Internet基礎(chǔ)設(shè)施安全

上傳人：san****019 文檔編號：22918986 上傳時間：2021-06-02 格式：PPT 頁數(shù)：108 大?。?.08MB

收藏版權(quán)申訴舉報下載

第1頁 / 共108頁

第2頁 / 共108頁

第3頁 / 共108頁

下載文檔到電腦，查找使用更方便

14.9 積分

下載資源

還剩頁未讀，繼續(xù)閱讀

資源描述：

《Internet基礎(chǔ)設(shè)施安全》由會員分享，可在線閱讀，更多相關(guān)《Internet基礎(chǔ)設(shè)施安全（108頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、5.1 Internet安全概述v5.1.2 Internet安全問題 Internet安全主要包括： (1)如何防止敏感信息被隨意地訪問； (2)如何保護網(wǎng) 絡(luò) 及其資源，以防黑客的蓄意破壞。敏感信息在網(wǎng) 絡(luò) 上以兩種形式存在，即存儲在物理介質(zhì) (如硬盤或內(nèi) 存 )上，或以數(shù) 據(jù) 包的形式在網(wǎng) 絡(luò) 線路上傳播。這兩種信息形式為攻擊內(nèi) 部網(wǎng) 上的用戶提供了諸多機會，它涉及網(wǎng) 絡(luò)

2、安全問題，破壞網(wǎng) 上信息有六種方法：第一：數(shù) 據(jù) 包探測器；第二： IP欺騙；第三：口令襲擊；第四：把敏感的內(nèi) 部信息發(fā) 布到外界；第五：中間人 (Man-in-the-middle)襲擊；第六： Deny of Service (DoS)拒絕服務(wù) 攻擊。 5.1.2 Internet安全問題數(shù) 據(jù) 包探測器 IP欺騙口令襲擊敏感信息發(fā) 布中間人襲擊 DoS攻擊 5.1.3 安全范圍的建立 Interne

3、t安全主要包括： (1)安全方案的重要部分是設(shè) 置網(wǎng) 絡(luò) 防火墻 (2)網(wǎng) 絡(luò) 安全策略的核心是控制網(wǎng) 絡(luò) 傳輸和用途周邊網(wǎng) 絡(luò) 1.多周邊網(wǎng) 絡(luò) 2.有最遠周邊 3.內(nèi) 部周邊和最近周邊三種類型 5.1.3 安全范圍的建立安全設(shè) 計 1.了解敵人 2.計算開銷3.假設(shè) 鑒別 4.控制秘密5.關(guān) 注人為因素 6.了解系統(tǒng) 弱點7.限制訪問權(quán) 限 8.了解環(huán) 境9.限制確信 10.記住物理安全性11.安

4、全普及人員和用戶都應考慮每個改變對安全的影響，要進行全面考慮，并探討服務(wù) 可能進行的操作。12.針對電子商務(wù) 的特點而提出的新的安全需求： (1)身份的真實性 (2)信息的完整性 (3)信息的保密性 (4)訪問可控性（ 5）抗抵賴性 5.1.4 安全措施及解決方案一個行之有效的安全措施是從檢測網(wǎng) 絡(luò) 中的威脅、安全裝置和脆弱性入手，圍繞下述幾個

5、方面進行保護：辦公地點；工作站；服務(wù) 器；網(wǎng) 絡(luò) 打印機等外設(shè) ；電纜與外界的聯(lián) 接器。本質(zhì) 上， Internet的安全性只能通過提供下面兩方面的安全服務(wù) 來達到：訪問控制服務(wù) 用來保護計算和聯(lián) 網(wǎng) 資源不被非授權(quán) 使用；通信安全服務(wù) 用來提供認證，數(shù) 據(jù) 機要性與完整性和各通信端的不可否認性服務(wù) 。 5.2 DNS的安全性v5.2.2 DNS的關(guān) 鍵概念域名

6、空間 (Domain Name Space) 在實際運用中， DNS可以看成是一個主機名 (Names)的分布式數(shù) 據(jù) 庫。這里提到的分布式是指在 Internet上的單個站點不能擁有所有的信息。每個站點 (如大學中的系、校園、公司或公司中的部門 )保留它自己的信息數(shù) 據(jù) 庫，并運行一個服務(wù) 器程序供 Internet上的其他系統(tǒng) (客戶程序 )查詢。這些主機名建立了一個反方向的

7、邏輯樹形結(jié) 構(gòu) ，稱之為域名空間 (Domain Name Space)。可以形象地說，域名空間就是由 Internet上眾多的 DNS服務(wù) 器中的數(shù) 據(jù) 記錄組成。頂級域 (Top Level Domain) DNS域的根域 (root domain)是由 NIC統(tǒng) 一管理，它也負責分派全球范圍內(nèi) 的域名。在根域下面的子域，類似與 .com， .org， .edu等，就稱為頂級域。 5.2 DNS的安全性正向映射和反向映

8、射空間在上面提到了 DNS有正向映射和反向映射兩種功能，這兩種功能導致了兩個命名空間：一個正向映射空間首先分為 .com， .edu等頂級域，它們可以劃分成各個不同的子域，子域又可以繼續(xù) 分成下一層子域，等等，它們負責從域名到 IP地址的映射；另一個反向映射空間中，所有的 IP組成一個叫做 arpa. in-addr的頂級域，然后再根據(jù) IP層層細

9、分。域 (Domain) 域名空間中每一個節(jié) 點以及節(jié) 點下面的樹枝構(gòu) 成了一個域(Domain)，也就是說，域名空間中一棵邏輯子樹稱為域 (Domain)。而每一個節(jié) 點或者域 (domain)都可以細分為多個子域 (subdomain)，也就是多條樹枝。一般來說，一個 domain中的映射關(guān) 系是由一臺主機服務(wù) 器負責。 5.2 DNS的安全性區(qū) 域 (Zone) 一般來說域名空間的一部

10、分如果存有數(shù) 據(jù) 庫記錄并且這些記錄是由一個特殊的區(qū) 域文件管理，這一部分域名空間就可以稱為一個區(qū) 域 (Zone)。簡單來講，一個區(qū) 域 (zone)就是一棵獨立管理的域名空間的子樹。精確點來說，每個 zone由一個名字服務(wù) 器負責。名字服務(wù) 器 (Name Servers) 名字服務(wù) 器能夠高速緩存域名樹的任何一部分信息，一般一個區(qū) 域擁有一臺包含區(qū) 域中所

11、有主機信息的名字服務(wù) 器，該名字服務(wù) 器也可稱為授權(quán) (authoritative)名字服務(wù) 器，也稱為主名字服務(wù) 器 (primary， master)。顯然，為了防止主名字服務(wù) 器當機而導致無法實現(xiàn) 域名解析，在一個區(qū) 域內(nèi) ，還應該存在一臺或多臺備用名字服務(wù) 器 (secondary， slave)。 5.2 DNS的安全性資源記錄 (Resource Records， RRs) 在 DNS名字服務(wù) 器中，一條

12、信息就是一個資源記錄 (RR)，每一個資源記錄都有一種與之相關(guān) 聯(lián) 的類型，描述了它所表示的數(shù) 據(jù) 。名字服務(wù) 器中所有的信息都是以 RR格式保存，該格式被用在 DNS報文中傳送信息。是 DNS報文的關(guān) 鍵組成部分。名字服務(wù) 器 (Name Servers) 解析器就是一個位于服務(wù) 器和客戶端的中介程序，它從名字服務(wù) 器取得信息來響應客戶端的 DNS請求。這里有

13、一個重要的概念需要說明，Resolvers和 Stub Resolvers是不同的概念。 Stub Resolvers是客戶端的一個程序庫 (例如 UNIX下的 gethostbyname， gethostbyaddr函數(shù) )，客戶端如果需要訪問 DNS，通過它向 Resolvers發(fā) 送 DNS請求授權(quán) (Delegation) 每一個域 (domain)可以根據(jù) 需要細分成多個子域 (sub-domain)，這樣，domain可以將它分出來的 sub-do

14、main的域名和 IP映射交給另一部機器管理，這個動作就稱為授權(quán) (delegation) 5.2 DNS的安全性v5.2.3 DNS體系結(jié) 構(gòu) 圖 5-1 DNS的層次組織 5.2 DNS的安全性圖 5-2 zone和 domain的區(qū) 別示意圖 5.2 DNS的安全性v5.2.4 DNS工作原理 DNS報文圖 5-3 DNS查詢和響應報文的一般格式報文 ID： 2字節(jié) 標志（參數(shù) ）： 2字節(jié)問題數(shù) ： 2字節(jié) 回答數(shù) ： 2字節(jié)授權(quán) 資源記

15、錄數(shù) ： 2字節(jié) 額外資源記錄數(shù) ： 2字節(jié)查詢問題（可變長）回答（資源記錄數(shù) ，可變長）授權(quán) （可變長）額外信息（可變長） 5.2 DNS的安全性 DNS報文的類型，需要的服務(wù) 圖 5-4 DNS報文首部的標志字段QR opcode AA TC RD RA (zero) rcode1 4 1 1 1 1 3 4 5.2 DNS的安全性QR： 1bit字段， 0表示查詢報文， 1表示響應報文。 Opcode: 0表示標準查詢

16、， 1表示反向查詢， 2表示服務(wù) 器狀態(tài) 請求， 5表示動態(tài)更新。 AA： “ 授權(quán) 回答 (Authoritative Answer)”，由響應服務(wù) 器填寫，一般來說，該位置位表示響應來自授權(quán) 的名字服務(wù) 器，不置位表示響應來自 cache。 TC：表示相應數(shù) 據(jù) 包可截斷，原因如 5.2.1節(jié) 所述。 RD：表示期待遞歸，在查詢報文中填寫，在響應報文中返回。該標志告訴服務(wù)器必須處

17、理這個查詢，如果被請求的服務(wù) 器沒有對應的授權(quán) 回答，它需要返回給客戶端一個能解答該查詢的其他名字服務(wù) 器列表。 RA：表示可用遞歸，如果服務(wù) 器支持遞歸查詢，在響應中置位。一般來說，除了根服務(wù) 器，都應該支持遞歸查詢。 Zero：必須為 0. Rcode：返回碼。 0表示沒有差錯， 3表示名字差錯。首部標志后面的四個 16bit的字段說明最后

18、四個變長字段包含的條目數(shù) 。 5.2 DNS的安全性查詢問題字段中可能包含一個或者多個問題，但是通常只有一個。每個問題的格式是一樣的，如圖 5-5。查詢名（可變長）查詢類型（ 2字節(jié) ）查詢類（互聯(lián) 網(wǎng) =1）： 2字節(jié) 圖 5-5 DNS查詢報文中問題部分的格式查詢名（可變長）查詢類型（ 2字節(jié) ）查詢類（互聯(lián) 網(wǎng) =1）： 2字節(jié)圖 5-5 DNS查詢報文中問題

19、部分的格式 5.2 DNS的安全性一些常用的類型和查詢類型，查詢類型是類型的一個超集(Superset)。最常用的類型是 A，也就是期望獲得查詢名的 IP地址，對于反向查詢，期望獲得一個 IP地址對應的域名，則為 PTR類型。表 5-1 DNS問題和響應的類型值和查詢類型值名字數(shù) 值描述類型查詢類型ANSCNAMEPTRHINFOMXSOA 1251213156 IP地址名字服務(wù) 器規(guī)

20、范名稱指針記錄主機信息郵件交換記錄區(qū) 域授權(quán) 開始 . .AXFR或 ANY 252255 對區(qū) 域交換的請求對所有記錄的請求 . 5.2 DNS的安全性DNS資源記錄 (RR)格式圖 5-6 DNS資源記錄 (RR)格式域名類型： 1字節(jié) 類 (常為 1)： 1字節(jié)生存時間（ TTL）資源數(shù) 據(jù) 長度資源數(shù) 據(jù) 5.2 DNS的安全性 DNS資源數(shù) 據(jù) (RDATA)幾種常用的資源記錄中的資源數(shù) 據(jù) 格式： A, MX, PTR, SOA,

21、 NS。這幾種資源數(shù) 據(jù) 是 DNS查詢的基本類型。(1)A資源記錄記錄的是 IP地址，因此它的資源數(shù) 據(jù) 項只有 IP地址一項內(nèi) 容。(2)MX是郵件交換記錄，它的資源數(shù) 據(jù) 項包含兩項內(nèi) 容： preference, exchange。 Preference是一個 16bit的整數(shù) 的優(yōu) 先級，表示了在同一個管理者下，同類型的 MX記錄中該記錄的優(yōu) 先級。Exchange記錄的是在該區(qū) 域下將要執(zhí) 行郵

22、件交換的主機的域名。(3)PTR是反向查詢指針記錄，資源數(shù) 據(jù) 只包含 ptrdname項，它表示對應某個 IP地址的本區(qū) 域的域名。(4)NS是域名服務(wù) 器記錄，資源數(shù) 據(jù) 中只包含 nsdname項，它為給定的某個域指定域名服務(wù) 器。(5)SOA比較復雜，它表示某個區(qū) 域名字服務(wù) 器記錄描述的開始。它的資源數(shù) 據(jù) 項的格式見圖 5-7。 5.2 DNS的安全性+-+-+-+-+-+-+-+-

23、+-+-+-+-+-+-+-+-+/ MNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/ RNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| SERIAL |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| REFRESH |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| RETRY |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| EXPIRE | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| MINIMUM |+-+-+-+-+-+-+-+

24、-+-+-+-+-+-+-+-+-+圖 5-7 SOA資源記錄的資源數(shù) 據(jù) 項格式 5.2 DNS的安全性 DNS區(qū) 域文件 (zone file) 區(qū) 域文件中每一行的格式為： name class record_type data name指正在處理的主機名，比如說查詢報文中的要求地址翻譯的主機名，任何沒有以點號結(jié) 尾的主機名在后面添加域名 ,class一般都為 IN, Internet地址。區(qū) 域文件包含了這么四個

25、方面的內(nèi) 容：區(qū) 域中所有節(jié) 點的認證數(shù) 據(jù) （也就是地址轉(zhuǎn) 換等信息）區(qū) 域內(nèi) 頂節(jié) 點的數(shù) 據(jù) ：描述代表子區(qū) 域的數(shù) 據(jù) 訪問子區(qū) 域服務(wù) 器的數(shù) 據(jù) 。 5.2 DNS的安全性Line Zone Data File1:2:3:4:5:6:7:8:9: 10:11:12: .hostsecurensservmail ININININININ SOANSMXAAA .131.87.24.3131.87.24.1131.87.24.4 .:serial number:refresh time:retr

26、y time:expire time:time to live圖 5-8 一個簡單的區(qū) 域文件內(nèi) 容 5.2 DNS的安全性 DNS查詢過程圖 5-9 一個解析器查詢的過程實例 5.2 DNS的安全性v5.2.5 DNS欺騙 (DNS spoofing)1 .誤導目的地址某個用戶需要 telnet到某一個服務(wù) 器 A上， telnet客戶程序自動地通過解析器 (resolver)向本地 DNS名字服務(wù) 器請求地址翻譯，攻擊者提供給用戶一條

27、虛假 DNS響應，讓解析器認為是來自本地 DNS名字服務(wù) 器的正確響應，于是用戶得到的地址翻譯結(jié) 果 (IP地址 )是一個偽造的地址，接著，用戶在 telnet客戶端輸入帳號密碼，當然，他認為他現(xiàn) 在已經(jīng) 連接在服務(wù) 器 A上。不幸的事情發(fā) 生了，他并不是連接在服務(wù) 器 A上，而是連接在一個攻擊者偽造的 IP地址上，當然，這時 telnet連接會中斷，用戶可能

28、重新進行 telnet連接，這次他正確地連上了 A服務(wù) 器，他可能會忽視剛才發(fā) 生的情況，因為 telnet斷線是一件再正常不過的事情了。于是，攻擊者輕易地得到了該用戶的帳號密碼。2 .DNS緩存中毒 (DNS Cache Poisoning) DNS名字服務(wù) 器為了提高查詢效率，普遍使用了高速緩存 (cache)技術(shù) ，這項技術(shù) 能夠帶來查詢的高效率，但是也給攻擊者提供了

29、一個良好的場所。 5.2 DNS的安全性v5.2.6 DNS安全特點 DNS的安全和大家一般認為的網(wǎng) 絡(luò) 安全存在不同之處。一般意義上的網(wǎng) 絡(luò) 安全，特別關(guān) 注于傳輸安全，例如 IPSec技術(shù) ，以保證信息在Internet上傳送時不為攻擊者所截獲，要不就是關(guān) 注于操作系統(tǒng) 或者協(xié) 議的漏洞，防止黑客利用這些漏洞攻擊。但是 DNS它的關(guān) 注點不在傳輸上面，因為 DNS的內(nèi)

30、容并不需要保密，而協(xié) 議的漏洞，按照 ISC (Industrial Security Committee)創(chuàng) 始人 Paul Vixie的說法：歷史上幾乎所有計算機或者計算機安全的漏洞都不在于協(xié) 議或者基本加密算法的漏洞，而是在于實現(xiàn) 過程的錯誤。 DNS安全關(guān) 注的應該是：如何保證收到的 DNS報文是可信任、如何判斷該報文是否完整、如何保證附加字段的信息是值得信任的

31、。 5.2 DNS的安全性v5.2.7 DNS安全問題的解決方案從前述對 DNS幾種攻擊方法的分析中知道， DNS系統(tǒng) 之所以容易受到欺騙的一個最根本的原因就是 DNS服務(wù) 器或者解析器無法分辨出DNS報文來源的真偽以及無法分辨出 DNS報文是否被修改過。解決問題應該從源頭解決，因此， DNSSEC的根本目標就是保護 DNS查詢報文的數(shù) 據(jù) 完整性和數(shù) 據(jù) 源的正確性。

32、它主要采用的機制是非對稱加密機制和數(shù) 字簽名機制。加密和簽名是網(wǎng) 絡(luò) 安全傳輸的一個基本特點和要求。采用何種加密算法和策略、以及采用何種數(shù) 字簽名機制能夠更有效，更安全是很重要的。 DNSSEC采用非對稱加密算法中的公鑰加密機制以及基于Hash函數(shù) 的數(shù) 字簽名技術(shù) ，在某些特殊場景下， DNSSEC也采用共享密鑰和 MAC機制來保證消息完整

33、性。 5.3 IPSec安全協(xié) 議v5.3.2 IPSec體系結(jié) 構(gòu) 5.3 IPSec安全協(xié) 議IPsec的處理 5.3 IPSec安全協(xié) 議v5.3.3 安全聯(lián) 結(jié) (Security Association SA) 定義安全聯(lián) 結(jié) (Security Association， SA)是兩個應用 IPsec實體 (主機、路由器 )間的一個單向邏輯連接，是與給定的一個網(wǎng) 絡(luò) 連接或一組連接相關(guān) 的安全信息參數(shù) 的集合， SA為在它之上所攜帶的業(yè)務(wù) 流提

34、供安全保護，決定保護什么、如何保護以及誰來保護通信數(shù)據(jù) 。 SA用一個三元組 (安全參數(shù) 索引 SPI、目的 IP地址、安全協(xié) 議 )唯一標識。模式 1.傳輸模式 2.隧道模式。 5.3 IPSec安全協(xié) 議 IP頭 TCP頭數(shù) 據(jù)IP頭 IPsec頭 TCP頭數(shù) 據(jù)IP頭 IPsec頭 IP頭 TCP頭數(shù) 據(jù) (1)傳輸模式下，安全協(xié) 議頭 (AH/ESP)緊跟在 IP頭及其選項之后，并位于其它上層協(xié) 議頭之前 (如 T

35、CP/UDP)。 (2)在隧道模式下，安全聯(lián) 結(jié) 等同于用安全聯(lián) 結(jié) 保護一條 IPIP隧道。在隧道模式下的 IP報文有一個外層 IP頭，它定義了 IPsec協(xié) 議處理的終點，同時還有一個內(nèi) 層 IP頭，它定義了這個 IP報文的最終信宿的地址。安全協(xié) 議頭界于外層 IP頭與內(nèi) 層 IP頭之間。如果采用的是 AH協(xié) 議，那么能保護外層 IP頭的部分信息和所有內(nèi) 層運載的數(shù) 據(jù) ；如果是

36、 ESP協(xié)議，那么只保護所有內(nèi) 層運載的數(shù) 據(jù) ，而不保護外層 IP頭信息。原始的 IP包傳輸模式受保護的包隧道模式受保護的包 5.3 IPSec安全協(xié) 議安全聯(lián) 結(jié) 數(shù) 據(jù) 庫 1.介紹 IPSec協(xié) 議規(guī) 范給出了一個外在特性的模板，該模板包含兩個名義上的數(shù) 據(jù) 庫：安全策略數(shù) 據(jù) 庫 (Security Policy Database)和安全聯(lián)結(jié) 數(shù) 據(jù) 庫 (Security Association Database)。2.安全

37、策略數(shù) 據(jù) 庫制定安全策略，首先要檢查如下問題： (1) IPSec協(xié) 議要保護哪些資源？ (2) 這些資源防備哪些攻擊者？ (3) 有什么樣的攻擊手段？ (4) 采取什么具體協(xié) 議和算法最經(jīng) 濟有效？ 5.3 IPSec安全協(xié) 議在確定了這些問題的基礎(chǔ) 上，再來制定具體策略，即保護網(wǎng) 絡(luò) 資源避免受損失和破壞的方法。通常有兩種設(shè) 計策略：允許除明確拒絕之外

38、的所有網(wǎng) 絡(luò) 通信。拒絕除明確允許之外的所有網(wǎng) 絡(luò) 通信。對于每個 IP數(shù) 據(jù) 報，有三種可能的安全策略：丟棄、繞過 IPSec處理和經(jīng)過 IPSec處理。安全策略對應其一。第一種策略不允許相應的 IP數(shù) 據(jù) 報通過安全網(wǎng) 關(guān) ，或者不允許它被遞交給上層應用；第二種策略允許發(fā) 送沒有被 IPSec協(xié) 議保護的 IP數(shù) 據(jù) 報；第三種策略要求相應的 IP數(shù) 據(jù) 報必須被 I

39、PSec協(xié) 議保護，并且指明了所用的安全協(xié) 議和算法等要素。IP數(shù) 據(jù) 報特征處理策略主機 A到主機 B的 TCP報文用 IPSec協(xié) 議保護該類報文網(wǎng) 絡(luò) C到網(wǎng) 絡(luò) D的所有報文直接發(fā) 送從網(wǎng) 絡(luò) X來的所有報文丟棄 5.3 IPSec安全協(xié) 議3.選擇符可以采用的選擇符有：目的 IP地址：可以是一個 IP地址，可以是一個地址范圍 ,也可以是個網(wǎng) 段。源 IP地址傳輸層協(xié) 議 (如 TCP/UDP

40、) 傳輸層的源和目的端口4.安全聯(lián) 結(jié) 庫 (1)對于輸出報文，它所要使用的安全聯(lián) 結(jié) 由安全策略指定 (2)對于輸入的報文，就由三元組：來確定。 5.3 IPSec安全協(xié) 議一個安全聯(lián) 結(jié) 庫應含如下內(nèi) 容： (1)所使用的安全協(xié) 議： AH或 ESP。 (2)協(xié) 議模式：隧道或傳輸模式。 (3)序號計數(shù) 值用于產(chǎn) 生 AH或 ESP頭的序號。 (4)序號溢出標志：指示序號溢出的情況。

41、(5)防重放窗口：由一個 32位計數(shù) 器與一個位圖組成，用來檢查重放報文。 (6)AH協(xié) 議認證算法和密鑰。 (7)ESP協(xié) 議加密算法及其密鑰、初始向量和模式。 (8)ESP協(xié) 議認證算法和密鑰。 (9)生存期。生存期有兩種形式：以時間為單位和以字節(jié) 為單位。前者規(guī) 定了這個安全聯(lián) 結(jié) 的有效使用時間；后者規(guī) 定這個安全聯(lián)結(jié) 最多能處理的字節(jié) 數(shù) (加密或認

42、證算法計算的字節(jié) 總數(shù) )。當生存期滿后，通信的雙方可以協(xié) 議商生成一個新的安全聯(lián) 結(jié) 。 5.3 IPSec安全協(xié) 議安全聯(lián) 結(jié) 和密鑰管理 1 .人工方式 2. 自動方式 5 SA與多播 5.3 IPSec安全協(xié) 議v5.3.4 認證頭協(xié) 議規(guī) 范認證頭協(xié) 議介紹認證頭 (Authenication Header)協(xié) 議保護 IP數(shù) 據(jù) 庫，提供無連接的完整性和數(shù) 據(jù) 源頭的認證 (統(tǒng) 稱為認證 )，以及防止 “ 重

43、放攻擊 ” 服務(wù) 。 SA用一個三元組 (安全參數(shù) 索引 SPI、目的 IP地址、安全協(xié) 議 )唯一標識。報文格式上層協(xié) 議負荷長度保留字段安全參數(shù) 索引值序號認證數(shù) 據(jù) 5.3 IPSec安全協(xié) 議1.上層協(xié) 議：上層協(xié) 議字段為 8比特，定義了緊接 AH頭的上層協(xié) 議類型。2.負荷長度：這是一個 8位的字段，其值等于 AH頭長度 (以 32位字計算 )減去 2。保留字段：用于今后的擴充

44、，應填 0。3.安全參數(shù) 索引值： SPI是一個 32位的值，用以區(qū) 分那些目的 IP地址和安全協(xié) 議類型相同，但算法不同的數(shù) 據(jù) 報。4.序號：序號為 32位的整數(shù) ，它代表一個單調(diào) 遞增計數(shù) 器的值。5.認證數(shù) 據(jù) ：這個域的長度可變，它存放 IP數(shù) 據(jù) 報的完整性校驗值 (ICV)。 5.3 IPSec安全協(xié) 議原 IP頭 (選項 ) TCP 用戶數(shù) 據(jù)原 IP頭 (選項 ) AH頭 TCP 用戶數(shù) 據(jù)原始的 IP

45、報文認證范圍 (除可變字段外 ) 新 IP頭 (選項 ) AH頭原 IP頭 (選項 ) TCP 用戶數(shù) 據(jù) 協(xié) 議首部處理 1.位置 (1) 傳輸模式經(jīng) AH協(xié) 議傳輸模式認證認證范圍 (除可變字段外 )經(jīng) AH協(xié) 議隧道認證 (2) 隧道模式 5.3 IPSec安全協(xié) 議2.算法一致性要求 3. 認證值的計算（ 1）計算覆蓋的范圍 AH頭的 ICV計算覆蓋如下區(qū) 域：在傳輸過程中， IP頭中那些不變字段，或是盡管

46、變，但其值可以被預測的字段。 AH頭和可能的填充字節(jié) ，認證數(shù) 據(jù) 在 ICV計算時全部填 0。上層協(xié) 議數(shù) 據(jù) ，這些數(shù) 據(jù) 在傳輸過程中不會發(fā)生變化。 5.3 IPSec安全協(xié) 議（ 2）可變域的處理在傳輸過程中， IP頭和它的選項可能發(fā) 生改變： IP頭 IPv4頭中的字段有不變的，有可變的，有可變但是可預測的：不變字段：版本號、 IP頭長度、數(shù) 據(jù) 報總長、標識

47、、上層協(xié) 議、源地址、目的地址 (沒有源選徑選項時 )。可變但可預測的字段：目的地址 (有源選徑選項時 )。可變且不可預測的字段：服務(wù) 類型 (TOS)、標志、生存期、頭校驗和。TOS：盡管在 IP協(xié) 議中， TOS是不可變的，但有些路由器要修改這個字段的值。標志：因為 IP數(shù) 據(jù) 報在傳輸過程中可能被分段，所以標志字段的 DF位有可能發(fā) 生變化。生存期

48、：這個字段的值隨經(jīng) 過的路由器而變化，因此也不可預測。頭校驗和：如果上述幾個字段發(fā) 生變化，它的值自然隨之改變。 5.3 IPSec安全協(xié) 議 IP選項在 IPv4中，每一選項都被視為一個整體，所以盡管選項的類型和長度沒有發(fā) 生改變，只要其內(nèi) 容改變了，這一選項都被認為是可變的。對于這種情況，在計算 ICV時，把這個選項整體填充為 0。4. 填

49、充處理（ 1）認證數(shù) 據(jù) 填充（ 2）包長填充 5.3 IPSec安全協(xié) 議v5.3.5 安全封裝協(xié) 議規(guī) 范安全封裝協(xié) 議介紹安全封裝協(xié) 議 (Encapsulating Security Payload)可以為 IP數(shù)據(jù) 報提供幾種安全服務(wù) 。它可以單獨使用，也可以與 AH協(xié) 議一起使用，或者以隧道方式嵌套使用。報文格式安全參數(shù) 索引 SPI序號初始化向量載荷數(shù) 據(jù)填充數(shù) 據(jù) 填充項長度上層協(xié) 議認證數(shù)

50、據(jù) (變長 )(HMAC) 5.3 IPSec安全協(xié) 議1.安全參數(shù) 索引：與 AH協(xié) 議一樣，收方可由此確定報文所用的安全聯(lián) 結(jié) 。2.序號：與 AH協(xié) 議一樣，這一序號也是一個遞增計數(shù) 器的值，用來防止重放攻擊。3.載荷數(shù) 據(jù) ：載荷數(shù) 據(jù) 是非定長的域，用來存放經(jīng) ESP協(xié) 議處理過的數(shù) 據(jù) ，這些數(shù) 據(jù) 所屬的類型由 “ 下一協(xié) 議頭 ” 字段定義。4.填充數(shù) 據(jù) ：由于以下幾個原因

51、， ESP需要填充字段：(1) 加密算法需要明文長度為分組塊長度的整數(shù) 倍 (2) 填充字段還能保證上層協(xié) 議字段的右邊界以 4字節(jié) 對齊。(3) 另外，通過使用填充字段， ESP協(xié) 議能有效地隱藏實際載荷的長度，從而提供一定的流量保密性。5.上層協(xié) 議：上層協(xié) 議字段指出了載荷數(shù) 據(jù) 所包含的內(nèi) 容。 6.認證數(shù) 據(jù) ：認證數(shù) 據(jù) 是 ESP認證算法對從安全參數(shù) 索

52、引字段開始，到上層協(xié) 議字段為止的所有數(shù) 據(jù) 進行認證的結(jié) 果。 5.3 IPSec安全協(xié) 議報文處理 1.協(xié) 議頭位置 (1)傳輸模式 (2)隧道模式原 IP頭 (選項 ) TCP 用戶數(shù) 據(jù) 原 IP報文原 IP頭 (選項 ) ESP頭 TCP 用戶數(shù) 據(jù) ESP尾 ESP認證ESP協(xié) 議加密范圍ESP協(xié) 議認證范圍 (a) ESP傳輸模式新 IP頭 (選項 ) ESP頭原 IP頭 (選項 ) TCP 用戶數(shù) 據(jù) ESP尾 ESP認證ESP協(xié) 議加密范圍ES

53、P協(xié) 議認證范圍(b) ESP隧道模式圖 5-16 安全聯(lián) 結(jié) 兩種模式下的 ESP協(xié) 議頭位置 5.3 IPSec安全協(xié) 議1.算法一致性要求 ESP協(xié) 議所涉及的算法分為加密算法和認證算法兩類，由相應的安全聯(lián) 結(jié) 規(guī) 定兩種算法實施細節(jié) ，但至少要選取一種算法。（ 1）加密算法（ 2）認證算法 5.3 IPSec安全協(xié) 議v5.3.6 SA的使用 SA的組合方式 1. “傳輸方式組合 ” 圖 5-17 傳輸

54、方式組合 5.3 IPSec安全協(xié) 議2. “嵌套隧道 ” (1) 所有的安全聯(lián) 結(jié) 隧道的兩個終點都分別一樣 (如圖 5-18示 )。內(nèi) 外隧道協(xié) 議可以是 AH或 ESP，但一般來說內(nèi) 外層的安全協(xié) 議不會相同，如同是 AH或 ESP協(xié) 議。 5.3 IPSec安全協(xié) 議 (2) 安全聯(lián) 結(jié) 有一個共同的終點。內(nèi) 外層隧道協(xié) 議可以是 AH或 ESP協(xié) 議。 5.3 IPSec安全協(xié) 議 (3) 安全聯(lián) 結(jié) 沒有一個共同的終

55、點。內(nèi) 外層隧道協(xié) 議可以是 AH或ESP協(xié) 議。 5.3 IPSec安全協(xié) 議對于以傳輸方式組合的 SA，只有一種實用順序：由于傳輸方式的 AH保護了上層協(xié) 議數(shù) 據(jù) 和部分 IP頭數(shù) 據(jù) ，當 AH與 ESP一起使用時， AH應該緊接在 IP頭后，并位于 ESP之前。這時， AH保護了ESP所加密的數(shù) 據(jù) ， IP包結(jié) 構(gòu) 如圖 5-21所示。與此相對的是，在嵌套隧道組合方式下，可以有多種多樣

56、的組合順序。 IP頭 AH頭 ESP頭 TCP頭用戶數(shù) 據(jù) 圖 5-21 加密后 IP包結(jié) 構(gòu) 5.3 IPSec安全協(xié) 議自到協(xié) 議端口策略1.1.1.1 2.2.2.2 任意值任意值隨 HMAC-MD5使用的傳送 AH 使用 SA實例A的 SPD 自目的地協(xié) 議 SPI SA記錄1.1.1.1 2.2.2.2 AH 10 MD5密鑰A的外出 SADB 5.3 IPSec安全協(xié) 議RA的 SPD自到協(xié) 議端口策略通道目的地1.1.1/24 2.2.2/24 任意值任意值隨 3D

57、ES使用的通道 ESP 6.6.6.6RA的外出 SADB源目的地協(xié) 議 SPI SA記錄5.5.5.5 6.6.6.6 ESP通道 11 168位的 3DES密鑰RB的 SPD自到協(xié) 議端口策略通道入口 1.1.1/24 2.2.2/24 任意值任意值 3DES ESP 5.5.5.5RB的進入 SADB源目的地協(xié) 議 SPI SA記錄5.5.5.5 6.6.6.6 ESP 11 168位 3DES密鑰 5.3 IPSec安全協(xié) 議B的 SPD自到協(xié) 議端口策略2.2.2.2 1.1.1.1 AH 任

58、意值隨 HMAC-MD5使用的傳送 AHB的進入 SADB源目的地協(xié) 議 SPI SA記錄1.1.1.1 2.2.2.2 AH 10 HMAC-MD5密鑰在 RA與 RB之間傳送的 IP包結(jié) 構(gòu) 如圖 5-23所示：新 IP頭 ESP頭原 IP頭 AH頭 TCP頭用戶數(shù) 據(jù) ESP尾 5.3 IPSec安全協(xié) 議v5.3.7 IPsec協(xié) 議處理過程外出處理 1.丟棄丟棄數(shù) 據(jù) 包，并記錄出錯信息。2.繞過 IPsec給數(shù) 據(jù) 包添加 IP頭，然后發(fā) 送。3.應用 IPsec查

59、詢 SAD，確定是否存在有效的 SA。 5.3 IPSec安全協(xié) 議(1)存在有效的 SA，則取出相應的參數(shù) ，將數(shù) 據(jù) 包封裝（包括加密、驗證，添加 IPsec頭和 IP頭等），然后發(fā) 送。AH輸出包處理過程： AH頭定位：在傳輸模式下， AH頭插在 IP頭和上層協(xié) 議頭之間；在隧道模式下， AH頭在整個原 IP數(shù) 據(jù) 報之前。發(fā) 送方對 IP包計算認證數(shù) 據(jù) ICV，并將結(jié) 果放入輸出包的

60、認證數(shù) 據(jù) 字段隨包發(fā) 送。ESP輸出包處理過程： ESP頭定位：在傳輸模式下， ESP插在 IP頭和上一層協(xié) 議頭之間；在隧道模式下， ESP頭在整個原 IP數(shù) 據(jù) 報之前。包加密： a)封裝：把數(shù) 據(jù) 封裝到 ESP的有效負載字段傳輸模式只封裝上層協(xié) 議數(shù) 據(jù) ；隧道模式封裝整個原 IP數(shù) 據(jù) 報。 b)加密：使用由 SA指定的密鑰和加密算法對上述結(jié) 果加密。如果在 ESP中選

61、定了認證選項，發(fā) 送方對 IP包計算認證數(shù) 據(jù) ICV，并將結(jié) 果放入輸出包的認證數(shù) 據(jù) 字段隨包發(fā) 送。必要時進行分段。 5.3 IPSec安全協(xié) 議 (2) 尚未建立 SA，策略管理模塊啟動或觸發(fā) IKE協(xié) 商，協(xié) 商成功后按 1中的步驟處理，不成功則應將數(shù) 據(jù) 包丟棄，并記錄出錯信息。 (3)存在 SA但無效，策略管理模塊將此信息向 IKE通告。請求協(xié) 商新的 SA，協(xié) 商成功

62、后按 1中的步驟處理，不成功則應將數(shù) 據(jù) 包丟棄，并記錄出錯信息。進入處理對于進入數(shù) 據(jù) 包， IPsec協(xié) 議先根據(jù) 包中目的 IP地址、安全協(xié) 議和SPI查詢 SAD，如得到有效的 SA，則對數(shù) 據(jù) 包進行解封 (或還原 )，再查詢 SPD，驗證為該數(shù) 據(jù) 包提供的安全保護是否與策略配置的相符。如相符，則按 SA中指定的算法進行解密 (用 ESP協(xié) 議時 )并重新構(gòu) 造原 IP數(shù)

63、據(jù) 報格式，然后將還原后的數(shù) 據(jù) 包交給 TCP層或轉(zhuǎn) 發(fā) 。如不相符，或要求應用 IPsec但沒有用于此會話的 SA存在，或 SA 無效，則將數(shù) 據(jù) 包丟棄，并記入日志。 5.3 IPSec安全協(xié) 議v5.3.8 AH協(xié) 議與 ESP協(xié) 議比較認證服務(wù) ： AH協(xié) 議和 ESP協(xié) 議都提供認證服務(wù) 功能。 AH協(xié) 議是專門用以提供認證服務(wù) ； ESP協(xié) 議的認證服務(wù) 是它的選項，主要為了防止對協(xié) 議的

64、“ 剪貼 ” 攻擊。 ESP提供的認證服務(wù) 范圍要比 AH的窄，即 ESP頭以前的IP報文部分不會被保護；而 AH協(xié) 議認證了幾乎所有的 IP報文字段。保密服務(wù) ： AH協(xié) 議不提供保密服務(wù) ，當不需要保密或者法律不允許保密的情況下， AH協(xié) 議是一種恰當的安全協(xié) 議； ESP主要用于數(shù) 據(jù) 保密。當使用隧道方式時，位于兩個安全網(wǎng) 關(guān) 間的使用 ESP保護的安全聯(lián) 結(jié) 還可以

65、提供一定的流量保密性。使用隧道方式時，由于內(nèi) 層的 IP包被加密，所以隱藏了報文的實際源頭和終點。更進一步的是， ESP使用的填充字節(jié) 隱藏了報文的實際尺寸，從而更進一步地隱藏了這個報文的外在特性。當網(wǎng) 絡(luò)中的移動用戶使用動態(tài) 地址，使用隧道方式的安全聯(lián) 結(jié) 穿過安全網(wǎng) 關(guān) 時，也有類似的通信流的保密性。當然，如果安全聯(lián) 結(jié) 的粒

66、度越細，那么這種安全服務(wù) 就越脆弱 (對于流量分析的情況 )。防止重放： AH協(xié) 議和 ESP協(xié) 議都有防止重放的功能。只要收方決定使用此功能， AH協(xié) 議的此項功能就可靠工作，而 ESP協(xié) 議必須要有認證機制的配合，此項功能才起作用。 5.3 IPSec安全協(xié) 議v5.3.9 IPsec的實現(xiàn) 機制訪問控制數(shù) 據(jù) 源驗證無連接完整性和抗重播機密性和有限的業(yè) 務(wù) 流機密性 5.3 IPSec安全協(xié) 議v5.3.10 IPSec的應用 IPSec與其它安全機制的聯(lián) 系與比較 2. 數(shù) 據(jù) 源驗證1.網(wǎng) 絡(luò) 地址轉(zhuǎn) 換器 (NAT) 網(wǎng) 絡(luò) 地址轉(zhuǎn) 換器 NAT (Network Address Translation)是用于解決全球 IP地址資源匱乏和對外隱藏企業(yè) 內(nèi) 部 IP地址的

展開閱讀全文

溫馨提示:
1: 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預覽，若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

點擊下載此資源

Internet基礎(chǔ)設(shè)施安全

最新文檔

相關(guān)資源

相關(guān)搜索