intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Chương 8 " Bảo mật trong mô hình TCP/IP"

Chia sẻ: Nguyễn Thị Phương Phương | Ngày: | Loại File: PPT | Số trang:44

Thêm vào BST
Báo xấu
122
lượt xem 24
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

IPSec không phải là một ứng dụng hòan tòan mới mà là sự tổ hợp của các cơ chế bảo mật (security mechanisms) đã có sẵn vào trong giao thức IP.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Chương 8 " Bảo mật trong mô hình TCP/IP"

  1. IP security
  2. Bảo mật trong mô hình TCP/IP Bảo mật Bảo mật Nhiều ứng lớp mạng lớp vận dụng bảo với IPSec chuyển với mật ở lớp SSL ứng dụng Information security, PTITHCM, 2012
  3. IPSec Cơ chế bảo mật dữ liệu khi truyền giữa các máy bằng giao thức IP. Là phần m ở r ộn g của IPv4, nhưng là thành phần bắt buộc trong IPv6. Họat động trong suốt với các ứng dụng ở lớp trên. Information security, PTITHCM, 2012
  4. Các ứng dụng của IPSec Bảo vệ kết nối từ các mạng chi nhánh đến mạng trung tâm thông qua Internet. Bảo vệ kết nối truy cập trừ xa (remote access). Thiết lập các kết nối intranet và extranet. Nâng cao tính bảo mật của các giao dịch thương mại điện tử. Information security, PTITHCM, 2012
  5. Các ứng dụng của IPSec Information security, PTITHCM, 2012
  6. IPSec trong mô hình TCP/IP Hệ thống A Hệ thống B IPSec Information security, PTITHCM, 2012
  7. Các thành phần của IPSec IPSec không phải là một ứng dụng hòan tòan mới mà là sự tổ hợp của các cơ chế bảo mật (security mechanisms) đã có sẵn vào trong giao thức IP. Có nhiều cách tổ hợp các cơ chế khác nhau để cho ra nhiều cách thể hiện khác nhau gọi là DOI (Domain of Interpretation) Information security, PTITHCM, 2012
  8. Kiến trúc của IPSec Information security, PTITHCM, 2012
  9. AH và ESP Hai giao thức cơ bản để thực thi IPSec là AH (Authentication Header) và ESP (Encapsulating Security payload) AH chỉ cung cấp các dịch vụ xác thực (Integrity) còn ESP vừa cung cấp dịch vụ xác thực vừa cung cấp dịch vụ bảo mật (Integrity and Confidentiality) Information security, PTITHCM, 2012
  10. Liên kết bảo mật SA (Security association) là quan hệ truyền thông m ột c h i ều giữa hai thực thể trên đó có triển khai các dịch vụ bảo mật. Mỗi SA được nhận dạng qua 3 thông số:  SPI (Security Parameters Index)  Địa chỉ IP đích (Destination IP address)  Nhận dạng giao thức (Security protocol Identifier)  Mỗi kết nối hai chiều (connection) phải bao gồm ít nhất hai SA ngược chiều nhau. Information security, PTITHCM, 2012
  11. Transport SA và Tunnel SA Transport SA là các liên kết IPSec thiết lập giữa hai hệ thống đầu cuối. Tunnel SA là các liên kết IPSec được thiết lập giữa hai thiết bị kết nối mạng (router hoặc gateway), trong suốt với họat động của thiết bị đầu cuối. Việc thực thi transport và tunnel được xác định với từng giao thức (AH hoặc ESP) Information security, PTITHCM, 2012
  12. Authentication Header Giao thức AH trong IPSec cung cấp 3 dịch vụ cơ bản:  Tòan vẹn thông tin (Integrity)  Xác thực thông tin (Authentication)  Chống phát lại (Anti-replay) Information security, PTITHCM, 2012
  13. Cấu trúc gói dữ liệu AH Information security, PTITHCM, 2012
  14. Cấu trúc gói dữ liệu AH Next header (8 bits): xác định lọai dữ liệu chứa bên trong tiêu đề AH, sử dụng các giá trị quy ước của TCP/IP (*) Payload length (8 bits): xác định chiều dài của tiêu đề AH, tính bằng đơn vị từ (32 bit), trừ đi 2 đơn vị (**)  Ví d ụ: t òan b ộ ch iều d ài t iê u đ ề AH là 6 t ừ t h ì g iá t rị v ù n g Pay load le n g t h là 4 . Information security, PTITHCM, 2012
  15. Cấu trúc gói dữ liệu AH Reserved (16 bits): dành riêng chưa sử dụng, được gán chuỗi bit 0. SPI (32 bits): nhận dạng liên kết SA. Giá trị từ 1 đến 255 được dành riêng, giá trị 0 dùng cho mục đích đặc biệt, các giá trị còn lại được dùng để gán cho SPI. Sequence number (32 bits): số thứ tự gói truyền trên SA (***) Information security, PTITHCM, 2012
  16. Cấu trúc gói dữ liệu AH Authentication data (số bit không xác định): giá trị kiểm tra tính xác thực của dữ liệu (Integrity Check Value_ICV), kết quả của các hàm băm bảo mật. -Thành phần này phải có chiều dài là bội số của 32 bit, nếu không phải gắn bit đệm (padding). -Authentication data tính cho tòan bộ gói. Information security, PTITHCM, 2012
  17. Chống phát lại (Anti-replay) Khi thiết lập SA, số thứ tự (sequence number) ở hai đầu SA được reset về 0. Gói dữ liệu đầu tiên được gởi được đánh số 1. Số thứ tự tăng dần đến 232-1 thì SA được xóa, SA mới được thiết lập và sử dụng một khóa mới, số thứ tự reset về 0.  Anti-replay không phải là dịch vụ bắt buộc. Information security, PTITHCM, 2012
  18. Chống phát lại (Anti-replay) Information security, PTITHCM, 2012
  19. Integrity Check Value Hai tùy chọn khác nhau để tạo ra ICV:  HMAC-MD5-96 hoặc  HMAC-SHA_1-96 HMAC = H[(K ⊕ opad)||H[(K ⊕ ipad)||M]] Lặp lại 64 lần để tạo thành ipad = 00110110(0x36) 512 bit (=block size) opad = 01011100(0x5c) Kết quả HMAC được cắt lấy 96 bits đầu để đưa vào ICV (bỏ đi bao nhiêu bits?) Information security, PTITHCM, 2012
  20. Integrity Check Value ICV được tính trên:  Tòan bộ phần payload của gói IP gốc  Tòan bộ phần tiêu đề AH (trừ phần Authentication data được reset về 0 khi tính)  Các trường cố định trong tiêu đề IP (hoặc đóan được), các trường khác reset về 0 khi tính Information security, PTITHCM, 2012
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD


ERROR:connection to 10.20.1.98:9315 failed (errno=111, msg=Connection refused)
ERROR:connection to 10.20.1.98:9315 failed (errno=111, msg=Connection refused)
THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
68=>2