【精品】信息安全标准.pptVIP

第八章信息平安标准;8.1概述;8.2平安体系结构

8.2.1OSI平安体系结构简介;8.2.2OSI分层平安效劳;8.2.3OSI平安框架;;;根本认证模型;内联式认证模型;在线认证模型;离线认证模型;8.3IPSec平安协议

8.3.1IP协议的平安缺欠;8.3.2IPSec结构;IPSec的平安业务;IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序〔包括远程登录、客户机/效劳器、电子邮件系统、文件传输、Web的访问等〕的平安性，因此可以提供网络内〔包括局域网LAN、广域网WANS等〕或网际间的平安通信。;;由IPSec提供平安效劳的业务流的发方到收方的一个单向逻辑关系，用来表示IPSec为SA所承载的数据通信提供平安效劳，其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP保护。一个SA可由三个参数惟一地表示为：

＜平安参数索引，目标IP地址，平安协议标识符＞

IPSec的实现还需维护两个数据库

平安关联数据库SAD

平安策略数据库SPD;传输模式

传输模式主要用于对上层协议的保护。

以传输模式运行的ESP协议对负载进行加密和认证〔认证性可供选择。

隧道模式

用于对整个IP数据包的保护，它是将一个数据包用一个新的数据包包装，即给原数据包加一个新的包头，称为外部包头，这样原数据包就成为新数据包的负载。;8.3.3认证报头;下一报头

负载长度

保存

平安参数索引SPI

序列号

认证数据;1、防重放攻击

AH包头中的“序列号〞字段用于防止攻击者截获已经认证过的数据包后实施重放攻击。

2、完整性校验值ICV

认证报头AH中，字段“认证数据〞的值称为完整性校验值ICV，ICV是由MAC算法产生的消息认证码或截短的消息认证码。;3、AH的传输模式

传输模式用于两个主机之间的端到端通信，而网关可以不支持传输模式。这种模式中，将认证报头AH插到原始IP数据包的包头后面，其作用是对IP报文除可变字段外的其他字段提供认证功能。

传输模式的优点是额外开销较小，缺点是无法对可变字段进行保护。;4、隧道模式

隧道模式用于SA关系中至少有一方是一个平安的网关。这时将需保护的原数据包用一个新数据包封装，即将原数据包作为新数据包的负载，称新数据包为隧道数据包。然后再对隧道数据包使用传输模式的AH，即将AH插到隧道数据包中新IP包头的后面。

隧道模式的主要优点是可对被封装的数据包提供完全的保护，缺点是有额外的处理开销。;8.3.4封装平安负载;平安参数索引SPI

序列号

负载数据

填充

填充长度

下一包头

认证数据;ESP保密业务为负载数据、填充、填充长度、下一包头四个字段提供加密，如果加密算法需要初始向量，那么将初始向量以明文形式放在负载数据头部。

ESP要求支持CBC模式的DES，同时支持的加密算法还有：三个密钥的三重DES、RC5、IDEA、CAST、Blowfish等。

和AH一样，ESP支持的消息认证码的默认长度为96比特，支持的算法为HMAC-MD5-96和HMAC-SHA-l-96。;如果加密算法要求明文长为某一字节的倍数〔如分组加密算法明文长为分组长的倍数〕，那么通过填充可将明文〔包括负载数据、填充、填充长度、下一包头〕扩展为所需的长度；

ESP的格式要求“填充长度〞字段和“下一包头〞字段在一个32比特的字中是右对齐的，填充用于保证这种对齐；

通过填充可隐藏负载数据的实际长度，因此还能对业务流提供局部保密性。;4、ESP的传输模式

ESP的传输模式用于两个主机之间的端到端通信。这种模式中将ESP包头插入到原始IP数据包的包头后面，而ESP包尾和认证数据那么放在原始数据包的负载之后。

传输模式下的ESP未对原始IP包头提供加密和认证，这是它的一个缺点。

5、隧道模式

可适用于主机和平安网关。将需保护的数据包用一个新数据包封装，即将原数据包作为新数据包的负载，称新数据包为隧道IP数据包。然后再对隧道IP数据包实施传输模式的ESP。;8.3.5SA束;1、SA组合方式下的平安业务

在两个主机之间为IP数据包提供平安业务时，认证和保密的组合次序：

〔1〕具有认证业务的ESP

〔2〕传输相邻

〔3〕传输--隧道两层SA;2、SA的根本组合

SA的根本组合方式有四种，其中每种组合中设备之间是通过物理连接而连接到因特网或者内部网络，其连接方式可以通过SA〔一个或多个〕的逻辑连接〔即传输或者隧道〕表述，但凡处于逻辑连接两端的设备都可以实现IPSec。每个SA所承载的通信效劳或为AH或为ESP，对主机