資源描述:
《網(wǎng)絡(luò)與信息安全new》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、2008-2009年度北京大學(xué)碩士研究生課程安全技術(shù)/產(chǎn)品OSI協(xié)議分層安全協(xié)議網(wǎng)絡(luò)與信息安全代理防火墻/保密網(wǎng)關(guān)應(yīng)用層應(yīng)用相關(guān)第十一講表示層信源加密會話層SOCKS網(wǎng)絡(luò)安全協(xié)議動態(tài)包過濾防火墻傳輸層SSL/TLS靜態(tài)包過濾防火墻網(wǎng)絡(luò)層IPSec陳鐘教授信道加密鏈路層PPTP/L2TP北京大學(xué)信息科學(xué)技術(shù)學(xué)院軟件研究所-信息安全研究室物理層chen@infosec.pku.edu.cn2009/4/27NISC-11?cz@PKU討論議題安全服務(wù)(SecurityServices)?IPSec根據(jù)ISO7498-2,安全服務(wù)包括:安全服務(wù)安全服務(wù)鑒別完整性對等實體鑒別帶恢復(fù)的連接完整性
2、?SSL/TLS數(shù)據(jù)原發(fā)鑒別不帶恢復(fù)的連接完整性訪問控制選擇字段的連接完整性無連接完整性機(jī)密性選擇字段的無連接完整性連接機(jī)密性無連接機(jī)密性非否認(rèn)選擇字段機(jī)密性有數(shù)據(jù)原發(fā)證明的非否認(rèn)通信業(yè)務(wù)流機(jī)密性有交付證明的非否認(rèn)安全服務(wù)與層的關(guān)系OSI到TCP/IP的映射分層分層1234567網(wǎng)絡(luò)接口網(wǎng)絡(luò)層傳輸層應(yīng)用層服務(wù)服務(wù)對等實體鑒別YYY對等實體鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY數(shù)據(jù)原發(fā)鑒別YYY訪問控制服務(wù)YYY訪問控制服務(wù)YYY連接機(jī)密性YYYYYY連接機(jī)密性YYYY無連接機(jī)密性YYYYY無連接機(jī)密性YYYY選擇字段機(jī)密性YY選擇字段機(jī)密性Y通信業(yè)務(wù)流機(jī)密性YYY通信業(yè)務(wù)流機(jī)密性YYY帶恢復(fù)的連
3、接完整性YY帶恢復(fù)的連接完整性YY不帶恢復(fù)的連接完整性YYY不帶恢復(fù)的連接完整性YYY選擇字段的連接完整性Y選擇字段的連接完整性Y無連接完整性YYY無連接完整性YYY選擇字段的無連接完整性Y選擇字段的無連接完整性Y原發(fā)方的非否認(rèn)Y原發(fā)方的非否認(rèn)Y接收方的非否認(rèn)Y接收方的非否認(rèn)Y1TCP/IP協(xié)議棧Internet安全性途徑?網(wǎng)絡(luò)層——IP安全性(IPSec)?傳輸層——SSL/TLS?應(yīng)用層——S/MIME,PGP,PEM,SET,應(yīng)用層SMTPHTTPTELNETDNSSNMPKerberos,SHTTP,SSH傳輸層TCPUDP網(wǎng)絡(luò)層ICMPIPIGMP網(wǎng)絡(luò)接ARPRARP口層網(wǎng)絡(luò)
4、層安全傳輸層安全SMTPHTTPTELNETDNS應(yīng)用層應(yīng)用層SMTPHTTPTELNETDNSSNMPSSL/TLSSNMP傳輸層TCPUDP傳輸層TCPUDP網(wǎng)絡(luò)層IP/IPSEC網(wǎng)絡(luò)層IP應(yīng)用層安全I(xiàn)P協(xié)議?IP是TCP/IP協(xié)議族中至關(guān)重要的組成部分,但它提供的是一種不可靠、無連接的的數(shù)據(jù)報傳輸服務(wù)。PPGES/MIMESHTTPSSHDNSSECSNMPv3?不可靠(unreliable):不能保證一個IP數(shù)據(jù)報成PM應(yīng)用層功地到達(dá)其目的地。錯誤處理辦法:扔掉該數(shù)據(jù)SMTPHTTPTELNETDNSSNMPKerberos報,向其發(fā)送著傳送一個ICMP消息。?無連接(conn
5、ectionless):IP并不維護(hù)關(guān)于連續(xù)傳輸層TCPUDP發(fā)送的數(shù)據(jù)報的任何狀態(tài)信息。每個數(shù)據(jù)報單獨網(wǎng)絡(luò)層處理,在傳送過程中可能出現(xiàn)錯序。IP2IPv4頭用戶數(shù)據(jù)經(jīng)過協(xié)議棧的封裝過程用戶數(shù)據(jù)應(yīng)用4位版本號4位報頭長度8位服務(wù)類型(TOS)16位總長度(以8位組為單位)TCP16位標(biāo)識3位標(biāo)志13位分段移位應(yīng)用頭用戶數(shù)據(jù)208位生存期8位協(xié)議16位報頭校驗和個IP八TCP頭應(yīng)用數(shù)據(jù)32位源IP地址位組TCP分段32位目的IP地址以太網(wǎng)驅(qū)動程序IP頭TCP頭應(yīng)用數(shù)據(jù)選項填充IP數(shù)據(jù)報以太網(wǎng)以太網(wǎng)幀頭IP頭TCP頭應(yīng)用數(shù)據(jù)以太網(wǎng)幀尾TOS3位優(yōu)先權(quán)DTRC01420204以太網(wǎng)幀46到1
6、500字節(jié)IPv6IPv6基本頭IPv6基本頭分組擴(kuò)展頭4位版本號8位通信量類型20位流標(biāo)號16位有效載荷長度8位下一個首部8位跳數(shù)限制128位源IP地址TCP頭128位目的IP地址數(shù)據(jù)IPv4的缺陷IPSec的起源?缺乏對通信雙方身份真實性的鑒別能力?1994年IETF專門成立IP安全協(xié)議工作組,來制定?缺乏對傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù)的機(jī)制和推動一套稱為Ipsec的IP安全協(xié)議標(biāo)準(zhǔn)。?由于IP地址可軟件配置以及基于源IP地址的鑒別?1995年8月公布了一系列關(guān)于IPSec的建議標(biāo)準(zhǔn)機(jī)制,IP層存在:?1996年,IETF公布下一代IP的標(biāo)準(zhǔn)IPv6,把鑒業(yè)務(wù)流被監(jiān)聽和捕獲、IP地
7、址欺騙、信息泄露和別和加密作為必要的特征,IPSec成為其必要的數(shù)據(jù)項篡改等攻擊組成部分?幸運的是,IPv4也可以實現(xiàn)這些安全特性。3IPSec的應(yīng)用IPSec的應(yīng)用方式?IPSec為在LAN、WAN和Internet上的通訊提供?端到端(end-end):主機(jī)到主機(jī)的安全通信安全性?端到路由(end-router):主機(jī)到路由設(shè)備之間的安–分支辦公機(jī)構(gòu)通過Internet互連。(SecureVPN)全通信–通過Internet的遠(yuǎn)程訪問。?路