7-网络安全协议全解
EP: 公钥加密 DP: 公钥解密 EC: 常规加密 DC: 常规解密 Z: 用ZIP算法进行数据压缩 Z-1:解压缩
小结
网络安全概述
提供机密性、完整性、真实性等安全服务的网络协议 为IP网络通信提供透明的安全服务,保护 已广泛用于Web浏览器与服务器之间的身份认证和加密数据 传输 安全电子邮件
封装安全载荷协议
ESP报文格式
密钥交换协议IKE
安全参数与密钥
安全关联(SA)是通信双方对交换和保护数据的相关 方法和参数的约定 IKE负责建立和管理SA IKE负责为AH和ESP协议生成相关密钥
IKE的功能
密钥交换协议IKE
IPSec体系结构
IPSec安全传输技术
传输模式
EP: 公钥加密 DP: 公钥解密 EC: 常规加密 DC: 常规解密 Z: 用ZIP算法进行数据压缩 Z-1:解压缩
PGP提供机密性的过程
KUb EKUb[Ks] Ks M Z EC EP || DC Z-1 KRb
DP
M
图中符号的含义为: Ks: 会话密钥 Kra: 用户A的私钥 KUa: 用户A的公钥 H: 散列函数 ||: 连接 R64:用radix64转换到ASCII格式
网络层安全协议IPSec
传输层安全协议SSL
应用层安全协议PGP
IPSec安全体系结构
IPSec体系结构
IPSec组成
ESP协议 加密算法 AH协议 认证算法
鉴别首部协议(AH)
封装安全载荷协议 (ESP)
密钥管理协议(IKE)
用于网络验证及加密的 一些算法
DOI解释域
密钥管理IKE
鉴别首部协议(AH)
AH的基本功能源自为IP通信提供数据源认证、数据完整性和反重播保 证, 不提供任何机密性服务 在每一个IP数据报上添加一个鉴别首部 此首部包含一个带密钥的哈希散列,该哈希散列在 整个数据报中计算,因此对数据的任何更改将致使 散列无效,从而对数据提供了完整性保护。
IPSec的基本目标
网络接口层
网络接口 1 网络接口 2
…
网络接口 3
网络层安全协议
IPSec主要包含3个功能域:鉴别机制、机密性 机制和密钥管理。
鉴别机制确保收到的报文来自该报文首部所声称的 源实体,并保证该报文在传输过程中未被非法篡改; 机密性机制使得通信内容不会被第三方窃听; 密钥管理机制则用于配合鉴别机制和机密性机制处 理密钥的安全交换。
IPSec安全传输技术
IPSec隧道模式
传输层安全协议
安全套接层协议(SSL)
是Netscape公司开发的网络安全协议,其主要目的 是为网络通信应用进程间提供一个安全通道。
于1996年由Netscape公司推出SSL 3.0,得到了广 泛的应用,并已被IETF的传输层安全工作小组 (TLS working group)所采纳。 目前,SSL协议已经成为因特网事实上的传输层安 全标准。
目前已广泛用于Web浏览器与服务器之间的身份认 证和加密数据传输。
SSL协议的结构
SSL主要提供连接的保密性、可靠性和相互认 证三种安全服务
传输层安全协议
SSL协议的组成
SSL记录协议
用于封装各种高层协议; SSL握手协议 改变加密约定协议 警报协议
SSL协议的高层协议
SSL握手协议
签名 压缩 E-mail兼容 性 分段功能
PGP的鉴别过程
发送者A KRa M H EP || Z EKRa[H(M)] Z-1 M 接收者B KUa DP 比较 H
图中符号的含义为: Ks: 会话密钥 Kra: 用户A的私钥 KUa: 用户A的公钥 H: 散列函数 ||: 连接 R64:用radix64转换到ASCII格式
用来在客户端和服 务器真正传输应用 层数据之前建立安 全机制,包括协商 一个协议版本、选 择密码算法、对彼 此进行认证、使用 公开密钥加密技术 产生共享密码等。
应用层安全协议
电子邮件的安全性
传统的电子邮件服务难以保证邮件的机密性和完整 性,也难以鉴别发送方 PGP——Pretty Good Privacy(相当好的保密) 主要用于安全电子邮件,它可以对通过网络进行传 输的数据创建和检验数字签名、加密、解密以及压 缩。
网络层安全 协议
网络层安全协议
IPSec
一个工业标准网络安全 协议 为IP网络通信提供透明 的安全服务,保护 TCP/IP通信免遭窃听和 篡改,可以有效抵御网 络攻击。 保护IP数据包安全 为抵御网络攻击提供防 护措施
应用层
HTTP … SMTP
DNS
… RTP
运输层
TCP
UDP
网际层
IP
用来直接加密主机之间的网络通信 用来在两个子网之间建造 “虚拟隧道”实现两个网 络之间的安全通信
IP头 TCP头
初始数据报
隧道模式
数据
IP头
IPSec头
TCP头
数据
传送模式下的数据报格式
外层IP头
IPSec头
内层IP头
TCP头
数据
隧道模式下的数据报格式
IPSec安全传输技术
IPSec传输模式
EP: 公钥加密 DP: 公钥解密 EC: 常规加密 DC: 常规解密 Z: 用ZIP算法进行数据压缩 Z-1:解压缩
PGP提供鉴别与机密性的过程
KUb E [Ks] KUb
KRa Ks Z
EC
KRb EKRa[H(M)] KUa
EP
DP
DP
M
H
EP
||
||
DC
Z-1
M
比较 H
图中符号的含义为: Ks: 会话密钥 Kra: 用户A的私钥 KUa: 用户A的公钥 H: 散列函数 ||: 连接 R64:用radix64转换到ASCII格式
网络信息安全
第7讲 网络安全协议
杨明 紫金学院计算机系 2018/10/23
内容
网络安全概述 网络层安全协议IPSec 传输层安全协议SSL 应用层安全协议PGP
网络安全技术
网络安全技术
攻击技术和防御技术
防御技术
密码技术、网络安全协议、防火墙技术、入侵检测 技术、虚拟专用网技术等。 网络监听、网络扫描、网络入侵、恶意代码、网络 后门
安全电子邮件PGP
PGP的功能
功能 保密性 使用的算法 IDEA、CAST或三重 DES, DiffieHellman或RSA RSA或DSS,MD5或SHA ZIP Radix64交换 解释说明 发送者产生一次性会话密钥,用 会话密钥以IDEA或CAST或三重DES 加密消息,并用接收者的公钥以 RSA加密会话密钥 用 MD5 或 SHA 对消息散列并用发 送者的私钥加密消息摘要 使用 ZIP 压缩消息,以便于存储 和传输 对 E-mail 应用提供透明性,将 加密消息变换成ASCII字符串 为适应最大消息长度限制, PGP 实行分段并重组
攻击技术
网络安全协议的概念
协议
相互通信的两个计算机系统必须高度协调工作才行, 而这种“协调”是相当复杂的 控制两个对等实体进行通信而建立的规则、标准或约 定 语法、语义和同步三要素 提供机密性、完整性、真实性等安全服务的网络协议 网络安全协议一般要利用密码技术
网络安全协议
网络安全协议及传输技术
AH的工作原理
鉴别首部协议(AH)
封装安全载荷协议ESP
ESP协议的功能
它可为IP提供机密性、数据源验证、抗重放以及数 据完整性等安全服务。 ESP属于IPSec的机密性服务。其中,数据机密性是 ESP的基本功能,而数据源身份认证、数据完整性 检验以及抗重传保护都是可选的。 ESP主要保障IP数据报的机密性,它将需要保护的 用户数据进行加密后再重新封装到新的IP数据包中。
