围围围围和和和和在在在在TCP/IPTCP/IP协协协协议议议议栈栈栈栈中中中中的的的的相相相相对对对对位位位位置。置。置。置。HTTP FTPSMTPTCPIP/IPSec网络层网络层网络层网络层应用层应用层应用层应用层HTTP FTPSMTPTCPIPSSLorTLS传输层传输层传输层传输层PGP SETTCPIPSMTPUDPKerberosHTTPS/MIME6.1.4Web安全性方法安全性方法网络层安全实现网络层安全实现 利利用用IPSecIPSec提提供供WebWeb的的安安全全性性,其其优优点点是是对对终终端端用用户户和和应应用用程程序序是是透透明
24、明的的,且且为为WebWeb安安全全提提供供一一般般目目的的解决方法。的的解决方法。传输层安全实现传输层安全实现 将将SSLSSL或或TLSTLS作作为为TCPTCP基基本本协协议议组组的的一一部部分分,因因此此对对应应用用程程序序来来说说是是透透明明的的。还还可可将将SSLSSL嵌嵌套套在在特特定定的的数据包中(如数据包中(如IEIE等大多数等大多数WebWeb服务器都装有服务器都装有SSLSSL)。)。应用层安全实现应用层安全实现 对对特特定定应应用用程程序序来来说说,其其安安全全业业务务可可在在应应用用程程序序内内部部实实现现,这这种种方方法法的的优优点点是是安安全全业业务务可可按按应应
25、用用程序的特定需要来定制。程序的特定需要来定制。6.1.5协议规范协议规范n安安全全套套接接字字层层SSL是是由由Netscape设设计计的的,目目前前有有SSLv3。nSSL协协议议主主要要由由SSL记记录录协协议议和和SSL握握手手协协议议两两部部分组成。其结构如下:分组成。其结构如下:HTTPSSL更改密码更改密码说明协议说明协议SSL握手协议握手协议TCPIPSSL记录协议记录协议SSLSSL协议栈协议栈协议栈协议栈SSL警示协议警示协议6.1.5协议规范协议规范1.1.SSL记录协议记录协议n SSL记录协议可为记录协议可为SSL连接提供保密性业务和消连接提供保密性业务和消息完整性业
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 管理 安全技术