第11章 网络安全协议 计算机网络Tcpip协议课件.pptVIP

第11章 网络安全协议 手机 计算机 电子邮件 银行业务 网上购物、网上求职、聊天 …….. 电子商务 网上交易 网上售前售后服务 …… 电子政务 政府间的电子政务 政府对企业的电子政务 政府对公民的电子政务 11.1 网络安全属性与结构 11.1.1 网络安全及其属性 三个基本属性 机密性 完整性 可用性 可用性 确保授权用户在需要时可以访问信息并使用相关信息资产 完整性 保护信息和信息的处理方法准确而完整 机密性 确保只有经过授权的人才能访问信息 11.1.2 网络安全层次结构 网络的体系结构是一种层次结构。从安全角度来看，各层都能提供一定的安全手段，且各层次的安全措施不同。当TCP/IP 协议映射到ISO/OSI体系结构时，安全机制的层次结构如图所示。 在物理层，在通信线路上采用加密技术使偷听不可能实现或容易被检测出来。 在数据链路层，通过点对点链路加密来保障数据传输的安全性。 在网络层，有IP路由选择安全机制、基于IP协议安全技术的控制机制和防火墙技术。 在传输层，IPV6提供了基于TCP/UDP的安全机制。 在传输层以上的各层，采用更加复杂的安全手段，例如加密、用户级的身份认证、数字签名技术等。 11.1.2 网络安全层次结构 11.2 网络层的安全IPSec IP通信的安全协议(IP Security)，即IPSec 产生于IPv6的制定之中，用于提供IP层的安全性 提供了IP层的安全性就相当于为整个网络提供了安全通信的基础 什么是IPSec IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。 IPSec的作用 1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。 IPSec的优点 过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤 对应用程序完全透明，应用程序无需任何调整 三种身份验证 对数据包进行加密，以防止数据包在网络传输中被截取 使用HASH算法保障数据包在传输过程中保持完整性 确保每个IP数据包的唯一性 基本组件 筛选器：过滤规则 筛选器操作：允许，阻止，协商安全 身份验证方法 Kerberos V5 协议：适用于由 Windows 2000 或者 Windows Server?2003 域或者受信任的 Active Directory 域进行身份验证的计算机 证书：需要证书授权中心 预共享密钥：预共享的密钥以明文方式存储，因此安全性较差 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。 SA安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：1）安全参数索引SPI；2）IP目的地址；3）安全协议。 AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级 AH”， 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。 IKE（Internet密钥交换）负责这些任务，它提供一种方法供两台计算机建立安全关联 (SA)。SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。包括ISAKMP和OKD。 11.2.1 IPSec基本工作原理 IPSec的工作原理示意图 传输模式：当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 隧道方式当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包--包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。