信息安全概论第16讲.ppt

1、信息安全概论,第16讲 2008年x月y日,6.2 IPSec,简介 IPSec（IP Security）工作在TCP/IP协议栈的网络层。 为应用程序提供共同的安全服务和密钥管理。 它将密码技术应用在网络层，提供发送、接收端的身份识别、数据完整性、访问控制、以及机密性等安全服务。 IPSec是IPv6的标准协议子集，但也可在IPv4上实施。,特点 1、对IP层的所有信息进行过滤处理工作； 2、有比较好的兼容性，比高层的安全协议更灵活，比底层协议更能够适应通信介质的多样性; 3、透明性好，IP层以上的所有应用都不需要经过修改，即可获得安全性的保障，同时终端用户不需要了解相关安全机制就可使用；

2、4、可以轻松实现VPN，可以保护、确认路由信息，使路由器不会受欺骗而阻断通信等。,6.2.1. IPSec体系结构,IPSec提供三种不同的形式来保护IP网络的数据： 原发方鉴别 数据完整 机密性 IPSec通过三个基本的协议来实现上述三种保护 鉴别报头（AH）协议 载荷安全封装（ESP）协议 密钥管理与交换协议（IKE） 鉴别报头协议和载荷安全封装协议可以通过分开或组合使用来达到所希望的保护等级。此外还涉及鉴别算法、加密算法和安全关联SA等，我们在后面的部分将对这些关键组件进行详细描述。它们之间的关系如图6.2所示：,图6.2 IPsec协议文档关系图,6.2.2 IPSec提供的安全服务,

3、表6.1IPSec提供的服务,6.2.3 安全关联,安全关联的参数包括： （1）序列号计数器 （2）序列号计数器溢出标志 （3）反重放窗口 （4）AH信息 （5）ESP信息 （6）安全关联的生存期 （7）IPSec协议模式 （8）路径最大传输单元。,安全关联（Security Association，SA）是安全策略（Security Policy）一种具体实现，它指定了对IP数据报提供何种保护，并以何种方式实施保护。它是发送方和接收方之间的一个单向逻辑连接，决定保护什么、如何保护以及谁来保护通信数据。如果需要双向的安全服务，那就要建立起两条（或更多条）安全连接，安全关联通过指定AH或ESP协

4、议来实现。,6.2.4 封装安全载荷,封装安全载荷（Encapsulating Security Payload，ESP）协议利用加密机制为通过不可信网络传输的IP数据提供机密性服务，同时也可以提供鉴别服务。 加密算法：DES、三重DES、RC5、IDEA，CAST等算法。 鉴别算法：NULL、MD5和SHA-1算法。 通过这些加密和鉴别机制为IP数据报提供原发方鉴别、数据完整性、反重放和机密性安全服务，可在传输模式和隧道模式下使用（见后文）。,ESP,安全参数索引SPI（32位）：标识一个安全关联（SA）。 序列号（32位）：增量计数器的值，用来提供反重放与完整性服务。 载荷数据（长度可变）

5、：通过加密进行保护的数据。 填充（0255Byte）：主要用来实现某些加密算法对明文分组字节数的要求。 填充长度（8位）：表示填充字段的字节数。,下一报头（8位）：通过标识有效载荷的第一个报头来说明有效载荷数据字段中包含的数据类型。 鉴别数据（可变长）：一个可变长字段（必须是32位字的整数倍），用来填入对ESP包中除鉴别数据字段外的数据进行完整性校验时的校验值。该字段的默认长度是96比特。,6.2.5鉴别头协议,鉴别报头（Authentication Header，AH）可以保证IP分组的可靠性和完整性。其原理是将IP分组头、上层数据和公共密钥通过鉴别算法计算出AH报头鉴别数据，将AH报头数据

6、加入IP分组，接收方将收到的IP分组运行同样的计算，并与接收到的AH报头比较进行鉴别。 数据完整性可以对传输过程中的非授权修改进行检测；鉴别服务可使末端系统或网络设备鉴别用户或通信数据，根据需要过滤通信量，验证服务还可防止地址欺骗攻击及重放攻击。 鉴别算法：MD5和SHA-1算法。 其结构如图所示：,AH,下一报头（8位）：表示紧跟验证头的下一个头的类型。 载荷长度（8位）：以32位字节为单位的鉴别头长度再减去2，其缺省值为4。 保留（16位）：留作将来使用。 安全参数索引SPI（32位）：用来标识一个安全关联。 序列号（32位）：增量计数器的值，与ESP中的功能相同。 鉴别数据（可变长）：一

7、个可变长字段（必须是32位字的整数倍），用来填入对AH包中除鉴别数据字段外的数据进行完整性校验时的校验值。该字段的默认长度是96比特。,6.2.6 IPSec的工作模式,IPSec的工作模式分为传输模式和隧道模式，AH和ESP均支持这两种模式。如图所示：,（1）传输模式主要为上层协议提供保护，用于两台主机之间，实现端到端的安全。 （2）隧道模式的安全连接实质上是一种应用在IP隧道上的安全连接。隧道模式对整个原始数据报提供了所需的服务，常用于主机与路由器或两台路由器之间。 IPSec支持隧道的嵌套，即对已隧道化的数据再进行隧道化处理。,解释域与密钥管理,6.2.7 解释域 它是Internet统

8、一协议参数分配机构（IANA）中数字分配机制的一部分，它将所有IPSec协议捆绑在一起，包括如被认可的加密、鉴别算法标识和密钥生存周期等IPSec安全参数。 6.2.8 密钥管理 IPSec的密钥管理包括密钥的确定和分配，分为手工和自动两种方式。IPSec默认的自动密钥管理协议是Internet密钥交换（Internet Key Exchange，IKE），它规定了对IPSec对等实体自动验证、协商安全服务和产生共享密钥的标准。,6.3 防火墙 6.3.1 概述,6.3.1 概述,不同的网段、不同的局域网之间，就好像不同的省市、不同的国家一样有一个边界。通过在边界设立边境检查站，并要求所有的人

9、员只能从检查站出入边境，就可以检查、控制、记录、管理出入边界的人员，知道有哪些人、携带什么东西进出边境，还可以根据这些人是否有合法的出入境证件、携带的东西是否合法等决定是否允许其出入边境。 防火墙就是计算机网络中的边境检查站，保护内部网络： 所有进出内部网络的数据流都通过防火墙，并根据安全策略进行检查，只有符合安全策略、被授权的数据流才可以通过，由此保护内部网络的安全。 是一种按照预先制定的安全策略来进行访问控制的软件或设备，主要是用来阻止外部网络对内部网络的侵扰。 是一种逻辑隔离部件，而不是物理隔离部件。,1. 防火墙的防护机制与局限,（1）所有进出内部网络的通信，都必须经过防火墙 （2）所

10、有通过防火墙的通信，都必须经过安全策略的过滤 （3）防火墙本身是安全可靠的 内部网络的相互访问，因没有穿越防火墙，所以防火墙是无法进行控制的。,2. 防火墙的形态,（1）纯软件 防火墙是运行在通用计算机上的纯软件，简单易用，配置灵活，但因底层操作系统是一个通用型的系统，其数据处理能力、安全性能水平都比较低。 （2）纯硬件 为了解决纯软件防火墙的不足，设计人员将防火墙软件固化在专门设计的硬件上，数据处理能力与安全性能水平都得到了很大的提高。但因来自网络的威胁不断变化，防火墙的安全策略、配置等也需要经常进行调整，而纯硬件防火墙的调整非常困难。 （3）软硬件结合 这种防火墙结合了上述两种防火墙的优点

11、，针对防火墙的特殊要求，对硬件、操作系统进行裁减，设计、开发出了防火墙专用的硬件、安全操作系统平台，然后在此平台上运行防火墙软件。,3. 防火墙的功能,（1）访问控制 访问控制是防火墙最基本、也是最重要的功能。如防火墙通过身份识别，辨别请求访问内部网络者的身份，然后根据该用户所获得的授权，控制其访问授权范围的内容，保护网络的内部信息。 防火墙还可以对所提供的网络服务进行控制，通过限制一些不安全的服务，减少威胁，提高网络安全的保护程度。 （2）内容控制 防火墙可以对穿越防火墙的数据内容进行控制，阻止不安全的数据内容进入内部网络，影响内部网络的安全。 病毒、木马等经常隐藏在可执行文件或Active

12、X控件中。通过限制网络内部人员从外部网络下载这些文件或控件，就可以减少威胁。,3. 防火墙的功能,（3）安全日志 因为所有进出内部网络的通信，都必须经过防火墙，所以防火墙可以完整地记录网络通信情况，通过分析、审计日志文件，可以发现潜在的威胁，并及时调整安全策略进行防范；还可以在发生网络破坏事件时，发现破坏者。 （4）集中管理 在一个网络的安全防护体系中，会有多台防火墙分布式部署，便于进行集中管理，实施统一的安全策略，避免出现安全漏洞。 （5）其它附加功能 VPN（Virtual Private Network，虚拟专用网） 因防火墙所处的位置是网络的出入口，它是支持VPN连接的理想接点。目前的许多防火墙都提供VPN连接功能。 NAT（Network Address Translation，网络地址转换） NAT是将内部网络的IP地址，转换为外部网络的IP地址的技术。 NAT相当于网络级