网络安全协议培训课件.ppt

2020/6/10，1，第4章网络安全协议，4.1 CTP/IP协议族和网络安全协议4.2PGP协议4.3SSL协议4.4IPSec协议简介网络安全协议的作用是在网络的所有级别提供不同的安全服务。2020/6/10，2，4.1TCP/IP协议族和网络安全协议，TCP/IP协议集奠定了互联网的技术基础。TCP/IP的发展始于美国国防部计划。互联网工程任务组，一个隶属于互联网架构委员会的工作组，已经开发了其中的大部分协议。IAB最初是由美国政府发起的，现在已经转变为一个开放的自治机构。IAB合作研究和开发协议组的底层结构，并指导互联网的发展。2020/6/10，3，TCP/IP协议族是互联网的基本协议，是一组协议，包括基于传输层的TCP协议、基于网络层的UDP协议和IP协议、ICMP协议和IGMP协议等。TCP/IP的核心功能是寻址和路由(网络层的IP/IPV6)以及传输控制(传输层的TCP、UDP)。2020/6/10，4。国际标准化组织/开放系统互连参考模型将网络结构分为7层，每一层都实现特定的功能，但互联网体系结构仅由4个概念性功能层描述。OSI参考模型，TCP/IP参考模型，2020/6/10，5，TCP/IP协议集，2020/6/10，6，4.1.2网络安全协议概述，网络安全协议，2020/6/10，7，4.2.1PGP协议，4 . 2 . 1 GP简介PGP(Plutyboost)，是一个提供安全电子邮件的软件包。提供加密、认证、数字签名、压缩和其他技术是PhilZimmermann在1991年编写的一个安全的电子邮件加密方案，已经成为事实上的标准。有两种类型的PGP版本：仅供个人非商业使用的PGP免费版本和供公司使用的PGP商业版本。公共领域有不同版本的PGP。例如，您可以在国际PGP主页上找到合适平台的PGP软件。PGP也是一种商业产品，可以用作许多电子邮件用户代理的插件(如微软的交换和展望)。PGP应用的特点是高速、高效和跨平台。PGP是一个位于应用层的安全协议，实际上它也是一个在应用层提供安全服务的软件。2020/6/10，8，4 . 2 . 2 GP函数，1)采用一次性秘密对称加密算法，密钥随邮件加密传输，每次可以不同。2)采用数字签名来防止过程中的篡改和伪造。3)压缩邮件内容以减少投递量。4)执行base64编码以促进与不同邮件递送系统的兼容性。PGP的核心功能是：文件加密、通信加密和数字签名。PGP使用的安全加密算法和处理方法主要包括IDEA对称密码算法、MD5消息摘要算法、RSA公钥算法、base64编码、ZIP程序压缩等。2020/6/10，9，PGP加密的工作原理图，2020/6/10，10，PGP通过单向哈希算法对邮件内容进行签名，以确保邮件内容不可修改，并使用公钥和私钥技术来确保邮件内容的机密性和不可否认性。发送方和接收方的公钥在公共场所公布，公钥本身的权威由第三方签署和认证，尤其是由接收方熟悉或信任的第三方签署和认证。2020/6/10，11，4 . 2 . 3 GP应用示例，从下载并安装PGP8.0，重启将自动启动“PGPsdkService”服务。选择“稍后”，2020/6/10/12，配置PGP，启动PGP后，PGP软件会在任务栏中生成一个小图标，即小锁图标，点击小锁，在弹出菜单中选择 PGP邮件，会出现一个程序栏。2020/6/10，13，安装PGP后，软件将为用户生成一个公钥对。该公钥可以发布在用户的个人网站或公钥服务器上。私钥受密码保护。每次用户访问这个私钥时，他必须输入一个密码。PGP允许用户选择是使用数字签名、加密消息还是两者都使用。签名消息或加密消息跟随在MIME头之后。PGP还提供了一种公钥认证机制，但这种机制与more基因完全不同当用户A认为密钥/用户名对确实在一起时，他可以进行身份验证。此外，PGP允许用户A声明他信任的其他用户负责验证更多密钥。一些PGP用户通过密钥签名协议来签署他们自己的密钥。用户找到了见面的机会，交换包含公钥的磁盘，并通过用自己的私钥签署自己的密钥来验证密钥。PGP公钥也可以通过互联网上的PGP公钥服务器发布。当然，公共密钥也可以很容易地在个人网页上获得。2020/6/10，14，PGP使用PGPKeys来管理密钥环)1。密钥生成、传播和撤销通常在安装过程中完成。您也可以在PGPKeys中生成一个新键，即从任务栏中弹出的菜单中选择PGPKeysKeysNewKey。如果要撤销密钥，只需选择撤销。2020/6/10、15、2020/6/10、16、2020/6/10、17、2020/6/10、18、密钥属性对话框、2020/6/10、19、2。数字签名使用自己的私钥来签署电子邮件等等。3.加密和解密单击“加密”打开一个选择加密文件的对话框。“常规加密”输入确认密码完成。4.解密是加密的逆过程。使用“解密，验证”，2020/6/10，20，4.3安全套接层协议，是安全套接层协议的缩写，是网景公司提出的一种基于网络应用的安全协议，位于传输控制协议和应用层之间，是一种独立的安全协议，换句话说，是高级应用协议(如超文本传输协议、文件传输协议、远程登录协议等)。)可以透明地建立在SSL上。SSL主要适用于点对点的信息传输。它通常在客户机/服务器模式下使用，可以在服务器和客户机上得到支持。SSL协议提供的服务可以归纳为以下三个方面：1)用户和服务器身份的合法性认证。2)SSL链路上的数据保密性。3)SSL链路上数据的完整性。2020/6/10，21，目前网上银行和电子商务等大型网上交易系统普遍采用的是超文本传输协议和SSL的结合。服务器使用支持SSL的网络服务器，用户使用支持SSL的浏览器来实现安全通信。对于电子商务应用，SSL可以为信用卡和个人信息提供完整性和保密性保护。然而，由于SSL没有对应用层消息进行电子签名，因此它不能提供交易的不可否认性，这是SSL在电子商务中的最大不足。有鉴于此，网景公司在所有浏览器中引入了一个名为“表单签名”的功能，从通信器4.04版本4.04开始。在电子商务中，该功能可用于对包含买方订单信息和支付指令的表格进行数字签名，从而确保交易信息的不可否认性。2020/6/10，22，SSL协议在传输层和更高层提供网络安全传输服务，这要求建立在可靠的传输层协议(如TCP)上。在应用层协议通信之前，SSL协议已经完成了加密算法、通信密钥协商和服务器认证。之后，通过应用层协议传输的数据将被加密，以确保通信的安全性。它也是传输层安全性(TLS)的基础，使用户/服务器应用程序之间的通信不会被攻击者窃听，并且始终对服务器进行身份验证，还可以选择对用户进行身份验证。2020/6/10，23，SSL协议是一个两层协议：上层协议包括SSL握手协议、更改密码规范协议和报警协议，下层协议是SSL记录协议。相应的操作分为两个阶段：第一阶段是握手阶段(发送方和接收方协商并确定加密算法和密钥)，第二阶段是数据加密传输阶段(根据第一阶段商定的密钥加密数据)。SSL协议使用公钥技术，已成为互联网安全通信的行业标准。当前的网络浏览器通常结合了超文本传输协议和SSL协议来实现安全通信。SSL协议最重要的功能是通过SSL握手协议和记录协议来实现的。，4 . 3 . 2结构和算法，2020/6/10，24，SSL协议栈，2020/6/10，25，SSL握手协议(SSL handshake protocol)，它基于SSL记录协议，用于在实际数据传输开始之前客户端和服务器之间的“握手”。“握手”是一个谈判过程。该协议使客户端和服务器能够相互识别，协商加密和认证算法，并协商密钥。在传输任何数据之前，必须使用握手协议。客户端和服务器之间的身份验证通过发送X.509数字证书来实现。加密算法可以选择DES、3-DES、IDEA、RC2、RC4等。认证算法可以选择SHA算法和MD5消息摘要算法。密钥交换和协商通常由RSA公钥算法完成。2020/6/10，26，SSL更改密码规范协议是使用SSL记录协议服务的SSL高级协议的三个特定协议之一，也是其中最简单的一个。该协议由一条消息组成，该消息只包含一个值为1的字节。此消息的唯一功能是将挂起状态复制到当前状态，并更新用于当前连接的密码组。为了保证SSL传输过程的安全性，双方应定期更改加密规范。SSL警报协议用于向对等方发送与SSL相关的警告。如果一方在通信过程中发现任何异常，它需要向另一方发送警报消息。有两种警告信息：一个是致命错误。例如，如果在数据传输过程中发现错误的媒体访问控制，双方都需要立即中断会话，并在其缓冲区中删除相应的会话记录。第二个是警告信息。在这种情况下，通信双方通常只记录日志，对通信过程没有任何影响。SSL握手协议可以使服务器和客户端相互识别，协商特定的加密算法、MAC算法和密钥来保护SSL记录中发送的数据。2020/6/10，27，在握手协议完成之前，无法实现SSL记录协议。它的主要功能是为封装数据、压缩、添加消息认证码、加密等基本功能提供支持。用于高级协议。2020/6/10，28，4 . 3 . 3 SSL的应用，以网络通信代理(WebProxy)形式的“核新SSL数据安全代理”核新SSL通信安全代理(以下简称“安全代理”)的应用为浏览器提供高强度(128位或更高)数据加密能力，并可用作各种电子商务应用系统的客户的数据安全支持平台。安全代理与网络浏览器安装在同一台计算机上。当浏览器想要与远程网络服务器建立安全连接时，它会向安全代理发送一个请求，安全代理负责与远程网络服务器建立连接。连接建立后，浏览器和服务器之间的数据传输通过安全代理转发完成。浏览器和安全代理之间的数据传输使用浏览器本身支持的少于40位的弱加密算法加密，而安全代理和远程网络服务器之间的数据传输使用高强度数据加密算法加密。2020/6/10，29，2020/6/10，30，4.4 IPSec协议简介，IPSec(网际协议安全)是一种行业标准的网络安全协议。IPSec主要提供以下安全服务：数据内容的机密性、数据来源的验证、数据完整性的验证以及防止重放。IPSec(通常称为IP安全协议)是一组安全的IP协议，是一种在IP数据包级别为IP服务提供保护的安全协议标准。其基本目的是将安全机制引入到IP协议中，并通过使用现代加密方法来支持加密和认证服务，以便用户可以有选择地使用和获得所需的安全服务。IPSec的优势和应用。IPSec位于TCP/IP层次结构的IP层，因此它可以加密和验证IP层的所有流量。所有分布式应用程序，包括远程注册、客户端/服务器、电子邮件、文件传输、网络访问等。可以通过IPSec添加安全功能。IPSec是一种端到端的安全模式。适用于以下网络：局域网：C/S模式，对等模式广域网：路由器对路由器模式，网关对网关模式远程访问：拨号客户端，专用网络访问互联网。2020/6/10，32，IPSec的优势：1)IPSec具有更好的兼容性。2)比高级安全协议更好的性能和更方便的实现；它比基础安全协议更能适应通信媒体的多样性。3)系统开销低。4)透明度。5)开放性。IPSec安全协议定义了如何通过向IP数据包添加扩展头和字段来确保IP数据包的机密性、身份验证和完整性。2020/6/10，33，4.4.2IPSec体系结构，IPSec也由多个子协议组成，将几种安全技术结合起来形成一个相对完整的安全体系结构。它由三个子协议组成：互联网密钥交换(IKE)、认证头(AH)和封装安全密码下载(ESP)。IPSec通过向IP协议添加两个基于密码的安全机制身份验证头和一个安全封装有效负载，支持IP数据段的机密性、可认证性和完整性。通过IP安全协议和密钥管理协议构建IP层安全架构框架，保护所有基于IP的服务和应用。当这些安全机制得到正确实施时，它们不会对不使用这些安全机制的用户、主机和其他互联网组件产生负面影响。由于这些安全机制独立于算法，因此在选择和更改算法时不会影响其他部分的实现，这对于用户和上层应用程序是透明的。因特网密钥交换协议(IKE):用于动态地建立SA:安全关联(SA:安全关联)，所谓的SA是通信对等体之间的某些元素的协议。IKE协议主要管理密钥交换，主要包括三个功能：协议协商、加密算法和密钥；方便的密钥交换机制(这可能需要定期进行)；跟踪这些协议的执行情况。2)认证头(AH):设计AH协议的主要目的是增加数据完整性的认证机制，并为IP数据流提供高强度的密码认证，以确保修改后的数据包可以被检出。它可以防止地址欺骗攻击和重传攻击。它支持