密碼學與網路安全第 16章 IP安全 IP 安全 Ø

Зарегистрируйтесь, чтобы просмотреть полный документ!

密碼學與網路安全第 16章 IP安全

IP 安全 Ø 目前已經發展出許多應用層的安全機制，例如S/MIME、PGP、Kerberos、 SSL/HTTPS Ø 然而仍有其他非應用層的安全需求 Ø 在IP層實作安全不只要檢驗已具備安全機制的應用程式資料，也要檢驗沒有安全機制的應用程式資料

IPSec Ø IP層的安全機制 Ø 提供 l l l 認證保密金鑰管理 Ø 可以用在LAN、跨越私人與WAN，以及網際網路的安全傳輸能力

IPSec的應用情境

IPSec的優點 Ø Ø Ø 當路由器或是防火牆具備IPSec功能時，可以對所有的網路流量發生作用，因此能提供很好的安全性如果所有外來的訊息都必須使用IP，而防火牆是網際網路進入內部的唯一管道時，那麼可以不必擔心會有繞過防火牆IPSec的途徑 IPSec是在傳輸層（TCP、UDP）之上，因此應用程式不知其存在使用者感覺不到IPSec的存在，因此不需要額外教育使用者如果需要的話，IPSec可以對每一位使用者提供專屬的安全

IP安全架構 IPSec的規格越來越複雜 Ø 定義IPSec的RFC文件： Ø l Ø RFC 2401、RFC 2402、RFC 2406、RFC 2408 IETF設立的IP Security Protocol Working Group發表的草案： l l l l 架構（Architecture 封裝安全承載（Encapsulating Security Payload，ESP 認證標頭（Authentication Header，AH）加密演算法（Encryption Algorithm）認證演算法（Authentication Algorithm）金鑰管理（Key Management）解譯範圍（Domain of Interpretation，DOI）

IPSec服務 Ø 存取控制 Ø 無連接傳輸模式的完整性 Ø 資料來源認證 Ø 拒絕重送的封包 Ø 保密性 Ø 有限的流量保密性

安全關聯關聯是介於發送者和接收者之間的單向關係，針對訊息流量提供網路安全服務 Ø 藉由三個參數可以辨認SA的身份： Ø l l l 安全參數索引 (SPI) IP目的位址安全協定辨識器每個IPSec的實作都有名義上的SA資料庫，定義了和SA有關的參數 Ø 定義SA的參數： Ø l 序號計數器、序號計數器溢位旗標、防止重送窗口、 AH資訊、ESP資訊、此SA的期限、IPSec協定模式、路徑最大傳送單位

認證標頭 (AH) Ø AH提供資料完整性和IP封包認證的支援： l l 終端系統/路由器可以確認使用者/應用程式防止假造位址攻擊 Ø 認證是以MAC為基礎 l HMAC-MD 5 -96 或 HMAC-SHA-1 -96 Ø 雙方必須共享秘密金鑰

認證標頭

傳輸模式和通道模式

封裝安全承載 (ESP) 封裝安全承載提供了訊息內容的機密性及有限流量的機密性 Ø ESP是選擇性的功能，也提供和AH相同的認證服務 Ø 支援眾多的加密、模式、資料填充方式： Ø l l l DES、3 DES、RC 5、IDEA、CAST等最通用的CBC 區塊填充

IPSec ESP格式

傳輸模式和通道模式

合併多個安全關聯 Ø 單獨的SA可以實作AH或ESP其中一種，但不能兩種都實作 Ø 安全關聯包是指流量經過一連串SA的處理，以提供所需要的一系列IPSec服務，這群SA 就成為「一包」 Ø 位於同一包中的SA也許在不同的端點結束，也可能是在同一個端點結束

合併多個安全關聯

金鑰管理 Ø 管理金鑰的產生與傳送 Ø 通常需要兩對金鑰 l AH和ESP的每個方向需要2把金鑰 Ø 手動金鑰管理 l 系統管理者手動調整每個系統 Ø 自動金鑰管理 l l 幫助大型分散式系統產生SA所需的金鑰使用Oakley & ISAKMP協定

Oakley Key 決策協定 Ø 金鑰交換協定 Ø 以Diffie-Hellman金鑰交換演算法為基礎 Ø 並改進Diffie-Hellman金鑰交換演算法的缺點 Ø 可以計算的方式算出秘密連線金鑰

ISAKMP Ø ISAKMP定義建立、協商、修改、及刪除 SA的程序和封包格式 Ø 提供金鑰管理的框架 Ø 定義程序和封包格式來建立、處理、修改、刪除SA Ø 中立的金鑰交換協定、加密演算法和認證方法

ISAKMP標頭格式

ISAKMP承載與交換 Ø ISAKMP承載型態： l Ø Security、Proposal、Transform、Key、 Identification、Certificate、Hash、 Signature、Nonce、Notification、Delete ISAKMP交換型態： l base、identity protection、authentication only、 aggressive、informational

總結 Ø IP安全架構 Ø 認證標頭 Ø 封裝安全承載 Ø 金鑰管理 Ø Oakley/ISAKMP

Скачать презентацию 密碼學與網路安全第 16章 IP安全 IP 安全 Ø

7636567b2fef8dcaa71068bdfb76c2b6.ppt

Количество слайдов: 22

密碼學與網路安全 第 16章 IP安全 IP 安全 Ø

密碼學與網路安全第 16章 IP安全 IP 安全 Ø