第6讲网络信息安全之安全协议.ppt

2. 安全联盟 IPSec通过安全联盟(SA)实体集中存放和管理所有的协商细节，SA中包含了实现安全通信所需的所有信息，SA可看作由通信双方共同签署的有关安全通信的“合同” 通过SA可建立不同安全级的安全通道, 例如用户需要与A网和B网建立不同级别的安全通道, 可设置两个SA：SA(a)和SA(b), SA(a)可协商使用更强的加密算法和更长的密钥 SA由安全联盟数据库(SAD)来维护和管理 (一) SA基本特性 SA是IPSec的重要组成部分，AH和ESP协议都必须使用SA，IKE协议主要功能之一就是建立和维护SA SA是为数据通信提供安全服务，并通过AH或ESP来体现这种安全服务 如果一个通信流需要同时使用AH和ESP，则要创建两个以上的SA SA是单向的，在双向通信时，必须建立两个SA，各自负责一个方向 每个SA由一个三元组惟一地标识，即： 安全参数索引(SPI) 目的IP地址 安全协议(AH或ESP)标识符 理论上, 目的地址可以是单播、组播或广播地址。目前，IPSec只支持单播SA SA分成两类：传输模式SA和隧道模式SA。主机节点SA必须支持传输模式和隧道模式；网关节点SA只需支持隧道模式? (1) 传输模式SA：如果选择ESP，则SA为高层协议提供安全服务；如果选择AH，则SA为IP头中固定字段提供安全服务 (2) 隧道模式SA：在网关之间或者主机与网关之间建立一个隧道 在隧道模式中，IP数据报有两个IP头：外部IP头用于指明IPSec处理的目的地; 内部IP头用于指明包的最终目的地。在外部IP头与内部IP头之间是安全协议头 如果选择ESP，则受保护部分是内部IP头、高层协议和数据；如果选择AH，则受保护部分可扩展到外部IP头中固定字段 (二) SA服务功能 一个SA提供的安全服务由下列因素决定： (1) 所选择的安全协议(AH/ESP) (2) SA的应用模式(传输模式/隧道模式) (3) SA的节点类型(主机/安全网关) (4) 选择安全协议提供的可选服务, 如抗重播 (三) SA组合使用 一个SA只能从AH/ESP中选择一种安全协议对IP数据报进行保护 如果一个安全策略要求对一个通信实施多种安全服务, 则必须使用多个SA 在多SA情况下, 将一个SA序列组合成SA束, 经过SA束处理的通信能够满足安全策略要求 SA束中的SA顺序是由安全策略定义的，各个SA可以终止于不同的端点 将多个SA组合成SA束的方法有两种： 传输邻接：AH和ESP的传输模式组合使用，AH应位于ESP前，保护被ESP加密的密文。并且只允许一层组合，不能多重嵌套 (2)多重隧道: 由多个SA组合成一个多重隧道，AH和ESP的组合顺序不限。每个隧道可以开始和终止于传输路径上不同的IPSec节点 3. 安全策略 安全策略(SP)为用户提供了描述安全需求的方法，允许用户通过安全策略来定义被保护对象的安全需求、安全措施及加密算法等 例如，在内部网安全网关上可设置不同安全级别的安全策略： 对于本地网和远程网之间的所有数据通信, 采用DES加密数据, 采用MD5认证数据(普通) 对于远程网发送给邮件服务器的邮件，采用3DES加密数据，采用SHA认证数据(高级) (一) 安全策略数据库(SPD) IPSec采用一种概念模型定义了IP通信安全处理过程的互操作性和功能目标 该模型由三个主要部分组成：安全策略数据库(SPD)、安全联盟数据库(SAD)和选择器 SPD定义了存储安全策略参数的数据结构, 这些参数指出了为IP报文所提供的安全服务 每个需要IPSec处理的网络接口都必须为进入和外出的IP通信提供形式上分离的SPD 一个SPD能区分两种情况：需要IPSec处理的通信和无需IPSec处理的通信 对于进入和外出的IP报文，需要选择下列方式之一来处理： 丢弃处理：不允许数据报{离开主机，通过网关，提交给应用} 旁路处理：允许数据报在不做任何IPSec处理的情况下通过 IPSec处理: 对数据报做IPSec处理, 由SPD指明所需提供的安全服务、安全协议和算法等 SPD是一个策略条目的有序列表，每个策略条目包含一个或多个选择器作为判断依据 选择器定义了符合该策略条目的IP通信集。选择器类似于安全规则中的判断依据 每个IPSec实现都必须提供SPD管理接口，以方便用户创建安全策略条目，并支持策略条目的排序功能 (二) 安全联盟数据库(SAD) SAD也是形式上数据库, 每个SA都对应于SAD中一个条目，定义了一个SA相关参数 对于外出数据包，由SPD中的条目指定所使用的SA。当一个SPD条目没有指出特定的SA时, IPSec则创建一个SA或SA束, 并且与一个SPD条目和SAD条目相关联 对于进入数据包, 要通过三元组目的IP