信息安全标准

,第8章 信息安全标准,48,第八章 信息安全标准,8.1 概述,8.2 安全体系结构,8.3 IPSec安全协议,8.4 TLS安全协议,8.5 小结,8.1 概述,安全标准可以分成以下几大类：,安全体系结构和框架标准,分层安全协议标准,安全技术标准,具体应用安全标准,安全管理标准,8.2 安全体系结构8.2.1 OSI安全体系结构简介,OSI安全体系结构的研究由ISO/IEC JTC1/SC21于1988年完成。其制定的标准是ISO 7498-2标准，作为OSI基本参考模型的新补充。1990年，ITU决定采用ISO7498-2作为它的X.8OO推荐标准。,OSI安全体系结构不是能具体实现的标准，而是如何设计标准的标准。,在ISO 7498-2定义了所有安全服务及其变体，并且对定义有详细说明，OSI安全体系结构没有详细说明这些安全服务应该如何来实现。,8.2.2 OSI分层安全服务,物理层,数据链路层,网络层,传输层,会话层,表示层,应用层,8.2.3 OSI安全框架,OSI安全框架定义了一些通用的概念：,安全策略：用于限定一个或一组对象进行安全相关活动的规则集。,安全机构：该实体对安全策略的实现负责，它可以使用安全策略限制其他实体的活动；,安全区域：一组对象，加上安全策略、安全权威机构和一组与安全相关的活动。,安全交互规则：在安全区域之间进行交互应遵守的规则,。,安全框架系列（ISO/IEC 1O181）包括七部分（也有可能会进一步扩展），它们是：,安全框架综述,认证框架,访问控制框架,非否认框架,机密性框架,完整性框架,安全审计框架,8.2.3 OSI安全框架,认证框架定义术语,主体：,声称者：,验证者：,论证信息：,交换认证信息,声称者认证信息,验证者认证信息,基本认证模型,声称者,认证信息,声称者,验证者,认证信息,验证者,交换认证信息,内联式认证模型,声称者,认证信息,声称者,验证者,认证信息,验证者,交换认证信息,验证者,认证信息,中间者,声称者,认证信息,交换认证信息,在线认证模型,声称者,验证者,认证信息,验证者,交换认证信息,验证者,认证信息,可信第三方,声称者,认证信息,交换认证信息,交换认证信息,离线认证模型,声称者,验证者,认证信息,可信第三方,交换认证信息,验证者,声称者,认证信息,离线分配,8.3 IPSec安全协议8.3.1 IP协议的安全缺欠,IPv4提供不安全的服务,IPv4操作过程不安全,IPv6的安全特性：IPv6作为新一代的IP协议，具有如下5个方面的特性：,扩展地址空间，增强路由,地址的自动配置,IP数据包包头简化,服务质量 QoS,安全控制,8.3.2 IPSec 结构,1、IPSec,IPSec是指IETF以RFC形式公布的一组安全IP协议集，是在IP包级为IP业务提供保护的安全协议标准。IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、决定所需的算法和密钥。安全协议有两个，一个是由协议的包头，即认证报头 AH（Authentication Header）指定的认证协议，另一个是由协议数据包格式，即封装的安全负载 ESP（Encapsulating Security Payload）指定的将加密和认证结合起来的协议。安全业务有访问控制、无连接的完整性、数据源的认证性、对重放数据包的拒绝、保密性、受限的业务流保密性等。,IPSec的安全业务,IPSec通过在IP层对所有业务流加密和认证，保证了所有分布式应用程序（包括远程登录、客户机/服务器、电子邮件系统、文件传输、Web的访问等）的安全性，因此可以提供网络内（包括局域网LAN、广域网WANS等）或网际间的安全通信。,8.3.2 IPSec 结构,IPSec用于防火墙和路由器等网际设备，可以为通过网际设备的业务流提供强安全业务，且在LAN内（比如一个公司的LAN）的业务无需进行安全性处理。,3. IPSec的作用,由IPSec提供安全服务的业务流的发方到收方的一个单向逻辑关系，用来表示IPSec为SA所承载的数据通信提供安全服务，其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP保护。一个SA可由三个参数惟一地表示为：,安全参数索引，目标IP地址，安全协议标识符,IPSec的实现还需维护两个数据库,安全关联数据库,SAD,安全策略数据库,SPD,4.,安全关联SA,传输模式,传输模式主要用于对上层协议的保护。,以传输模式运行的ESP协议对负载进行加密和认证（认证性可供选择。,隧道模式,用于对整个IP数据包的保护，它是将一个数据包用一个新的数据包包装，即给原数据包加一个新的包头，称为外部包头，这样原数据包就成为新数据包的负载。,5、AH和ESP的两种使用模式,新IP头 IP头 有效负载,新负载,8.3.3 认证报头,认证报头AH用于保证IP数据包的数据完整性、认证性，并用于防地址欺骗攻击、消息重放攻击等。其认证性由消息认证码MAC实现，因此要求通信双方有共享的密钥。,AH的格式：,下一负载头,保留,有效负载长度,认证数据（可变长）,安全参数索引（SPI）,序列号,下一报头,负载长度,保留,安全参数索引SPI,序列号,认证数据,8.3.3 认证报头,1、防重放攻击,AH包头中的“序列号”字段用于防止攻击者截获已经认证过的数据包后实施重放攻击。,2、完整性校验值ICV,认证报头AH中，字段“认证数据”的值称为完整性校验值ICV，ICV是由MAC算法产生的消息认证码或截短的消息认证码。,8.3.3 认证报头,3、AH的传输模式,传输模式用于两个主机之间的端到端通信，而网关可以不支持传输模式。这种模式中，将认证报头AH插到原始IP数据包的包头后面，其作用是对IP报文除可变字段外的其他字段提供认证功能。,传输模式的优点是额外开销较小，缺点是无法对可变字段进行保护。,源IP头,AH,TCP,数据,经认证的,IPv4,经认证的（除可变字段外）,AH,扩展头(可选),TCP,数据,扩展头(可选),源IP头,IPv6,8.3.3 认证报头,4、隧道模式,隧道模式用于SA关系中至少有一方是一个安全的网关。这时将需保护的原数据包用一个新数据包封装，即将原数据包作为新数据包的负载，称新数据包为隧道数据包。然后再对隧道数据包使用传输模式的AH，即将AH插到隧道数据包中新IP包头的后面。,隧道模式的主要优点是可对被封装的数据包提供完全的保护，缺点是有额外的处理开销。,8.3.3 认证报头,源IP头,TCP,数据,经认证的（除新IP头中的可变字段外）,AH,新IP头,IPv4,AH,源IP头,扩展头(可选),TCP,扩展头(可选),新IP头,IPv6,经认证的（除新IP头中的可变字段外）,数据,8.3.4 封装安全负载,封装安全负载ESP用于提供保密性业务，包括对消息内容的保密性和通信流量的保密性。ESP也提供作为可选项的认证业务。,1、ESP数据包格式,填充,下一负载头,填充长度,认证数据（可变长）,序列号（SN）,0-255字节的填充,安全参数索引（SPI）32bits,可变长有效负载数据,安全参数索引SPI,序列号,负载数据,填充,填充长度,下一包头,认证数据,1、ESP数据包格式,ESP保密业务为负载数据、填充、填充长度、下一包头四个字段提供加密，如果加密算法需要初始向量，则将初始向量以明文形式放在负载数据头部。,ESP要求支持CBC模式的DES，同时支持的加密算法还有：三个密钥的三重DES、RC5、IDEA、CAST、Blowfish等。,和AH一样，ESP支持的消息认证码的默认长度为96比特，支持的算法为HMAC-MD5-96和HMAC-SHA-l-96。,2、ESP所用的加密算法和认证算法,如果加密算法要求明文长为某一字节的倍数（如分组加密算法明文长为分组长的倍数），则通过填充可将明文（包括负载数据、填充、填充长度、下一包头）扩展为所需的长度；,ESP的格式要求“填充长度”字段和“下一包头”字段在一个32比特的字中是右对齐的，填充用于保证这种对齐；,通过填充可隐藏负载数据的实际长度，因此还能对业务流提供部分保密性。,3、填充,4、ESP的传输模式,ESP,的传输模式用于两个主机之间的端到端通信。这种模式中将,ESP,包头插入到原始,IP,数据包的包头后面，而,ESP,包尾和认证数据则放在原始数据包的负载之后。,传输模式下的,ESP,未对原始,IP,包头提供加密和认证，这是它的一个缺点。,5,、隧道模式,可适用于主机和安全网关。,将需保护的数据包用一个新数据包封装，即将原数据包作为新数据包的负载，称新数据包为隧道,IP,数据包。然后再对隧道,IP,数据包实施传输模式的,ESP,。,8.3.4 封装安全负载,8.3.5 SA束,一个SA能够实现AH协议或ESP协议，但却不能同时实现这两种协议。若要求在主机间和网关间都实现IPSec业务，就要求建立起多个SA以实现所需的IPSec业务。称这种多个SA序列为SA束，同一束上的SA的端点可以相同也可以不同。,有两种创建SA束的方式：,传输相邻：指对同一个IP数据包多次应用非隧道模式的AH和ESP两个协议；,重复隧道方式：指对同一个IP数据包在隧道模式下多次使用两种协议，即每使用一次协议，都生成一个新的IP数据包，下一个协议再对数据包封装。,1、SA组合方式下的安全业务,在两个主机之间为IP数据包提供安全业务时，认证和保密的组合次序：,（1）具有认证业务的ESP,（2）传输相邻,（3）传输-隧道两层SA,8.3.5 SA束,2、SA的基本组合,SA的基本组合方式有四种，其中每种组合中设备之间是通过物理连接而连接到因特网或者内部网络，其连接方式可以通过SA（一个或多个）的逻辑连接（即传输或者隧道）表述，凡是处于逻辑连接两端的设备都可以实现IPSec。每个SA所承载的通信服务或为AH或为ESP，对主机到主机的SA，AH或ESP的使用模式可以是传输模式也可以是隧道模式。,不同的组合方式可以用来支持认证、加密、先认证再加密、先加密后认证。,8.3.5 SA束,SA基本组合的第一种情况如下图所示，它对实现IPSec的两个端系统提供安全业务，两个端系统必须有共享的密钥。,8.3.5 SA束,主机,主机,传输SA,主机传输连接,第二种情况如下图，两个主机未实现IPSec，因此仅在两个网关之间提供安全业务。此时仅需一个隧道模式下的SA，可用于支持AH、ESP或具有认证选择的ESP。,8.3.5 SA束,安全网关,主机,隧道SA,主机,安全网关,安全网关隧道连接,第三种情况如下图，它是在第二种情况的基础上增加了端到端的安全业务，其中两个网关之间SA的组合可用在第二种情况的方式，两个主机之间SA的组合可用在第一种情况中的方式。,8.3.5 SA束,安全网关,主机,隧道SA,主机,安全网关,传输SA,主机传输连接，安全网关隧道连接,第四种情况如下图，表示一个具有IPSec的远程主机通过因特网到达某一组织的防火墙，然后访问防火墙后面的本地主机（如服务器或工作站）。此时在远程主机和防火墙之间只要求使用隧道模式，而在远程主机和本地主机之间，则使用一个或两个SA。,8.3.5 SA束,安全网关,主机,隧道SA,主机,传输SA,主机传输连接，主机与安全网关隧道连接,8.3.6 密钥管理,IPSec的密钥管理包括密钥的确定和密钥的分布，分为手工密钥管理和自动密钥管理。,手工方式：系统管理员以手工方式为每一系统配置该系统自己的密钥和其他系统的密钥，手工方式仅在相对稳定的小环境中才有实际价值。,自动方式：系统能够自动地按要求为SA产生密钥，自动方式对分布式大系统的密钥管理极为方便。,IPSec默认的自动密钥管理协议称为ISAKMP/Oakley，包括Oakley密钥确定协议和因特网安全关联和密钥管理协议ISAKMP。,1、0akley密钥交换协议,2、ISAKMP,3、ISAKMP的消息交换,8.3.6 密钥管理,8.4 TLS安全协议,8.4.1 TLS概述,传输层安全协议TLS的主要目的是在通信的应用程序之间提供机密性和数据完整性保护。该协议主要由两层组成：,TLS记录层,TLS握手协议层,TLS记录层位于TLS握手协议层的下面，在可靠的传输协议层（如TCP/IP）上面。,TLS记录层提供的连接安全有以下两个特点：,该连接是保密的。,该连接是可靠的。,TLS记录协议用于封装任何比它更高层的协议。,TLS握手协议允许服务器和客户程序在应用程序传递第一个有效字节前相互认证身份和协商所采用的加密算法和密钥。TLS握手协议提供的连接安全有以下三个特点：,使用公开密钥体制（如RSA）来验证对等实体的身份，必须至少有一方要认证另一方的身份。,协商建立的共享保密信息是安全的，它不会被冒充和伪造，因为该信息是经过认证保护的，即使是中间人的主动攻击也不能得到经过协商的秘密。,协商是可靠的，任何对协商通信的攻击都能立即被通信的双方察觉到。,8.4 TLS安全协议,就TLS协议的安全性和实用性而言，TLS实现以下目标：,加密安全：,互操作性：,可扩展性：,高效性：,8.4 TLS安全协议,8.4.2 TLS协议结构,TLS协议的结构及其层次关系如下图所示。,Telnet,HTTP,FTP,C/S软件,TCP,SPX.,可靠传输协议,RSA,DES,RC4.,密码算法,TLS协议实现,应用软件,底层网络,TLS协议对高层应用协议是透明的，高层应用数据可以使用TLS协议建立的加密信道透明地传输数据。同时，TLS协议不依赖于低层传输协议，可以建立在任何能够提供可靠连接的协议之上，例如 TCP、SPX等。,TLS协议位于表示层和应用层之间。,8.4.2 TLS协议结构,8.4.3 TLS的记录协议,TLS记录协议的一条记录包含长度字段、描述字段和内容字段。,记录协议有四种类型的客户：握手协议，警告协议，改变密码格式协议和应用数据协议。,1、TLS连接状态,TLS连接状态反映的是TLS记录协议的操作环境。,2、记录层数据处理,记录层对从高层接受的数据进行记录形成、压缩、加密等处理。,8.4.4 TLS握手协议,TLS握手协议在通信的对等实体之间协商建立记录层所需的安全参数，并相互认证身份，为双方报告出错情况，并使用公钥密码技术生成共享秘密。,TLS握手协议包括以下步骤：,交换hello消息以协商密码算法，交换随机值并检查会话是否可重用；,交换必要的密码参数，使客户和服务器能够协商 premaster secret；,交换证书和密码信息，使客户和服务器能够进行相互认证；,使用交换的随机值和premaster secret生成主秘密master secret；,为记录协议提供安全参数。,1握手流程,客户向服务器发送 client hello消息，服务器回应。 建立下列安全属性：协议版本，会话 ID,CipherSuite和压缩方法，同时生成并交换随机数.,密钥交换,服务器发送证书。,发送 server keg exchange消息。,服务器请求客户证书,服务器发送 server hello done消息,服务器等待客户的响应,客户发送 change cipher spec 消息,客户在新的算法、对称密钥和MAC秘密之下立即发送finish消息。,服务器响应客户的消息,8.4.4 TLS握手协议,2,、,基本消息描述,hello,消息：服务器和客户使用,hello,消息来交换安全相关的信息，如随机数,、,Ciphersuite,等。,server certificate,消息：该消息表示服务器发送证书，在,server hello,消息之后立即被发送。证书的类型必须与所选择的,Ciphersute,中的密钥交换算法相匹配。,server key exchange,消息：该消息仅在服务器发送的,server certificate,消息中没有包含足够的信息使客户可以交换,premaster secret,的时候发送，为客户端协商,premaster secret,传递密码信息。,certificate request,消息：服务器发送该消息指示客户提供其证书。,8.4.4 TLS握手协议,server hello done消息：服务器发送该消息指示 hello阶段结束。,client certificate消息：这是客户接收到 server hello done消息之后能够发送的第一条消息该消息只有在服务器要求证书的情况下才发送。如果客户没有合适的证书，也可以发送不包含证书的 client certificate消息。,client key exchange消息：该消息由客户发送一般使用 RSA公钥加密的方式直接传输 premaster secret，,certificate verify消息：该消息用来提供显式的客户证书校验。,finished消息：该消息在Chang cipher spec消息之后发送，用来校验密钥交换和认证过程是否成功。,8.4.4 TLS握手协议,8.4.5 TLS安全性分析,TLS协议的目的是在不安全的网络连接上实现客户和服务器的安全通信。,从以下几个方面来分析TLS的安全性。,1、认证和密钥交换,2、低版本攻击,3、对握手协议攻击的检测,4、会话的恢复,5、保护应用数据,