【文档说明】网络安全协议概述.pptx，共(40)页，264.393 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-289000.html

以下为本文档部分文字说明：

第4章网络安全协议•4.1TCP/IP协议族与网络安全协议•4.2PGP协议•4.3SSL协议•4.4IPSec协议简介网络安全协议所起的作用就是网络的各个层面上提供不同的安全服务。2023/7/2514.1TCP/IP协议族与网络安

全协议•TCP/IP协议集确立了Internet的技术基础。TCP/IP的发展始于美国DOD（国防部）方案。IAB（Internet架构委员会）的下属工作组IETF（Internet工程任务组）研发了其中多数协议。I

AB最初由美国政府发起，如今转变为公开而自治的机构。IAB协同研究和开发TCP/IP协议集的底层结构，并引导着Internet的发展。2023/7/252•TCP/IP协议族是因特网的基础协议，是一组协议的集合，包括基于传输层的TC

P协议、UDP协议和基于网络层的IP协议、ICMP协议和IGMP协议等。•TCP/IP的核心功能是寻址和路由选择（网络层的IP/IPV6）以及传输控制（传输层的TCP、UDP）。2023/7/253•ISO/OSI参考模型将网

络的结构分成了7层，每层都实现特定的功能，但因特网体系结构却只分成了4层概念功能层来进行描述。OSI的参考模型TCP/IP的参考模型2023/7/254TCP/IP协议集应用层网际层传输层网络接口层SMTPDNSSN

MPTELNETHTTPNFSFTPTCPUDPICMPIGMPIPRARPARPLANWANMAN2023/7/2554.1.2网络安全协议概述网络安全协议2023/7/2564.2PGP协议4.2.1PGP简介PGP（PrettyGoodPrivacy），是一个提供安全电子邮件的软件

包，提供加密、鉴别、数字签名和压缩等技术，是PhilZimmermann在1991年编写的一个安全电子邮件加密方案，已经成为事实上的标准。PGP的版本有两大类：仅供个人用于非商业目的PGP免费版和公司用的PGP商业版。不同版本的PGP在公共域中

可以得到，例如，你可以在国际PGP主页上找到合适平台的PGP软件。PGP也是一个商业产品，并且可以作为许多电子邮件用户代理（例如微软的Exchange和Outlook）的插件。PGP应用程序的特点是速度快、效率高、跨平台。2023/7/2574.2.2PGP的功能1）采用一次一密的对称

加密算法，密钥随邮件加密传送，每次可以不同。2）采用数字签名防止了中途篡改和伪造。3）邮件内容经过压缩，减少了传送量。4）进行base64编码，便于兼容不同邮件传送系统。PGP最核心的功能是：文件加密、通信加密和数字签名。PGP采用的安全

加密算法和处理手段主要包括IDEA对称密码算法、MD5报文摘要算法、RSA公钥算法、base64编码、ZIP程序压缩2023/7/258PGP加密的工作原理图2023/7/259•PGP通过单向散列算法对邮件内容进行

签名，保证信件内容无法修改，使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥公布在公开的地方，公钥本身的权威性由第三方，特别是收信人所熟悉或信任的第三方进行签名认证。2023/7/25104.2.3PGP的应用举例2023/7/2511配置PGP•启动PGP后，PGP

软件会在任务栏生成一个小图标，即中的小锁图标，点击小锁，弹出的菜单中选择“PGPMail”，会出现一个程序栏。•2023/7/2512当PGP安装后，该软件会为用户产生一个公共密钥对。这个公共密钥可以公布在用户的个人网站或者放在公共密钥服务器上。私有密钥用密码进行了保护。每次用

户访问这个私有密钥的时候，必须输入密码。PGP会让用户选择是使用数字签名还是加密这个消息，或者是两者都使用。其签名的消息或者加密的消息都跟在MIME头部的后面。PGP也提供了公共密钥认证机制，但是这个机制完全不同于更为通用的认证中心。PGP公共密钥通过委

托网站进行认证。当用户A认为密钥/用户名对确实是一起的，那么他就可以进行认证。另外，PGP允许用户A声明他信任的其他用户负责更多密钥的认证。一些PGP用户通过密钥签署协议来签署各自的密钥。用户找个机会碰面，交换包含公共密钥的磁盘，通过用他们的

私有密钥签写各自的密钥来认证密钥。PGP公共密钥也可以通过因特网上的PGP公共密钥服务器发布。当然，也可以在个人网页上很容易的得到公共密钥。2023/7/2513PGP中使用PGPKeys管理钥匙环（KeyRing）1.密钥的生成、传播和废除

密钥的生成通常在安装过程中完成。在PGPKeys中也可生成新的密钥，即在任务栏弹出的菜单中选择PGPKeys→Keys→NewKey。若想废除密钥，只须选取Revoke即可。2023/7/25142023/7/25152023/7/25162023/7/2517密钥属性对话框2023/7/2518

•2.数字签名用自己的私钥对邮件等签名。•3.加密与解密点击“Encrypt”，弹出选择所加密文件的对话框。→“ConventionalEncryption”→输入确认口令→完成。4.解密，是加密的反过程。用“Decrypt、Verif

y”。2023/7/25194.3SSL协议SSL是SecureSocketLayer（安全套接层协议）的缩写，是网景（Netscape）公司提出的基于WEB应用的安全协议,位于TCP和应用层之间，是一个独立的安全协议，换

句话说，即是高层应用协议（例如HTTP、FTP、Telnet等）能透明的建立在SSL之上。SSL主要适用于点对点之间的信息传输，常用客户/服务器方式，可在服务器端和用户端同时实现支持。SSL协议提供的服务可以归纳为如下三个方面：1）用户和服务器身份的合法性

认证。2）SSL链路上数据机密性。3）SSL链路上数据的完整性。2023/7/2520现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式。服务器端采用支持SSL的Web服务器，用户端采用支持SSL的浏览器实现安全通信。对于电子商务应用来

说，使用SSL能够对信用卡和个人信息提供信息的完整性和保密性保护。但由于SSL不对应用层的消息进行电子签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称

作"表单签名（FormSigning）"的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指2023/7/2521SSL协议在传输层和更高层提供了网络安全传输服务，它要求建立在可靠的传输层协议（例如TCP）之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以

及服务器认证的工作，在此之后应用层协议所传送的数据都会被加密，从而保证通信的安全性。它也是传输层安全协议（TransportLayerSecurity，TLS）的基础，使用户/服务器应用之间的通信不被攻

击者窃听，并且始终对服务器进行认证，还可以选择对用户进行认证。2023/7/2522SSL协议是两层协议：上层协议包括SSL握手协议、更改密码规格协议和警报协议，下层协议为SSL记录协议。相应的其操作分为两个阶段：第一阶段

是握手阶段（发送方和接收方协商并确定加密算法和密钥），第二阶段为数据加密传输阶段（依据第一阶段商定的密钥加密数据）。SSL协议采用公共密钥技术，并已成为Internet上保密通信的工业标准。现行Web浏览器普遍将HTTP和SSL协议相结合

，从而实现安全通信。SSL协议的绝大功能由SSL握手协议和记录协议完成。4.3.2SSL结构及算法2023/7/2523SSL协议栈2023/7/2524SSL握手协议（SSLHandshakeProtocol)SSL握手协议建立在SSL记录协议之上，用于在

实际的数据传输开始前客户和服务器之间的“握手”。“握手”是一个协商的过程，这个协议使得客户和服务器能够互相鉴别对方的身份，协商加密和鉴别算法以及协商密钥。在传输任何数据之前，必须使用握手协议。客户和服务器鉴别身

份是采用发送X.509数字证书来进行的。加密算法可选择使用DES，3-DES，IDEA，RC2，RC4等；鉴别算法可选择使用SHA算法和MD5报文摘要算法；密钥交换和协商通常采用公钥算法来完成。2023/7/2525•SSL更改密码规格协议是使用SSL记录协议服务的SSL高层协议的3个特定协

议之一,也是其中最简单的一个。协议由单个消息组成,该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。为了保障SSL传输过程的安全性,双方应该每隔一段时间改变加密规范。•SS

L告警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种:一种是Fatal错误,如传递数据过程中,发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录

;第二种是Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。SSL握手协议可以使得服务器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥用来保护在SSL2023/7/252

6SSL记录协议（SSLRecordProtocol)在握手协议完成之后，才能进行SSL记录协议，它的主要功能是为高层协议提供封装数据、压缩、添加消息鉴别码MAC、加密等基本功能的支持。2023/7/25274.

3.3SSL的应用2023/7/25282023/7/25294.4IPSec协议简介•IPSec（InternetProtocolSecurity)即Internet安全协议，是一个工业标准网络安全协议。•IPSec主要提供以下安全服务：数

据内容的机密性、数据起源地验证、数据的完整性验证、抗重播保护。•IPSec（通常称IP安全协议）是一组安全IP协议集，是在IP包级为IP业务提供保护的安全协议标准，其基本目的就是把安全机制引入IP协议，通过使

用现代密码学方法支持加密性和认证性服务，使用户能有选择的使用，并得到所期望的安全服务。2023/7/25304.4.1IPSec的优势与应用•IPSec位于TCP/IP分层结构的IP层上，因此它可以加密和鉴别在IP层的所有通信量，所有的分布式应用，包括

远程注册、客户/服务器、电子邮件、文件传输、Web访问等，都可以通过IPSec增加安全特征。•IPSec是一种基于端对端的安全模式。适合下列网络：•局域网：C/S模式，对等模式•广域网：路由器-对-路由器模式，网关－对－网关模式•远程访问：拨号客户机，专网对Internet的20

23/7/2531•IPSec的优越性：•1）IPSec具有更好的兼容性。•2）比高层安全协议的性能更好，实现起来更方便；比底层安全协议更能适应通信介质的多样性。•3）系统开销小。•4）透明性。•5）开放性。IPSec安全协议定义了如何通过在IP数据包中增加扩展头和字段来保证IP包的秘密性、

可认证性和完整性。2023/7/25324.4.2IPSec体系结构IPSec也是由多个子协议组成，将几种安全技术结合形成一个比较完整的安全体系结构。它是由因特网密钥交换协议（IKE：InternetKeyExchange）、认证头（AuthenticationHeade

r，AH）以及安全封装载荷（EncapsulatingSecurityPayload，ESP）三个子协议组成。IPSec通过在IP协议中增加两个基于密码的安全机制——认证头和安全封装载荷来支持IP数据段的秘密性、可认证性和

完整性。通过IP安全协议和密钥管理协议构建起IP层安全体系结构的框架，以保护所有基于IP的服务和应用。当这些安全机制正确实现时，它不会对用户、主机和其他未采用这些安全机制的Internet部件产生负面影响

。由于这些安全机制是独立于算法的，所以在选择和改变算法时也不会影响其它部分的实现，对用户和上层应用是透2023/7/2533•1）因特网密钥交换协议（IKE）：用于动态建立安全关联（SA：SecurityAssociation），所谓SA是通信对等方中间对某些要素的一种协定。IKE

协议主要是对密钥交换进行管理，它主要包括三个功能：对使用的协议、加密算法和密钥进行协商；方便的密钥交换机制(这可能需要周期性的进行)；跟踪对以上这些约定的实施。•2）认证头（AH）：设计AH协议的主要目的是用来增加数据完整性的认证机制，为IP数据流提供高强度的密码认证，以确保修改过的数据包

可以被检查出来。通过它可以防止地址欺骗攻击和重发攻击。它支持的散列算法是HMAC－MD5－96，HMAC－SHA－1－96。•3）安全封装载荷（ESP）：设计ESP协议的主要目的是提供IP数据包的安全性。ESP的作用是提供机密性、数据完整性、数据源认证和抗重播保

护等安全服务。ESP支持的加密算法有：3DES，RC5，IDEA，三密钥三重IDEA，CAST，Blowfish，支持的散列算法有HMAC－MD5－96，HMAC－SHA－1－96。IPSec各个子协议的功能2023/7

/2534IPSec体系结构模型TCP/UDP传输层IPSec驱动程序受保护的IP数据包TCP/UDP传输层IPSec驱动程序IKESA对主机AIKESA对主机B网络层SA协商2023/7/25354.4.3基于IPSec的虚拟专用网

•IPSec作为网络层安全协议，产生于IPv6的制定之中，用于提供IP层的安全性。•目前IPSec最主要的应用是构建安全虚拟专用网（VPN，VirtualPrivateNetwork）。VPN是利用开放

的公众网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。VPN有两层含义：它是“虚拟的”，即建立隧道或虚电路把不同的物理网络或设备连接起来，不再使用物理的专线建立专用网，

而是将其建立在分布广泛的公共网络上，如Internet；它是“专用的”，对基于IPSec的VPN而言，是一组连接的闭合用户群（CVC），它不仅具有服务质量（QoS）的保证，而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸，VPN可将位于不同地点2023/7/2536•VPN是当

前企业最大限度的利用Internet进行安全经济商务活动的最佳解决方案。安全是构建VPN的首要考虑问题，IPSec是实现VPN安全性的关键技术，并已成为VPN国际标准，IPSec为VPN的可互操作性、安全网络管理和通信提供了一个安全手段

。2023/7/25374.4.4IPSec的应用举例建立和实现IPSec的过程：1）建立域或本地计算机策略，制定哪些网络通信需要是安全的，以及如何处理安全性。2）根据这些策略，IPSec将建立一组筛选器，以决定需要安全地传输哪些网络数

据包。3）当IPSec从发送应用程序到接收一系列需要安全传输地网络数据包时，发送计算机将这种情况传递到接收计算机。两台计算机将根据IPSec策略交换证书，并验证彼此的身份。4）在验证了身份之后，两台计算机将商定一个算法，每一台计算机都将生成同一个私钥，而不必在网络上传输密钥，这

同样是根据IPSec策略进行的。5）发送计算机使用私钥加密所传输的数据包，加上数字签名，这样接收计算机就知道是谁发送数据包，然后传输数据包。6）接收计算机验证数字签名，然后使用密钥解密数2023/7/2538要解决的问题•1.PGP

、SSL、IPSec协议分别工作在TCP/IP分层结构中的什么位置，并说明它们提供的安全服务有何区别？•2.SSL协议中的握手协议和记录协议的主要功能？•3.网络上有人篡改IP地址，进行“IP欺骗”，可以采用什么安全协议来解决？•4.什么是虚拟专用网？•5.练习使用SSL和P

GP软件。•6.会设置系统的IP安全策略。2023/7/25392023/7/2540