返回
信息安全工程第14章常见的安全系统

信息安全工程第14章常见的安全系统

ID:42340560

大小:2.23 MB

页数:235页

时间:2019-09-13

信息安全工程第14章常见的安全系统_第1页
信息安全工程第14章常见的安全系统_第2页
信息安全工程第14章常见的安全系统_第3页
信息安全工程第14章常见的安全系统_第4页
信息安全工程第14章常见的安全系统_第5页
资源描述:

《信息安全工程第14章常见的安全系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第14章 常见的安全系统14.1IPSec协议14.2SSL协议14.3Kerberos认证系统14.4PGP协议14.5PEM协议14.6S/MIME协议14.7S-HTTP协议14.8WMAN(IEEE802.16)安全技术14.9WSN安全机制14.1IPSec协议14.1.1IPSec协议安全体系结构1.安全协议IPSec提供了两种安全协议:认证头(AH,AuthenticationHeader)和封装安全有效载荷(ESP,EncapsulatingSecurityPayload),用于对IP数据报或上层协议数据报进行安全保护。其中,AH只提供了数据

2、完整性认证机制,可以证明数据源端点,保证数据完整性,防止数据被篡改和重播;ESP同时提供了数据完整性认证和数据加密传输机制,它除了具有AH所有的安全能力之外,还可以提供数据传输机密性。AH和ESP可以单独使用,也可以联合使用。每个协议都支持以下两种应用模式。(1)传输模式:为上层协议数据提供安全保护。(2)隧道模式:以隧道方式传输IP数据报文。AH或ESP提供的安全性完全依赖于它们所采用的密码算法。为保证一致性和不同实现方案之间的互通性,必须定义一些需要强制实现的密码算法。因此,在使用认证和加密机制进行安全通信时,必须解决以下三个问题:(1)通信双方必须协商

3、所要使用的安全协议、密码算法和密钥。(2)必须方便和安全地交换密钥(包括定期改变密钥)。(3)能够对所有协商的细节和过程进行记录和管理。2.安全关联IPSec使用一种称为安全关联(SA,SecurityAssociations)的概念性实体集中存放所有需要记录的协商细节。因此,在SA中包含了安全通信所需的所有信息,可以将SA看做是一个由通信双方共同签署的有关安全通信的“合同”。SA使用一个安全参数索引(SPI,SecurityParameterIndex)来唯一地标识。SPI是一个32位随机数,通信双方要使用SPI来指定一个协商好的SA。   使用SA的好处

4、是可以建立不同等级的安全通道。例如,一个用户可以分别与A网和B网建立安全通道,分别设置两个SA:SA(a)和SA(b)。在SA(a)中,可以协商使用更加健壮的密码算法和更长的密钥。3.密钥管理IPSec支持两种密钥管理协议:手工密钥管理和自动密钥管理(IKE,InternetKeyExchange)。其中,IKE是基于Internet的密钥交换协议,它具有如下功能:(1)协商服务:通信双方协商所使用的协议、密码算法和密钥。(2)身份认证服务:对参与协商的双方身份进行认证,确保双方身份的合法性。(3)密钥管理:对协商的结果进行管理。(4)安全交换:产生和交换

5、所有密钥的密码源物质。IKE是一个混合型协议,集成了ISAKMP(InternetSecurityAssociationsandKeyManagementProtocol)协议和部分Oakley密钥交换方案。14.1.2具体协议1.封装安全有效载荷(ESP)协议ESP是插入在IP数据报内的一个协议头,为IP数据报提供数据机密性、数据完整性、抗重播以及数据源验证等安全服务。ESP使用一个加密器提供数据机密性,使用一个验证器提供数据完整性认证。加密器和验证器所采用的专用算法是由ESP安全联盟的相应组件决定的。   因此,ESP是一种通用的、易于扩展的安全机制,它

6、将基本的ESP功能定义和实际提供安全服务的专用密码算法分离开,有利于密码算法的更换和更新。图14.1.1ESP头格式在任何模式下,ESP头总是跟随在一个IP头之后,ESP头格式如图14.1.1所示。在IPv4中,IP头的协议字段值为50,表示在IP头之后是一个ESP头。跟随在ESP头后的内容取决于ESP的应用模式。如果是传输模式,则是一个上层协议头(TCP/UDP);如果是隧道模式,则是另一个IP头。(1)安全参数索引(SPI):它是一个32位的随机数。SPI、目的IP地址和协议值组成一个三元组,用来唯一地确定一个特定的SA,以便对该数据报进行安全处理。通常

7、,在密钥交换(IKE)过程中由目标主机来选定SPI。SPI是经过验证的,但并没有被加密,因为SPI是一种状态标识,由它来指定所采用的加密算法及密钥,以及对数据报进行解密。如果SPI本身被加密,则会产生严重的“先有鸡,还是先有蛋”的问题,这一点很重要。(2)序列号:它是一个单向递增的32位无符号整数。通过序列号,可使ESP具有抗重播攻击的能力。尽管抗重播服务是可选的,但是发送端必须产生和发送序列号字段,只是接收端不一定要处理。建立SA时,发送端和接收端的计数器必须初始化为0(发送端通过特定SA发送的第一个数据报的序列号为1)。如果选择了抗重播服务(默认情况下)

8、,则序列号是不能出现重复(循环)的。因此,发送端和接

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。