网络安金 NETWORK SECURITY 第八章 安全遢信协议
第八章 安全通信协议
第八章安全通信协议 网络安金 NETWORK SECURITY 目前网络面临着各种威胁,其中包括保密数据的泄 露、数据完整性的破坏、身份伪装和拒绝服务等。 保密数据的泄露。罪犯在公网上窃听保密性数据。 这可能是目前互相通信之间的最大障碍。没有加密,发 送的每个信息都可能被一个未被授权的组织窃听。由于 早期协议对安全考虑的匮乏,用户名或口令这些用户验 证信息均以明码的形式在网络上传输。窃听者可以很容 易地得到他人的帐户信息
第八章 安全通信协议 目前网络面临着各种威胁,其中包括保密数据的泄 露、数据完整性的破坏、身份伪装和拒绝服务等。 保密数据的泄露。罪犯在公网上窃听保密性数据。 这可能是目前互相通信之间的最大障碍。没有加密,发 送的每个信息都可能被一个未被授权的组织窃听。由于 早期协议对安全考虑的匮乏,用户名或口令这些用户验 证信息均以明码的形式在网络上传输。窃听者可以很容 易地得到他人的帐户信息
网络安金 NETWORK SECURITY 数据完整性的破坏。即使数据不是保密的,也应该 确保它的完整性。也许你不在乎别人看见你的交易过程, 但你肯定在意交易是否被篡改。 身份伪装。一个聪明的入侵者可能会伪造你的有效 身份,存取只限于你本人可存取的保密信息。目前许多 安全系统依赖于|P地址来唯一地识别用户。不幸的是, 这种系统很容易被IP欺骗并导致侵入。 拒绝服务。一旦联网之后,必须确保系统随时可以 工作。在过去数年内,攻击者已在TCP/|P协议簇及其具 体实现中发现若干弱点,使得他们可以造成某些计算机 系统崩溃
数据完整性的破坏。即使数据不是保密的,也应该 确保它的完整性。也许你不在乎别人看见你的交易过程, 但你肯定在意交易是否被篡改。 身份伪装。一个聪明的入侵者可能会伪造你的有效 身份,存取只限于你本人可存取的保密信息。目前许多 安全系统依赖于IP地址来唯一地识别用户。不幸的是, 这种系统很容易被IP欺骗并导致侵入。 拒绝服务。一旦联网之后,必须确保系统随时可以 工作。在过去数年内,攻击者已在TCP/IP协议簇及其具 体实现中发现若干弱点,使得他们可以造成某些计算机 系统崩溃
8IP安全协议Isec 网络安金 NETWORK SECURITY IPSec用来加密和认证|P包,从而防止任何人在网路 上看到这些数据包的内容或者对其进行修改。 IPSec是保 护内部网络,专用网络,防止外部攻击的关键防线。它 可以在参与 IPSec的设备(对等体)如路由器、防火墙、 VPN客户端、VPN集中器和其它符合|PSec标准的产品之间 提供一种安全服务。 IPSec对于|PV4是可选的,但对 于IPv6是强制性的
8.1 IP安全协议IPSec IPSec用来加密和认证IP包,从而防止任何人在网路 上看到这些数据包的内容或者对其进行修改。IPSec是保 护内部网络,专用网络,防止外部攻击的关键防线。它 可以在参与IPSec的设备(对等体)如路由器、防火墙、 VPN客户端、VPN集中器和其它符合IPSec标准的产品之间 提供一种安全服务。IPSec 对于 IPv4 是可选的,但对 于 IPv6 是强制性的
811 IPSec体系结构 网络安金 NETWORK SECURITY IPSec是一套协议包,而不是一个单独的协议RFC文号。 IPSec协议族中三个主要的协议 IP认证包头AH( IP Authentication header):AH协议 为|P包提供信息源验证和完整性保证。 P封装安全负载ESP(| P Encapsulating Security ay load)ESP协议提供加密保证。 nternet密钥交换IKE( The Internet Key exchange): KE提供双方交流时的共享安全信息
8.1.1 IPSec体系结构 IPSec是一套协议包,而不是一个单独的协议 RFC文号。 IPSec 协议族中三个主要的协议: IP认证包头AH(IP Authentication Header):AH协议 为IP包提供信息源验证和完整性保证。 IP封装安全负载ESP (IP Encapsulating Security Payload)ESP协议提供加密保证。 Internet密钥交换IKE (The Internet Key Exchange): IKE提供双方交流时的共享安全信息
81 IPSec麻系绪袍() 网络安金 NETWORK SECURITY IPSec的体系结构如图 P安全结构 ESP AH 加密算法][算法验证 解释域(DoI) □密钥管理·策略 图8.1PSec体系结构
8.1.1 IPSec体系结构(续) IP安全结构 ESP 加密算法 算法验证 密钥管理 解释域(DOI) 策略 AH 图8.1 IP Sec体系结构 IPSec的体系结构如图
81 IPSec体系结袍(象) 网络安金 NETWORK SECURITY PSec提供的安全性服务: 1)访问控制:通过调用安全协议来控制密钥的安全交换 用户身份认证也用于访问控制。 2)无连接的完整性:使用 IPSec,可以在不参照其他数据 包的情况下,对任一单独的P包进行完整性校验。 3)数据源身份认证:通过数字签名的方法对P包内的 数据来源进行标识
8.1.1 IPSec体系结构(续) IPSec提供的安全性服务: 1)访问控制:通过调用安全协议来控制密钥的安全交换 , 用户身份认证也用于访问控制。 2)无连接的完整性:使用IPSec,可以在不参照其他数据 包的情况下,对任一单独的IP包进行完整性校验。 3)数据源身份认证:通过数字签名的方法对IP包内的 数据来源进行标识
81 IPSec体系结构(象) 网络安金 NETWORK SECURITY 4)抗重发攻击:重发攻击是指攻击者发送一个目的主机 已接收过的包,通过占用接收系统的资源,使系统的可用 性受到损害。为此 IPSec提供了包计数器机制,以便抵御 抗重发攻击。 5)保密性:确保数据只能为预期的接收者使用或读, 而不能为其他任何实体使用或读出。保密机制是通过使 用加密算法来实现的
4)抗重发攻击:重发攻击是指攻击者发送一个目的主机 已接收过的包,通过占用接收系统的资源,使系统的可用 性受到损害。为此IPSec提供了包计数器机制,以便抵御 抗重发攻击。 5)保密性:确保数据只能为预期的接收者使用或读, 而 不能为其他任何实体使用或读出。保密机制是通过使 用加密算法来实现的。 8.1.1 IPSec体系结构(续)
8n12 IPSec模式 网络安金 NETWORK SECURITY PSec对IP包可以执行的操作分别是:只加密,只认证, 既加密也认证。 Psec有两种工作模式:传输模式( Transport Mode)和隧道 模式( Tunne Mode)。 1.传输模式( Transport Mode): IPSec协议头插入到原IP 头部和传输层头部之间,只对IP包的有效负载进行加密或认证。 P头传输层头数据 P头PseA传输层头数据 加密的 图8.2传输模式AH数据包
8.1.2 IPSec模式 – IPSec对IP包可以执行的操作分别是:只加密,只认证, 既加密也认证。 IPSec有两种工作模式:传输模式(Transport Mode)和隧道 模式(Tunnel Mode)。 1.传输模式(Transport Mode) : IPSec协议头插入到原IP 头部和传输层头部之间,只对IP包的有效负载进行加密或认证。 加密的 IP头 IPSec AH头 传输层头 数据 IP头 传输层头 数据 图8.2 传输模式AH数据包
82 IPSEc模式() 网络安金 NETWORK SECURITY 2.隧道模式:PSec会先利用A或ESP对|P包进行认证或者加密, 然后在P包外面再包上一个新|P头。 IP头传输层头数据 新IP头| IPSec Al头IP头|传输层头数据 加密的 图8.3隧道模式AH数据包
8.1.2 IPSec模式(续) 2.隧道模式:IPSec会先利用AH或ESP对IP包进行认证或者加密, 然后在IP包外面再包上一个新IP头。 加密的 IP头 传输层头 数据 新IP头 IPSec AH头 IP头 传输层头 数据 图8.3 隧道模式AH数据包