信息安全技术体系何长鹏15769349916Chapter5安全协议CONTENTS01TCP/IP安全协议体系概述02数据链路层安全协议03网络层安全协议04传输层安全协议目录05应用层安全协议TCP/IP安全协议体系概述ISO/OSI参考模型TCP/IP层次模型TCP/IP体系应用层(A)应用层FTPTELNETHTTPSNMPNFS表示层(P)XDRSMTR会话层(S)RPC传输层(T)传输层TCP/UDP网络层(N)IP层IPICMPARP、RARP数据链路层(DL)网络接口层硬件协议(不指定)物理层(PH)TCP/IP网络安全体系的三维框架结构现有TCP/IP网络安全技术框架传输层网络层(IP)网络接口层应用层安全协议(如S/MIME、SHTTP、SNMPv3)认证访问控制数据完整性数据机密性抗抵赖可控性可审计性可用性系统安全管理安全服务管理安全机制管理安全设备管理物理保护入侵检测(IDS)漏洞扫描审计、日志响应、恢复第三方公证(如Keberos)数字签名相邻节点间的认证(如MS-CHAP)子网划分、VLAN、物理隔绝MDCMAC点对点加密(MS-MPPE)应用层网络层安全协议(如IPSec)如VPN包过滤防火墙数据源认证IPSec-AH电路级防火传输层安全协议(如SSL/TLS、PCT、SSH、SOCKS)用户身份认证授权与代理服务器防火墙如CA.网络层安全传输层安全应用层安全1、网络接口层安全协议主要用于链路层连接的认证与保密,已有的安全协议如下:(1)隧道协议PPTP、L2F、L2TP(2)口令认证协议(PAP)(3)挑战握手认证协议(CHAP)(4)Shiva口令认证协议(SPAP)(5)扩展认证协议(EAP)(6)微软的挑战/响应握手认证协议(MS-CHAP)(7)微软的点对点加密协议(MS-MPPE)2、网络层安全协议网络层是实现全面安全的最低层次,网络层安全协议可以提供ISO安全体系结构中所定义的所有安全服务。(1)前期安全协议1)NSA/NIST的安全协议3(SP3)2)ISO的网络层安全协议(NLSP)3)NIST的完整NLSP(I-NLSP)4)swIPe2、网络层安全协议(2)IETF的IPSecWG的IP安全协议(IPSec)1)认证头(AH)2)封装安全有效负载(ESP)3)Internet密钥交换协议(IKE)2、网络层安全协议(4)其它安全协议1)机密IP封装协议(CIPE)2)通用路由封装协议(GRE)3)包过滤信息协议(PFIP)3、传输层安全协议(1)前期协议NSA/NIST的安全协议4(SP4)ISO的TLSP(2)安全SHELL(SSH)SSH传输层协议SSH认证协议(3)安全套接字层(SSL)SSL记录协议SSL握手协议3、传输层安全协议(4)私有通信技术(PCT)(5)IEIFTLSWG的传输层安全协议(TLSP)(6)SOCKSv54、应用层安全协议包括安全增强的应用协议(已经正式存在的或安全的新协议)和认证与密钥分发系统。(1)安全增强的应用协议远程终端访问(STel)安全RPC认证(SRA)NATAS4、应用层安全协议(2)电子邮件(SMTP)保密增强邮件(PEM)PGP安全MIME(S/MIME)MIME对象安全服务(MOSS)消息安全协议(MSP)APOPGnu保密防护(GnuPG)4、应用层安全协议(3)事务(HTTP)使用SSL/TLS安全HTTP(S-HTTP)GSS-API方法PGP-CCI方法(4)域名系统(DNS)安全DNS(SecureDNS)RFC2065域名系统安全扩展4、应用层安全协议(5)文件传输(FTP)RFC2228FTP安全扩展(6)其它应用网络管理:简单网络管理协议(SNMPv2、SNMPv3)机密文件系统(CFS)Andrew文件系统(AFS)5、电子支付方案(1)电子货币(ElectronicCash)Ecash(Digicash)CAFE(EuropeanR&DProject)NetCash(ISI/USC)Mondex(UK)CyberCash(2)电子支票(ElectronicChecks)PayNow(CyberCash)NteCheque(ISI/USC)5、电子支付方案(3)信用卡支付(CreditCardPayment)iKP(i-Key-Protocol)安全电子支付协议(SEPP)安全交易技术(STT)安全电子交易(SET)(4)微支付(Micropayments)MillicentPayWordandMicroMintCyberCoinNetBill6、认证和密钥分配系统Kerberos远程认证拨入用户服务(RADIUS)网络安全程序(NetSP)SPX(DEC)TESS(Univ.ofKarlsruhe)SESAMEDCE(OpenGroup)7、其它安全协议S/KEY加密控制协议(ECP)TACACS/TACACS+FWZ密钥管理协议X.509数字证书证书登记协议(CeP)在线证书状态协议(OCSP)内容引向协议(UFP)URL过滤协议可疑行为监控协议(SAMP)8、IPsec安全协议IP安全(IPsecurity)体系结构,简称IPsec,是IETFIPsec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPsec工作在IP层,为IP层及上层协议提供保护。IPsec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPsec独立于算法,并允许用户控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在创越这些安全网关的每台主机之间的每条TCP连接间建立独立的加密隧道。IPsec在传输层之下,对应用程序和终端用户来说是透明的。在理由器或防火墙上安全IPsec时,无须更改用户或服务器系统中的软件设置。即使在终端系统中执行IPsec,应用程序之类的上层软件也不会受到影响。8、IPsec体系结构IPsec是互联网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,有验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议(ISAKMP)、IP安全解释域(DOI)、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。8、IPsec的体系结构8、IPsec工作原理设计IPsec是为了给IPv4和IPv6数据提供高质量的、可互操作的、基于密码学的安全性。IPsec通过使用两种通信安全协议:认证头(AH)和封装安全载荷(ESP),以及像Internet密钥交换(IKE)协议这样的密钥管理过程和协议来达到这些目标。AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。ESP协议提供数据保密性,有限的数据流保密性,数据源认证,无连接的完整性以及抗重放服务。对于AH和ESP都有两种操作模式:传输模式和隧道模式。IKE协议用于协商AH和ESP所使用的密码算法,并将算法所需要的密钥放在合适的位置。8、IPsec的模式IPsec协议即可以用来保护一个完整的IP载荷,也可以用来保护某个IP载荷的上层协议。这两个方面的保护分别由IPsec两种不同的“模式”来提供:传输模式和隧道模式。1、传输模式在传输模式中,IP头与上层协议头之间需要插入一个特殊的IPsec头。传输模式保护的是IP包的有效载荷或者说保护的上层协议。通常情况下,传输模式只用于两台主机之间的安全通信。受保护新增的保护头IP头IPsecTCP头数据8、IPsec的模式2、隧道模式隧道模式是为了整个IP包提供保护。要保护的整个IP包都需要封装到另一个IP数据包中,同时在外部与内部IP头之间插入一个IPsec头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端,沿途的路由器只检查最外面的IP抱头,不检查内部原来的IP报头。由于增加了一个新的IP报头,因此,新IP报文的目的地址可能与原来的不一致。数据TCPIP头IPsec新IP头受保护的内容IPsec的实现方式IPsec可以在主机、路由器或防火墙中同时实施和部署。用户可以根据对安全服务的需要决定究竟在什么地方实施,IPsec的实现方式可分为集成式、BITS方式、BITW方式三种。(1)集成方式:把IPsec集成到IP协议的原始实现中,这需要处理IP源代码,适用于在主机和安全网关中实现;(2)BITS(堆栈中的块)方式:把IPsec作为一个“楔子”插入原来的IP协议栈和链路层之间。这不需要处理IP源代码,适用于对原有系统的升级改造。这种方法通常用在主句方式中;(3)BITW(线缆中的块)方式:将IPsec的实现在一个设备中进行,该设备直接接入路由器或主机设备。当用于支持一台主机时,与BITS的实现非常相似,但在支持理由器或防火墙时,它必须起到一台安全网关的作用。8、认证头AH协议1、AH的目标2、AH协议包格式3、AH处理AH协议包格式新IP头下一头载荷长度保留安全索引参数IP头认知数据(可变)TCP头载荷数据序列号AH的处理AH如何完成IPsec报头的封装和接封装,具体步骤:Step1:外出数据包与一个SPDB(安全策略数据库)条目匹配时,查看SADB(安全关联数据库)是否有合适的SA。如果有,就将AH应用到这个与之相符的数据包,该数据包在SPDB条目指定的那个模式中。如果没有,可用IKE动态的建立一个,并把序列号计数器初始化为0。在利用这个SA构建一个AH头之前,计算器就开始递增,这样保证了每个AH报头中的序列号都是独一无二的、非零的和单向递增的数。Step2:向AH的其余字段填满恰当的值;Step3:根据验证算法的要求,或出于排列方面的原因,需要进行适当的填充。AH的处理Step4:计算ICV;Step5:输出经过处理的报文;Step6:对于进入的数据报,AH协议处理的目的就是从数据报中将AH报头剥离下来,还原出封装在IPsec内的高层数据包;Step7:重组分段;Step8:查询SADB;Step9:进行序列号检查;Step10:检查ICV;Step11:接收窗口的序列号可以递增,结束AH处理过程,验证通过的整个数据报传递给下一步的IP来处理。封装安全载荷ESP协议1、ESP的目标2、ESP协议包格式3、ESP处理ESP协议隧道模式的数据报格式新IP头安全索引参数IP头认知数据(可变)TCP头载荷数据序列号初始化向量填充项填充项长度下一个头已验证已加密ESP处理外出包处理过程如下:Step1:安全关联查询;Step2:包加密;Step3:序列号产生;Step4:完整性校验值(ICV)计算;Step5:分段;Step6:重新计算位于ESP前面的IP头检验和,按IPsec格式重新封装数据报。ESP处理对于进入包的处理过程如下:Step1:重组;Step2:SA查询;Step3:序列号验证;Step4:ICV验证;Step5:包解密。Internet密钥交换(IKE)协议两台IPsec计算机在交换数据之前,必须首先建立某种约定,这种约定称为“安全关联”,指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使两台计算机安全地交换一套密钥,以便在连接中使用。Internet工程任务组IETF制定的安全关联标准和密钥交换解决方案——IKE(Internet密钥交换)负责这些任务,它提供一种方法供两台计算机建立安全关联(SA)。SA对两台计算机之间的策略协议进行编码,指定它们将使用哪些算法和什么样的密钥长度,以及实际的密钥本身。IKE主要完成两个作用:(1)安全关联的集中化管理,减少连接时间;