《毕业设计(论文)PPT答辩-IP及IPSec协议安全性分析.ppt》由会员分享,可在线阅读,更多相关《毕业设计(论文)PPT答辩-IP及IPSec协议安全性分析.ppt(29页珍藏版)》请在三一文库上搜索。
1、IP协议及IPSec协议安全分析,院系: 计算机与通信工程学院 专业: 计算机科学与技术 班级: 计算机03级1班,摘 要,了解现今互联网安全状况 分析现有IP协议及其安全的脆弱性 学习IPSec协议的相关知识,并分析其结构 通过Ethereal验证IPSec的加密及完整性检查,一.现今互联网安全状况,信息泄漏、信息污染、信息不易受控 控制权分散的管理问题 网络入侵 越来越严重,二. IP协议及其安全的脆弱性,IP协议没有为通信提供良好的数据源认证机制 IP协议没有为数据提供强的完整性保护机制 IP协议没有为数据提供任何形式的机密性保护,2.1 缺点一:无数据源认证机制,仅采用基于IP地址的身
2、份认证机制,用户通过简单的IP地址伪造就可以冒充他人。即在IP网上传输的数据,其声称的发送者可能不是真正的发送者。 典型案例:MAC欺骗,2.1 Ethereal捕获结果,2.2 缺点二:无强完整性保护机制,虽然通过IP头的校验和为IP分组提供一定程度的完整性保护,但这对蓄意攻击者远远不够,他可以在修改分组后重新计算校验和。因此,需要在IP层对分组提供一种强的数据完整性保护机制。 典型案例:修改数据包,产生“脏包”,2.2 Ethereal捕获结果,2.3 缺点三:机密性保护,网上的任何信息都以明文传输,无任何机密而言,这已经成为电子商务应用的瓶颈问题。因此,对IP网的通信数据的机密性保护势在
3、必行。,2.3 Ethereal捕获结果,三.IPSec协议综述,IPSec协议介绍 IPSec提供的安全服务-AH、ESP,IPSec体系结构,IKE: Internet密钥交换协议,Internet密钥交换协议( IKE )用于应用 IPSec双方商和建立安全联盟,交换密钥。 IKE定义了通信双方进行身份认证、协商加密算法以及生成共享的会话密钥的方法。 IKE的特点在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,通信双方最终计算出共享的密钥。,SA: 安全关联,1.一个安全联盟是一个单向的安全“连接”,该“连接”上的数据流享有安全服务。 2.安全联盟的内容包括安全协议、
4、算法(包括加密算法以及验证算法)、算法使用的密钥、隧道对端的 IP地址。 3.更新周期:以时间或流量为标准。,3.1 IPSec认证的实现认证头(AH),AH 是报文头验证协议,主要提供数据源验证、数据完整性校验和防报文重放功能。 在传输模式下, AH协议验证 IP承载的数据和 IP头不变部分。 在隧道模式下, AH协议验证全部的内部 IP报文和外部 IP头的不变部分。,AH头的传输及隧道模式,3.2 IPSec加密的实现封装安全载荷(ESP),IPSec的ESP协议能够满足在传输报文前,对DATA进行加密,起到密文传送的作用。 在传输模式下, ESP协议对IP承载的数据进行加密。 在隧道模式
5、下, ESP协议对整个内部 IP报文进行加密。,ESP传输模式及隧道模式,四. 介绍基于Ethereal的嗅探技术,Ethereal介绍 Ethereal的协议分析方法 Ethereal数据捕获特点,4.1 Ethereal介绍,Ethereal是一个网络探测器,它运行在Windows,Linux、Solaris等各种平台,它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。对于网络管理员来说,它既可以通过对现有TCP/IP协议以及其他网络协议作分析,来做出安全策略,也可以通过捕包分析,来确定一些异常的流量和局域网内部的非正常用户与外界的通信 。 Ethereal是一个开放源码的
6、网络分析系统。因此,大量的开源支持者为Ethereal添加了很多新的协议解析器。,4.2 Ethereal的协议分析方法,1. OSI协议封装顺序; 2. 双层次化的数据包协议分析方法,即协议分析和协议还原; 3. Ethereal系统采用协议树的方式对捕获报文进行过滤和分析; 4.Ethereal的插件技术,4.3 Ethereal 数据捕获平台,Ethereal捕获数据过程,CAPTURE_START,捕包程序,主程序,PIPE 通道,Fail Y/N,Create,Y,SAVE_DATA & CREATE LIST,N,传给分析模块,五.验证IPSec加密及认证,拓扑图如下所示:,对Server/Client分别进行IPSec设置 双方必须采用完全一致的协商方案 (eg. SHA_1 & DES) 要为双方提供完全一致的预共享密钥,Ethereal捕获的加密登录信息,由于验证实验采用的是ESP的方案,因此能够利用认证和加密对DATA达到双重保护。,下面是Ethereal捕获的验证数据完整性的过程:,总 结,通过对协议分析,更好的认识了IP协议的安全性; 借助网络嗅探,验证并证实了IPSec协议对弥补IP协议安全方面的重要性。,感谢各位老师和同学! 请各位老师指正!,