网络与信息安全培训教材.pptx

《网络与信息安全培训教材.pptx》由会员分享，可在线阅读，更多相关《网络与信息安全培训教材.pptx（68页珍藏版）》请在优知文库上搜索。

1、网络与信息安全安全的通信协议网络与信息安全的构成物理安全性l设备的物理安全：防火、防盗、防破坏等通信网络安全性l防止入侵和信息泄露系统安全性l计算机系统不被入侵和破坏用户访问安全性l通过身份鉴别和访问控制，阻止资源被非法用户访问数据安全性l数据的完整、可用数据保密性l信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议VPN防火墙存储备份协议协议是指两方或多方为完成一项任务所进行的一系列步骤，而每一步必须依次执行，在前一步完成之前，后面的步骤都不能执行协议

2、特点：l协议中的每一方都必须了解协议，并且预先知道所要完成的所有步骤；l协议中的每一方都必须同意并遵循它；l协议必须是清楚的，每一步必须明确定义，并且不会引起误解；l协议必须是完整的，对每种可能的情况必须规定具体的动作；网络协议计算机网络中多个互连的计算机或网络设备之间不断交换数据为使相互通信的两个计算机或网络设备高度协调地进行数据交换，每台计算机或网络设备就必须在信息内容、格式和传输顺序等方面遵守事先预定好的规则l这些为进行网络中数据通信而制定的规则、标准或约定就是俗称的网络协议安全协议的必要性随着计算机网络技术向整个经济社会各层次的延伸，人们对Internet、Intranet等的依赖性越

3、来越大任何一种网络应用和服务的使用程度必将取决于所使用网络的信息安全有无保障网络安全已成为现代计算机网络应用的最大障碍，也是急需解决的难题之一安全协议为网络中的信息交换提供了强大的安全保护安全协议的含义在网络协议中使用加密技术、认证技术等密码技术以保证信息交换安全的网络协议具体地说就是建立在密码体系上的一种互通协议，为需要安全的各方提供一系列的密钥管理、身份认证及信息完整性等措施以保证通信的安全完成安全协议的理解首先是协议l标准程序l语义、语法规则l双方或多方l数据交换安全协议是l协议中与安全相关的部分l同安全相关的协议安全协议的基石通信技术密码技术l对称密钥算法l公开密钥算法密码技术的应用l

4、保密：机密性l认证：完整性和真实性相关问题l密钥的分发和交换安全协议的种类根据功能分l密钥安全协议指参与协议的双方或多方之间建立的通信中的会话密钥l认证协议主要用来在信息交换过程中防止信息的假冒、篡改或否认l密钥交换和认证协议将密钥技术与认证技术相结合，同时完成信息的加密与认证的功能安全协议 标准IPSecSSLTCP/IP协议栈协议栈的封装过程网络层安全传输层安全应用层安全IPSecIPSecIPSEClIP 安全协议。不是一个单独的协议，而是一组开放协议的总称，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络安全协议lAHlESP密钥管理协议IKE认证和加密算法l在IP层解决安

5、全问题，涉及的功能：认证、保密和秘钥管理IPSec工作组IETF：IP Security Protocol Working GrouplArchitecturelEncapsulating Security Payload(ESP)lAuthentication Header (AH)lEncryption AlgorithmlAuthentication AlgorithmlKey ManagementlDomain of Interpretation(DOI)IPSec框架体系结构ESP协议AH协议加密算法认证算法DOI密钥管理IPSec总体结构描述体系结构：包括总体概念，安全需求，定义，

6、以及定义IPSec技术的机制；ESP： 使用ESP进行加密的消息格式和一般性问题，以及可选的认证；AH：使用认证消息格式和一般性问题；加密算法：描述将各种不同加密算法用于ESP的文档；认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档；密钥管理：描述密钥管理模式；DOI：其它相关文档，批准的加密和认证算法标识，以及运行参数等；IPSec提供的服务访问控制数据完整性数据源鉴别重放攻击保护数据保密性密钥管理有限通信流保密性AHESP仅加密ESP加密、鉴别访问控制YYY数据完整性YY数据源鉴别YY重放攻击保护YYY数据机密性YY流量机密性YY协议服务IPSec协议的实现OS集成lIPS

7、ec集成在操作系统内，作为IP层的一部分l具有较高的效率lIPSec安全服务与IP层的功能紧密集合在一块嵌入到现有协议栈lIPSec作为插件嵌入到链路层和IP层之间l较高的灵活性l效率受到影响ApplicaitonTCP/UDPIP+IPSecData LinkApplicaitonTCP/UDPIPIPSecData LinkIPSec的部署 - 1可配置和实施IPSec的端点包括主机、路由器、防火墙等在终端主机上部署IPSecl提供端到端的安全保障，保护终端之间的IP分组l可以支持逐个数据流的安全保障l能够支持IPSec定义的各种工作模式IPSec的部署 - 2在网络节点（路由器或防火墙）

8、上实施IPSec对通过公用网的子网间通信提供保护对内部网的用户透明能同时实现对进入专用网络的用户进行身份认证和授权缺点：网络节点开销大IPSec的工作模式在IPSec中，AH/ESP协议用于保护IP分组对IP分组的保护有两种方式l保护IP分组的净荷（高层协议的数据）l保护整个IP分组保护的方式由工作模式决定l传输模式：保护IP的上层协议l隧道模式：保护整个IP分组传输模式保护上层协议（TCP/UDP）的数据安全操作（加密和认证）在通信终端上（主机）上进行提供端到端的保护IPTCPPayload原始IP分组IPSec保护的IP分组IPIPSecTCPPayloadProtected隧道模式在不安

9、全信道上，保护整个IP分组安全操作在网络设备上完成l安全网关、路由器、防火墙IPTCPPayload原始IP分组IPSec保护的IP分组IPIPSecIPTCPPayloadProtected通信终端的IP地址隧道终端的IP地址安全关联SASA：Security AssociationSA是IP认证和保密机制中最关键的概念。是发送者和接收者两个IPSec系统间一个简单的单向逻辑连接，是一组与网络连接相关联的安全信息参数集合，用于实现安全策略；如果需要一个对等关系，即双向安全交换，则需要两个SA。每个SA通过三个参数来标识l安全参数索引SPI (Security Parameters Index

10、)l目标地址IPl安全协议标识：AH还是ESPSA的参数 - 1Security Parameters Index (SPI)：安全变量索引。分配给这个SA的一个位串并且只有本地有效。SPI在AH和ESP报头中出现，以使得接收系统选择SA并在其下处理一个收到的报文。IP目的地址：目前，只允许单点传送地址；这是该SA的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。安全协议标识符：表明是AH还是ESP的SASA的参数 - 2序数计数器：一个32位值用于生成AH或ESP头中的序数字段；计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA

11、的进一步的包传送。防回放窗口：用于确定一个入站的AH或ESP包是否是一个回放AH信息：认证算法、密钥、密钥生存期、以及与AH一起使用的其它参数ESP信息：加密和认证算法、密钥、初始值、密钥生存期、以及ESP一起使用的其它参数SA的生存期：一个时间间隔或字节记数，到时后一个SA必须用一个新的SA替换或终止，以及一个这些活动发生的指示。IPSec协议模式：隧道、运输、统配符。通路MTU：任何遵从的最大传送单位和老化变量AH协议AH：Authentication Header为IP包提供数据完整性和鉴别功能利用MAC码实现鉴别，双方必须共享一个密钥鉴别算法由SA指定鉴别的范围：整个包两种鉴别模式：l

12、传输模式：不改变IP地址，插入一个AHl隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中AH提供的服务数据源认证： HMAC，需要共享密钥无连接的完整性可选的抗重放攻击服务不提供保密性AH协议安全参数索引SPI：标示与分组通信相关联的SA序列号Sequence Number：单调递增的序列号，用来抵抗重放攻击鉴别数据Authentication Data：包含进行数据源鉴别的数据（MAC），又称为ICV（integrity check value）Next HeaderPayload lengthReservedSPISequence numberAuthenti

13、cation dataAH头的长度下一个协议类型AH协议的鉴别鉴别数据ICV，用于数据源鉴别l缺省：96bits的MACl算法：HMAC-MD5-96，HMAC-SHA-1-96, etcICV的生成方式lIP分组头中传输中保持不变的或者接受方可以预测的字段lAH头中除“鉴别数据”以外的所有数据l被AH保护的所有数据，如高层协议数据或被AH封装的IP分组l除此以外，所有数据在计算ICV时被清0AH协议的鉴别范围 IPv4IPTCPPayloadIPAHTCPPayload原始分组New IPAHIPTCPPayload隧道模式传输模式除IP头中的可变字段外，都被AH保护除new IP头中的可变

14、字段外，都被AH保护ESP协议ESP Encapsulating Security Payloadl提供更高级别的安全保护l访问控制l数据源鉴别l数据完整性l数据保密性l重放保护l有限的流量保密ESP支持的加密算法l3DES、IDEA、RC5 支持的鉴别算法l与AH相同ESP协议安全参数索引SPI：标识与分组通信相关联的SA序列号Sequence Number：单调递增的序列号，用来抵抗重放攻击净荷数据：被加密保护填充与填充长度：被加密保护l通过填充使得ESP协议段的长度为32bits的整数倍l通过填充，隐藏了原始数据的长度，提供了有限的流量保密下一协议扩展头类型：被保护的数据的协议类型鉴别数

15、据Authentication Data：包含进行数据源鉴别的数据（MAC），即ICVSPISNPayload(protected)PadPad LengthNext headerAuthentication dataESP的安全保障 IPv4IPTCPPayloadIPESP-HTCPPayloadESP-TESP-AD原始分组New IPESP-HIPTCPPayloadESP-TESP-AD隧道模式传输模式鉴别保护鉴别保护加密保护加密保护IPSec的重放保护在每一个安全关联都维护一个防重放的滑动窗口，大小64，向右侧滑动每个IPSec分组都被分配一个序列号在接受方，满足以下条件的分组才是

16、合法的：l分组通过鉴别l分组序号是新的，未在滑动窗口中出现过l分组序号落在滑动窗口内或右侧分组序号落在滑动窗口右侧，窗口向右滑动通过这种机制，重放攻击的分组将被丢弃IPSec密钥管理手工管理自动管理lPhoturisl简单Internet密钥管理协议SKIPlInternet密钥交换协议IKEIPSec默认的协议lIKEIKEAH & ESPl安全关联SA和会话密钥建立以后的工作过程IKEl用于双向认证、建立共享密钥和会话关联SA的协议l包括三个部分IKEISAKMPDOISSLSSL简介SSL（Secure Socket Layer，安全套接层）协议lNetscape公司于1994年最先提出来的l被设计成使用TCP来提供一种可靠的端到端的安全服务，是一种基于会话的加密和认证的协议l在客户和服务器之间提供了一个安全的管道为了防止客户/服务器应用中的监听、篡改、消息伪造等，SSL提供了服务器认证和可选的客户端认证通过在两个实体间建立一个共享的秘密，SSL提供保密性SSL工作在传输层（TCP）和应用层之间lSSL独立于应用层协议，高层协议可基于SSL进行透明的传输SSL协议的协议层次SSL