《网路安全精要应用与标准课件.ppt》由会员分享,可在线阅读,更多相关《网路安全精要应用与标准课件.ppt(22页珍藏版)》请在三一办公上搜索。
1、密碼學與網路安全第16章 IP安全,IP 安全,目前已經發展出許多應用層的安全機制,例如S/MIME、PGP、Kerberos、SSL/HTTPS然而仍有其他非應用層的安全需求在IP層實作安全不只要檢驗已具備安全機制的應用程式資料,也要檢驗沒有安全機制的應用程式資料,IPSec,IP層的安全機制提供認證保密金鑰管理可以用在LAN、跨越私人與WAN,以及網際網路的安全傳輸能力,IPSec的應用情境,IPSec的優點,當路由器或是防火牆具備IPSec功能時,可以對所有的網路流量發生作用,因此能提供很好的安全性如果所有外來的訊息都必須使用IP,而防火牆是網際網路進入內部的唯一管道時,那麼可以不必擔心
2、會有繞過防火牆IPSec的途徑IPSec是在傳輸層(TCP、UDP)之上,因此應用程式不知其存在使用者感覺不到IPSec的存在,因此不需要額外教育使用者如果需要的話,IPSec可以對每一位使用者提供專屬的安全,IP安全架構,IPSec的規格越來越複雜定義IPSec的RFC文件:RFC 2401、RFC 2402、RFC 2406、RFC 2408IETF設立的IP Security Protocol Working Group發表的草案:架構(Architecture封裝安全承載(Encapsulating Security Payload,ESP認證標頭(Authentication Hea
3、der,AH)加密演算法(Encryption Algorithm)認證演算法(Authentication Algorithm)金鑰管理(Key Management)解譯範圍(Domain of Interpretation,DOI),IPSec服務,存取控制無連接傳輸模式的完整性資料來源認證拒絕重送的封包保密性有限的流量保密性,安全關聯,關聯是介於發送者和接收者之間的單向關係,針對訊息流量提供網路安全服務藉由三個參數可以辨認SA的身份:安全參數索引(SPI)IP目的位址安全協定辨識器每個IPSec的實作都有名義上的SA資料庫,定義了和SA有關的參數定義SA的參數:序號計數器、序號計數器溢
4、位旗標、防止重送窗口、AH資訊、ESP資訊、此SA的期限、IPSec協定模式、路徑最大傳送單位,認證標頭(AH),AH提供資料完整性和IP封包認證的支援:終端系統/路由器可以確認使用者/應用程式防止假造位址攻擊 認證是以MAC為基礎HMAC-MD5-96 或 HMAC-SHA-1-96雙方必須共享秘密金鑰,認證標頭,傳輸模式和通道模式,封裝安全承載(ESP),封裝安全承載提供了訊息內容的機密性及有限流量的機密性ESP是選擇性的功能,也提供和AH相同的認證服務支援眾多的加密、模式、資料填充方式:DES、3DES、RC5、IDEA、CAST等最通用的CBC區塊填充,IPSec ESP格式,傳輸模式
5、和通道模式,合併多個安全關聯,單獨的SA可以實作AH或ESP其中一種,但不能兩種都實作安全關聯包是指流量經過一連串SA的處理,以提供所需要的一系列IPSec服務,這群SA就成為一包位於同一包中的SA也許在不同的端點結束,也可能是在同一個端點結束,合併多個安全關聯,金鑰管理,管理金鑰的產生與傳送通常需要兩對金鑰AH和ESP的每個方向需要2把金鑰手動金鑰管理系統管理者手動調整每個系統自動金鑰管理幫助大型分散式系統產生SA所需的金鑰 使用Oakley&ISAKMP協定,Oakley Key 決策協定,金鑰交換協定以Diffie-Hellman金鑰交換演算法為基礎並改進Diffie-Hellman金鑰
6、交換演算法的缺點可以計算的方式算出秘密連線金鑰,ISAKMP,ISAKMP定義建立、協商、修改、及刪除SA的程序和封包格式提供金鑰管理的框架定義程序和封包格式來建立、處理、修改、刪除SA中立的金鑰交換協定、加密演算法和認證方法,ISAKMP標頭格式,ISAKMP承載與交換,ISAKMP承載型態:Security、Proposal、Transform、Key、Identification、Certificate、Certificate、Hash、Signature、Nonce、Notification、Delete ISAKMP交換型態:base、identity protection、authentication only、aggressive、informational,總結,IP安全架構認證標頭封裝安全承載金鑰管理Oakley/ISAKMP,
