返回
安全通信协议

安全通信协议

ID:20548294

大小:497.00 KB

页数:97页

时间:2018-10-13

安全通信协议_第1页
安全通信协议_第2页
安全通信协议_第3页
安全通信协议_第4页
安全通信协议_第5页
资源描述:

《安全通信协议》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第八章安全通信协议第八章安全通信协议目前网络面临着各种威胁,其中包括保密数据的泄露、数据完整性的破坏、身份伪装和拒绝服务等。保密数据的泄露。罪犯在公网上窃听保密性数据。这可能是目前互相通信之间的最大障碍。没有加密,发送的每个信息都可能被一个未被授权的组织窃听。由于早期协议对安全考虑的匮乏,用户名或口令这些用户验证信息均以明码的形式在网络上传输。窃听者可以很容易地得到他人的帐户信息。数据完整性的破坏。即使数据不是保密的,也应该确保它的完整性。也许你不在乎别人看见你的交易过程,但你肯定在意交易是否被篡改。身份伪装。一个聪明的入

2、侵者可能会伪造你的有效身份,存取只限于你本人可存取的保密信息。目前许多安全系统依赖于IP地址来唯一地识别用户。不幸的是,这种系统很容易被IP欺骗并导致侵入。拒绝服务。一旦联网之后,必须确保系统随时可以工作。在过去数年内,攻击者已在TCP/IP协议簇及其具体实现中发现若干弱点,使得他们可以造成某些计算机系统崩溃。8.1IP安全协议IPSecIPSec用来加密和认证IP包,从而防止任何人在网路上看到这些数据包的内容或者对其进行修改。IPSec是保护内部网络,专用网络,防止外部攻击的关键防线。它可以在参与IPSec的设备(对等体

3、)如路由器、防火墙、VPN客户端、VPN集中器和其它符合IPSec标准的产品之间提供一种安全服务。IPSec对于IPv4是可选的,但对于IPv6是强制性的。8.1.1IPSec体系结构IPSec是一套协议包,而不是一个单独的协议RFC文号。IPSec协议族中三个主要的协议:IP认证包头AH(IPAuthenticationHeader):AH协议为IP包提供信息源验证和完整性保证。IP封装安全负载ESP(IPEncapsulatingSecurityPayload)ESP协议提供加密保证。Internet密钥交换IKE(T

4、heInternetKeyExchange):IKE提供双方交流时的共享安全信息8.1.1IPSec体系结构(续)IP安全结构ESP加密算法算法验证密钥管理解释域(DOI)策略AH图8.1IPSec体系结构IPSec的体系结构如图8.1.1IPSec体系结构(续)IPSec提供的安全性服务:1)访问控制:通过调用安全协议来控制密钥的安全交换,用户身份认证也用于访问控制。2)无连接的完整性:使用IPSec,可以在不参照其他数据包的情况下,对任一单独的IP包进行完整性校验。3)数据源身份认证:通过数字签名的方法对IP包内的数据

5、来源进行标识。4)抗重发攻击:重发攻击是指攻击者发送一个目的主机已接收过的包,通过占用接收系统的资源,使系统的可用性受到损害。为此IPSec提供了包计数器机制,以便抵御抗重发攻击。5)保密性:确保数据只能为预期的接收者使用或读,而不能为其他任何实体使用或读出。保密机制是通过使用加密算法来实现的。8.1.1IPSec体系结构(续)8.1.2IPSec模式IPSec对IP包可以执行的操作分别是:只加密,只认证,既加密也认证。IPSec有两种工作模式:传输模式(TransportMode)和隧道模式(TunnelMode)。1.

6、传输模式(TransportMode):IPSec协议头插入到原IP头部和传输层头部之间,只对IP包的有效负载进行加密或认证。加密的IP头IPSecAH头传输层头数据IP头传输层头数据图8.2传输模式AH数据包8.1.2IPSec模式(续)2.隧道模式:IPSec会先利用AH或ESP对IP包进行认证或者加密,然后在IP包外面再包上一个新IP头。加密的IP头传输层头数据新IP头IPSecAH头IP头传输层头数据图8.3隧道模式AH数据包8.1.3IPSec的安全策略1.安全关联SA传输模式SA:传输模式SA只能用于两个主机之

7、间的IP通信隧道模式SA:隧道模式SA既可以用于两个主机之间的IP通信也可用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。SA是安全策略通常用一个三元组唯一的表示:1)SPI:安全参数索引(SecurityParametersIndex),说明用SA的IP头类型,它可以包含认证算法、加密算法、用于认证8.1.3IPSec的安全策略(续)加密的密钥以及密钥的生存期;2)IP目的地址:指定输出处理的目的IP地址,或输入处理的源IP地址;3)安全协议标识符:指明使用的协议是AH

8、还是ESP或者两者同时使用。2.安全关联数据库SADSAD存放着和安全实体相关的所有SA,每个SA由三元组索引。一个SAD条目包含下列域:序列号计数器:32位整数,用于生成AH或ESP头中的序列号;序列号溢出标志:标识是否对序列号计数器的溢出进行审核;8.1.3IPSec的安全策略(续)抗重发窗口:使用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。