14.9 元
下载资源

Internet基础设施安全

上传人:san****019 文档编号:22918986 上传时间:2021-06-02 格式:PPT 页数:108 大小:1.08MB
返回 下载 相关 举报
Internet基础设施安全_第1页
第1页 / 共108页
Internet基础设施安全_第2页
第2页 / 共108页
Internet基础设施安全_第3页
第3页 / 共108页
点击查看更多>>
资源描述
5.1 Internet安 全 概 述v5.1.2 Internet安 全 问 题 Internet安 全 主 要 包 括 : (1)如 何 防 止 敏 感 信 息 被 随 意 地 访 问 ; (2)如 何 保 护 网 络 及 其 资 源 , 以 防 黑 客 的 蓄 意 破 坏 。 敏 感 信 息 在 网 络 上 以 两 种 形 式 存 在 , 即 存 储 在 物 理 介 质 (如 硬 盘 或 内 存 )上 , 或 以 数 据 包 的 形 式 在 网 络 线 路 上 传 播 。 这 两 种 信 息 形 式 为 攻击 内 部 网 上 的 用 户 提 供 了 诸 多 机 会 , 它 涉 及 网 络 安 全 问 题 , 破 坏 网 上信 息 有 六 种 方 法 : 第 一 : 数 据 包 探 测 器 ; 第 二 : IP欺 骗 ; 第 三 : 口 令 袭 击 ; 第 四 : 把 敏 感 的 内 部 信 息 发 布 到 外 界 ; 第 五 : 中 间 人 (Man-in-the-middle)袭 击 ; 第 六 : Deny of Service (DoS)拒 绝 服 务 攻 击 。 5.1.2 Internet安 全 问 题 数 据 包 探 测 器 IP欺 骗 口 令 袭 击 敏 感 信 息 发 布 中 间 人 袭 击 DoS攻 击 5.1.3 安 全 范 围 的 建 立 Internet安 全 主 要 包 括 : (1)安 全 方 案 的 重 要 部 分 是 设 置 网 络 防 火 墙 (2)网 络 安 全 策 略 的 核 心 是 控 制 网 络 传 输 和 用 途 周 边 网 络 1.多 周 边 网 络 2.有 最 远 周 边 3.内 部 周 边 和 最 近 周 边 三 种 类 型 5.1.3 安 全 范 围 的 建 立 安 全 设 计 1.了 解 敌 人 2.计 算 开 销3.假 设 鉴 别 4.控 制 秘 密5.关 注 人 为 因 素 6.了 解 系 统 弱 点7.限 制 访 问 权 限 8.了 解 环 境9.限 制 确 信 10.记 住 物 理 安 全 性11.安 全 普 及 人 员 和 用 户 都 应 考 虑 每 个 改 变 对 安 全 的 影 响 ,要 进 行 全 面 考 虑 , 并 探 讨 服 务 可 能 进 行 的 操 作 。12.针 对 电 子 商 务 的 特 点 而 提 出 的 新 的 安 全 需 求 : (1)身 份 的 真 实 性 (2)信 息 的 完 整 性 (3)信 息 的 保 密 性 (4)访 问 可 控 性 ( 5) 抗 抵 赖 性 5.1.4 安 全 措 施 及 解 决 方 案一 个 行 之 有 效 的 安 全 措 施 是 从 检 测 网 络 中 的 威 胁 、 安 全 装置 和 脆 弱 性 入 手 , 围 绕 下 述 几 个 方 面 进 行 保 护 : 办 公 地 点 ; 工 作 站 ; 服 务 器 ; 网 络 打 印 机 等 外 设 ; 电 缆 与 外 界 的 联 接 器 。 本 质 上 , Internet的 安 全 性 只 能 通 过 提 供 下 面 两 方 面 的 安 全 服 务 来达 到 : 访 问 控 制 服 务 用 来 保 护 计 算 和 联 网 资 源 不 被 非 授 权 使 用 ; 通 信 安 全 服 务 用 来 提 供 认 证 , 数 据 机 要 性 与 完 整 性 和 各 通 信端 的 不 可 否 认 性 服 务 。 5.2 DNS的 安 全 性v5.2.2 DNS的 关 键 概 念 域 名 空 间 (Domain Name Space) 在 实 际 运 用 中 , DNS可 以 看 成 是 一 个 主 机 名 (Names)的 分 布 式数 据 库 。 这 里 提 到 的 分 布 式 是 指 在 Internet上 的 单 个 站 点 不 能 拥 有所 有 的 信 息 。 每 个 站 点 (如 大 学 中 的 系 、 校 园 、 公 司 或 公 司 中 的 部门 )保 留 它 自 己 的 信 息 数 据 库 , 并 运 行 一 个 服 务 器 程 序 供 Internet上 的 其 他 系 统 (客 户 程 序 )查 询 。 这 些 主 机 名 建 立 了 一 个 反 方 向 的 逻辑 树 形 结 构 , 称 之 为 域 名 空 间 (Domain Name Space)。 可 以 形 象地 说 , 域 名 空 间 就 是 由 Internet上 众 多 的 DNS服 务 器 中 的 数 据 记 录组 成 。 顶 级 域 (Top Level Domain) DNS域 的 根 域 (root domain)是 由 NIC统 一 管 理 , 它 也 负 责 分派 全 球 范 围 内 的 域 名 。 在 根 域 下 面 的 子 域 , 类 似与 .com, .org, .edu等 , 就 称 为 顶 级 域 。 5.2 DNS的 安 全 性 正 向 映 射 和 反 向 映 射 空 间 在 上 面 提 到 了 DNS有 正 向 映 射 和 反 向 映 射 两 种 功 能 , 这 两 种功 能 导 致 了 两 个 命 名 空 间 : 一 个 正 向 映 射 空 间 首 先 分为 .com, .edu等 顶 级 域 , 它 们 可 以 划 分 成 各 个 不 同 的 子 域 , 子 域又 可 以 继 续 分 成 下 一 层 子 域 , 等 等 , 它 们 负 责 从 域 名 到 IP地 址 的映 射 ; 另 一 个 反 向 映 射 空 间 中 , 所 有 的 IP组 成 一 个 叫 做 arpa. in-addr的 顶 级 域 , 然 后 再 根 据 IP层 层 细 分 。 域 (Domain) 域 名 空 间 中 每 一 个 节 点 以 及 节 点 下 面 的 树 枝 构 成 了 一 个 域(Domain), 也 就 是 说 , 域 名 空 间 中 一 棵 逻 辑 子 树 称 为 域 (Domain)。而 每 一 个 节 点 或 者 域 (domain)都 可 以 细 分 为 多 个 子 域 (subdomain), 也 就 是 多 条 树 枝 。 一 般 来 说 , 一 个 domain中 的 映射 关 系 是 由 一 台 主 机 服 务 器 负 责 。 5.2 DNS的 安 全 性 区 域 (Zone) 一 般 来 说 域 名 空 间 的 一 部 分 如 果 存 有 数 据 库 记 录 并 且 这 些 记录 是 由 一 个 特 殊 的 区 域 文 件 管 理 , 这 一 部 分 域 名 空 间 就 可 以 称 为一 个 区 域 (Zone)。 简 单 来 讲 , 一 个 区 域 (zone)就 是 一 棵 独 立 管 理的 域 名 空 间 的 子 树 。 精 确 点 来 说 , 每 个 zone由 一 个 名 字 服 务 器负 责 。 名 字 服 务 器 (Name Servers) 名 字 服 务 器 能 够 高 速 缓 存 域 名 树 的 任 何 一 部 分 信 息 , 一 般 一个 区 域 拥 有 一 台 包 含 区 域 中 所 有 主 机 信 息 的 名 字 服 务 器 , 该 名 字服 务 器 也 可 称 为 授 权 (authoritative)名 字 服 务 器 , 也 称 为 主 名 字 服务 器 (primary, master)。 显 然 , 为 了 防 止 主 名 字 服 务 器 当 机 而 导 致 无 法 实 现 域 名 解 析 , 在 一 个 区 域 内 , 还 应 该 存 在 一 台 或 多 台 备用 名 字 服 务 器 (secondary, slave)。 5.2 DNS的 安 全 性 资 源 记 录 (Resource Records, RRs) 在 DNS名 字 服 务 器 中 , 一 条 信 息 就 是 一 个 资 源 记 录 (RR), 每 一 个 资源 记 录 都 有 一 种 与 之 相 关 联 的 类 型 , 描 述 了 它 所 表 示 的 数 据 。 名 字 服 务 器中 所 有 的 信 息 都 是 以 RR格 式 保 存 , 该 格 式 被 用 在 DNS报 文 中 传 送 信 息 。是 DNS报 文 的 关 键 组 成 部 分 。 名 字 服 务 器 (Name Servers) 解 析 器 就 是 一 个 位 于 服 务 器 和 客 户 端 的 中 介 程 序 , 它 从 名 字 服 务 器 取得 信 息 来 响 应 客 户 端 的 DNS请 求 。 这 里 有 一 个 重 要 的 概 念 需 要 说 明 ,Resolvers和 Stub Resolvers是 不 同 的 概 念 。 Stub Resolvers是 客 户 端 的 一个 程 序 库 (例 如 UNIX下 的 gethostbyname, gethostbyaddr函 数 ), 客 户 端如 果 需 要 访 问 DNS, 通 过 它 向 Resolvers发 送 DNS请 求 授 权 (Delegation) 每 一 个 域 (domain)可 以 根 据 需 要 细 分 成 多 个 子 域 (sub-domain), 这 样 ,domain可 以 将 它 分 出 来 的 sub-domain的 域 名 和 IP映 射 交 给 另 一 部 机 器 管理 , 这 个 动 作 就 称 为 授 权 (delegation) 5.2 DNS的 安 全 性v5.2.3 DNS体 系 结 构 图 5-1 DNS的 层 次 组 织 5.2 DNS的 安 全 性 图 5-2 zone和 domain的 区 别 示 意 图 5.2 DNS的 安 全 性v5.2.4 DNS工 作 原 理 DNS报 文 图 5-3 DNS查 询 和 响 应 报 文 的 一 般 格 式报 文 ID: 2字 节 标 志 ( 参 数 ) : 2字 节问 题 数 : 2字 节 回 答 数 : 2字 节授 权 资 源 记 录 数 : 2字 节 额 外 资 源 记 录 数 : 2字 节查 询 问 题 ( 可 变 长 )回 答 ( 资 源 记 录 数 , 可 变 长 )授 权 ( 可 变 长 )额 外 信 息 ( 可 变 长 ) 5.2 DNS的 安 全 性 DNS报 文 的 类 型 , 需 要 的 服 务 图 5-4 DNS报 文 首 部 的 标 志 字 段QR opcode AA TC RD RA (zero) rcode1 4 1 1 1 1 3 4 5.2 DNS的 安 全 性QR: 1bit字 段 , 0表 示 查 询 报 文 , 1表 示 响 应 报 文 。 Opcode: 0表 示 标 准 查 询 , 1表 示 反 向 查 询 , 2表 示 服 务 器 状 态 请 求 , 5表 示 动 态更 新 。 AA: “ 授 权 回 答 (Authoritative Answer)”, 由 响 应 服 务 器 填 写 , 一 般 来 说 , 该 位置 位 表 示 响 应 来 自 授 权 的 名 字 服 务 器 , 不 置 位 表 示 响 应 来 自 cache。 TC: 表 示 相 应 数 据 包 可 截 断 , 原 因 如 5.2.1节 所 述 。 RD: 表 示 期 待 递 归 , 在 查 询 报 文 中 填 写 , 在 响 应 报 文 中 返 回 。 该 标 志 告 诉 服 务器 必 须 处 理 这 个 查 询 , 如 果 被 请 求 的 服 务 器 没 有 对 应 的 授 权 回 答 , 它 需 要 返 回给 客 户 端 一 个 能 解 答 该 查 询 的 其 他 名 字 服 务 器 列 表 。 RA: 表 示 可 用 递 归 , 如 果 服 务 器 支 持 递 归 查 询 , 在 响 应 中 置 位 。 一 般 来 说 , 除了 根 服 务 器 , 都 应 该 支 持 递 归 查 询 。 Zero: 必 须 为 0. Rcode: 返 回 码 。 0表 示 没 有 差 错 , 3表 示 名 字 差 错 。首 部 标 志 后 面 的 四 个 16bit的 字 段 说 明 最 后 四 个 变 长 字 段 包 含 的 条 目 数 。 5.2 DNS的 安 全 性 查 询 问 题 字 段 中 可 能 包 含 一 个 或 者 多 个 问 题 , 但 是 通 常 只 有 一 个 。每 个 问 题 的 格 式 是 一 样 的 , 如 图 5-5。 查 询 名 ( 可 变 长 ) 查 询 类 型 ( 2字 节 ) 查 询 类 ( 互 联 网 =1) : 2字 节 图 5-5 DNS查 询 报 文 中 问 题 部 分 的格 式 查 询 名 ( 可 变 长 )查 询 类 型 ( 2字 节 ) 查 询 类 ( 互 联 网 =1) : 2字 节图 5-5 DNS查 询 报 文 中 问 题 部 分 的 格 式 5.2 DNS的 安 全 性 一 些 常 用 的 类 型 和 查 询 类 型 , 查 询 类 型 是 类 型 的 一 个 超 集(Superset)。 最 常 用 的 类 型 是 A, 也 就 是 期 望 获 得 查 询 名 的 IP地 址 , 对于 反 向 查 询 , 期 望 获 得 一 个 IP地 址 对 应 的 域 名 , 则 为 PTR类 型 。 表 5-1 DNS问 题 和 响 应 的 类 型 值 和 查 询 类 型 值名 字 数 值 描 述 类 型 查 询 类 型ANSCNAMEPTRHINFOMXSOA 1251213156 IP地 址名 字 服 务 器规 范 名 称指 针 记 录主 机 信 息邮 件 交 换 记 录区 域 授 权 开 始 . .AXFR或 ANY 252255 对 区 域 交 换 的 请 求对 所 有 记 录 的 请 求 . 5.2 DNS的 安 全 性DNS资 源 记 录 (RR)格 式 图 5-6 DNS资 源 记 录 (RR)格 式域 名类 型 : 1字 节 类 (常 为 1): 1字 节生 存 时 间 ( TTL)资 源 数 据 长 度 资 源 数 据 5.2 DNS的 安 全 性 DNS资 源 数 据 (RDATA)几 种 常 用 的 资 源 记 录 中 的 资 源 数 据 格 式 : A, MX, PTR, SOA, NS。 这几 种 资 源 数 据 是 DNS查 询 的 基 本 类 型 。(1)A资 源 记 录 记 录 的 是 IP地 址 , 因 此 它 的 资 源 数 据 项 只 有 IP地 址 一 项内 容 。(2)MX是 邮 件 交 换 记 录 , 它 的 资 源 数 据 项 包 含 两 项 内 容 : preference, exchange。 Preference是 一 个 16bit的 整 数 的 优 先 级 , 表 示 了 在同 一 个 管 理 者 下 , 同 类 型 的 MX记 录 中 该 记 录 的 优 先 级 。Exchange记 录 的 是 在 该 区 域 下 将 要 执 行 邮 件 交 换 的 主 机 的 域 名 。(3)PTR是 反 向 查 询 指 针 记 录 , 资 源 数 据 只 包 含 ptrdname项 , 它 表 示对 应 某 个 IP地 址 的 本 区 域 的 域 名 。(4)NS是 域 名 服 务 器 记 录 , 资 源 数 据 中 只 包 含 nsdname项 , 它 为 给 定 的 某 个 域 指 定 域 名 服 务 器 。(5)SOA比 较 复 杂 , 它 表 示 某 个 区 域 名 字 服 务 器 记 录 描 述 的 开 始 。 它的 资 源 数 据 项 的 格 式 见 图 5-7。 5.2 DNS的 安 全 性+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/ MNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/ RNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| SERIAL |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| REFRESH |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| RETRY |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| EXPIRE | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| MINIMUM |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+图 5-7 SOA资 源 记 录 的 资 源 数 据 项 格 式 5.2 DNS的 安 全 性 DNS区 域 文 件 (zone file) 区 域 文 件 中 每 一 行 的 格 式 为 : name class record_type data name指 正 在 处 理 的 主 机 名 , 比 如 说 查 询 报 文 中 的 要 求 地 址 翻译 的 主 机 名 , 任 何 没 有 以 点 号 结 尾 的 主 机 名 在 后 面 添 加 域 名 ,class一 般 都 为 IN, Internet地 址 。 区 域 文 件 包 含 了 这 么 四 个 方 面 的 内 容 : 区 域 中 所 有 节 点 的 认 证 数 据 ( 也 就 是 地 址 转 换 等 信 息 ) 区 域 内 顶 节 点 的 数 据 : 描 述 代 表 子 区 域 的 数 据 访 问 子 区 域 服 务 器 的 数 据 。 5.2 DNS的 安 全 性Line Zone Data File1:2:3:4:5:6:7:8:9: 10:11:12: .hostsecurensservmail ININININININ SOANSMXAAA .131.87.24.3131.87.24.1131.87.24.4 .:serial number:refresh time:retry time:expire time:time to live图 5-8 一 个 简 单 的 区 域 文 件 内 容 5.2 DNS的 安 全 性 DNS查 询 过 程 图 5-9 一 个 解 析 器 查 询 的 过 程 实 例 5.2 DNS的 安 全 性v5.2.5 DNS欺 骗 (DNS spoofing)1 .误 导 目 的 地 址 某 个 用 户 需 要 telnet到 某 一 个 服 务 器 A上 , telnet客 户 程 序 自 动 地 通 过 解析 器 (resolver)向 本 地 DNS名 字 服 务 器 请 求 地 址 翻 译 , 攻 击 者 提 供 给 用 户 一 条虚 假 DNS响 应 , 让 解 析 器 认 为 是 来 自 本 地 DNS名 字 服 务 器 的 正 确 响 应 , 于 是用 户 得 到 的 地 址 翻 译 结 果 (IP地 址 )是 一 个 伪 造 的 地 址 , 接 着 , 用 户 在 telnet客户 端 输 入 帐 号 密 码 , 当 然 , 他 认 为 他 现 在 已 经 连 接 在 服 务 器 A上 。 不 幸 的 事 情发 生 了 , 他 并 不 是 连 接 在 服 务 器 A上 , 而 是 连 接 在 一 个 攻 击 者 伪 造 的 IP地 址 上 ,当 然 , 这 时 telnet连 接 会 中 断 , 用 户 可 能 重 新 进 行 telnet连 接 , 这 次 他 正 确 地连 上 了 A服 务 器 , 他 可 能 会 忽 视 刚 才 发 生 的 情 况 , 因 为 telnet断 线 是 一 件 再 正常 不 过 的 事 情 了 。 于 是 , 攻 击 者 轻 易 地 得 到 了 该 用 户 的 帐 号 密 码 。2 .DNS缓 存 中 毒 (DNS Cache Poisoning) DNS名 字 服 务 器 为 了 提 高 查 询 效 率 , 普 遍 使 用 了 高 速 缓 存 (cache)技 术 ,这 项 技 术 能 够 带 来 查 询 的 高 效 率 , 但 是 也 给 攻 击 者 提 供 了 一 个 良 好 的 场 所 。 5.2 DNS的 安 全 性v5.2.6 DNS安 全 特 点 DNS的 安 全 和 大 家 一 般 认 为 的 网 络 安 全 存 在 不 同 之 处 。 一 般 意 义 上的 网 络 安 全 , 特 别 关 注 于 传 输 安 全 , 例 如 IPSec技 术 , 以 保 证 信 息 在Internet上 传 送 时 不 为 攻 击 者 所 截 获 , 要 不 就 是 关 注 于 操 作 系 统 或 者协 议 的 漏 洞 , 防 止 黑 客 利 用 这 些 漏 洞 攻 击 。 但 是 DNS它 的 关 注 点 不 在传 输 上 面 , 因 为 DNS的 内 容 并 不 需 要 保 密 , 而 协 议 的 漏 洞 , 按 照 ISC (Industrial Security Committee)创 始 人 Paul Vixie的 说 法 : 历 史 上 几乎 所 有 计 算 机 或 者 计 算 机 安 全 的 漏 洞 都 不 在 于 协 议 或 者 基 本 加 密 算 法的 漏 洞 , 而 是 在 于 实 现 过 程 的 错 误 。 DNS安 全 关 注 的 应 该 是 : 如 何 保证 收 到 的 DNS报 文 是 可 信 任 、 如 何 判 断 该 报 文 是 否 完 整 、 如 何 保 证 附加 字 段 的 信 息 是 值 得 信 任 的 。 5.2 DNS的 安 全 性v5.2.7 DNS安 全 问 题 的 解 决 方 案 从 前 述 对 DNS几 种 攻 击 方 法 的 分 析 中 知 道 , DNS系 统 之 所 以 容 易受 到 欺 骗 的 一 个 最 根 本 的 原 因 就 是 DNS服 务 器 或 者 解 析 器 无 法 分 辨 出DNS报 文 来 源 的 真 伪 以 及 无 法 分 辨 出 DNS报 文 是 否 被 修 改 过 。 解 决 问题 应 该 从 源 头 解 决 , 因 此 , DNSSEC的 根 本 目 标 就 是 保 护 DNS查 询 报文 的 数 据 完 整 性 和 数 据 源 的 正 确 性 。 它 主 要 采 用 的 机 制 是 非 对 称 加 密机 制 和 数 字 签 名 机 制 。 加 密 和 签 名 是 网 络 安 全 传 输 的 一 个 基 本 特 点 和 要 求 。 采 用 何 种 加密 算 法 和 策 略 、 以 及 采 用 何 种 数 字 签 名 机 制 能 够 更 有 效 , 更 安 全 是 很重 要 的 。 DNSSEC采 用 非 对 称 加 密 算 法 中 的 公 钥 加 密 机 制 以 及 基 于Hash函 数 的 数 字 签 名 技 术 , 在 某 些 特 殊 场 景 下 , DNSSEC也 采 用 共享 密 钥 和 MAC机 制 来 保 证 消 息 完 整 性 。 5.3 IPSec安 全 协 议v5.3.2 IPSec体 系 结 构 5.3 IPSec安 全 协 议IPsec的 处 理 5.3 IPSec安 全 协 议v5.3.3 安 全 联 结 (Security Association SA) 定 义 安 全 联 结 (Security Association, SA)是 两 个 应 用 IPsec实 体 (主机 、 路 由 器 )间 的 一 个 单 向 逻 辑 连 接 , 是 与 给 定 的 一 个 网 络 连 接 或一 组 连 接 相 关 的 安 全 信 息 参 数 的 集 合 , SA为 在 它 之 上 所 携 带 的 业务 流 提 供 安 全 保 护 , 决 定 保 护 什 么 、 如 何 保 护 以 及 谁 来 保 护 通 信 数据 。 SA用 一 个 三 元 组 (安 全 参 数 索 引 SPI、 目 的 IP地 址 、 安 全 协 议 )唯 一 标 识 。 模 式 1.传 输 模 式 2.隧 道 模 式 。 5.3 IPSec安 全 协 议 IP头 TCP头 数 据IP头 IPsec头 TCP头 数 据IP头 IPsec头 IP头 TCP头 数 据 (1)传 输 模 式 下 , 安 全 协 议 头 (AH/ESP)紧 跟 在 IP头 及 其 选 项 之 后 ,并 位 于 其 它 上 层 协 议 头 之 前 (如 TCP/UDP)。 (2)在 隧 道 模 式 下 , 安 全 联 结 等 同 于 用 安 全 联 结 保 护 一 条 IPIP隧 道 。在 隧 道 模 式 下 的 IP报 文 有 一 个 外 层 IP头 , 它 定 义 了 IPsec协 议 处 理 的 终点 , 同 时 还 有 一 个 内 层 IP头 , 它 定 义 了 这 个 IP报 文 的 最 终 信 宿 的 地 址 。安 全 协 议 头 界 于 外 层 IP头 与 内 层 IP头 之 间 。 如 果 采 用 的 是 AH协 议 , 那么 能 保 护 外 层 IP头 的 部 分 信 息 和 所 有 内 层 运 载 的 数 据 ; 如 果 是 ESP协议 , 那 么 只 保 护 所 有 内 层 运 载 的 数 据 , 而 不 保 护 外 层 IP头 信 息 。原 始 的 IP包传 输 模 式 受 保 护 的 包隧 道 模 式 受 保 护 的 包 5.3 IPSec安 全 协 议安 全 联 结 数 据 库 1.介 绍 IPSec协 议 规 范 给 出 了 一 个 外 在 特 性 的 模 板 , 该 模 板 包 含 两 个 名 义上 的 数 据 库 : 安 全 策 略 数 据 库 (Security Policy Database)和 安 全 联结 数 据 库 (Security Association Database)。2.安 全 策 略 数 据 库 制 定 安 全 策 略 , 首 先 要 检 查 如 下 问 题 : (1) IPSec协 议 要 保 护 哪 些 资 源 ? (2) 这 些 资 源 防 备 哪 些 攻 击 者 ? (3) 有 什 么 样 的 攻 击 手 段 ? (4) 采 取 什 么 具 体 协 议 和 算 法 最 经 济 有 效 ? 5.3 IPSec安 全 协 议 在 确 定 了 这 些 问 题 的 基 础 上 , 再 来 制 定 具 体 策 略 , 即 保 护 网 络 资 源 避免 受 损 失 和 破 坏 的 方 法 。 通 常 有 两 种 设 计 策 略 : 允 许 除 明 确 拒 绝 之 外 的 所 有 网 络 通 信 。 拒 绝 除 明 确 允 许 之 外 的 所 有 网 络 通 信 。 对 于 每 个 IP数 据 报 , 有 三 种 可 能 的 安 全 策 略 : 丢 弃 、 绕 过 IPSec处 理 和 经过 IPSec处 理 。 安 全 策 略 对 应 其 一 。 第 一 种 策 略 不 允 许 相 应 的 IP数 据 报 通 过 安全 网 关 , 或 者 不 允 许 它 被 递 交 给 上 层 应 用 ; 第 二 种 策 略 允 许 发 送 没 有 被 IPSec协 议 保 护 的 IP数 据 报 ; 第 三 种 策 略 要 求 相 应 的 IP数 据 报 必 须 被 IPSec协 议 保 护 ,并 且 指 明 了 所 用 的 安 全 协 议 和 算 法 等 要 素 。IP数 据 报 特 征 处 理 策 略主 机 A到 主 机 B的 TCP报 文 用 IPSec协 议 保 护 该 类 报 文网 络 C到 网 络 D的 所 有 报 文 直 接 发 送从 网 络 X来 的 所 有 报 文 丢 弃 5.3 IPSec安 全 协 议3.选 择 符 可 以 采 用 的 选 择 符 有 : 目 的 IP地 址 : 可 以 是 一 个 IP地 址 , 可 以 是 一 个 地址 范 围 ,也 可 以 是 个 网 段 。 源 IP地 址 传 输 层 协 议 (如 TCP/UDP) 传 输 层 的 源 和 目 的 端 口4.安 全 联 结 库 (1)对 于 输 出 报 文 , 它 所 要 使 用 的 安 全 联 结 由 安 全 策 略 指定 (2)对 于 输 入 的 报 文 , 就 由 三 元 组 : 来 确 定 。 5.3 IPSec安 全 协 议一 个 安 全 联 结 库 应 含 如 下 内 容 : (1)所 使 用 的 安 全 协 议 : AH或 ESP。 (2)协 议 模 式 : 隧 道 或 传 输 模 式 。 (3)序 号 计 数 值 用 于 产 生 AH或 ESP头 的 序 号 。 (4)序 号 溢 出 标 志 : 指 示 序 号 溢 出 的 情 况 。 (5)防 重 放 窗 口 : 由 一 个 32位 计 数 器 与 一 个 位 图 组 成 , 用 来 检 查 重放 报 文 。 (6)AH协 议 认 证 算 法 和 密 钥 。 (7)ESP协 议 加 密 算 法 及 其 密 钥 、 初 始 向 量 和 模 式 。 (8)ESP协 议 认 证 算 法 和 密 钥 。 (9)生 存 期 。 生 存 期 有 两 种 形 式 : 以 时 间 为 单 位 和 以 字 节 为 单 位 。 前 者 规 定 了 这 个 安 全 联 结 的 有 效 使 用 时 间 ; 后 者 规 定 这 个 安 全 联结 最 多 能 处 理 的 字 节 数 (加 密 或 认 证 算 法 计 算 的 字 节 总 数 )。 当 生 存期 满 后 , 通 信 的 双 方 可 以 协 议 商 生 成 一 个 新 的 安 全 联 结 。 5.3 IPSec安 全 协 议 安 全 联 结 和 密 钥 管 理 1 .人 工 方 式 2. 自 动 方 式 5 SA与 多 播 5.3 IPSec安 全 协 议v5.3.4 认 证 头 协 议 规 范 认 证 头 协 议 介 绍 认 证 头 (Authenication Header)协 议 保 护 IP数 据 库 ,提 供 无 连 接 的 完 整 性 和 数 据 源 头 的 认 证 (统 称 为 认 证 ),以 及 防 止 “ 重 放 攻 击 ” 服 务 。 SA用 一 个 三 元 组 (安 全 参数 索 引 SPI、 目 的 IP地 址 、 安 全 协 议 )唯 一 标 识 。 报 文 格 式 上 层 协 议 负 荷 长 度 保 留 字 段安 全 参 数 索 引 值 序 号认 证 数 据 5.3 IPSec安 全 协 议1.上 层 协 议 : 上 层 协 议 字 段 为 8比 特 , 定 义 了 紧 接 AH头 的 上层 协 议 类 型 。2.负 荷 长 度 : 这 是 一 个 8位 的 字 段 , 其 值 等 于 AH头 长 度 (以 32位 字 计 算 )减 去 2。 保 留 字 段 : 用 于 今 后 的 扩 充 , 应 填 0。3.安 全 参 数 索 引 值 : SPI是 一 个 32位 的 值 , 用 以 区 分 那 些 目的 IP地 址 和 安 全 协 议 类 型 相 同 , 但 算 法 不 同 的 数 据 报 。4.序 号 : 序 号 为 32位 的 整 数 , 它 代 表 一 个 单 调 递 增 计 数 器 的值 。5.认 证 数 据 : 这 个 域 的 长 度 可 变 , 它 存 放 IP数 据 报 的 完 整 性校 验 值 (ICV)。 5.3 IPSec安 全 协 议原 IP头 (选 项 ) TCP 用 户 数 据原 IP头 (选 项 ) AH头 TCP 用 户 数 据原 始 的 IP报 文认 证 范 围 (除 可 变 字 段 外 ) 新 IP头 (选 项 ) AH头 原 IP头 (选 项 ) TCP 用 户 数 据 协 议 首 部 处 理 1.位 置 (1) 传 输 模 式 经 AH协 议 传 输 模 式 认 证认 证 范 围 (除 可 变 字 段 外 )经 AH协 议 隧 道 认 证 (2) 隧 道 模 式 5.3 IPSec安 全 协 议2.算 法 一 致 性 要 求 3. 认 证 值 的 计 算 ( 1) 计 算 覆 盖 的 范 围 AH头 的 ICV计 算 覆 盖 如 下 区 域 : 在 传 输 过 程 中 , IP头 中 那 些 不 变 字 段 , 或 是 尽管 变 , 但 其 值 可 以 被 预 测 的 字 段 。 AH头 和 可 能 的 填 充 字 节 , 认 证 数 据 在 ICV计 算时 全 部 填 0。 上 层 协 议 数 据 , 这 些 数 据 在 传 输 过 程 中 不 会 发生 变 化 。 5.3 IPSec安 全 协 议( 2) 可 变 域 的 处 理在 传 输 过 程 中 , IP头 和 它 的 选 项 可 能 发 生 改 变 : IP头 IPv4头 中 的 字 段 有 不 变 的 , 有 可 变 的 , 有 可 变 但 是 可 预 测 的 : 不 变 字 段 : 版 本 号 、 IP头 长 度 、 数 据 报 总 长 、 标 识 、 上 层 协 议 、 源 地址 、 目 的 地 址 (没 有 源 选 径 选 项 时 )。 可 变 但 可 预 测 的 字 段 : 目 的 地 址 (有 源 选 径 选 项 时 )。 可 变 且 不 可 预 测 的 字 段 : 服 务 类 型 (TOS)、 标 志 、 生 存 期 、 头 校 验 和 。TOS: 尽 管 在 IP协 议 中 , TOS是 不 可 变 的 , 但 有 些 路 由 器 要 修 改 这 个 字段 的 值 。标 志 : 因 为 IP数 据 报 在 传 输 过 程 中 可 能 被 分 段 , 所 以 标 志 字 段 的 DF位 有 可 能 发 生 变 化 。生 存 期 : 这 个 字 段 的 值 随 经 过 的 路 由 器 而 变 化 , 因 此 也 不 可 预 测 。头 校 验 和 : 如 果 上 述 几 个 字 段 发 生 变 化 , 它 的 值 自 然 随 之 改 变 。 5.3 IPSec安 全 协 议 IP选 项 在 IPv4中 , 每 一 选 项 都 被 视 为 一 个 整 体 , 所 以 尽 管 选项 的 类 型 和 长 度 没 有 发 生 改 变 , 只 要 其 内 容 改 变 了 , 这一 选 项 都 被 认 为 是 可 变 的 。 对 于 这 种 情 况 , 在 计 算 ICV时 ,把 这 个 选 项 整 体 填 充 为 0。4. 填 充 处 理( 1) 认 证 数 据 填 充( 2) 包 长 填 充 5.3 IPSec安 全 协 议v5.3.5 安 全 封 装 协 议 规 范 安 全 封 装 协 议 介 绍 安 全 封 装 协 议 (Encapsulating Security Payload)可 以 为 IP数据 报 提 供 几 种 安 全 服 务 。 它 可 以 单 独 使 用 , 也 可 以 与 AH协 议 一 起使 用 , 或 者 以 隧 道 方 式 嵌 套 使 用 。 报 文 格 式 安 全 参 数 索 引 SPI序 号 初 始 化 向 量载 荷 数 据填 充 数 据 填 充 项 长 度 上 层 协 议认 证 数 据 (变 长 )(HMAC) 5.3 IPSec安 全 协 议1.安 全 参 数 索 引 : 与 AH协 议 一 样 , 收 方 可 由 此 确 定 报 文 所 用 的 安 全 联 结 。2.序 号 : 与 AH协 议 一 样 , 这 一 序 号 也 是 一 个 递 增 计 数 器 的 值 , 用 来 防 止重 放 攻 击 。3.载 荷 数 据 : 载 荷 数 据 是 非 定 长 的 域 , 用 来 存 放 经 ESP协 议 处 理 过 的 数 据 ,这 些 数 据 所 属 的 类 型 由 “ 下 一 协 议 头 ” 字 段 定 义 。4.填 充 数 据 : 由 于 以 下 几 个 原 因 , ESP需 要 填 充 字 段 :(1) 加 密 算 法 需 要 明 文 长 度 为 分 组 块 长 度 的 整 数 倍 (2) 填 充 字 段 还 能 保 证 上 层 协 议 字 段 的 右 边 界 以 4字 节 对 齐 。(3) 另 外 , 通 过 使 用 填 充 字 段 , ESP协 议 能 有 效 地 隐 藏 实 际 载 荷 的 长 度 ,从 而 提 供 一 定 的 流 量 保 密 性 。5.上 层 协 议 : 上 层 协 议 字 段 指 出 了 载 荷 数 据 所 包 含 的 内 容 。 6.认 证 数 据 : 认 证 数 据 是 ESP认 证 算 法 对 从 安 全 参 数 索 引 字 段 开 始 , 到 上层 协 议 字 段 为 止 的 所 有 数 据 进 行 认 证 的 结 果 。 5.3 IPSec安 全 协 议 报 文 处 理 1.协 议 头 位 置 (1)传 输 模 式 (2)隧 道 模 式 原 IP头 (选 项 ) TCP 用 户 数 据 原 IP报 文原 IP头 (选 项 ) ESP头 TCP 用 户 数 据 ESP尾 ESP认 证ESP协 议 加 密 范 围ESP协 议 认 证 范 围 (a) ESP传 输 模 式新 IP头 (选 项 ) ESP头 原 IP头 (选 项 ) TCP 用 户 数 据 ESP尾 ESP认 证ESP协 议 加 密 范 围ESP协 议 认 证 范 围(b) ESP隧 道 模 式图 5-16 安 全 联 结 两 种 模 式 下 的 ESP协 议 头 位 置 5.3 IPSec安 全 协 议1.算 法 一 致 性 要 求 ESP协 议 所 涉 及 的 算 法 分 为 加 密 算 法 和 认 证 算 法 两 类 ,由 相 应 的 安 全 联 结 规 定 两 种 算 法 实 施 细 节 , 但 至 少 要 选取 一 种 算 法 。 ( 1) 加 密 算 法 ( 2) 认 证 算 法 5.3 IPSec安 全 协 议v5.3.6 SA的 使 用 SA的 组 合 方 式 1. “传 输 方 式 组 合 ” 图 5-17 传 输 方 式 组 合 5.3 IPSec安 全 协 议2. “嵌 套 隧 道 ” (1) 所 有 的 安 全 联 结 隧 道 的 两 个 终 点 都 分 别 一 样 (如 图 5-18示 )。内 外 隧 道 协 议 可 以 是 AH或 ESP, 但 一 般 来 说 内 外 层 的 安 全 协 议 不会 相 同 , 如 同 是 AH或 ESP协 议 。 5.3 IPSec安 全 协 议 (2) 安 全 联 结 有 一 个 共 同 的 终 点 。 内 外 层 隧 道 协 议 可 以 是 AH或 ESP协 议 。 5.3 IPSec安 全 协 议 (3) 安 全 联 结 没 有 一 个 共 同 的 终 点 。 内 外 层 隧 道 协 议 可 以 是 AH或ESP协 议 。 5.3 IPSec安 全 协 议 对 于 以 传 输 方 式 组 合 的 SA, 只 有 一 种 实 用 顺 序 : 由 于 传 输 方 式的 AH保 护 了 上 层 协 议 数 据 和 部 分 IP头 数 据 , 当 AH与 ESP一 起 使 用时 , AH应 该 紧 接 在 IP头 后 , 并 位 于 ESP之 前 。 这 时 , AH保 护 了ESP所 加 密 的 数 据 , IP包 结 构 如 图 5-21所 示 。 与 此 相 对 的 是 , 在 嵌 套 隧 道 组 合 方 式 下 , 可 以 有 多 种 多 样 的 组 合 顺序 。 IP头 AH头 ESP头 TCP头 用 户 数 据 图 5-21 加 密 后 IP包 结 构 5.3 IPSec安 全 协 议自 到 协 议 端 口 策 略1.1.1.1 2.2.2.2 任 意 值 任 意 值 随 HMAC-MD5使 用 的 传 送 AH 使 用 SA实 例A的 SPD 自 目 的 地 协 议 SPI SA记 录1.1.1.1 2.2.2.2 AH 10 MD5密 钥A的 外 出 SADB 5.3 IPSec安 全 协 议RA的 SPD自 到 协 议 端 口 策 略 通 道 目 的 地1.1.1/24 2.2.2/24 任 意 值 任 意 值 随 3DES使 用 的 通 道 ESP 6.6.6.6RA的 外 出 SADB源 目 的 地 协 议 SPI SA记 录5.5.5.5 6.6.6.6 ESP通 道 11 168位 的 3DES密 钥RB的 SPD自 到 协 议 端 口 策 略 通 道 入 口 1.1.1/24 2.2.2/24 任 意 值 任 意 值 3DES ESP 5.5.5.5RB的 进 入 SADB源 目 的 地 协 议 SPI SA记 录5.5.5.5 6.6.6.6 ESP 11 168位 3DES密 钥 5.3 IPSec安 全 协 议B的 SPD自 到 协 议 端 口 策 略2.2.2.2 1.1.1.1 AH 任 意 值 随 HMAC-MD5使 用 的 传 送 AHB的 进 入 SADB源 目 的 地 协 议 SPI SA记 录1.1.1.1 2.2.2.2 AH 10 HMAC-MD5密 钥在 RA与 RB之 间 传 送 的 IP包 结 构 如 图 5-23所 示 :新 IP头 ESP头 原 IP头 AH头 TCP头 用 户 数 据 ESP尾 5.3 IPSec安 全 协 议v5.3.7 IPsec协 议 处 理 过 程 外 出 处 理 1.丢 弃 丢 弃 数 据 包 , 并 记 录 出 错 信 息 。2.绕 过 IPsec给 数 据 包 添 加 IP头 , 然 后 发 送 。3.应 用 IPsec查 询 SAD, 确 定 是 否 存 在 有 效 的 SA。 5.3 IPSec安 全 协 议(1)存 在 有 效 的 SA, 则 取 出 相 应 的 参 数 , 将 数 据 包 封 装 ( 包 括 加 密 、 验 证 ,添 加 IPsec头 和 IP头 等 ) , 然 后 发 送 。AH输 出 包 处 理 过 程 : AH头 定 位 : 在 传 输 模 式 下 , AH头 插 在 IP头 和 上 层 协 议 头 之 间 ; 在 隧 道 模式 下 , AH头 在 整 个 原 IP数 据 报 之 前 。发 送 方 对 IP包 计 算 认 证 数 据 ICV, 并 将 结 果 放 入 输 出 包 的 认 证 数 据 字 段 随 包发 送 。ESP输 出 包 处 理 过 程 : ESP头 定 位 : 在 传 输 模 式 下 , ESP插 在 IP头 和 上 一 层 协 议 头 之 间 ; 在 隧 道模 式 下 , ESP头 在 整 个 原 IP数 据 报 之 前 。 包 加 密 : a)封 装 : 把 数 据 封 装 到 ESP的 有 效 负 载 字 段 传 输 模 式 只 封 装 上 层 协 议 数 据 ; 隧 道 模 式 封 装 整 个 原 IP数 据 报 。 b)加 密 : 使 用 由 SA指 定 的 密 钥 和 加 密 算 法 对 上 述 结 果 加 密 。如 果 在 ESP中 选 定 了 认 证 选 项 , 发 送 方 对 IP包 计 算 认 证 数 据 ICV, 并 将 结 果放 入 输 出 包 的 认 证 数 据 字 段 随 包 发 送 。必 要 时 进 行 分 段 。 5.3 IPSec安 全 协 议 (2) 尚 未 建 立 SA, 策 略 管 理 模 块 启 动 或 触 发 IKE协 商 , 协 商 成 功 后按 1中 的 步 骤 处 理 , 不 成 功 则 应 将 数 据 包 丢 弃 , 并 记 录 出 错 信 息 。 (3)存 在 SA但 无 效 , 策 略 管 理 模 块 将 此 信 息 向 IKE通 告 。 请 求 协 商新 的 SA, 协 商 成 功 后 按 1中 的 步 骤 处 理 , 不 成 功 则 应 将 数 据 包 丢 弃 ,并 记 录 出 错 信 息 。 进 入 处 理 对 于 进 入 数 据 包 , IPsec协 议 先 根 据 包 中 目 的 IP地 址 、 安 全 协 议 和SPI查 询 SAD, 如 得 到 有 效 的 SA, 则 对 数 据 包 进 行 解 封 (或 还 原 ),再 查 询 SPD, 验 证 为 该 数 据 包 提 供 的 安 全 保 护 是 否 与 策 略 配 置 的相 符 。 如 相 符 , 则 按 SA中 指 定 的 算 法 进 行 解 密 (用 ESP协 议 时 )并 重新 构 造 原 IP数 据 报 格 式 , 然 后 将 还 原 后 的 数 据 包 交 给 TCP层 或 转 发 。如 不 相 符 , 或 要 求 应 用 IPsec但 没 有 用 于 此 会 话 的 SA存 在 , 或 SA 无 效 , 则 将 数 据 包 丢 弃 , 并 记 入 日 志 。 5.3 IPSec安 全 协 议v5.3.8 AH协 议 与 ESP协 议 比 较 认 证 服 务 : AH协 议 和 ESP协 议 都 提 供 认 证 服 务 功 能 。 AH协 议 是 专 门 用 以提 供 认 证 服 务 ; ESP协 议 的 认 证 服 务 是 它 的 选 项 , 主 要 为 了 防 止 对 协 议 的“ 剪 贴 ” 攻 击 。 ESP提 供 的 认 证 服 务 范 围 要 比 AH的 窄 , 即 ESP头 以 前 的IP报 文 部 分 不 会 被 保 护 ; 而 AH协 议 认 证 了 几 乎 所 有 的 IP报 文 字 段 。 保 密 服 务 : AH协 议 不 提 供 保 密 服 务 , 当 不 需 要 保 密 或 者 法 律 不 允 许 保 密的 情 况 下 , AH协 议 是 一 种 恰 当 的 安 全 协 议 ; ESP主 要 用 于 数 据 保 密 。 当使 用 隧 道 方 式 时 , 位 于 两 个 安 全 网 关 间 的 使 用 ESP保 护 的 安 全 联 结 还 可 以提 供 一 定 的 流 量 保 密 性 。 使 用 隧 道 方 式 时 , 由 于 内 层 的 IP包 被 加 密 , 所 以隐 藏 了 报 文 的 实 际 源 头 和 终 点 。 更 进 一 步 的 是 , ESP使 用 的 填 充 字 节 隐 藏了 报 文 的 实 际 尺 寸 , 从 而 更 进 一 步 地 隐 藏 了 这 个 报 文 的 外 在 特 性 。 当 网 络中 的 移 动 用 户 使 用 动 态 地 址 , 使 用 隧 道 方 式 的 安 全 联 结 穿 过 安 全 网 关 时 , 也 有 类 似 的 通 信 流 的 保 密 性 。 当 然 , 如 果 安 全 联 结 的 粒 度 越 细 , 那 么 这 种安 全 服 务 就 越 脆 弱 (对 于 流 量 分 析 的 情 况 )。 防 止 重 放 : AH协 议 和 ESP协 议 都 有 防 止 重 放 的 功 能 。 只 要 收 方 决 定 使 用此 功 能 , AH协 议 的 此 项 功 能 就 可 靠 工 作 , 而 ESP协 议 必 须 要 有 认 证 机 制的 配 合 , 此 项 功 能 才 起 作 用 。 5.3 IPSec安 全 协 议v5.3.9 IPsec的 实 现 机 制 访 问 控 制 数 据 源 验 证 无 连 接 完 整 性 和 抗 重 播 机 密 性 和 有 限 的 业 务 流 机 密 性 5.3 IPSec安 全 协 议v5.3.10 IPSec的 应 用 IPSec与 其 它 安 全 机 制 的 联 系 与 比 较 2. 数 据 源 验 证1.网 络 地 址 转 换 器 (NAT) 网 络 地 址 转 换 器 NAT (Network Address Translation)是 用 于 解决 全 球 IP地 址 资 源 匮 乏 和 对 外 隐 藏 企 业 内 部 IP地 址 的
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!