第十三章 网络安全协议.ppt

TCP/IP—协议分析与应用编程
第十三章网络安全协议
主要内容
网络安全概述
网络层安全协议
传输层安全协议
应用层安全协议
学****目标
理解网络层安全协议IPSec。
熟悉传输层安全协议SSL。
了解应用层安全系统PGP。
网络安全概述
网络信息安全主要包括两个方面:信息的保密性和通信的可靠性。
信息的保密性主要是通过加密来实现,目前主要有两种加密技术,即保密密钥加密和公开密钥加密;
实现通信可靠性的技术有数字签名和基于第三方授权证书的认证技术等。
因特网各种安全协议就是将这些技术进行有效的结合以提供安全服务。
网络层安全协议
网络层安全协议( Protocol Security,IPSec)是IETF提供因特网安全通信的一系列规范之一,它提供私有信息通过公用网的安全保障。
IPSec能提供的安全服务包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。
IPSec的基本目的是把密码学的安全机制引入IP,通过使用现代密码学方法支持保密和认证服务,使用户能有选择地使用,并得到所期望的安全服务。
网络层安全协议
IPSec主要包含3个功能域:鉴别机制、机密性机制和密钥管理。
鉴别机制确保收到的报文来自该报文首部所声称的源实体,并保证该报文在传输过程中未被非法篡改;
机密性机制使得通信内容不会被第三方窃听;
密钥管理机制则用于配合鉴别机制和机密性机制处理密钥的安全交换。
网络层安全协议
IPSec体系结构
IPSec给出了应用于IP层上网络数据安全的一整套体系结构,包括IP首部鉴别协议(Authentication Header,AH)和封装安全载荷协议(Encapsulating Security Playload,ESP)、密钥管理协议( Key Exchange,IKE)和用于网络验证及加密的一些算法等。
网络层安全协议
IPSec体系结构
网络层安全协议
IPSec体系结构
SA是构成IPSec的基础,是两个通信实体经协商(利用IKE协议)建立起来的一种协定,它决定了用来保护数据分组安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。
SA可以表示为一个三元组:
SA =(SPI、IPDA、SPR)
SPI(Security Parameter Index,安全参数索引),是一个32bit的值,用于区分相同目的地和相同IP的不同SA。其出现在AH和ESP的首部,接收方根据首部中的SPI确定对应的SA。
IPDA为IP目的地址。
SPR为安全协议标识,如AH或ESP。
网络层安全协议
IPSec体系结构
因特网密钥交换协议IKE是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体(如网络终端或网关)进行安全通信派生会话密钥。
安全策略数据库(Security Policy Database,SPD)中包含一个策略条目的有序表,通过使用一个或多个选择符来确定每一个条目。选择符可以是五元组(目的/源地址,协议,目的/源端口号),或其中几个。每个条目中包含:策略(包括丢弃、绕过、加载IPSec)、SA规范、IPSec(AH或ESP)、操作模式、算法、对外出处理等