[精选]6-3网络安全——网络安全性协议ftd.pptx

《[精选]6-3网络安全——网络安全性协议ftd.pptx》由会员分享，可在线阅读，更多相关《[精选]6-3网络安全——网络安全性协议ftd.pptx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4 网络安全协议网络安全协议n n6.4.1 应用层安全协议应用层安全协议n n6.4.2 传输层安全协议传输层安全协议SSLn n6.4.3 网络层安全协议网络层安全协议Ipsecn n6.4.4 IPv6新一代网络的安全新一代网络的安全机制机制n n6.4.5 无线加密协议无线加密协议2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.1 应用层安全协议应用层安全协议n n安全外壳协议安全外

2、壳协议安全外壳协议安全外壳协议SSHSSHn n用密码算法提供安全可靠的远程登录、文件传输和用密码算法提供安全可靠的远程登录、文件传输和用密码算法提供安全可靠的远程登录、文件传输和用密码算法提供安全可靠的远程登录、文件传输和远程复制等网络应用程序。远程复制等网络应用程序。远程复制等网络应用程序。远程复制等网络应用程序。n n安全超文本传输协议安全超文本传输协议安全超文本传输协议安全超文本传输协议S-HTTP S-HTTP n nS-HTTPS-HTTP提供了文件级的安全机制，用作加密及签提供了文件级的安全机制，用作加密及签提供了文件级的安全机制，用作加密及签提供了文件级的安全机制，用作加密及签

3、名的算法可以由参与通信的收发双方协商。名的算法可以由参与通信的收发双方协商。名的算法可以由参与通信的收发双方协商。名的算法可以由参与通信的收发双方协商。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.1 应用层安全协议应用层安全协议n n电子邮件安全协议电子邮件安全协议电子邮件安全协议电子邮件安全协议S/MIMES/MIMEn nS/MIMES/MIME是由是由是由是由RSARSA安全公司于安全公司于安全公司于安全公司于19901990年中旬设计的，年中旬设计的，年中旬设计的，年中旬设计的，S/MIMES

4、/MIME第第第第3 3版于版于版于版于19991999年由互联网工程任务小组年由互联网工程任务小组年由互联网工程任务小组年由互联网工程任务小组(IETF)(IETF)指定为电子邮件安全的标准协议，它具有数指定为电子邮件安全的标准协议，它具有数指定为电子邮件安全的标准协议，它具有数指定为电子邮件安全的标准协议，它具有数字签名和数据加密的功能。它可以自动将所有送出字签名和数据加密的功能。它可以自动将所有送出字签名和数据加密的功能。它可以自动将所有送出字签名和数据加密的功能。它可以自动将所有送出的邮件加密、签名或同时加密和签名，也可以有选的邮件加密、签名或同时加密和签名，也可以有选的邮件加密、签名

5、或同时加密和签名，也可以有选的邮件加密、签名或同时加密和签名，也可以有选择地给特定的邮件加密、签名或同时加密和签名。择地给特定的邮件加密、签名或同时加密和签名。择地给特定的邮件加密、签名或同时加密和签名。择地给特定的邮件加密、签名或同时加密和签名。S/MIMES/MIME要求签名者必须持有公钥证书。要求签名者必须持有公钥证书。要求签名者必须持有公钥证书。要求签名者必须持有公钥证书。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.1 应用层安全协议应用层安全协议n n电子交易安全协议电子交易安全协议电子交易

6、安全协议电子交易安全协议SETSETn n保障信用卡持有者在互联网上进行在线交易时的安保障信用卡持有者在互联网上进行在线交易时的安保障信用卡持有者在互联网上进行在线交易时的安保障信用卡持有者在互联网上进行在线交易时的安全，它是由美国全，它是由美国全，它是由美国全，它是由美国VisaVisa和和和和MasterMaster两个信用卡公司于两个信用卡公司于两个信用卡公司于两个信用卡公司于19961996年发起研制的。年发起研制的。年发起研制的。年发起研制的。n n电子现金协议电子现金协议电子现金协议电子现金协议eCasheCashn n由银行发行的具有一定面额的电子字据，用于在互由银行发行的具有一

7、定面额的电子字据，用于在互由银行发行的具有一定面额的电子字据，用于在互由银行发行的具有一定面额的电子字据，用于在互联网上流通，模拟现金在实际生活中的使用。电子联网上流通，模拟现金在实际生活中的使用。电子联网上流通，模拟现金在实际生活中的使用。电子联网上流通，模拟现金在实际生活中的使用。电子现金的任何持有人都可以从发行电子现金的银行中现金的任何持有人都可以从发行电子现金的银行中现金的任何持有人都可以从发行电子现金的银行中现金的任何持有人都可以从发行电子现金的银行中将其兑现成与其面额等价的现金。将其兑现成与其面额等价的现金。将其兑现成与其面额等价的现金。将其兑现成与其面额等价的现金。2023/3/

8、13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL1.SSL基本概念基本概念n n传输层安全协议通常指的是安全套接层协议传输层安全协议通常指的是安全套接层协议传输层安全协议通常指的是安全套接层协议传输层安全协议通常指的是安全套接层协议SSL(Security Socket Layer)SSL(Security Socket Layer)和传输层安全协议和传输层安全协议和传输层安全协议和传输层安全协议TLS(Transport Layer Security)TLS(Transport

9、Layer Security)两个协议。两个协议。两个协议。两个协议。n nSSLSSL协议是介于应用层和可靠的传输层协议协议是介于应用层和可靠的传输层协议协议是介于应用层和可靠的传输层协议协议是介于应用层和可靠的传输层协议(TCP)(TCP)之间的安全通信协议。其主要功能是当之间的安全通信协议。其主要功能是当之间的安全通信协议。其主要功能是当之间的安全通信协议。其主要功能是当两个应用层相互通信时，为传送的信息提供保两个应用层相互通信时，为传送的信息提供保两个应用层相互通信时，为传送的信息提供保两个应用层相互通信时，为传送的信息提供保密性和可靠性。密性和可靠性。密性和可靠性。密性和可靠性。n

10、nSSLSSL协议的优势在于它是与应用层协议独立无协议的优势在于它是与应用层协议独立无协议的优势在于它是与应用层协议独立无协议的优势在于它是与应用层协议独立无关的，因而高层的应用层协议关的，因而高层的应用层协议关的，因而高层的应用层协议关的，因而高层的应用层协议(如如如如HTTPHTTP、FTPFTP、TELNET)TELNET)能透明的建立于能透明的建立于能透明的建立于能透明的建立于SSLSSL协议之上。协议之上。协议之上。协议之上。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输

11、层安全协议SSL1.SSL基本概念基本概念n nSSLSSL提供一个安全的提供一个安全的提供一个安全的提供一个安全的“握手握手握手握手”来初始化来初始化来初始化来初始化TCP/IPTCP/IP连接，来完成客户机和服务器之间关于安全等连接，来完成客户机和服务器之间关于安全等连接，来完成客户机和服务器之间关于安全等连接，来完成客户机和服务器之间关于安全等级、密码算法、通信密钥的协商，以及执行对级、密码算法、通信密钥的协商，以及执行对级、密码算法、通信密钥的协商，以及执行对级、密码算法、通信密钥的协商，以及执行对连接端身份的认证工作。在此之后连接端身份的认证工作。在此之后连接端身份的认证工作。在此之

12、后连接端身份的认证工作。在此之后SSLSSL连接上连接上连接上连接上所传送的应用层协议数据都会被加密，从而保所传送的应用层协议数据都会被加密，从而保所传送的应用层协议数据都会被加密，从而保所传送的应用层协议数据都会被加密，从而保证通信的机密性。证通信的机密性。证通信的机密性。证通信的机密性。n nSSLSSL可以用于任何面向连接的安全通信，但通可以用于任何面向连接的安全通信，但通可以用于任何面向连接的安全通信，但通可以用于任何面向连接的安全通信，但通常用于安全常用于安全常用于安全常用于安全WebWeb应用的应用的应用的应用的HTTPHTTP协议。协议。协议。协议。2023/3/13信息安全案例

13、教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL2.SSL2.SSL使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务n nSSLSSL使用公钥密码系统和技术进行客户机和服使用公钥密码系统和技术进行客户机和服使用公钥密码系统和技术进行客户机和服使用公钥密码系统和技术进行客户机和服务器通信实体身份的认证和会话密钥的协商，务器通信实体身份的认证和会话密钥的协商，务器通信实体身份的认证和会话密钥的协商，务器通信实体身份的认证和

14、会话密钥的协商，使用对称密码算法对使用对称密码算法对使用对称密码算法对使用对称密码算法对SSLSSL连接上传输的敏感数连接上传输的敏感数连接上传输的敏感数连接上传输的敏感数据进行加密。据进行加密。据进行加密。据进行加密。n nSSLSSL提供的面向连接的安全性具有以下三个基提供的面向连接的安全性具有以下三个基提供的面向连接的安全性具有以下三个基提供的面向连接的安全性具有以下三个基本性质：本性质：本性质：本性质：n n连接是秘密的。连接是秘密的。连接是秘密的。连接是秘密的。n n连接是可认证的。连接是可认证的。连接是可认证的。连接是可认证的。n n连接是可靠的。连接是可靠的。连接是可靠的。连接是

15、可靠的。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL2.SSL2.SSL使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务使用的安全机制以及提供的安全服务n nSSL中使用的安全机制有：中使用的安全机制有：n n加密机制加密机制加密机制加密机制n n数据签名机制数据签名机制数据签名机制数据签名机制n n数据完整性机制数据完整性机制数据完整性机制数据完整性机制n n交换鉴别机制交换鉴别机制交换鉴别机制交换鉴别机制n n公

16、证机制公证机制公证机制公证机制2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL3.SSL协议的基本结构协议的基本结构2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL4.SSL协议的安全性协议的安全性n n下面是下面是下面是下面是SSLSSL协议对几种常用攻击的应对能力：协议对几种常用攻击的应对能力：协议对几种常用攻击的应对能力：协议对几种常用

17、攻击的应对能力：n n1 1）监听和中间人攻击：）监听和中间人攻击：）监听和中间人攻击：）监听和中间人攻击：SSLSSL使用一个经过通信双方协使用一个经过通信双方协使用一个经过通信双方协使用一个经过通信双方协商确定的加密算法和密钥，对不同的安全级别应用都商确定的加密算法和密钥，对不同的安全级别应用都商确定的加密算法和密钥，对不同的安全级别应用都商确定的加密算法和密钥，对不同的安全级别应用都可以找到不同的加密算法。它在每次连接时通过产生可以找到不同的加密算法。它在每次连接时通过产生可以找到不同的加密算法。它在每次连接时通过产生可以找到不同的加密算法。它在每次连接时通过产生一个哈希函数生成一个临时

18、使用的会话密钥。除了不一个哈希函数生成一个临时使用的会话密钥。除了不一个哈希函数生成一个临时使用的会话密钥。除了不一个哈希函数生成一个临时使用的会话密钥。除了不同连接使用不同密钥外，在一次连接的两个传输方向同连接使用不同密钥外，在一次连接的两个传输方向同连接使用不同密钥外，在一次连接的两个传输方向同连接使用不同密钥外，在一次连接的两个传输方向上也使用各自的密钥。尽管上也使用各自的密钥。尽管上也使用各自的密钥。尽管上也使用各自的密钥。尽管SSLSSL协议为监听者提供了很协议为监听者提供了很协议为监听者提供了很协议为监听者提供了很多明文，但由于多明文，但由于多明文，但由于多明文，但由于RSARSA

19、交换密钥有较好的密钥保护性能，交换密钥有较好的密钥保护性能，交换密钥有较好的密钥保护性能，交换密钥有较好的密钥保护性能，以及频繁更换密钥的特点，因此对监听和中间人式的以及频繁更换密钥的特点，因此对监听和中间人式的以及频繁更换密钥的特点，因此对监听和中间人式的以及频繁更换密钥的特点，因此对监听和中间人式的攻击具有较高的防范性。攻击具有较高的防范性。攻击具有较高的防范性。攻击具有较高的防范性。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.2 传输层安全协议传输层安全协议SSL4.SSL协议的安全性协议的安全

20、性n n下面是下面是下面是下面是SSLSSL协议对几种常用攻击的应对能力：协议对几种常用攻击的应对能力：协议对几种常用攻击的应对能力：协议对几种常用攻击的应对能力：n n2 2）流量分析攻击：流量分析攻击的核心是通过检查数）流量分析攻击：流量分析攻击的核心是通过检查数）流量分析攻击：流量分析攻击的核心是通过检查数）流量分析攻击：流量分析攻击的核心是通过检查数据包的未加密字段或未保护的数据包属性，试图进行据包的未加密字段或未保护的数据包属性，试图进行据包的未加密字段或未保护的数据包属性，试图进行据包的未加密字段或未保护的数据包属性，试图进行攻击。在一般情况下该攻击是无害的，攻击。在一般情况下该攻

21、击是无害的，攻击。在一般情况下该攻击是无害的，攻击。在一般情况下该攻击是无害的，SSLSSL无法阻止这无法阻止这无法阻止这无法阻止这种攻击。种攻击。种攻击。种攻击。n n3 3）重放攻击：通过在）重放攻击：通过在）重放攻击：通过在）重放攻击：通过在MACMAC数据中设置时间戳可以防数据中设置时间戳可以防数据中设置时间戳可以防数据中设置时间戳可以防止这种攻击。止这种攻击。止这种攻击。止这种攻击。n nSSLSSL协议本身也存在诸多缺陷，如认证和加解密的速度协议本身也存在诸多缺陷，如认证和加解密的速度协议本身也存在诸多缺陷，如认证和加解密的速度协议本身也存在诸多缺陷，如认证和加解密的速度较慢；对用

22、户不透明；尤其是较慢；对用户不透明；尤其是较慢；对用户不透明；尤其是较慢；对用户不透明；尤其是SSLSSL不提供网络运行可靠不提供网络运行可靠不提供网络运行可靠不提供网络运行可靠性的功能，不能增强网的健壮性，对拒绝服务攻击就性的功能，不能增强网的健壮性，对拒绝服务攻击就性的功能，不能增强网的健壮性，对拒绝服务攻击就性的功能，不能增强网的健壮性，对拒绝服务攻击就无能为力；依赖于第三方认证等等。无能为力；依赖于第三方认证等等。无能为力；依赖于第三方认证等等。无能为力；依赖于第三方认证等等。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全

23、案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec1.IPsec基本概念基本概念n nIPSecIPSec定义了一种标准、健壮的以及包容广泛定义了一种标准、健壮的以及包容广泛定义了一种标准、健壮的以及包容广泛定义了一种标准、健壮的以及包容广泛的机制，可用它为的机制，可用它为的机制，可用它为的机制，可用它为IPIP及其上层协议及其上层协议及其上层协议及其上层协议(如如如如TCPTCP和和和和UDP)UDP)提供安全保证。提供安全保证。提供安全保证。提供安全保证。n nIPSecIPSec的目标是为的目标是为的目标是为的目标是为IPv4IPv4和和和和IPv6IPv6提供具有较

24、强的提供具有较强的提供具有较强的提供具有较强的互操作能力、高质量和基于密码的安全功能，互操作能力、高质量和基于密码的安全功能，互操作能力、高质量和基于密码的安全功能，互操作能力、高质量和基于密码的安全功能，在在在在IPIP层实现多种安全服务，包括访问控制、数层实现多种安全服务，包括访问控制、数层实现多种安全服务，包括访问控制、数层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播、机密性等。据完整性、数据源验证、抗重播、机密性等。据完整性、数据源验证、抗重播、机密性等。据完整性、数据源验证、抗重播、机密性等。IPSecIPSec通过支持一系列加密算法如通过支持一系列加密算法如通过支

25、持一系列加密算法如通过支持一系列加密算法如DESDES、三重、三重、三重、三重DESDES、IDEAIDEA、AESAES等确保通信双方的机密性。等确保通信双方的机密性。等确保通信双方的机密性。等确保通信双方的机密性。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec1.IPsec基本概念基本概念n nIPSecIPSec可在网络层上对数据包进行安全处理，可在网络层上对数据包进行安全处理，可在网络层上对数据包进行安全处理，可在网络层上对数据包进行安全处理，IPSec

26、IPSec支支支支持数据加密，同时确保资料的完整性，这样就可以保持数据加密，同时确保资料的完整性，这样就可以保持数据加密，同时确保资料的完整性，这样就可以保持数据加密，同时确保资料的完整性，这样就可以保护所有的分布应用，包括远程登录、客户护所有的分布应用，包括远程登录、客户护所有的分布应用，包括远程登录、客户护所有的分布应用，包括远程登录、客户/服务器、电服务器、电服务器、电服务器、电子邮件、文件传输和子邮件、文件传输和子邮件、文件传输和子邮件、文件传输和WebWeb访问等。访问等。访问等。访问等。n n各种应用程序可以享用各种应用程序可以享用各种应用程序可以享用各种应用程序可以享用IPSec

27、IPSec提供的安全服务和密钥管提供的安全服务和密钥管提供的安全服务和密钥管提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了理，而不必设计和实现自己的安全机制，因此减少了理，而不必设计和实现自己的安全机制，因此减少了理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可能性。密钥协商的开销，也降低了产生安全漏洞的可能性。密钥协商的开销，也降低了产生安全漏洞的可能性。密钥协商的开销，也降低了产生安全漏洞的可能性。n nIPSecIPSec可连续或递归应用，在路由器、防火墙、主机和可连续或递归应用，在路由器、防火墙、主机和可连续或递归应用，在路由

28、器、防火墙、主机和可连续或递归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端安全、虚拟专用网络和通信链路上配置，实现端到端安全、虚拟专用网络和通信链路上配置，实现端到端安全、虚拟专用网络和通信链路上配置，实现端到端安全、虚拟专用网络和安全隧道技术等。安全隧道技术等。安全隧道技术等。安全隧道技术等。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec1.IPsec基本概念基本概念n nIPSec的一个典型方案的一个典型方案2023/3/13信息安全案例教程：技

29、术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec1.IPsec基本概念基本概念n nIPSecIPSec协议主要包括：协议主要包括：协议主要包括：协议主要包括：n n1 1）认证头）认证头）认证头）认证头AH(Authentication Head)AH(Authentication Head)协议：它规定认证格式，协议：它规定认证格式，协议：它规定认证格式，协议：它规定认证格式，用于支持数据完整性和用于支持数据完整性和用于支持数据完整性和用于支持数据完整性和IPIP包的认证。数据完整性确保在包的包的

30、认证。数据完整性确保在包的包的认证。数据完整性确保在包的包的认证。数据完整性确保在包的传输过程中内容不可更改。认证确保终端系统或网络设备能传输过程中内容不可更改。认证确保终端系统或网络设备能传输过程中内容不可更改。认证确保终端系统或网络设备能传输过程中内容不可更改。认证确保终端系统或网络设备能对用户或应用程序进行认证，并相应地提供流量过滤功能，对用户或应用程序进行认证，并相应地提供流量过滤功能，对用户或应用程序进行认证，并相应地提供流量过滤功能，对用户或应用程序进行认证，并相应地提供流量过滤功能，同时还能防止地址欺骗攻击和重放攻击。同时还能防止地址欺骗攻击和重放攻击。同时还能防止地址欺骗攻击和

31、重放攻击。同时还能防止地址欺骗攻击和重放攻击。n n2 2）载荷安全封装）载荷安全封装）载荷安全封装）载荷安全封装ESP(Encapsulating Security Payload)ESP(Encapsulating Security Payload)协议：协议：协议：协议：提供提供提供提供IPIP数据报的完整性和认证功能，还可以利用加密技术保数据报的完整性和认证功能，还可以利用加密技术保数据报的完整性和认证功能，还可以利用加密技术保数据报的完整性和认证功能，还可以利用加密技术保障数据的机密性。障数据的机密性。障数据的机密性。障数据的机密性。n n3 3）因特网密钥交换）因特网密钥交换）因特

32、网密钥交换）因特网密钥交换IKE(Internet Key Exchange)IKE(Internet Key Exchange)协议：可以协议：可以协议：可以协议：可以确保确保确保确保IPIP数据报的保密性，也可以提供完整性和认证功能数据报的保密性，也可以提供完整性和认证功能数据报的保密性，也可以提供完整性和认证功能数据报的保密性，也可以提供完整性和认证功能(视加视加视加视加密算法和应用模式而定密算法和应用模式而定密算法和应用模式而定密算法和应用模式而定)。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4

33、.3 网络层安全协议网络层安全协议IPsec1.IPsec基本概念基本概念n n虽然虽然虽然虽然AHAH和和和和ESPESP都可以提供身份认证，但它们有都可以提供身份认证，但它们有都可以提供身份认证，但它们有都可以提供身份认证，但它们有如下区别：如下区别：如下区别：如下区别：n nESPESP要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。n n多数情况下，使用多数情况下，使用多数情况下，使用多数情况下，使用AHAH的认证服务已能满足要求，的认证服务已能满足要求，的认证服务已能满足要

34、求，的认证服务已能满足要求，相对来说，相对来说，相对来说，相对来说，ESPESP开销较大。开销较大。开销较大。开销较大。n n设置设置设置设置AHAH和和和和ESPESP两套安全协议意味着可以对两套安全协议意味着可以对两套安全协议意味着可以对两套安全协议意味着可以对IPSecIPSec网络进行更细粒度的控制，选择安全方网络进行更细粒度的控制，选择安全方网络进行更细粒度的控制，选择安全方网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。案可以有更大的灵活度。案可以有更大的灵活度。案可以有更大的灵活度。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程

35、：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec2.IPSec的两种应用模式的两种应用模式n nIPSecIPSec有两种工作模式模式：传输模式和隧道有两种工作模式模式：传输模式和隧道有两种工作模式模式：传输模式和隧道有两种工作模式模式：传输模式和隧道模式。模式。模式。模式。n n传输模式用于在两台主机之间进行的端到端通信。传输模式用于在两台主机之间进行的端到端通信。传输模式用于在两台主机之间进行的端到端通信。传输模式用于在两台主机之间进行的端到端通信。发送端发送端发送端发送端IPsecIPsec将将将将IPIP包载荷用包载荷用包载荷用包载荷用ESPE

36、SP或或或或AHAH进行加密或认进行加密或认进行加密或认进行加密或认证，但不包括证，但不包括证，但不包括证，但不包括IPIP头，数据包传输到目标头，数据包传输到目标头，数据包传输到目标头，数据包传输到目标IPIP后，由接后，由接后，由接后，由接收端收端收端收端IPsecIPsec认证和解密。认证和解密。认证和解密。认证和解密。n n隧道模式用于点到点通信，对整个隧道模式用于点到点通信，对整个隧道模式用于点到点通信，对整个隧道模式用于点到点通信，对整个IPIP包提供保护。包提供保护。包提供保护。包提供保护。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程

37、：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec2.IPSec的两种应用模式的两种应用模式2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec3.IPSec协议内容协议内容n nIPSecIPSec协议不是一个单独的协议，它给出了应用于协议不是一个单独的协议，它给出了应用于协议不是一个单独的协议，它给出了应用于协议不是一个单独的协议，它给出了应用于IPIP层层层层上网络数据安全的一整套体系结构，它主要包括：上网络数据安全的一整

38、套体系结构，它主要包括：上网络数据安全的一整套体系结构，它主要包括：上网络数据安全的一整套体系结构，它主要包括：n n1 1）认证头）认证头）认证头）认证头AH(Authentication Head)AH(Authentication Head)协议。协议。协议。协议。n n2 2）载荷安全封装）载荷安全封装）载荷安全封装）载荷安全封装ESP(Encapsulating Security Payload)ESP(Encapsulating Security Payload)协议。协议。协议。协议。n n3 3）因特网密钥交换）因特网密钥交换）因特网密钥交换）因特网密钥交换IKE(Intern

39、et Key Exchange)IKE(Internet Key Exchange)协议。协议。协议。协议。n n虽然虽然虽然虽然AHAH和和和和ESPESP都可以提供身份认证，但它们有如下区都可以提供身份认证，但它们有如下区都可以提供身份认证，但它们有如下区都可以提供身份认证，但它们有如下区别：别：别：别：n nESPESP要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。要求使用高强度加密算法，会受到许多限制。n n多数多数多数多数情况下，使用情况下，使用情况下，使用情况下，使用AHAH的认证服务已能满足要求，相对来说，

40、的认证服务已能满足要求，相对来说，的认证服务已能满足要求，相对来说，的认证服务已能满足要求，相对来说，ESPESP开销较大。开销较大。开销较大。开销较大。n n设置设置设置设置AHAH和和和和ESPESP两套安全协议意味着可以对两套安全协议意味着可以对两套安全协议意味着可以对两套安全协议意味着可以对IPSecIPSec网络进网络进网络进网络进行更细粒度的控制，选择安全方案可以有更大的灵活行更细粒度的控制，选择安全方案可以有更大的灵活行更细粒度的控制，选择安全方案可以有更大的灵活行更细粒度的控制，选择安全方案可以有更大的灵活度。度。度。度。2023/3/13信息安全案例教程：技术与应用信息安全案

41、例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec3.IPSec协议内容协议内容n nSASA是是是是IPSecIPSec的基础。的基础。的基础。的基础。n n在使用在使用在使用在使用AHAH或或或或ESPESP之前，先要从源主机到目的主机建立之前，先要从源主机到目的主机建立之前，先要从源主机到目的主机建立之前，先要从源主机到目的主机建立一条网络层的逻辑连接，此逻辑连接叫做安全关联一条网络层的逻辑连接，此逻辑连接叫做安全关联一条网络层的逻辑连接，此逻辑连接叫做安全关联一条网络层的逻辑连接，此逻辑连接叫做安全关联SASA。

42、n n这样，这样，这样，这样，IPsecIPsec就将传统的因特网无连接的网络层转换为就将传统的因特网无连接的网络层转换为就将传统的因特网无连接的网络层转换为就将传统的因特网无连接的网络层转换为具有逻辑连接的层。具有逻辑连接的层。具有逻辑连接的层。具有逻辑连接的层。n nSASA是通信对等方之间对某些要素的一种协定，例如是通信对等方之间对某些要素的一种协定，例如是通信对等方之间对某些要素的一种协定，例如是通信对等方之间对某些要素的一种协定，例如IPSecIPSec协议、协议的操作模式协议、协议的操作模式协议、协议的操作模式协议、协议的操作模式(传输模式和隧道模式传输模式和隧道模式传输模式和隧道

43、模式传输模式和隧道模式)、密码算法、密钥、用于保护它们之间数据流的密钥的密码算法、密钥、用于保护它们之间数据流的密钥的密码算法、密钥、用于保护它们之间数据流的密钥的密码算法、密钥、用于保护它们之间数据流的密钥的生存期。生存期。生存期。生存期。n n安全关联是单向的，因此输出和输入的数据流需要独安全关联是单向的，因此输出和输入的数据流需要独安全关联是单向的，因此输出和输入的数据流需要独安全关联是单向的，因此输出和输入的数据流需要独立的立的立的立的SASA。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3

44、网络层安全协议网络层安全协议IPsec3.IPSec协议内容协议内容n n一个安全关联一个安全关联一个安全关联一个安全关联SASA由一个三元组惟一地确定，它由一个三元组惟一地确定，它由一个三元组惟一地确定，它由一个三元组惟一地确定，它包括：包括：包括：包括：n n安全参数索引安全参数索引安全参数索引安全参数索引SPI(Security Parameter Index)SPI(Security Parameter Index)n n目标目标目标目标IPIP地址地址地址地址n n安全协议标识符安全协议标识符安全协议标识符安全协议标识符2023/3/13信息安全案例教程：技术与应用信息安全案例教程：

45、技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec3.IPSec协议内容协议内容n n因特网因特网因特网因特网密钥交换协议密钥交换协议密钥交换协议密钥交换协议IKEIKEn nIKEIKE的主要用途是在的主要用途是在的主要用途是在的主要用途是在IPSecIPSec通信双方之间建立起通信双方之间建立起通信双方之间建立起通信双方之间建立起共享安全参数及验证的密钥。共享安全参数及验证的密钥。共享安全参数及验证的密钥。共享安全参数及验证的密钥。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技

46、术与应用信息安全案例教程：技术与应用6.4.3 网络层安全协议网络层安全协议IPsec4IPSec VPN与与SSL VPNnIPSec VPNIPSec VPN与与与与SSL VPNSSL VPN的比较的比较的比较的比较n n部署部署部署部署n n安全性安全性安全性安全性n n可扩展性可扩展性可扩展性可扩展性n n访问控制能力访问控制能力访问控制能力访问控制能力n n经济性经济性经济性经济性2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.4 IPv6新一代网络的安全机制新一代网络的安全机制n n1 IP

47、v6的新特性的新特性n n2 IPv6安全机制对现行网络安全体系的安全机制对现行网络安全体系的新挑战新挑战2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.4 IPv6新一代网络的安全机制新一代网络的安全机制1 IPv6的新特性的新特性n n（1 1）新包头格式）新包头格式）新包头格式）新包头格式n n（2 2）更大的地址空间）更大的地址空间）更大的地址空间）更大的地址空间n n（3 3）高效的层次寻址及路由结构）高效的层次寻址及路由结构）高效的层次寻址及路由结构）高效的层次寻址及路由结构n n（4 4）全

48、状态和无状态地址配置）全状态和无状态地址配置）全状态和无状态地址配置）全状态和无状态地址配置n n（5 5）内置安全设施）内置安全设施）内置安全设施）内置安全设施n n（6 6）更好的）更好的）更好的）更好的QoSQoS支持支持支持支持n n（7 7）用于邻节点交互的新协议）用于邻节点交互的新协议）用于邻节点交互的新协议）用于邻节点交互的新协议n n（8 8）可扩展性）可扩展性）可扩展性）可扩展性2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用信息安全案例教程：技术与应用6.4.4 IPv6新一代网络的安全新一代网络的安全机制机制2 IPv

49、6安全机制对现行网络安全体系的新安全机制对现行网络安全体系的新挑战挑战n n安全包含着各个层次、各个方面的问题，不是安全包含着各个层次、各个方面的问题，不是安全包含着各个层次、各个方面的问题，不是安全包含着各个层次、各个方面的问题，不是仅仅由一个安全的网络层就可以解决得了的。仅仅由一个安全的网络层就可以解决得了的。仅仅由一个安全的网络层就可以解决得了的。仅仅由一个安全的网络层就可以解决得了的。n n如果黑客从网络层以上的应用层发动进攻，比如果黑客从网络层以上的应用层发动进攻，比如果黑客从网络层以上的应用层发动进攻，比如果黑客从网络层以上的应用层发动进攻，比如利用系统缓冲区溢出或木马进行攻击，纵

50、使如利用系统缓冲区溢出或木马进行攻击，纵使如利用系统缓冲区溢出或木马进行攻击，纵使如利用系统缓冲区溢出或木马进行攻击，纵使再安全的网络层也于事无补。再安全的网络层也于事无补。再安全的网络层也于事无补。再安全的网络层也于事无补。n n而且仅仅从网络层来看，而且仅仅从网络层来看，而且仅仅从网络层来看，而且仅仅从网络层来看，IPv6IPv6也不是尽善尽美也不是尽善尽美也不是尽善尽美也不是尽善尽美的。它毕竟同的。它毕竟同的。它毕竟同的。它毕竟同IP v4IP v4有着极深的渊源。有着极深的渊源。有着极深的渊源。有着极深的渊源。2023/3/13信息安全案例教程：技术与应用信息安全案例教程：技术与应用信