Internet基礎(chǔ)設(shè)施安全
《Internet基礎(chǔ)設(shè)施安全》由會(huì)員分享,可在線閱讀,更多相關(guān)《Internet基礎(chǔ)設(shè)施安全(108頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、5.1 Internet安 全 概 述v5.1.2 Internet安 全 問(wèn) 題 Internet安 全 主 要 包 括 : (1)如 何 防 止 敏 感 信 息 被 隨 意 地 訪 問(wèn) ; (2)如 何 保 護(hù) 網(wǎng) 絡(luò) 及 其 資 源 , 以 防 黑 客 的 蓄 意 破 壞 。 敏 感 信 息 在 網(wǎng) 絡(luò) 上 以 兩 種 形 式 存 在 , 即 存 儲(chǔ) 在 物 理 介 質(zhì) (如 硬 盤(pán) 或 內(nèi) 存 )上 , 或 以 數(shù) 據(jù) 包 的 形 式 在 網(wǎng) 絡(luò) 線 路 上 傳 播 。 這 兩 種 信 息 形 式 為 攻擊 內(nèi) 部 網(wǎng) 上 的 用 戶 提 供 了 諸 多 機(jī) 會(huì) , 它 涉 及 網(wǎng) 絡(luò)
2、 安 全 問(wèn) 題 , 破 壞 網(wǎng) 上信 息 有 六 種 方 法 : 第 一 : 數(shù) 據(jù) 包 探 測(cè) 器 ; 第 二 : IP欺 騙 ; 第 三 : 口 令 襲 擊 ; 第 四 : 把 敏 感 的 內(nèi) 部 信 息 發(fā) 布 到 外 界 ; 第 五 : 中 間 人 (Man-in-the-middle)襲 擊 ; 第 六 : Deny of Service (DoS)拒 絕 服 務(wù) 攻 擊 。 5.1.2 Internet安 全 問(wèn) 題 數(shù) 據(jù) 包 探 測(cè) 器 IP欺 騙 口 令 襲 擊 敏 感 信 息 發(fā) 布 中 間 人 襲 擊 DoS攻 擊 5.1.3 安 全 范 圍 的 建 立 Interne
3、t安 全 主 要 包 括 : (1)安 全 方 案 的 重 要 部 分 是 設(shè) 置 網(wǎng) 絡(luò) 防 火 墻 (2)網(wǎng) 絡(luò) 安 全 策 略 的 核 心 是 控 制 網(wǎng) 絡(luò) 傳 輸 和 用 途 周 邊 網(wǎng) 絡(luò) 1.多 周 邊 網(wǎng) 絡(luò) 2.有 最 遠(yuǎn) 周 邊 3.內(nèi) 部 周 邊 和 最 近 周 邊 三 種 類(lèi) 型 5.1.3 安 全 范 圍 的 建 立 安 全 設(shè) 計(jì) 1.了 解 敵 人 2.計(jì) 算 開(kāi) 銷(xiāo)3.假 設(shè) 鑒 別 4.控 制 秘 密5.關(guān) 注 人 為 因 素 6.了 解 系 統(tǒng) 弱 點(diǎn)7.限 制 訪 問(wèn) 權(quán) 限 8.了 解 環(huán) 境9.限 制 確 信 10.記 住 物 理 安 全 性11.安
4、全 普 及 人 員 和 用 戶 都 應(yīng) 考 慮 每 個(gè) 改 變 對(duì) 安 全 的 影 響 ,要 進(jìn) 行 全 面 考 慮 , 并 探 討 服 務(wù) 可 能 進(jìn) 行 的 操 作 。12.針 對(duì) 電 子 商 務(wù) 的 特 點(diǎn) 而 提 出 的 新 的 安 全 需 求 : (1)身 份 的 真 實(shí) 性 (2)信 息 的 完 整 性 (3)信 息 的 保 密 性 (4)訪 問(wèn) 可 控 性 ( 5) 抗 抵 賴(lài) 性 5.1.4 安 全 措 施 及 解 決 方 案一 個(gè) 行 之 有 效 的 安 全 措 施 是 從 檢 測(cè) 網(wǎng) 絡(luò) 中 的 威 脅 、 安 全 裝置 和 脆 弱 性 入 手 , 圍 繞 下 述 幾 個(gè)
5、方 面 進(jìn) 行 保 護(hù) : 辦 公 地 點(diǎn) ; 工 作 站 ; 服 務(wù) 器 ; 網(wǎng) 絡(luò) 打 印 機(jī) 等 外 設(shè) ; 電 纜 與 外 界 的 聯(lián) 接 器 。 本 質(zhì) 上 , Internet的 安 全 性 只 能 通 過(guò) 提 供 下 面 兩 方 面 的 安 全 服 務(wù) 來(lái)達(dá) 到 : 訪 問(wèn) 控 制 服 務(wù) 用 來(lái) 保 護(hù) 計(jì) 算 和 聯(lián) 網(wǎng) 資 源 不 被 非 授 權(quán) 使 用 ; 通 信 安 全 服 務(wù) 用 來(lái) 提 供 認(rèn) 證 , 數(shù) 據(jù) 機(jī) 要 性 與 完 整 性 和 各 通 信端 的 不 可 否 認(rèn) 性 服 務(wù) 。 5.2 DNS的 安 全 性v5.2.2 DNS的 關(guān) 鍵 概 念 域 名
6、空 間 (Domain Name Space) 在 實(shí) 際 運(yùn) 用 中 , DNS可 以 看 成 是 一 個(gè) 主 機(jī) 名 (Names)的 分 布 式數(shù) 據(jù) 庫(kù) 。 這 里 提 到 的 分 布 式 是 指 在 Internet上 的 單 個(gè) 站 點(diǎn) 不 能 擁 有所 有 的 信 息 。 每 個(gè) 站 點(diǎn) (如 大 學(xué) 中 的 系 、 校 園 、 公 司 或 公 司 中 的 部門(mén) )保 留 它 自 己 的 信 息 數(shù) 據(jù) 庫(kù) , 并 運(yùn) 行 一 個(gè) 服 務(wù) 器 程 序 供 Internet上 的 其 他 系 統(tǒng) (客 戶 程 序 )查 詢(xún) 。 這 些 主 機(jī) 名 建 立 了 一 個(gè) 反 方 向 的
7、 邏輯 樹(shù) 形 結(jié) 構(gòu) , 稱(chēng) 之 為 域 名 空 間 (Domain Name Space)。 可 以 形 象地 說(shuō) , 域 名 空 間 就 是 由 Internet上 眾 多 的 DNS服 務(wù) 器 中 的 數(shù) 據(jù) 記 錄組 成 。 頂 級(jí) 域 (Top Level Domain) DNS域 的 根 域 (root domain)是 由 NIC統(tǒng) 一 管 理 , 它 也 負(fù) 責(zé) 分派 全 球 范 圍 內(nèi) 的 域 名 。 在 根 域 下 面 的 子 域 , 類(lèi) 似與 .com, .org, .edu等 , 就 稱(chēng) 為 頂 級(jí) 域 。 5.2 DNS的 安 全 性 正 向 映 射 和 反 向 映
8、 射 空 間 在 上 面 提 到 了 DNS有 正 向 映 射 和 反 向 映 射 兩 種 功 能 , 這 兩 種功 能 導(dǎo) 致 了 兩 個(gè) 命 名 空 間 : 一 個(gè) 正 向 映 射 空 間 首 先 分為 .com, .edu等 頂 級(jí) 域 , 它 們 可 以 劃 分 成 各 個(gè) 不 同 的 子 域 , 子 域又 可 以 繼 續(xù) 分 成 下 一 層 子 域 , 等 等 , 它 們 負(fù) 責(zé) 從 域 名 到 IP地 址 的映 射 ; 另 一 個(gè) 反 向 映 射 空 間 中 , 所 有 的 IP組 成 一 個(gè) 叫 做 arpa. in-addr的 頂 級(jí) 域 , 然 后 再 根 據(jù) IP層 層 細(xì)
9、 分 。 域 (Domain) 域 名 空 間 中 每 一 個(gè) 節(jié) 點(diǎn) 以 及 節(jié) 點(diǎn) 下 面 的 樹(shù) 枝 構(gòu) 成 了 一 個(gè) 域(Domain), 也 就 是 說(shuō) , 域 名 空 間 中 一 棵 邏 輯 子 樹(shù) 稱(chēng) 為 域 (Domain)。而 每 一 個(gè) 節(jié) 點(diǎn) 或 者 域 (domain)都 可 以 細(xì) 分 為 多 個(gè) 子 域 (subdomain), 也 就 是 多 條 樹(shù) 枝 。 一 般 來(lái) 說(shuō) , 一 個(gè) domain中 的 映射 關(guān) 系 是 由 一 臺(tái) 主 機(jī) 服 務(wù) 器 負(fù) 責(zé) 。 5.2 DNS的 安 全 性 區(qū) 域 (Zone) 一 般 來(lái) 說(shuō) 域 名 空 間 的 一 部
10、分 如 果 存 有 數(shù) 據(jù) 庫(kù) 記 錄 并 且 這 些 記錄 是 由 一 個(gè) 特 殊 的 區(qū) 域 文 件 管 理 , 這 一 部 分 域 名 空 間 就 可 以 稱(chēng) 為一 個(gè) 區(qū) 域 (Zone)。 簡(jiǎn) 單 來(lái) 講 , 一 個(gè) 區(qū) 域 (zone)就 是 一 棵 獨(dú) 立 管 理的 域 名 空 間 的 子 樹(shù) 。 精 確 點(diǎn) 來(lái) 說(shuō) , 每 個(gè) zone由 一 個(gè) 名 字 服 務(wù) 器負(fù) 責(zé) 。 名 字 服 務(wù) 器 (Name Servers) 名 字 服 務(wù) 器 能 夠 高 速 緩 存 域 名 樹(shù) 的 任 何 一 部 分 信 息 , 一 般 一個(gè) 區(qū) 域 擁 有 一 臺(tái) 包 含 區(qū) 域 中 所
11、有 主 機(jī) 信 息 的 名 字 服 務(wù) 器 , 該 名 字服 務(wù) 器 也 可 稱(chēng) 為 授 權(quán) (authoritative)名 字 服 務(wù) 器 , 也 稱(chēng) 為 主 名 字 服務(wù) 器 (primary, master)。 顯 然 , 為 了 防 止 主 名 字 服 務(wù) 器 當(dāng) 機(jī) 而 導(dǎo) 致 無(wú) 法 實(shí) 現(xiàn) 域 名 解 析 , 在 一 個(gè) 區(qū) 域 內(nèi) , 還 應(yīng) 該 存 在 一 臺(tái) 或 多 臺(tái) 備用 名 字 服 務(wù) 器 (secondary, slave)。 5.2 DNS的 安 全 性 資 源 記 錄 (Resource Records, RRs) 在 DNS名 字 服 務(wù) 器 中 , 一 條
12、 信 息 就 是 一 個(gè) 資 源 記 錄 (RR), 每 一 個(gè) 資源 記 錄 都 有 一 種 與 之 相 關(guān) 聯(lián) 的 類(lèi) 型 , 描 述 了 它 所 表 示 的 數(shù) 據(jù) 。 名 字 服 務(wù) 器中 所 有 的 信 息 都 是 以 RR格 式 保 存 , 該 格 式 被 用 在 DNS報(bào) 文 中 傳 送 信 息 。是 DNS報(bào) 文 的 關(guān) 鍵 組 成 部 分 。 名 字 服 務(wù) 器 (Name Servers) 解 析 器 就 是 一 個(gè) 位 于 服 務(wù) 器 和 客 戶 端 的 中 介 程 序 , 它 從 名 字 服 務(wù) 器 取得 信 息 來(lái) 響 應(yīng) 客 戶 端 的 DNS請(qǐng) 求 。 這 里 有
13、 一 個(gè) 重 要 的 概 念 需 要 說(shuō) 明 ,Resolvers和 Stub Resolvers是 不 同 的 概 念 。 Stub Resolvers是 客 戶 端 的 一個(gè) 程 序 庫(kù) (例 如 UNIX下 的 gethostbyname, gethostbyaddr函 數(shù) ), 客 戶 端如 果 需 要 訪 問(wèn) DNS, 通 過(guò) 它 向 Resolvers發(fā) 送 DNS請(qǐng) 求 授 權(quán) (Delegation) 每 一 個(gè) 域 (domain)可 以 根 據(jù) 需 要 細(xì) 分 成 多 個(gè) 子 域 (sub-domain), 這 樣 ,domain可 以 將 它 分 出 來(lái) 的 sub-do
14、main的 域 名 和 IP映 射 交 給 另 一 部 機(jī) 器 管理 , 這 個(gè) 動(dòng) 作 就 稱(chēng) 為 授 權(quán) (delegation) 5.2 DNS的 安 全 性v5.2.3 DNS體 系 結(jié) 構(gòu) 圖 5-1 DNS的 層 次 組 織 5.2 DNS的 安 全 性 圖 5-2 zone和 domain的 區(qū) 別 示 意 圖 5.2 DNS的 安 全 性v5.2.4 DNS工 作 原 理 DNS報(bào) 文 圖 5-3 DNS查 詢(xún) 和 響 應(yīng) 報(bào) 文 的 一 般 格 式報(bào) 文 ID: 2字 節(jié) 標(biāo) 志 ( 參 數(shù) ) : 2字 節(jié)問(wèn) 題 數(shù) : 2字 節(jié) 回 答 數(shù) : 2字 節(jié)授 權(quán) 資 源 記
15、 錄 數(shù) : 2字 節(jié) 額 外 資 源 記 錄 數(shù) : 2字 節(jié)查 詢(xún) 問(wèn) 題 ( 可 變 長(zhǎng) )回 答 ( 資 源 記 錄 數(shù) , 可 變 長(zhǎng) )授 權(quán) ( 可 變 長(zhǎng) )額 外 信 息 ( 可 變 長(zhǎng) ) 5.2 DNS的 安 全 性 DNS報(bào) 文 的 類(lèi) 型 , 需 要 的 服 務(wù) 圖 5-4 DNS報(bào) 文 首 部 的 標(biāo) 志 字 段QR opcode AA TC RD RA (zero) rcode1 4 1 1 1 1 3 4 5.2 DNS的 安 全 性QR: 1bit字 段 , 0表 示 查 詢(xún) 報(bào) 文 , 1表 示 響 應(yīng) 報(bào) 文 。 Opcode: 0表 示 標(biāo) 準(zhǔn) 查 詢(xún)
16、, 1表 示 反 向 查 詢(xún) , 2表 示 服 務(wù) 器 狀 態(tài) 請(qǐng) 求 , 5表 示 動(dòng) 態(tài)更 新 。 AA: “ 授 權(quán) 回 答 (Authoritative Answer)”, 由 響 應(yīng) 服 務(wù) 器 填 寫(xiě) , 一 般 來(lái) 說(shuō) , 該 位置 位 表 示 響 應(yīng) 來(lái) 自 授 權(quán) 的 名 字 服 務(wù) 器 , 不 置 位 表 示 響 應(yīng) 來(lái) 自 cache。 TC: 表 示 相 應(yīng) 數(shù) 據(jù) 包 可 截 斷 , 原 因 如 5.2.1節(jié) 所 述 。 RD: 表 示 期 待 遞 歸 , 在 查 詢(xún) 報(bào) 文 中 填 寫(xiě) , 在 響 應(yīng) 報(bào) 文 中 返 回 。 該 標(biāo) 志 告 訴 服 務(wù)器 必 須 處
17、 理 這 個(gè) 查 詢(xún) , 如 果 被 請(qǐng) 求 的 服 務(wù) 器 沒(méi) 有 對(duì) 應(yīng) 的 授 權(quán) 回 答 , 它 需 要 返 回給 客 戶 端 一 個(gè) 能 解 答 該 查 詢(xún) 的 其 他 名 字 服 務(wù) 器 列 表 。 RA: 表 示 可 用 遞 歸 , 如 果 服 務(wù) 器 支 持 遞 歸 查 詢(xún) , 在 響 應(yīng) 中 置 位 。 一 般 來(lái) 說(shuō) , 除了 根 服 務(wù) 器 , 都 應(yīng) 該 支 持 遞 歸 查 詢(xún) 。 Zero: 必 須 為 0. Rcode: 返 回 碼 。 0表 示 沒(méi) 有 差 錯(cuò) , 3表 示 名 字 差 錯(cuò) 。首 部 標(biāo) 志 后 面 的 四 個(gè) 16bit的 字 段 說(shuō) 明 最 后
18、 四 個(gè) 變 長(zhǎng) 字 段 包 含 的 條 目 數(shù) 。 5.2 DNS的 安 全 性 查 詢(xún) 問(wèn) 題 字 段 中 可 能 包 含 一 個(gè) 或 者 多 個(gè) 問(wèn) 題 , 但 是 通 常 只 有 一 個(gè) 。每 個(gè) 問(wèn) 題 的 格 式 是 一 樣 的 , 如 圖 5-5。 查 詢(xún) 名 ( 可 變 長(zhǎng) ) 查 詢(xún) 類(lèi) 型 ( 2字 節(jié) ) 查 詢(xún) 類(lèi) ( 互 聯(lián) 網(wǎng) =1) : 2字 節(jié) 圖 5-5 DNS查 詢(xún) 報(bào) 文 中 問(wèn) 題 部 分 的格 式 查 詢(xún) 名 ( 可 變 長(zhǎng) )查 詢(xún) 類(lèi) 型 ( 2字 節(jié) ) 查 詢(xún) 類(lèi) ( 互 聯(lián) 網(wǎng) =1) : 2字 節(jié)圖 5-5 DNS查 詢(xún) 報(bào) 文 中 問(wèn) 題
19、 部 分 的 格 式 5.2 DNS的 安 全 性 一 些 常 用 的 類(lèi) 型 和 查 詢(xún) 類(lèi) 型 , 查 詢(xún) 類(lèi) 型 是 類(lèi) 型 的 一 個(gè) 超 集(Superset)。 最 常 用 的 類(lèi) 型 是 A, 也 就 是 期 望 獲 得 查 詢(xún) 名 的 IP地 址 , 對(duì)于 反 向 查 詢(xún) , 期 望 獲 得 一 個(gè) IP地 址 對(duì) 應(yīng) 的 域 名 , 則 為 PTR類(lèi) 型 。 表 5-1 DNS問(wèn) 題 和 響 應(yīng) 的 類(lèi) 型 值 和 查 詢(xún) 類(lèi) 型 值名 字 數(shù) 值 描 述 類(lèi) 型 查 詢(xún) 類(lèi) 型ANSCNAMEPTRHINFOMXSOA 1251213156 IP地 址名 字 服 務(wù) 器規(guī)
20、范 名 稱(chēng)指 針 記 錄主 機(jī) 信 息郵 件 交 換 記 錄區(qū) 域 授 權(quán) 開(kāi) 始 . .AXFR或 ANY 252255 對(duì) 區(qū) 域 交 換 的 請(qǐng) 求對(duì) 所 有 記 錄 的 請(qǐng) 求 . 5.2 DNS的 安 全 性DNS資 源 記 錄 (RR)格 式 圖 5-6 DNS資 源 記 錄 (RR)格 式域 名類(lèi) 型 : 1字 節(jié) 類(lèi) (常 為 1): 1字 節(jié)生 存 時(shí) 間 ( TTL)資 源 數(shù) 據(jù) 長(zhǎng) 度 資 源 數(shù) 據(jù) 5.2 DNS的 安 全 性 DNS資 源 數(shù) 據(jù) (RDATA)幾 種 常 用 的 資 源 記 錄 中 的 資 源 數(shù) 據(jù) 格 式 : A, MX, PTR, SOA,
21、 NS。 這幾 種 資 源 數(shù) 據(jù) 是 DNS查 詢(xún) 的 基 本 類(lèi) 型 。(1)A資 源 記 錄 記 錄 的 是 IP地 址 , 因 此 它 的 資 源 數(shù) 據(jù) 項(xiàng) 只 有 IP地 址 一 項(xiàng)內(nèi) 容 。(2)MX是 郵 件 交 換 記 錄 , 它 的 資 源 數(shù) 據(jù) 項(xiàng) 包 含 兩 項(xiàng) 內(nèi) 容 : preference, exchange。 Preference是 一 個(gè) 16bit的 整 數(shù) 的 優(yōu) 先 級(jí) , 表 示 了 在同 一 個(gè) 管 理 者 下 , 同 類(lèi) 型 的 MX記 錄 中 該 記 錄 的 優(yōu) 先 級(jí) 。Exchange記 錄 的 是 在 該 區(qū) 域 下 將 要 執(zhí) 行 郵
22、件 交 換 的 主 機(jī) 的 域 名 。(3)PTR是 反 向 查 詢(xún) 指 針 記 錄 , 資 源 數(shù) 據(jù) 只 包 含 ptrdname項(xiàng) , 它 表 示對(duì) 應(yīng) 某 個(gè) IP地 址 的 本 區(qū) 域 的 域 名 。(4)NS是 域 名 服 務(wù) 器 記 錄 , 資 源 數(shù) 據(jù) 中 只 包 含 nsdname項(xiàng) , 它 為 給 定 的 某 個(gè) 域 指 定 域 名 服 務(wù) 器 。(5)SOA比 較 復(fù) 雜 , 它 表 示 某 個(gè) 區(qū) 域 名 字 服 務(wù) 器 記 錄 描 述 的 開(kāi) 始 。 它的 資 源 數(shù) 據(jù) 項(xiàng) 的 格 式 見(jiàn) 圖 5-7。 5.2 DNS的 安 全 性+-+-+-+-+-+-+-+-
23、+-+-+-+-+-+-+-+-+/ MNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/ RNAME /+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| SERIAL |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| REFRESH |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| RETRY |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| EXPIRE | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| MINIMUM |+-+-+-+-+-+-+-+
24、-+-+-+-+-+-+-+-+-+圖 5-7 SOA資 源 記 錄 的 資 源 數(shù) 據(jù) 項(xiàng) 格 式 5.2 DNS的 安 全 性 DNS區(qū) 域 文 件 (zone file) 區(qū) 域 文 件 中 每 一 行 的 格 式 為 : name class record_type data name指 正 在 處 理 的 主 機(jī) 名 , 比 如 說(shuō) 查 詢(xún) 報(bào) 文 中 的 要 求 地 址 翻譯 的 主 機(jī) 名 , 任 何 沒(méi) 有 以 點(diǎn) 號(hào) 結(jié) 尾 的 主 機(jī) 名 在 后 面 添 加 域 名 ,class一 般 都 為 IN, Internet地 址 。 區(qū) 域 文 件 包 含 了 這 么 四 個(gè)
25、方 面 的 內(nèi) 容 : 區(qū) 域 中 所 有 節(jié) 點(diǎn) 的 認(rèn) 證 數(shù) 據(jù) ( 也 就 是 地 址 轉(zhuǎn) 換 等 信 息 ) 區(qū) 域 內(nèi) 頂 節(jié) 點(diǎn) 的 數(shù) 據(jù) : 描 述 代 表 子 區(qū) 域 的 數(shù) 據(jù) 訪 問(wèn) 子 區(qū) 域 服 務(wù) 器 的 數(shù) 據(jù) 。 5.2 DNS的 安 全 性Line Zone Data File1:2:3:4:5:6:7:8:9: 10:11:12: .hostsecurensservmail ININININININ SOANSMXAAA .131.87.24.3131.87.24.1131.87.24.4 .:serial number:refresh time:retr
26、y time:expire time:time to live圖 5-8 一 個(gè) 簡(jiǎn) 單 的 區(qū) 域 文 件 內(nèi) 容 5.2 DNS的 安 全 性 DNS查 詢(xún) 過(guò) 程 圖 5-9 一 個(gè) 解 析 器 查 詢(xún) 的 過(guò) 程 實(shí) 例 5.2 DNS的 安 全 性v5.2.5 DNS欺 騙 (DNS spoofing)1 .誤 導(dǎo) 目 的 地 址 某 個(gè) 用 戶 需 要 telnet到 某 一 個(gè) 服 務(wù) 器 A上 , telnet客 戶 程 序 自 動(dòng) 地 通 過(guò) 解析 器 (resolver)向 本 地 DNS名 字 服 務(wù) 器 請(qǐng) 求 地 址 翻 譯 , 攻 擊 者 提 供 給 用 戶 一 條
27、虛 假 DNS響 應(yīng) , 讓 解 析 器 認(rèn) 為 是 來(lái) 自 本 地 DNS名 字 服 務(wù) 器 的 正 確 響 應(yīng) , 于 是用 戶 得 到 的 地 址 翻 譯 結(jié) 果 (IP地 址 )是 一 個(gè) 偽 造 的 地 址 , 接 著 , 用 戶 在 telnet客戶 端 輸 入 帳 號(hào) 密 碼 , 當(dāng) 然 , 他 認(rèn) 為 他 現(xiàn) 在 已 經(jīng) 連 接 在 服 務(wù) 器 A上 。 不 幸 的 事 情發(fā) 生 了 , 他 并 不 是 連 接 在 服 務(wù) 器 A上 , 而 是 連 接 在 一 個(gè) 攻 擊 者 偽 造 的 IP地 址 上 ,當(dāng) 然 , 這 時(shí) telnet連 接 會(huì) 中 斷 , 用 戶 可 能
28、重 新 進(jìn) 行 telnet連 接 , 這 次 他 正 確 地連 上 了 A服 務(wù) 器 , 他 可 能 會(huì) 忽 視 剛 才 發(fā) 生 的 情 況 , 因 為 telnet斷 線 是 一 件 再 正常 不 過(guò) 的 事 情 了 。 于 是 , 攻 擊 者 輕 易 地 得 到 了 該 用 戶 的 帳 號(hào) 密 碼 。2 .DNS緩 存 中 毒 (DNS Cache Poisoning) DNS名 字 服 務(wù) 器 為 了 提 高 查 詢(xún) 效 率 , 普 遍 使 用 了 高 速 緩 存 (cache)技 術(shù) ,這 項(xiàng) 技 術(shù) 能 夠 帶 來(lái) 查 詢(xún) 的 高 效 率 , 但 是 也 給 攻 擊 者 提 供 了
29、 一 個(gè) 良 好 的 場(chǎng) 所 。 5.2 DNS的 安 全 性v5.2.6 DNS安 全 特 點(diǎn) DNS的 安 全 和 大 家 一 般 認(rèn) 為 的 網(wǎng) 絡(luò) 安 全 存 在 不 同 之 處 。 一 般 意 義 上的 網(wǎng) 絡(luò) 安 全 , 特 別 關(guān) 注 于 傳 輸 安 全 , 例 如 IPSec技 術(shù) , 以 保 證 信 息 在Internet上 傳 送 時(shí) 不 為 攻 擊 者 所 截 獲 , 要 不 就 是 關(guān) 注 于 操 作 系 統(tǒng) 或 者協(xié) 議 的 漏 洞 , 防 止 黑 客 利 用 這 些 漏 洞 攻 擊 。 但 是 DNS它 的 關(guān) 注 點(diǎn) 不 在傳 輸 上 面 , 因 為 DNS的 內(nèi)
30、 容 并 不 需 要 保 密 , 而 協(xié) 議 的 漏 洞 , 按 照 ISC (Industrial Security Committee)創(chuàng) 始 人 Paul Vixie的 說(shuō) 法 : 歷 史 上 幾乎 所 有 計(jì) 算 機(jī) 或 者 計(jì) 算 機(jī) 安 全 的 漏 洞 都 不 在 于 協(xié) 議 或 者 基 本 加 密 算 法的 漏 洞 , 而 是 在 于 實(shí) 現(xiàn) 過(guò) 程 的 錯(cuò) 誤 。 DNS安 全 關(guān) 注 的 應(yīng) 該 是 : 如 何 保證 收 到 的 DNS報(bào) 文 是 可 信 任 、 如 何 判 斷 該 報(bào) 文 是 否 完 整 、 如 何 保 證 附加 字 段 的 信 息 是 值 得 信 任 的
31、。 5.2 DNS的 安 全 性v5.2.7 DNS安 全 問(wèn) 題 的 解 決 方 案 從 前 述 對(duì) DNS幾 種 攻 擊 方 法 的 分 析 中 知 道 , DNS系 統(tǒng) 之 所 以 容 易受 到 欺 騙 的 一 個(gè) 最 根 本 的 原 因 就 是 DNS服 務(wù) 器 或 者 解 析 器 無(wú) 法 分 辨 出DNS報(bào) 文 來(lái) 源 的 真 偽 以 及 無(wú) 法 分 辨 出 DNS報(bào) 文 是 否 被 修 改 過(guò) 。 解 決 問(wèn)題 應(yīng) 該 從 源 頭 解 決 , 因 此 , DNSSEC的 根 本 目 標(biāo) 就 是 保 護(hù) DNS查 詢(xún) 報(bào)文 的 數(shù) 據(jù) 完 整 性 和 數(shù) 據(jù) 源 的 正 確 性 。
32、它 主 要 采 用 的 機(jī) 制 是 非 對(duì) 稱(chēng) 加 密機(jī) 制 和 數(shù) 字 簽 名 機(jī) 制 。 加 密 和 簽 名 是 網(wǎng) 絡(luò) 安 全 傳 輸 的 一 個(gè) 基 本 特 點(diǎn) 和 要 求 。 采 用 何 種 加密 算 法 和 策 略 、 以 及 采 用 何 種 數(shù) 字 簽 名 機(jī) 制 能 夠 更 有 效 , 更 安 全 是 很重 要 的 。 DNSSEC采 用 非 對(duì) 稱(chēng) 加 密 算 法 中 的 公 鑰 加 密 機(jī) 制 以 及 基 于Hash函 數(shù) 的 數(shù) 字 簽 名 技 術(shù) , 在 某 些 特 殊 場(chǎng) 景 下 , DNSSEC也 采 用 共享 密 鑰 和 MAC機(jī) 制 來(lái) 保 證 消 息 完 整
33、性 。 5.3 IPSec安 全 協(xié) 議v5.3.2 IPSec體 系 結(jié) 構(gòu) 5.3 IPSec安 全 協(xié) 議IPsec的 處 理 5.3 IPSec安 全 協(xié) 議v5.3.3 安 全 聯(lián) 結(jié) (Security Association SA) 定 義 安 全 聯(lián) 結(jié) (Security Association, SA)是 兩 個(gè) 應(yīng) 用 IPsec實(shí) 體 (主機(jī) 、 路 由 器 )間 的 一 個(gè) 單 向 邏 輯 連 接 , 是 與 給 定 的 一 個(gè) 網(wǎng) 絡(luò) 連 接 或一 組 連 接 相 關(guān) 的 安 全 信 息 參 數(shù) 的 集 合 , SA為 在 它 之 上 所 攜 帶 的 業(yè)務(wù) 流 提
34、供 安 全 保 護(hù) , 決 定 保 護(hù) 什 么 、 如 何 保 護(hù) 以 及 誰(shuí) 來(lái) 保 護(hù) 通 信 數(shù)據(jù) 。 SA用 一 個(gè) 三 元 組 (安 全 參 數(shù) 索 引 SPI、 目 的 IP地 址 、 安 全 協(xié) 議 )唯 一 標(biāo) 識(shí) 。 模 式 1.傳 輸 模 式 2.隧 道 模 式 。 5.3 IPSec安 全 協(xié) 議 IP頭 TCP頭 數(shù) 據(jù)IP頭 IPsec頭 TCP頭 數(shù) 據(jù)IP頭 IPsec頭 IP頭 TCP頭 數(shù) 據(jù) (1)傳 輸 模 式 下 , 安 全 協(xié) 議 頭 (AH/ESP)緊 跟 在 IP頭 及 其 選 項(xiàng) 之 后 ,并 位 于 其 它 上 層 協(xié) 議 頭 之 前 (如 T
35、CP/UDP)。 (2)在 隧 道 模 式 下 , 安 全 聯(lián) 結(jié) 等 同 于 用 安 全 聯(lián) 結(jié) 保 護(hù) 一 條 IPIP隧 道 。在 隧 道 模 式 下 的 IP報(bào) 文 有 一 個(gè) 外 層 IP頭 , 它 定 義 了 IPsec協(xié) 議 處 理 的 終點(diǎn) , 同 時(shí) 還 有 一 個(gè) 內(nèi) 層 IP頭 , 它 定 義 了 這 個(gè) IP報(bào) 文 的 最 終 信 宿 的 地 址 。安 全 協(xié) 議 頭 界 于 外 層 IP頭 與 內(nèi) 層 IP頭 之 間 。 如 果 采 用 的 是 AH協(xié) 議 , 那么 能 保 護(hù) 外 層 IP頭 的 部 分 信 息 和 所 有 內(nèi) 層 運(yùn) 載 的 數(shù) 據(jù) ; 如 果 是
36、 ESP協(xié)議 , 那 么 只 保 護(hù) 所 有 內(nèi) 層 運(yùn) 載 的 數(shù) 據(jù) , 而 不 保 護(hù) 外 層 IP頭 信 息 。原 始 的 IP包傳 輸 模 式 受 保 護(hù) 的 包隧 道 模 式 受 保 護(hù) 的 包 5.3 IPSec安 全 協(xié) 議安 全 聯(lián) 結(jié) 數(shù) 據(jù) 庫(kù) 1.介 紹 IPSec協(xié) 議 規(guī) 范 給 出 了 一 個(gè) 外 在 特 性 的 模 板 , 該 模 板 包 含 兩 個(gè) 名 義上 的 數(shù) 據(jù) 庫(kù) : 安 全 策 略 數(shù) 據(jù) 庫(kù) (Security Policy Database)和 安 全 聯(lián)結(jié) 數(shù) 據(jù) 庫(kù) (Security Association Database)。2.安 全
37、 策 略 數(shù) 據(jù) 庫(kù) 制 定 安 全 策 略 , 首 先 要 檢 查 如 下 問(wèn) 題 : (1) IPSec協(xié) 議 要 保 護(hù) 哪 些 資 源 ? (2) 這 些 資 源 防 備 哪 些 攻 擊 者 ? (3) 有 什 么 樣 的 攻 擊 手 段 ? (4) 采 取 什 么 具 體 協(xié) 議 和 算 法 最 經(jīng) 濟(jì) 有 效 ? 5.3 IPSec安 全 協(xié) 議 在 確 定 了 這 些 問(wèn) 題 的 基 礎(chǔ) 上 , 再 來(lái) 制 定 具 體 策 略 , 即 保 護(hù) 網(wǎng) 絡(luò) 資 源 避免 受 損 失 和 破 壞 的 方 法 。 通 常 有 兩 種 設(shè) 計(jì) 策 略 : 允 許 除 明 確 拒 絕 之 外
38、的 所 有 網(wǎng) 絡(luò) 通 信 。 拒 絕 除 明 確 允 許 之 外 的 所 有 網(wǎng) 絡(luò) 通 信 。 對(duì) 于 每 個(gè) IP數(shù) 據(jù) 報(bào) , 有 三 種 可 能 的 安 全 策 略 : 丟 棄 、 繞 過(guò) IPSec處 理 和 經(jīng)過(guò) IPSec處 理 。 安 全 策 略 對(duì) 應(yīng) 其 一 。 第 一 種 策 略 不 允 許 相 應(yīng) 的 IP數(shù) 據(jù) 報(bào) 通 過(guò) 安全 網(wǎng) 關(guān) , 或 者 不 允 許 它 被 遞 交 給 上 層 應(yīng) 用 ; 第 二 種 策 略 允 許 發(fā) 送 沒(méi) 有 被 IPSec協(xié) 議 保 護(hù) 的 IP數(shù) 據(jù) 報(bào) ; 第 三 種 策 略 要 求 相 應(yīng) 的 IP數(shù) 據(jù) 報(bào) 必 須 被 I
39、PSec協(xié) 議 保 護(hù) ,并 且 指 明 了 所 用 的 安 全 協(xié) 議 和 算 法 等 要 素 。IP數(shù) 據(jù) 報(bào) 特 征 處 理 策 略主 機(jī) A到 主 機(jī) B的 TCP報(bào) 文 用 IPSec協(xié) 議 保 護(hù) 該 類(lèi) 報(bào) 文網(wǎng) 絡(luò) C到 網(wǎng) 絡(luò) D的 所 有 報(bào) 文 直 接 發(fā) 送從 網(wǎng) 絡(luò) X來(lái) 的 所 有 報(bào) 文 丟 棄 5.3 IPSec安 全 協(xié) 議3.選 擇 符 可 以 采 用 的 選 擇 符 有 : 目 的 IP地 址 : 可 以 是 一 個(gè) IP地 址 , 可 以 是 一 個(gè) 地址 范 圍 ,也 可 以 是 個(gè) 網(wǎng) 段 。 源 IP地 址 傳 輸 層 協(xié) 議 (如 TCP/UDP
40、) 傳 輸 層 的 源 和 目 的 端 口4.安 全 聯(lián) 結(jié) 庫(kù) (1)對(duì) 于 輸 出 報(bào) 文 , 它 所 要 使 用 的 安 全 聯(lián) 結(jié) 由 安 全 策 略 指定 (2)對(duì) 于 輸 入 的 報(bào) 文 , 就 由 三 元 組 : 來(lái) 確 定 。 5.3 IPSec安 全 協(xié) 議一 個(gè) 安 全 聯(lián) 結(jié) 庫(kù) 應(yīng) 含 如 下 內(nèi) 容 : (1)所 使 用 的 安 全 協(xié) 議 : AH或 ESP。 (2)協(xié) 議 模 式 : 隧 道 或 傳 輸 模 式 。 (3)序 號(hào) 計(jì) 數(shù) 值 用 于 產(chǎn) 生 AH或 ESP頭 的 序 號(hào) 。 (4)序 號(hào) 溢 出 標(biāo) 志 : 指 示 序 號(hào) 溢 出 的 情 況 。
41、(5)防 重 放 窗 口 : 由 一 個(gè) 32位 計(jì) 數(shù) 器 與 一 個(gè) 位 圖 組 成 , 用 來(lái) 檢 查 重放 報(bào) 文 。 (6)AH協(xié) 議 認(rèn) 證 算 法 和 密 鑰 。 (7)ESP協(xié) 議 加 密 算 法 及 其 密 鑰 、 初 始 向 量 和 模 式 。 (8)ESP協(xié) 議 認(rèn) 證 算 法 和 密 鑰 。 (9)生 存 期 。 生 存 期 有 兩 種 形 式 : 以 時(shí) 間 為 單 位 和 以 字 節(jié) 為 單 位 。 前 者 規(guī) 定 了 這 個(gè) 安 全 聯(lián) 結(jié) 的 有 效 使 用 時(shí) 間 ; 后 者 規(guī) 定 這 個(gè) 安 全 聯(lián)結(jié) 最 多 能 處 理 的 字 節(jié) 數(shù) (加 密 或 認(rèn)
42、證 算 法 計(jì) 算 的 字 節(jié) 總 數(shù) )。 當(dāng) 生 存期 滿 后 , 通 信 的 雙 方 可 以 協(xié) 議 商 生 成 一 個(gè) 新 的 安 全 聯(lián) 結(jié) 。 5.3 IPSec安 全 協(xié) 議 安 全 聯(lián) 結(jié) 和 密 鑰 管 理 1 .人 工 方 式 2. 自 動(dòng) 方 式 5 SA與 多 播 5.3 IPSec安 全 協(xié) 議v5.3.4 認(rèn) 證 頭 協(xié) 議 規(guī) 范 認(rèn) 證 頭 協(xié) 議 介 紹 認(rèn) 證 頭 (Authenication Header)協(xié) 議 保 護(hù) IP數(shù) 據(jù) 庫(kù) ,提 供 無(wú) 連 接 的 完 整 性 和 數(shù) 據(jù) 源 頭 的 認(rèn) 證 (統(tǒng) 稱(chēng) 為 認(rèn) 證 ),以 及 防 止 “ 重
43、放 攻 擊 ” 服 務(wù) 。 SA用 一 個(gè) 三 元 組 (安 全 參數(shù) 索 引 SPI、 目 的 IP地 址 、 安 全 協(xié) 議 )唯 一 標(biāo) 識(shí) 。 報(bào) 文 格 式 上 層 協(xié) 議 負(fù) 荷 長(zhǎng) 度 保 留 字 段安 全 參 數(shù) 索 引 值 序 號(hào)認(rèn) 證 數(shù) 據(jù) 5.3 IPSec安 全 協(xié) 議1.上 層 協(xié) 議 : 上 層 協(xié) 議 字 段 為 8比 特 , 定 義 了 緊 接 AH頭 的 上層 協(xié) 議 類(lèi) 型 。2.負(fù) 荷 長(zhǎng) 度 : 這 是 一 個(gè) 8位 的 字 段 , 其 值 等 于 AH頭 長(zhǎng) 度 (以 32位 字 計(jì) 算 )減 去 2。 保 留 字 段 : 用 于 今 后 的 擴(kuò) 充
44、 , 應(yīng) 填 0。3.安 全 參 數(shù) 索 引 值 : SPI是 一 個(gè) 32位 的 值 , 用 以 區(qū) 分 那 些 目的 IP地 址 和 安 全 協(xié) 議 類(lèi) 型 相 同 , 但 算 法 不 同 的 數(shù) 據(jù) 報(bào) 。4.序 號(hào) : 序 號(hào) 為 32位 的 整 數(shù) , 它 代 表 一 個(gè) 單 調(diào) 遞 增 計(jì) 數(shù) 器 的值 。5.認(rèn) 證 數(shù) 據(jù) : 這 個(gè) 域 的 長(zhǎng) 度 可 變 , 它 存 放 IP數(shù) 據(jù) 報(bào) 的 完 整 性校 驗(yàn) 值 (ICV)。 5.3 IPSec安 全 協(xié) 議原 IP頭 (選 項(xiàng) ) TCP 用 戶 數(shù) 據(jù)原 IP頭 (選 項(xiàng) ) AH頭 TCP 用 戶 數(shù) 據(jù)原 始 的 IP
45、報(bào) 文認(rèn) 證 范 圍 (除 可 變 字 段 外 ) 新 IP頭 (選 項(xiàng) ) AH頭 原 IP頭 (選 項(xiàng) ) TCP 用 戶 數(shù) 據(jù) 協(xié) 議 首 部 處 理 1.位 置 (1) 傳 輸 模 式 經(jīng) AH協(xié) 議 傳 輸 模 式 認(rèn) 證認(rèn) 證 范 圍 (除 可 變 字 段 外 )經(jīng) AH協(xié) 議 隧 道 認(rèn) 證 (2) 隧 道 模 式 5.3 IPSec安 全 協(xié) 議2.算 法 一 致 性 要 求 3. 認(rèn) 證 值 的 計(jì) 算 ( 1) 計(jì) 算 覆 蓋 的 范 圍 AH頭 的 ICV計(jì) 算 覆 蓋 如 下 區(qū) 域 : 在 傳 輸 過(guò) 程 中 , IP頭 中 那 些 不 變 字 段 , 或 是 盡管
46、 變 , 但 其 值 可 以 被 預(yù) 測(cè) 的 字 段 。 AH頭 和 可 能 的 填 充 字 節(jié) , 認(rèn) 證 數(shù) 據(jù) 在 ICV計(jì) 算時(shí) 全 部 填 0。 上 層 協(xié) 議 數(shù) 據(jù) , 這 些 數(shù) 據(jù) 在 傳 輸 過(guò) 程 中 不 會(huì) 發(fā)生 變 化 。 5.3 IPSec安 全 協(xié) 議( 2) 可 變 域 的 處 理在 傳 輸 過(guò) 程 中 , IP頭 和 它 的 選 項(xiàng) 可 能 發(fā) 生 改 變 : IP頭 IPv4頭 中 的 字 段 有 不 變 的 , 有 可 變 的 , 有 可 變 但 是 可 預(yù) 測(cè) 的 : 不 變 字 段 : 版 本 號(hào) 、 IP頭 長(zhǎng) 度 、 數(shù) 據(jù) 報(bào) 總 長(zhǎng) 、 標(biāo) 識(shí)
47、 、 上 層 協(xié) 議 、 源 地址 、 目 的 地 址 (沒(méi) 有 源 選 徑 選 項(xiàng) 時(shí) )。 可 變 但 可 預(yù) 測(cè) 的 字 段 : 目 的 地 址 (有 源 選 徑 選 項(xiàng) 時(shí) )。 可 變 且 不 可 預(yù) 測(cè) 的 字 段 : 服 務(wù) 類(lèi) 型 (TOS)、 標(biāo) 志 、 生 存 期 、 頭 校 驗(yàn) 和 。TOS: 盡 管 在 IP協(xié) 議 中 , TOS是 不 可 變 的 , 但 有 些 路 由 器 要 修 改 這 個(gè) 字段 的 值 。標(biāo) 志 : 因 為 IP數(shù) 據(jù) 報(bào) 在 傳 輸 過(guò) 程 中 可 能 被 分 段 , 所 以 標(biāo) 志 字 段 的 DF位 有 可 能 發(fā) 生 變 化 。生 存 期
48、 : 這 個(gè) 字 段 的 值 隨 經(jīng) 過(guò) 的 路 由 器 而 變 化 , 因 此 也 不 可 預(yù) 測(cè) 。頭 校 驗(yàn) 和 : 如 果 上 述 幾 個(gè) 字 段 發(fā) 生 變 化 , 它 的 值 自 然 隨 之 改 變 。 5.3 IPSec安 全 協(xié) 議 IP選 項(xiàng) 在 IPv4中 , 每 一 選 項(xiàng) 都 被 視 為 一 個(gè) 整 體 , 所 以 盡 管 選項(xiàng) 的 類(lèi) 型 和 長(zhǎng) 度 沒(méi) 有 發(fā) 生 改 變 , 只 要 其 內(nèi) 容 改 變 了 , 這一 選 項(xiàng) 都 被 認(rèn) 為 是 可 變 的 。 對(duì) 于 這 種 情 況 , 在 計(jì) 算 ICV時(shí) ,把 這 個(gè) 選 項(xiàng) 整 體 填 充 為 0。4. 填
49、充 處 理( 1) 認(rèn) 證 數(shù) 據(jù) 填 充( 2) 包 長(zhǎng) 填 充 5.3 IPSec安 全 協(xié) 議v5.3.5 安 全 封 裝 協(xié) 議 規(guī) 范 安 全 封 裝 協(xié) 議 介 紹 安 全 封 裝 協(xié) 議 (Encapsulating Security Payload)可 以 為 IP數(shù)據(jù) 報(bào) 提 供 幾 種 安 全 服 務(wù) 。 它 可 以 單 獨(dú) 使 用 , 也 可 以 與 AH協(xié) 議 一 起使 用 , 或 者 以 隧 道 方 式 嵌 套 使 用 。 報(bào) 文 格 式 安 全 參 數(shù) 索 引 SPI序 號(hào) 初 始 化 向 量載 荷 數(shù) 據(jù)填 充 數(shù) 據(jù) 填 充 項(xiàng) 長(zhǎng) 度 上 層 協(xié) 議認(rèn) 證 數(shù)
50、 據(jù) (變 長(zhǎng) )(HMAC) 5.3 IPSec安 全 協(xié) 議1.安 全 參 數(shù) 索 引 : 與 AH協(xié) 議 一 樣 , 收 方 可 由 此 確 定 報(bào) 文 所 用 的 安 全 聯(lián) 結(jié) 。2.序 號(hào) : 與 AH協(xié) 議 一 樣 , 這 一 序 號(hào) 也 是 一 個(gè) 遞 增 計(jì) 數(shù) 器 的 值 , 用 來(lái) 防 止重 放 攻 擊 。3.載 荷 數(shù) 據(jù) : 載 荷 數(shù) 據(jù) 是 非 定 長(zhǎng) 的 域 , 用 來(lái) 存 放 經(jīng) ESP協(xié) 議 處 理 過(guò) 的 數(shù) 據(jù) ,這 些 數(shù) 據(jù) 所 屬 的 類(lèi) 型 由 “ 下 一 協(xié) 議 頭 ” 字 段 定 義 。4.填 充 數(shù) 據(jù) : 由 于 以 下 幾 個(gè) 原 因
51、, ESP需 要 填 充 字 段 :(1) 加 密 算 法 需 要 明 文 長(zhǎng) 度 為 分 組 塊 長(zhǎng) 度 的 整 數(shù) 倍 (2) 填 充 字 段 還 能 保 證 上 層 協(xié) 議 字 段 的 右 邊 界 以 4字 節(jié) 對(duì) 齊 。(3) 另 外 , 通 過(guò) 使 用 填 充 字 段 , ESP協(xié) 議 能 有 效 地 隱 藏 實(shí) 際 載 荷 的 長(zhǎng) 度 ,從 而 提 供 一 定 的 流 量 保 密 性 。5.上 層 協(xié) 議 : 上 層 協(xié) 議 字 段 指 出 了 載 荷 數(shù) 據(jù) 所 包 含 的 內(nèi) 容 。 6.認(rèn) 證 數(shù) 據(jù) : 認(rèn) 證 數(shù) 據(jù) 是 ESP認(rèn) 證 算 法 對(duì) 從 安 全 參 數(shù) 索
52、引 字 段 開(kāi) 始 , 到 上層 協(xié) 議 字 段 為 止 的 所 有 數(shù) 據(jù) 進(jìn) 行 認(rèn) 證 的 結(jié) 果 。 5.3 IPSec安 全 協(xié) 議 報(bào) 文 處 理 1.協(xié) 議 頭 位 置 (1)傳 輸 模 式 (2)隧 道 模 式 原 IP頭 (選 項(xiàng) ) TCP 用 戶 數(shù) 據(jù) 原 IP報(bào) 文原 IP頭 (選 項(xiàng) ) ESP頭 TCP 用 戶 數(shù) 據(jù) ESP尾 ESP認(rèn) 證ESP協(xié) 議 加 密 范 圍ESP協(xié) 議 認(rèn) 證 范 圍 (a) ESP傳 輸 模 式新 IP頭 (選 項(xiàng) ) ESP頭 原 IP頭 (選 項(xiàng) ) TCP 用 戶 數(shù) 據(jù) ESP尾 ESP認(rèn) 證ESP協(xié) 議 加 密 范 圍ES
53、P協(xié) 議 認(rèn) 證 范 圍(b) ESP隧 道 模 式圖 5-16 安 全 聯(lián) 結(jié) 兩 種 模 式 下 的 ESP協(xié) 議 頭 位 置 5.3 IPSec安 全 協(xié) 議1.算 法 一 致 性 要 求 ESP協(xié) 議 所 涉 及 的 算 法 分 為 加 密 算 法 和 認(rèn) 證 算 法 兩 類(lèi) ,由 相 應(yīng) 的 安 全 聯(lián) 結(jié) 規(guī) 定 兩 種 算 法 實(shí) 施 細(xì) 節(jié) , 但 至 少 要 選取 一 種 算 法 。 ( 1) 加 密 算 法 ( 2) 認(rèn) 證 算 法 5.3 IPSec安 全 協(xié) 議v5.3.6 SA的 使 用 SA的 組 合 方 式 1. “傳 輸 方 式 組 合 ” 圖 5-17 傳 輸
54、 方 式 組 合 5.3 IPSec安 全 協(xié) 議2. “嵌 套 隧 道 ” (1) 所 有 的 安 全 聯(lián) 結(jié) 隧 道 的 兩 個(gè) 終 點(diǎn) 都 分 別 一 樣 (如 圖 5-18示 )。內(nèi) 外 隧 道 協(xié) 議 可 以 是 AH或 ESP, 但 一 般 來(lái) 說(shuō) 內(nèi) 外 層 的 安 全 協(xié) 議 不會(huì) 相 同 , 如 同 是 AH或 ESP協(xié) 議 。 5.3 IPSec安 全 協(xié) 議 (2) 安 全 聯(lián) 結(jié) 有 一 個(gè) 共 同 的 終 點(diǎn) 。 內(nèi) 外 層 隧 道 協(xié) 議 可 以 是 AH或 ESP協(xié) 議 。 5.3 IPSec安 全 協(xié) 議 (3) 安 全 聯(lián) 結(jié) 沒(méi) 有 一 個(gè) 共 同 的 終
55、點(diǎn) 。 內(nèi) 外 層 隧 道 協(xié) 議 可 以 是 AH或ESP協(xié) 議 。 5.3 IPSec安 全 協(xié) 議 對(duì) 于 以 傳 輸 方 式 組 合 的 SA, 只 有 一 種 實(shí) 用 順 序 : 由 于 傳 輸 方 式的 AH保 護(hù) 了 上 層 協(xié) 議 數(shù) 據(jù) 和 部 分 IP頭 數(shù) 據(jù) , 當(dāng) AH與 ESP一 起 使 用時(shí) , AH應(yīng) 該 緊 接 在 IP頭 后 , 并 位 于 ESP之 前 。 這 時(shí) , AH保 護(hù) 了ESP所 加 密 的 數(shù) 據(jù) , IP包 結(jié) 構(gòu) 如 圖 5-21所 示 。 與 此 相 對(duì) 的 是 , 在 嵌 套 隧 道 組 合 方 式 下 , 可 以 有 多 種 多 樣
56、 的 組 合 順序 。 IP頭 AH頭 ESP頭 TCP頭 用 戶 數(shù) 據(jù) 圖 5-21 加 密 后 IP包 結(jié) 構(gòu) 5.3 IPSec安 全 協(xié) 議自 到 協(xié) 議 端 口 策 略1.1.1.1 2.2.2.2 任 意 值 任 意 值 隨 HMAC-MD5使 用 的 傳 送 AH 使 用 SA實(shí) 例A的 SPD 自 目 的 地 協(xié) 議 SPI SA記 錄1.1.1.1 2.2.2.2 AH 10 MD5密 鑰A的 外 出 SADB 5.3 IPSec安 全 協(xié) 議RA的 SPD自 到 協(xié) 議 端 口 策 略 通 道 目 的 地1.1.1/24 2.2.2/24 任 意 值 任 意 值 隨 3D
57、ES使 用 的 通 道 ESP 6.6.6.6RA的 外 出 SADB源 目 的 地 協(xié) 議 SPI SA記 錄5.5.5.5 6.6.6.6 ESP通 道 11 168位 的 3DES密 鑰RB的 SPD自 到 協(xié) 議 端 口 策 略 通 道 入 口 1.1.1/24 2.2.2/24 任 意 值 任 意 值 3DES ESP 5.5.5.5RB的 進(jìn) 入 SADB源 目 的 地 協(xié) 議 SPI SA記 錄5.5.5.5 6.6.6.6 ESP 11 168位 3DES密 鑰 5.3 IPSec安 全 協(xié) 議B的 SPD自 到 協(xié) 議 端 口 策 略2.2.2.2 1.1.1.1 AH 任
58、意 值 隨 HMAC-MD5使 用 的 傳 送 AHB的 進(jìn) 入 SADB源 目 的 地 協(xié) 議 SPI SA記 錄1.1.1.1 2.2.2.2 AH 10 HMAC-MD5密 鑰在 RA與 RB之 間 傳 送 的 IP包 結(jié) 構(gòu) 如 圖 5-23所 示 :新 IP頭 ESP頭 原 IP頭 AH頭 TCP頭 用 戶 數(shù) 據(jù) ESP尾 5.3 IPSec安 全 協(xié) 議v5.3.7 IPsec協(xié) 議 處 理 過(guò) 程 外 出 處 理 1.丟 棄 丟 棄 數(shù) 據(jù) 包 , 并 記 錄 出 錯(cuò) 信 息 。2.繞 過(guò) IPsec給 數(shù) 據(jù) 包 添 加 IP頭 , 然 后 發(fā) 送 。3.應(yīng) 用 IPsec查
59、 詢(xún) SAD, 確 定 是 否 存 在 有 效 的 SA。 5.3 IPSec安 全 協(xié) 議(1)存 在 有 效 的 SA, 則 取 出 相 應(yīng) 的 參 數(shù) , 將 數(shù) 據(jù) 包 封 裝 ( 包 括 加 密 、 驗(yàn) 證 ,添 加 IPsec頭 和 IP頭 等 ) , 然 后 發(fā) 送 。AH輸 出 包 處 理 過(guò) 程 : AH頭 定 位 : 在 傳 輸 模 式 下 , AH頭 插 在 IP頭 和 上 層 協(xié) 議 頭 之 間 ; 在 隧 道 模式 下 , AH頭 在 整 個(gè) 原 IP數(shù) 據(jù) 報(bào) 之 前 。發(fā) 送 方 對(duì) IP包 計(jì) 算 認(rèn) 證 數(shù) 據(jù) ICV, 并 將 結(jié) 果 放 入 輸 出 包 的
60、 認(rèn) 證 數(shù) 據(jù) 字 段 隨 包發(fā) 送 。ESP輸 出 包 處 理 過(guò) 程 : ESP頭 定 位 : 在 傳 輸 模 式 下 , ESP插 在 IP頭 和 上 一 層 協(xié) 議 頭 之 間 ; 在 隧 道模 式 下 , ESP頭 在 整 個(gè) 原 IP數(shù) 據(jù) 報(bào) 之 前 。 包 加 密 : a)封 裝 : 把 數(shù) 據(jù) 封 裝 到 ESP的 有 效 負(fù) 載 字 段 傳 輸 模 式 只 封 裝 上 層 協(xié) 議 數(shù) 據(jù) ; 隧 道 模 式 封 裝 整 個(gè) 原 IP數(shù) 據(jù) 報(bào) 。 b)加 密 : 使 用 由 SA指 定 的 密 鑰 和 加 密 算 法 對(duì) 上 述 結(jié) 果 加 密 。如 果 在 ESP中 選
61、 定 了 認(rèn) 證 選 項(xiàng) , 發(fā) 送 方 對(duì) IP包 計(jì) 算 認(rèn) 證 數(shù) 據(jù) ICV, 并 將 結(jié) 果放 入 輸 出 包 的 認(rèn) 證 數(shù) 據(jù) 字 段 隨 包 發(fā) 送 。必 要 時(shí) 進(jìn) 行 分 段 。 5.3 IPSec安 全 協(xié) 議 (2) 尚 未 建 立 SA, 策 略 管 理 模 塊 啟 動(dòng) 或 觸 發(fā) IKE協(xié) 商 , 協(xié) 商 成 功 后按 1中 的 步 驟 處 理 , 不 成 功 則 應(yīng) 將 數(shù) 據(jù) 包 丟 棄 , 并 記 錄 出 錯(cuò) 信 息 。 (3)存 在 SA但 無(wú) 效 , 策 略 管 理 模 塊 將 此 信 息 向 IKE通 告 。 請(qǐng) 求 協(xié) 商新 的 SA, 協(xié) 商 成 功
62、 后 按 1中 的 步 驟 處 理 , 不 成 功 則 應(yīng) 將 數(shù) 據(jù) 包 丟 棄 ,并 記 錄 出 錯(cuò) 信 息 。 進(jìn) 入 處 理 對(duì) 于 進(jìn) 入 數(shù) 據(jù) 包 , IPsec協(xié) 議 先 根 據(jù) 包 中 目 的 IP地 址 、 安 全 協(xié) 議 和SPI查 詢(xún) SAD, 如 得 到 有 效 的 SA, 則 對(duì) 數(shù) 據(jù) 包 進(jìn) 行 解 封 (或 還 原 ),再 查 詢(xún) SPD, 驗(yàn) 證 為 該 數(shù) 據(jù) 包 提 供 的 安 全 保 護(hù) 是 否 與 策 略 配 置 的相 符 。 如 相 符 , 則 按 SA中 指 定 的 算 法 進(jìn) 行 解 密 (用 ESP協(xié) 議 時(shí) )并 重新 構(gòu) 造 原 IP數(shù)
63、據(jù) 報(bào) 格 式 , 然 后 將 還 原 后 的 數(shù) 據(jù) 包 交 給 TCP層 或 轉(zhuǎn) 發(fā) 。如 不 相 符 , 或 要 求 應(yīng) 用 IPsec但 沒(méi) 有 用 于 此 會(huì) 話 的 SA存 在 , 或 SA 無(wú) 效 , 則 將 數(shù) 據(jù) 包 丟 棄 , 并 記 入 日 志 。 5.3 IPSec安 全 協(xié) 議v5.3.8 AH協(xié) 議 與 ESP協(xié) 議 比 較 認(rèn) 證 服 務(wù) : AH協(xié) 議 和 ESP協(xié) 議 都 提 供 認(rèn) 證 服 務(wù) 功 能 。 AH協(xié) 議 是 專(zhuān) 門(mén) 用 以提 供 認(rèn) 證 服 務(wù) ; ESP協(xié) 議 的 認(rèn) 證 服 務(wù) 是 它 的 選 項(xiàng) , 主 要 為 了 防 止 對(duì) 協(xié) 議 的
64、“ 剪 貼 ” 攻 擊 。 ESP提 供 的 認(rèn) 證 服 務(wù) 范 圍 要 比 AH的 窄 , 即 ESP頭 以 前 的IP報(bào) 文 部 分 不 會(huì) 被 保 護(hù) ; 而 AH協(xié) 議 認(rèn) 證 了 幾 乎 所 有 的 IP報(bào) 文 字 段 。 保 密 服 務(wù) : AH協(xié) 議 不 提 供 保 密 服 務(wù) , 當(dāng) 不 需 要 保 密 或 者 法 律 不 允 許 保 密的 情 況 下 , AH協(xié) 議 是 一 種 恰 當(dāng) 的 安 全 協(xié) 議 ; ESP主 要 用 于 數(shù) 據(jù) 保 密 。 當(dāng)使 用 隧 道 方 式 時(shí) , 位 于 兩 個(gè) 安 全 網(wǎng) 關(guān) 間 的 使 用 ESP保 護(hù) 的 安 全 聯(lián) 結(jié) 還 可 以
65、提 供 一 定 的 流 量 保 密 性 。 使 用 隧 道 方 式 時(shí) , 由 于 內(nèi) 層 的 IP包 被 加 密 , 所 以隱 藏 了 報(bào) 文 的 實(shí) 際 源 頭 和 終 點(diǎn) 。 更 進(jìn) 一 步 的 是 , ESP使 用 的 填 充 字 節(jié) 隱 藏了 報(bào) 文 的 實(shí) 際 尺 寸 , 從 而 更 進(jìn) 一 步 地 隱 藏 了 這 個(gè) 報(bào) 文 的 外 在 特 性 。 當(dāng) 網(wǎng) 絡(luò)中 的 移 動(dòng) 用 戶 使 用 動(dòng) 態(tài) 地 址 , 使 用 隧 道 方 式 的 安 全 聯(lián) 結(jié) 穿 過(guò) 安 全 網(wǎng) 關(guān) 時(shí) , 也 有 類(lèi) 似 的 通 信 流 的 保 密 性 。 當(dāng) 然 , 如 果 安 全 聯(lián) 結(jié) 的 粒
66、度 越 細(xì) , 那 么 這 種安 全 服 務(wù) 就 越 脆 弱 (對(duì) 于 流 量 分 析 的 情 況 )。 防 止 重 放 : AH協(xié) 議 和 ESP協(xié) 議 都 有 防 止 重 放 的 功 能 。 只 要 收 方 決 定 使 用此 功 能 , AH協(xié) 議 的 此 項(xiàng) 功 能 就 可 靠 工 作 , 而 ESP協(xié) 議 必 須 要 有 認(rèn) 證 機(jī) 制的 配 合 , 此 項(xiàng) 功 能 才 起 作 用 。 5.3 IPSec安 全 協(xié) 議v5.3.9 IPsec的 實(shí) 現(xiàn) 機(jī) 制 訪 問(wèn) 控 制 數(shù) 據(jù) 源 驗(yàn) 證 無(wú) 連 接 完 整 性 和 抗 重 播 機(jī) 密 性 和 有 限 的 業(yè) 務(wù) 流 機(jī) 密 性 5.3 IPSec安 全 協(xié) 議v5.3.10 IPSec的 應(yīng) 用 IPSec與 其 它 安 全 機(jī) 制 的 聯(lián) 系 與 比 較 2. 數(shù) 據(jù) 源 驗(yàn) 證1.網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 器 (NAT) 網(wǎng) 絡(luò) 地 址 轉(zhuǎn) 換 器 NAT (Network Address Translation)是 用 于 解決 全 球 IP地 址 資 源 匱 乏 和 對(duì) 外 隱 藏 企 業(yè) 內(nèi) 部 IP地 址 的
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年防凍教育安全教育班會(huì)全文PPT
- 2025年寒假安全教育班會(huì)全文PPT
- 初中2025年冬季防溺水安全教育全文PPT
- 初中臘八節(jié)2024年專(zhuān)題PPT
- 主播直播培訓(xùn)提升人氣的方法正確的直播方式如何留住游客
- XX地區(qū)機(jī)關(guān)工委2024年度年終黨建工作總結(jié)述職匯報(bào)
- 心肺復(fù)蘇培訓(xùn)(心臟驟停的臨床表現(xiàn)與診斷)
- 我的大學(xué)生活介紹
- XX單位2024年終專(zhuān)題組織生活會(huì)理論學(xué)習(xí)理論學(xué)習(xí)強(qiáng)黨性凝心聚力建新功
- 2024年XX單位個(gè)人述職述廉報(bào)告
- 一文解讀2025中央經(jīng)濟(jì)工作會(huì)議精神(使社會(huì)信心有效提振經(jīng)濟(jì)明顯回升)
- 2025職業(yè)生涯規(guī)劃報(bào)告自我評(píng)估職業(yè)探索目標(biāo)設(shè)定發(fā)展策略
- 2024年度XX縣縣委書(shū)記個(gè)人述職報(bào)告及2025年工作計(jì)劃
- 寒假計(jì)劃中學(xué)生寒假計(jì)劃安排表(規(guī)劃好寒假的每個(gè)階段)
- 中央經(jīng)濟(jì)工作會(huì)議九大看點(diǎn)學(xué)思想強(qiáng)黨性重實(shí)踐建新功