网络安金 NETWORK SECURITY 第八章 安全遢信协议
第八章 安全通信协议
第八章安全通信协议 网络安金 NETWORK SECURITY 目前网络面临着各种威胁,其中包括保密数据的泄 露、数据完整性的破坏、身份伪装和拒绝服务等。 保密数据的泄露。罪犯在公网上窃听保密性数据。 这可能是目前互相通信之间的最大障碍。没有加密,发 送的每个信息都可能被一个未被授权的组织窃听。由于 早期协议对安全考虑的匮乏,用户名或口令这些用户验 证信息均以明码的形式在网络上传输。窃听者可以很容 易地得到他人的帐户信息
第八章 安全通信协议 目前网络面临着各种威胁,其中包括保密数据的泄 露、数据完整性的破坏、身份伪装和拒绝服务等。 保密数据的泄露。罪犯在公网上窃听保密性数据。 这可能是目前互相通信之间的最大障碍。没有加密,发 送的每个信息都可能被一个未被授权的组织窃听。由于 早期协议对安全考虑的匮乏,用户名或口令这些用户验 证信息均以明码的形式在网络上传输。窃听者可以很容 易地得到他人的帐户信息
网络安金 NETWORK SECURITY 数据完整性的破坏。即使数据不是保密的,也应该 确保它的完整性。也许你不在乎别人看见你的交易过程, 但你肯定在意交易是否被篡改。 身份伪装。一个聪明的入侵者可能会伪造你的有效 身份,存取只限于你本人可存取的保密信息。目前许多 安全系统依赖于|P地址来唯一地识别用户。不幸的是, 这种系统很容易被IP欺骗并导致侵入。 拒绝服务。一旦联网之后,必须确保系统随时可以 工作。在过去数年内,攻击者已在TCP/|P协议簇及其具 体实现中发现若干弱点,使得他们可以造成某些计算机 系统崩溃
数据完整性的破坏。即使数据不是保密的,也应该 确保它的完整性。也许你不在乎别人看见你的交易过程, 但你肯定在意交易是否被篡改。 身份伪装。一个聪明的入侵者可能会伪造你的有效 身份,存取只限于你本人可存取的保密信息。目前许多 安全系统依赖于IP地址来唯一地识别用户。不幸的是, 这种系统很容易被IP欺骗并导致侵入。 拒绝服务。一旦联网之后,必须确保系统随时可以 工作。在过去数年内,攻击者已在TCP/IP协议簇及其具 体实现中发现若干弱点,使得他们可以造成某些计算机 系统崩溃
8IP安全协议Isec 网络安金 NETWORK SECURITY IPSec用来加密和认证|P包,从而防止任何人在网路 上看到这些数据包的内容或者对其进行修改。 IPSec是保 护内部网络,专用网络,防止外部攻击的关键防线。它 可以在参与 IPSec的设备(对等体)如路由器、防火墙、 VPN客户端、VPN集中器和其它符合|PSec标准的产品之间 提供一种安全服务。 IPSec对于|PV4是可选的,但对 于IPv6是强制性的
8.1 IP安全协议IPSec IPSec用来加密和认证IP包,从而防止任何人在网路 上看到这些数据包的内容或者对其进行修改。IPSec是保 护内部网络,专用网络,防止外部攻击的关键防线。它 可以在参与IPSec的设备(对等体)如路由器、防火墙、 VPN客户端、VPN集中器和其它符合IPSec标准的产品之间 提供一种安全服务。IPSec 对于 IPv4 是可选的,但对 于 IPv6 是强制性的
811 IPSec体系结构 网络安金 NETWORK SECURITY IPSec是一套协议包,而不是一个单独的协议RFC文号。 IPSec协议族中三个主要的协议 IP认证包头AH( IP Authentication header):AH协议 为|P包提供信息源验证和完整性保证。 P封装安全负载ESP(| P Encapsulating Security ay load)ESP协议提供加密保证。 nternet密钥交换IKE( The Internet Key exchange): KE提供双方交流时的共享安全信息
8.1.1 IPSec体系结构 IPSec是一套协议包,而不是一个单独的协议 RFC文号。 IPSec 协议族中三个主要的协议: IP认证包头AH(IP Authentication Header):AH协议 为IP包提供信息源验证和完整性保证。 IP封装安全负载ESP (IP Encapsulating Security Payload)ESP协议提供加密保证。 Internet密钥交换IKE (The Internet Key Exchange): IKE提供双方交流时的共享安全信息