8.3G通信网络域安全教程.pptVIP

3G移动通信系统网络域安全实现 中国科学技术大学 软件学院 要点 全网范围安全 网络域安全机制 IP网络层安全 MAP协议安全保护 NDS/AF 基于IP协议的网络域安全 IP通信网络中，为了保障通信安全，将网络划分为一个个安全域进行管理； 安全域是一个由单一管理机构所管理的网络，尽管一个运营商操作的网络可以划分为几个独立的子网，但是一个运营商的网络就构成一个安全域； NDS/IP相关概念： 安全域 网络层保护IPSec； 安全网关(SEG) 安全关联SA 密钥交换IKE 网络域安全密钥管理和密钥分配 安全域 NDS中最核心的概念是安全域； 在同一安全域内采用统一的安全策略来管理，因此同一安全域内部的安全等级和安全服务通常是相同的； 在NDS/IP中，不同的安全域之间的接口定义为Za接口，同一个安全域内部的不同实体之间的安全接口则定义为Zb接口； 其中Za接口为必选接口，Zb接口为可选接口。两种接口主要完成的功能是提供数据的认证和完整性、机密性保护。 网络层保护IPSec 基于本地IP协议的通信网，由网络层提供安全服务； 网络层的安全措施由IETF(Internet Engineering Task Force，互联网工程工作组)的IPSec工作组定义； IETF的IPSec工作组已经定义了12个RFC，内容包含了体系、管理密钥、基本协议及为了实现基本协议进行的强制转码等； IPSec各组件间的交互关系： 网络层保护IPSec 验证头(AH)和封装安全负荷(ESP)： 定义了协议、负荷头的格式以及它们提供的服务； 定义了包的处理规则； 没有指定用来实现这些能力的具体转码方式； IKE协议(Internet密钥交换)协议： 为IPSec协议生成密钥，也可为其他需要密钥的协议协商密钥； IKE协商的参数同需要密钥的协议本身分隔开来； 协商的参数被归于一个单独的文档，称为IPSec解释域； 转码方式： 定义了如何对数据进行转换以确保其安全； 包括了算法、密钥大小及转变方式、转码程序及算法专用信息； 对必要的信息来说，确保它们的唯一性显得尤其重要，只有这样才能使不同的实施方案相互间能够操作。 策略： 尚未成为标准的一个组件，IETF目前正在定义其标准； 决定两个实体之间是否能够通信；如果能，又采用哪一种转码方式。 如果策略定义不当，可能导致双方不能正常通信。 网络层保护IPSec 运行模式： 传输模式：要保护的内容是IP包的负荷，可能是AH或者ESP协议。主要是构成AH包或者ESP包，然后再添加IP头组成新的IP包。只适用于两台主机间的通信； 隧道模式：保护的内容是整个IP包，为IP协议提供安全保护，只要IPSec双方有一方是安全网关或者路由器，就必须使用隧道模式。把这个IP包看作要保护的内容，添加AH或者ESP头，再添加新的IP头，组成新的IP包发出； 安全网关SEG SEG位于IP安全域的边界处，是保护安全域之间的边界； 业务流通过一个SEG进入和离开安全域，SEG被用来处理通过Za接口的通信； 将业务流通过隧道传送到已定义好的一组其他安全域。这称为轮轴-辐条（hub-and-spoke）模型，它为不同安全域之间提供逐跳的安全保护； SEG负责在不同安全域之间传送业务流时实施安全策略，也可以包括分组过滤或者防火墙等的功能； 核心网中的所有业务流都是通过SEG进行传送，每个安全域可以有一个或多个SEG，网络运营商可以设置多个SEG以避免某独立点出现故障或失败； 当所保护的业务流跨越不同安全域时，NDS/IP必须提供相应的机密性、数据完整性和认证。 安全关联SA IPSec安全关联，即IPSec SA，决定了采用哪种安全协议以及安全关联SA的模式和端点； SA通过IKE协议在两个即将建立连接的实体之间协商、建立和保持； 安全关联SA是单向的，两个主机(网关)间进行安全的双向通信时，需要一个ISAKMP SA和两个IPSec SA； IPSec每个传输方向一个，分别处理进入和外发数据包； 通信双方A和B，A的SA(out) 和B的SA(in) 共享加密参数， A的SA(in) 和B的SA(out) 共享加密参数； NDS/IP仅支持使用预共享密钥的ISAKMP SA (Internet Security and Key Management Protocol)； SAD(安全关联数据库)：存放所有的SA的有关参数，每一个SA都由一个指向目录； SPD（安全策略数据库）：是所有的SP（安全策略）以某种数据结构集中存储的列表，可以明确提供哪一种安全业务以及采用何种方式进行保护； 密钥交换IKE IKE的用途就是在IPSec通信双方之间通过协商建立共享安全参数，即建立安全关联SA； IKE除了可以用于协商IPSec SA，还可以用