6-3网络安全——网络安全性协议

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,6.4,网络安全协议,6.4.1,应用层安全协议,6.4.2,传输层安全协议,SSL,6.4.3,网络层安全协议,Ipsec,6.4.4 IPv6,新一代网络的安全机制,6.4.5,无线加密协议,2024/9/13,1,6.4.1,应用层安全协议,安全外壳协议,SSH,用密码算法提供安全可靠的远程登录、文件传输和远程复制等网络应用程序。,安全超文本传输协议,S-HTTP,S-HTTP,提供了文件级的安全机制，用作加密及签名的算法可以由参与通信的收发双方协商。,2024/9/13,2,6.4.1,应用层安全协议,电子邮件安全协议,S/MIME,S/MIME,是由,RSA,安全公司于,1990,年中旬设计的，,S/MIME,第,3,版于,1999,年由互联网工程任务小组,(IETF),指定为电子邮件安全的标准协议，它具有数字签名和数据加密的功能。它可以自动将所有送出的邮件加密、签名或同时加密和签名，也可以有选择地给特定的邮件加密、签名或同时加密和签名。,S/MIME,要求签名者必须持有公钥证书。,2024/9/13,3,6.4.1,应用层安全协议,电子交易安全协议,SET,保障信用卡持有者在互联网上进行在线交易时的安全，它是由美国,Visa,和,Master,两个信用卡公司于,1996,年发起研制的。,电子现金协议,eCash,由银行发行的具有一定面额的电子字据，用于在互联网上流通，模拟现金在实际生活中的使用。电子现金的任何持有人都可以从发行电子现金的银行中将其兑现成与其面额等价的现金。,2024/9/13,4,6.4.2,传输层安全协议,SSL,1. SSL,基本概念,传输层安全协议通常指的是安全套接层协议,SSL(Security Socket Layer),和传输层安全协议,TLS(Transport Layer Security),两个协议。,SSL,协议是介于应用层和可靠的传输层协议,(TCP),之间的安全通信协议。其主要功能是当两个应用层相互通信时，为传送的信息提供保密性和可靠性。,SSL,协议的优势在于它是与应用层协议独立无关的，因而高层的应用层协议,(,如,HTTP,、,FTP,、,TELNET),能透明的建立于,SSL,协议之上。,2024/9/13,5,6.4.2,传输层安全协议,SSL,1. SSL,基本概念,SSL,提供一个安全的,“,握手,”,来初始化,TCP/IP,连接，来完成客户机和服务器之间关于安全等级、密码算法、通信密钥的协商，以及执行对连接端身份的认证工作。在此之后,SSL,连接上所传送的应用层协议数据都会被加密，从而保证通信的机密性。,SSL,可以用于任何面向连接的安全通信，但通常用于安全,Web,应用的,HTTP,协议。,2024/9/13,6,6.4.2,传输层安全协议,SSL,2. SSL,使用的安全机制以及提供的安全服务,SSL,使用公钥密码系统和技术进行客户机和服务器通信实体身份的认证和会话密钥的协商，使用对称密码算法对,SSL,连接上传输的敏感数据进行加密。,SSL,提供的面向连接的安全性具有以下三个基本性质：,连接是秘密的。,连接是可认证的。,连接是可靠的。,2024/9/13,7,6.4.2,传输层安全协议,SSL,2. SSL,使用的安全机制以及提供的安全服务,SSL,中使用的安全机制有：,加密机制,数据签名机制,数据完整性机制,交换鉴别机制,公证机制,2024/9/13,8,6.4.2,传输层安全协议,SSL,3. SSL,协议的基本结构,2024/9/13,9,6.4.2,传输层安全协议,SSL4,. SSL,协议的安全性,下面是,SSL,协议对几种常用攻击的应对能力：,1,）监听和中间人攻击：,SSL,使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都可以找到不同的加密算法。它在每次连接时通过产生一个哈希函数生成一个临时使用的会话密钥。除了不同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管,SSL,协议为监听者提供了很多明文，但由于,RSA,交换密钥有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式的攻击具有较高的防范性。,2024/9/13,10,6.4.2,传输层安全协议,SSL,4. SSL,协议的安全性,下面是,SSL,协议对几种常用攻击的应对能力：,2,）流量分析攻击：流量分析攻击的核心是通过检查数据包的未加密字段或未保护的数据包属性，试图进行攻击。在一般情况下该攻击是无害的，,SSL,无法阻止这种攻击。,3,）重放攻击：通过在,MAC,数据中设置时间戳可以防止这种攻击。,SSL,协议本身也存在诸多缺陷，如认证和加解密的速度较慢；对用户不透明；尤其是,SSL,不提供网络运行可靠性的功能，不能增强网的健壮性，对拒绝服务攻击就无能为力；依赖于第三方认证等等。,2024/9/13,11,6.4.3,网络层安全协议,IPsec,1. IPsec,基本概念,IPSec,定义了一种标准、健壮的以及包容广泛的机制，可用它为,IP,及其上层协议,(,如,TCP,和,UDP),提供安全保证。,IPSec,的目标是为,IPv4,和,IPv6,提供具有较强的互操作能力、高质量和基于密码的安全功能，在,IP,层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。,IPSec,通过支持一系列加密算法如,DES,、三重,DES,、,IDEA,、,AES,等确保通信双方的机密性。,2024/9/13,12,6.4.3,网络层安全协议,IPsec,1. IPsec,基本概念,IPSec,可在网络层上对数据包进行安全处理，,IPSec,支持数据加密，同时确保资料的完整性，这样就可以保护所有的分布应用，包括远程登录、客户,/,服务器、电子邮件、文件传输和,Web,访问等。,各种应用程序可以享用,IPSec,提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。,IPSec,可连续或递归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端安全、虚拟专用网络和安全隧道技术等。,2024/9/13,13,6.4.3,网络层安全协议,IPsec,1. IPsec,基本概念,IPSec,的一个典型方案,2024/9/13,14,6.4.3,网络层安全协议,IPsec,1. IPsec,基本概念,IPSec,协议主要包括：,1,）认证头,AH(Authentication Head),协议：它规定认证格式，用于支持数据完整性和,IP,包的认证。数据完整性确保在包的传输过程中内容不可更改。认证确保终端系统或网络设备能对用户或应用程序进行认证，并相应地提供流量过滤功能，同时还能防止地址欺骗攻击和重放攻击。,2,）载荷安全封装,ESP(Encapsulating Security Payload),协议：提供,IP,数据报的完整性和认证功能，还可以利用加密技术保障数据的机密性。,3,）因特网密钥交换,IKE (Internet Key Exchange),协议：可以确保,IP,数据报的保密性，也可以提供完整性和认证功能,(,视加密算法和应用模式而定,),。,2024/9/13,15,6.4.3,网络层安全协议,IPsec,1. IPsec,基本概念,虽然,AH,和,ESP,都可以提供身份认证，但它们有如下区别：,ESP,要求使用高强度加密算法，会受到许多限制。,多数情况下，使用,AH,的认证服务已能满足要求，相对来说，,ESP,开销较大。,设置,AH,和,ESP,两套安全协议意味着可以对,IPSec,网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。,2024/9/13,16,6.4.3,网络层安全协议,IPsec,2. IPSec,的两种应用模式,IPSec,有两种工作模式模式：传输模式和隧道模式。,传输模式用于在两台主机之间进行的端到端通信。发送端,IPsec,将,IP,包载荷用,ESP,或,AH,进行加密或认证，但不包括,IP,头，数据包传输到目标,IP,后，由接收端,IPsec,认证和解密。,隧道模式用于点到点通信，对整个,IP,包提供保护。,2024/9/13,17,6.4.3,网络层安全协议,IPsec,2. IPSec,的两种应用模式,2024/9/13,18,6.4.3,网络层安全协议,IPsec,3. IPSec,协议内容,IPSec,协议不是一个单独的协议，它给出了应用于,IP,层上网络数据安全的一整套体系结构，它主要包括：,1,）认证头,AH(Authentication Head),协议。,2,）载荷安全封装,ESP(Encapsulating Security Payload),协议。,3,）因特网密钥交换,IKE (Internet Key Exchange),协议。,虽然,AH,和,ESP,都可以提供身份认证，但它们有如下区别：,ESP,要求使用高强度加密算法，会受到许多限制。,多数情况下，使用,AH,的认证服务已能满足要求，相对来说，,ESP,开销较大。,设置,AH,和,ESP,两套安全协议意味着可以对,IPSec,网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。,2024/9/13,19,6.4.3,网络层安全协议,IPsec,3. IPSec,协议内容,SA,是,IPSec,的基础。,在使用,AH,或,ESP,之前，先要从源主机到目的主机建立一条网络层的逻辑连接，此逻辑连接叫做安全关联,SA,。,这样，,IPsec,就将传统的因特网无连接的网络层转换为具有逻辑连接的层。,SA,是通信对等方之间对某些要素的一种协定，例如,IPSec,协议、协议的操作模式,(,传输模式和隧道模式,),、密码算法、密钥、用于保护它们之间数据流的密钥的生存期。,安全关联是单向的，因此输出和输入的数据流需要独立的,SA,。,2024/9/13,20,6.4.3,网络层安全协议,IPsec,3. IPSec,协议内容,一个安全关联,SA,由一个三元组惟一地确定，它包括：,安全参数索引,SPI(Security Parameter Index),目标,IP,地址,安全协议标识符,2024/9/13,21,6.4.3,网络层安全协议,IPsec,3. IPSec,协议内容,因特网密钥交换协议,IKE,IKE,的主要用途是在,IPSec,通信双方之间建立起共享安全参数及验证的密钥。,2024/9/13,22,6.4.3,网络层安全协议,IPsec,4,IPSec VPN,与,SSL VPN,IPSec VPN,与,SSL VPN,的比较,部署,安全性,可扩展性,访问控制能力,经济性,2024/9/13,23,6.4.4 IPv6,新一代网络的安全机制,1 IPv6,的新特性,2 IPv6,安全机制对现行网络安全体系的新挑战,2024/9/13,24,6.4.4 IPv6,新一代网络的安全机制,1 IPv6,的新特性,（,1,）新包头格式,（,2,）更大的地址空间,（,3,）高效的层次寻址及路由结构,（,4,）全状态和无状态地址配置,（,5,）内置安全设施,（,6,）更好的,QoS,支持,（,7,）用于邻节点交互的新协议,（,8,）可扩展性,2024/9/13,25,6.4.4 IPv6,新一代网络的安全机制,2 IPv6,安全机制对现行网络安全体系的新挑战,安全包含着各个层次、各个方面的问题，不是仅仅由一个安全的网络层就可以解决得了的。,如果黑客从网络层以上的应用层发动进攻，比如利用系统缓冲区溢出或木马进行攻击，纵使再安全的网络层也于事无补。,而且仅仅从网络层来看，,IPv6,也不是尽善尽美的。它毕竟同,IP v4,有着极深的渊源。,2024/9/13,26,6.4.4 IPv6,新一代网络的安全机制,2 IPv6,安全机制对现行网络安全体系的新挑战,由于,IPv6,引进了加密和认证，还可能产生新的攻击方式。,当前的网络安全体系是基于现行的,IPv4,协议的，防范黑客的主要工具有防火墙、网络扫描、系统扫描、,Web,安全保护、入侵检测系统等。,IPv6,的安全机制对他们的冲击可能是巨大的，甚至是致命的。,2024/9/13,27,6.4.4 IPv6,新一代网络的安全机制,2 IPv6,安全机制对现行网络安全体系的新挑战,为了适应新的网络协议，寻找新的解决安全问题的途径变得非常急迫。,安全研究人员也需要面对新的情况，进一步研究和积累经验，尽快找出适应的安全解决方法。,2024/9/13,28,无线网络，尤其是以,Application Protocol,，无线应用协议,),和,WiFi(Wireless Fidelity,，通常指无线局域网,),为代表的技术为应用带来了极大的方便,但是由于无线网络基于电磁波的传输，因此极易产生信息窃取或中间人攻击等攻击行为，相应地也需要有适用于无线网络环境的加密技术。,6.4.5,无线网络中的加密,2024/9/13,29,无线加密协议,WEP(Wireless Encryption Protocol),，有时候也称做“有线等效加密协议”,(Wire Equivalent Privacy,，简写同样是,WEP),，是为了使无线网络能够达到如有线网络等同的安全而设计的协议。,WEP,是,1999,年,9,月通过的,IEEE 802.11,标准的一部分，使用,RC4,加密算法对信息进行加密，并使用,CRC-32,验证完整性。,6.4.5,无线网络中的加密,2024/9/13,30,密钥长度是影响,WEP,安全性的因素之一，破解较长的密钥可以通过拦截较多的数据包来完成。,WEP,的应用中还有其他的弱点，包括密钥初始化串雷同的可能性和伪造的封包。,而更普遍的弱点，如设备默认不启动,WEP,或人为设置相同的密钥等做法，使得,WEP,的安全措施很轻易被攻破。,因此，无线网络中通常建议采用,WPA,或,WPA2,安全标准。,6.4.5,无线网络中的加密,2024/9/13,31,WPA,的全名为,Wi-Fi,访问控制协议,(Wi-Fi Protected Access),，包括,WPA,和,WPA2,两个标准。,WPA,实现了,IEEE 802.11i,标准的大部分要求，是在,802.11i,标准完备之前替代,WEP,的一套过渡方案。,WPA,的设计可以用在所有的无线网卡上。,而,WPA2,实现了完整的,802.11i,标准,这两个标准修改了,WEP,中的几个严重弱点，都能实现较好的安全性。,6.4.5,无线网络中的加密,2024/9/13,32,