版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
任務(wù)3軟件安全技術(shù)與應(yīng)用實(shí)踐
軟件限制策略及應(yīng)用;TCP/IP協(xié)議的安全性;加密文件系統(tǒng)(EFS);Kerberos系統(tǒng);IPSec系統(tǒng)
;定義軟件安全(SoftwareSecurity)就是使軟件在受到惡意攻擊的情形下依然能夠繼續(xù)正確運(yùn)行的工程化軟件思想。3.1軟件安全策略
3.1.1軟件限制策略及應(yīng)用
在企業(yè)網(wǎng)絡(luò)管理中,可利用域控制器實(shí)現(xiàn)對(duì)某些軟件的使用限制。當(dāng)用戶利用域賬戶登錄到本機(jī)電腦的時(shí)候,系統(tǒng)會(huì)根據(jù)這個(gè)域賬戶的訪問(wèn)權(quán)限,判斷其是否有某個(gè)應(yīng)用軟件的使用權(quán)限。當(dāng)確定其沒(méi)有相關(guān)權(quán)限時(shí),操作系統(tǒng)就會(huì)拒絕用戶訪問(wèn)該應(yīng)用軟件,從而來(lái)管理企業(yè)員工的操作行為。這就是域環(huán)境中的軟件限制策略。1.軟件限制策略原則
(1)應(yīng)用軟件與數(shù)據(jù)文件的獨(dú)立原則在使用軟件限制策略時(shí),應(yīng)堅(jiān)持“應(yīng)用軟件與數(shù)據(jù)文件獨(dú)立”的原則,即用戶即使具有數(shù)據(jù)文件的訪問(wèn)權(quán)限,但若沒(méi)有其關(guān)聯(lián)軟件的訪問(wèn)權(quán)限,仍然不能打開(kāi)這個(gè)文件。(2)軟件限制策略的沖突處理原則軟件限制策略與其他組策略一樣,可以在多個(gè)級(jí)別上進(jìn)行設(shè)置。即可將軟件限制策略看成是組策略中的一個(gè)特殊分支。所以,軟件限制策略可以在本地計(jì)算機(jī)、站點(diǎn)、域或組織單元等多個(gè)環(huán)節(jié)進(jìn)行設(shè)置。每個(gè)級(jí)別又可以針對(duì)用戶與計(jì)算機(jī)進(jìn)行設(shè)置。當(dāng)在各個(gè)設(shè)置級(jí)別上的軟件限制策略發(fā)生沖突時(shí),應(yīng)考慮優(yōu)先性問(wèn)題。優(yōu)先性的級(jí)別從高到低為“組織單元策略”、“域策略”、“站點(diǎn)策略”和“本地計(jì)算機(jī)策略”。(3)軟件限制的規(guī)則默認(rèn)情況下,軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規(guī)則?!安皇芟薜摹币?guī)則規(guī)定所有登錄的用戶都可以運(yùn)行指定的軟件?!安辉试S的”規(guī)則規(guī)定所有登錄系統(tǒng)的賬戶,都不能運(yùn)行這個(gè)應(yīng)用軟件,無(wú)論其是否對(duì)數(shù)據(jù)文件具有訪問(wèn)權(quán)限。系統(tǒng)默認(rèn)的策略是所有軟件運(yùn)行都是“不受限的”,即只要用戶對(duì)于數(shù)據(jù)文件有訪問(wèn)權(quán)限,就可以運(yùn)行對(duì)應(yīng)的應(yīng)用軟件。2.軟件限制策略的應(yīng)用軟件限制策略是一種技術(shù),通過(guò)這種技術(shù),管理員可以決定哪些程序是可信賴的,哪些是不可信賴的。對(duì)于不可信賴的程序,系統(tǒng)會(huì)拒絕執(zhí)行。運(yùn)行Gpedit.msc打開(kāi)組策略編輯器,可以發(fā)現(xiàn)有“計(jì)算機(jī)配置”和“用戶設(shè)置”條目。如果希望對(duì)本地登錄到計(jì)算機(jī)的所有用戶生效,則使用“計(jì)算機(jī)配置”下的策略;如果希望對(duì)某個(gè)特定用戶或用戶組生效,則使用“用戶配置”下的策略。用戶應(yīng)設(shè)計(jì)出一種最佳的策略,能使所有需要的軟件正確運(yùn)行,所有不必要的軟件都無(wú)法運(yùn)行。
具體操作:打開(kāi)“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”路徑,在“操作”菜單下選擇“創(chuàng)建新的策略”。請(qǐng)參考教材p1563.1.2TCP/IP協(xié)議的安全性
TCP/IP協(xié)議是由100多個(gè)協(xié)議組成的協(xié)議集,TCP和IP是其中兩個(gè)最重要的協(xié)議。TCP和IP兩個(gè)協(xié)議分別屬于傳輸層和網(wǎng)絡(luò)層,在Internet中起著不同的作用。1.TCP/IP協(xié)議的層次結(jié)構(gòu)及主要協(xié)議
網(wǎng)絡(luò)接口層負(fù)責(zé)接收IP數(shù)據(jù)報(bào),并把這些數(shù)據(jù)報(bào)發(fā)送到指定網(wǎng)絡(luò)中。它與OSI模型中的數(shù)據(jù)鏈路層和物理層相對(duì)應(yīng)。網(wǎng)絡(luò)層要解決主機(jī)到主機(jī)的通信問(wèn)題,該層的主要協(xié)議有IP和ICMP。傳輸層的基本任務(wù)是提供應(yīng)用程序之間的通信,這種通信通常叫做端到端通信。傳輸層可提供端到端之間的可靠傳送,確保數(shù)據(jù)到達(dá)無(wú)差錯(cuò),不亂序。傳輸層的主要協(xié)議有TCP和UDP。應(yīng)用層為協(xié)議的最高層,在該層應(yīng)用程序與協(xié)議相互配合,發(fā)送或接收數(shù)據(jù)。應(yīng)用層傳輸(TCP)層網(wǎng)絡(luò)(IP)層網(wǎng)絡(luò)接口層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IPOSI圖3.5TCP/IP結(jié)構(gòu)與OSI結(jié)構(gòu)2.TCP/IP協(xié)議安全性分析(1)TCP協(xié)議TCP使用三次握手機(jī)制建立一條連接。攻擊者可利用這三次握手過(guò)程建立有利于自己的連接(破壞原連接),若他們?cè)俪脵C(jī)插入有害數(shù)據(jù)包,則后果更嚴(yán)重。TCP協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流,用一個(gè)32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)(ISN)在TCP握手時(shí)產(chǎn)生,產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求,即可獲得上次連接的ISN,再通過(guò)多次測(cè)量來(lái)回傳輸路徑,得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來(lái)回時(shí)間(RTT)。已知上次連接的ISN和RTT,很容易就能預(yù)測(cè)下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接,并預(yù)測(cè)到目標(biāo)主機(jī)的TCP序列號(hào),攻擊者就能偽造有害數(shù)據(jù)包,使之被目標(biāo)主機(jī)接受。
(2)IP協(xié)議和ICMP協(xié)議IP協(xié)議提供無(wú)連接的數(shù)據(jù)包傳輸機(jī)制,其主要功能有尋址、路由選擇、分段和組裝。傳送層把報(bào)文分成若干個(gè)數(shù)據(jù)包,每個(gè)包在網(wǎng)關(guān)中進(jìn)行路由選擇,在傳輸過(guò)程中每個(gè)數(shù)據(jù)包可能被分成若干小段,每一小段都當(dāng)作一個(gè)獨(dú)立的數(shù)據(jù)包被傳輸,其中只有第一個(gè)數(shù)據(jù)包含有TCP層的端口信息。在包過(guò)濾防火墻中根據(jù)數(shù)據(jù)包的端口號(hào)檢查是否合法,這樣后續(xù)數(shù)據(jù)包就可以不經(jīng)檢查而直接通過(guò)。攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包,以非法端口號(hào)為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號(hào)的數(shù)據(jù)包,那么該路由器防火墻上的過(guò)濾規(guī)則被旁路,從而攻擊者便達(dá)到了進(jìn)攻目的。
ICMP是在網(wǎng)絡(luò)層中與IP一起使用的協(xié)議。如果一個(gè)網(wǎng)關(guān)不為IP分組選擇路由、不能遞交IP分組或測(cè)試到某種不正常狀態(tài),如網(wǎng)絡(luò)擁擠影響IP分組的傳遞,那么就需要ICMP來(lái)通知源端主機(jī)采取措施,避免或糾正這些問(wèn)題。ICMP協(xié)議存在的安全問(wèn)題有:攻擊者可利用不可達(dá)報(bào)文對(duì)某用戶節(jié)點(diǎn)發(fā)起拒絕服務(wù)攻擊。3.TCP/IP層次安全
(1)網(wǎng)絡(luò)接口層安全網(wǎng)絡(luò)接口層安全一般可以達(dá)到點(diǎn)對(duì)點(diǎn)間較強(qiáng)的身份驗(yàn)證、保密性和連續(xù)的信道認(rèn)證,在大多數(shù)情況下也可以保證數(shù)據(jù)流的安全。(2)網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮:控制不同的訪問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問(wèn)。劃分并隔離不同安全域。防止內(nèi)部訪問(wèn)者對(duì)無(wú)權(quán)訪問(wèn)區(qū)域的訪問(wèn)和誤操作。網(wǎng)絡(luò)層非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)。相應(yīng)的安全協(xié)議可用來(lái)在Internet上建立安全的IP通道和VPN。(3)傳輸層的安全在傳輸層建立安全通信機(jī)制,為應(yīng)用層提供安全保護(hù)。常見(jiàn)的傳輸層安全技術(shù)有SSL(4)應(yīng)用層的安全應(yīng)用層提供的安全服務(wù),通常都是對(duì)每個(gè)應(yīng)用(包括應(yīng)用協(xié)議)分別進(jìn)行修改和擴(kuò)充,加入新的安全功能?;谛庞每ò踩灰追?wù)的安全電子交易(SET)協(xié)議,基于信用卡提供電子商務(wù)安全應(yīng)用的安全電子付費(fèi)協(xié)議(SEPP),基于SMTP提供電子郵件安全服務(wù)的私用強(qiáng)化郵件(PEM),基于HTTP協(xié)議提供Web安全使用的安全性超文本傳輸協(xié)議(S-HTTP)等。3.2加密文件系統(tǒng)(EFS)
3.2.1EFS軟件加密文件系統(tǒng)(EncryptingFileSystem,EFS)是Windows文件系統(tǒng)的內(nèi)置文件加密工具,它以公共密鑰加密為基礎(chǔ).EFS可對(duì)存儲(chǔ)在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。
EFS系統(tǒng)具有如下特性:用戶加密或解密文件或文件夾很方便,訪問(wèn)加密文件簡(jiǎn)單容易在使用EFS加密一個(gè)文件或文件夾時(shí),系統(tǒng)首先會(huì)生成一個(gè)由偽隨機(jī)數(shù)組成的FEK(文件加密密鑰),然后利用FEK和數(shù)據(jù)擴(kuò)展標(biāo)準(zhǔn)X算法創(chuàng)建加密文件,并把它存儲(chǔ)到硬盤上,同時(shí)刪除未加密的原文件。隨后系統(tǒng)利用用戶的公鑰加密FEK,并把加密后的FEK存儲(chǔ)在同一個(gè)加密文件中。當(dāng)用戶訪問(wèn)被加密的文件時(shí),系統(tǒng)首先利用用戶的私鑰解密FEK,然后利用FEK解密原加密文件。在首次使用EFS時(shí),如果用戶還沒(méi)有公鑰/私鑰對(duì)(統(tǒng)稱為密鑰),則會(huì)首先生成密鑰,然后再加密數(shù)據(jù)。EFS加密文件的時(shí)候,使用對(duì)該文件唯一的對(duì)稱加密密鑰,并使用文件擁有者EFS證書(shū)中的公鑰對(duì)這些對(duì)稱加密密鑰進(jìn)行加密。因?yàn)橹挥形募膿碛姓卟拍苁褂妹荑€對(duì)中的私鑰,所以也只有他才能解密密鑰和文件。
EFS加密系統(tǒng)對(duì)用戶是透明的用戶加密了一些數(shù)據(jù),那么他對(duì)這些數(shù)據(jù)的訪問(wèn)將是完全允許的,并不會(huì)受到任何限制。如果用戶持有一個(gè)已加密NTFS文件的私鑰,那么他就能夠打開(kāi)這個(gè)文件,并透明地將該文件作為普通文檔使用。而其他非授權(quán)用戶試圖訪問(wèn)加密過(guò)的數(shù)據(jù)時(shí),就會(huì)收到“訪問(wèn)拒絕”的提示。這說(shuō)明非授權(quán)用戶無(wú)法訪問(wèn)經(jīng)過(guò)EFS加密后的文件。即使是有權(quán)訪問(wèn)計(jì)算機(jī)及其文件系統(tǒng)的用戶,也無(wú)法讀取這些加密數(shù)據(jù)。加密后的數(shù)據(jù)無(wú)論怎樣移動(dòng)都保持加密狀態(tài)把未加密的文件復(fù)制到經(jīng)過(guò)加密的文件夾中,那么這些文件將會(huì)被自動(dòng)加密。若想將加密文件移出來(lái),如果移動(dòng)到NTFS分區(qū)上,文件依舊保持加密屬性。EFS加密機(jī)制和操作系統(tǒng)緊密結(jié)合,用戶不必為加密數(shù)據(jù)安裝額外軟件,可節(jié)約使用成本
EFS加密的用戶驗(yàn)證過(guò)程是在登錄Windows時(shí)進(jìn)行的,只要登錄到Windows,就可以打開(kāi)任何一個(gè)被授權(quán)的加密文件,而并不像第三方加密軟件那樣在每次存取時(shí)都要求輸入密碼。
EFS與NTFS緊密地結(jié)合在一起。使用EFS加密功能要保證兩個(gè)條件,第一要保證操作系統(tǒng)是Windows2000/XP/2003,第二要保證文件所在的分區(qū)格式是NTFS格式(FAT32分區(qū)里的數(shù)據(jù)是無(wú)法加密的;如果要使用EFS對(duì)其進(jìn)行加密,就必須將FAT32格式轉(zhuǎn)換為NTFS)。通過(guò)EFS加密敏感性文件,會(huì)增加更多層級(jí)的安全性防護(hù)對(duì)于重要文件,最佳的做法是綜合使用NTFS權(quán)限和EFS加密兩項(xiàng)安全措施。這樣,如果非法用戶沒(méi)有合適的權(quán)限,將不能訪問(wèn)受保護(hù)的文件和文件夾,因此也就不能刪除文件了;而有些用戶即使擁有權(quán)限,沒(méi)有密鑰同樣還是打不開(kāi)加密數(shù)據(jù)。3.2.2EFS加密和解密應(yīng)用實(shí)踐1.EFS加密和解密操作p1632.EFS的其它操作
p1703.3Kerberos系統(tǒng)
Kerberos是一種提供網(wǎng)絡(luò)認(rèn)證服務(wù)的系統(tǒng),其設(shè)計(jì)目標(biāo)是通過(guò)密鑰系統(tǒng)為Client/Server應(yīng)用程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證,無(wú)需基于主機(jī)地址的信任,不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全,并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。3.3.1Kerberos概述
Keberos是為TCP/IP網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的一種基于對(duì)稱密鑰密碼體制的第三方認(rèn)證協(xié)議。Kerberos認(rèn)證協(xié)議定義了客戶端和密鑰分配中心(Key
Distribution
Center,KDC)的認(rèn)證服務(wù)之間的安全交互過(guò)程。KDC由認(rèn)證服務(wù)器AS和票證授權(quán)服務(wù)器TGS兩部分組成。Kerberos協(xié)議根據(jù)KDC的第三方服務(wù)中心來(lái)驗(yàn)證網(wǎng)絡(luò)中計(jì)算機(jī)的身份,并建立密鑰以保證計(jì)算機(jī)間安全連接。Kerberos允許一臺(tái)計(jì)算機(jī)通過(guò)交換加密消息在整個(gè)非安全網(wǎng)絡(luò)上與另一臺(tái)計(jì)算機(jī)互相證明身份。一旦身份得到驗(yàn)證,Kerberos協(xié)議將會(huì)給這兩臺(tái)計(jì)算機(jī)提供密鑰,以進(jìn)行安全通信對(duì)話。Kerberos協(xié)議可以認(rèn)證試圖登錄上網(wǎng)用戶的身份,并通過(guò)使用密鑰密碼為用戶間的通信加密。Kerberos以票證(ticket)系統(tǒng)為基礎(chǔ),票證是KDC發(fā)出的一些加密數(shù)據(jù)包,它可標(biāo)識(shí)用戶的身份及其網(wǎng)絡(luò)訪問(wèn)權(quán)限。每個(gè)KDC負(fù)責(zé)一個(gè)領(lǐng)域(realm)的票證發(fā)放。KDC類似于發(fā)卡機(jī)構(gòu),“票證”類似通行“護(hù)照”,它帶有安全信息。在Windows2003中,每個(gè)域也是一個(gè)Kerberos領(lǐng)域,每個(gè)ActiveDirectory域控制器(DC)就是一個(gè)KDC。執(zhí)行基于Kerberos的事務(wù)時(shí),用戶將透明地向KDC發(fā)送票證請(qǐng)求。KDC將訪問(wèn)數(shù)據(jù)庫(kù)以驗(yàn)證用戶的身份,然后返回授予用戶訪問(wèn)其他計(jì)算機(jī)的權(quán)限的票證。Windows系統(tǒng)中采用多種措施提供對(duì)Kerberos協(xié)議的支持,在系統(tǒng)的每個(gè)域控制器中都應(yīng)用了KDC認(rèn)證服務(wù)。Windows系統(tǒng)中應(yīng)用了Kerberos協(xié)議的擴(kuò)展,除共享密鑰外,還支持基于公開(kāi)密鑰密碼的身份認(rèn)證機(jī)制。Kerberos公鑰認(rèn)證的擴(kuò)展允許客戶端在請(qǐng)求一個(gè)初始TGT(TGT稱為票據(jù)授權(quán)票證,是一個(gè)KDC發(fā)給驗(yàn)證用戶的資格證)時(shí)使用私鑰,而KDC則使用公鑰來(lái)驗(yàn)證請(qǐng)求,該公鑰是從存儲(chǔ)在活動(dòng)目錄中用戶對(duì)象的X.509證書(shū)中獲取的。用戶的證書(shū)可以由權(quán)威的第三方發(fā)放,也可以由Windows系統(tǒng)中的微軟證書(shū)服務(wù)器產(chǎn)生。初始認(rèn)證以后,就可以使用標(biāo)準(zhǔn)的Kerberos來(lái)獲取會(huì)話票證,并連接到相應(yīng)的網(wǎng)絡(luò)服務(wù)。認(rèn)證過(guò)程具體如下:客戶機(jī)向認(rèn)證服務(wù)器(AS)發(fā)送請(qǐng)求,要求得到某服務(wù)器的證書(shū),然后AS的響應(yīng)包含這些用客戶端密鑰加密的證書(shū)。證書(shū)的構(gòu)成為:1)服務(wù)器“ticket”;2)一個(gè)臨時(shí)加密密鑰(又稱為會(huì)話密鑰“sessionkey”)??蛻魴C(jī)將ticket(包括用服務(wù)器密鑰加密的客戶機(jī)身份和一份會(huì)話密鑰的拷貝)傳送到服務(wù)器上。會(huì)話密鑰可以(現(xiàn)已經(jīng)由客戶機(jī)和服務(wù)器共享)用來(lái)認(rèn)證客戶機(jī)或認(rèn)證服務(wù)器,也可用來(lái)為通信雙方以后的通訊提供加密服務(wù),或通過(guò)交換獨(dú)立子會(huì)話密鑰為通信雙方提供進(jìn)一步的通信加密服務(wù)。上述認(rèn)證交換過(guò)程需要只讀方式訪問(wèn)Kerberos數(shù)據(jù)庫(kù)。但有時(shí),數(shù)據(jù)庫(kù)中的記錄必須進(jìn)行修改,如添加新的規(guī)則或改變規(guī)則密鑰時(shí)。修改過(guò)程通過(guò)客戶機(jī)和第三方Kerberos服務(wù)器(Kerberos管理器KADM)間的協(xié)議完成。有關(guān)管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護(hù)多份Kerberos數(shù)據(jù)庫(kù)的拷貝,這可以認(rèn)為是執(zhí)行過(guò)程中的細(xì)節(jié)問(wèn)題,并且會(huì)不斷改變以適應(yīng)各種不同數(shù)據(jù)庫(kù)技術(shù)。3.4IPSec系統(tǒng)3.4.1IPSec概述IP安全協(xié)議(IPSecurity,IPSec)是網(wǎng)絡(luò)安全協(xié)議的一個(gè)工業(yè)標(biāo)準(zhǔn),也是目前TCP/IP網(wǎng)絡(luò)的安全化協(xié)議標(biāo)準(zhǔn)。IPSec最主要的功能是為IP通信提供加密和認(rèn)證,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持其易用性。IPSec的目標(biāo)是為IP提供互操作高質(zhì)量的基于密碼學(xué)的一整套安全服務(wù),其中包括訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)源驗(yàn)證、抗重放攻擊、機(jī)密性和有限的流量保密。這些服務(wù)都在IP層提供,可以為IP和其上層協(xié)議提供保護(hù)。IPSec不是一個(gè)單獨(dú)的協(xié)議,它由一系列協(xié)議組成,包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH(也稱認(rèn)證報(bào)頭)、封裝安全載荷協(xié)議ESP、密鑰管理協(xié)議IKE和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中AH協(xié)議定義了認(rèn)證的應(yīng)用方法,提供數(shù)據(jù)源認(rèn)證和完整性保證;ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法,提供可靠性保證。在實(shí)際進(jìn)行IP通信時(shí),可以根據(jù)實(shí)際安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù),不過(guò),AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上層提供訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec可應(yīng)用于虛擬專用網(wǎng)絡(luò)(VPN)、應(yīng)用級(jí)安全以及路由安全三個(gè)不同的領(lǐng)域,但目前主要用于VPN。IPSec既可以作為一個(gè)完整的VPN方案,也可以與其他協(xié)議配合使用,如PPTP、L2TP。它工作在IP層(網(wǎng)絡(luò)層),為IP層提供安全性,并可為上一層應(yīng)用提供一個(gè)安全的網(wǎng)絡(luò)連接,提供基于一種端--端的安全模式。IPSec兩種工作模式:一種是隧道模式,在隧道模式中,整個(gè)IP數(shù)據(jù)包被加密或認(rèn)證,成為一個(gè)新的更大的IP包的數(shù)據(jù)部分,該IP包有新的IP報(bào)頭,還增加了IPSec報(bào)頭。隧道模式主要用在網(wǎng)關(guān)和代理上,IPSec服務(wù)由中間系統(tǒng)實(shí)現(xiàn),端節(jié)點(diǎn)并不知道使用了IPSec。一種是傳輸模式。在傳輸模式中,只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證,此時(shí)繼續(xù)使用原始IP頭部。在傳輸模式中,兩個(gè)端節(jié)點(diǎn)必須都實(shí)現(xiàn)IPSec,而中間系統(tǒng)不對(duì)數(shù)據(jù)包進(jìn)行任何IPSec處理。3.4.2IPsec中加密與完整性驗(yàn)證機(jī)制IPSec可對(duì)數(shù)據(jù)進(jìn)行加密和完整性驗(yàn)證。其中,AH協(xié)議只能用于對(duì)數(shù)據(jù)包包頭進(jìn)行完整性驗(yàn)證,而ESP協(xié)議可用于對(duì)數(shù)據(jù)的加密和完整性驗(yàn)證。IPSec的認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。IPSec的加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性,以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)。為了進(jìn)行加密和認(rèn)證,IPSec還需要有密鑰的管理和交換功能,以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH、ESP和IKE三個(gè)協(xié)議規(guī)定。
1.安全關(guān)聯(lián)SAIPSec中一個(gè)重要概念就是SA,所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”,即就是能為雙方之間的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個(gè)簡(jiǎn)單連接。SA可以看成是兩個(gè)IPSec對(duì)等端之間的一條安全隧道。SA是策略和密鑰的結(jié)合,它定義用來(lái)保護(hù)端--端通信的常規(guī)安全服務(wù)、機(jī)制和密鑰。SA可由AH或ESP提供,當(dāng)給定了一個(gè)SA,就確定了IPSec要執(zhí)行的處理。2.認(rèn)證協(xié)議AH為整個(gè)數(shù)據(jù)包提供身
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 員工聘用協(xié)議書(shū)2023
- 個(gè)人租房的合同協(xié)議書(shū)范本10篇
- 再婚離婚協(xié)議書(shū)2025年
- 重癥肌無(wú)力樣綜合征病因介紹
- T-CIECCPA 011-2024 高雜貴金屬冶煉渣資源化處理技術(shù)規(guī)范
- 中考?xì)v史復(fù)習(xí)第一部分教材知識(shí)速查模塊2中國(guó)近代史第1講列強(qiáng)的侵略與中國(guó)人民的抗?fàn)幑_(kāi)課一等獎(jiǎng)省
- (2024)汽車內(nèi)飾用品項(xiàng)目可行性研究報(bào)告寫作范本(一)
- 2023年金屬門窗及類似制品項(xiàng)目融資計(jì)劃書(shū)
- 2023年紡織產(chǎn)品項(xiàng)目籌資方案
- 《開(kāi)環(huán)伯德圖的繪制》課件
- 電氣專業(yè)述職報(bào)告
- 腰椎病的中醫(yī)護(hù)理查房
- 2024年湖南省公務(wù)員考試《行測(cè)》真題及答案解析
- 成都錦城學(xué)院《操作系統(tǒng)與nux管理》2022-2023學(xué)年期末試卷
- 《弧弦圓心角》說(shuō)課稿課件
- 中職班級(jí)建設(shè)三年規(guī)劃方案
- 河南省鄭州市2023-2024學(xué)年高二上學(xué)期期末考試 物理 含解析
- 2024年中級(jí)安全工程師《(建筑施工)安全生產(chǎn)專業(yè)實(shí)務(wù)》考試題庫(kù)(含答案)
- 弘揚(yáng)抗戰(zhàn)精神課程設(shè)計(jì)
- 康復(fù)護(hù)理完整版
- 制氫技術(shù)與工藝 課件 第7章 氨制氫
評(píng)論
0/150
提交評(píng)論