返回
《安全与web安全》ppt课件

《安全与web安全》ppt课件

ID:26928828

大小:530.00 KB

页数:37页

时间:2018-11-30

《安全与web安全》ppt课件_第1页
《安全与web安全》ppt课件_第2页
《安全与web安全》ppt课件_第3页
《安全与web安全》ppt课件_第4页
《安全与web安全》ppt课件_第5页
资源描述:

《《安全与web安全》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章IP安全与Web安全11内容提要◎IPSec的必要性,IPSec中的AH协议和ESP协议◎密钥交换协议IKE◎VPN的功能以及解决方案◎Web安全性的3个方面和SSL和TLS安全协议的内容与体系结构11.IP安全概述大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的,TCP/IP协议簇有两种IP版本:版本4(IPv4)和版本6(IPv6)。

2、IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。11.1.1IP安全的必要性目前占统治地位的是IPv4,IPv4在设计之初没有考虑安全性,IP包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真实性。为了加强因特网的安全性,从1995年开始,IETF着手制定了一套用于保护IP通信的IP安全协议(IPSecurity,IPSec)。IP

3、Sec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。11.1.1IP安全的必要性IPSec定义了一种标准的、健壮的以及包容广泛的机制,可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。IPSec协议簇包括两个安

4、全协议:AH协议和ESP协议。AH协议(AuthenticationHeader,验证头):可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。ESP协议(EncapsulatingSecurityPayload,封装安全载荷):具有所有AH的功能,还可以利用加密技术保障数据机密性。11.1.1IP安全的必要性虽然AH和ESP都可以提供身份认证,但它们有2点区别:ESP要求使用高强度的加密算法,会受到许多限制。多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。有两套不同的安全协议意味着可以对IP

5、Sec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。11.1.2IPSec的实现方式IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。其中传输模型的作用方式传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。11.1.3IPSec的实施IPSec可在终端主机、网关/路由器或者两者中同时进行实施和配置。至于IPSec在网络什么地方配

6、置,则由用户对安全保密的要求来决定。在需要确保端到端的通信安全时,在主机实施显得尤为有用。然而,在需要确保网路一部分的通信安全时,在路由器中实施IPSec就显得非常重要。11.1.4验证头AHAH为IP报文提高能够数据完整性校验和身份验证,还具备可选择的重放攻击保护,但不提供数据加密保护。AH不对受保护的IP数据报的任何部分进行加密,除此之外,AH具有ESP的所有其他功能。AH的协议分配数为51,AH和ESP同时保护数据,在顺序上,AH在ESP之后,AH格式如图11.1.5封装安全有效载荷ESPESP为IP报文提供数据完整性校验、身

7、份验证、数据加密以及重放攻击保护等。除了AH提供的所有服务外,还提供机密性服务。ESP可在传输模式以及隧道模式下使用。ESP头可以位于IP头与上层协议之间,或者用它封装整个IP数据报。ESP协议分配数为50,ESP头的格式11.2密钥交换协议IKEIPSec使用共享密钥执行数据验证以及机密性保障任务,为数据传输提供安全服务。对IP包使用IPSec保护之前,必须建立一个安全关联SA,SA可以手工创建或者动态建立。采用手工增加密钥的方式会大大降低扩展能力,利用因特网密钥交换(InternetKeyExchange,IKE)可以动态地验证

8、IPSec参与各方的身份。IKE的主要用途是在IPSec通信双方之间建立起共享安全参数以及验证过的密钥,也就是建立“安全关联”关系。11.2.1IKE协议的组成整个IKE协议规范主要由3个文档定义:RFC2407、RFC2408和RF

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。