ch3 载体安全

1、5物理安全:系统安全的前提 保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故（如电磁污染等）以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。 例：2001年2月9日中美之间的海底光缆被阻断的影响。现在网通和联通的光缆被破坏事件 完全的物理安全代价很高6物理安全包括三个方面：（1）、环境安全：是指系统所在环境的安全，主要是场地与机房 （2）、设备安全：主要指设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等 （3）、媒体安全：包括媒体数据的安全及媒体本身的安全。 1234567812345678123456781234567812 1、设备安全主要

2、包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获，抗电磁干扰以及电源保护。 2、TEMPEST技术 1985年，荷兰学者艾克在第三届计算机通信安全防护大会上，发表关于计算机视频显示单元电磁辐射的研究报告 其它外部设备如键盘、磁盘和打印机在工作中同样辐射带信号的电磁波人体健康 + 电磁干扰 + 信息泄密 13电磁泄露的两种方式：1、辐射泄漏 ：以电磁波的形式辐射出去 2、传导泄漏 ：通过各种线路和金属管传导出去的 辐射强度的因素主要有功率和频率、与辐射源的距离、屏蔽状况 TEMPEST技术是美国国家安全局和国防部联合进行研究与开发的 ，主要内容：电磁泄漏机理 、防护技术 、有用信息的提取技术

3、 、测试技术和标准 TEMPEST技术的主要目的是减少计算机中信息的外泄。抑制信息泄漏的途径一是电子隐蔽技术，二是物理抑制技术（包容法和抑源法）。 14TEMPEST技术主要采用的技术措施 ：（1）、利用噪声干扰源 （2）、采用屏蔽技术 （3）、“红” “黑” 隔离 （4）、滤波技术 （5）、布线与元器件选择 15电子战系统是一种信息对抗系统，是为了削弱、破坏敌方电子设备的使用效能、保障己方电子设备正常工作的系统 （1）电子侦察系统由星载电子、机载、舰载电子侦察设备和陆基及相应的人员组成，并与其它系统相连，从而了解敌方电磁威胁、监视敌方各种电磁活动。 （2）电子进攻系统包括电子干扰和电子摧毁。

4、（3）电子防卫系统是削弱敌方电子战武器的作用，保护己方电子设施的一个分系统 电存储、如内存、闪存等； 磁存储，如磁盘、磁带等； 光存储，如光盘、DVD等。微型硬盘微型硬盘 直流消磁法 使用直流磁头将磁盘上原先记录的信息剩余磁通，全部以一种形式的恒定值所代替。如：完全格式化磁盘。 交流消磁法 使用交流磁头将磁盘上原先所记录信息的剩余磁通变得极小，这种方法的消磁效果比直流消磁法要好。 机械粉碎法、化学溶蚀法 高温消磁 指在信号的物理层对信号进行加密 在信号传输过程中，针对所处的不同信道特点，采取不同信道编码技术，以便提高信道传输信号的可靠性远程访问远程访问Internet内部网内部网合作伙伴合作伙

5、伴分支机构分支机构虚拟私有网虚拟私有网虚拟私有网虚拟私有网虚拟私有网虚拟私有网VPN是企业网在因特网是企业网在因特网上的延伸上的延伸VPN的典型应用的典型应用远程访问远程访问Internet内部网内部网分支机构分支机构安全网关安全网关安全网关安全网关ISP接入设备接入设备端到端数据通路的典型构成端到端数据通路的典型构成拨入段拨入段外部段外部段（公共因特网）（公共因特网）内部段内部段公司的内部网络公司的内部网络Network Interface(Data Link)IP(Internetwork)TCP/UDP(Transport) SMIME Kerberos Proxies SET IPSe

6、c (ISAKMP) SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAPApplication 数据源身份认证数据完整性数据保密重演攻击保护自动的密钥管理和安全关联管理 机密性，完整性，数据源认证，反重演攻击 AH ESP ISAKMP/Oakley AH因为在传输过程中无论多小的变化被加载， 数据包头的数字签名都能把它检测出来。 管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网WWW Mail DNS密文密文传输传输明文传输明文传输明文传输明文传输管理子网管理子网一

7、般子网一般子网内部内部WWW重点子网重点子网原始数据包对原始数据包进行对原始数据包进行Hash加密后的数据包加密后的数据包摘要摘要Hash摘要摘要对原始数据包进行加密对原始数据包进行加密加密后的数据包加密后的数据包加密加密加密后的数据包加密后的数据包摘要摘要加密后的数据包加密后的数据包摘要摘要摘要摘要解密解密原始数据包Hash原始数据包与原摘要进行比较，验证数据的完整性与原摘要进行比较，验证数据的完整性管理子网管理子网一般子网一般子网内部内部WWW重点子网重点子网原始数据包对原始数据包进行对原始数据包进行HashHash摘要摘要加密加密摘要摘要摘要摘要取出取出DSS原始数据包Hash原始数据包

8、两摘要相比较两摘要相比较私钥私钥原始数据包将数字签名附在原始包将数字签名附在原始包后面供对方验证签名后面供对方验证签名得到数字得到数字签名签名原始数据包原始数据包解密解密相等吗？相等吗？验证通过验证通过AH协议头协议头ESP协议头协议头SA建立之初，序列号初始化为建立之初，序列号初始化为0，使用该，使用该SA传传递的第一个数据包序列号为递的第一个数据包序列号为1，序列号不允许，序列号不允许重复，因此每个重复，因此每个SA所能传递的最大所能传递的最大IP报文数报文数为为2321，当序列号达到最大时，就需要建立，当序列号达到最大时，就需要建立一个新的一个新的SA，使用新的密钥。，使用新的密钥。Se

9、curity Parameter Index, IP Destination Address, Security Protocol v隧道隧道 将一个数据报用一个新的数据报封装将一个数据报用一个新的数据报封装v 安全关联安全关联(SA)SA就是两个就是两个IPSec系统之间的一个单向逻系统之间的一个单向逻辑连接辑连接v 32比特，用于标识具有相同比特，用于标识具有相同IP地址和相同安全协议的不同地址和相同安全协议的不同SA。v 可以是普通可以是普通IP地址，也可是广播或者组播地址地址，也可是广播或者组播地址v 可以是可以是AH或者或者ESP 介绍了IPSEC的整体框架，其指定了两个封装协议AH

10、（IP Authentication Header）和ESP（IP Encapsulating Security Payload）。 实现认证传输，提供数据源身份认证、数据完整性保护、重放攻击保护功能 实现认证和加密传输，提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能 （The Internet IP Security Domain of Interpretation）为这些协议中的数据定义了具体的数值。 密钥管理协议亦为协议族，包括ISAKMP协议（Internet Security Association and Key Management Protocol），IKE（The

11、 Internet Key Exchange）协议 。v认证数据：一个变长字段，也叫认证数据：一个变长字段，也叫Integrity Check Value，由，由SA初始化时指定的算法来计算。长度初始化时指定的算法来计算。长度=整数倍整数倍32位比特位比特v 下一头部：下一头部：8比特，标识认证头后面的下一个负载类型比特，标识认证头后面的下一个负载类型v 负载长度：负载长度：8比特，表示以比特，表示以32比特为单位的比特为单位的AH头部长度减头部长度减2，Default=4v保留字段：保留字段：16比特，保留将来使用，比特，保留将来使用，Default=0vSPI：32比特，用于标识有相同比特

12、，用于标识有相同IP地址和相同安全协议的不同地址和相同安全协议的不同SA。由。由SA的创建者定义，只有逻辑意义的创建者定义，只有逻辑意义v序列号：序列号：32比特，一个单项递增的计数器，用于防止重放攻击，比特，一个单项递增的计数器，用于防止重放攻击，SA建立之初初始化为建立之初初始化为0，序列号不允许重复，序列号不允许重复32位位传输模式下的传输模式下的AH认证工作原理认证工作原理InternetHost AHost BVPN网关网关VPN网关网关经过经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后隧道模式下的隧道模式下的AH认证工作原理认证工作原理Inte

13、rnetHost AHost BVPN网关网关1VPN网关网关2经过经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后Source IP=VPN网关网关1Destination IP=VPN网关网关2Source IP=Host ADestination IP=Host Bv认证数据：一个变长字段，也叫认证数据：一个变长字段，也叫Integrity Check Value，由，由SA初始化时指定的算法来计算。长度初始化时指定的算法来计算。长度=整数倍整数倍32位比特位比特v 下一头部：下一头部：8比特，标识认证头后面的下一个负载类型比特，标识认证头后面的下一个

14、负载类型v 填充字段：填充字段：8比特，大多数加密加密算法要求输入数据包含整数各分组，因此需要填充比特，大多数加密加密算法要求输入数据包含整数各分组，因此需要填充v负载数据：包含由下一头部字段给出的变长数据负载数据：包含由下一头部字段给出的变长数据vSPI：32比特，用于标识有相同比特，用于标识有相同IP地址和相同安全协议的不同地址和相同安全协议的不同SA。由。由SA的创建者定义，只有逻辑意义的创建者定义，只有逻辑意义v 填充长度：填充长度：8比特，给出前面填充字段的长度，置比特，给出前面填充字段的长度，置0时表示没有填充时表示没有填充32位位ESP头部头部ESP尾尾部部ESP认认证数据证数据

15、加加密密的的认认证证的的v序列号：序列号：32比特，一个单项递增的计数器，用于防止重放攻击，比特，一个单项递增的计数器，用于防止重放攻击，SA建立之初初始化为建立之初初始化为0，序列号不允许重复，序列号不允许重复传输模式下的传输模式下的ESP工作原理工作原理InternetHost AHost BVPN网关网关VPN网关网关经过经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后加密数据加密数据认证数据认证数据加密数据加密数据认证数据认证数据隧道模式下的隧道模式下的ESP工作原理工作原理InternetHost AHost BVPN网关网关1VPN网关网关2经过

16、经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后Source IP=VPN网关网关1Destination IP=VPN网关网关2Source IP=Host ADestination IP=Host B组合组合IPSec 协议协议InternetHost AHost BVPN网关网关1VPN网关网关2经过经过IPSec 核心处理以后核心处理以后经过经过IPSec 核心处理以后核心处理以后Source IP=VPN网关网关1Destination IP=VPN网关网关2Source IP=Host ADestination IP=Host B认证数据认证数据

17、认证数据认证数据AH协议协议ESP协议协议v 身份认证身份认证v 数据加密数据加密v 数据完整性校验数据完整性校验v 重放攻击保护重放攻击保护v 身份认证身份认证v数据完整性校验数据完整性校验v 重放攻击保护重放攻击保护ESP可以取可以取代代AH吗？吗？Internet公司公司BVPN网关网关AVPN网关网关B公司公司BHost to Host 模式：模式：v 该模式要求两边主机都支持该模式要求两边主机都支持IPSec v VPN网关可支持也可不支持网关可支持也可不支持IPSec安全通道安全通道安全通道安全通道安全通道安全通道主机必须支主机必须支持持IPSec主机必须支主机必须支持持IPSec

18、Gateway 可可支持也可不支持也可不支持支持IPSecGateway 可可支持也可不支持也可不支持支持IPSecHost to HostInternet公司公司BVPN网关网关AVPN网关网关B公司公司BHost to VPN 模式：模式：v 该模式要求一边的主机都支持该模式要求一边的主机都支持IPSec v 另一边的另一边的VPN网关必须支持网关必须支持IPSec安全通道安全通道安全通道安全通道主机必须支主机必须支持持IPSec主机可以不主机可以不支持支持IPSecGateway 可可支持也可不支持也可不支持支持IPSecGateway 必必须支持须支持IPSec非安全通道非安全通道Host to VPN GatewayInternet公司公司BVPN网关网关AVPN网关网关B公司公司BVPN to VPN 模式：模式：v 该模式不要求主机支持该模式不要求主机支持IPSec v两边的两边的VPN网关必须都支持网关必须都支持IPSec非安全通道非安全通道安全通道安全通道主机可以不主机可以不支持支持IPSec主机可以不主机可以不支持支持IPSecGateway 必必须支持须支持IPSecGateway 必必须支持须支持IPSec非安全