网络安全协议知识课件

6.4网络安全协议6.4.1应用层安全协议6.4.2传输层安全协议SSL6.4.3网络层安全协议Ipsec6.4.4IPv6新一代网络的安全机制6.4.5无线加密协议2023/1/106.4.1应用层安全协议安全外壳协议SSH用密码算法提供安全可靠的远程登录、文件传输和远程复制等网络应用程序。安全超文本传输协议S-HTTPS-HTTP提供了文件级的安全机制，用作加密及签名的算法可以由参与通信的收发双方协商。2023/1/106.4.1应用层安全协议电子邮件安全协议S/MIMES/MIME是由RSA安全公司于1990年中旬设计的，S/MIME第3版于1999年由互联网工程任务小组(IETF)指定为电子邮件安全的标准协议，它具有数字签名和数据加密的功能。它可以自动将所有送出的邮件加密、签名或同时加密和签名，也可以有选择地给特定的邮件加密、签名或同时加密和签名。S/MIME要求签名者必须持有公钥证书。2023/1/106.4.1应用层安全协议电子交易安全协议SET保障信用卡持有者在互联网上进行在线交易时的安全，它是由美国Visa和Master两个信用卡公司于1996年发起研制的。电子现金协议eCash由银行发行的具有一定面额的电子字据，用于在互联网上流通，模拟现金在实际生活中的使用。电子现金的任何持有人都可以从发行电子现金的银行中将其兑现成与其面额等价的现金。2023/1/106.4.2传输层安全协议SSL

1.SSL基本概念传输层安全协议通常指的是安全套接层协议SSL(SecuritySocketLayer)和传输层安全协议TLS(TransportLayerSecurity)两个协议。SSL协议是介于应用层和可靠的传输层协议(TCP)之间的安全通信协议。其主要功能是当两个应用层相互通信时，为传送的信息提供保密性和可靠性。SSL协议的优势在于它是与应用层协议独立无关的，因而高层的应用层协议(如HTTP、FTP、TELNET)能透明的建立于SSL协议之上。2023/1/106.4.2传输层安全协议SSL

1.SSL基本概念SSL提供一个安全的“握手”来初始化TCP/IP连接，来完成客户机和服务器之间关于安全等级、密码算法、通信密钥的协商，以及执行对连接端身份的认证工作。在此之后SSL连接上所传送的应用层协议数据都会被加密，从而保证通信的机密性。SSL可以用于任何面向连接的安全通信，但通常用于安全Web应用的HTTP协议。2023/1/106.4.2传输层安全协议SSL

2.SSL使用的安全机制以及提供的安全服务SSL使用公钥密码系统和技术进行客户机和服务器通信实体身份的认证和会话密钥的协商，使用对称密码算法对SSL连接上传输的敏感数据进行加密。SSL提供的面向连接的安全性具有以下三个基本性质：连接是秘密的。连接是可认证的。连接是可靠的。2023/1/106.4.2传输层安全协议SSL

2.SSL使用的安全机制以及提供的安全服务SSL中使用的安全机制有：加密机制数据签名机制数据完整性机制交换鉴别机制公证机制2023/1/106.4.2传输层安全协议SSL

3.SSL协议的基本结构2023/1/106.4.2传输层安全协议SSL

4.SSL协议的安全性下面是SSL协议对几种常用攻击的应对能力：1）监听和中间人攻击：SSL使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都可以找到不同的加密算法。它在每次连接时通过产生一个哈希函数生成一个临时使用的会话密钥。除了不同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管SSL协议为监听者提供了很多明文，但由于RSA交换密钥有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式的攻击具有较高的防范性。2023/1/106.4.2传输层安全协协议SSL4.SSL协议的安全性性下面是SSL协议对几种常常用攻击的应应对能力：2）流量分析攻攻击：流量分分析攻击的核核心是通过检检查数据包的的未加密字段段或未保护的的数据包属性性，试图进行行攻击。在一一般情况下该该攻击是无害害的，SSL无法阻止这种种攻击。3）重放攻击：：通过在MAC数据中设置时时间戳可以防防止这种攻击击。SSL协议本身也存存在诸多缺陷陷，如认证和和加解密的速速度较慢；对对用户不透明明；尤其是SSL不提供网络运运行可靠性的的功能，不能能增强网的健健壮性，对拒拒绝服务攻击击就无能为力力；依赖于第第三方认证等等等。2022/12/296.4.3网络层安全协协议IPsec1.IPsec基本概念IPSec定义了一种标标准、健壮的的以及包容广广泛的机制，，可用它为IP及其上层协议议(如TCP和UDP)提供安全保证证。IPSec的目标是为IPv4和IPv6提供具有较强强的互操作能能力、高质量量和基于密码码的安全功能能，在IP层实现多种安安全服务，包包括访问控制制、数据完整整性、数据源源验证、抗重重播、机密性性等。IPSec通过支持一系系列加密算法法如DES、三重DES、IDEA、AES等确保通信双双方的机密性性。2022/12/296.4.3网络层安全协协议IPsec1.IPsec基本概念IPSec可在网络层上上对数据包进进行安全处理理，IPSec支持数据加密密，同时确保保资料的完整整性，这样就就可以保护所所有的分布应应用，包括远远程登录、客客户/服务器、电子子邮件、文件件传输和Web访问等。各种应用程序序可以享用IPSec提供的安全服服务和密钥管管理，而不必必设计和实现现自己的安全全机制，因此此减少了密钥钥协商的开销销，也降低了了产生安全漏漏洞的可能性性。IPSec可连续或递归归应用，在路路由器、防火火墙、主机和和通信链路上上配置，实现现端到端安全全、虚拟专用用网络和安全全隧道技术等等。2022/12/296.4.3网络层层安全全协议议IPsec1.IPsec基本概概念IPSec的一个个典型型方案案2022/12/296.4.3网络层安安全协议议IPsec1.IPsec基本概念念IPSec协议主要要包括：：1）认证头头AH(AuthenticationHead)协议：它它规定认认证格式式，用于于支持数数据完整整性和IP包的认证证。数据据完整性性确保在在包的传传输过程程中内容容不可更更改。认认证确保保终端系系统或网网络设备备能对用用户或应应用程序序进行认认证，并并相应地地提供流流量过滤滤功能，，同时还还能防止止地址欺欺骗攻击击和重放放攻击。。2）载荷安安全封装装ESP(EncapsulatingSecurityPayload)协议：提提供IP数据报的的完整性性和认证证功能，，还可以以利用加加密技术术保障数数据的机机密性。。3）因特网网密钥交交换IKE(InternetKeyExchange)协议：可可以确保保IP数据报的的保密性性，也可可以提供供完整性性和认证证功能(视加密算算法和应应用模式式而定)。2022/12/296.4.3网络层安安全协议议IPsec1.IPsec基本概念念虽然AH和ESP都可以提提供身份份认证，，但它们们有如下下区别：：ESP要求使用用高强度度加密算算法，会会受到许许多限制制。多数情况况下，使使用AH的认证服服务已能能满足要要求，相相对来说说，ESP开销较大大。设置AH和ESP两套安全全协议意意味着可可以对IPSec网络进行行更细粒粒度的控控制，选选择安全全方案可可以有更更大的灵灵活度。。2022/12/296.4.3网络层安安全协议议IPsec2.IPSec的两种应应用模式式IPSec有两种工作作模式模式式：传输模模式和隧道道模式。传输模式用用于在两台台主机之间间进行的端端到端通信信。发送端端IPsec将IP包载荷用ESP或AH进行加密或或认证，但但不包括IP头，数据包包传输到目目标IP后，由接收收端IPsec认证和解密密。隧道模式用用于点到点点通信，对对整个IP包提供保护护。2022/12/296.4.3网络层安全全协议IPsec2.IPSec的两种应用用模式2022/12/296.4.3网络层安全全协议IPsec3.IPSec协议内容IPSec协议不是一一个单独的的协议，它它给出了应应用于IP层上网络数数据安全的的一整套体体系结构，，它主要包包括：1）认证头AH(AuthenticationHead)协议。2）载荷安全全封装ESP(EncapsulatingSecurityPayload)协议。3）因特网密密钥交换IKE(InternetKeyExchange)协议。虽然AH和ESP都可以提供供身份认证证，但它们们有如下区区别：ESP要求使用高高强度加密密算法，会会受到许多多限制。多数情况下，使使用AH的认证服务务已能满足足要求，相相对来说，，ESP开销较大。。设置AH和ESP两套安全协协议意味着着可以对IPSec网络进行更更细粒度的的控制，选选择安全方方案可以有有更大的灵灵活度。2022/12/296.4.3网络层安全全协议IPsec3.IPSec协议内容SA是IPSec的基础。在使用AH或ESP之前，先要要从源主机机到目的主主机建立一一条网络层层的逻辑连连接，此逻逻辑连接叫叫做安全关关联SA。这样，IPsec就将传统的的因特网无无连接的网网络层转换换为具有逻逻辑连接的的层。SA是通信对等等方之间对对某些要素素的一种协协定，例如如IPSec协议、协议议的操作模模式(传输模式和和隧道模式式)、密码算法法、密钥、、用于保护护它们之间间数据流的的密钥的生生存期。安全关联是是单向的，，因此输出出和输入的的数据流需需要独立的的SA。2022/12/296.4.3网络络层层安安全全协协议议IPsec3.IPSec协议议内内容容一个个安安全全关关联联SA由一一个个三三元元组组惟惟一一地地确确定定，，它它包包括括：：安全全参参数数索索引引SPI(SecurityParameterIndex)目标标IP地址址安全全协协议议标标识识符符2022/12/296.4.3网络络层层安安全全协协议议IPsec3.IPSec协议议内内容容因特特网网密钥钥交交换换协协议议IKEIKE的主主要要用用途途是是在在IPSec通信信双双方方之之间间建建立立起起共共享享安安全全参参数数及及验验证证的的密密钥钥。。2022/12/296.4.3网络络层层安安全全协协议议IPsec4．IPSecVPN与SSLVPNIPSecVPN与SSLVPN的比比较较部署署安全全性性可扩扩展展性性访问问控控制制能能力力经济济性性2022/12/296.4.4IPv6新一代网络的的安全机制1IPv6的新特性2IPv6安全机制对现现行网络安全全体系的新挑挑战2022/12/296.4.4IPv6新一代网络的的安全机制1IPv6的新特性（1）新包头格式式（2）更大的地址址空间（3）高效的层次次寻址及路由由结构（4）全状态和无无状态地址配配置（5）内置安全设设施（6）更好好的QoS支持（7）用于于邻节节点交交互的的新协协议（8）可扩扩展性性2022/12/296.4.4IPv6新一一代代网网络络的的安安全全机制制2IPv6安全全机机制制对对现现行行网网络络安安全全体体系系的的新新挑挑战战安全全包包含含着着各各个个层层次次、、各各个个方方面面的的问问题题，，不不是是仅仅仅仅由由一一个个安安全全的的网网络络层层就就可可以以解解决决得得了了的的。。如果果黑黑客客从从网网络络层层以以上上的的应应用用层层发发动动进进攻攻，，比比如如利利用用系系统统缓缓冲冲区区溢溢出出或或木木马马进进行行攻攻击击，，纵纵使使再再安安全全的的网网络络层层也也于于事事无无补补。。而且且仅仅仅仅从从网网络络层层来来看看，，IPv6也不不是是尽尽善善尽尽美美的的。。它它毕毕竟竟同同IPv4有着着极极深深的的渊渊源源。。2022/12/296.4.4IPv6新一一代代网网络络的的安安全全机机制制2IPv6安全全机机制制对对现现行行网网络络安安全全体体系系的的新新挑挑战战由于于IPv6引进进了了加加密密和和认认证证，，还还可可能能产产生生新新的的攻攻击击方方式式。。当前前的的网网络络安安全全体体系系是是基基于于现现行行的的IPv4协议议的的，，防防范范黑黑客客的的主主要要工工具具有有防防火火墙墙、、网网络络扫扫描描、、系系统统扫扫描描、、Web安全全保保护护、、入入侵侵检检测测系系统统等等。。IPv6的安安全全机机制制对对他他们们的的冲冲击击可可能能是是巨巨大大的的，，甚甚至至是是致致命命的的。。2022/12/296.4.4IPv6新一代网网络的安安全机制制2IPv6安全机制制对现行行网络安安全体系系的新挑挑战为了适应应新的网网络协议议，寻找找新的解解决安全全问题的的途径变变得非常常急迫。。安全研究究人员也也需要面面对新的的情况，，进一步步研究和和积累经经验，尽尽快找出出适应的的安全解解决方法法。2022/12/29无线网络络，尤其其是以WAP(WirelessApplicationProtocol，无线应应用协议议)和WiFi(WirelessFidelity，通常指指无线局局域网)为代表的的技术为为应用带带来了极极大的方便但是由于无线线网络基基于电磁磁波的传传输，因因此极易易产生信信息窃取取或中间间人攻击击等攻击击行为，，相应地地也需要要有适用用于无线线网络环环境的加加密技术术。6.4.5无线网络络中的加加密2022/12/29无线加加密协协议WEP(WirelessEncryptionProtocol)，有时时候也也称做做“有有线等等效加加密协协议””(WireEquival