网络管理与安全技术课件.pptx

网络管理与安全技术第一页，共九十二页。第6章　网络安全技术6.1安全通信协议6.2加密技术6.3认证机制6.4 VPN技术6.5 网络病毒防治技术第二页，共九十二页。第6章安全通信协议6.1 网络层安全协议体系—IPSec IPSec—IP Security6.1.1 IPSec的作用 IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序的安全性。企业可在公网上建立自己的虚拟专用网。配有IPSec系统的用户，通过ISP获取安全访问。IPSec既可用于建立内部网安全连接也可用于外部网的安全连接。IPSec可增加已有的安全协议的安全性。第三页，共九十二页。IP报头IPSec报头安全IP负载具有IPSec的用户系统IP报头IPSec报头安全IP负载具有IPSec的网络设备IP报头IP报头IP负载IP负载 第四页，共九十二页。IPSec应用示例用户系统---IPSec---WAN----IPSec---网络设备----IP--LAN 6.1 网络层安全协议体系—IPSecIPSec具有以下意义：IPSec用于防火墙和路由器等网络设备中，以提供安全的业务流，而在LAN内则可以不必进行安全性处理。IPSec用于防火墙可防止用IP的业务流绕过防火墙。IPSec位于网络层，对于应用程序来说是透明的。无需修改用户或服务器所使用的软件。第五页，共九十二页。6.1 网络层安全协议体系—IPSec IP层的安全问题涉及了认证、保密和密钥管理三个领域。其安全性应达到： 期望安全的用户能够使用基于密码学的安全机制； 应能同时适用于IPv4和IPv6; 算法独立； 有利于实现不同安全策略； 对没有采用该机制的用户不会有负面影响。第六页，共九十二页。6.1.2 IPSec体系结构 IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、算法和密钥。安全协议有：认证报头AH（Authentication Header),即认证协议。封装的安全负载ESP（Encapsulating Security Payload),即加密与认证协议。 ESP又分为仅加密和加密与认证结合两种情况。 第七页，共九十二页。体系封装安全负载ESP验证头AH加密算法验证算法解释域DOI密钥管理策略6.1.2 IPSec体系结构 第八页，共九十二页。6.1.2 IPSec体系结构体系：定义IPSec技术的机制；ESP：用其进行包加密的报文格式和一般性问题；AH：用其进行包认证的报文包格式和一般性问题加密算法：描述将各种不同加密算法用于ESP的文档；认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档； 密钥管理：描述密钥管理模式DOI ：其他相关文档，如加密和认证算法标识及运行参数等。IPSec体系结构中涉及的主要概念有：安全关联、模式、AH、ESP第九页，共九十二页。1.安全关联（Security Associations） SA是 IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。SA提供安全服务的方式是使用AH或ESP之一。 一个SA可由三个参数惟一地表示 <安全参数索引，目标IP地址，安全协议标识符> 第十页，共九十二页。1.安全关联（Security Associations）IPSec的实现还需要维护两个数据库： 安全关联数据库SAD 安全策略数据库SPD通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的算法、密钥及密钥的生存期等。SA就是能在其协商的基础上为数据传输提供某种IPSec安全保障的一个简单连接。（可以是AH或ESP）SA的组合方式有：传输模式和隧道模式第十一页，共九十二页。认证的加密的原IP报头ESP报头TCP数据ESP报尾ESP认证数据2. AH和ESP的两种使用模式传输模式 传输模式主要用于对上层协议的保护，如TCP、UDP和ICMP数据段的保护。以传输模式运行的ESP协议对IP报头之后的数据（负载）进行加密和认证，但不对IP报头进行加密和认证。以传输模式运行的AH协议对负载及报头中选择的一部分进行认证。 第十二页，共九十二页。认证的加密的新IP报头ESP报头原IP报头数据ESP报尾ESP认证数据2. AH和ESP的两种使用模式隧道模式隧道模式用于对整个IP数据报的保护，即给原数据报加一个新的报头（网关地址）。原数据报就成为新数据报的负载。原数据报在整个传送过程中就象在隧道中一样，传送路径上的路由器都有无法看到原数据报的报头。由于封装了原数据报，新数据报的源地址和目标地址都与原数据报不同，从而增加了安全性。第十三页，共九十二页。6 .1.3 IPSec服务与应用 1. SA的组合方式 一个