信息安全概論第16講.ppt

1、信息安全概論,第16講 2008年x月y日,6.2 IPSec,簡介 IPSec（IP Security）工作在TCP/IP協(xié)議棧的網(wǎng)絡(luò)層。 為應(yīng)用程序提供共同的安全服務(wù)和密鑰管理。 它將密碼技術(shù)應(yīng)用在網(wǎng)絡(luò)層，提供發(fā)送、接收端的身份識別、數(shù)據(jù)完整性、訪問控制、以及機(jī)密性等安全服務(wù)。 IPSec是IPv6的標(biāo)準(zhǔn)協(xié)議子集，但也可在IPv4上實(shí)施。,特點(diǎn) 1、對IP層的所有信息進(jìn)行過濾處理工作； 2、有比較好的兼容性，比高層的安全協(xié)議更靈活，比底層協(xié)議更能夠適應(yīng)通信介質(zhì)的多樣性; 3、透明性好，IP層以上的所有應(yīng)用都不需要經(jīng)過修改，即可獲得安全性的保障，同時(shí)終端用戶不需要了解相關(guān)安全機(jī)制就可使用；

2、4、可以輕松實(shí)現(xiàn)VPN，可以保護(hù)、確認(rèn)路由信息，使路由器不會受欺騙而阻斷通信等。,6.2.1. IPSec體系結(jié)構(gòu),IPSec提供三種不同的形式來保護(hù)IP網(wǎng)絡(luò)的數(shù)據(jù)： 原發(fā)方鑒別 數(shù)據(jù)完整 機(jī)密性 IPSec通過三個(gè)基本的協(xié)議來實(shí)現(xiàn)上述三種保護(hù) 鑒別報(bào)頭（AH）協(xié)議 載荷安全封裝（ESP）協(xié)議 密鑰管理與交換協(xié)議（IKE） 鑒別報(bào)頭協(xié)議和載荷安全封裝協(xié)議可以通過分開或組合使用來達(dá)到所希望的保護(hù)等級。此外還涉及鑒別算法、加密算法和安全關(guān)聯(lián)SA等，我們在后面的部分將對這些關(guān)鍵組件進(jìn)行詳細(xì)描述。它們之間的關(guān)系如圖6.2所示：,圖6.2 IPsec協(xié)議文檔關(guān)系圖,6.2.2 IPSec提供的安全服務(wù),

3、表6.1IPSec提供的服務(wù),6.2.3 安全關(guān)聯(lián),安全關(guān)聯(lián)的參數(shù)包括： （1）序列號計(jì)數(shù)器 （2）序列號計(jì)數(shù)器溢出標(biāo)志 （3）反重放窗口 （4）AH信息 （5）ESP信息 （6）安全關(guān)聯(lián)的生存期 （7）IPSec協(xié)議模式 （8）路徑最大傳輸單元。,安全關(guān)聯(lián)（Security Association，SA）是安全策略（Security Policy）一種具體實(shí)現(xiàn)，它指定了對IP數(shù)據(jù)報(bào)提供何種保護(hù)，并以何種方式實(shí)施保護(hù)。它是發(fā)送方和接收方之間的一個(gè)單向邏輯連接，決定保護(hù)什么、如何保護(hù)以及誰來保護(hù)通信數(shù)據(jù)。如果需要雙向的安全服務(wù)，那就要建立起兩條（或更多條）安全連接，安全關(guān)聯(lián)通過指定AH或ESP協(xié)

4、議來實(shí)現(xiàn)。,6.2.4 封裝安全載荷,封裝安全載荷（Encapsulating Security Payload，ESP）協(xié)議利用加密機(jī)制為通過不可信網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)提供機(jī)密性服務(wù)，同時(shí)也可以提供鑒別服務(wù)。 加密算法：DES、三重DES、RC5、IDEA，CAST等算法。 鑒別算法：NULL、MD5和SHA-1算法。 通過這些加密和鑒別機(jī)制為IP數(shù)據(jù)報(bào)提供原發(fā)方鑒別、數(shù)據(jù)完整性、反重放和機(jī)密性安全服務(wù)，可在傳輸模式和隧道模式下使用（見后文）。,ESP,安全參數(shù)索引SPI（32位）：標(biāo)識一個(gè)安全關(guān)聯(lián)（SA）。 序列號（32位）：增量計(jì)數(shù)器的值，用來提供反重放與完整性服務(wù)。 載荷數(shù)據(jù)（長度可變）

5、：通過加密進(jìn)行保護(hù)的數(shù)據(jù)。 填充（0255Byte）：主要用來實(shí)現(xiàn)某些加密算法對明文分組字節(jié)數(shù)的要求。 填充長度（8位）：表示填充字段的字節(jié)數(shù)。,下一報(bào)頭（8位）：通過標(biāo)識有效載荷的第一個(gè)報(bào)頭來說明有效載荷數(shù)據(jù)字段中包含的數(shù)據(jù)類型。 鑒別數(shù)據(jù)（可變長）：一個(gè)可變長字段（必須是32位字的整數(shù)倍），用來填入對ESP包中除鑒別數(shù)據(jù)字段外的數(shù)據(jù)進(jìn)行完整性校驗(yàn)時(shí)的校驗(yàn)值。該字段的默認(rèn)長度是96比特。,6.2.5鑒別頭協(xié)議,鑒別報(bào)頭（Authentication Header，AH）可以保證IP分組的可靠性和完整性。其原理是將IP分組頭、上層數(shù)據(jù)和公共密鑰通過鑒別算法計(jì)算出AH報(bào)頭鑒別數(shù)據(jù)，將AH報(bào)頭數(shù)據(jù)

6、加入IP分組，接收方將收到的IP分組運(yùn)行同樣的計(jì)算，并與接收到的AH報(bào)頭比較進(jìn)行鑒別。 數(shù)據(jù)完整性可以對傳輸過程中的非授權(quán)修改進(jìn)行檢測；鑒別服務(wù)可使末端系統(tǒng)或網(wǎng)絡(luò)設(shè)備鑒別用戶或通信數(shù)據(jù)，根據(jù)需要過濾通信量，驗(yàn)證服務(wù)還可防止地址欺騙攻擊及重放攻擊。 鑒別算法：MD5和SHA-1算法。 其結(jié)構(gòu)如圖所示：,AH,下一報(bào)頭（8位）：表示緊跟驗(yàn)證頭的下一個(gè)頭的類型。 載荷長度（8位）：以32位字節(jié)為單位的鑒別頭長度再減去2，其缺省值為4。 保留（16位）：留作將來使用。 安全參數(shù)索引SPI（32位）：用來標(biāo)識一個(gè)安全關(guān)聯(lián)。 序列號（32位）：增量計(jì)數(shù)器的值，與ESP中的功能相同。 鑒別數(shù)據(jù)（可變長）：一

7、個(gè)可變長字段（必須是32位字的整數(shù)倍），用來填入對AH包中除鑒別數(shù)據(jù)字段外的數(shù)據(jù)進(jìn)行完整性校驗(yàn)時(shí)的校驗(yàn)值。該字段的默認(rèn)長度是96比特。,6.2.6 IPSec的工作模式,IPSec的工作模式分為傳輸模式和隧道模式，AH和ESP均支持這兩種模式。如圖所示：,（1）傳輸模式主要為上層協(xié)議提供保護(hù)，用于兩臺主機(jī)之間，實(shí)現(xiàn)端到端的安全。 （2）隧道模式的安全連接實(shí)質(zhì)上是一種應(yīng)用在IP隧道上的安全連接。隧道模式對整個(gè)原始數(shù)據(jù)報(bào)提供了所需的服務(wù)，常用于主機(jī)與路由器或兩臺路由器之間。 IPSec支持隧道的嵌套，即對已隧道化的數(shù)據(jù)再進(jìn)行隧道化處理。,解釋域與密鑰管理,6.2.7 解釋域 它是Internet統(tǒng)

8、一協(xié)議參數(shù)分配機(jī)構(gòu)（IANA）中數(shù)字分配機(jī)制的一部分，它將所有IPSec協(xié)議捆綁在一起，包括如被認(rèn)可的加密、鑒別算法標(biāo)識和密鑰生存周期等IPSec安全參數(shù)。 6.2.8 密鑰管理 IPSec的密鑰管理包括密鑰的確定和分配，分為手工和自動(dòng)兩種方式。IPSec默認(rèn)的自動(dòng)密鑰管理協(xié)議是Internet密鑰交換（Internet Key Exchange，IKE），它規(guī)定了對IPSec對等實(shí)體自動(dòng)驗(yàn)證、協(xié)商安全服務(wù)和產(chǎn)生共享密鑰的標(biāo)準(zhǔn)。,6.3 防火墻 6.3.1 概述,6.3.1 概述,不同的網(wǎng)段、不同的局域網(wǎng)之間，就好像不同的省市、不同的國家一樣有一個(gè)邊界。通過在邊界設(shè)立邊境檢查站，并要求所有的人

9、員只能從檢查站出入邊境，就可以檢查、控制、記錄、管理出入邊界的人員，知道有哪些人、攜帶什么東西進(jìn)出邊境，還可以根據(jù)這些人是否有合法的出入境證件、攜帶的東西是否合法等決定是否允許其出入邊境。 防火墻就是計(jì)算機(jī)網(wǎng)絡(luò)中的邊境檢查站，保護(hù)內(nèi)部網(wǎng)絡(luò)： 所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流都通過防火墻，并根據(jù)安全策略進(jìn)行檢查，只有符合安全策略、被授權(quán)的數(shù)據(jù)流才可以通過，由此保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。 是一種按照預(yù)先制定的安全策略來進(jìn)行訪問控制的軟件或設(shè)備，主要是用來阻止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的侵?jǐn)_。 是一種邏輯隔離部件，而不是物理隔離部件。,1. 防火墻的防護(hù)機(jī)制與局限,（1）所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的通信，都必須經(jīng)過防火墻 （2）所

10、有通過防火墻的通信，都必須經(jīng)過安全策略的過濾 （3）防火墻本身是安全可靠的 內(nèi)部網(wǎng)絡(luò)的相互訪問，因沒有穿越防火墻，所以防火墻是無法進(jìn)行控制的。,2. 防火墻的形態(tài),（1）純軟件 防火墻是運(yùn)行在通用計(jì)算機(jī)上的純軟件，簡單易用，配置靈活，但因底層操作系統(tǒng)是一個(gè)通用型的系統(tǒng)，其數(shù)據(jù)處理能力、安全性能水平都比較低。 （2）純硬件 為了解決純軟件防火墻的不足，設(shè)計(jì)人員將防火墻軟件固化在專門設(shè)計(jì)的硬件上，數(shù)據(jù)處理能力與安全性能水平都得到了很大的提高。但因來自網(wǎng)絡(luò)的威脅不斷變化，防火墻的安全策略、配置等也需要經(jīng)常進(jìn)行調(diào)整，而純硬件防火墻的調(diào)整非常困難。 （3）軟硬件結(jié)合 這種防火墻結(jié)合了上述兩種防火墻的優(yōu)點(diǎn)

11、，針對防火墻的特殊要求，對硬件、操作系統(tǒng)進(jìn)行裁減，設(shè)計(jì)、開發(fā)出了防火墻專用的硬件、安全操作系統(tǒng)平臺，然后在此平臺上運(yùn)行防火墻軟件。,3. 防火墻的功能,（1）訪問控制 訪問控制是防火墻最基本、也是最重要的功能。如防火墻通過身份識別，辨別請求訪問內(nèi)部網(wǎng)絡(luò)者的身份，然后根據(jù)該用戶所獲得的授權(quán)，控制其訪問授權(quán)范圍的內(nèi)容，保護(hù)網(wǎng)絡(luò)的內(nèi)部信息。 防火墻還可以對所提供的網(wǎng)絡(luò)服務(wù)進(jìn)行控制，通過限制一些不安全的服務(wù)，減少威脅，提高網(wǎng)絡(luò)安全的保護(hù)程度。 （2）內(nèi)容控制 防火墻可以對穿越防火墻的數(shù)據(jù)內(nèi)容進(jìn)行控制，阻止不安全的數(shù)據(jù)內(nèi)容進(jìn)入內(nèi)部網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全。 病毒、木馬等經(jīng)常隱藏在可執(zhí)行文件或Active

12、X控件中。通過限制網(wǎng)絡(luò)內(nèi)部人員從外部網(wǎng)絡(luò)下載這些文件或控件，就可以減少威脅。,3. 防火墻的功能,（3）安全日志 因?yàn)樗羞M(jìn)出內(nèi)部網(wǎng)絡(luò)的通信，都必須經(jīng)過防火墻，所以防火墻可以完整地記錄網(wǎng)絡(luò)通信情況，通過分析、審計(jì)日志文件，可以發(fā)現(xiàn)潛在的威脅，并及時(shí)調(diào)整安全策略進(jìn)行防范；還可以在發(fā)生網(wǎng)絡(luò)破壞事件時(shí)，發(fā)現(xiàn)破壞者。 （4）集中管理 在一個(gè)網(wǎng)絡(luò)的安全防護(hù)體系中，會有多臺防火墻分布式部署，便于進(jìn)行集中管理，實(shí)施統(tǒng)一的安全策略，避免出現(xiàn)安全漏洞。 （5）其它附加功能 VPN（Virtual Private Network，虛擬專用網(wǎng)） 因防火墻所處的位置是網(wǎng)絡(luò)的出入口，它是支持VPN連接的理想接點(diǎn)。目前的許多防火墻都提供VPN連接功能。 NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換） NAT是將內(nèi)部網(wǎng)絡(luò)的IP地址，轉(zhuǎn)換為外部網(wǎng)絡(luò)的IP地址的技術(shù)。 NAT相當(dāng)于網(wǎng)絡(luò)級