网络管理与安全技术ppt课件.ppt
《网络管理与安全技术ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络管理与安全技术ppt课件.ppt(92页珍藏版)》请在三一办公上搜索。
1、网络管理与安全技术,6.1安全通信协议6.2加密技术6.3认证机制6.4 VPN技术6.5 网络病毒防治技术,第6章网络安全技术,6.1 网络层安全协议体系IPSec IPSecIP Security6.1.1 IPSec的作用 IPSec通过在IP层对所有业务流加密和认证,保证了所有分布式应用程序的安全性。企业可在公网上建立自己的虚拟专用网。配有IPSec系统的用户,通过ISP获取安全访问。IPSec既可用于建立内部网安全连接也可用于外部网的安全连接。IPSec可增加已有的安全协议的安全性。,第6章安全通信协议,IPSec应用示例用户系统-IPSec-WAN-IPSec-网络设备-IP-LA
2、N,IPSec具有以下意义:IPSec用于防火墙和路由器等网络设备中,以提供安全的业务流,而在LAN内则可以不必进行安全性处理。IPSec用于防火墙可防止用IP的业务流绕过防火墙。IPSec位于网络层,对于应用程序来说是透明的。无需修改用户或服务器所使用的软件。,6.1 网络层安全协议体系IPSec,IP层的安全问题涉及了认证、保密和密钥管理三个领域。其安全性应达到:期望安全的用户能够使用基于密码学的安全机制;应能同时适用于IPv4和IPv6;算法独立;有利于实现不同安全策略;对没有采用该机制的用户不会有负面影响。,6.1 网络层安全协议体系IPSec,IPSec在IP层提供安全业务的方式是让
3、系统选择所要求的安全协议、算法和密钥。安全协议有:认证报头AH(Authentication Header),即认证协议。封装的安全负载ESP(Encapsulating Security Payload),即加密与认证协议。ESP又分为仅加密和加密与认证结合两种情况。,6.1.2 IPSec体系结构,6.1.2 IPSec体系结构,体系:定义IPSec技术的机制;ESP:用其进行包加密的报文格式和一般性问题;AH:用其进行包认证的报文包格式和一般性问题加密算法:描述将各种不同加密算法用于ESP的文档;认证算法:描述将各种不同加密算法用于AH以及ESP认证选项的文档;密钥管理:描述密钥管理模式
4、DOI:其他相关文档,如加密和认证算法标识及运行参数等。IPSec体系结构中涉及的主要概念有:安全关联、模式、AH、ESP,6.1.2 IPSec体系结构,SA是 IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系,即双向安全交换,则需要两个SA。SA提供安全服务的方式是使用AH或ESP之一。一个SA可由三个参数惟一地表示,1.安全关联(Security Associations),1.安全关联(Security Associations),IPSec的实现还需要维护两个数据库:安全关联数据库SAD 安全策略数据库SPD通信双方如果要用IPSec
5、建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的算法、密钥及密钥的生存期等。SA就是能在其协商的基础上为数据传输提供某种IPSec安全保障的一个简单连接。(可以是AH或ESP)SA的组合方式有:传输模式和隧道模式,传输模式 传输模式主要用于对上层协议的保护,如TCP、UDP和ICMP数据段的保护。以传输模式运行的ESP协议对IP报头之后的数据(负载)进行加密和认证,但不对IP报头进行加密和认证。以传输模式运行的AH协议对负载及报头中选择的一部分进行认证。,2.AH和ESP的两种使用模式,2.AH和ESP的两种使用模式,隧道模式隧道模式用于对整个IP数据报的保护,即给原数据报
6、加一个新的报头(网关地址)。原数据报就成为新数据报的负载。原数据报在整个传送过程中就象在隧道中一样,传送路径上的路由器都有无法看到原数据报的报头。由于封装了原数据报,新数据报的源地址和目标地址都与原数据报不同,从而增加了安全性。,1.SA的组合方式 一个SA能够实现AH协议或ESP协议,但却不能同时实现这两种协议。当要求在主机间和网关间都实现IPSec业务时,就要求建立多个SA,即采用SA组合方式。,6.1.3 IPSec服务与应用,LAN,实现IPSec,安全网关,安全网关,隧道SA,一个或两个SA,SA的组合方式,SA的组合方式,SA的基本组合有四种方式每个SA所承载的通信服务或为AH或为
7、ESP对主机到主机的SA,AH或ESP的使用模式可以是传输模式也可以是隧道模式。如果SA的两个端点中至少有一个安全网关,则AH或ESP的使用模式必须是隧道模式。,6.1.4 SSL协议概述 安全套接层协议SSL是在Internet上提供一种保证私密性的安全协议。C/S通信中,可始终对服务器和客户进行认证。SSL协议要求建立在可靠的TCP之上,高层的应用协议能透明地建立在SSL之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。,6.1.4 传输层安全协议SSL,保护Web安全性的方法有多种,这些方法所提供的安全业务和使用机制都彼此类似,所不同之处在于它们各
8、自的应用范围和在TCP/IP协议栈中的相对位置。,6.1.4 Web安全性方法,应用层,网络层安全实现 利用IPSec提供Web的安全性,其优点是对终端用户和应用程序是透明的,且为Web安全提供一般目的的解决方法。传输层安全实现 将SSL或TLS作为TCP基本协议组的一部分,因此对应用程序来说是透明的。还可将SSL嵌套在特定的数据包中(如IE等大多数Web服务器都装有SSL)。应用层安全实现 对特定应用程序来说,其安全业务可在应用程序内部实现,这种方法的优点是安全业务可按应用程序的特定需要来定制。,6.1.4 Web安全性方法,安全套接字层SSL是由Netscape设计的,目前有SSLv 3。
9、SSL协议主要由SSL记录协议和SSL握手协议两部分组成。其结构如下:,6.1.5 协议规范,SSL警示协议,1.SSL记录协议 SSL记录协议可为SSL连接提供保密性业务和消息完整性业务。保密性业务是通信双方通过握手协议建立一个共享的密钥,用于对SSL负载的单钥加密。消息完整性业务是通过握手协议建立一个用于计算MAC(消息完整性认证)的共享密钥。,协议规范,SSL握手协议握手协议用于服务器和客户机之间的相互认证及协商加密算法、MAC算法和密钥,它的执行是在发送应用数据以前。,协议规范,6.2.1 对称加密在对称加密方法中,用于加密和解密的密钥是相同的,接收者和发送者使用相同的密钥,即一个秘密
10、密钥。双方必须小心翼翼地保护密钥,不让外人得知。密钥的最初传输是非常重要的。如果密钥被他人截获,那么保密的信息就不再受到保护了。,6.2 加密技术,对称加密示意图,对称加密,对称算法 产生一个对称密钥可以用许多算法,RSA算法是最常用的商业算法。既能用于数据加密又能用于数字签名的算法。在商业应用程序中RSA算法中的RC2和RC4是最常用的对称密钥算法。其密钥长度为40位。RC2是由Ron Rivest开发的,是一种块模式的密文,即将信息加密成64位的数据。RC4是由Rivest 在1987年开发的,是一种流式的密文,即实时的把信息加密成一个整体,密钥的长度也是可变的。在美国密钥长度是128位,
11、向外出口时密钥长度限制到40位,Lotus Notes,Oracle Secure SQL都使用RC4的算法。,对称加密,优点和缺点 对称加密的优点在于它的高速度和高强度。用该加密方法可以一秒钟之内加密大量的信息。为了使信息在网络上传输,用户必须找到一个安全传递口令密钥的方法。如用户可以直接见面转交密钥,若使用电子邮件则容易被窃取,影响保密的效果。定期改变密钥可改进对称密钥加密方法的安全性,但是改变密码并及时通知其他用户的过程是相当困难的。而且攻击者还可以通过字典程序来破译对称密钥。,对称加密,数据加密标准 DES-最著名的对称加密技术,是IBM于70年代为国家标准局研制的数据加密标准。DES
12、采用64位长的密钥(包括8个校验位,密钥长度为56位),能将原文的若干个64位块变换成加密的若干个64位代码块。其原理是将原文经过一系列的排列与置换所产生的结果再于原文异或合并。该加密过程重复16次,每次所用的密钥位排列不同。即使按照目前的标准,采用该方法的加密结果也是相当安全。,对称加密,美国在1998年12月决定将不再使用DES。原因为1998年5月美国EFF(Electronics Frontier Foundation)宣布,他们的一台专用解密机,用56小时破译了56位密钥的DES。美国国家标准和技术协会又制定了AES(Advanced Encryption Standard)这一新的
13、加密标准。DES对于推动密码理论的发展和应用起了重大的作用。,对称加密,非对称密钥加密在加密的过程中使用相互关联的一对密钥,一个归发送者,一个归接收者。密钥对中的一个必须保持秘密状态,称为私钥;另一个则被广泛发布,称为公钥。这一组密钥中的一个用于加密,另一个用于解密。,6.2.2 非对称加密,非对称加密,非对称加密示意图,非对称加密示意图,例如,用户A要向用户B发送一条消息,A就必须用B的公钥对信息进行加密,然后再发送。B接收到经过加密的消息之后,用其自己的私钥加以解密获取原始信息。在传输的过程中,任何想窃取信息的人因为没有B的私钥而无法获取信息。尽管公钥和私钥是相关的,但要想从公钥确定私钥还
14、是极端困难的。,非对称加密,优点:由于公钥是公开的,而私钥则由用户自己保存,所以对于非对称密钥来说,其密钥管理相对比较简单。缺点:因为复杂的加密算法,使得非对称密钥加密速度较慢,即使一个很简单的非对称加密也是很费时间的。,非对称加密,单向加密包括一个含有哈希函数的哈希表,由这个表确定用来加密的十六位进制数。使用单向加密对信息加密,在理论上加以解密是不可能的。HASH加密用于不想对信息解读或读取而只需证实信息的正确性。这种加密方式适用于签名文件。,6.2.3 单向加密(Hash encryption),例如,ATM自动取款机不需要解密用户的身份证号码,可以对用户的身份证号码进行计算产生一个结果。
15、即磁条卡将用户的身份证号单向加密成一段HASH值,一旦插卡,ATM机将计算用户信息的HASH值并产生一个结果,然后再将其结果与用户卡上的HASH值比较,以此进行认证。,单向加密(Hash encryption),HASH算法 HASH加密使用复杂的数字算法来实现有效的加密。典型HASH算法MD5算法 MD5提供了一种单向的哈希函数,是一个校验和工具。它将一个任意长的字串做为输入,产生一个128位的“报文摘要”。通过计算每个文件的数字指纹(或数字签名),来检查文件是否被更换,或者是否与原来的一致。一个称为MD系列的算法集就是进行这项工作的。其中最常用到的是MD5的系统。,单向加密(Hash en
16、cryption),数字签名在商业系统中,通常都利用书面文件来规定契约性的责任。鉴别技术可以有效地防止第三者的介入,但却不能防止接收者的伪造。另一方面,当发送的信息变得对其不利时,发送方就可能谎称从未发过这个信息。在整个争执过程中,第三方也无法分辨情况的真实性。,单向加密(Hash encryption),为了解决上述问题,就必须利用另外一种安全技术即数字签名。数字签名的功能:l 接收者能够核实发送者对报文的签名。l 发送者事后不能抵赖对报文的签名。l 任何人不能伪造对报文的签名。l 保证数据的完整性,防止截获者在文件中加入其他信息。l 对数据和信息的来源进行保证,以保证发件人的身份。数字签名
17、有一定的处理速度,能够满足所有的应用需求。,单向加密(Hash encryption),实用加密 为确保信息在网上长距离的安全传输。通常将对称、非对称和HASH加密综合使用。一些像IIS,PGP,SSL,S-MIME的应用程序都是用对称密钥对原始信息加密,再用非对称密钥加密所使用的对称密钥,最后用一个随机码标记信息确保不被篡改。例如:发送和接收E-mail中加密的实现全部过程,6.2.4 实用加密举例,1)发送方和接收方在发送信息之前要得到对方的公钥。2)发送方产生一个随机的会话密钥,用于加密email信息和附件的。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用DES,
18、Triple DES,RC5等等。3)发送者将该会话密钥和信息进行一次单向加密得到一个HASH值。这个值用来保证数据的完整性因为它在传输的过程中不会被改变。在这一步通常使用MD2,MD4,MD5或SHA1。MD5用于SSL。4)发送者用自己的私钥对这个HASH值加密。通过使用发送者的私钥加密,接收者可以确定信息确实是从这个发送者发过来的。加密后的HASH值称做信息摘要。,实用加密举例,5)发送者用在第二步产生的会话密钥对E-mail信息和所有的附件加密。这种加密提供了数据的保密性。6)发送者用接收者的公钥对这个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。这步提供了认证。7)然后将加
19、密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。,6.2.4 实用加密举例,1.PGP(Pretty Good Privacy)PGP是对电子邮件和文本文件较流行的高技术加密程序,PGP的成功在于采用对称加密和非对称加密技术以及HASH加密各自的优点。2.Secure MIME(S-MIME)S-MIME为一个公共的工业标准方法,主要应用到Netscape Communicators Messenger E-mail程序上。,6.2.5 加密技术的实现,3.加密文件 除了加密E-mail信息,还可以加密整个硬盘的任何部分,建立隐藏加密的驱动器。对于Windows平台可选Bes
20、tCrypt()。4.MD5sumMD5sum可以应用到Windows NT或Liunx上。Linux系统下的md5sum实用程序可对一个单独的文件建立固定长度的校验和,该文件长度可以任意,但校验和总是保持128位的长度。用于检查一个文档是否被损害。,6.2.5 加密技术的实现,5.Web服务器加密加密WEB服务器有两种模式:安全超文本传输协议(Secure HTTP)安全套接字层(SSL)。这两种协议都允许自发的进行商业交易,Secure HTTP和SSL都使用对称加密,非对称加密和单向加密,并使用单向加密的方法对所有的数据包签名。,6.2.5 加密技术的实现,Secure HTTP使用非对
21、称加密保护在线传输,大多数浏览器都支持这个协议。SSL协议允许应用程序在公网上秘密的交换数据。SSL允许两个应用程序通过使用数字证书认证后在网络中进行通信。还使用加密及信息摘要来保证数据的可靠性。SSL比其它方法更加安全,其加密的过程是发生在网络的较低层。Secure HTTP只能加密HTTP流量。,6.2.5 加密技术的实现,1密钥的穷尽搜索破译密文就是尝试所有可能的密钥组合。虽然大多数的密钥尝试都是失败的,但最终有一个密钥让破译者得到原文,这个过程称为密钥的穷尽搜索。2密码分析(1)已知明文的破译方法(2)选定明文的破译方法,密码破译方法,3其他密码破译方法“窥视”或“偷窃”密钥内容;利用
22、加密系统实现中的缺陷或漏洞;对用户使用的加密系统偷梁换柱;从用户工作生活环境的其他来源获得未加密的保密信息;让口令的另一方透露密钥或信息;威胁用户交出密钥等等。,密码破译方法,4防止密码破译的措施(1)强壮的加密算法(2)动态会话密钥(3)保护关键密钥,密码破译方法,常见系统的口令及其对应的密钥长度,密码破译方法,6.3.1 系统登陆 1 Unix系统登陆Unix系统是一个可供多个用户同时使用的多用户、多任务、分时的操作系统,任何一个想使用Unix系统的用户,必须先向该系统的管理员申请一个账号,然后才能使用该系统,因此账号就成为用户进入系统的合法“身份证”。,6.3 系统访问控制与认证机制,2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 管理 安全技术 ppt 课件
链接地址:https://www.31ppt.com/p-6335583.html