XXXX教科版选修3《网络安全基础》ppt课件

1、第4章 网络平安协议4.1 TCP/IP协议族与网络平安协议4.2 PGP协议4.3 SSL协议4.4 IPSec协议简介 网络平安协议所起的作用就是网络的各个层面上提供不同的平安效力。4.1 TCP/IP协议族与网络平安协议TCP/IP 协议集确立了 Internet 的技术根底。TCP/IP 的开展始于美国 DOD 国防部方案。 IAB Internet 架构委员会的下属任务组 IETF Internet 工程义务组研发了其中多数协议。 IAB 最初由美国政府发起，如今转变为公开而自治的机构。IAB 协同研讨和开发 TCP/IP 协议集的底层构造，并引导着 Internet 的开展。TCP

2、/IP协议族是因特网的根底协议，是一组协议的集合，包括基于传输层的TCP协议、UDP协议和基于网络层的IP协议、ICMP协议和IGMP协议等。TCP/IP 的中心功能是寻址和路由选择网络层的 IP/IPV6 以及传输控制传输层的 TCP、UDP。 绿瘦商城lvshouo绿瘦官网lvshowe双语不用教sybyjgw 泥鳅养殖技术 lyxingcaiISO/OSI参考模型将网络的构造分成了7层，每层都实现特定的功能，但因特网体系构造却只分成了4层概念功能层来进展描画。OSI的参考模型TCP/IP的参考模型应用层表示层会话层传输层网络层数据链路层物理层应用层传输层网际层网络接口层TCP/IP协议集

3、运用层网际层传输层网络接口层SMTPDNSSNMPTELNETNFSFTPTCPUDPICMPIGMPIPRARPARPLANWANMAN4.1.2 网络平安协议概述网络平安协议网络层次安全协议应用层S-HTTPKerberosSETS/MIMEPGP传输层SSLTLSSOCKS v5网际层IPSec网络接口层PPTPL2FL2TP4.2 PGP协议4.2.1 PGP简介 PGPPretty Good Privacy，是一个提供平安电子邮件的软件包，提供加密、鉴别、数字签名和紧缩等技术，是Phil Zimmermann在1991年编写的一个平安电子邮件加密方案，曾经成为现实上的规范。PGP的版

4、本有两大类：仅供个人用于非商业目的PGP免费版和公司用的PGP商业版。不同版本的PGP在公共域中可以得到，例如，他可以在国际PGP主页上找到适宜平台的PGP软件。PGP也是一个商业产品，并且可以作为许多电子邮件用户代理例如微软的Exchange和Outlook的插件。 PGP运用程序的特点是速度快、效率高、跨平台。 PGP是位于运用层的一个平安协议，实践上它也是一个运用层上提供平安效力的软件。 4.2.2 PGP的功能1采用一次一密的对称加密算法，密钥随邮件加密传送，每次可以不同。2采用数字签名防止了中途篡改和伪造。3邮件内容经过紧缩，减少了传送量。4进展base64编码，便于兼容不同邮件传送

5、系统。 PGP最中心的功能是：文件加密、通讯加密和数字签名。 PGP采用的平安加密算法和处置手段主要包括IDEA对称密码算法、MD5报文摘要算法、RSA公钥算法、base64编码、ZIP程序紧缩等。 PGP加密的任务原理图PGP经过单向散列算法对邮件内容进展签名，保证信件内容无法修正，运用公钥和私钥技术保证邮件内容严密且不可否认。发信人与收信人的公钥公布在公开的地方，公钥本身的权威性由第三方，特别是收信人所熟习或信任的第三方进展签名认证。4.2.3 PGP的运用举例从上下载并安装PGP8.0，重新启动后会自动启动“PGPsdkService效力。选择“Later。配置PGP启动PGP后，PGP

6、软件会在义务栏生成一个小图标，即 中的小锁图标，点击小锁，弹出的菜单中选择“PGPMail，会出现一个程序栏。 当PGP安装后，该软件会为用户产生一个公共密钥对。这个公共密钥可以公布在用户的个人网站或者放在公共密钥效力器上。私有密钥用密码进展了维护。每次用户访问这个私有密钥的时候，必需输入密码。PGP会让用户选择是运用数字签名还是加密这个音讯，或者是两者都运用。其签名的音讯或者加密的音讯都跟在MIME头部的后面。PGP也提供了公共密钥认证机制，但是这个机制完全不同于更为通用的认证中心。PGP公共密钥经过委托网站进展认证。当用户A以为密钥/用户名对确实是一同的，那么他就可以进展认证。另外，PGP

7、允许用户A声明他信任的其他用户担任更多密钥的认证。一些PGP用户经过密钥签署协议来签署各自的密钥。用户找个时机碰面，交换包含公共密钥的磁盘，经过用他们的私有密钥签写各自的密钥来认证密钥。PGP公共密钥也可以经过因特网上的PGP公共密钥效力器发布。当然，也可以在个人网页上很容易的得到公共密钥。PGP中运用PGP Keys管理钥匙环KeyRing1.密钥的生成、传播和废除 密钥的生成通常在安装过程中完成。在PGPKeys中也可生成新的密钥，即在义务栏弹出的菜单中选择PGPKeysKeysNew Key。 假想象废除密钥，只须选取Revoke即可。密钥属性对话框2.数字签名 用本人的私钥对邮件等签名

8、。3.加密与解密 点击“Encrypt，弹出选择所加密文件的对话框。“Conventional Encryption输入确认口令完成。4.解密，是加密的反过程。用“Decrypt、Verify。4.3 SSL协议 SSL是Secure Socket Layer 平安套接层协议的缩写，是网景Netscape公司提出的基于WEB运用的平安协议,位于TCP和运用层之间，是一个独立的平安协议，换句话说，即是高层运用协议例如HTTP、FTP、Telnet等能透明的建立在SSL之上。 SSL主要适用于点对点之间的信息传输，常用客户/效力器方式，可在效力器端和用户端同时实现支持。 SSL协议提供的效力可以归

9、纳为如下三个方面： 1用户和效力器身份的合法性认证。 2 SSL链路上数据性。 3 SSL链路上数据的完好性。 现行网上银行和电子商务等大型的网上买卖系统普遍采用HTTP和SSL相结合的方式。效力器端采用支持SSL的Web效力器，用户端采用支持SSL的阅读器实现平安通讯。对于电子商务运用来说，运用SSL可以对信誉卡和个人信息提供信息的完好性和严密性维护。但由于SSL不对运用层的音讯进展电子签名，因此不能提供买卖的不可否认性，这是SSL在电子商务中运用的最大缺乏。有鉴于此，网景公司在从Communicator 4.04版开场的一切阅读器中引入了一种被称作表单签名Form Signing的功能，在

10、电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进展数字签名，从而保证买卖信息的不可否认性。 SSL协议在传输层和更高层提供了网络平安传输效力，它要求建立在可靠的传输层协议例如TCP之上。SSL协议在运用层协议通讯之前就曾经完成加密算法、通讯密钥的协商以及效力器认证的任务，在此之后运用层协议所传送的数据都会被加密，从而保证通讯的平安性。它也是传输层平安协议Transport Layer Security，TLS的根底，运用户/效力器运用之间的通讯不被攻击者窃听，并且一直对效力器进展认证，还可以选择对用户进展认证。SSL协议是两层协议：上层协议包括SSL握手协议、更改密码规格协

11、议和警报协议，下层协议为SSL记录协议。相应的其操作分为两个阶段：第一阶段是握手阶段发送方和接纳方协商并确定加密算法和密钥，第二阶段为数据加密传输阶段根据第一阶段商定的密钥加密数据。SSL协议采用公共密钥技术，并已成为Internet上严密通讯的工业规范。现行Web阅读器普遍将HTTP和SSL协议相结合，从而实现平安通讯。SSL协议的绝大功能由SSL握手协议和记录协议完成。4.3.2 SSL构造及算法SSL握手协议SSL修改密码规格协议SSL告警协议SSL记录协议TCPIPSSL协议栈SSL握手协议SSL Handshake Protocol) SSL握手协议建立在SSL记录协议之上，用于在实

12、践的数据传输开场前客户和效力器之间的“握手。“握手是一个协商的过程，这个协议使得客户和效力器可以相互鉴别对方的身份，协商加密和鉴别算法以及协商密钥。在传输任何数据之前，必需运用握手协议。客户和效力器鉴别身份是采用发送X.509数字证书来进展的。加密算法可选择运用DES，3-DES，IDEA，RC2，RC4等；鉴别算法可选择运用SHA算法和MD5报文摘要算法；密钥交换和协商通常采用RSA公钥算法来完成。SSL更改密码规格协议是运用SSL记录协议效力的SSL高层协议的3个特定协议之一,也是其中最简单的一个。协议由单个音讯组成,该音讯只包含一个值为1的单个字节。该音讯的独一作用就是使未决形状拷贝为当

13、前形状,更新用于当前衔接的密码组。为了保证SSL传输过程的平安性,双方应该每隔一段时间改动加密规范。SSL告警协议是用来为对等实体传送SSL的相关警告。假设在通讯过程中某一方发现任何异常,就需求给对方发送一条警示音讯通告。警示音讯有两种:一种是 Fatal错误,如传送数据过程中,发现错误的MAC,双方就需求立刻中断会话,同时消除本人缓冲区相应的会话记录;第二种是Warning音讯,这种情况,通讯双方通常都只是记录日志,而对通讯过程不呵斥任何影响。SSL握手协议可以使得效力器和客户可以相互鉴别对方,协商详细的加密算法和MAC算法以及严密密钥,用来维护在SSL记录中发送的数据。SSL记录协议SSL

14、 Record Protocol)在握手协议完成之后，才干进展SSL记录协议，它的主要功能是为高层协议提供封装数据、紧缩、添加音讯鉴别码MAC、加密等根本功能的支持。4.3.3 SSL的运用“核新SSL数据平安代理的运用 hexin 核新SSL通讯平安代理以下简称“平安代理以Web通讯代理Web Proxy的方式，为阅读器提供高强度128位以上的数据加密才干，可作为各种电子商务运用系统客户端的数据平安支撑平台。平安代理与Web阅读器安装在同一台计算机上，当阅读器要与远端Web效力器建立平安衔接时，它向平安代理发出恳求，由平安代理担任与远端Web效力器建立衔接。衔接建立后，阅读器与效力器之间的数

15、据传输是经过平安代理转发完成的。阅读器与平安代理之间的数据传输是用阅读器本身支持的40位以下的弱加密算法加密的，而平安代理与远端Web效力器之间的数据传输那么是用高强度的数据加密算法加密的。4.4 IPSec 协议简介IPSecInternet Protocol Security)即Internet平安协议，是一个工业规范网络平安协议。IPSec主要提供以下平安效力：数据内容的性、数据来源地验证、数据的完好性验证、抗重播维护。IPSec通常称IP平安协议是一组平安IP协议集，是在IP包级为IP业务提供维护的平安协议规范，其根本目的就是把平安机制引入IP协议，经过运用现代密码学方法支持加密性和认

16、证性效力，运用户能有选择的运用，并得到所期望的平安效力。4.4.1 IPSec的优势与运用IPSec位于TCP/IP分层构造的IP层上，因此它可以加密和鉴别在IP层的一切通讯量，一切的分布式运用，包括远程注册、客户/效力器、电子邮件、文件传输、Web访问等，都可以经过IPSec添加平安特征。IPSec是一种基于端对端的平安方式。适宜以下网络：局域网：C/S方式，对等方式广域网：路由器-对-路由器方式，网关对网关方式远程访问：拨号客户机，专网对Internet的访问。IPSec的优越性：1 IPSec具有更好的兼容性。2比高层平安协议的性能更好，实现起来更方便；比底层平安协议更能顺应通讯介质的多

17、样性。3系统开销小。4透明性。5开放性。 IPSec平安协议定义了如何经过在IP数据包中添加扩展头和字段来保证IP包的性、可认证性和完好性。4.4.2 IPSec体系构造 IPSec也是由多个子协议组成，将几种平安技术结合构成一个比较完好的平安体系构造。它是由因特网密钥交换协议IKE：Internet Key Exchange、认证头Authentication Header，AH以及平安封装载荷Encapsulating Security Payload，ESP三个子协议组成。 IPSec经过在IP协议中添加两个基于密码的平安机制认证头和平安封装载荷来支持IP数据段的性、可认证性和完好性。经

18、过IP平安协议和密钥管理协议构建起IP层平安体系构造的框架，以维护一切基于IP的效力和运用。当这些平安机制正确实现时，它不会对用户、主机和其他未采用这些平安机制的Internet部件产生负面影响。由于这些平安机制是独立于算法的，所以在选择和改动算法时也不会影响其它部分的实现，对用户和上层运用是透明的。1因特网密钥交换协议IKE：用于动态建立平安关联SA：Security Association，所谓SA是通讯对等方中间对某些要素的一种协定。IKE协议主要是对密钥交换进展管理，它主要包括三个功能：对运用的协议、加密算法和密钥进展协商；方便的密钥交换机制(这能够需求周期性的进展)；跟踪对以上这些商

19、定的实施。2认证头AH：设计AH协议的主要目的是用来添加数据完好性的认证机制，为IP数据流提供高强度的密码认证，以确保修正正的数据包可以被检查出来。经过它可以防止地址欺骗攻击和重发攻击。它支持的散列算法是HMACMD596，HMACSHA196。3平安封装载荷ESP：设计ESP协议的主要目的是提供IP数据包的平安性。ESP的作用是提供性、数据完好性、数据源认证和抗重播维护等平安效力。ESP支持的加密算法有：3DES，RC5，IDEA，三密钥三重IDEA，CAST，Blowfish，支持的散列算法有HMACMD596，HMACSHA196。 IPSec各个子协议的功能IPSec体系构造模型TCP

20、/UDP传输层IPSec驱动程序受维护的IP数据包TCP/UDP传输层IPSec驱动程序IKESA对主机AIKESA对主机B网络层SA协商4.4.3 基于IPSec的虚拟公用网IPSec作为网络层平安协议，产生于IPv6的制定之中，用于提供IP层的平安性。目前IPSec最主要的运用是构建平安虚拟公用网VPN，Virtual Private Network。VPN是利用开放的公众网络资源建立私有数据传输通道，将远程的分支机构、商业同伴、挪动办公人员等衔接起来，并且提供平安的端到端的数据通讯的一种广域网技术。VPN有两层含义：它是“虚拟的，即建立隧道或虚电路把不同的物理网络或设备衔接起来，不再运用物理的专线建立公用网，而是将其建立在分布广泛的公共网络上，如Internet；它是“公用的，对基于IPSec的VPN而言，是一组衔接的闭合用户群CVC，它不仅具有效力质量QoS的保证，而且更多地强调平安效力。VPN是企业网在公共网络上的