您的位置:360文档中心› 计算机网络安全概述

计算机网络安全概述

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2
目录>>TCP/IP协议
5之1
internet和Internet
internet(互联网或互连网)是一个通 用名词,它泛指由多个计算机网络互连而成 的虚拟网络。
Internet(因特网)是一个专用名词, 它特指当前全球最大的、开放的、由众多网 络相互连接而成的特定计算机网络,它采用 TCP/IP协议簇,且前身是美国的ARPANET 。
安全关联数据库(SAD)用于存储SA参数。
对于外出的流量,如果需要使用IPSec处理,然而 相应的SA不存在,则IPSec将启动IKE来协商出一 个SA,并存储到SAD中。对于进入的流量,如果 需要进行IPSec处理,IPSec将从IP数据报中得到三 元组,并利用这个三元组在SAD中查找一个SA。
8/1/2020
15
目录
7之3
IPSec安全体系结构
8/1/2020
ESP:封装安全载荷 AH :验证头 DOI:解释域
16
目录
7之4
IPSec的文档
Architecture RFC 2401
ESP RFC 2406
AH RFC 2402
DOI RFC 2407
IKE RFC 2409
ISAKMP RFC 2408
8/1/2020
Oakly RFC 2412
➢ ESP:Encapsulating Security Payload
➢ AH:Authentication Header ➢ DOI:Domain Of Interpretation ➢ IKE:Internet Key Exchange ➢ ISAKMP:Internet Security
SA是单向的,进入SA负责处理接收到的IP数据报,外 出SA负责处理要发送的IP数据报。因此每个通信方必须要 有两个SA:一个进入SA,一个外出SA,这两个SA构成了 一个SA束(SA Bundle)。
8/1/2020
23
目录>>安全关联(SA)和安全策略(SP)
SA的管理
16 之 3
手工管理
SA的内容由管理员手工指定、手工维护,但是,手工 操作容易出错,而且手工建立的SA没有生存周期限制,除 非手工删除,因此有安全隐患。
3之2
传输层安全
8/1/2020
9
目录>>TCP/IP协议
3之2
应用层安全
8/1/2020
10
目录>>TCP/IP协议
3之1
IP层安全
IP层的主要协议是IP协议,有两种版本的IP: IPv4和IPv6。IPv6是IPv4的后续版本,IPv6简化了 IP首部,其数据报更灵活,同时IPv6还增加了对安 全性的考虑。
目录>>TCP/IP协议
3之3
IPv6首部
8/1/2020
13
目录
7之1
IPSec概述
为加强因特网的安全性,从1995年开始, IETF着手研究制定了一套用于保护IP通信的IP安 全协议(IP Security,IPSec),目的是:为IPv4和 IPv6提供具有较强的互操作能力、高质量和基于 密码的安全功能,在IP层实现多种安全服务:访 问控制、数据完整性、数据源验证、抗重播、机 密性等。
8/1/2020
22
目录>>安全关联(SA)和安全策略(SP)
SA的定义
16 之 2
SA是两个IPSec实体(主机、安全网关)之间经过协 商建立起来的一种约定,内容包括:采用何种IPSec协议( AH?ESP?)、操作模式(传输模式?隧道模式?)、验 证算法、加密算法、加密密钥、密钥生存期、抗重放窗口 、计数器等,从而决定了保护什么?如何保护?谁来保护 ?可以说SA是构成IPSec的基础。
8/1/2020
AH ESP(加密) ESP(加密+认证)
19
目录
7之7
IPSec的实现
8/1/2020
20
目录
安全关联(SA)和 安全策略(SP)
安全关联(SA)
安全策略(SP)
8/1/2020
21
目录>>安全关联(SA)和安全策略(SP)
概述
16 之 1
理解SA这一概念对于理解IPSec至关重要。AH和ESP 协议都使用SA来保护通信,而IKE的主要功能就是在通信 双方协商SA。
目前因特网占统治地位的是IPv4。IPv4在设 计之初没有考虑安全性,IP数据报本身并不具备 任何安全特性,导致在网络上传输的数据很容易 收到各式各样的攻击:业务流被监听和捕获、IP 地址欺骗、信息泄露和数据项篡改等。
8/1/2020
பைடு நூலகம்
11
目录>>TCP/IP协议
3之2
IPv4首部
8/1/2020
12
8/1/2020
3
目录>>TCP/IP协议
5之2
图示
8/1/2020
4
5之3
OSI/RM和TCP/IP RM
8/1/2020
5
5之4
TCP/IP例子
8/1/2020
6
5之5
TCP/IP中的数据传输
8/1/2020
7
目录>>TCP/IP协议
3之1
网络层安全
8/1/2020
8
目录>>TCP/IP协议
IPSec是IPv6的一个组成部分,也是IPv4的一 个可扩展协议。本课程只考虑IPv4情况。
8/1/2020
14
目录
7之2
IPSec的构成
两个通信协议 AH 和ESP。
两种操作模式 传输模式和隧道模式。
一个密钥交换管理协议 IKE。
两个数据库 安全策略数据库SPD和安全关联数据库SAD。
IKE管理
一般来说,SA的自动建立和动态维护是通过IKE进行 的,SA有生存周期限制。如果安全策略要求建立安全、保 密的连接,但又不存在与该连接相应的SA,IPSec的内核 会立即启动IKE来协商SA。
8/1/2020
24
目录>>安全关联(SA)和安全策略(SP)
16 之 4
安全关联数据库
(SAD)
IP安全
TCP/IP协议 IPSec概述 安全关联(SA)和安全策略(SP) 认证头(AH) 封装安全载荷 (ESP) Internet密钥交换协议(IKE) IPSec的实现
8/1/2020
1
目录
TCP/IP协议
Internet概述 Internet安全 IP层安全
8/1/2020
Association and Management Protocol
17
目录
7之5
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放数据包 机密性(保密) 有限通信量机密性
8/1/2020
18
目录
7之6
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放包 保密性 有限保密性
相关文档
最新文档