PPT
【文档说明】6-3网络安全——网络安全性协议.pptx,共(32)页,121.516 KB,由精品优选上传
转载请保留链接:https://www.ichengzhen.cn/view-288293.html
以下为本文档部分文字说明:
信息安全案例教程:技术与应用6.4网络安全协议◼6.4.1应用层安全协议◼6.4.2传输层安全协议SSL◼6.4.3网络层安全协议Ipsec◼6.4.4IPv6新一代网络的安全机制◼6.4.5无线加密协议2023/7/25信息安全案例教程:技术与应用6.4.1应用层安全协议◼安全外
壳协议SSH◼用密码算法提供安全可靠的远程登录、文件传输和远程复制等网络应用程序。◼安全超文本传输协议S-HTTP◼S-HTTP提供了文件级的安全机制,用作加密及签名的算法可以由参与通信的收发双方协商。2023/7/25信息安全案例教程:技术
与应用6.4.1应用层安全协议◼电子邮件安全协议S/MIME◼S/MIME是由RSA安全公司于1990年中旬设计的,S/MIME第3版于1999年由互联网工程任务小组(IETF)指定为电子邮件安全的标准协
议,它具有数字签名和数据加密的功能。它可以自动将所有送出的邮件加密、签名或同时加密和签名,也可以有选择地给特定的邮件加密、签名或同时加密和签名。S/MIME要求签名者必须持有公钥证书。2023/7/25信息安全案例教程:技术与应用6.4.1应用层安全协议◼电子交易安全协议SET
◼保障信用卡持有者在互联网上进行在线交易时的安全,它是由美国Visa和Master两个信用卡公司于1996年发起研制的。◼电子现金协议eCash◼由银行发行的具有一定面额的电子字据,用于在互联网上流通,模拟现金在实际生活中的使用。电子现金的
任何持有人都可以从发行电子现金的银行中将其兑现成与其面额等价的现金。2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL1.SSL基本概念◼传输层安全协议通常指的是安全套接层协议SS
L(SecuritySocketLayer)和传输层安全协议TLS(TransportLayerSecurity)两个协议。◼SSL协议是介于应用层和可靠的传输层协议(TCP)之间的安全通信协议。其主要功能是当两个应用层相互通信时,为传送的
信息提供保密性和可靠性。◼SSL协议的优势在于它是与应用层协议独立无关的,因而高层的应用层协议(如HTTP、FTP、TELNET)能透明的建立于SSL协议之上。2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL1.SSL基本概念◼
SSL提供一个安全的“握手”来初始化TCP/IP连接,来完成客户机和服务器之间关于安全等级、密码算法、通信密钥的协商,以及执行对连接端身份的认证工作。在此之后SSL连接上所传送的应用层协议数据都会被加密,从而保证通信的机密性。◼SSL可以用于任何面向连接的安全通信,但通常用于安全Web应
用的HTTP协议。2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL2.SSL使用的安全机制以及提供的安全服务◼SSL使用公钥密码系统和技术进行客户机和服务器通信实体身份的认证和会话密钥的协商,使用对称密码算法对SSL连接上传输的敏感数据进行加密。◼SS
L提供的面向连接的安全性具有以下三个基本性质:◼连接是秘密的。◼连接是可认证的。◼连接是可靠的。2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL2.SSL使用的安全机制以及提供的安全服务◼SSL中使用的安全机制有:
◼加密机制◼数据签名机制◼数据完整性机制◼交换鉴别机制◼公证机制2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL3.SSL协议的基本结构2023/7/25信息安全案例教程:技术
与应用6.4.2传输层安全协议SSL4.SSL协议的安全性◼下面是SSL协议对几种常用攻击的应对能力:◼1)监听和中间人攻击:SSL使用一个经过通信双方协商确定的加密算法和密钥,对不同的安全级别应用都可以找到不
同的加密算法。它在每次连接时通过产生一个哈希函数生成一个临时使用的会话密钥。除了不同连接使用不同密钥外,在一次连接的两个传输方向上也使用各自的密钥。尽管SSL协议为监听者提供了很多明文,但由于RSA交换密钥有较好的密钥保护性能,以及频繁更换密钥的特点,因此对监听和中间人式的攻击具有较
高的防范性。2023/7/25信息安全案例教程:技术与应用6.4.2传输层安全协议SSL4.SSL协议的安全性◼下面是SSL协议对几种常用攻击的应对能力:◼2)流量分析攻击:流量分析攻击的核心是通过检查数据包的未加密字段或未保护的数据包属性,试图进行攻击。在一般情况下该攻击是无害的,SSL无
法阻止这种攻击。◼3)重放攻击:通过在MAC数据中设置时间戳可以防止这种攻击。◼SSL协议本身也存在诸多缺陷,如认证和加解密的速度较慢;对用户不透明;尤其是SSL不提供网络运行可靠性的功能,不能增强网的健壮性,对拒绝服务攻击就无
能为力;依赖于第三方认证等等。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec1.IPsec基本概念◼IPSec定义了一种标准、健壮的以及包容广泛的机制,可用它为IP及其上层协议(如TCP和UDP)提供安全保证。◼IPSec的目标是为
IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确
保通信双方的机密性。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec1.IPsec基本概念◼IPSec可在网络层上对数据包进行安全处理,IPSec支持数据加密,同时确保资料的完整性,这样就可以保护所有的分布应用,包括远程登录、客户/服务器、电子邮件、文件传输
和Web访问等。◼各种应用程序可以享用IPSec提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可能性。◼IPSec可连续或递归应用,在路由器、防火墙、主机
和通信链路上配置,实现端到端安全、虚拟专用网络和安全隧道技术等。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec1.IPsec基本概念◼IPSec的一个典型方案2023/7/25信息安全案例教程:技术与
应用6.4.3网络层安全协议IPsec1.IPsec基本概念◼IPSec协议主要包括:◼1)认证头AH(AuthenticationHead)协议:它规定认证格式,用于支持数据完整性和IP包的认证。数据完整性确保在包的传输过程中内容不
可更改。认证确保终端系统或网络设备能对用户或应用程序进行认证,并相应地提供流量过滤功能,同时还能防止地址欺骗攻击和重放攻击。◼2)载荷安全封装ESP(EncapsulatingSecurityPayload)协议:提供IP数据报的完整性和认证功能,还可以利用加密
技术保障数据的机密性。◼3)因特网密钥交换IKE(InternetKeyExchange)协议:可以确保IP数据报的保密性,也可以提供完整性和认证功能(视加密算法和应用模式而定)。2023/7/25信息安全案例教程:技
术与应用6.4.3网络层安全协议IPsec1.IPsec基本概念◼虽然AH和ESP都可以提供身份认证,但它们有如下区别:◼ESP要求使用高强度加密算法,会受到许多限制。◼多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。◼设置AH和ESP两套安全
协议意味着可以对IPSec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec2.IPSec的两种应用模式◼IPSec有两种工作模式模式:传输
模式和隧道模式。◼传输模式用于在两台主机之间进行的端到端通信。发送端IPsec将IP包载荷用ESP或AH进行加密或认证,但不包括IP头,数据包传输到目标IP后,由接收端IPsec认证和解密。◼隧道模式用于点到点通信,对整个IP包提供保
护。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec2.IPSec的两种应用模式2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec3.IPSec协议内容◼IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套
体系结构,它主要包括:◼1)认证头AH(AuthenticationHead)协议。◼2)载荷安全封装ESP(EncapsulatingSecurityPayload)协议。◼3)因特网密钥交换IKE(InternetKeyExchange)协议。◼虽然AH和ESP都可
以提供身份认证,但它们有如下区别:◼ESP要求使用高强度加密算法,会受到许多限制。◼多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。◼设置AH和ESP两套安全协议意味着可以对IPSec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。20
23/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec3.IPSec协议内容◼SA是IPSec的基础。◼在使用AH或ESP之前,先要从源主机到目的主机建立一条网络层的逻辑连接,此逻辑连接叫做安全关联SA。◼这样,IPsec就将
传统的因特网无连接的网络层转换为具有逻辑连接的层。◼SA是通信对等方之间对某些要素的一种协定,例如IPSec协议、协议的操作模式(传输模式和隧道模式)、密码算法、密钥、用于保护它们之间数据流的密钥的生存期。◼安全关联是单向的,因此
输出和输入的数据流需要独立的SA。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec3.IPSec协议内容◼一个安全关联SA由一个三元组惟一地确定,它包括:◼安全参数索引SPI(SecurityParameter
Index)◼目标IP地址◼安全协议标识符2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec3.IPSec协议内容◼因特网密钥交换协议IKE◼IKE的主要用途是在IPSec通信双方之间建
立起共享安全参数及验证的密钥。2023/7/25信息安全案例教程:技术与应用6.4.3网络层安全协议IPsec4.IPSecVPN与SSLVPN◼IPSecVPN与SSLVPN的比较◼部署◼安全性◼可扩展性◼访问控制能力◼经济性2023/7/25信息安全案例教
程:技术与应用6.4.4IPv6新一代网络的安全机制◼1IPv6的新特性◼2IPv6安全机制对现行网络安全体系的新挑战2023/7/25信息安全案例教程:技术与应用6.4.4IPv6新一代网络的安全机制1IPv6的新特性◼
(1)新包头格式◼(2)更大的地址空间◼(3)高效的层次寻址及路由结构◼(4)全状态和无状态地址配置◼(5)内置安全设施◼(6)更好的QoS支持◼(7)用于邻节点交互的新协议◼(8)可扩展性2023/7/25信息安全案例教程:技术与应用6.4.4IPv6新一代网络的安全机制2IPv6安全机制对现
行网络安全体系的新挑战◼安全包含着各个层次、各个方面的问题,不是仅仅由一个安全的网络层就可以解决得了的。◼如果黑客从网络层以上的应用层发动进攻,比如利用系统缓冲区溢出或木马进行攻击,纵使再安全的网络层也于事无补。◼而且仅仅从网络层来看,IPv6也不是尽善尽美的。它毕竟同IPv4有
着极深的渊源。2023/7/25信息安全案例教程:技术与应用6.4.4IPv6新一代网络的安全机制2IPv6安全机制对现行网络安全体系的新挑战◼由于IPv6引进了加密和认证,还可能产生新的攻击方式。◼当前的网络安全体系是基于现行的IPv4协
议的,防范黑客的主要工具有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是巨大的,甚至是致命的。2023/7/25信息安全案例教程:技术与应用6.4.4IPv6新一代网
络的安全机制2IPv6安全机制对现行网络安全体系的新挑战◼为了适应新的网络协议,寻找新的解决安全问题的途径变得非常急迫。◼安全研究人员也需要面对新的情况,进一步研究和积累经验,尽快找出适应的安全解决方法。2023/7/25◼无线网络,尤其是以WAP(WirelessApplica
tionProtocol,无线应用协议)和WiFi(WirelessFidelity,通常指无线局域网)为代表的技术为应用带来了极大的方便◼但是由于无线网络基于电磁波的传输,因此极易产生信息窃取或中间人攻击等攻击行为,相应地也需要有适用于无线网络环境的加密技术。6.4.5无线
网络中的加密信息安全案例教程:技术与应用2023/7/25◼无线加密协议WEP(WirelessEncryptionProtocol),有时候也称做“有线等效加密协议”(WireEquivalentPri
vacy,简写同样是WEP),是为了使无线网络能够达到如有线网络等同的安全而设计的协议。◼WEP是1999年9月通过的IEEE802.11标准的一部分,使用RC4加密算法对信息进行加密,并使用CRC-32验证完整性。6.4.5无线网络
中的加密信息安全案例教程:技术与应用2023/7/25◼密钥长度是影响WEP安全性的因素之一,破解较长的密钥可以通过拦截较多的数据包来完成。◼WEP的应用中还有其他的弱点,包括密钥初始化串雷同的可能性和伪造的封包。◼而更普遍的弱点,如设备默认不启动WEP或人为设置相同的密钥等做法
,使得WEP的安全措施很轻易被攻破。◼因此,无线网络中通常建议采用WPA或WPA2安全标准。6.4.5无线网络中的加密信息安全案例教程:技术与应用2023/7/25◼WPA的全名为Wi-Fi访问控制协议(Wi-FiProtectedAccess),包括WPA和WPA2两个标准。◼WPA实现了IEE
E802.11i标准的大部分要求,是在802.11i标准完备之前替代WEP的一套过渡方案。WPA的设计可以用在所有的无线网卡上。◼而WPA2实现了完整的802.11i标准◼这两个标准修改了WEP中的几个严重弱点,都能实现较好的安全性。6.4.5无线网络中的加密信息安全案例教程:技术与
应用2023/7/25
辽公网安备 21102102000191号
营业执照
