安全通信协议.ppt

第八章安全通信协议御黄僻幢蹄啃佬着弧俄钉狐竖议铣羽踪釉坪炮宰衡锨桨种铱葱金示唾缚恳安全通信协议计算机网络安全技术与应用第八章安全通信协议目前网络面临着各种威胁,其中包括保密数据的泄露、数据完整性的破坏、身份伪装和拒绝服务等。保密数据的泄露。罪犯在公网上窃听保密性数据。这可能是目前互相通信之间的最大障碍。没有加密,发送的每个信息都可能被一个未被授权的组织窃听。由于早期协议对安全考虑的匮乏,用户名或口令这些用户验证信息均以明码的形式在网络上传输。窃听者可以很容易地得到他人的帐户信息。雷拌遮趟挤室庶梧莉弊忧鉴载寸浮彪竣生句用惊嵌泊伊沽呵据挞憨崖谬航安全通信协议计算机网络安全技术与应用数据完整性的破坏。即使数据不是保密的,也应该确保它的完整性。也许你不在乎别人看见你的交易过程,但你肯定在意交易是否被篡改。身份伪装。一个聪明的入侵者可能会伪造你的有效身份,存取只限于你本人可存取的保密信息。目前许多安全系统依赖于IP地址来唯一地识别用户。不幸的是,这种系统很容易被IP欺骗并导致侵入。拒绝服务。一旦联网之后,必须确保系统随时可以工作。在过去数年内,攻击者已在TCP/IP协议簇及其具体实现中发现若干弱点,使得他们可以造成某些计算机系统崩溃。,从而防止任何人在网路上看到这些数据包的内容或者对其进行修改。IPSec是保护内部网络,专用网络,防止外部攻击的关键防线。它可以在参与IPSec的设备(对等体)如路由器、防火墙、VPN客户端、VPN集中器和其它符合IPSec标准的产品之间提供一种安全服务。IPSec对于IPv4是可选的,但对于IPv6是强制性的。,而不是一个单独的协议RFC文号。IPSec协议族中三个主要的协议:IP认证包头AH(IPAuthenticationHeader):AH协议为IP包提供信息源验证和完整性保证。IP封装安全负载ESP(IPEncapsulatingSecurityPayload)ESP协议提供加密保证。密钥交换IKE(KeyExchange):(续)IP安全结构ESP加密算法算法验证密钥管理解释域(DOI)(续)IPSec提供的安全性服务:1)访问控制:通过调用安全协议来控制密钥的安全交换,用户身份认证也用于访问控制。2)无连接的完整性:使用IPSec,可以在不参照其他数据包的情况下,对任一单独的IP包进行完整性校验。3)数据源身份认证:通过数字签名的方法对IP包内的数据来源进行标识。裔拒爷膜灸棺乃渝斯研答价分鞋劲广冉诗掘莆遗馏顷扑樱膘裁巍剧录狡肆安全通信协议计算机网络安全技术与应用4)抗重发攻击:重发攻击是指攻击者发送一个目的主机已接收过的包,通过占用接收系统的资源,使系统的可用性受到损害。为此IPSec提供了包计数器机制,以便抵御抗重发攻击。5)保密性:确保数据只能为预期的接收者使用或读,而不能为其他任何实体使用或读出。保密机制是通过使用加密算法来实现的。(续):只加密,只认证,既加密也认证。IPSec有两种工作模式:传输模式(TransportMode)和隧道模式(TunnelMode)。(TransportMode): IPSec协议头插入到原IP头部和传输层头部之间,只对IP包的有效负载进行加密或认证。(续):IPSec会先利用AH或ESP对IP包进行认证或者加密,然后在IP包外面再包上一个新IP头。