欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    IP安全培训课程(共30张).pptx

    • 资源ID:7997304       资源大小:534.43KB        全文页数:30页
    • 资源格式: PPTX        下载积分:20金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要20金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    IP安全培训课程(共30张).pptx

    一、IPSec 概述 1. IPSec 的应用n通过互联网安全分支机构接入n通过互联网进行安全远程访问n与合作者建立企业间联网和企业内联网接入n加强电子商务安全性 2. IPSec 的好处IPSec有下列优点:n当在路由器和防火墙中使用 IPSec 时,它对通过其边界的所有通信流提供了强安全性。公司或者工作组内部的通信不会引起与安全相关的开销。n放火墙内的 IPSec 能在所有的外部流量必须使用IP时阻止旁路,因为防火墙是从互联网进入组织内部的唯一通道。nIPSec 位于传输层(TCP、UDP)之下,所以对所有的应用都是透明的。因此当防火墙或者路由器使用IPSec时,没有必要对用户系统和服务器系统的软件做任何改变。即使终端系统中使用IPSec,上层软件和应用也不会受到影响。nIPSec可以对终端用户是透明的。不需要对用户进行安全机制的培训,如分发基于每个用户的密匙资料(keying material),或者在用户离开组织时撤销密匙资料。n若有必要的话,IPSec 能给个人用户提供安全性。这对网外员工非常有用,它对在敏感的应用领域中组建一个安全虚拟子网络也是有用的。3 3、IPSecIPSec体系结构体系结构n包括以下几个基本部分: AH(Authentication Header,认证报头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Management,密钥交换协议)、SA(Security Association,安全关联)、DOI(Domain of Interpretation,解释域)、认证和加密算法。nSA是IPSec的基础,决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数,通常用一个三元组(安全参数索引、目的IP地址、安全协议)唯一表示。SA总是成对出现的,对等存在于两端的通信实体,是通信双方协商的结果。nAH为IP数据报的IP头和上层协议数据提供完整性检查与数据源认证,并防止重放攻击。AH不提供数据加密服务。nESP提供数据内容的加密,根据用户安全要求,ESP既可以用于加密IP数据报的内容(如:TCP、UDP、ICMP、IGMP),也可以用于加密整个IP数据报。作为可选项,ESP也可以提供AH的认证服务。4. IPSec 4. IPSec 服务服务数据加密数据加密IPSec的数据加密服务由ESP(Encapsulating Security Payload,封装安全载荷)提供,算法采用CBC(Cipher Block Chaining,加密块链接)方式,这样确保了即使信息在传输过程中被窃听,非法用户也无法得知信息的真实内容。数据源地址验证、数据完整性检查数据源地址验证、数据完整性检查IPSec使用HMAC(Hash-Base Message Authentication Code)进行数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容等在传输过程中不变的字段计算出来的,具有唯一性。数据如果在传输过程中发生改动,在接收端就无法通过验证。防止重放攻击防止重放攻击IPSec使用AH(Authentication Header,认证头)为每个SA(Security Association,安全关联)建立系列号,而接收端采用滑动窗口技术,丢弃所有的重复的包,因此可以防止重放攻击。5. IPSec的工作模式 AH 和 ESP 都支持两种使用模式:传输模式和隧道模式。传输模式通常应用于主机之间端对端通信,该模式要求主机支持IPSec。隧道模式应用于网关模式中,即在主机的网关(防火墙、路由器)上加载IPSec,这个网关就同时升级为SG(Security Gateway,安全网关)。n传输模式主要为上层协议提供保护,AH或ESP报头插入在IP报头和传输层协议报头之间。隧道模式,整个IP包都封装在一个新的IP包中,并在新的IP报头和原来的IP报头之间插入IPSec头(AH/ESP)。传输模式下的AH和ESP都没有对IP报头进行封装,隧道模式下整个IP包都被封装了。当采用ESP进行数据加密时,原始IP报头中的源地址和目的地址都被隐藏起来,具有更好的安全性。下表总结了传输模式和隧道模式的功能传输模式 SA隧道模式SAAH对IP载荷和 IP报头的选中部分、IPv6的扩展报头进行认证 对整个内部IP包(内部报头和IP载荷)和外部IP报头的选中部分、外部IPv6的扩展报头进行认证 ESP对IP载荷和跟在ESP报头后面的任何IPv6扩展报头进行加密加密整个内部IP包带认证的ESP对IP载荷和跟在ESP报头后面的任何IPv6扩展报头进行加密。认证IP载荷但不认证IP报头加密整个内部IP包。认证内部IP包二、封装安全载荷1.ESP格式n安全参数索引(32bit):标识一个安全关联n序列号(32bit):一个递增的计数值,提供了反重放功能n载荷数据(payload data)(长度可变):这是被加密保护的传输层分段(传输模式)或者 IP 包(隧道模式)n填充域(padding)(0255字节):此域的目的将在后面讨论。n填充长度(pad length)(8比特):标明此域前面一个域中填充数据的长度。n邻接报头(next header)( 8比特):通过标识载荷中的第一个报头来标识包含在载荷数据域中的数据类型。(例如IPv6的扩展报头)。n完整性校验值(Integrity Check Value,ICV)(长度可变):一个可变长的域(必须为32比特的字长的整数倍),它包含ICV。ICV的计算参量为 ESP 包中除认证数据域外的其他部分。n当使用任何组合式算法时,该算法本身既能够返回解密的明文,又能够返回一个示明完整性校验通过或不通过的信息。对组合式算法,通常应该会在 ESP 包(当选择完整性校验时)最后出现的 ICV 值会被省略。当选择完整性校验且省略 ICV 值时,在载荷数据内设置一种与 ICV 等价的方法去验证包的完整性则成为组合式算法的职责。n2.加密和认证算法nESP 服务加密载荷数据、填充域、填充长度和邻接报头域,如果用于加密载荷的算法需要使用密码同步数据,如初始向量(initialization vector,IV),则这些数据可以在载荷数据域的开始处显式地传输。如果包括 IV,它虽然被看成是密文的一部分,但不会被加密。nICV 域是可选的。仅当选择了完整性服务且该服务或者由一个单独的完整性算法提供,或者由用于 ICV 的组合式算法提供时,该域才会出现。ICV 值是在加密完成后才被计算。n这种处理顺序能使在对包解密前就可对接收者的重放或伪造作出快速的检测与拒绝,从而可以潜在地降低拒绝服务器攻击(DoS)的影响。它还对接收者对包的并行处理的可能性留有余地。也就是说,解密和完整性校验可以并行处理。注意,由于 ICV 值未作加密保护,对 ICV 值的计算需要用带密匙的完整性算法。3.填充填充(padding)域有如下几个作用:n如果加密算法要求明文为某个数目字节的整数倍(如分块加密中要求明文是单块长度的整数倍),填充域用于把明文(包括载荷数据、填充、填充长度、邻接报头域)扩展到需要的长度。nESP 格式要求填充长度和邻接报头域为右对齐的32比特的字,同样,密文也是32比特的整数倍,填充域用来保证这样的排列。n增加额外的填充能隐藏载荷的实际长度,从而提供部分流量的保密。n4. 反重放服务n重放攻击就是一个攻击者得到了一个经过认证的包的副本,稍后又将其传送到其希望被传送到的目的站点的攻击。重复的接收经过认证的 IP 包可能会以某种方式中断服务或产生一些不希望出现的结果。序列号域就是为了阻止这样的攻击而设计的。n安全关联SA是发送端和接收端之间用于对它们之间传递的数据流提供安全服务的一个单向逻辑连接。n5.传输模式和隧道模式AH 和 ESP 都支持两种使用模式:传输模式和隧道模式。传输模式通常应用于主机之间端对端通信,该模式要求主机支持IPSec。隧道模式应用于网关模式中,即在主机的网关(防火墙、路由器)上加载IPSec,这个网关就同时升级为SG(Security Gateway,安全网关)。n传输模式主要为上层协议提供保护,AH或ESP报头插入在IP报头和传输层协议报头之间。隧道模式,整个IP包都封装在一个新的IP包中,并在新的IP报头和原来的IP报头之间插入IPSec头(AH/ESP)。传输模式下的AH和ESP都没有对IP报头进行封装,隧道模式下整个IP包都被封装了。当采用ESP进行数据加密时,原始IP报头中的源地址和目的地址都被隐藏起来,具有更好的安全性。n传输模式 ESP 用于加密和认证(认证可选)IP 携带的数据(如TCP分段),如图所示。n当传输模式使用于 IPv4 时,ESP 报头被插在传输层报头(例如TCP、UDP、ICMP)前面的 IP 包中,ESP 尾(填充、填充长度和邻接报头域)被放在 IP 包的后面。如果选择认证,ESP 认证数据域就被放在 ESP 尾部之后,整个传输层分段和 ESP 尾部一起被加密,认证覆盖了所有的密文和 ESP 报头。n隧道模式 ESP被用来加密整个 IP 包。在这种模式下,ESP 报头是包的前缀,所以包与 ESP 尾部被一同加密,该模式可用来阻止流量分析。n由于 IP 报头包含了目的地址,还可能包含源路由指示以及逐跳信息,所以不可能简单地传输带有 ESP 报头前缀的加密过的 IP 包。中间路由器不能处理这样的包。因此,使用能为路由提供足够信息却没有为流量分析提供信息的新 IP 报头封装整个模块(ESP 报头、密文和验证数据,如果它们存在)是必要的。n传输模式适合于保护支持 ESP 特性的主机之间的连接,而隧道模式在包含防火墙或其它类型的用于保护可信内网不受外网侵害的安全网关的配置中是有用的。在后一种情况下,加密发生在外部主机和安全网关之间,或者是发生在两个安全网关之间。这就减轻了网内主机的加密负担,并通过降低所需密匙数来简化密匙分发任务。另外,它阻止基于最终目的地址的流量分析。n考虑以下情况:外部主机希望与受防火墙保护的内部网络主机通信,ESP 在外部主机和防火墙中实现。从外部主机到内部主机的传输层分段将按照如下步骤传送。n(1)远端将产生一个以目的地内部主机作为目的地址的内部 IP 包。这个包以 ESP 报头为前缀,然后加密包和 ESP 尾部,并且可能添加认证数据。再用目的地址是防火墙地址的新 IP 报头(基本报头和可选的扩展,如路由器和 IPv6 的逐跳信息)封装数据块,从而形成了外部的 IP 包。n(2)将外部 IP 包路由到目的防火墙,每个中间路由器要检查和处理外部的 IP 报头和任何外部 IP扩展报头,但不需要检查密文。n(3)目的地防火墙检查和处理 IP 报头和任何外部 IP 扩展报头。然后目的地节点利用 ESP 报头里的 SPI 对IP 包剩余的部分解密,恢复内部 IP 包的明文,这个包就可以在内部网络中传输。n(4)内部包在内部网络中经过零个或者多个路由器到达目的主机。n下图给出了两种模式下的协议架构。演讲完毕,谢谢观看!

    注意事项

    本文(IP安全培训课程(共30张).pptx)为本站会员(醉****)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开