AHESP-副本教程.pptVIP

Contents * IPSec：AHESP 通信网安全理论 AHESP在IP通信中的应用 ESP-封装安全有效载荷 AH-认证头标 IPSec的体系结构 IPSec协议的引入 IPSec协议的引入 IPSec全称为Internet Protocol Security，是由互联网标准化组织 IETF 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。 IPSec是Internet的网络层协议，1995年首次发布了IPSec 1.0，随后在1998年时发布了同时支持IPv4和IPv6的协议的IPSec 2.0版本，同时规定了以下内容： IPSec整体结构(RFC4301,2411); IPSec认证与加密 (RFC2403,4302,4303,4305); IPSec密匙管理协议(RFC2404,2406)。 Security Protocol Layers IPSec 为什么要引用IPSec协议？ 早期计算机网络的安全较差，存在众多的安全隐患，如对信息的伪造，篡改，重放，窃听等等。 IPSec可以保证局域网、专用或用的广域网及Internet上信息传输的安全。 IPSec的实际应用： IPSec?VPN VPN 代理（大幅度提高全球互联网的连接速度并保证数据传输安全 ） 它们都是采用IPSec协议来实现远程接入的虚拟专用网络连接技术 。 IPSec的体系结构 IPSec AH-认证头 ESP-封装安全载荷 IEK-因特网密匙交换 IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。 其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。 AH-认证头标 AH（Authentication Header，认证头）协议：设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。 1，SPI? 由目的系统选择，来确定IPSec协议类型、操作模式、 密码算法、秘钥等。 2，序列号? 抵抗重发攻击！ 3，认证数据?用来校验数据报的完整性。 AH-认证头标 外出处理 使用相应的选择符（目的IP地址，端口号和传输协议）查找安全策略数据库SPD获取策略。 产生或增加序列号，当一个新的SA（安全关联）建立时，序列号计数器初始化为0，以后每发一个分组，序列号加1 计算ICV（完整性校验值） 转发分组到目的节点 AH处理 进入处理 若IP分组采用了分片处理，要等到所有分片到齐后重组 使用IP分组头中的SPI、目的IP地址以及IPSec协议在进入的SA数据库中查找SA，如果查找失败，则抛弃该分组，并记录事件。 使用已查到的SA进行IPSec处理。 使用分组中的选择符查找一条域选择符匹配的策略，检查策略是否相符 检查序列号，确定是否为重放分组， 使用SA指定的MAC算法计算ICV，与认证数据域中的ICV比较，如果两值不同，则抛弃分组 AH-认证投标 验证报头的认证算法有两种： 1，基于对称加密算法（如DES）， 2，基于单向哈希算法（如MD5或SHA）。 速度快 更安全 验证报头的工作方式： 1， 传输模式(transport)。 2， 隧道模式(tunnel)。 ESP-封装安全载荷 ESP（Encapsulate Security Payload，封装安全载荷）协议：封装安全载荷（ESP）用于提高Intern