网络管理与安全技术课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
应用层
网络层安全实现 利用IPSec提供Web的安全性,其优点是对终端用户 和应用程序是透明的,且为Web安全提供一般目的的 解决方法。
传输层安全实现 将SSL或TLS作为TCP基本协议组的一部分,因此对应 用程序来说是透明的。还可将SSL嵌套在特定的数据 包中(如IE等大多数Web服务器都装有SSL)。
具有IPSec的网络设备
IP IPSec 安全IP 报头 报头 负载
具有IPSec的用户系统
IPSec具有以下意义:
IPSec用于防火墙和路由器等网络设备中,以提供安 全的业务流,而在LAN内则可以不必进行安全性处 理。
IPSec用于防火墙可防止用IP的业务流绕过防火墙。
IPSec位于网络层,对于应用程序来说是透明的。无 需修改用户或服务器所使用的软件。
2) 隧道模式
• 隧道模式用于对整个IP数据报的保护,即给原数 据报加一个新的报头(网关地址)。原数据报就 成为新数据报的负载。
• 原数据报在整个传送过程中就象在隧道中一样, 传送路径上的路由器都有无法看到原数据报的报 头。
• 由于封装了原数据报,新数据报的源地址和目标 地址都与原数据报不同,从而增加了安全性。
安全协议有: 1. 认证报头AH(Authentication Header),即认证协议。 2. 封装的安全负载ESP(Encapsulating Security
Payload),即加密与认证协议。 ESP又分为仅加密和加密与认证结合两种情况。
体系
封装安全负载ESP
验证头AH
加密算法
验证算法
安全网关
Router
InLteArNnet
Internet
InLteArNnet
实现IPSec
•SA的基本组合有四种方式
•每个SA所承载的通信服务或为AH或为ESP
•对主机到主机的SA,AH或ESP的使用模式可以 是传输模式也可以是隧道模式。
•如果SA的两个端点中至少有一个安全网关,则 AH或ESP的使用模式必须是隧道模式。
行参数等。 IPSec体系结构中涉及的主要概念有: 安全关联、模式、AH、ESP
SA是 IP认证和保密机制中最关键的概念。 一个关联就是发送与接收者之间的一个单向关
系。 如果需要一个对等关系,即双向安全交换,则
需要两个SA。 SA提供安全服务的方式是使用AH或ESP之一。 一个SA可由三个参数惟一地表示 <安全参数索引,目标IP地址,安全协议标识符>
认证的 加密的
新IP报头 ESP报头 原IP报头 数据 ESP报尾 ESP认证数据
1. SA的组合方式 一个SA能够实现AH协议或ESP协议,但却不能同
时实现这两种协议。
当要求在主机间和网关间都实现IPSec业务时,就要 求建立多个SA, 即采用SA组合方式。
隧道SA
一个或两个SA
安全网关
Router
6.1 网络层安全协议体系—IPSec
IP层的安全问题涉及了认证、保密和密钥管理三个 领域。其安全性应达到:
期望安全的用户能够使用基于密码学的安全机制; 应能同时适用于IPv4和IPv6; 算法独立; 有利于实现不同安全策略; 对没有采用该机制的用户不会有负面影响。
IPSec在IP层提供安全业务的方式是让系统选择 所要求的安全协议、算法和密钥。
6.1.4 SSL协议概述
安全套接层协议SSL是在Internet上提供一种保 证私密性的安全协议。
C/S通信中,可始终对服务器和客户进行认证。
SSL协议要求建立在可靠的TCP之上,高层的应 用协议能透明地建立在SSL之上。
SSL协议在应用层协议通信之前就已经完成加密 算法、通信密钥的协商以及服务器认证工作。
6.1安全通信协议 6.2加密技术 6.3认证机制 6.4 VPN技术 6.5 网络病毒防治技术
6.1 网络层安全协议体系—IPSec IPSec—IP Security 6.1.1 IPSec的作用
IPSec通过在IP层对所有业务流加密和认证,保 证了所有分布式应用程序的安全性。 企业可在公网上建立自己的虚拟专用网。 配有IPSec系统的用户,通过ISP获取安全访问。 IPSec既可用于建立内部网安全连接也可用于外 部网的安全连接。 IPSec可增加已有的安全协议的安全性。
解释域DOI 密钥管理
策略
体系:定义IPSec技术的机制; ESP:用其进行包加密的报文格式和一般性问题; AH:用其进行包认证的报文包格式和一般性问题 加密算法:描述将各种不同加密算法用于ESP的文
档; 认证算法:描述将各种不同加密算法用于AH以及
ESP认证选项的文档; 密钥管理:描述密钥管理模式 DOI :其他相关文档,如加密和认证算法标识及运
IPSec的实现还需要维护两个数据库: • 安全关联数据库SAD • 安全策略数据库SPD 通信双方如果要用IPSec建立一条安全的传输通路 ,需要事先协商好将要采用的安全策略,包括使 用的算法、密钥及密钥的生存期等。SA就是能在 其协商的基础上为数据传输提供某种IPSec安全保 障的一个简单连接。(可以是AH或ESP) SA的组合方式有:传输模式和隧道模式
wenku.baidu.com保护Web安全性的方法有多种,这些方法所提供的
安全业务和使用机制都彼此类似,所不同之处在于
它们各自的应用范围和在TCP/IP协议栈中的相对位
置。
S/MIME PGP SET
HTTP FTP SMTP
Kerberos
SMTP HTTP
TCP
UDP
TCP
IP/IPSec
IP
网络层
HTTP FTP SMTP SSLorTLS TCP IP 传输层
1) 传输模式 传输模式主要用于对上层协议的保护,如
TCP、UDP和ICMP数据段的保护。 以传输模式运行的ESP协议对IP报头之后的数
据(负载)进行加密和认证,但不对IP报头进 行加密和认证。 以传输模式运行的AH协议对负载及报头中选 择的一部分进行认证。
认证的 加密的
原IP报头 ESP报头 TCP 数据 ESP报尾 ESP认证数据
应用层安全实现 对特定应用程序来说,其安全业务可在应用程序内部实 现,这种方法的优点是安全业务可按应用程序的特定 需要来定制。