网络安全应用培训课程(PPT 89).pptVIP

ESP认证密码算法和所需要的密钥 SAn …… SA3 SA2 SA1 SA的结构 2、安全关联数据库SAD ESP加密算法，密钥，初始化向量(IV)和 IV模式 IV模式：ECB，CBC，CFB，OFB SAn …… SA3 SA2 SA1 SA的结构 2、安全关联数据库SAD 传输模式 隧道模式 SAn …… SA3 SA2 SA1 SA的结构 2、安全关联数据库SAD 路径最大传输单元 是可测量和可变化的 它是IP数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的IP数据 包的最大长度 SAn …… SA3 SA2 SA1 SA的结构 2、安全关联数据库SAD 包含一个时间间隔 外加一个当该SA过期时是被替代还是终止 采用软和硬的存活时间：软存活时间用于在 SA快到期之前通知内核，便于在硬存活时间 到来之前内核能及时协商新的SA SAn …… SA3 SA2 SA1 SA的结构 2、安全关联数据库SAD 3、安全策略数据库SPD IP信息流与SA关联的手段是通过安全策略数据库SPD(Security Policy Database) SP指定用于到达或源自特定主机/网络的数据流的策略 SPD包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 以下的选择符确定SPD入口： 目的IP地址：可以是单地址或多地址 源地址：单地址或多地址 UserID: 操作系统中的用户标识。 数据敏感级别： 传输层协议： IPSec协议（AH, ESP, AH/ESP) 源/目的端口 服务类型(TOS) 3、安全策略数据库SPD 协议 本地IP 端口 远程IP 端口 动作 注释 UDP 1.2.3.101 500 * 500 通过 IKE ICMP 1.2.3.101 * * * 通过 错误信息 * 1.2.3.101 * 1.2.3.0/24 * 保护：ESP传输方式 加密内部网传输 TCP 1.2.3.101 * 1.2.4.10 80 保护：ESP传输方式 加密到服务器 TCP 1.2.3.101 * 1.2.4.10 443 通过 TSL：避免双重加密 * 1.2.3.101 * 1.2.4.0/24 * 丢弃 DMZ的其他内容 * 1.2.3.101 * * * 通过 Internet 一个主机SPD例子 4、IP通信进程 IPSec是在报文到报文的基础上执行的。 当IPSec执行时，外向的IP包在传送前经过IPSec逻辑处理，内向的IP包在接收后并且在发送内容到更高层之前经过IPSec逻辑处理。 4、IP通信进程 查询SPD 丢弃报文 决定策略 查询SAD 处理 (AH/ESP) 网络 密钥交换 通过IP 传输报文 无匹配 丢弃 发现匹配 保护 无匹配 发现匹配 通过 外向IP包 4、IP通信进程 查询SPD 报文类型 处理 (AH/ESP) 丢弃报文 将报文传 输较高层 无匹配 IP 发现匹配 通过 内向IP包 IPSec 查询SAD 不通过 三、认证报头AH 提供IP数据包的数据完整性和认证 可抵御重放攻击 AH的传输模式 AH的隧道模式 窗口与回放攻击检测 如果收到的包落在窗口中并且是新的，其MAC被检查。如果该包已被认证，则对应的窗口项做标记。 如果接收包已到窗口右边并且是新的，其MAC被检查。如果该包一被认证，窗口向前运动，让该包的顺序号成为窗口的右端，对应的项做标记。 如果接收的包在窗口的左边，或认证失败，该包被丢弃，并做审计事件记录。 四、封装安全载荷ESP ESP可以提供机密性、数据源认证等功能，所提供的功能依赖于建立安全关联SA时的选择。 Transport andTunnel ModeProtocols ESP的传输模式 ESP的隧道模式 单个的SA能实现AH或者ESP协议，但是不能同时实现这两者。 然而有时，特定的流量需要由AH和ESP共同提供的服务；特定的流量需要主机间的IPSec服务和安全网关间的服务独立。那么同一个流量可能需要多个SA才能获得需要的IPSec服务。 安全关联束（SA bundle）：指一系列SA，通过这些SA来处理特定流量以提供一组期望的IPSec服务。这些SA可以在不同节点终止，也可在同一节点终止。 五、安全关联组合 五、安全关联组合 安全关联可以通过两种方式组合成安全关联束 传输邻接：在没有隧道激活的情况下，对一个IP包使用多个安全协议。单层组合AH和ESP。 隧道迭代：通过IP隧道应用多层安全协议，多层嵌套。 两者可以结合使用：在主机之间使用传输邻接，在网关之间使用隧道迭代。 五、安全关联组合 如何实现认证加保密 带认证选项的ESP（传输模式或隧道模式），但认证作用于密文而不是明文上。 传输邻接：内部是不带认证的ESP的S