Internet 安全.docx
《Internet 安全.docx》由会员分享,可在线阅读,更多相关《Internet 安全.docx(10页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第 5 章 Internet 安全 随着 Internet的不断普及 .TCP/IP体系结构成为当前计算机网络的基础 .TCP/IP 网络已基本成 为现代 计算机网络的 代名同 。似是 ,由于 TCP/IP体系结构在设计之初的 局限性, Internet存在的安 全问题 H益突出,各种安 全隐患 H渐严重。 M、 |此,人们 设计了 不同的安全机制来应对 Imernet面临的安全挑战。 事实 卜 ., 可以在 TCP/IP体系结构上 的任何 层次实现安全机制 .各层机制有不同的特 点,提供不同的安全性。本章首先介绍 3种典型的在 TCP/IP不同层 次提供 的安全机制: IPSec、 SSL/
2、TLS和 PGP.然后介绍常见的 Imernet欺骗及防范手段。 5.1 IP安全 在 TCP/IP协议分层模型中, IP层是可能实现端到端安全通信的最底层。通过在 IP 层丨 /i:现安 全性, 不仅可以保护 各种带安全机制的应用程序,而 R可 以保护 许多无 安全机 制的 应用。典型地 .I p协 议实现 在操作系统中 .W此 .在 I p层 实现安全功能 ,可以不必修 改应用 程序。 互联网工程任务组 ( IETF)于 1998年颁布了一套开放标准网络安全协议: IP层安全 标准 IPSec(IP Security),其 0标是为 IPv4和 IPv6提供具有较强的互操作能力、高质量 和
3、基于加密的安全。 IPSec将密码技术应用在网络层,提供端对端通信数据的 私有件 、完 整性、 真实忡 和防重 放攻击 等安全服务。 IPSec对于 IPv4是 可选的,对于 IPv6是强制 件的。 IPSec能支持各种应用的原理在于它可以在 IP层实现加密 /认证功能,这样就可以 在不修改应 用埕序 的前提 下保护 所有的 分布式 应用,包括远 程登录 、电子邮件、文件传输 和Web访问等。 IPSec通过多种手段提供了 IP层安全服务:允许用户选择所需安全协议,允许用户 选择加 密和认证算法 ,允许用户选择所需的密码算法的密钥。 IPSec可以安装在 路巾器 或主机上,若 IPSec安装在
4、 路由器 h .则可在不安全的 Internet .h提供一个安全的通道; 若 安装在 主机上 ,则能 提供主 机端对端的安全性。 5.1.1 IPSec体系结构 IPSec规范相当复杂 .W为它不是一个单独的协议。 IPSec规范给出了应用于 IP层 的网络数据安全的一整套体系结构,包括 认证头 协议、封装安全载荷协议、 Internet密钥 交换协议和用于网络认证和加密的一些算法等。 IPSec的主要构成组件如图 5-1所示 图 5-1 IPSec组件 IPSec的安全功能主要通过 IP认证头 ( Authentication Header, AH)协议以及封装安 全载荷 Encapsul
5、ating Security Payload, ESP协议实现。AH提供数据的完整件、真实 性和防 重故攻 击等安 全服务,但不包括机密性。而 ESP除 了实现 AH的功 能外, 还可以 实现数据的机密件。 AH和 ESP可以分开使用或一起使用。完整的IPSec还应包括 AH 和 ESP中所使用密钥的交换和管理,也就是 Internet密钥交换( Internet Key Exchange. IKE)协议, IKE用于动态地认证 IPSec参与各方的身份。 IPSec规范中 要求强制实现 的加密算法是 CBC模式的 DES和 NULL算法,而认证 算法是 HMAC-MD5, HMAC-SHA-
6、1和 NULL认证算法。 NULL加密和认证分别是不 加 密和不 认证。 在 IP的认证和保密机制中出现的一个核心概念是安全关联 ( SA)。 一个安全关联是 发送方和接收方之 间受到密码技 术保护 的单向 关系,该关联 对所携带的通 信流量提供安 全服务:要么对通信实体收到的 IP数据包进行 进人 保护, 要么对实体外 发的数据包进 行 流出 保护。如果需要 双向安 全交换 ,则 需要建 立 两个安全关联,一个用 于发送数据, 另一个 用于接收数据 。安全服务可以由 AH或 ESP提供, 但不能 两者都 提供。 一 个安全关联由 3个 参数 确定: “ 安 全参数索引 ( SPI)。 一个与
7、 SA相关的位串,仅在本地有意义。这个参数被分 配给 每一个 SA,并且每一个 SA都通过 SPI进行标识。发送方把 这个参 数放置 在每一个流出数据包的 SPI域中, SPI由 AH和 ESP携带, 使得接收系统 能选择 合适的SA处理接 收包。 SPI并非全局指定 ,因此 SPI要与 0标 IP地址、安全协 议标识一起来唯一地标识一个 SA。 “ 目标 1P地址 。目前 IPSec SA管理机制中仅仅允许单播地址。所以这个地址表 示SA的 0的端点地址 .可以是用户终端系统 、防火 墙或路由器。 它决定 r关联 方向。 “ 安全协议标识。标识该关联是一个 AH安全关联或 ESP安全关联。
8、处理与 SA有关的流 M时疗 两个数据库,即安全关联数据库 ( Security Association Database.SAD)和安全策略数据库 ( Security Policy Database, SPD)。 SAD 包含了与每一 个安全关联相联系 的参数 .SPD则指定 了主机 或网关 的所有 IP流 量的流 入和流 出分配 朿峨。 5.1.2 IPSec工作模式 IPSec的安全功能主要通过 IP认证头 ( AH)协议以及封装安全载荷 ( ESP)协议实 现。AH和 ESP均支持两种 役式:传 输模式 和隧 道模式 ,如罔 5-2所承。 图 5-2 IPSec工作模式 1. 传输模
9、式 传输模 式主要 为直接运行在 IP层之上的协议(如 TCP、 UDP和 ICMP)提供安全保 护,一般用于在两台主机之间的端到端通信 。传输 模式是 指在数 据包的 IP头和载荷之间 插人 IPSec信息。当一个主机在 IPv4上运行 AH或 ESP时,其载荷是跟在 IP报头后面 的数据;对 IPv6丨 M,Y, 其载荷 适跟在 IP报头 后面的数据和 IPv6的任何 扩展头。传 输模 式 使用原始明文 IP头。 传输模式的 ESP可以加密和认证 IP载荷,但不包括 IP头。传输模式的 AH可以认 证IP载荷和 IP报头的选中 部分。 2. 隧道模式 隧道 模式 对整个 IP包提供保护。为
10、了达到这个目的,当 IP数据包附加了 AH或 ESP域之后,整个数据包加安全域被当作一个新 IP包的载荷,并拥有一个新的外部 IP包 头。原来(内部 ) 的整个 IP包利用隧道在网络之间传输,沿途 路山器不能检 查内部 IP包 头。由于原来的包被封装,新的、更大的包可 以拥有完全不 同的源 地址与 0的地址 ,以增 强 安全性 。当 SA的一端或两端为安全网关时使用隧 道模式 ,如使用 IPSec的防火墙或 路由器。防火墙内的主机在没有 IPSec时也可以实现安全通信:当主机生成的未保护包 通过本地网络边缘的防 火墙或 安全路 由器时 , IPSec提供隧道模 式的安 全性。 IP S e c
11、操作隧道模式的例子 如下。网络中的主机 A生成以另一个网络中的主机 B作 为目的地址的 1P包,该 IP包从源主机 A被发送到 A网络边界的防 火墙或 安全路 rtl器。 防火墙过滤所有的外发包。根据对 IPSec处理的请求,如果从 A到 B的包需要 IPSec处 理,则防火墙执行 IPSec处理 .给该 IP包添加外层 IP包头 .外层 IP包头的源 IP地址为 此防火墙的 IP地址, 0的地址 nj“ 能为 B本地网络 边界的防火墙 的地址 。这样 ,包被传送 到 B的防 火墙 .而其间经过的中间路 巾器仅检查外部 IP头;在 B的防火墙处,除 去外部 IP头,内部的包被送往主机 B。 E
12、SP在隧道模式中加密和认证(可选 ) 整个内部 IP包,包括内部 IP报头。 AH在隧 道模式中 认址整 个内部 IP包和外部 IP头中的选中 部分。 当 IPSec被用于端到端的应用时 .传输模式更合理一些 。在防火墙到防火墙或者主 机到防火墙这类数据仅在两个终端节点之间的部分链路 h受保护的应用中 .通常采用隧 道模式。而且 ,传输模式并不是必 需的, w为隧 道模式可以 完全 忾代传输模式。 m是隧道 模式下的 IP数据包有两个 IP头 .处邱 汗 销相对较大。 5.1.3 AH 协议 1P认证头 ( AH)协议为 1P数据包提供数据完整件校验和身份认证 .还有可选择的抗 重放攻击保护
13、.但不 提供数 据加密服务。数据完整性确保包在传输过程中内 容不可更改; 认证确保终端系统或网络 设备能 对用户 或应用 程序进 行认证 ,并相应地 提供流 I过滤功 能,同时还能防 止地址 欺诈攻 A和重 故攻击 。认 iiK基于消息鉴别码 ( MAC), 双方 必须共 享 同一个密钥。 由于 AH不提供机密性保证,所以它也不需要加密算法。 AH可用来保护一个 h层 协议(传输 漠式) 或一个完整的 IP数据报(隧 道模式 )。 它 可以单 独使用 .也可以和 ESP 联合使用。 认证头由 !(卩 下几个域组成,如图 5-3所示。 “ 邻接头 ( 8位)。标识 AH字段后面下一个负载的类型。
14、 “ 有效载 荷长度 ( 8位)。字长为 32位的 认证头长度减 2。例如,认证数据域的默认 长度是 96位或 3个 32位字,另加 3个字长的 同 定头 .总共 6个字,则载荷 长度域 的值为 4。 “ 保留 ( 7位)。保留给未来使用。当前 .这个字段的值设置为 0。 “ 安 全参数索引 ( 32位)。这 个字段与目的 IP地址和安全协议标识一起 .共同标识 当前 数据包 的安全关联。 “ 序列号 ( 32位)。单调递增的计数值 .提供了反重放的功能。在建立 SA时,发送 方和接收 方的序 列号初 始化为 ,使用此 SA发送的第一个数据包序列号为 1,此 后发送方逐渐 增大该 SA的序列号
15、 .并把新值插入到序列号字段。 “ 认 证数据(变 m )。 5 : 氏域 ,包含了数据 包的完整 ft校验值 ( Integrity Check Value,ICV)或包的 MAC。 这个字段 的长度必须是 32位字的整数倍,可以包含 填充。 1. AH传输模式 AH的传 输模式 只保护 IP数据包的不变部分 .它保护的是端到端的通信 .通信的终 点必须是 IPSec终点,如图 5-4所示。 在 IPv4的传输模式 AH中, AH插入到原始 IP头之后, IP载荷(如 TCP分段)之前。 认证包括了除 IPv4报头中 n丨变的 、被 MAC计算置为 0的域以外的整个包。 在 IPv6中, A
16、H被作为端到端载荷,即不被中间 路由器 检查或 处理。 W此, AH出现 在IP头以及跳、路由 和分段 扩展头之后。 0的地址作为可选 报头在 AH前面 或后面 ,由 特定语义决定 。同样 ,认证包括了除 IPv6报头中 H了变的 、被 MAC计算置为 0的域以外 的整个包。 2. AH隧道模式 AH用 于隧道 模式时 .整个原始 IP包被认证, AH被插人到原始 IP头和新 IP头之 间。原 IP头中包含了通信的原始地址,而新 IP头则包含了 IPSec端点的地址,如图 5-5 所示。 使用隧道模式,整个内部 IP包,包括整个内部 IP头均被 AH保护。外部 IP头 ( IPv6 中 的外部
17、 IP扩展头 ) 除了 呵变且 不可预测的域 之外均被保护 。隧道 模式可 用来替 换端到 端安全服务 的传输 模式。 但由于 这一协 议中没 有提供 机密性 .W此,相当于 没有隧 道封装 这一保护措施 .所 以它没 有什么 用处。 5.1.4 ESP 协议 封装安全载荷 ( ESP)协议为 IP数据包提供数据完整性校验、身份认证和数据加密, 还有 可选择 的抗重 放攻击保护。 即除了 AH提供的所有服务外, ESP还提供数据 保密服 务,包括报文 内容保 密和流 量限制 保密。 ESP用一个密码算法提供机密性,数据完整性 则山身份验 证算法 提供。 ESP通过插人一个唯一的 、单向 递增的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Internet 安全
限制150内