網(wǎng)絡(luò)安全技術(shù)06_第1頁
網(wǎng)絡(luò)安全技術(shù)06_第2頁
網(wǎng)絡(luò)安全技術(shù)06_第3頁
網(wǎng)絡(luò)安全技術(shù)06_第4頁
網(wǎng)絡(luò)安全技術(shù)06_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第6章 IP安全6.1 IP安全概述6.2 IP安全體系結(jié)構(gòu)6.3 Windows 2000中的IPSec1TCP/IP協(xié)議最重要的網(wǎng)絡(luò)協(xié)議分層定義(協(xié)議棧)IP的安全具有重要意義26.1 IP安全概述IP報頭IP面臨的威脅網(wǎng)絡(luò)監(jiān)聽拒絕服務(wù)攻擊源路由篡改IP欺騙IP劫持IP安全解決方案IPSec36.2 IP安全體系結(jié)構(gòu)IPSec概述安全關(guān)聯(lián)AH協(xié)議ESP協(xié)議Internet密鑰交換協(xié)議加密和驗證算法IPSec實現(xiàn)方式4IPSec概述由IETF (Internet Engineering Task Force)的IP安全協(xié)議工作組制定,目的是在IP層實現(xiàn)機密性和認證服務(wù)功能訪問控制數(shù)據(jù)源認證和

2、無連接完整性抗重放機密性和有限傳輸流量的機密性核心文件組成(RFC, Request For Comments)RFC2401: IP安全結(jié)構(gòu)RFC2402: IP AH(IP Authentication Header)RFC2403: ESP和AH中HMAC-MD5-96的采用RFC2404: ESP和AH中HMAC-SHA-1-96的采用RFC2405: The ESP DES-CBC Cipher Algorithm With Explicit IVRFC2406: IP ESP(IP Encapsulation Security Payload)RFC2407: The Intern

3、et IP Security Domain of Interpretation for ISAKMPRFC2408: Internet Security Association and Key Management Protocol (ISAKMP)RFC2409: The Internet Key Exchange (IKE)RFC2410: Null加密及其在IPSec中的應(yīng)用RFC1829: ESP DES-CBC變換5IP安全架構(gòu)安全聯(lián)盟(SA)安全協(xié)議AH和ESP密鑰交換認證和加密算法6安全關(guān)聯(lián)定義一個單向的邏輯連接,實際上是一個參數(shù)集,是通信雙方對參數(shù)的協(xié)商。安全參數(shù)索引(Secu

4、rity Parameters Index, SPI)、目的IP地址、安全協(xié)議可唯一標識一個安全連接。SA的類型傳輸模式隧道模式兩個數(shù)據(jù)庫安全策略數(shù)據(jù)庫安全聯(lián)盟數(shù)據(jù)庫7AH協(xié)議作用無連接完整性、數(shù)據(jù)源認證、抗重放攻擊AH頭格式8AH協(xié)議(1)AH的模式傳輸模式主機間隧道模式主機與網(wǎng)關(guān)間網(wǎng)關(guān)間AH認證算法HMAC-MD5HMAC-SHA9ESP協(xié)議作用數(shù)據(jù)源驗證、無連接完整性、抗重播、機密性、有限信息流機密性ESP頭格式10ESP協(xié)議(1)ESP模式傳輸模式隧道模式11說明ESP隧道模式比傳輸模式更安全,但要占用更多的帶寬;ESP認證的安全性不如AH,因為AH認證擴展到了外部IP頭。12Inte

5、rnet密鑰交換協(xié)議ISAKMP (Internet Security Association and Key Management Protocol)定義了建立和管理安全聯(lián)盟,認證一個通信同位體,產(chǎn)生密鑰及減少威脅的過程(如何構(gòu)建用來通信的消息、狀態(tài)變換等)。沒有定義具體的密鑰交換技術(shù)。IKE(Internet Key Exchange)定義了眾多交換方式和安全選項,IKE的最終結(jié)果是SA。交換階段1 主交換、野蠻交換2 快速交換。13加密和驗證算法ESP中使用加密算法支持算法DES 3DES RC5 IEDA 3IDEA CAST BlowfishESP和AH都使用驗證算法HMACHMAC和其它Hash函數(shù)結(jié)合使用14IPSec實現(xiàn)方式IPSec完全嵌入IP實現(xiàn)新的IP層BITS (Bump in the Stack)IPIPSecBITW (Bump in the wire)IP加密機156.3 Windows 2000中的IPSecIPSec組件IPSec驅(qū)動、安全策略、安全關(guān)聯(lián)、IPSec協(xié)議IPSec策略篩選器認證方法IP隧道連接類型兩臺主機通過IPSec會話的過程IPSec檢查安全策略,用篩選器過濾通信首次通信建立到通信對方的SAIPSec按照安全策略處理通信流量兩臺主機通信的IPSec配置演示16思考與討論AH為什么能夠?qū)崿F(xiàn)完整性和認證,而不能

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論