資源描述:
《TCP IP第13章》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)���。
1��、TCP/IP—協(xié)議分析與應(yīng)用編程第十三章網(wǎng)絡(luò)安全協(xié)議主要內(nèi)容網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)層安全協(xié)議傳輸層安全協(xié)議應(yīng)用層安全協(xié)議學(xué)習(xí)目標(biāo)理解網(wǎng)絡(luò)層安全協(xié)議IPSec�����。熟悉傳輸層安全協(xié)議SSL����。了解應(yīng)用層安全系統(tǒng)PGP��。網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)信息安全主要包括兩個(gè)方面:信息的保密性和通信的可靠性。信息的保密性主要是通過(guò)加密來(lái)實(shí)現(xiàn)�,目前主要有兩種加密技術(shù),即保密密鑰加密和公開(kāi)密鑰加密���;實(shí)現(xiàn)通信可靠性的技術(shù)有數(shù)字簽名和基于第三方授權(quán)證書(shū)的認(rèn)證技術(shù)等。因特網(wǎng)各種安全協(xié)議就是將這些技術(shù)進(jìn)行有效的結(jié)合以提供安全服務(wù)�����。網(wǎng)絡(luò)層安全協(xié)
2����、議網(wǎng)絡(luò)層安全協(xié)議(InternetProtocolSecurity,IPSec)是IETF提供因特網(wǎng)安全通信的一系列規(guī)范之一����,它提供私有信息通過(guò)公用網(wǎng)的安全保障。IPSec能提供的安全服務(wù)包括訪問(wèn)控制�����、無(wú)連接的完整性�、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包(部分序列完整性形式)�、保密性和有限傳輸流保密性。IPSec的基本目的是把密碼學(xué)的安全機(jī)制引入IP��,通過(guò)使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù),使用戶能有選擇地使用����,并得到所期望的安全服務(wù)。網(wǎng)絡(luò)層安全協(xié)議IPSec主要包含3個(gè)功能域:鑒別機(jī)制��、機(jī)密性機(jī)制和密鑰管
3��、理�����。鑒別機(jī)制確保收到的報(bào)文來(lái)自該報(bào)文首部所聲稱的源實(shí)體����,并保證該報(bào)文在傳輸過(guò)程中未被非法篡改;機(jī)密性機(jī)制使得通信內(nèi)容不會(huì)被第三方竊聽(tīng)����;密鑰管理機(jī)制則用于配合鑒別機(jī)制和機(jī)密性機(jī)制處理密鑰的安全交換。網(wǎng)絡(luò)層安全協(xié)議IPSec體系結(jié)構(gòu)IPSec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)�,包括IP首部鑒別協(xié)議(AuthenticationHeader,AH)和封裝安全載荷協(xié)議(EncapsulatingSecurityPlayload�����,ESP)、密鑰管理協(xié)議(InternetKeyExchange
4��、����,IKE)和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。網(wǎng)絡(luò)層安全協(xié)議IPSec體系結(jié)構(gòu)網(wǎng)絡(luò)層安全協(xié)議IPSec體系結(jié)構(gòu)SA是構(gòu)成IPSec的基礎(chǔ)��,是兩個(gè)通信實(shí)體經(jīng)協(xié)商(利用IKE協(xié)議)建立起來(lái)的一種協(xié)定�,它決定了用來(lái)保護(hù)數(shù)據(jù)分組安全的安全協(xié)議(AH協(xié)議或者ESP協(xié)議)�、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等�。SA可以表示為一個(gè)三元組:SA=(SPI、IPDA�、SPR)SPI(SecurityParameterIndex,安全參數(shù)索引)�����,是一個(gè)32bit的值����,用于區(qū)分相同目的地和相同IP的不同SA。其出現(xiàn)在A
5、H和ESP的首部��,接收方根據(jù)首部中的SPI確定對(duì)應(yīng)的SA�。IPDA為IP目的地址。SPR為安全協(xié)議標(biāo)識(shí)�����,如AH或ESP�。網(wǎng)絡(luò)層安全協(xié)議IPSec體系結(jié)構(gòu)因特網(wǎng)密鑰交換協(xié)議IKE是IPSec默認(rèn)的安全密鑰協(xié)商方法。IKE通過(guò)一系列報(bào)文交換為兩個(gè)實(shí)體(如網(wǎng)絡(luò)終端或網(wǎng)關(guān))進(jìn)行安全通信派生會(huì)話密鑰��。安全策略數(shù)據(jù)庫(kù)(SecurityPolicyDatabase�����,SPD)中包含一個(gè)策略條目的有序表��,通過(guò)使用一個(gè)或多個(gè)選擇符來(lái)確定每一個(gè)條目�����。選擇符可以是五元組(目的/源地址���,協(xié)議����,目的/源端口號(hào)),或其中幾個(gè)
6�����、�����。每個(gè)條目中包含:策略(包括丟棄���、繞過(guò)、加載IPSec)����、SA規(guī)范、IPSec(AH或ESP)���、操作模式�、算法�����、對(duì)外出處理等網(wǎng)絡(luò)層安全協(xié)議IPSec體系結(jié)構(gòu)安全關(guān)聯(lián)庫(kù)(SecurityAssociationDatabase,SAD)包含現(xiàn)行的SA條目���,每個(gè)SAD條目主要包含:序列號(hào)計(jì)數(shù)器:32位整數(shù)��,用于生成AH或ESP頭中的序列號(hào)��。序列號(hào)溢出:是一個(gè)標(biāo)志��,標(biāo)識(shí)是否對(duì)序列號(hào)計(jì)數(shù)器的溢出進(jìn)行審核����?�?怪胤糯翱冢菏褂靡粋€(gè)32位計(jì)數(shù)器和位圖確定一個(gè)輸入的AH或ESP數(shù)據(jù)包是否是重放包����。AH的認(rèn)證算法和所
7、需密鑰�。ESP的認(rèn)證算法和所需密鑰。ESP加密算法���,密鑰���,初始向量(IV)和IV模式����。IPSec操作模式�。路徑最大傳輸單元(PMTU)。SA生存期����。網(wǎng)絡(luò)層安全協(xié)議鑒別首部協(xié)議IP首部鑒別AH協(xié)議為IP通信提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性和反重播保證�����,它能保護(hù)通信免受篡改���,但不能防止竊聽(tīng)���,適合用于傳輸非機(jī)密數(shù)據(jù)���。AH的工作原理是在每一個(gè)數(shù)據(jù)報(bào)上添加一個(gè)鑒別首部��。此首部包含一個(gè)帶密鑰的哈希散列����,該哈希散列在整個(gè)數(shù)據(jù)報(bào)中計(jì)算,因此對(duì)數(shù)據(jù)的任何更改將致使散列無(wú)效�,從而對(duì)數(shù)據(jù)提供了完整性保護(hù)。網(wǎng)絡(luò)層安全協(xié)議鑒別
8����、首部協(xié)議AH首部位置IP數(shù)據(jù)報(bào)首部和傳輸層協(xié)議首部之間,主要包括:網(wǎng)絡(luò)層安全協(xié)議鑒別首部協(xié)議AH首部位置IP數(shù)據(jù)報(bào)首部和傳輸層協(xié)議首部之間���,主要包括:下一個(gè)首部:識(shí)別下一個(gè)使用IP協(xié)議號(hào)的首部��。有效負(fù)載長(zhǎng)度:AH首部長(zhǎng)度�����。安全參數(shù)索引:這是一個(gè)為數(shù)據(jù)報(bào)識(shí)別安全關(guān)聯(lián)的32位偽隨機(jī)值���。SPI值0被保留來(lái)表明“沒(méi)有安全關(guān)聯(lián)存在”。序列號(hào):從1開(kāi)始的32位單增序列號(hào)��,不允許重復(fù)����,唯一地標(biāo)識(shí)了每一個(gè)發(fā)送數(shù)據(jù)包,為安全關(guān)聯(lián)提供反重播保護(hù)����。接收端校驗(yàn)序列號(hào)為該字段值的數(shù)據(jù)包是否已經(jīng)被接收過(guò)���,若是,則拒收該數(shù)據(jù)
