7-网络安全协议全解

第7讲网络安全协议杨明紫金学院计算机系网络信息安全2020/4/13内容网络安全概述网络层安全协议IPSec传输层安全协议SSL应用层安全协议PGP网络安全技术网络安全技术攻击技术和防御技术防御技术密码技术、网络安全协议、防火墙技术、入侵检测技术、虚拟专用网技术等。攻击技术网络监听、网络扫描、网络入侵、恶意代码、网络后门网络安全协议的概念协议相互通信的两个计算机系统必须高度协调工作才行，而这种“协调”是相当复杂的控制两个对等实体进行通信而建立的规则、标准或约定语法、语义和同步三要素网络安全协议提供机密性、完整性、真实性等安全服务的网络协议网络安全协议一般要利用密码技术网络安全协议及传输技术网络层安全协议网络层安全协议IPSec一个工业标准网络安全协议为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击。IPSec的基本目标保护IP数据包安全为抵御网络攻击提供防护措施HTTPSMTPDNSRTPTCPUDPIP网际层网络接口层运输层应用层………网络接口1网络接口2网络接口3网络层安全协议IPSec主要包含3个功能域：鉴别机制、机密性机制和密钥管理。鉴别机制确保收到的报文来自该报文首部所声称的源实体，并保证该报文在传输过程中未被非法篡改；机密性机制使得通信内容不会被第三方窃听；密钥管理机制则用于配合鉴别机制和机密性机制处理密钥的安全交换。IPSec安全体系结构IPSec组成ESP协议AH协议加密算法DOI解释域密钥管理IKE认证算法IPSec体系结构鉴别首部协议（AH）封装安全载荷协议（ESP）密钥管理协议（IKE）用于网络验证及加密的一些算法鉴别首部协议(AH)AH的基本功能为IP通信提供数据源认证、数据完整性和反重播保证，不提供任何机密性服务AH的工作原理在每一个IP数据报上添加一个鉴别首部此首部包含一个带密钥的哈希散列，该哈希散列在整个数据报中计算，因此对数据的任何更改将致使散列无效，从而对数据提供了完整性保护。鉴别首部协议(AH)封装安全载荷协议ESPESP协议的功能它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要保障IP数据报的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。封装安全载荷协议ESP报文格式密钥交换协议IKE安全参数与密钥安全关联(SA)是通信双方对交换和保护数据的相关方法和参数的约定IKE的功能IKE负责建立和管理SAIKE负责为AH和ESP协议生成相关密钥密钥交换协议IKEIPSec体系结构IPSec安全传输技术传输模式用来直接加密主机之间的网络通信隧道模式用来在两个子网之间建造“虚拟隧道”实现两个网络之间的安全通信IP头数据TCP头IPSec头数据TCP头IP头IPSec头数据TCP头内层IP头外层IP头初始数据报传送模式下的数据报格式隧道模式下的数据报格式IPSec安全传输技术IPSec传输模式IPSec安全传输技术IPSec隧道模式传输层安全协议安全套接层协议（SSL）是Netscape公司开发的网络安全协议，其主要目的是为网络通信应用进程间提供一个安全通道。于1996年由Netscape公司推出SSL3.0，得到了广泛的应用，并已被IETF的传输层安全工作小组（TLSworkinggroup）所采纳。目前，SSL协议已经成为因特网事实上的传输层安全标准。目前已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议的结构SSL主要提供连接的保密性、可靠性和相互认证三种安全服务传输层安全协议SSL协议的组成SSL记录协议用于封装各种高层协议；SSL协议的高层协议SSL握手协议改变加密约定协议警报协议SSL握手协议用来在客户端和服务器真正传输应用层数据之前建立安全机制，包括协商一个协议版本、选择密码算法、对彼此进行认证、使用公开密钥加密技术产生共享密码等。应用层安全协议电子邮件的安全性传统的电子邮件服务难以保证邮件的机密性和完整性，也难以鉴别发送方安全电子邮件PGPPGP——PrettyGoodPrivacy(相当好的保密)主要用于安全电子邮件，它可以对通过网络进行传输的数据创建和检验数字签名、加密、解密以及压缩。功能使用的算法解释说明保密性IDEA、CAST或三重DES，Diffie-Hellman或RSA发送者产生一次性会话密钥，用会话密钥以IDEA或CAST或三重DES加密消息，并用接收者的公钥以RSA加密会话密钥签名RSA或DSS，MD5或SHA用MD5或SHA对消息散列并用发送者的私钥加密消息摘要压缩ZIP使用ZIP压缩消息，以便于存储和传输E-mail兼容性Radix64交换对E-mail应用提供透明性，将加密消息变换成ASCII字符串分段功能-为适应最大消息长度限制，PGP实行分段并重组PGP的功能PGP的鉴别过程图中符号的含义为：Ks:会话密钥EP:公钥加密Kra:用户A的私钥DP:公钥解密KUa:用户A的公钥EC:常规加密H:散列函数DC:常规解密||:连接Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式Z-1：解压缩MMHEPH||ZZ-1DP比较EKRa[H(M)]KRaKUa发送者A接收者BPGP提供机密性的过程KsMMEPECDC||ZZ-1DPKUbEKUb[Ks]KRb图中符号的含义为：Ks:会话密钥EP:公钥加密Kra:用户A的私钥DP:公钥解密KUa:用户A的公钥EC:常规加密H:散列函数DC:常规解密||:连接Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式Z-1：解压缩PGP提供鉴别与机密性的过程MHEP||ZKRaDCDPEKUb[Ks]KRbKsEP||KUbECMHZ-1DP比较EKRa[H(M)]KUa图中符号的含义为：Ks:会话密钥EP:公钥加密Kra:用户A的私钥DP:公钥解密KUa:用户A的公钥EC:常规加密H:散列函数DC:常规解密||:连接Z:用ZIP算法进行数据压缩R64:用radix64转换到ASCII格式Z-1：解压缩小结网络安全概述提供机密性、完整性、真实性等安全服务的网络协议网络层安全协议IPSec为IP网络通信提供透明的安全服务，保护传输层安全协议SSL已广泛用于Web浏览器与服务器之间的身份认证和加密数据传输应用层安全协议PGP安全电子邮件