编辑ppt第07章Internet安全协议体系主讲人:郭松涛单位:重庆大学计算机学院2007年11月编辑ppt目录7.1TCP/IP安全协议体系概述7.2数据联路层安全协议7.3网络层安全全协议7.4传输层安全协议7.5代理协议7.6应用层安全协议编辑pptISO/OSI参考模型TCP/IP层次模型TCP/IP体系应用层(A)应用层FTPTELNETHTTPSNMPNFS表示层(P)XDRSMTR会话层(S)RPC传输层(T)传输层TCP/UDP网络层(N)IP层IPICMPARP、RARP数据链路层(DL)网络接口层硬件协议(不指定)物理层(PH)7.1TCP/IP安全协议体系概述编辑pptTCP/IP网络安全体系的三维框架结构实体单元分层安全管理安全属性(安全服务/安全机制)应用系统安全计算机网络安全0终端系统安全(计算机+OS)认证访问控制数据完整性抗抵赖可用性、可控性可审计性安全管理编辑ppt现有TCP/IP网络安全技术框架传输层网络层(IP)网络接口层应用层安全协议(如S/MIME、SHTTP、SNMPv3)认证访问控制数据完整性数据机密性抗抵赖可控性可审计性可用性系统安全管理安全服务管理安全机制管理安全设备管理物理保护入侵检测(IDS)漏洞扫描审计、日志响应、恢复第三方公证(如Keberos)数字签名相邻节点间的认证(如MS-CHAP)子网划分、VLAN、物理隔绝MDCMAC点对点加密(MS-MPPE)应用层网络层安全协议(如IPSec)如VPN包过滤防火墙数据源认证IPSec-AH电路级防火传输层安全协议(如SSL/TLS、PCT、SSH、SOCKS)用户身份认证授权与代理服务器防火墙如CA.编辑ppt安全服务TCP/IP协议层网络接口IP层传输层应用层对等实体认证-YYY数据源认证-YYY访问控制服务-YYY连接机密性YYYY无连接机密性YYYY选择字段机密性---Y业务流机密性YY-YTCP/IP协议安全模型中提供的安全服务编辑ppt可恢复连接完整性--YY不可恢复连接完整性-YYY选择字段连接完整性---Y无连接完整性-YYY选择字段非连接完整性---Y源发方不可抵赖---Y接收方不可抵赖---Y说明:Y:服务应作为选项并入该层的标准之中-:不提供编辑pptS/MIMEPGPSOCKS等应用层SSLTLS等传输层IPv6IPSec等网际层PPTPL2FL2TP等网络接入层TCP/IP中的安全协议体系(讲课内容)编辑ppt编辑ppt安全协议概述TCP/IP网络安全协议按层次归类如下:1、网络接口层安全协议主要用于链路层连接的认证与保密,已有的安全协议如下:(1)隧道协议PPTP、L2F、L2TP(2)口令认证协议(PAP)(3)挑战握手认证协议(CHAP)(4)Shiva口令认证协议(SPAP)(5)扩展认证协议(EAP)(6)微软的挑战/响应握手认证协议(MS-CHAP)(7)微软的点对点加密协议(MS-MPPE)编辑ppt2、网络层安全协议网络层是实现全面安全的最低层次,网络层安全协议可以提供ISO安全体系结构中所定义的所有安全服务。(1)前期安全协议1)NSA/NIST的安全协议3(SP3)2)ISO的网络层安全协议(NLSP)3)NIST的完整NLSP(I-NLSP)4)swIPe(2)IETF的IPSecWG的IP安全协议(IPSec)1)认证头(AH)2)封装安全有效负载(ESP)3)Internet密钥交换协议(IKE)编辑ppt(3)IETF的IPSecWG的Internet密钥管理协议(IKMP)1)标准密钥管理协议(MKNP)2)IP协议的简单密钥管理(SKIP)3)Photuris密钥管理协议4)安全密钥交换机制(SKEME)5)Internet安全关联和密钥管理协议(ISAKMP)6)OAKLEY密钥决定协议(4)其它安全协议1)机密IP封装协议(CIPE)2)通用路由封装协议(GRE)3)包过滤信息协议(PFIP)编辑ppt3、传输层安全协议(1)前期协议NSA/NIST的安全协议4(SP4)ISO的TLSP(2)安全SHELL(SSH)SSH传输层协议SSH认证协议(3)安全套接字层(SSL)SSL记录协议SSL握手协议(4)私有通信技术(PCT)(5)IEIFTLSWG的传输层安全协议(TLSP)(6)SOCKSv5编辑ppt4、应用层安全协议包括安全增强的应用协议(已经正式存在的或安全的新协议)和认证与密钥分发系统。(1)安全增强的应用协议远程终端访问(STel)安全RPC认证(SRA)NATAS编辑ppt(2)电子邮件(SMTP)保密增强邮件(PEM)PGP安全MIME(S/MIME)MIME对象安全服务(MOSS)消息安全协议(MSP)APOPGnu保密防护(GnuPG)编辑ppt(3)WWW事务(HTTP)使用SSL/TLS安全HTTP(S-HTTP)GSS-API方法PGP-CCI方法(4)域名系统(DNS)安全D...