7章 实用的网络认证协议.pptVIP

第7章 实用的网络认证协议 IP安全协议(IPSec) IP通信环境下端到端的保证数据安全的机制: 认证报头协议(Authentication Header, AH):提供数据源认证以及无连接的数据完整性检查功能，不提供数据保密性功能 封装安全有效载荷协议(Encapsulating Security Payload, ESP):提供数据源认证以及无连接的数据完整性检查,以及数据保密性功能 因特网密钥交换协议(Internet Key Exchange Protocol, IKE):协商AH和ESP协议所用的加密密钥 1. IP层安全威胁 IPv4缺乏对通信双方真实身份的验证能力,仅采用基于源IP地址的认证机制 攻击者可在一台计算机上假冒另一台计算机向接收方发送数据包,而接收方无法判断接收到的数据包的真实性 1. IP层安全威胁 IPv4不对网络上传输的数据包进行机密性和完整性保护 IP包是明文传输,第三方很容易窃听到IP数据包并提取其中的数据,甚至篡改窃取到的数据包内容 1. IP层安全威胁 数据包中没有携带时间戳,一次性随机数 容易遭受重放攻击 攻击者搜集特定IP包,进行一定处理就可以一一重新发送,欺骗对方 1. IP层安全威胁解决措施 IPSec (IP Security) 对于IPv4,IPSec可选; 对于IPv6,IPSec必须支持 提供认证、加密、数据完整性和抗重放保护 加密密钥的安全产生和自动更新 使用强加密算法保证安全性 支持基于证书的认证 支持下一代加密算法和密钥交换协议 2. 安全关联 安全关联(Security Association, SA): 参数的集合 序列号(Sequence Number): 32位的字段 每次用SA保护一个数据包,序列号的值递增1 通信的目标主机用此字段侦测“重放”攻击 SA刚建立时字段值为0 在字段的值溢出前,SA重新协商 2. 安全关联 存活时间(Time To Live, TTL) 规定每个SA最长能存在的时间 超出时间,该SA不再继续使用 2. 安全关联 模式(Mode) IPSec协议支持隧道模式及传输模式 隧道目的地(Tunnel Destination) 指出隧道目的地:外部头的目标IP地址 路径最大传输单元(PMTU) 在隧道模式下使用IPSec须维持正确的PMTU信息 当数据包大小超过PMTU,须对数据包进行分段 3. IPSec模式 传输模式(Transpour Mode) 保护IP的有效负载 隧道模式(Tunnel Mode) 保护整个IP包 IPSec传输模式 3. IPSec模式 传输模式 保护IP的有效负载 不修改原来IP协议报头 数据包只增加少量字节 公共网络上的其他设备可以看到最终的目的和源地址 3. IPSec模式 传输模式 可根据IP协议报头进行特定处理: 如服务质量 传输层的报头加密,无法进行检查 IP报头以明文方式传输,容易遭到流量分析攻击,但攻击者无法确定传输内容 通过分析大量数据报头,攻击者可以了解目的网络和源网络内部结构 IPSec隧道模式 3. IPSec模式 隧道模式 保护整个IP包,并被当作新IP包的有效载荷 要求某个网络设备,如路由器,扮演IPSec代理的角色 路由器代表主机完成数据加密:源主机端路由器加密数据包,沿IPSec隧道向前传输;目的主机端路由器解密出原来的IP包,送到目的主机 新IP包目的地址和源IP地址是两个路由器 路由器可以为一个网络内部的全部主机代理IPSec服务 3. IPSec模式 隧道模式 不用修改任何端系统就可获得IP安全性能 可防止流量分析攻击 不暴露网络内部的结构 内外IP头的地址可不一样,攻击者只能确定隧道的端点,不能确定真正的数据包源的目的站点 3. IPSec模式 IPSec运行于两台主机之间，没有IPSec代理时，应采用传输模式 IPSec用于LAN-LAN通信的VPN时，应使用隧道模式 3. IPSec模式 4. 认证报头AH 不提供保密性服务,不需加密算法 定义了保护方法、头的位置、身份认证的覆盖范围、输出和输入处理规则 没有定义所用的身份验证算法 可用来保护上层协议的数据(传输模式)或 完整的IP数据包(隧道模式) AH头紧跟在IP头之后,IP头中协议字段为51 AH头结构 (1) 传输模式 AH头在数据包中实现数据包的安全保护 AH头紧跟在IP头之后以及需要保护的上层协议之前 在IPv6环境下,AH头出现在IPv6基本报头、路由和分片等扩展报头后面 根据需要,目标选项报头可出现在AH报头之前或之后 完整性验证包括整个包,除了在传输过程中会变化的字段,如TTL字段 (2) 隧道模式 在AH头之前,添加一个新的IP头 “里面的”IP数据包中包含通信的原始地