欢迎来到天天文库
浏览记录
ID:48070879
大小:368.87 KB
页数:48页
时间:2019-05-06
《信息安全标准ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第八章信息安全标准8.1概述8.2安全体系结构8.3IPSec安全协议8.4TLS安全协议8.5小结8.1概述安全标准可以分成以下几大类:安全体系结构和框架标准分层安全协议标准安全技术标准具体应用安全标准安全管理标准8.2安全体系结构8.2.1OSI安全体系结构简介OSI安全体系结构的研究由ISO/IECJTC1/SC21于1988年完成。其制定的标准是ISO7498-2标准,作为OSI基本参考模型的新补充。1990年,ITU决定采用ISO7498-2作为它的X.8OO推荐标准。OSI安全体系结构不是能具体
2、实现的标准,而是如何设计标准的标准。在ISO7498-2定义了所有安全服务及其变体,并且对定义有详细说明,OSI安全体系结构没有详细说明这些安全服务应该如何来实现。8.2.2OSI分层安全服务物理层数据链路层网络层传输层会话层表示层应用层8.2.3OSI安全框架OSI安全框架定义了一些通用的概念:安全策略:用于限定一个或一组对象进行安全相关活动的规则集。安全机构:该实体对安全策略的实现负责,它可以使用安全策略限制其他实体的活动;安全区域:一组对象,加上安全策略、安全权威机构和一组与安全相关的活动。安全交互规
3、则:在安全区域之间进行交互应遵守的规则。安全框架系列(ISO/IEC1O181)包括七部分(也有可能会进一步扩展),它们是:安全框架综述认证框架访问控制框架非否认框架机密性框架完整性框架安全审计框架8.2.3OSI安全框架认证框架定义术语主体:声称者:验证者:论证信息:交换认证信息声称者认证信息验证者认证信息基本认证模型声称者认证信息声称者验证者认证信息验证者交换认证信息内联式认证模型声称者认证信息声称者验证者认证信息验证者交换认证信息验证者认证信息中间者声称者认证信息交换认证信息在线认证模型声称者验证者认
4、证信息验证者交换认证信息验证者认证信息可信第三方声称者认证信息交换认证信息交换认证信息离线认证模型声称者验证者认证信息可信第三方交换认证信息验证者声称者认证信息离线分配8.3IPSec安全协议8.3.1IP协议的安全缺欠IPv4提供不安全的服务IPv4操作过程不安全IPv6的安全特性:IPv6作为新一代的IP协议,具有如下5个方面的特性:扩展地址空间,增强路由地址的自动配置IP数据包包头简化服务质量QoS安全控制8.3.2IPSec结构1、IPSecIPSec是指IETF以RFC形式公布的一组安全IP协议集
5、,是在IP包级为IP业务提供保护的安全协议标准。IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、决定所需的算法和密钥。安全协议有两个,一个是由协议的包头,即认证报头AH(AuthenticationHeader)指定的认证协议,另一个是由协议数据包格式,即封装的安全负载ESP(EncapsulatingSecurityPayload)指定的将加密和认证结合起来的协议。安全业务有访问控制、无连接的完整性、数据源的认证性、对重放数据包的拒绝、保密性、受限的业务流保密性等。IPSec的安全业务安
6、全业务协议AHESP(加密)ESP(加密认证)访问控制☺☺☺无连接完整性☺☺数据起源认证☺☺对重放数据拒绝☺☺☺保密性☺☺受限业务流保密性☺☺IPSec通过在IP层对所有业务流加密和认证,保证了所有分布式应用程序(包括远程登录、客户机/服务器、电子邮件系统、文件传输、Web的访问等)的安全性,因此可以提供网络内(包括局域网LAN、广域网WANS等)或网际间的安全通信。8.3.2IPSec结构IPSec用于防火墙和路由器等网际设备,可以为通过网际设备的业务流提供强安全业务,且在LAN内(比如一个公司的LAN)
7、的业务无需进行安全性处理。3.IPSec的作用由IPSec提供安全服务的业务流的发方到收方的一个单向逻辑关系,用来表示IPSec为SA所承载的数据通信提供安全服务,其方式是使用AH或ESP之一,一个SA不能同时使用AH和ESP保护。一个SA可由三个参数惟一地表示为:<安全参数索引,目标IP地址,安全协议标识符>IPSec的实现还需维护两个数据库安全关联数据库SAD安全策略数据库SPD4.安全关联SA传输模式传输模式主要用于对上层协议的保护。以传输模式运行的ESP协议对负载进行加密和认证(认证性可供选择。隧道
8、模式用于对整个IP数据包的保护,它是将一个数据包用一个新的数据包包装,即给原数据包加一个新的包头,称为外部包头,这样原数据包就成为新数据包的负载。5、AH和ESP的两种使用模式新IP头IP头有效负载新负载8.3.3认证报头认证报头AH用于保证IP数据包的数据完整性、认证性,并用于防地址欺骗攻击、消息重放攻击等。其认证性由消息认证码MAC实现,因此要求通信双方有共享的密钥。AH的格式:下一负载头保留有效负载长度认证
此文档下载收益归作者所有