网络安全协议全解ppt课件

第7讲 网络安全协议杨 明紫金学院计算机系网络信息安全5/8/2024第7讲 网络安全协议杨 明网络信息安全8/1/20231内容n网络安全概述n网络层安全协议IPSecn传输层安全协议SSLn应用层安全协议PGP内容网络安全概述2网络安全技术n网络安全技术n攻击技术和防御技术n防御技术n密码技术、网络安全协议、防火墙技术、入侵检测技术、虚拟专用网技术等。n攻击技术n网络监听、网络扫描、网络入侵、恶意代码、网络后门网络安全技术网络安全技术3网络安全协议的概念n协议n相互通信的两个计算机系统必须高度协调工作才行，而这种“协调”是相当复杂的n控制两个对等实体进行通信而建立的规则、标准或约定n语法、语义和同步三要素n网络安全协议n提供机密性、完整性、真实性等安全服务的网络协议n网络安全协议一般要利用密码技术网络安全协议的概念协议4网络安全协议及传输技术网络层安全协议网络安全协议及传输技术网络层安全协议5网络层安全协议nIPSecn一个工业标准网络安全协议n为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。nIPSec的基本目标n保护IP数据包安全n为抵御网络攻击提供防护措施HTTPSMTPDNSRTPTCPUDPIP网际层网络接口层运输层应用层网络接口 1网络接口 2网络接口 3网络层安全协议IPSecHTTPSMTPDNSRTPTCPU6网络层安全协议nIPSec主要包含3个功能域：鉴别机制、机密性机制和密钥管理。n鉴别机制确保收到的报文来自该报文首部所声称的源实体，并保证该报文在传输过程中未被非法篡改；n机密性机制使得通信内容不会被第三方窃听；n密钥管理机制则用于配合鉴别机制和机密性机制处理密钥的安全交换。网络层安全协议IPSec主要包含3个功能域：鉴别机制、机密性7IPSecIPSec安全体系安全体系结构构IPSec组成ESP协议AH协议加密算法DOI解释域密钥管理IKE认证算法nIPSec体系结构n鉴别首部协议（AH）n封装安全载荷协议（ESP）n密钥管理协议（IKE）n用于网络验证及加密的一些算法IPSec安全体系结构IPSec组成ESP协议AH协议加密算8鉴别首部协议(AH)nAH的基本功能n为IP通信提供数据源认证、数据完整性和反重播保证，n不提供任何机密性服务nAH的工作原理n在每一个IP数据报上添加一个鉴别首部n此首部包含一个带密钥的哈希散列，该哈希散列在整个数据报中计算，因此对数据的任何更改将致使散列无效，从而对数据提供了完整性保护。鉴别首部协议(AH)AH的基本功能9鉴别首部协议(AH)鉴别首部协议(AH)10封装安全载荷协议ESPnESP协议的功能n它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。nESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。nESP主要保障IP数据报的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。封装安全载荷协议ESPESP协议的功能11封装安全载荷协议nESP报文格式封装安全载荷协议ESP报文格式12密钥交换协议IKEn安全参数与密钥n安全关联(SA)是通信双方对交换和保护数据的相关方法和参数的约定nIKE的功能nIKE负责建立和管理SAnIKE负责为AH和ESP协议生成相关密钥密钥交换协议IKE安全参数与密钥13密钥交换协议IKEnIPSec体系结构密钥交换协议IKEIPSec体系结构14IPSec安全传输技术n传输模式n用来直接加密主机之间的网络通信n隧道模式n用来在两个子网之间建造“虚拟隧道”实现两个网络之间的安全通信IPSec安全传输技术传输模式15IPSec安全传输技术nIPSec传输模式IPSec安全传输技术IPSec传输模式16IPSec安全传输技术nIPSec隧道模式IPSec安全传输技术IPSec隧道模式17传输层安全协议n安全套接层协议（SSL）n是Netscape公司开发的网络安全协议，其主要目的是为网络通信应用进程间提供一个安全通道。n于1996年由Netscape公司推出SSL 3.0，得到了广泛的应用，并已被IETF的传输层安全工作小组（TLS working group）所采纳。n目前，SSL协议已经成为因特网事实上的传输层安全标准。n目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。传输层安全协议安全套接层协议（SSL）18SSL协议的结构nSSL主要提供连接的保密性、可靠性和相互认证三种安全服务SSL协议的结构SSL主要提供连接的保密性、可靠性和相互认证19传输层安全协议nSSL协议的组成nSSL记录协议n用于封装各种高层协议；nSSL协议的高层协议nSSL握手协议n改变加密约定协议n警报协议传输层安全协议SSL协议的组成20SSL握手协议n用来在客户端和服务器真正传输应用层数据之前建立安全机制，包括协商一个协议版本、选择密码算法、对彼此进行认证、使用公开密钥加密技术产生共享密码等。SSL握手协议用来在客户端和服务器真正传输应用层数据之前建立21应用层安全协议n电子邮件的安全性n传统的电子邮件服务难以保证邮件的机密性和完整性，也难以鉴别发送方n安全电子邮件PGPnPGPPretty Good Privacy(相当好的保密)n主要用于安全电子邮件，它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。应用层安全协议电子邮件的安全性22功能使用的算法解释说明保密性IDEA、CAST或三重DES，Diffie-Hellman或RSA发送者产生一次性会话密钥，用会话密钥以IDEA或CAST或三重DES加密消息，并用接收者的公钥以RSA加密会话密钥签名RSA或DSS，MD5或SHA用MD5或SHA对消息散列并用发送者的私钥加密消息摘要压缩ZIP使用ZIP压缩消息，以便于存储和传输E-mail兼容性Radix64交换对E-mail应用提供透明性，将加密消息变换成ASCII字符串分段功能-为适应最大消息长度限制，PGP实行分段并重组PGP的功能 功能使用的算法解释说明保密性IDEA、CAST或三重DES，23PGP的鉴别过程 图中符号的含义为：Ks:会话密钥 EP:公钥加密Kra:用户A的私钥 DP:公钥解密KUa:用户A的公钥 EC:常规加密H:散列函数 DC:常规解密|:连接 Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式 Z-1：解压缩MMHEPH|ZZ-1DP比较EKRaH(M)KRaKUa发送者A接收者BPGP的鉴别过程 图中符号的含义为：MMHEPH|ZZ-124PGP提供机密性的过程 KsMMEPECDC|ZZ-1DPKUbEKUbKsKRb图中符号的含义为：Ks:会话密钥 EP:公钥加密Kra:用户A的私钥 DP:公钥解密KUa:用户A的公钥 EC:常规加密H:散列函数 DC:常规解密|:连接 Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式 Z-1：解压缩PGP提供机密性的过程 KsMEPECDC|ZZ-1DPK25PGP提供鉴别与机密性的过程 MHEP|ZKRaDCDPEKUbKsKRbKsEP|KUbECMHZ-1DP比较EKRaH(M)KUa图中符号的含义为：Ks:会话密钥 EP:公钥加密Kra:用户A的私钥 DP:公钥解密KUa:用户A的公钥 EC:常规加密H:散列函数 DC:常规解密|:连接 Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式 Z-1：解压缩PGP提供鉴别与机密性的过程 HEP|ZKRaDCDPEK26小结n网络安全概述n提供机密性、完整性、真实性等安全服务的网络协议n网络层安全协议IPSecn为IP网络通信提供透明的安全服务，保护n传输层安全协议SSLn已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输n应用层安全协议PGPn安全电子邮件小结网络安全概述27