网络管理与安全6.pptVIP

网络管理与安全技术 李 艇 02w123 第6章　网络安全技术 6.1安全通信协议 6.2加密技术 6.3认证机制 6.4 VPN技术 6.5 网络病毒防治技术 第6章安全通信协议 6.1 网络层安全协议体系—IPSec IPSec—IP Security 6.1.1 IPSec的作用 IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序的安全性。 企业可在公网上建立自己的虚拟专用网。 配有IPSec系统的用户，通过ISP获取安全访问。 IPSec既可用于建立内部网安全连接也可用于外部网的安全连接。 IPSec可增加已有的安全协议的安全性。 IPSec应用示例用户系统---IPSec---WAN----IPSec---网络设备----IP--LAN 6.1 网络层安全协议体系—IPSec IPSec具有以下意义： IPSec用于防火墙和路由器等网络设备中，以提供安全的业务流，而在LAN内则可以不必进行安全性处理。 IPSec用于防火墙可防止用IP的业务流绕过防火墙。 IPSec位于网络层，对于应用程序来说是透明的。无需修改用户或服务器所使用的软件。 IP层的安全问题涉及了认证、必威体育官网网址和密钥管理三个领域。其安全性应达到： 期望安全的用户能够使用基于密码学的安全机制； 应能同时适用于IPv4和IPv6; 算法独立； 有利于实现不同安全策略； 对没有采用该机制的用户不会有负面影响。 6.1.2 IPSec体系结构 IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、算法和密钥。 安全协议有： 认证报头AH（Authentication Header),即认证协议。 封装的安全负载ESP（Encapsulating Security Payload),即加密与认证协议。 ESP又分为仅加密和加密与认证结合两种情况。 6.1.2 IPSec体系结构 6.1.2 IPSec体系结构 体系：定义IPSec技术的机制； ESP：用其进行包加密的报文格式和一般性问题； AH：用其进行包认证的报文包格式和一般性问题 加密算法：描述将各种不同加密算法用于ESP的文档； 认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档； 密钥管理：描述密钥管理模式 DOI ：其他相关文档，如加密和认证算法标识及运行参数等。 IPSec体系结构中涉及的主要概念有： 安全关联、模式、AH、ESP 1.安全关联（Security Associations） SA是 IP认证和必威体育官网网址机制中最关键的概念。 一个关联就是发送与接收者之间的一个单向关系。 如果需要一个对等关系，即双向安全交换，则需要两个SA。 SA提供安全服务的方式是使用AH或ESP之一。 一个SA可由三个参数惟一地表示 安全参数索引，目标IP地址，安全协议标识符 1.安全关联（Security Associations） 2. AH和ESP的两种使用模式 传输模式 传输模式主要用于对上层协议的保护，如TCP、UDP和ICMP数据段的保护。 以传输模式运行的ESP协议对IP报头之后的数据（负载）进行加密和认证，但不对IP报头进行加密和认证。 以传输模式运行的AH协议对负载及报头中选择的一部分进行认证。 2. AH和ESP的两种使用模式 6 .1.3 IPSec服务与应用 1. SA的组合方式 一个SA能够实现AH协议或ESP协议，但却不能同时实现这两种协议。 当要求在主机间和网关间都实现IPSec业务时，就要求建立多个SA， 即采用SA组合方式。 SA的组合方式 SA的组合方式 6 .1.4 传输层安全协议SSL 6.1.4 SSL协议概述 安全套接层协议SSL是在Internet上提供一种保证私密性的安全协议。 C/S通信中，可始终对服务器和客户进行认证。 SSL协议要求建立在可靠的TCP之上，高层的应用协议能透明地建立在SSL之上。 SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。 6.1.4 Web安全性方法 保护Web安全性的方法有多种，这些方法所提供的安全业务和使用机制都彼此类似，所不同之处在于它们各自的应用范围和在TCP/IP协议栈中的相对位置。? 6.1.4 Web安全性方法 网络层安全实现 利用IPSec提供Web的安全性，其优点是对终端用户和应用程序是透明的，且为Web安全提供一般目的的解决方法。 传输层安全实现 将SSL或TLS作为TCP基本协议组的一部分，因此对应用程序来说是透明的。还可将SSL嵌套在特定的数据包中（如IE等大多数Web服务器都装有SSL）。 应用层安全实现