毕业设计（论文）PPT答辩-IP及IPSec协议安全性分析参考.ppt

IP协议及IPSec协议安全分析 院系： 计算机与通信工程学院 专业： 计算机科学与技术 班级： 计算机03级1班 摘 要 了解现今互联网安全状况 分析现有IP协议及其安全的脆弱性 学习IPSec协议的相关知识，并分析其结构 通过Ethereal验证IPSec的加密及完整性检查 一.现今互联网安全状况 信息泄漏、信息污染、信息不易受控 控制权分散的管理问题 网络入侵 越来越严重 二. IP协议及其安全的脆弱性 IP协议没有为通信提供良好的数据源认证机制 IP协议没有为数据提供强的完整性保护机制 IP协议没有为数据提供任何形式的机密性保护 2.1 缺点一：无数据源认证机制  仅采用基于IP地址的身份认证机制，用户通过简单的IP地址伪造就可以冒充他人。即在IP网上传输的数据，其声称的发送者可能不是真正的发送者。 典型案例：MAC欺骗 2.1 Ethereal捕获结果 2.2 缺点二：无强完整性保护机制 虽然通过IP头的校验和为IP分组提供一定程度的完整性保护，但这对蓄意攻击者远远不够，他可以在修改分组后重新计算校验和。因此，需要在IP层对分组提供一种强的数据完整性保护机制。 典型案例：修改数据包，产生“脏包” 2.2 Ethereal捕获结果 2.3 缺点三：机密性保护 网上的任何信息都以明文传输，无任何机密而言，这已经成为电子商务应用的瓶颈问题。因此，对IP网的通信数据的机密性保护势在必行。 2.3 Ethereal捕获结果 三.IPSec协议综述 IPSec协议介绍 IPSec提供的安全服务--AH、ESP IPSec体系结构 IKE: Internet密钥交换协议 Internet密钥交换协议（ IKE ）用于应用 IPSec双方商和建立安全联盟，交换密钥。 IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。 IKE的特点在于它永远不在不安全的网络上直接传送密钥，而是通过一系列数据的交换，通信双方最终计算出共享的密钥。 SA: 安全关联 1.一个安全联盟是一个单向的安全“连接”，该“连接”上的数据流享有安全服务。 2.安全联盟的内容包括安全协议、算法（包括加密算法以及验证算法）、算法使用的密钥、隧道对端的 IP地址。 3.更新周期：以时间或流量为标准。 3.1 IPSec认证的实现—认证头(AH) AH 是报文头验证协议，主要提供数据源验证、数据完整性校验和防报文重放功能。 在传输模式下, AH协议验证 IP承载的数据和 IP头不变部分。 在隧道模式下, AH协议验证全部的内部 IP报文和外部 IP头的不变部分。 AH头的传输及隧道模式 3.2 IPSec加密的实现—封装安全载荷(ESP) IPSec的ESP协议能够满足在传输报文前，对DATA进行加密，起到密文传送的作用。 在传输模式下, ESP协议对IP承载的数据进行加密。 在隧道模式下, ESP协议对整个内部 IP报文进行加密。 ESP传输模式及隧道模式 四. 介绍基于Ethereal的嗅探技术 Ethereal介绍 Ethereal的协议分析方法 Ethereal数据捕获特点 4.1 Ethereal介绍 Ethereal是一个网络探测器，它运行在Windows，Linux、Solaris等各种平台，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。对于网络管理员来说，它既可以通过对现有TCP/IP协议以及其他网络协议作分析，来做出安全策略，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信 。 Ethereal是一个开放源码的网络分析系统。因此，大量的开源支持者为Ethereal添加了很多新的协议解析器。 4.2 Ethereal的协议分析方法 1. OSI协议封装顺序； 2. 双层次化的数据包协议分析方法，即协议分析和协议还原； 3. Ethereal系统采用协议树的方式对捕获报文进行过滤和分析； 4.Ethereal的插件技术 4.3 Ethereal 数据捕获平台 Ethereal捕获数据过程 五.验证IPSec加密及认证 拓扑图如下所示： 对Server/Client分别进行IPSec设置 双方必须采用完全一致的协商方案 （eg. SHA_1 DES） 要为双方提供完全一致的预共享密钥 Ethereal捕获的加密登录信息 由于验证实验采用的是ESP的方案，因此能够利用认证和加密对DATA达到双重保护。 下面是Ethereal捕获的验证数据完整性的过程： 总 结