返回
第6讲网络信息安全之安全协议

第6讲网络信息安全之安全协议

ID:5815783

大小:531.00 KB

页数:59页

时间:2017-12-13

第6讲网络信息安全之安全协议_第1页
第6讲网络信息安全之安全协议_第2页
第6讲网络信息安全之安全协议_第3页
第6讲网络信息安全之安全协议_第4页
第6讲网络信息安全之安全协议_第5页
资源描述:

《第6讲网络信息安全之安全协议》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第六讲安全协议1一、基本概念在网络环境下交换信息时,存在着信息被窃取、篡改、重放和假冒等风险,必须采用数据机密性、数据完整性和身份真实性等安全机制来防范这些安全机制通常采用安全协议来实现,使通信各方能够遵循相同的安全协议安全协议定义了网络安全系统结构、安全机制、密码算法以及密码算法协商机制等2通常安全协议是基于某一通信协议,提供安全机制或服务,并非单独运行按网络体系结构划分,安全协议可以分成数据链路层安全协议、网络层安全协议、传输层安全协议和应用层安全协议数据链路层:PPTP/L2TP协议通过隧道技术在某种程度上增强了PPP协议的安全性网络层:IPSec(IPSecurity)

2、协议是基于IP协议的安全协议3传输层:SSL(SecureSocketLayer)协议是基于TCP协议的安全协议应用层:S-HTTP(Secure-HTTP)协议对应HTTP协议,S/MIME(Secure/MIME)协议对应MIME协议,还有些应用层安全协议是为解决特定应用的安全问题的,如用于加密电子邮件的PGP(PrettyGoodPrivacy)协议、用于支持信用卡电子交易的SET(SecureElectronicTransaction)协议、用于提供第三方认证服务的Kerberos等4二、IPSec协议网络层提供了端到端的数据传输服务,而网络层安全协议主要解决两个端点之

3、间的安全交换数据问题,涉及数据传输的机密性和完整性,防止在数据交换过程中数据被非法窃听和篡改IPSec协议是对IP协议的安全性增强,它在网络层协议的基础上增加了安全算法协商和数据加密/解密处理的功能和过程5IPSec提供了数据机密性、数据完整性、抗重播保护和接纳控制等安全服务,用于保证IP协议及上层协议能安全地交换数据IPSec安全体系由如下部分组成:安全协议(AH/ESP)安全联盟SA(SecurityAssociations)安全策略SP(SecurityPolicy)密钥管理协议(IKE)61.安全协议IPSec提供了两种安全协议:认证头AH(Authentication

4、Header)和封装安全有效载荷ESP(EncapsulatingSecurityPayload)AH只提供数据完整性认证机制,可防止数据篡改和重播ESP同时提供了数据完整性认证和数据加密传输机制,除了具有AH所有安全能力之外,还可提供了数据机密性7AH和ESP协议可以分别单独使用,也可以联合使用。每个协议都支持两种应用模式:(1)传输模式:为上层协议数据提供安全保护(2)隧道模式:以隧道方式传输IP报文AH/ESP的安全性完全依赖于所采用的加密算法。为保证不同实现方案之间的互通性,必须定义强制实现的加密算法因此,在使用数据认证和加密机制时,必须解决三个问题:8通信双方必须协商

5、所使用的安全协议、加密算法和密钥必须能方便和安全地交换与更新密钥能对协商的细节和过程进行记录和管理一、ESP协议ESP在IP数据报中插入一个协议头,为IP数据报提供数据机密性、数据完整性、抗重播以及数据源认证等安全服务ESP可用于传输模式和隧道模式两种模式。ESP可单独使用,也可和AH组合使用9ESP通过加密器和验证器提供数据机密性和完整性,加密器和验证器使用的算法由ESPSA来指定为了互操作,IPSec规定了ESP强制实施的密码算法(DES/3DES)和认证算法(MD5/SHA)基本的ESP功能和实际使用的算法是分离的,有利于算法的更换和更新ESP抗重播服务是可选的,发送端在

6、ESP数据报中插入一个惟一的、单向递增的序列号接收端可通过检验该序列号来验证数据报的惟一性,但并非必须检查数据报序列号1011SPI:32位随机数,用来确定一个特定的SA。在密钥交换过程中,由目标主机来选定SPI序列号:32位整数,用于提供抗重播服务。发送端必须产生和填写序列号,接收端并非不一定处理载荷数据:受ESP保护的数据报包含在载荷数据字段中,字段长度由数据长度来决定填充项:0-255个字节,填充内容可以由密码算法来指定。如果密码算法没有指定,则由ESP指定,填充项第1个字节值是1,后面所有字节值都是单向递增的12填充项长度:指明填充项的长度,接收端利用它恢复载荷数据的实

7、际长度下一个头:指明载荷数据的类型。如果是隧道模式,其值为4,表示IP-in-IP;如果是传输模式,其值为上层协议的类型,如TCP对应的值为6验证数据:由认证算法对ESP数据报进行散列计算所得到的完整性检查值(ICV)。该字段是可选的,只有对ESP数据报进行完整性认证的SA才会有该字段。SA使用的认证算法必须指明ICV的长度、比较规则及认证步骤1314ESP协议处理由于ESP采用密码算法对IP数据报进行加密,并且IP数据报并非顺序到达接收方,因此每个ESP数据报必须携带能够使接收方建立解密同

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。