10-IP安全ppt課件_第1頁(yè)
10-IP安全ppt課件_第2頁(yè)
10-IP安全ppt課件_第3頁(yè)
10-IP安全ppt課件_第4頁(yè)
10-IP安全ppt課件_第5頁(yè)
已閱讀5頁(yè),還剩54頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、2022/7/121第十講 IP的平安王志偉: 2022/7/122課程內(nèi)容IP平安概述IP平安體系構(gòu)造 Windows 對(duì)IPSec的支持 小結(jié)41232022/7/123IP平安概述目前TCP/IP協(xié)議面臨的各種平安要挾主要包括數(shù)據(jù)泄露如用戶名、密碼都是以明文傳輸數(shù)據(jù)完好性的破壞如網(wǎng)上銀行的存款額能夠被修正身份偽裝如IP欺騙回絕效力協(xié)議中有假設(shè)干弱點(diǎn)可被利用2022/7/124IP Security Protocol為處理Internet的平安問(wèn)題,IETF提出了一系列的協(xié)議,總稱為IP Security Protocol,簡(jiǎn)稱IPSec有規(guī)范都是以RFC的

2、方式予以公開RFC1825 Internet協(xié)議平安體系構(gòu)造RFC1826 IP鑒別頭:AHRFC1827 IP封鎖平安載荷:ESPIPSec在IPv4中需求工程設(shè)計(jì)和實(shí)現(xiàn),在IPv6中作為選項(xiàng)實(shí)現(xiàn)2022/7/125IPV4數(shù)據(jù)報(bào)2022/7/126缺乏對(duì)通訊雙方身份真實(shí)性的鑒別才干缺乏對(duì)傳輸數(shù)據(jù)的完好性和性維護(hù)的機(jī)制由于IP地址可軟件配置以及基于源IP地址的鑒別機(jī)制,IP層存在業(yè)務(wù)流被監(jiān)聽和捕獲、IP地址欺騙、信息泄露和數(shù)據(jù)項(xiàng)篡改等攻擊IPv4的缺陷2022/7/127TCP/IP協(xié)議棧2022/7/128網(wǎng)絡(luò)層平安“Internet 協(xié)議平安性 (IPSec)是一種開放規(guī)范的框架構(gòu)造,經(jīng)

3、過(guò)運(yùn)用加密的平安效力以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)展嚴(yán)密而平安的通訊。2022/7/129傳輸層平安2022/7/1210運(yùn)用層平安2022/7/1211課程內(nèi)容IP平安概述IP平安體系構(gòu)造 Windows 對(duì)IPSec的支持 小結(jié)41232022/7/1212兩個(gè)通訊協(xié)議:AH , ESP兩種操作方式:傳輸方式,隧道方式一個(gè)密鑰交換管理協(xié)議:IKE兩個(gè)數(shù)據(jù)庫(kù):平安戰(zhàn)略數(shù)據(jù)庫(kù)SPD,平安關(guān)聯(lián)數(shù)據(jù)庫(kù)SADIPSec參見P238頁(yè) 概述2022/7/1213認(rèn)證頭 AH 協(xié)議2022/7/1214為IP包提供數(shù)據(jù)完好性和鑒別功能利用MAC碼實(shí)現(xiàn)鑒別,雙方必需共享一個(gè)密鑰鑒別算

4、法由SA平安關(guān)聯(lián)指定 鑒別的范圍:整個(gè)包兩種鑒別方式: 傳輸方式 隧道方式AH2022/7/1215提供的效力包括數(shù)據(jù)源認(rèn)證無(wú)銜接的完好性可選的抗重放效力不提供嚴(yán)密性AH2022/7/1216AH頭格式 下一個(gè)報(bào)頭(Next Header)有效載荷長(zhǎng)度(Payload length)保留安全參數(shù)索引(Security Parameters Index, SPI)系列號(hào)(Sequence Number Field, SN)認(rèn)證數(shù)據(jù)(Authentication Data)0816312022/7/1217 8比特,指出AH后的下一載荷的類型(RFC1700)AH頭闡明 Next Header 2

5、022/7/1218兩種鑒別方式: 傳輸方式:不改動(dòng)IP地址,插入一個(gè)AH 隧道方式:生成一個(gè)新的IP頭,把AH和原來(lái)的整個(gè)IP包放到新IP包的載荷數(shù)據(jù)中AH運(yùn)用方式2022/7/12192022/7/1220維護(hù)端到端通訊通訊的終點(diǎn)必需是IPSec終點(diǎn)AH傳輸方式的特點(diǎn)2022/7/1221維護(hù)點(diǎn)到點(diǎn)通訊通訊的終點(diǎn)必需是IPSec終點(diǎn)AH隧道方式的特點(diǎn)2022/7/12222022/7/1223封裝平安載荷 ESP2022/7/1224提供嚴(yán)密功能,包括報(bào)文內(nèi)容的性和有限的通訊量的性,也可以提供鑒別效力可選將需求嚴(yán)密的用戶數(shù)據(jù)進(jìn)展加密后再封裝到一個(gè)新的IP包中,ESP只鑒別ESP頭之后的信息

6、加密算法和鑒別算法由SA指定兩種方式:傳輸方式和隧道方式ESP2022/7/1225提供的效力包括數(shù)據(jù)嚴(yán)密性有限的數(shù)據(jù)流嚴(yán)密性數(shù)據(jù)源認(rèn)證認(rèn)證是可選的無(wú)銜接的完好性抗重放效力ESP2022/7/1226初始化向量(IV2022/7/1227加密算法 3DES、RC5、IDEA、3IDEA、CAST、Blowfish鑒別算法 HMAC-MD5-96、HMAC-SHA-1-96, 僅用96位加密和鑒別算法2022/7/12282022/7/12292022/7/12302022/7/12312022/7/1232平安關(guān)聯(lián)SA2022/7/1233用于通訊對(duì)等方之間對(duì)某些要素的一種協(xié)定,如:IPSec

7、協(xié)議協(xié)議的操作方式:傳輸、隧道密碼算法密鑰用于維護(hù)數(shù)據(jù)流的密鑰的生存期平安關(guān)聯(lián)SA2022/7/1234經(jīng)過(guò)像IKE這樣的密鑰管理協(xié)議在通訊對(duì)等方之間協(xié)商而生成當(dāng)一個(gè)SA協(xié)商完成后,兩個(gè)對(duì)等方都在其平安關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)中存儲(chǔ)該SA參數(shù)SA具有一定的生存期,當(dāng)過(guò)期時(shí),要么中止該SA,要么用新的SA交換終止的SA將從SAD中刪除平安關(guān)聯(lián)SA2022/7/1235SAnSA3SA2SA1平安關(guān)聯(lián)SA2022/7/1236平安參數(shù)索引32位整數(shù),獨(dú)一標(biāo)識(shí)SA1255被IANA保管未來(lái)運(yùn)用0被保管用于本地實(shí)現(xiàn)SAnSA3SA2SA1平安關(guān)聯(lián)SA2022/7/1237輸出處置SA的目的IP地址輸入處置

8、SA的源IP地址SAnSA3SA2SA1平安關(guān)聯(lián)SA2022/7/1238AHESPSAnSA3SA2SA1平安關(guān)聯(lián)SA2022/7/1239平安戰(zhàn)略SP2022/7/1240SP:指定用于到達(dá)或源自特定主機(jī)/網(wǎng)絡(luò)的數(shù)據(jù)流的戰(zhàn)略SPD:包含戰(zhàn)略條目的有序列表經(jīng)過(guò)運(yùn)用一個(gè)或多個(gè)選擇符來(lái)確定每個(gè)條目平安戰(zhàn)略SP2022/7/124132位IPv4或128位IPv6地址可以是:主機(jī)地址、廣播地址、單播地址、恣意播地址、多播組地址地址范圍,地址加子網(wǎng)掩碼通配符號(hào)等SRnSR3SR2SR1平安戰(zhàn)略SP選擇符課下作業(yè):Windows對(duì)IPSec的支持2022/7/1242Internet密鑰交換2022/

9、7/1243IKEIKE是一個(gè)混合協(xié)議,運(yùn)用到三個(gè)不同協(xié)議的相關(guān)部分:ISAKMPOakley密鑰確定協(xié)議SKEMEIKE實(shí)踐定義了一個(gè)密鑰交換,而ISAKMP僅僅提供了一個(gè)可由恣意密鑰交換協(xié)議運(yùn)用的通用密鑰交換框架Internet 密鑰兩階段協(xié)商2022/7/1244ISAKMP通訊雙方建立一個(gè)ISAKMP SA,即用于維護(hù)雙方后面的協(xié)商通訊的一個(gè)協(xié)定然后用這個(gè)ISAKMP SA為維護(hù)其它協(xié)議(如AH和ESP)建立SA的協(xié)商階段1協(xié)商2022/7/1245用于為其它平安效力,如AH和ESP建立SA一個(gè)階段1的SA可用于建立多個(gè)階段2的SA階段2協(xié)商2022/7/1246Internet 密鑰

10、交換方式主方式野蠻方式快速方式新組方式2022/7/1247用于協(xié)商階段1的SA這種交換方式被設(shè)計(jì)成將密鑰交換信息與身份認(rèn)證信息相隔離,便于維護(hù)身份信息主方式2022/7/12482022/7/12491發(fā)起者發(fā)送一個(gè)封裝有建議載荷的SA載荷,而建議載荷又封裝有變換載荷2呼應(yīng)者發(fā)送一個(gè)SA載荷,闡明接受協(xié)商的SA的建議3、4發(fā)起者和接受者交換D-H公開值和各種輔助數(shù)據(jù),如nonce。Nonce是計(jì)算共享密鑰用來(lái)生成加密密鑰和認(rèn)證密鑰所必需的5、6雙方交換標(biāo)識(shí)數(shù)據(jù)并認(rèn)證D-H交換。這兩個(gè)音訊中傳送的信息是加密的,用于加密的密鑰由音訊34中交換的密鑰信息生成,所以身份信息遭到維護(hù)主方式交換的步驟2

11、022/7/1250在不需求維護(hù)身份信息時(shí),用于協(xié)商階段1的SA這種交換方式允許同時(shí)傳送與SA、密鑰交換和認(rèn)證相關(guān)的載荷。將這些載荷組合到一條音訊中減少了音訊的往返次數(shù)野蠻方式2022/7/12512022/7/12521發(fā)起者發(fā)送一個(gè)封裝有單個(gè)建議載荷的SA載荷,而建議載荷重又封裝有變換載荷。在野蠻方式中,只提供帶有一個(gè)變換的建議載荷,呼應(yīng)者可以選擇接受或回絕該建議。D-H公開值、需求的隨機(jī)數(shù)和身份信息也在其中發(fā)送2呼應(yīng)者發(fā)送一個(gè)SA載荷,其中封裝有一個(gè)包含發(fā)起者的建議和引薦的變換的建議載荷。 D-H公開值、需求的隨機(jī)數(shù)和身份信息也在其中發(fā)送3發(fā)送者發(fā)送運(yùn)用一致贊同的認(rèn)證函數(shù)生成的結(jié)果野蠻方式交換步驟2022/7/1253用于協(xié)商階段2的SA,協(xié)商遭到階段1協(xié)商好的ISAKMP SA的維護(hù)這種交換方式下交換的載荷都是加密的快速方式2022/7/12542022/7/1255用于為D-H密鑰交換協(xié)商一個(gè)新的群這種交換方式遭到階段1協(xié)商好的ISAKMP SA的維護(hù)新組方式交換2022/7/1256課程內(nèi)容IP平安概述IP平安體系構(gòu)造 Windows 對(duì)IPSe

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論