Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 44 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
44
Dung lượng
1,6 MB
Nội dung
IP security
Information security, PTITHCM, 2012
Bảo mậttrongmôhình
TCP/IP
Bảo mật
lớp mạng
với IPSec
Bảo mật
lớp vận
chuyển với
SSL
Nhiều ứng
dụng bảo
mật ở lớp
ứng dụng
Information security, PTITHCM, 2012
IPSec
Cơ chế bảomật dữ liệu khi truyền
giữa các máy bằng giao thức IP.
Là phần mở rộng của IPv4, nhưng là
thành phần bắt buộc trong IPv6.
Họat động trong suốt với các ứng
dụng ở lớp trên.
Information security, PTITHCM, 2012
Các ứng dụng của IPSec
Bảo vệ kết nối từ các mạng chi nhánh
đến mạng trung tâm thông qua
Internet.
Bảo vệ kết nối truy cập trừ xa (remote
access).
Thiết lập các kết nối intranet và
extranet.
Nâng cao tính bảomật của các giao
dịch thương mại điện tử.
Information security, PTITHCM, 2012
Các ứng dụng của IPSec
Information security, PTITHCM, 2012
IPSec trongmôhình TCP/IP
Hệ thống A
Hệ thống B
IPSec
Information security, PTITHCM, 2012
Các thành phần của IPSec
IPSec không phải là một ứng dụng
hòan tòan mới mà là sự tổ hợp của
các cơ chế bảomật (security
mechanisms) đã có sẵn vào trong
giao thức IP.
Có nhiều cách tổ hợp các cơ chế khác
nhau để cho ra nhiều cách thể hiện
khác nhau gọi là DOI (Domain of
Interpretation)
Information security, PTITHCM, 2012
Kiến trúc của IPSec
Information security, PTITHCM, 2012
AH và ESP
Hai giao thức cơ bản để thực thi IPSec
là AH (Authentication Header) và ESP
(Encapsulating Security payload)
AH chỉ cung cấp các dịch vụ xác thực
(Integrity) còn ESP vừa cung cấp dịch
vụ xác thực vừa cung cấp dịch vụ bảo
mật (Integrity and Con\dentiality)
Information security, PTITHCM, 2012
Liên kết bảo mật
SA (Security association) là quan hệ truyền
thông một chiều giữa hai thực thể trên đó
có triển khai các dịch vụ bảo mật.
Mỗi SA được nhận dạng qua 3 thông số:
SPI (Security Parameters Index)
Địa chỉ IP đích (Destination IP address)
Nhận dạng giao thức (Security protocol
Identi\er)
Mỗi kết nối hai chiều (connection) phải bao gồm ít
nhất hai SA ngược chiều nhau.
[...]... cố định trong tiêu đề IP (hoặc đóan được), các trường khác reset về 0 khi tính Information security, PTITHCM, 2012 Transport mode và tunnel mode trong AH Information security, PTITHCM, 2012 Transport mode và tunnel mode trong AH Information security, PTITHCM, 2012 Encapsulating Security Payload Giao thức ESP trong IPSec họat động ở 2 chế độ: Chế độ thuần mã hóa: cung cấp các dịch vụ bảomật (confidentiality)... 2012 Transport mode và tunnel mode trong ESP Information security, PTITHCM, 2012 Transport mode và tunnel mode trong ESP Information security, PTITHCM, 2012 Quản lý khóa trong IPSec Mã hóa dùng trong IPSec là mã hóa đối xứng Mỗi hệ thống đầu cuối IPSec có nhu cầu kết nối với nhiều hệ thống đầu cuối khác => cần quản lý khóa Quản lý bằng tay: người sử dụng tự cấu hình Quản lý tự động: dùng giao... Padding (độ dài bất kỳ) và pad length (8 bits): dữ liệu chèn và độ dài của nó Next header (8 bits): lọai dữ liệu bên trong ESP Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP Authentication Data (bội số 32 bits): Thông tin xác thực, được tính trên tòan bộ gói ESP ngọai trừ phần Authentication Data Information security, PTITHCM, 2012 Mã hóa và xác thực trong ESP Mã hóa: DES (thuật tóan... Encapsulating Security Payload Giao thức ESP trong IPSec họat động ở 2 chế độ: Chế độ thuần mã hóa: cung cấp các dịch vụ bảomật (confidentiality) và chống phát lại Chế độ bảomật và xác thực: cung cấp các dịch vụ bảo mật, tòan vẹn, xác thực và chống phát lại Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP SPI (32 bits):... khóa Oakley Chức năng: chọn khóa bí mật cho từng SA Họat động: dựa trên thuật tóan Diffie- Hellman, có bổ sung các cơ chế bảo mật: Sử dụng cookie để chống tấn công từ chối dịch vụ (clogging) Sử dụng các số ngẫu nhiên (nonce) để chống phát lại (replay) Information security, PTITHCM, 2012 Giao thức xác định khóa Oakley Tạo nhóm và phân phối khóa công khai trong nhóm Xác thực đầu cuối khi trao... (Anti-replay) Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH Next header (8 bits): xác định lọai dữ liệu chứa bên trong tiêu đề AH, sử dụng các giá trị quy ước của TCP/IP (*) Payload length (8 bits): xác định chiều dài của tiêu đề AH, tính bằng đơn vị từ (32 bit), trừ đi 2 đơn vị (**) Ví dụ: tòan bộ chiều dài tiêu đề AH là 6 từ... Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH Authentication data (số bit không xác định): giá trị kiểm tra tính xác thực của dữ liệu (Integrity Check Value_ICV), kết quả của các hàm băm bảomật -Thành phần này phải có chiều dài là bội số của 32 bit, nếu không phải gắn bit đệm (padding) -Authentication data tính cho tòan bộ gói Information security, PTITHCM, 2012 Chống phát lại (Anti-replay)... Tunnel SA là các liên kết IPSec được thiết lập giữa hai thiết bị kết nối mạng (router hoặc gateway), trong suốt với họat động của thiết bị đầu cuối Việc thực thi transport và tunnel được xác định với từng giao thức (AH hoặc ESP) Information security, PTITHCM, 2012 Authentication Header Giao thức AH trong IPSec cung cấp 3 dịch vụ cơ bản: Tòan vẹn thông tin (Integrity) Xác thực thông tin (Authentication)... tóan để xác định khóa riêng mà không làm được việc khác clogging Giải pháp: Mỗi bên phải thực hiện thủ tục trao đổi cookie (số ngẫu nhiên) ngay ở bản tin khởi tạo Sau đó, cookie phải được xác nhận trong message trao đổi khóa Cookie được tạo ra dùng một hàm băm nhanh (ví dụ MD5) áp dụng lên địa chỉ IP nguồn, IP đích, Port nguồn và Port đích cùng với một giá trị ngẫu nhiên Information security, . security, PTITHCM, 2012
Bảo mật trong mô hình
TCP/IP
Bảo mật
lớp mạng
với IPSec
Bảo mật
lớp vận
chuyển với
SSL
Nhiều ứng
dụng bảo
mật ở lớp
ứng dụng
. chế bảo mật dữ liệu khi truyền
giữa các máy bằng giao thức IP.
Là phần mở rộng của IPv4, nhưng là
thành phần bắt buộc trong IPv6.
Họat động trong