哈工大安全中心-数据安全安全协议-13.ppt

数据安全 --安全协议 主讲人：翟健宏 Email: zhaijh@ 办公室:新技术楼509 Tel:04511 IPSec 2 封装安全有效载荷 3 合并安全关联 4 SSL -Secure Socket Layer 5 Handshake Protocol 6 SSL应用中的安全问题 1 IPSec 1.1 IPSec的起源 1994年IETF专门成立IP安全协议工作组，来制定和推动一套称为Ipsec的IP安全协议标准。 1995年8月公布了一系列关于IPSec的建议标准 1996年，IETF公布下一代IP的标准IPv6 ，把鉴别和加密作为必要的特征，IPSec成为其必要的组成部分 幸运的是，IPv4也可以实现这些安全特性。 1.2 IPSec的应用 IPSec为在LAN、WAN和Internet上的通讯提供安全性 分支办公机构通过Internet互连。(Secure VPN) 通过Internet的远程访问。 与合作伙伴建立extranet与intranet的互连。 增强电子商务安全性 IPSec的主要特征是可以支持IP层所有流量的加密和/或鉴别。因此可以增强所有分布式应用的安全性。 1.3 IPSec的应用方式 端到端（end-end):主机到主机的安全通信 端到路由（end-router):主机到路由设备之间的安全通信 路由到路由（router-router):路由设备之间的安全通信，常用于在两个网络之间建立虚拟私有网（VPN）。 1.4 IPSec的好处 对应用和最终用户透明 在防火墙或路由器中实现时，可以防止IP旁路； 可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担。 需要时IPSec可以提供个人安全性。 弥补IPv4在协议设计时缺乏安全性考虑的不足。 1.5 IPSec安全体系结构 说明 IPSec在IPv6中是强制的，在IPv4中是可选的, 这两种情况下都是采用在主IP报头后面接续扩 展报头的方法实现的。 AH(Authentication Header)是鉴别的扩展报头，ESP header (Encapsulating Security Payload) 是实现加密和鉴别(可选)的扩展报头。 1.6 IPSec提供的服务 IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。 1.7 安全关联SA(Security Association) SA是IP鉴别和保密机制中最关键的概念。 一个关联就是发送与接收者之间的一个单向关系，是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合。 如果需要一个对等关系，即双向安全交换，则需要两个SA。 每个SA通过三个参数来标识 spi,dst(src),protocol 安全参数索引SPI(Security Parameters Index) 对方IP地址 安全协议标识:是否是一个AH or ESP关联 SA与IPSec系统中实现的两个数据库有关 安全策略数据库(SPD) 安全关联数据库(SAD) SAD定义了SA参数 序号计数器：一个32位值，用于生成AH或ESP头中的序号字段； 计数器溢出位：一个标志位表明该序号计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的的分组继续传送。 反重放窗口：用于确定一个入站的AH或ESP包是否是重放 AH信息：鉴别算法、密钥、密钥生存期以及相关参数 ESP信息：加密和鉴别算法、密钥、初始值、密钥生存期、以及相关参数 SA的生存期：一个时间间隔或字节计数，到时间后，一个SA 必须用一个新的SA替换或终止，并指示哪个操作发生的指示。 IPSec协议模式：隧道、运输或通配符。 路径MTU(最大传输单元)：不经分片可传送的分组最大长度和老化变量。 安全策略数据库SPD IPSec策略由“安全策略数据库(Security Policy Database, SPD)”加以维护. 在每个条目中定义了要保护什么样的通信、怎样保护它以及和谁共享这种保护 SPD： 对于通过的流量的策略，三种选择：discard, bypass IPSec, apply IPSec 例子：可在一个安全网关上制定IPSec策略。 对在本地保护的子网与远程网关的子网间通信的所有数据，全部采用DES加密，并用HMAC-MD5进行鉴别；对于需要加密的、发给另一个服务器的所有Web通信均用 3DES加密，同时用HMAC-SHA鉴别。 1.8 SA选