网络安全IV—网络安全技术.pptVIP

第18章 网络安全IV—网络安全技术 Internet协议分五层，从网络安全角度看，应该在哪一层或哪几层提供安全机制，或应在哪层加密，并没有一致的意见和明确的规定。 链路加密和端到端加密。采用链路加密，在通信链路的两端都要安装加密/解密设备，包每进入一台路由器时都必须被解密一次，为什么？其安全隐患…。端到端加密可在网络层、传输层或应用层。 在网络层, 传输层, 应用层都有安全标准和系统。应根据需求选用。 网络安全技术 IP层安全技术 传输层安全技术 应用层安全技术 - Web安全技术 - 电子邮件安全技术 - 安全电子交易 防火墙技术 IP层安全技术 IP层实现的安全服务能提供主机对主机的安全通信，在一个主机与另一个主机之间建立起一条安全IP通道，所有在这条通道上通过的IP数据报可自动地被加密。 IP层实现安全的优点是应用程序不需要作任何改动。... IP层实现安全的缺点是身份认证、访问控制、加密只能针对IP数据报来进行，安全粒度粗。 ... IP层安全技术(续) IETF指定了IP安全工作组制订IP层安全体系结构和有关协议，简称为 IPSec(IP Security)。 IPSec 包括三个协议： - 身份认证报头 AH (Authentication Header)； - 封装安全载荷 ESP (Encapsulating Security Payload)； - 密钥管理。 近年，IPSec 机制结合防火墙技术用于构建虚拟专用网VPN (Virtual Private Network)。 IPSec的安全服务 AH报头提供IP数据报的完整性校验，数据报源身份认证。可以抗IP欺骗攻击，及数据报的重放攻击。 ESP报头实现IP报文的加密，它还可以提供或不提供数据报完整性校验和数据报源身份认证。 IPSec 体系要求支持两种类型的密钥管理：手工的和自动的。密钥的手工配置方式适用于小型、相对静态环境。自动方式便于在大型的分布式系统中创建和使用密钥。默认的自动密钥管理协议是ISAKMP/Oakley。 运输模式和隧道模式 AH的认证算法 AH报头的认证数据是报文认证码MAC或MAC算法生成码的截短部分。 标准规定兼容实现必须支持：HMAC-MD5-96 和 HMAC-SHA-1-96。两者都使用HMAC算法，前者用MD5，后者用SHA-1散列函数，得到的HMAC值被截断，只使用前96位。 对传输中不会改变的IP报头字段，除认证数据外的AH头，及整个上层协议数据计算MAC。在传输中改变的IP报头字段和AH的认证数据字段在计算MAC时设置成0。可抗IP欺骗…。 AH的运输模式 AH的隧道模式 AH的运输和隧道模式 运输模式保护上层数据，即保护TCP, UDP等包。 对用于IPv6的运输模式AH，AH出现在原IP基本头以及需路由器处理的部分扩展头之后。 对于隧道模式AH，整个IP数据报被认证、保护。AH被插在原IP头和新的外部IP头之间。原IP头包含源地址和目的地址，而新的外部IP头可能包含不同的IP地址(例如防火墙或其它安全网关的地址)。外部IP头除可变字段外也受到保护。 ESP的加密与认证算法 和AH一样，ESP支持使用默认长度为96位的MAC。当前标准规定必须支持HMAC-MD5-96和HMAC-SHA-1-96。 ESP服务对有效载荷数据、填充、填充长度和下一个头字段进行加密。 标准规定必须支持加密算法DES-CBC，可使用三重DES等。 ESP对IP携带的数据进行加密，认证是可选功能。 ESP运输模式 ESP运输模式(续) ESP运输模式的操作： 1. 在源站，由ESP尾部和整个传输层包组成的数据块被加密，形成传输的IP数据报。若选认证，还要加上认证码。 2. 每个中间路由器都要检查和处理IP头和明文IP扩展头，但不检查密文。 3. 目的站检查和处理IP头和明文IP扩展头，然后对其余部分进行解密，以恢复明文的传输层包。 ESP隧道模式 ESP隧道模式(续) 隧道模式ESP对整个IP数据报加密。可抗通信量分析。隧道模式适合于用防火墙等安全网关保护一个内部网的情况。 外部主机与有防火墙保护的内部网络通信时，ESP隧道模式的操作： 1. 源主机准备目的地址是目标主机的IP数据报，在此数据报前加ESP头，对数据报和ESP尾部加密且可加认证码。再用目的地址是防火墙的新IP头进行封装，这样就形成了外部IP报。 ESP隧道模式(续) 2. 外部IP报被送到目的防火墙，中间路由器检查和处理外部IP头和外部IP扩展头，不检查密文。 3. 目的防火墙检查和处理外部IP头和外部IP扩展头。然后对数据报的其余部分解密，恢复明文的原IP数据报，这个数据报在内部网络中传输。 4. 原IP数据报在内部网络中经过零个或多个