网络安全技术 作者 刘化君等编著 第八章 网络安全应用.pptVIP

第8章 网络安全应用 网络安全应用是指在网络应用过程中如何保障网络安全。网络安全应用的目的是要保证网络用户的真实性，互联网数据传输的机密性、完整性和可靠性，以便对抗身份假冒、信息窃取、数据篡改、越权访问和事后否认等安全威胁。 网络安全应用涉及的范围比较广，本章主要讨论IP安全协议、虚拟专用网（VPN）、安全电子邮件和Web安全等安全应用技术。 第8章 网络安全应用 8.1 IP安全 8.1.1 IPSec安全体系结构 8.1.2 IPSec安全协议 8.1.3 IPSec的工作过程 8.1.4 IPSec安全配置示例 8.2 虚拟专用网技术 8.2.1 VPN技术原理 8.2.2 VPN的应用类型 8.2.3 VPN的实现及其隧道协议 8.2.4 基于IPSec的VPN应用实例 8.3 安全电子邮件 8.3.1 电子邮件系统的工作原理 8.3.2 安全电子邮件技术及协议 8.3.3 安全电子邮件的收发 8.4 Web安全技术 8.4.1 Web服务的安全性 8.4.2 安全套接字层 8.4.3 基于SSL的Web安全访问 8.4.4 安全电子交易 8.1 IP安全 IP安全（IP Security）简称为IPSec，是指IETF以RFC形式公布的一组IP安全协议集，其基本目的就是把安全机制引入IP协议，通过使用相应地密码学技术支持加密和认证服务，使用户能够有选择地使用并得到所期望的安全服务。 IPSec是IETF在开发IPv6时为保证IP数据报安全而设计的，是IPv6协议的一个组成部分、是IPv4的可选项。IPSec可以向IPv4和IPv6提供互操作、基于密码的安全性。 8.1 IP安全 8.1.1 IPSec安全体系结构 1.IPSec安全体系的构成 如图所示是IPSec协议簇的体系结构，即IPSec协议簇中各个子协议及其相互关系，它已经成为工业标准的网络安全协议。 8.1 IP安全 8.1.1 IPSec安全体系结构 2.IPSec的安全服务 （1）保证数据的机密性 （2）保证数据完整性与身份认证 （3）保证数据来源可靠 8.1 IP安全 8.1.1 IPSec安全体系结构 3.IPSec的运行模式 IPSec支持传输模式和隧道模式两种运行模式。 （1）IPSec传输模式 传输模式为上层协议提供安全保护，保护的是IP数据报的有效载荷(如TCP、UDP和ICMP)，如图所示通常情况下传输模式只用于两台主机之间的安全通信。 8.1 IP安全 8.1.1 IPSec安全体系结构 3.IPSec的运行模式 （2）IPSec隧道模式 隧道模式为整个IP数据报提供保护，如图所示。隧道模式首先为原始IP数据报增加IPSec头（AH或ESP字段），然后再在外部增加一个新的IP报头，这样原有的IP数据报就被有效地隐藏起来了。 8.1 IP安全 8.1.2 IPSec安全协议 IPSec是一个协议集，所定义的文件包括12个RFC文件和几十个Internet草案。下面就其中的AH协议、ESP协议和IKE协议三个基本协议进行简单介绍。 1．认证头（AH）协议 AH定义了认证的应用方法，提供数据源认证和完整性保证。AH的工作原理是在每一个数据报上添加一个身份认证报头。此报头包含一个带密钥的Hash散列函数,此Hash散列函数在整个数据报中计算，因此对数据的任何更改将致使散列无效. 8.1 IP安全 8.1.2 IPSec安全协议 1．认证头（AH）协议 8.1 IP安全 8.1.2 IPSec安全协议 2．封装安全载荷（ESP）协议 ESP协议为IP数据报提供机密性、数据来源认证、无连接完整性检查。ESP的加密服务是可选项，但如果启用加密，也就同时选择了完整性检查和认证。ESP可以单独使用，也可以与AH结合使用。 ESP数据报由ESP报头、ESP报尾及ESP认证数据组成，格式如图8-5所示。 8.1 IP安全 8.1.2 IPSec安全协议 2．封装安全载荷（ESP）协议 8.1 IP安全 8.1.2 IPSec安全协议 3．密钥管理（IKE）协议 在一个安全关联SA中，两个系统需要就如何交换和保护数据预先达成协议。IKE过程就是IETF标准的一种安全关联和密钥交换解析的方法。 IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样，IKE使用安全管理关联和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）为其它IPSec（AH和ESP）协议协商安全关联SA。 8.1 IP安全 8.1.3 IPSec的工作过程 IP