计算机网络安全概述(PPT 91页)

资源描述

单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,/91,单击此处编辑母版标题样式,IP,安,安,全,全,TCP/IP,协,协,议,议,IPSec,概,概述,安全关联(SA)和安,全,全策略(SP),认证头(AH),封装安全载,荷,荷 (ESP),Internet密钥,交,交换协议(IKE),IPSec,的,的实现,11/5/2022,1,TCP/IP协议,Internet概述,Internet安全,IP层安全,目录,11/5/2022,2,internet和Internet,internet（互,联,联网或互连,网,网）,是一个通用,名,名词，它泛,指,指由多个计,算,算机网络互,连,连而成的虚,拟,拟网络。,Internet（因,特,特网）,是一个专用,名,名词，它特,指,指当前全球,最,最大的、开,放,放的、由众,多,多网络相互,连,连接而成的,特,特定计算机,网,网络，它采,用,用TCP/IP协议簇,，,，且前身是,美,美国的ARPANET,。,。,目录TCP/IP协议,5 之 1,11/5/2022,3,图,示,示,目录TCP/IP,协,协议,5,之,之2,11/5/2022,4,5,之,之3,OSI/RM,和,TCP/IPRM,11/5/2022,5,5,之,之4,TCP/IP,例子,11/5/2022,6,5,之,之5,TCP/IP,中的,数,数据,传,传输,11/5/2022,7,网络层安,全,全,目录TCP/IP协议,3 之1,11/5/2022,8,传输层安,全,全,目录TCP/IP协议,3 之2,11/5/2022,9,应用层,安,安全,目录TCP/IP,协,协议,3 之2,11/5/2022,10,IP层,安,安全,IP层,的,的主要,协,协议是IP协,议,议，有,两,两种版,本,本的IP：,IPv4,和,IPv6,。IPv6是IPv4的后,续,续版本,，,，IPv6简,化,化了IP首部,，,，其数,据,据报更,灵,灵活，,同,同时IPv6,还,还增加,了,了对安,全,全性的,考,考虑。,目前因,特,特网占,统,统治地,位,位的是IPv4,。IPv4在,设,设计之,初,初没有,考,考虑安,全,全性，IP数,据,据报本,身,身并不,具,具备任,何,何安全,特,特性，,导,导致在,网,网络上,传,传输的,数,数据很,容,容易收,到,到各式,各,各样的,攻,攻击：,业,业务流,被,被监听,和,和捕获,、,、IP,地,地址欺,骗,骗、信,息,息泄露,和,和数据,项,项篡改,等,等。,目录TCP/IP,协,协议,3 之1,11/5/2022,11,IPv4首部,目录TCP/IP,协,协议,3 之2,11/5/2022,12,IPv6首,部,部,目录TCP/IP协议,3 之 3,11/5/2022,13,IPSec,概,概述,目录,为加强因特,网,网的安全性,，,，从1995年开始，IETF着,手,手研究制定,了,了一套用于,保,保护IP通,信,信的IP安,全,全协议（IP Security,IPSec），目的,是,是：为IPv4和IPv6提供具,有,有较强的互,操,操作能力、,高,高质量和基,于,于密码的安,全,全功能，在IP层实现,多,多种安全服,务,务：访问控,制,制、数据完,整,整性、数据,源,源验证、抗,重,重播、机密,性,性等。,IPSec,是,是IPv6,的,的一个组成,部,部分，也是IPv4的,一,一个可扩展,协,协议,。本课程只,考,考虑IPv4情况。,7 之 1,11/5/2022,14,IPSec,的,的构成,目录,两个通信协,议,议,AH,和,ESP,。,两种操作模,式,式,传输模式,和,隧道模式,。,一个密钥交,换,换管理协议,IKE,。,两个数据库,安全策略数,据,据库,SPD,和安全关联,数,数据库,SAD,。,7 之 2,11/5/2022,15,IPSec安全体,系,系结构,目录,ESP:,封装安全,载,载荷,AH :,验证头,DOI:,解释域,7 之3,11/5/2022,16,IPSec的文档,目录,Architecture,RFC2401,AH,RFC2402,ESP,RFC2406,DOI,RFC2407,ISAKMP,RFC2408,Oakly,RFC2412,IKE,RFC2409,ESP,:Encapsulating SecurityPayload,AH,:AuthenticationHeader,DOI,:DomainOf Interpretation,IKE,:Internet Key Exchange,ISAKMP,:Internet Security Association and Management Protocol,7 之4,11/5/2022,17,IPSec的服务,目录,访问控制,无连接完,整,整性,数据源认,证,证,拒绝重放,数,数据包,机密性（,保,保密）,有限通信,量,量机密性,7 之5,11/5/2022,18,IPSec,的,的,服,服,务,务,目,录,录,AH,ESP(加密),ESP(加密+认证),访问控制,无连接完整性,数据源认证,拒绝重放包,保密性,有限保密性,7,之,之6,11/5/2022,19,IPSec,的,的,实,实,现,现,目,录,录,7,之,之7,11/5/2022,20,安,全,全,关,关,联,联,(SA),和,安,安,全,全,策,策,略,略,(SP),目,录,录,安,全,全,关,关,联,联,（,（SA,）,）,安,全,全,策,策,略,略,（,（SP,）,）,11/5/2022,21,概,述,述,目录安全,关,关联(SA),和,和安,全,全策,略,略(SP),理解SA,这,这一,概,概念,对,对于,理,理解IPSec至,关,关重,要,要,。AH和ESP协,议,议都,使,使用SA,来,来保,护,护通,信,信，,而,而IKE,的,的主,要,要功,能,能就,是,是在,通,通信,双,双方,协,协商SA,。,。,16,之,之1,11/5/2022,22,SA,的,的定,义,义,目录安全,关,关联(SA),和,和安,全,全策,略,略(SP),SA,是,是两,个,个IPSec,实,实体,（,（主,机,机、,安,安全,网,网关,）,）之,间,间经,过,过协,商,商建,立,立起,来,来的,一,一种,约,约定,，内,容,容包,括,括：,采,采用,何,何种IPSec协,议,议（AH,？,？ESP,？,？）,、,、操,作,作模,式,式（,传,传输,模,模式,？,？隧,道,道模,式,式？,）,）、,验,验证,算,算法,、,、加,密,密算,法,法、,加,加密,密,密钥,、,、密,钥,钥生,存,存期,、,、抗,重,重放,窗,窗口,、,、计,数,数器,等,等，,从,从而,决,决定,了,了保,护,护什,么,么？,如,如何,保,保护,？,？谁,来,来保,护,护？,可以,说,说SA是,构,构成IPSec的,基,基础,。,SA,是,是单,向,向的,，,，,进入SA,负责,处,处理,接,接收,到,到的IP,数,数据,报,报，,外出SA,负责,处,处理,要,要发,送,送的IP,数,数据,报,报。,因,因此,每,每个,通,通信,方,方必,须,须要,有,有两,个,个SA：,一,一个,进,进入SA,，,，一,个,个外,出,出SA，,这,这两,个,个SA构,成,成了,一,一个,SA,束,束,（SABundle,）,）。,16,之,之2,11/5/2022,23,SA,的,的管,理,理,目录安全,关,关联(SA),和,和安,全,全策,略,略(SP),16,之,之3,手工,管,管理,SA,的,的内,容,容由,管,管理,员,员手,工,工指,定,定、,手,手工,维,维护,，,，但,是,是，,手,手工,操,操作,容,容易,出,出错,，,，而,且,且手,工,工建,立,立的SA,没,没有,生,生存,周,周期,限,限制,，,，除,非,非手,工,工删,除,除，,因,因此,有,有安,全,全隐,患,患。,IKE管,理,理,一般,来,来说,，,，SA的,自,自动,建,建立,和,和动,态,态维,护,护是,通,通过IKE进,行,行的,，,，SA有,生,生存,周,周期,限,限制,。,。如,果,果安,全,全策,略,略要,求,求建,立,立安,全,全、,保,保密,的,的连,接,接，,但,但又,不,不存,在,在与,该,该连,接,接相,应,应的SA,，,，IPSec,的,的内,核,核会,立,立即,启,启动IKE来,协,协商SA,。,。,11/5/2022,24,安全关,联,联数据,库,库,（SAD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),16,之,之 4,安全关,联,联数据,库,库（SAD）,用,用于存,储,储SA,参,参数,。,对于外,出,出的流,量,量，如,果,果需要,使,使用IPSec处理,，,，然而,相,相应的SA不,存,存在，,则,则IPSec,将,将启动IKE,来,来协商,出,出一个SA，,并,并存储,到,到SAD中。,对,对于进,入,入的流,量,量，如,果,果需要,进,进行IPSec处理,，,，IPSec,将,将从IP数据,报,报中得,到,到三元,组,组，并,利,利用这,个,个三元,组,组在SAD中,查,查找一,个,个SA,。,。,每个SA由三,元,元组唯,一,一标识,：,：,11/5/2022,25,安全关,联,联数据,库,库,（SAD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参,数,数,安全参,数,数索引,。,。分配,给,给这个SA的,一,一个位,串,串并且,只,只有本,地,地有效,，,，用于,标,标识同,一,一个目,的,的地的SA,。,。SPI在AH和ESP报,头,头中出,现,现。,16,之,之 5,SPI,源/目的IP地址,IPSec协议,SA标,识,识符,11/5/2022,26,安全关,联,联数据,库,库,（SAD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参,数,数,目前，,只,只允许,单,单播地,址,址；用,于,于表示,对,对方IP地址,，,，对于,外,外出流,量,量指目,的,的IP,地,地址，,对,对于进,入,入流量,指,指源IP地址,。,。,16,之,之 6,SPI,源/目的IP地址,IPSec协议,SA标,识,识符,11/5/2022,27,安全关,联,联数据,库,库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,SPI,源/目的IP地址,IPSec协议,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA标识符,SA参数,表明是AH,还,还是ESP,的,的SA。,16 之7,11/5/2022,28,安全关联数,据,据库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,用于生成AH或ESP,头,头中的序列,号,号域，仅用,于,于外出数据,报,报。32位,，,，刚开始通,常,常为0，每,次,次用SA来,保,保护一个IP数据报时,增,增1，对方,利,利用此字段,来,来检测重放,攻,攻击。在溢,出,出之前，SA会重新进,行,行协商。,16 之8,SPI,源/目的IP地址,IPSec协议,SA标识符,11/5/2022,29,安全关联数,据,据库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,一个标志位,，,，表明该序,数,数计数器是,否,否溢出，如,果,果是，将生,成,成一个审计,事,事件，并禁,止,止本SA的,进,进一步的IP数据报传,送,送。,16 之9,SPI,源/目的IP地址,IPSec协议,SA标识符,11/5/2022,30,安全关联,数,数据库,（SAD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,用来确定,一,一个输入,的,的AH或ESP数,据,据包是否,是,是一个重,放,放包。仅,用,用于进入,数,数据报。,16 之10,SPI,源/目的IP地址,IPSec协议,SA标识,符,符,11/5/2022,31,安全关联,数,数据库,（SAD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,认证算法,、,、密钥、,密,密钥生存,期,期、以及,与,与AH一,起,起使用的,其,其它参数,。,。,16 之11,SPI,源/目的IP地址,IPSec协议,SA标识,符,符,11/5/2022,32,安,全,全,关,关,联,联,数,数,据,据,库,库,（SAD,）,）,目,录,录安,全,全,关,关,联,联(SA),和,和,安,安,全,全,策,策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA,参,参,数,数,认,证,证,算,算,法,法,、,、,密,密,钥,钥,、,、,密,密,钥,钥,生,生,存,存,期,期,、,、,以,以,及,及,与,与ESP,一,一,起,起,使,使,用,用,的,的,其,其,它,它,参,参,数,数,。,。,16,之,之12,SPI,源/目的IP地址,IPSec协议,SA,标,标,识,识,符,符,11/5/2022,33,安全关联数,据,据库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,ESP加密,算,算法、密钥,、,、初始化向,量,量（IV）,和,和IV模式,（,（ECB、CBC、CFB和OFB）。,16 之13,SPI,源/目的IP地址,IPSec协议,SA标识符,11/5/2022,34,安全关联数,据,据库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,传输模式、,隧,隧道模式或,通,通配模式（,暗,暗示可用于,传,传输 /,隧,隧道模式）,。,。,16 之14,SPI,源/目的IP地址,IPSec协议,SA标识符,11/5/2022,35,安全关联数,据,据库,（SAD）,目录安全关联(SA)和安,全,全策略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA参数,路径最大传,输,输单元，是,可,可测量和可,变,变化的，它,是,是IP数据,报,报经过一个,特,特定的从源,主,主机到目的,主,主机的网络,路,路由而无需,分,分段的IP,数,数据报的最,大,大长度。,16 之15,SPI,源/目的IP地址,IPSec协议,SA标识符,11/5/2022,36,安全,关,关联,数,数据,库,库,（SAD,）,）,目录安全,关,关联(SA),和,和安,全,全策,略,略(SP),SAn,SA3,SA2,SA1,序列号计数器,序列号溢出,抗重放窗口,AH认证信息,ESP认证信息,ESP加密信息,IPSec操作模式,路径MTU,SA生存期,SAD,SA,参,参数,一个SA,最,最长,能,能存,在,在的,时,时间,，,，超,过,过该,时,时间,后,后，,一,一个SA,必,必须,用,用一,个,个新,的,的SA替,换,换或,终,终止,，,，并,指,指示,发,发生,了,了哪,种,种操,作,作。,16,之,之16,SPI,源/目的IP地址,IPSec协议,SA,标,标识,符,符,11/5/2022,37,安全,策,策略,（SP）,目录安全,关,关联(SA),和,和安,全,全策,略,略(SP),安全,策,策略,决,决定,了,了应,用,用于IP,数,数据,报,报的,安,安全,服,服务,以,以及,如,如何,对,对IP数,据,据报,进,进行,处,处理,。,。策,略,略保,存,存在,一,一个,称,称为,安,安全,策,策略,数,数据,库,库（SPD）,中,中，,可,可根,据,据SA选,择,择器,对,对数,据,据库,进,进行,选,选择,。,。,IP,数,数据,报,报的,进,进出,处,处理,基,基于,安,安全,策,策略,。,。对,于,于外,出,出的IP,数,数据,报,报，,根,根据SA,选,选择,器,器来,查,查找SPD中,匹,匹配,的,的安,全,全策,略,略条,目,目，,它,它会,指,指向0个,或,或多,个,个SA，,然,然后,在,在SAD,中,中检,索,索这,个,个SA，SA,按,按指,定,定顺,序,序依,次,次对,外,外出IP,数,数据,报,报进,行,行处,理,理。,对,对于,进,进入,的,的IP数,据,据报,，,，首,先,先要,对,对IP数,据,据报,进,进行,安,安全,处,处理,。,。然,后,后，,根,根据SA,选,选择,器,器对SPD数,据,据库,进,进行,检,检索,，,，证,实,实对IP,数,数据,报,报采,取,取的,安,安全,策,策略,。,。安,全,全策,略,略的,配,配置,和,和管,理,理都,没,没有,统,统一,的,的硬,性,性规,定,定，,但,但对,于,于管,理,理应,用,用来,说,说，,至,至少,应,应该,具,具有,使,使用,选,选择,器,器进,行,行检,索,索的,功,功能,。,。,9,之,之1,11/5/2022,38,安全策略,数,数据库,（SPD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条目,SPD,32位IPv4或128位IPv6,地,地址。,9 之2,11/5/2022,39,安全策略,数,数据库,（SPD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条目,SPD,32位IPv4或128位IPv6,地,地址。,9 之3,11/5/2022,40,安全策略,数,数据库,（SPD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条目,SPD,指定传输,协,协议（只,要,要传输协,议,议能访问,）,）。许多,情,情况下，,只,只要使用,了,了ESP, 传输,协,协议便无,法,法访问，,此,此时需使,用,用通配符,。,。,9 之4,11/5/2022,41,安全策略,数,数据库,（SPD,）,）,目录安全关联(SA),和,和安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条目,SPD,完整的DNS名或e-mail地址,。,。,9 之5,11/5/2022,42,安全策,略,略数据,库,库,（SPD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条,目,目,SPD,完整的DNS,用,用户名,，,，如：hjbin,，,，或X.500 DN。,9 之6,11/5/2022,43,安全策,略,略数据,库,库,（SPD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条,目,目,SPD,应用端,口,口。如,无,无法访,问,问，则,使,使用通,配,配符。,9 之7,11/5/2022,44,安全策,略,略数据,库,库,（SPD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条,目,目,SPD,采取的,动,动作：,Discard,BypassIPSec,ApplyIPSec,9 之8,11/5/2022,45,安全策,略,略数据,库,库,（SPD）,目录安全关,联,联(SA)和,安,安全策,略,略(SP),SPn,SP3,SP2,SP1,目的IP地址,源IP地址,传输层协议,系统名,用户ID,上层端口,标志,SA指针,SP条,目,目,SPD,包括：,指向一,个,个SA,或,或SA,集,集的指,针,针,应用的IPSec协,议,议,运用的,密,密码算,法,法,生成ICV的,算,算法,9 之9,11/5/2022,46,认证头,（AH）,目录,概述,AH操作模,式,式,AH头格式,AH处理过,程,程,11/5/2022,47,概述,目录认证头AH,为IP数据,报,报提供数据,完,完整性和认,证,证功能，不,提,提供保密性,服,服务；,利用MAC,码,码实现认证,，,，双方必须,共,共享一个密,钥,钥；,认证算法由SA指定；,认证的范围,：,：整个IP,数,数据报。,两种操作模,式,式：,传输模式,：不改变IP地址，插,入,入一个AH,；,；,隧道模式,：生成一个,新,新的IP头,，,，把AH和,原,原来的整个IP数据报,放,放到新IP,数,数据报的净,荷,荷数据中。,11/5/2022,48,AH,操作模式,目录认证头AH,传输模式,隧道模式,11/5/2022,49,传输模式,目录认证头AHAH使用模,式,式,传输模式用,于,于两台主机,之,之间实现端-端的安全,。它所保护,的,的IP数据,报,报的通信终,点,点必须是IPSec终,点,点。,AH头被插,在,在IP数据,报,报中，紧跟,在,在IP头之,后,后和需要保,护,护的上层协,议,议数据之前,，,，对IP数,据,据报中的不,变,变部分进行,安,安全保护。,3 之 1,11/5/2022,50,传输,模,模式,目录认证,头,头AHAH,使,使用,模,模式,原始IP,数,数据,报,报,加入AH,头,头后,的,的IP数,据,据报,3,之,之2,11/5/2022,51,图,示,示,目录认证,头,头AHAH,使,使用,模,模式,AH,3,之,之3,11/5/2022,52,隧道,模,模式,目录认证,头,头AHAH,使,使用,模,模式,隧道,模,模式,用,用于,主,主机-路,由,由器,或,或路,由,由器-路,由,由器,之,之间,的,的点-点,通,通信,，,，,保护,整,整个IP,数,数据,报,报。,隧道,模,模式,先,先将,整,整个IP,数,数据,报,报（,其,其IP头,称,称为,内,内部IP,头,头）,进,进行,封,封装,，,，然,后,后增,加,加一,个,个IP头,（,（称,为,为外,部,部IP头,）,），,并,并在,外,外部,与,与内,部,部IP头,之,之间,插,插入AH,头,头。,该,该模,式,式的,通,通信,终,终点,由,由受,保,保护,的,的内,部,部IP头,指,指定,，,，而IPSec终,点,点则,由,由外,部,部IP头,指,指定,，,，如,果,果其,终,终点,是,是IPSec,网,网关,，,，则,该,该网,关,关会,还,还原,出,出内,部,部IP数,据,据报,，,，再,转,转发,到,到最,终,终目,的,的地,。,。,4,之,之1,11/5/2022,53,隧道,模,模式,目录认证,头,头AHAH,使,使用,模,模式,原始IP,数,数据,报,报,加入AH,头,头后,的,的IP数,据,据报,4,之,之2,11/5/2022,54,图,示,示,目,录,录认,证,证,头,头AHAH,使,使,用,用,模,模,式,式,AH,4,之,之3,11/5/2022,55,端-,端,端,和,和,点,点-,点,点,目,录,录认,证,证,头,头AHAH,使,使,用,用,模,模,式,式,TransportMode,TunnelMode,4 之4,11/5/2022,56,AH,头格式,目录认证头AH,3 之1,11/5/2022,57,AH,头说明,(1),Next Header,8bit，用,于,于指出AH后,的,的下一,载,载荷（,协,协议）,的,的类型,（,（RFC1700）,。,。在传,输,输模式,（,（包括,传,传输层,数,数据）,下,下可为6（TCP）,或,或17,（,（UDP）；,在,在隧道,模,模式（,保,保护整,个,个IP,数,数据报,）,）下可,为,为4（IPv4）或41（IPv6）。,Payload Length,8bit，,用,用于表,示,示AH,的,的长度(32,位,位为单,位,位)。,Reserved,8bit，保,留,留，未,使,使用时,必,必须设,为,为0。,SPI,32bit，,用,用来指,定,定此IP数据,报,报的SA。将,目,目的IP地址,和,和SPI组合,即,即可确,定,定SA,。,。,目录认证头AH,3 之2,11/5/2022,58,AH,头说明,(2),SequenceNumber,32bit，,用,用来避,免,免重放,攻,攻击（,指,指黑客,在,在通信,线,线路上,非,非法窃,取,取数据,，,，复制,后,后发往,对,对方进,行,行的伪,装,装攻击,）,）。具,体,体做法,：,：发送,方,方将每,个,个IPSec,分,分组依,次,次将序,号,号加1,后,后发送,，,，接收,方,方对此,序,序号进,行,行校验,就,就可以,抵,抵御重,放,放攻击,。,。,AuthenticationData,长度可,变,变（32bit的整,数,数倍）,，,，包含IP数,据,据报的,认,认证数,据,据，称,为,为完整,性,性校验,值,值(ICV),。,。生成ICV,的,的算法,由,由SA,指,指定，,具,具体视IPSec的,具,具体实,现,现而定,。,。为保,证,证互操,作,作性，AH强,制,制所有,的,的IPSec,必,必须实,现,现两个MAC,：,：HMAC-MD5,、,、 HMAC-SHA-1,。,。,目录认证头AH,3 之3,11/5/2022,59,AH输,出,出-输,入,入处理,流,流程,11/5/2022,60,封装安,全,全载荷,(ESP),目录,概述,ESP,操,操作模,式,式,ESP,头,头格式,ESP,处,处理过,程,程,11/5/2022,61,概,述,述,目录封装,安,安全,载,载荷(ESP),提供,保,保密,功,功能,，,，包,括,括报,文,文内,容,容的,机,机密,性,性和,有,有限,的,的通,信,信量,的,的机,密,密性,，,，也,可,可以,提,提供,认,认证,服,服务,（,（可,选,选）,；,；,ESP协,议,议认,证,证的,原,原理,与,与AH协,议,议相,同,同，ESP协,议,议加,密,密采,用,用的,是,是对,称,称密,钥,钥加,密,密算,法,法；,加密,算,算法,和,和认,证,证算,法,法由SA,指,指定,；,；,两种,操,操作,模,模式,：,：传,输,输模,式,式和,隧,隧道,模,模式,。,。,11/5/2022,62,ESP操,作,作模,式,式,目录封装,安,安全,载,载荷(ESP),传输,模,模式,隧道,模,模式,11/5/2022,63,传输,模,模式,目录封装,安,安全,载,载荷(ESP)ESP操,作,作模,式,式,传输,模,模式,用,用于,两,两台,主,主机,之,之间,实,实现,端,端-,端,端的,安,安全,。它,所,所保,护,护的IP,数,数据,报,报的,通,通信,终,终点,必,必须,是,是IPSec,终,终点,。,。,ESP头,被,被插,在,在IP数,据,据报,中,中，,紧,紧跟,在,在IP头,之,之后,和,和需,要,要保,护,护的,上,上层,协,协议,数,数据,之,之前,，,，对IP,数,数据,报,报中,的,的载,荷,荷进,行,行保,护,护（,加,加密,、,、认,证,证）,。,。,3,之,之1,11/5/2022,64,传输,模,模式,目录封装,安,安全,载,载荷(ESP)ESP操,作,作模,式,式,原始IP,数,数据,报,报,应用ESP后,的,的IP数,据,据报,3,之,之2,11/5/2022,65,传输模式,的,的加密,目录封装安全,载,载荷 (ESP)ESP操,作,作模式,3 之3,11/5/2022,66,隧道模式,目录封装安全,载,载荷 (ESP)ESP操,作,作模式,隧道模式,用,用于主机-路由器,或,或路由器-路由器,之,之间的点-点通信,，,，,保护整个IP数据,报,报。,隧道模式,先,先将整个IP数据,报,报（其IP头称为,内,内部IP,头,头）进行,封,封装，然,后,后增加一,个,个IP头,（,（称为外,部,部IP头,）,），并在,外,外部与内,部,部IP头,之,之间插入ESP头,。,。该模式,的,的通信终,点,点由受保,护,护的内部IP头指,定,定，而IPSec,终,终点则由,外,外部IP,头,头指定，,如,如果其终,点,点是IPSec网,关,关，则该,网,网关会还,原,原出内部IP数据,报,报，再转,发,发到最终,目,目的地。,3 之 1,11/5/2022,67,隧道模式,目录封装安全载,荷,荷 (ESP)ESP操作,模,模式,原始IP数,据,据报,应用ESP,后,后的IP数,据,据报,3 之 2,11/5/2022,68,传输模式的,加,加密,目录封装安全载,荷,荷 (ESP)ESP操作,模,模式,3 之 3,11/5/2022,69,ESP头格,式,式,目录封装安全载,荷,荷 (ESP),ESP头部,ESP尾部,ESP验证,数,数据,11/5/2022,70,ESP输出-输入处理,流,流程,11/5/2022,71,Internet,密钥交换协,议,议,(IKE),目录,概述,ISAKMP协议,IKE协议,11/5/2022,72,概,述,述,目,录,录IKE,IPSec,使,使,用,用,共,共,享,享,密,密,钥,钥,来,来,执,执,行,行,认,认,证,证,和,和,机,机,密,密,性,性,保,保,障,障,任,任,务,务,，,，,为,为,数,数,据,据,传,传,输,输,提,提,供,供,安,安,全,全,服,服,务,务,。,。,利,利,用,用Internet,密,密,钥,钥,交,交,换,换,协,协,议,议,（,（IKE,）,）,可,可,以,以,动,动,态,态,地,地,验,验,证,证IPSec,参,参,与,与,各,各,方,方,的,的,身,身,份,份,、,、,协,协,商,商,安,安,全,全,服,服,务,务,以,以,及,及,生,生,成,成,共,共,享,享,密,密,钥,钥,等,等,，,，,也,也,即,即,建,建,立,立,“,“,安,安,全,全,关,关,联,联,”,”,（,（SA,）,）,关,关,系,系,。,。,整,个,个IKE,协,协,议,议,规,规,范,范,主,主,要,要,由,由3,个,个,文,文,档,档,定,定,义,义,：,：,RFC2407,（IPSecDOI,）,）,、,、,RFC2408,（ISAKMP,）,）,和,和,RFC2409,（IKE,）,）,。,。,11/5/2022,73,ISAKMP,协,协,议,议,目,录,录IKE,概,述,述,报,文,文,格,格,式,式,协,商,商,阶,阶,段,段,交,换,换,类,类,型,型,11/5/2022,74,概,述,述,目,录,录IKEISAKMP,协,协,议,议,Internet安,全,全关联,密,密钥管,理,理协议,（,（ISAKMP）定,义,义了协,商,商、建,立,立、修,改,改和删,除,除SA,的,的过程,和,和格式,。,。,ISAKMP,只,只是为SA的,属,属性和,协,协商、,修,修改、,删,删除SA的方,法,法提供,了,了一个,通,通用的,框,框架，,并,并没有,定,定义具,体,体的SA格式,。,。,ISAKMP,没,没有定,义,义任何,密,密钥交,换,换协议,的,的细节,，,，也没,有,有定义,任,任何具,体,体的加,密,密算法,、,、密钥,生,生成技,术,术或认,证,证机制,。,。,这个通,用,用的框,架,架是与,密,密钥交,换,换独立,的,的，可,以,以被不,同,同的密,钥,钥交换,协,协议使,用,用。,11/5/2022,75,ISAKMP,报文格,式,式,目录IKEISAKMP,协,协议,ISAKMP,报,报文可,通,通过TCP或UDP,传,传输，,端,端口为500，一,般,般情况,下,下常用UDP,协,协议。,ISAKMP,报,报文格,式,式为：,ISAKMP,报,报头,+,一个或,多,多个有,效,效载荷,11/5/2022,76,ISAKMP,报头格,式,式,目录IKEISAKMP,协,协议ISAKMP,报,报文格,式,式,4 之1,11/5/2022,77,解,释,释,发起方Cookie,64bit，,用,用于帮,助,助通信,双,双方验,证,证一个ISAKMP,报,报文是,否,否真的,来,来自对,方,方。生,成,成的方,法,法可不,同,同，建,议,议采用MD5,、,、SHA-1,或,或其它,支,支持的Hash函数,利,利用源IP地,址,址、目,的,的IP,地,地址、UDP/TCP源,端,端口、UDP/TCP目,的,的端口,、,、生成,时,时间等,生,生成。,对,对于一,个,个SA,来,来说必,须,须保证,唯,唯一。,接收方Cookie,64bit，,作,作用同,上,上。,目录IKEISAKMP,协,协议ISAKMP,报,报文格,式,式,4 之2,11/5/2022,78,解,释,释,下一个,载,载荷,8bit，表,示,示紧跟,在,在ISAKMP报文,头,头部之,后,后的第,一,一个载,荷,荷的类,型,型。目,前,前已经,定,定义了13种,载,载荷。,主版,本,本,4bit,，,，表,示,示ISAKMP协,议,议的,主,主版,本,本号,。,。,次版,本,本,4bit,，,，表,示,示ISAKMP协,议,议的,次,次版,本,本号,。,。,交换,类,类型,8bit,，,，表,示,示该,报,报文,所,所属,的,的交,换,换类,型,型。,目,目前,定,定义,了,了5,种,种交,换,换类,型,型。,目录IKEISAKMP,协,协议ISAKMP,报,报文,格,格式,4,之,之3,11/5/2022,79,解,释,释,标志,8bit,，,，目,前,前只,有,有后3bit,有,有用,：,：bit0,为,为加,密,密位,，,，bit1为,提,提交,位,位，bit2,为,为验,证,证位,。,。,报文ID,32bit，,包,包含,的,的是,由,由第,二,二阶,段,段协,商,商的,发,发起,方,方生,成,成的,随,随机,值,值，,这,这个,唯,唯一,的,的报,文,文标,识,识可,以,以唯,一,一确,定,定第,二,二阶,段,段的,协,协议,状,状态,。,。,报文,长,长度,32bit，,以,以字,节,节为,单,单位,表,表示,了,了整,个,个ISAKMP报,文,文的,总,总长,度,度。,目录IKEISAKMP,协,协议ISAKMP,报,报文,格,格式,4,之,之4,11/5/2022,80,ISAKMP,载荷头部,不论何种,载,载荷，都,有,有一个相,同,同格式的,载,载荷头部,。,。,目录IKEISAKMP协议ISAKMP报文,格,格式,2 之1,11/5/2022,81,解释,下一个载,荷,荷,8bit,，,，表示紧,跟,跟在本载,荷,荷之后的,下,下一个载,荷,荷的类型,。,。这样，,不,不同的载,荷,荷可以像,链,链条一样,链,链接起来,，,，最后一,个,个载荷的,本,本字段为0。,保留,8bit,，,，全0。,载荷长度,16bit，以字,节,节为单位,表,表示的载,荷,荷长度（,包,包括载荷,头,头部）。,目录IKEISAKMP协议ISAKMP报文,格,格式,2 之2,11/5/2022,82,ISAKMP,协商阶段,目录IKEISAKMP协议,协商过程,分,分为两个,阶,阶段：,阶段一,两个实体,协,协商在它,们,们之间如,何,何保护之,后,后的传输,，,，并建立,起,起一个主,秘,秘密，后,续,续使用的,任,任何秘密,都,都将根据,主,主秘密产,生,生。本阶,段,段的目的,是,是在通信,实,实体之间,建,建立一个,已,已经通过,身,身份验证,和,和安全保,护,护的通道,。,。,阶段二,利用第一,阶,阶段建立,的,的安全通,道,道，为具,体,体的安全,协,协议建立,安,安全关联,，,，例如：IPSec SA,。,。,11/5/2022,83,ISAKMP,交换类,型,型,目录IKEISAKMP,协,协议,交换类,型,型定义,的,的是在,通,通信双,方,方所传,送,送的载,荷,荷的类,型,型和顺,序,序，例,如,如：一,方,方先发,送,送什么,载,载荷？,另,另一方,应,应如何,应,应答等,。,。,ISAKMP,定,定义了5种交,换,换类型,：,：,基本交,换,换(BaseExchange),身份保,护,护交换(IdentityProtectionExchange),纯认证,交,交换(AuthenticationOnly Exchange),积极交,换,换(AggressiveExchange),信息交,换,换(InformationalExchange),11/5/2022,84,概,述,述,目录IKE,Internet密,钥,钥交换,协,协议（IKE,）,）是一,个,个混合,协,协议，,使,使用到,三,三个不,同,同协议,的,的相关,部,部分：ISAKMP,的,的基础,、,、Oakley的模,式,式和SKEME的共,享,享和密,钥,钥更新,技,技术。,IKE,与,与ISAKMP不同,之,之处在,于,于：IKE实,际,际定义,了,了一个,密,密钥交,换,换的过,程,程，而ISAKMP,仅,仅仅提,供,供了一,个,个可由,任,任意密,钥,钥交换,协,协议使,用,用的通,用,用密钥,交,交换框,架,架。,4 之1,11/5/2022,85,两阶段协商,目录IKE,阶段一,ISAKMP通信双方,建,建立一个ISAKMPSA，即,用,用于保护双,方,方后面的协,商,商通信的一,个,个协定。,阶段二,用于为其它,安,安全服务，,如,如为AH和ESP建立SA。,4 之 2,11/5/2022,86,身份认证方,式,式,目录IKE,IKE提供,四,四种身份认,证,证方式：,Authenticated With Signatures,Authenticated With PublicKeyEncryption,Authenticated With Revised Public Key Encryption,Authenticated With aPre-Shared Key,4 之 3,11/5/2022,87,交换类型,目录IKE,IKE定义,了,了四种交换,类,类型：,MainMode,AggressiveMode,QuickMode,New GroupMode,4 之 4,11/5/2022,88,IPSec,的实现,目录,一些网络设,备,备厂商,例如：CISCO等,各种操作系,统,统,例如Linux、各种UNIX版,本,本,IPv6实,现,现,一些VPN,软,软件包,3 之 1,11/5/2022,89,Windows2000/XP,下的,IPSec,目录,资料, 之2,11/5/2022,90,一些实,话,话,目录,IPSec已,经,经发展,成,成为Internet标准,IPSec太,复,复杂,协议复,杂,杂性，,导,导致很,难,难达到,真,真正的,安,安全性,管理和,配,配置复,杂,杂，使,得,得安全,性,性下降,实现上,的,的兼容,性,性,攻击：DoS,，,，网络,层,层之下,的,的协议,、,、之上,的,的协议,的,的弱点,还在进,一,一步完,善,善,3 之3,11/5/2022,91,9,、静夜四无,邻,邻，荒居旧,业,业贫。11月-2211月-22,Saturday,November 5, 2022,10,、雨中黄,叶,叶树，灯,下,下白头人,。,。12:02:3312:02:3312:02,11/5/2022 12:02:33 PM,11,、以我,独,独沈久,，,，愧君,相,相见频,。,。11月-2212:02:3312:02,Nov-2205-Nov-22,12,、故人江,海,海别，几,度,度隔山川,。,。12:02:3312:02:3312:02,Saturday, November 5, 2022,13,、乍见翻疑,梦,梦，相悲各,问,问年。11月-2211月-2212:02:3312:02:33,November 5, 2022,14,、他,乡,乡生,白,白发,，,，旧,国,国见,青,青山,。,。05,十,十,一,一月202212:02:33,下,下,午,午12:02:3311,月,月-22,15,、,比,比,不,不,了,了,得,得,就,就,不,不,比,比,，,，,得,得,不,不,到,到,的,的,就,就,不,不,要,要,。,。,。,。十,一,一,月,月2212:02,下,下,午,午11,月,月-2212:02,November5,2022,16,、行动出,成,成果，工,作,作出财富,。,。2022/11/5 12:02:3312:02:33,05 November2022,17,、做前,，,，能够,环,环视四,周,周；做,时,时，你,只,只能或,者,者最好,沿,沿着以,脚,脚为起,点,点的射,线,线向前,。,。12:02:33,下,下午12:02,下,下午12:02:3311月-22,9,、没有失败,，,，只有暂时,停,停止成功！,。,。11月-2211月-22,Saturday,November 5, 2022,10,、很多事,情,情努力了,未,未必有结,果,果，但是,不,不努力却,什,什么改变,也,也没有。,。,。12:02:3312:02:3312:02,11/5/2022 12:02:33 PM,11,、,成,成,功,功,就,就,是,是,日,日,复,复,一,一,日,日,那,那,一,一,点,点,点,点,小,小,小,小,努,努,力,力,的,的,积,积,累,累,。,。,。,。11,月,月-2212:02:3312:02,Nov-2205-Nov-22,12,、,世,世,间,间,成,成,事,事,，,，,不,不,求,求,其,其,绝,绝,对,对,圆,圆,满,满,，,，,留,留,一,一,份,份,不,不,足,足,，,，,可,可,得,得,无,无,限,限,完,完,美,美,。,。,。,。12:02:3312:02:3312:02,Saturday,November5,2022,13,、不,知,知香,积,积寺,，,，数,里,里入,云,云峰,。,。11,月,月-2211,月,月-2212:02:3312:02:33,November5,2022,14,、意志坚,强,强的人能,把,把世界放,在,在手中像,泥,泥块一样,任,任意揉捏,。,。05 十,一,一月 202212:02:33,下,下午12:02:3311月-22,15,、,楚,楚,塞,塞,三,三,湘,湘,接,接,，,，,荆,荆,门,门,九,九,派,派,通,通,。,。,。,。十,一,一,月,月2212:02,下,下,午,午11,月,月-2212:02,November5,2022,16,、少年十五,二,二十时，步,行,行夺得胡马,骑,骑。2022/11/512:02:3312:02:33,05 November 2022,17,、空,山,山新,雨,雨后,，,，天,气,气晚,来,来秋,。,。12:02:33,下,下,午,午12:02,下,下午12:02:3311,月,月-22,9,、,杨,杨,柳,柳,散,散,和,和,风,风,，,，,青,青,山,山,澹,澹,吾,吾,虑,虑,。,。,。,。11,月,月-2211,月,月-22,Saturday,November5,2022,10,、阅读,一,一切好,书,书如同,和,和过去,最,最杰出,的,的人谈,话,话。12:02:3312:02:3312:02,11/5/202212:02:33PM,11,、越是没有,本,本领的就越,加,加自命不凡,。,。11月-2212:02:3312:02,Nov-2205-Nov-22,12,、越是无,能,能的人，,越,越喜欢挑,剔,剔别人的,错,错儿。12:02:3312:02:3312:02,Saturday, November 5, 2022,13,、,知,知,人,人,者,者,智,智,，,，,自,自,知,

展开阅读全文

计算机网络安全概述(PPT 91页)

最新文档