Chương 8 " Bảo mật trong mô hình TCP/IP" potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (932.32 KB, 44 trang )
IP security
Information security, PTITHCM, 2012
Bảo mật trong mô hình
TCP/IP
Bảo mật
lớp mạng
với IPSec
Bảo mật
lớp vận
chuyển với
SSL
Nhiều ứng
dụng bảo
mật ở lớp
ứng dụng
Information security, PTITHCM, 2012
IPSec
Cơ chế bảo mật dữ liệu khi truyền
giữa các máy bằng giao thức IP.
Là phần mở rộng của IPv4, nhưng là
thành phần bắt buộc trong IPv6.
Họat động trong suốt với các ứng
dụng ở lớp trên.
Information security, PTITHCM, 2012
Các ứng dụng của IPSec
Bảo vệ kết nối từ các mạng chi nhánh
đến mạng trung tâm thông qua
Internet.
Bảo vệ kết nối truy cập trừ xa (remote
access).
Thiết lập các kết nối intranet và
extranet.
Nâng cao tính bảo mật của các giao
dịch thương mại điện tử.
Information security, PTITHCM, 2012
Các ứng dụng của IPSec
Information security, PTITHCM, 2012
IPSec trong mô hình TCP/IP
Hệ thống A
Hệ thống B
IPSec
Information security, PTITHCM, 2012
Các thành phần của IPSec
IPSec không phải là một ứng dụng
hòan tòan mới mà là sự tổ hợp của
các cơ chế bảo mật (security
mechanisms) đã có sẵn vào trong
giao thức IP.
Có nhiều cách tổ hợp các cơ chế khác
nhau để cho ra nhiều cách thể hiện
khác nhau gọi là DOI (Domain of
Interpretation)
Information security, PTITHCM, 2012
Kiến trúc của IPSec
Information security, PTITHCM, 2012
AH và ESP
Hai giao thức cơ bản để thực thi IPSec
là AH (Authentication Header) và ESP
(Encapsulating Security payload)
AH chỉ cung cấp các dịch vụ xác thực
(Integrity) còn ESP vừa cung cấp dịch
vụ xác thực vừa cung cấp dịch vụ bảo
mật (Integrity and Con\dentiality)
Information security, PTITHCM, 2012
Liên kết bảo mật
SA (Security association) là quan hệ truyền
thông một chiều giữa hai thực thể trên đó
có triển khai các dịch vụ bảo mật.
Mỗi SA được nhận dạng qua 3 thông số:
SPI (Security Parameters Index)
Địa chỉ IP đích (Destination IP address)
Nhận dạng giao thức (Security protocol
Identi\er)
Mỗi kết nối hai chiều (connection) phải bao gồm ít
nhất hai SA ngược chiều nhau.
Information security, PTITHCM, 2012
Transport SA và Tunnel SA
Transport SA là các liên kết IPSec
thiết lập giữa hai hệ thống đầu cuối.
Tunnel SA là các liên kết IPSec được
thiết lập giữa hai thiết bị kết nối
mạng (router hoặc gateway), trong
suốt với họat động của thiết bị đầu
cuối.
Việc thực thi transport và tunnel được xác định với từng
giao thức (AH hoặc ESP)
Information security, PTITHCM, 2012
Authentication Header
Giao thức AH trong IPSec cung cấp 3
dịch vụ cơ bản:
Tòan vẹn thông tin (Integrity)
Xác thực thông tin (Authentication)
Chống phát lại (Anti-replay)
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu AH
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu AH
Next header (8 bits): xác định lọai dữ
liệu chứa bên trong tiêu đề AH, sử
dụng các giá trị quy ước của TCP/IP
(*)
Payload length (8 bits): xác định chiều
dài của tiêu đề AH, tính bằng đơn vị
từ (32 bit), trừ đi 2 đơn vị (**)
Ví dụ: tòan bộ chiều dài tiêu đề AH là 6 từ thì
giá trị vùng Payload length là 4.
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu AH
Reserved (16 bits): dành riêng chưa sử
dụng, được gán chuỗi bit 0.
SPI (32 bits): nhận dạng liên kết SA.
Giá trị từ 1 đến 255 được dành riêng,
giá trị 0 dùng cho mục đích đặc biệt,
các giá trị còn lại được dùng để gán
cho SPI.
Sequence number (32 bits): số thứ tự
gói truyền trên SA (***)
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu AH
Authentication data (số bit không xác
định): giá trị kiểm tra tính xác thực
của dữ liệu (Integrity Check
Value_ICV), kết quả của các hàm băm
bảo mật.
-Thành phần này phải có chiều dài là bội số của 32 bit,
nếu không phải gắn bit đệm (padding).
-Authentication data tính cho tòan bộ gói.
Information security, PTITHCM, 2012
Chống phát lại (Anti-replay)
Khi thiết lập SA, số thứ tự (sequence
number) ở hai đầu SA được reset về 0.
Gói dữ liệu đầu tiên được gởi được
đánh số 1.
Số thứ tự tăng dần đến 2
32
-1 thì SA
được xóa, SA mới được thiết lập và sử
dụng một khóa mới, số thứ tự reset về
0.
Anti-replay không phải là dịch vụ bắt buộc.
Information security, PTITHCM, 2012
Chống phát lại (Anti-replay)
Information security, PTITHCM, 2012
Integrity Check Value
Hai tùy chọn khác nhau để tạo ra ICV:
HMAC-MD5-96 hoặc
HMAC-SHA_1-96
HMAC = H[(K ⊕ opad)||H[(K ⊕ ipad)||M]]
ipad = 00110110(0x36)
opad = 01011100(0x5c)
Kết quả HMAC được cắt lấy 96 bits đầu
để đưa vào ICV (bỏ đi bao nhiêu bits?)
Lặp lại 64 lần để tạo thành
512 bit (=block size)
Information security, PTITHCM, 2012
Integrity Check Value
ICV được tính trên:
Tòan bộ phần payload của gói IP gốc
Tòan bộ phần tiêu đề AH (trừ phần
Authentication data được reset về 0 khi
tính)
Các trường cố định trong tiêu đề IP
(hoặc đóan được), các trường khác
reset về 0 khi tính
Information security, PTITHCM, 2012
Transport mode và tunnel mode
trong AH
Information security, PTITHCM, 2012
Transport mode và tunnel mode
trong AH
Information security, PTITHCM, 2012
Encapsulating Security
Payload
Giao thức ESP trong IPSec họat động
ở 2 chế độ:
Chế độ thuần mã hóa: cung cấp các
dịch vụ bảo mật (con\dentiality) và
chống phát lại.
Chế độ bảo mật và xác thực: cung cấp
các dịch vụ bảo mật, tòan vẹn, xác
thực và chống phát lại.
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu ESP
Information security, PTITHCM, 2012
Cấu trúc gói dữ liệu ESP
SPI (32 bits): nhận dạng liên kết SA
Sequence number (32 bits): số thứ tự, dùng
cho mục đích chống phát lại.
Payload data (độ dài bất kỳ): là gói dữ liệu
IP được mã hóa.
Padding (độ dài bất kỳ) và pad length (8
bits): dữ liệu chèn và độ dài của nó.
Next header (8 bits): lọai dữ liệu bên trong
ESP
