第10章 IPSec协议43詳解.pptVIP

南京邮电大学信息安全系 第10章 IPSec协议 南京邮电大学信息安全系 《网络信息安全》教研组 主要内容 10.1 IPSec安全体系结构 10.2 IPSec安全协议——AH 10.3 IPSec安全协议——ESP 10.4 IPSec密钥管理协议——IKE 10.5 IPSec的安全问题 10.6 IPSec的使用现状 10.1 IPSec安全体系结构 10.1.1 IPSec概述 ? 是IETF IPSec工作组设计的端到端的IP层安全通信的机制。 ? 不是一个单独的协议，而是一组协议。 ? 在IPv6中是必须的，在IPv4中可选。 ? 最主要应用是作为第三层隧道协议实现VPN通信，为IP网络通信提供透明的安全服务。 定义IPSec协议簇的RFC IPSec各组件的关系图 IPSec的AH和ESP协议 数据完整性验证：Hash函数产生的验证码 数据源身份认证：计算验证码时加入共享会话密钥 防重放攻击：在AH报头中加入序列号 封装安全载荷ESP：除上述三种服务，还能够数据加密 两台主机之间 两台安全网关之间 主机与安全网关之间 IPSec的IKE协议 ? 密钥交换协议IKE——负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。 ? IKE将密钥协商结果保留在安全关联SA中，供AH和ESP以后通信时使用。 IPSec的传输模式 ? 保护IP包的载荷——上层协议TCP/UDP/ICMP/ AH/ESP。 ? 只能提供两台主机之间的安全通信——需要在每台主机上安装软件。 ? 不能隐藏主机的IP地址。 IPSec传输模式下的报文格式的修改 IPSec的隧道模式 ? 保护整个原始IP包——IP协议本身，大部分VPN都使用隧道模式。 ? 只要一方是安全网关就必须使用隧道模式，在安全网关上安装VPN软件，负责数据加/解密。 ? 可以隐藏内部主机和服务器的IP地址。 内部头由内部主机创建，是通信终点 外部头由提供IPSec的路由器创建，是IPSec终点 IPSec隧道模式下的报文格式的修改 10.1.2 安全关联和安全策略 ? AH/ESP使用SA保护通信，SA是构成IPSec的基础。 ? 使用SA在无连接的IP服务中引入面向连接特性 ——为通信活动提供安全服务的上下文。 SA特点： ? 每个通信方必须有进入/外出SA ? 一个SA不能同时提供AH和ESP保护 SA的管理方式和组成 1）手工管理：管理员手工维护，规模大时易出错；无生存期限制，除非手工删除，否则有安全隐患。 2）IKE自动管理：负责建立和动态维护SA，建立安全连接时，IPSec的内核会启动IKE来协商SA。 SPI（安全参数索引）：唯一标识报文所属的 同一个目的地的SA 源/目的IP地址：外出数据包指目的IP地址； 进入数据包指源IP地址 IPSec协议：采用AH还是ESP 安全关联数据库SAD SAD是将所有的SA以某种数据结构集中存储的列表。 IPSec对报文的处理过程是： ? 对于外出流量：若查找SAD发现相应SA不存在，IPSec将启动IKE协商一个SA，并存储到SAD中。 ? 对于进入流量：IPSec从IP包中得到三元组，并用SPI在SAD中查找相应SA，以决定如何处理报文。 安全策略数据库SPD ? 安全策略SP说明对IP数据包提供何种保护，并以何种方式实施保护。 SPD是将所有的SP以某种数据结构集中存储的列表。 发送或接收IP包时要查找SPD来决定如何进行处理： ? 丢弃：流量不能离开主机或者发送到应用程序； ? 不用IPSec：作为普通流量处理； ? 使用IPSec：这条安全策略要到SAD中查找一个SA。 10.2 IPSec安全协议—