第2章 信息安全體系結(jié)構(gòu)_第1頁
第2章 信息安全體系結(jié)構(gòu)_第2頁
第2章 信息安全體系結(jié)構(gòu)_第3頁
第2章 信息安全體系結(jié)構(gòu)_第4頁
第2章 信息安全體系結(jié)構(gòu)_第5頁
已閱讀5頁,還剩84頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

第2章信息平安體系結(jié)構(gòu)主講:蔣朝iangchaohui@126精選ppt第2章信息平安體系結(jié)構(gòu)建立平安體系結(jié)構(gòu)的目的,那么是從管理和技術(shù)上保證平安策略得以完整準(zhǔn)確地實現(xiàn),平安需求全面準(zhǔn)確地得以滿足,包括確定必需的平安效勞、平安機制和技術(shù)管理,以及它們在系統(tǒng)上的合理部署和關(guān)系配置。本章在詳細(xì)介紹開放系統(tǒng)〔OSI〕互聯(lián)和因特網(wǎng)〔TCP/IP〕兩大平安體系結(jié)構(gòu)所提供的平安效勞、平安機制及平安效勞與平安機制之間的關(guān)系等的根底上,闡述了基于技術(shù)體系、組織機構(gòu)體系和管理體系的信息系統(tǒng)的平安體系框架。精選ppt第2章信息平安體系結(jié)構(gòu)2.2因特網(wǎng)平安體系結(jié)構(gòu)2.1開放系統(tǒng)互聯(lián)平安體系結(jié)構(gòu)2.3信息系統(tǒng)平安體系框架精選ppt2.1開放系統(tǒng)互聯(lián)平安體系結(jié)構(gòu)2.1.1OSI平安體系概述2.1.2OSI的平安效勞2.1.3OSI的平安機制2.1.4OSI的平安效勞與平安機制之間的關(guān)系2.1.5在OSI層中的平安效勞配置2.1.6OSI平安體系的平安管理精選ppt2.1.1OSI平安體系概述ISO于1988年發(fā)布了OSI平安體系結(jié)構(gòu)標(biāo)準(zhǔn)——ISO7498.2,作為OSI根本參考模型的新補充。1990年,國際電信聯(lián)盟〔ITU〕決定采用ISO7498.2作為它的X.800推薦標(biāo)準(zhǔn)。我國依據(jù)ISO/IEC7498.2:1989制定了?GB/9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連根本參考模型第2局部:平安體系結(jié)構(gòu)?標(biāo)準(zhǔn)。精選ppt2.1.1OSI平安體系概述〔續(xù)〕OSI平安體系結(jié)構(gòu)標(biāo)準(zhǔn)定義了5大類平安效勞,提供這些效勞的8類平安機制以及相應(yīng)的開放系統(tǒng)互連的平安管理,并可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中。精選ppt2.1.1OSI平安體系概述〔續(xù)〕圖2-1ISO7498.2的三維體系結(jié)構(gòu)圖精選ppt2.1.2OSI的平安效勞ISO7498.2定義的如下5大類平安效勞也被稱作平安防護措施。認(rèn)證〔Authentication〕效勞:提供對通信中對等實體和數(shù)據(jù)來源的認(rèn)證。訪問控制〔AccessControl〕效勞:對資源提供保護,以對抗其非授權(quán)使用和操縱。數(shù)據(jù)保密性〔DataConfidentiality〕效勞:保護信息不被泄露或暴露給未授權(quán)的實體。數(shù)據(jù)完整性〔Dataintegrity〕效勞:對數(shù)據(jù)提供保護,以對抗未授權(quán)的改變、刪除或替代??狗裾J(rèn)性〔Non-reputation〕效勞:防止參與某次通信交換的任何一方事后否認(rèn)本次通信或通信的內(nèi)容。精選ppt2.1.2OSI的平安效勞〔續(xù)〕精選ppt2.1.2OSI的平安效勞〔續(xù)〕表2-3對付典型威脅所采用的平安效勞攻擊類型安全服務(wù)假冒認(rèn)證服務(wù)非授權(quán)侵犯訪問控制服務(wù)非授權(quán)泄露數(shù)據(jù)保密性服務(wù)篡改數(shù)據(jù)完整性服務(wù)否認(rèn)抗否認(rèn)服務(wù)拒絕認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)完整性服務(wù)等精選ppt

精選ppt2.1.3OSI的平安機制為了實現(xiàn)平安體系結(jié)構(gòu)中5大類平安效勞,ISO7498.2制定了8種根本平安機制。加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制認(rèn)證交換機制通信業(yè)務(wù)填充機制路由控制機制公證機制精選ppt2.1.3OSI的平安機制〔續(xù)〕加密機制加密機制〔EnciphermentMechanisms〕是各種平安效勞和其他許多平安機制的根底。它既可以為數(shù)據(jù)提供保密性,也能為通信業(yè)務(wù)流信息提供保密性,并且還能成為其他平安效勞和平安機制的一局部,起支持和補充的作用。加密機制涉及加密層的選取、加密算法的選取、密鑰管理問題。精選ppt2.1.3OSI的平安機制〔續(xù)〕數(shù)字簽名機制數(shù)字簽名〔DigitalSignatureMechanisms〕是對一段附加數(shù)據(jù)或數(shù)據(jù)單元的密碼變換的結(jié)果,主要用于證實消息的真實來源,也是一個消息〔例如檢驗或商業(yè)文件〕的發(fā)送者和接收者間爭端的根本解決方法。數(shù)字簽名機制被用來提供如抗否認(rèn)與認(rèn)證等平安保護。數(shù)字簽名機制要求使用非對稱密碼算法。數(shù)字簽名機制需確定兩個過程:對數(shù)據(jù)單元簽名和驗證簽過名的數(shù)據(jù)單元。精選ppt2.1.3OSI的平安機制〔續(xù)〕訪問控制機制訪問控制機制〔AccessControlMechanisms〕被用來實施對資源訪問或操作加以限制的策略。這種策略是將對資源的訪問只限于那些被授權(quán)的用戶,而授權(quán)就是指資源的所有者或控制者允許其他人訪問這種資源。訪問控制還可以直接支持?jǐn)?shù)據(jù)保密性、數(shù)據(jù)完整性、可用性以及合法使用的平安目標(biāo)。它對數(shù)據(jù)保密性、數(shù)據(jù)完整性和合法使用所起的作用是十清楚顯的。精選ppt2.1.3OSI的平安機制〔續(xù)〕數(shù)據(jù)完整性機制數(shù)據(jù)完整性機制〔DataIntegrityMechanisms〕的目的是保護數(shù)據(jù),以防止未授權(quán)的數(shù)據(jù)亂序、喪失、重放、插入和篡改。精選ppt2.1.3OSI的平安機制〔續(xù)〕認(rèn)證交換機制〔AuthenticationMechanisms〕可用于認(rèn)證交換的一些技術(shù):使用認(rèn)證信息。例如口令。由發(fā)送實體提供而由接收實體驗證。密碼技術(shù)。使用該實體的特征或占有物。時間標(biāo)記與同步時鐘。兩方握手和三方握手〔分別對應(yīng)于單向認(rèn)證與相互認(rèn)證〕。由數(shù)字簽名和公證機制實現(xiàn)的抗否認(rèn)效勞。精選ppt2.1.3OSI的平安機制〔續(xù)〕通信業(yè)務(wù)填充機制〔TrafficPaddingMechanisms〕通信業(yè)務(wù)填充機制是提供通信業(yè)務(wù)流保密性的一個根本機制。它包含生成偽造的通信實例、偽造的數(shù)據(jù)單元和/或偽造的數(shù)據(jù)單元中的數(shù)據(jù)。偽造通信業(yè)務(wù)和將協(xié)議數(shù)據(jù)單元填充到一個固定的長度,能夠為防止通信業(yè)務(wù)分析提供有限的保護。為了提供成功的保護,偽造通信業(yè)務(wù)級別必須接近實際通信業(yè)務(wù)的最高預(yù)期等級。此外,協(xié)議數(shù)據(jù)單元的內(nèi)容必須加密或隱藏起來,使得虛假業(yè)務(wù)不會被識別,而與真實業(yè)務(wù)區(qū)分開。通信業(yè)務(wù)填充機制能用來提供各種不同級別的保護,對抗通信業(yè)務(wù)分析。這種機制只有在通信業(yè)務(wù)填充受到保密效勞保護時才是有效的。精選ppt2.1.3OSI的平安機制〔續(xù)〕路由控制機制路由控制機制〔RoutingControlMechanisms〕使得路由能被動態(tài)地或預(yù)定地選取,以便只使用物理上平安的子網(wǎng)絡(luò)、中繼站或鏈路來進行通信,保證敏感數(shù)據(jù)只在具有適當(dāng)保護級別的路由上傳輸。精選ppt2.1.3OSI的平安機制〔續(xù)〕公證機制〔NotarizationMechanisms〕公證機制有關(guān)在兩個或多個實體之間通信的數(shù)據(jù)的性質(zhì),如它的完整性、數(shù)據(jù)源、時間和目的地等,能夠借助公證機制而得到確保。這種保證是由第三方公證人提供的。公證人為通信實體所信任,并掌握必要信息以一種可證實方式提供所需的保證。每個通信事例可使用數(shù)字簽名、加密和完整性機制以適應(yīng)公證人提供的那種效勞。當(dāng)這種公證機制被用到時,數(shù)據(jù)便在參與通信的實體之間經(jīng)由受保護的通信實例和公證方進行通信。精選ppt2.1.4OSI的平安效勞與平安機制之間的關(guān)系對于每一種平安效勞可以由一種機制單獨提供,也可由幾種機制聯(lián)合提供。OSI所能提供的5大類平安效勞與8種平安機制的對應(yīng)關(guān)系如表2-5所示。精選ppt

精選ppt2.1.5在OSI層中的平安效勞配置各項平安效勞在OSI七層中的適當(dāng)配置位置,參見表2-6。精選ppt精選pptOSI各層提供的主要平安效勞物理層:提供連接機密性和〔或〕業(yè)務(wù)流機密性效勞〔這一層沒有無連接效勞〕。數(shù)據(jù)鏈路層:提供連接機密性和無連接機密性效勞〔物理層以上不能提供完全的業(yè)務(wù)流機密性〕。網(wǎng)絡(luò)層:可以在一定程度上提供認(rèn)證、訪問控制、機密性〔除了選擇字段機密性〕和完整性〔除了可恢復(fù)的連接完整性、選擇字段的連接完整性〕效勞。精選pptOSI各層提供的主要平安效勞運輸層:可以提供認(rèn)證、訪問控制、機密性〔除了選擇字段機密性、業(yè)務(wù)流機密性〕和完整性〔除了選擇字段的連接完整性〕效勞。會話層:不提供平安效勞。表示層:本身不提供完全效勞。但其提供的設(shè)施可支持應(yīng)用層向應(yīng)用程序提供平安效勞。所以,規(guī)定表示層的設(shè)施支持根本的數(shù)據(jù)機密性效勞,支持認(rèn)證、完整性和抗否認(rèn)效勞。應(yīng)用層:必須提供所有的平安效勞,它是惟一能提供選擇字段效勞和抗否認(rèn)效勞的一層。精選ppt2.1.6OSI平安體系的平安管理OSI平安管理涉及到OSI平安效勞的管理與平安機制的管理。這樣的管理要求給這些效勞與機制分配管理信息,并收集與這些效勞和機制的操作有關(guān)的信息。例如,密鑰的分配、設(shè)置行政管理設(shè)定的平安選擇參數(shù)、報告正常的與異常的平安事件〔審計跟蹤〕,以及效勞的激活與停止等等。精選ppt2.1.6OSI平安體系的平安管理〔續(xù)〕平安管理信息庫〔SMIB〕是一個概念上的集存地,存儲開放系統(tǒng)所需的與平安有關(guān)的全部信息。每個〔終〕端系統(tǒng)必須包含必需的本地信息,使它能執(zhí)行某個適當(dāng)?shù)钠桨膊呗?。SMIB對于在端系統(tǒng)的一個〔邏輯的或物理的〕組中執(zhí)行一種協(xié)調(diào)的平安策略是必不可少的,在這一點上,SMIB是一個分布式信息庫。在實際中,SMIB的某些局部可以與MIB〔管理信息庫〕結(jié)合成一體,也可以分開。OSI平安管理活動有3類:系統(tǒng)平安管理、平安效勞管理和平安機制管理。此外,還必須考慮到OSI管理本身的平安。精選ppt2.2因特網(wǎng)平安體系結(jié)構(gòu)TCP/IP作為因特網(wǎng)體系結(jié)構(gòu),由于其具有簡單、易于實現(xiàn)等特點,所以成為了“事實上〞的國際標(biāo)準(zhǔn)。隨著因特網(wǎng)的開展與普及,因特網(wǎng)平安變得越來越來重要。本節(jié)在概述了TCP/IP協(xié)議平安的根底上,將介紹因特網(wǎng)〔Internet〕平安體系結(jié)構(gòu)——IPSec,著重闡述IPSec協(xié)議中的平安驗證頭〔AH〕與封裝平安有效負(fù)載〔ESP〕機制、密鑰管理協(xié)議〔ISAKMP〕、密鑰交換協(xié)議〔IKE〕和加密與驗證算法,最后將介紹了OSI平安體系到TCP/IP平安體系的影射。精選ppt2.2因特網(wǎng)平安體系結(jié)構(gòu)2.2.1TCP/IP協(xié)議平安概述2.2.2因特網(wǎng)平安體系結(jié)構(gòu)2.2.3IPSec平安協(xié)議2.2.4IPSec密鑰管理2.2.5IPSec加密和驗證算法2.2.6OSI平安體系到TCP/IP平安體系的影射精選ppt2.2.1TCP/IP協(xié)議平安概述在Internet中存在著大量特制的協(xié)議,專門用來保障網(wǎng)絡(luò)各個層次的平安。同層次的TCP/IP層提供的平安性也不同。例如,在IP層提供IP平安協(xié)議〔IPSecurity,IPSec〕,在傳輸層上提供平安套接效勞〔SecuritySocketLayer,SSL〕等,如圖2-3所示。精選ppt2.2.1TCP/IP協(xié)議平安概述圖2-3基于TCP/IP協(xié)議的網(wǎng)絡(luò)平安體系結(jié)構(gòu)根底框架精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)針對因特網(wǎng)的平安需求,因特網(wǎng)工程任務(wù)組〔InternetEngineeringTaskForce,IETF〕于1998年11月公布了IP層平安標(biāo)準(zhǔn)IPSec〔IPSecurity〕,其目標(biāo)是為IPv4和IPv6提供具有較強的互操作能力、高質(zhì)量和基于密碼的平安,在IP層實現(xiàn)多種平安效勞,包括訪問控制、無連接完整性、數(shù)據(jù)源認(rèn)證、抗重播、機密性〔加密〕和有限的業(yè)務(wù)流機密性。雖然IPSec中的一些組件,如平安策略等,仍在研究之中,但可以預(yù)料,IPSec必將成為網(wǎng)絡(luò)平安的產(chǎn)業(yè)標(biāo)準(zhǔn)。IETFIPSec工作組為在IP層提供通信平安而制定的IPSec協(xié)議標(biāo)準(zhǔn),是針對IP層較為完整的平安體系結(jié)構(gòu)。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec協(xié)議IPSec核心文檔集包括以下內(nèi)容:Internet協(xié)議平安結(jié)構(gòu)〔RFC2401〕IP驗證頭〔AuthenticationHeader,AH〕〔RFC2402〕IP封裝平安負(fù)載ESP〔IPEncapsulatingSecurityPayload〕〔RFC2406〕Internet密鑰交換〔RFC2409〕ESPDES-CBC變換〔RFC1829〕ESP和AH中HMAC-MD5-96的采用〔RFC2403〕ESP和AH中HMAC.SHA-1-96的采用〔RFC2404〕NUULL加密算法〔NUULLEncryptionAlgorithm〕及其在IPSec中的應(yīng)用〔RFC2410〕等。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec平安體系結(jié)構(gòu)IPSec是指IETF以RFC形式公布的一組平安IP協(xié)議集,是在IP包級為IP業(yè)務(wù)提供保護的平安協(xié)議標(biāo)準(zhǔn),其根本目的就是把平安機制引入IP協(xié)議,通過使用現(xiàn)代密碼學(xué)方法支持機密性和認(rèn)證性效勞,使用戶能有選擇地使用,并得到所期望的平安效勞。IPSec將幾種平安技術(shù)結(jié)合形成一個比較完整的平安體系結(jié)構(gòu),它通過在IP協(xié)議中增加兩個基于密碼的平安機制一一驗證頭〔AH〕和封裝平安有效負(fù)載〔ESP〕來支持IP數(shù)據(jù)項的認(rèn)證、完整性和機密性。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec中有兩個重要概念:平安聯(lián)盟〔SA〕和隧道〔Tunneling〕平安聯(lián)盟〔SA〕是IPSec的一個根本的關(guān)鍵概念,SA是發(fā)送者和接收者兩個IPSec系統(tǒng)之間的一個簡單的單向邏輯連接,是與給定的一個網(wǎng)絡(luò)連接或一組連接相關(guān)的平安信息參數(shù)的集合,它為其上所攜帶的業(yè)務(wù)流提供平安保護。SA是單向的,假設(shè)要在一個對等系統(tǒng)間進行源和目的的雙向平安通信,就需要兩個SA。平安協(xié)議AH和ESP的執(zhí)行都依賴于SA。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec中有兩個重要概念:平安聯(lián)盟〔SA〕和隧道〔Tunneling〕隧道就是把一個包封裝在另一個新包里面,整個源數(shù)據(jù)包作為新包的有效負(fù)載局部,并在前面添加一個新的IP頭。這個外部頭的目的地址通常是IPSec防火墻、平安網(wǎng)關(guān)或路由器。通過隧道技術(shù)可以對外隱藏內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)細(xì)節(jié)。對IPSec而言,IP隧道的直接目標(biāo)就是對整個IP數(shù)據(jù)包提供完全的保護。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec的結(jié)構(gòu)IPSec的結(jié)構(gòu)文檔〔或根本架構(gòu)文檔〕RFC2401定義了IPSec的根本結(jié)構(gòu),所有具體的實施方案均建立在它的根底之上。它定義了IPSec提供的平安效勞,它們?nèi)绾问褂靡约霸谀睦锸褂茫瑪?shù)據(jù)包如何構(gòu)建及處理,以及IPSec處理同策略之間如何協(xié)調(diào)等。IPSec由兩大局部三類協(xié)議組成:IPSec平安協(xié)議〔AH/ESP〕和密鑰管理協(xié)議(IKE)。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec的結(jié)構(gòu)IPSec平安協(xié)議:它定義了如何通過在IP數(shù)據(jù)包中增加擴展頭和手段來保證IP包的機密性、完整性和可認(rèn)證性。IPSec平安協(xié)議包括IP驗證頭〔IPAH〕和IP封裝平安有效負(fù)載(IPESP)兩個平安協(xié)議。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec的結(jié)構(gòu)密鑰管理協(xié)議:它定義了通信實體間進行身份認(rèn)證、創(chuàng)立平安聯(lián)盟、協(xié)商加密算法以及生成共享會話密鑰的方法。Internet平安聯(lián)盟密鑰管理協(xié)議〔ISAKMP〕是它為Internet環(huán)境下平安協(xié)議使用的平安聯(lián)盟和密鑰的創(chuàng)立定義了一個標(biāo)準(zhǔn)通用構(gòu)架〔詳細(xì)內(nèi)容參見RFC2407和RFC2408〕。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec的結(jié)構(gòu)為了IPSec通信兩端能相互交互,ESP載荷中各字段的取值應(yīng)該對雙方都可理解,因此通信雙方必須保持對通信消息相同的解釋規(guī)那么,即應(yīng)持有相同的解釋域〔InterpretationofDomain,DOI〕??梢允褂萌鐖D2-4所示的IPsec的各組件間的相互關(guān)系。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕2-4IPSec各組件的關(guān)系精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec平安結(jié)構(gòu)IPSec的平安結(jié)構(gòu)包括以下4個根本局部。平安協(xié)議:AH和ESP。平安聯(lián)盟〔SA〕。密鑰交換:手工和自動〔IKE〕認(rèn)證和加密算法。精選ppt2.2.2因特網(wǎng)平安體系結(jié)構(gòu)〔續(xù)〕IPSec的功能

訪問控制無連接完整性數(shù)據(jù)起源認(rèn)證抗重放攻擊機密性精選ppt2.2.3IPSec平安協(xié)議IPSec定義了兩種新的平安機制AH和ESP,并以IP擴展頭的方式增加到IP包中,以支持IP數(shù)據(jù)項的平安性。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕AH機制AH(驗證頭或認(rèn)證頭)的功能IP驗證頭AH是為IP數(shù)據(jù)項提供強認(rèn)證的一種平安機制,它能為IP數(shù)據(jù)項提供無連接完整性、數(shù)據(jù)起源認(rèn)證和抗重放攻擊〔在IPSec中,這3項功能混在一起稱為認(rèn)證〕。數(shù)據(jù)完整性是通過消息認(rèn)證碼產(chǎn)生的校驗值〔摘要〕來保證的;數(shù)據(jù)起源認(rèn)證是通過在數(shù)據(jù)包中包含一個將要被認(rèn)證的共享秘密或密鑰〔約定的口令〕來保證的;抗重放攻擊是通過在AH中使用一個序列號來實現(xiàn)的。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕AH的格式

圖2-5AH格式精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕下一個頭〔8bit〕:標(biāo)識緊跟驗證頭的下一個頭的類型。載荷長度〔8bit〕:以32bit為單位的驗證頭的長度,再減去2。例如,缺省的驗證數(shù)據(jù)一段的長度是96bit〔3個32bit〕,加上3個32bit長的固定頭,頭部共6個32bit長,因此該字段的值為4。保存〔16bit〕:保存為今后使用。平安參數(shù)索引(32bit〕:是一個任意的32比特串,它與目的IP地址、平安協(xié)議結(jié)合在一起唯一地標(biāo)識用于數(shù)據(jù)項的平安聯(lián)盟。序列號(32bit〕:32比特?zé)o符號單調(diào)遞增計數(shù)值,用于IP數(shù)據(jù)包的重放檢查。驗證數(shù)據(jù)〔可變長〕:該字段的長度可變〔但應(yīng)為32位率的整數(shù)倍〕,包含的數(shù)據(jù)有數(shù)據(jù)包的ICV〔完整性校驗值〕或MAC〔MessageAuthenticationCode〕。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕

圖2-6隧道模式的AH實現(xiàn)精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕隧道模式的AH實施的優(yōu)點是對網(wǎng)內(nèi)部的各主機可以借助路由器的IPSec處理,透明(看不到)地得到平安效勞,子網(wǎng)內(nèi)部對以使用私有IP地址,因而無需申請公有地址資源。隧道模式的缺點是,IPSec主要集中在路由器,增加了路由器的處理負(fù)荷,容易形成通信的瓶頸,內(nèi)部的諸多平安問題〔如篡改等〕不可控。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕

圖2-7傳輸模式的AH實現(xiàn)精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕在傳輸模式中,即使內(nèi)網(wǎng)中的其他用戶作不能篡改傳輸與主機11和主21之間的數(shù)據(jù)內(nèi)容〔保證了內(nèi)網(wǎng)平安〕,分擔(dān)了IPSec處理負(fù)荷,從而防止了IPSec處理的瓶頸問題。用戶為獲得AH提供的平安效勞,必須付出內(nèi)存\處理時間等方面的代價,而由于不能使用私有IP地址,因此必須使用公其地址資源。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕IP分組有傳輸模式和隧道模式兩種AH封裝模式,分別如圖2-8和圖2-9所示。

圖2-8傳輸模式的AH封裝圖2-9隧道模式的AH封裝精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕AH機制認(rèn)證算法用于計算完整性校驗值〔ICV〕的認(rèn)證算法由SA指定,對于點到點通信,適宜的認(rèn)證算法包括基于對稱密碼算法〔如DES〕或基于單向Hash函數(shù)〔如MD5或SHA-1〕的帶密鑰的消息認(rèn)證碼〔MAC〕.RFC1828建議的認(rèn)證算法是帶密鑰的MD5,最新Internet草案建議的AH認(rèn)證算法是HMAC-MD5或HMAC-SHA。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP機制ESP(封裝平安有效負(fù)載)的功能ESP將需要保護的用戶數(shù)據(jù)進行加密后再封裝到IP包中,主要支持IP數(shù)據(jù)項的機密性。ESP也可提供認(rèn)證效勞,但與AH相比,二者的認(rèn)證范圍不同,ESP只認(rèn)證ESP頭之后的信息,認(rèn)證的范圍比AH小。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP的格式圖2-10ESP格式精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕平安參數(shù)索引〔32bit〕:包含目的地址和平安協(xié)議〔ESP〕,用于標(biāo)識這個數(shù)據(jù)所屬的平安聯(lián)盟。序列號〔32bit〕:是一個增量的計數(shù)值,用于防止重放攻擊。填充項〔0—255字節(jié)〕:額外的字節(jié)。有些加密算法要求明文長度是8的整數(shù)倍。填充長度〔8字節(jié)〕:指出要保護的數(shù)據(jù)的長度。下一個頭〔8字節(jié)〕:通過標(biāo)識載荷中的第一個頭〔如IPV6中的擴展頭,或諸如TCP之類的上層協(xié)議頭〕決定載荷數(shù)據(jù)字段中數(shù)據(jù)的類型。驗證數(shù)據(jù)〔可變〕:長度可變的字段〔應(yīng)為32bit的整數(shù)倍〕,用于填入ICV〔完整性校驗值〕。ICV的計算范圍為ESP包中除掉驗證數(shù)據(jù)字段的局部。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP機制ESP的兩種模式傳輸模式:僅適用于主機實現(xiàn),且僅為上層協(xié)議提供保護,而不包括IP頭。在傳輸模式中,ESP插在IP頭之后和一個上層協(xié)議〔如TCP、UDP和ICMP等〕之前,或任意其他已經(jīng)插入的IPSec頭之前。隧道模式:可適用于主機和平安網(wǎng)關(guān)。整個IP數(shù)據(jù)項被列裝在ESP有效負(fù)載中,并產(chǎn)生—個新IP頭附著在ESP頭之前。隧道模式的ESP保護整個內(nèi)部IP包,包括源IP頭。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕

圖2-11隧道模式的ESP實現(xiàn)

精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕隧道模式主要的優(yōu)點有:保護子網(wǎng)中的所有用戶都可以透明地享受由平安網(wǎng)關(guān)提供的平安保護;子網(wǎng)內(nèi)部可以使用私有IP地址,無需公共IP地址資源;子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)被保護。隧道模式主要的缺點有:增大了網(wǎng)關(guān)的處理負(fù)荷,容易形成通信瓶頸;對內(nèi)部的諸多平安問題不負(fù)責(zé)任。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕

圖2.12傳輸模式的ESP實現(xiàn)

精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕傳輸模式中,內(nèi)部網(wǎng)絡(luò)中的其他用戶不能理解傳輸于主機11和主機21之間的數(shù)據(jù)內(nèi)容,分擔(dān)了IPSec處理負(fù)荷,從而防止了IPSec處理的瓶頸問題。由于每一個希望實現(xiàn)傳輸模式的主機部必須安裝并實現(xiàn)ESP協(xié)議,因此不能實現(xiàn)對端用戶的透明效勞。用戶為獲得傳輸模式的ESP平安效勞,必須付出內(nèi)存、處理時間等方面的代價、并且不能使用私有IP地址,而必須使用公有地址資源,這就可能暴露子網(wǎng)內(nèi)部拓?fù)?。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕IP分組有傳輸模式和隧道模式兩種ESP封裝模式,分別如圖2-13和圖2-14所示。

圖2-13傳輸模式的ESP封裝圖2-14隧道模式的ESP封裝精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP機制算法加密算法:ESP所采用的加密算法由SA指定。為提高加密效率,ESP的設(shè)計使用對稱密碼算法。由于IP包可能會失序到達,因此每個IP包必須攜帶接收者進行解密所要求的密碼同步數(shù)據(jù)〔如初始化向量IV〕,這個數(shù)據(jù)可以在有效負(fù)載字段中明確攜帶也可以從包頭中推導(dǎo)出來。由于機密行是可選擇的,因此加密算法可以是“空〞。RFC1829中指定的ESP加密算法是DES-CBC。認(rèn)證算法:ESP中的認(rèn)證算法同AH一樣。由于認(rèn)證算法是可選的,因此算法可以是“空〞。雖然加密和認(rèn)證都可為空,但二者不能同時為空。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP機制

ESP處理:(1)輸出包處理ESP頭定位:在傳輸模式下,ESP頭插在IP頭和上一層協(xié)議頭之間;在隧道模式下,ESP頭在整個源IP數(shù)據(jù)項之前。SA查找:只有當(dāng)與此會話相關(guān)的有效的SA存在時,才進行ESP處理。包加密:把數(shù)據(jù)封裝到ESP的有效負(fù)載字段,在傳輸模式下,只封裝上層協(xié)議數(shù)據(jù);在隧道模式下,封裝整個原IP數(shù)據(jù)項。應(yīng)使用由SA指定的密鑰和加密算法對上述結(jié)果加密。精選ppt2.2.3IPSec平安協(xié)議〔續(xù)〕ESP機制ESP處理:(2)輸入包處理當(dāng)接收者收到一個IP數(shù)據(jù)項時,先根據(jù)包中的IP地址、平安協(xié)議ESP和SPI查找SA,假設(shè)沒有用于此會話的SA存在,那么接收者必須丟棄此包,并記入日志,否那么就按SA中指定的算法進行解密并重新構(gòu)造源IP數(shù)據(jù)項格式。精選ppt2.2.4IPSec密鑰管理密鑰管理協(xié)議ISAKMP密鑰管理是對密鑰材料的產(chǎn)生、注冊、認(rèn)證、分發(fā)、安裝、存儲、歸檔、撤銷、衍生和銷毀等效勞的實施和運用。目的是提供用于對稱或非對稱密碼體制中的密碼密鑰材料的處理程序。要解決的根本問題是確定密鑰材料,向直接或間接用戶保證其來源的完整性、及時性和〔秘密密鑰情況下的〕保密性。精選ppt2.2.4IPSec密鑰管理〔續(xù)〕密鑰管理協(xié)議ISAKMPISAKMP是一個建立和管理平安聯(lián)盟〔SA〕的總體框架。它定義了缺省的交換類型,通用的載荷格式、通信實體間的身份鑒別機制以及平安聯(lián)盟的管理等內(nèi)容。它不要求使用某個具體的密鑰生成方案,也不要求使用某一個具體的DOI〔即解釋域〕,但ISAKMP給出了通用的幾種密鑰生成方案,以及使用DOI的建議。典型的密鑰生成方案:Oakley、SKEME精選ppt2.2.4IPSec密鑰管理〔續(xù)〕密鑰管理機制IKE是IPSec目前唯一的正式確定的密鑰交換協(xié)議,它也是ISAKMP的一局部,為AH和ESP提供密鑰交換支持,同時也支持其他機制,如密鑰協(xié)商。在ISAKMP中密鑰交換是孤立的,可以支持不同的密鑰交換方式。IKE吸收了Oakley和SKEME兩大不同密鑰交換協(xié)議的優(yōu)點。Oakley的特色是描述了一系列密鑰交換方法,起名為“模式〞〔Modes〕;而SKEME的特色是描述了密鑰分類、可信度和更新機制。這兩局部恰好可以互補,因此IPSec工作組就把這兩局部進行了有機的組合,形成了IKE。對IKE感興趣的讀者可參閱RFC2409。精選ppt2.2.4IPSec密鑰管理〔續(xù)〕密鑰管理機制IKE具有一套自保護機制,可以在不平安的網(wǎng)絡(luò)上平安地分發(fā)密鑰、驗證身份、建立IPSec平安聯(lián)盟。IKE目前定義了“主模式〞、“積極模式〞、“快速模式〞和“新組模式〞4種模式。前面3種模式用于協(xié)商SA,最后一個用于協(xié)商Diffie-Hellmansuanf算法所用的組。這4種模式分別支持4種不同的認(rèn)證方法,即基于數(shù)字簽名的認(rèn)證、兩種基于公鑰密碼的認(rèn)證和基于共享密鑰的認(rèn)證。IKE和IPSec的關(guān)系如圖2-15所示。精選ppt2.2.4IPSec密鑰管理〔續(xù)〕圖2-15IKE和IPSec的關(guān)系精選ppt2.2.4IPSec密鑰管理〔續(xù)〕Diffie-Hellman算法原理〔交換共享密鑰〕

圖2-16DH交換及密鑰產(chǎn)生過程精選ppt2.2.4IPSec密鑰管理〔續(xù)〕密鑰的產(chǎn)生是通過DH交換技術(shù),DH交換〔Diffie-HellmanExchange〕過程如下:須進行DH交換的雙方各自產(chǎn)生一個隨機數(shù)〔始終沒有直接在網(wǎng)絡(luò)上傳輸過〕,如a和b;使用雙方確認(rèn)的共享的公開的兩個參數(shù):底數(shù)g和模數(shù)p各自用隨機數(shù)a,b進行冪模運算,得到結(jié)果c和d,計算公式如下:c=gamodp,d=gbmodp;雙方進行模交換;進一步計算,得到DH公有值:damodp=cbmodp=gabmodp此公式可以從數(shù)學(xué)上證明。精選ppt2.2.5IPSec加密和驗證算法IPSec加密算法用于ESP。目前的IPSec標(biāo)準(zhǔn)要求任何IPSec實現(xiàn)都必須支持DES。另外,IPSec標(biāo)準(zhǔn)規(guī)定可使用3DES、RC5、IDEA、3IDEA、CAST和Blowfish。眾所周知,用DES加密來保證消息的平安不是適宜的方法。因此,未來的許多IPSec實現(xiàn)將支持3DES、ECC〔橢圓曲線〕和AES〔高級加密標(biāo)準(zhǔn)〕。IPSec用HMAC〔加密的消息摘要〕作為驗證算法,可用于AH和ESP。HMAC是一種經(jīng)加密的散列消息驗證碼,是一種使用加密散列函數(shù)〔Hash〕和密鑰計算出來的一種消息驗證碼〔MAC〕。HMAC將消息的一局部和密鑰作為輸入,以消息驗證碼〔MAC〕作為輸出。精選ppt2.2.5IPSec加密和驗證算法〔續(xù)〕MAC保存在AH頭的驗證數(shù)據(jù)字段中。目的地收到IP包后,使用相同的驗證算法和密鑰計算驗證數(shù)據(jù)。如果計算出的MAC與數(shù)據(jù)包中的MAC相同,那么認(rèn)為數(shù)據(jù)包是可信的。HMAC與現(xiàn)有的散列函數(shù)結(jié)合使用,如MD5、SHA-1、SHA-256或SHA-512等,可提高平安強度。RFC2411對IPSecAH和ESP使用的加密和驗證算法的標(biāo)準(zhǔn)進行了描述。精選ppt2.2.6OSI平安體系到TCP/IP平安體系的影射

圖2-17TCP/IP各層協(xié)議及其相互關(guān)系精選ppt2.2.6OSI平安體系到CP/IP平安體系的影射〔續(xù)〕

精選ppt2.2.6OSI平安體系到CP/IP平安體系的影射〔續(xù)〕

精選ppt2.3信息系統(tǒng)平安體系框架2.3.1信息系統(tǒng)平安體系框架2.3.2技術(shù)體系2.3.3組織機構(gòu)體系2.3.4管理體系精選ppt2.3.1信息系統(tǒng)平安體系框架綜合運用信息平安技術(shù)保護信息系統(tǒng)的平安是我們研究與學(xué)習(xí)信息平安原理與技術(shù)的目的。信息系統(tǒng)是一個系統(tǒng)工程,本身很復(fù)雜,要保護信息系統(tǒng)的平安,僅僅靠技術(shù)手段是遠遠不夠的。本節(jié)從技術(shù)、組織機構(gòu)、管理三方面出發(fā),介紹了信息系統(tǒng)平安體系框架的根本組成與內(nèi)容。精選ppt2.3.1信息系統(tǒng)平安體系框架〔續(xù)〕信息系統(tǒng)平安的總需求是物理平安、網(wǎng)絡(luò)平安、數(shù)據(jù)平安、信息內(nèi)容平安、信息根底設(shè)備平安與公共信息平安的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論