网络层安全通信协议分析.pptVIP

(1)AH头格式 (2)AH操作模式 (3)AH的处理过程 * 信息1201 王璐 茅依莎 １．IPsec的产生背景 2．IPsec的体系结构 3．IPsec实现方式 4．IPsec工作模式 5．安全关联 第二部分 以IPv4为代表的TCP/IP协议簇存在的安全缺陷： （1）IP协议没有为通信提供良好的数据源认证机制。 （2）IP协议没有为数据提供强的完整性保护机制。 （3）IP协议没有为数据提供任何形式的机密性保护。 （4）协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞，使各种安全攻击有机可乘。 在1998年，由IETF IP工作组制定了一组基于密码学的安全的开放网络安全协议，总称IP体系安全体系结构。简称IPsec. 返回 IPSec是一套协议包，而不是一个单独的协议 RFC文号。 IPSec 协议族中三个主要的协议： IP认证包头AH（IP Authentication Header）：AH协议为IP包提供信息源验证和完整性保证。 IP封装安全负载ESP （IP Encapsulating Security Payload）ESP协议提供加密保证。 Internet密钥交换IKE （The Internet Key Exchange）：IKE提供双方交流时的共享安全信息。 返回 常用的实现方式有集成方式、BITS方式和BITW方式3种。 (1)集成方式：把IPsec集成到IP协议的原始实现中，需要处理IP源码，适用于在主机和安全网关中实现。 (2)堆栈中的块BITS方式：把IPsec作为一个“楔子”插入原来的IP协议栈和链路层之间，不需要处理IP源码，适用于对原有系统升级，通常在主机中实现。 (3)线缆中的块BITW方式：在一个直接接入路由器或主机的设备中实现IPsec,通常用于军事和商业目的。当用于支持主机时，实现与BITS相似，但用于支持路由器或防火墙时，必须起到安全网关的作用。 返回 IPSec有两种工作模式：传输模式(Transport Mode)和隧道模式(Tunnel Mode)。 1.传输模式(Transport Mode) ：?IPSec协议头插入到原IP头部和传输层头部之间，只对IP包的有效负载进行加密或认证。 2.隧道模式:IPSec会先利用AH或ESP对IP包进行认证或者加密，然后在IP包外面再包上一个新IP头。 返回 只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。 返回 用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。 返回 定义 安全关联 SA,用于记录每条 IP安全通路的策略和策略参数。安全关联是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全关联,IKE的一个主要功能就是建立和维护安全关联。 类型 传输模式SA： 传输模式SA只能用于两个主机之间的IP通信。 隧道模式SA： 隧道模式SA既可以用于两个主机之间的IP通信也可用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。 生存期 是一个时间间隔或IPsec协议利用该SA来处理的数据量的大小。 SA是安全策略通常用一个三元组唯一的表示： SPI，IP目的地址，安全协议标识符 1）SPI：安全参数索引(Security Parameters Index)，说明用SA的IP头类型，它可以包含认证算法、加密算法、用于认证加密的密钥以及密钥的生存期； 2）IP目的地址：指定输出处理的目的IP地址，或输入处理的源IP地址； 3）安全协议标识符：指明使用的协议是AH还是ESP或者两者 同时使用。 SPD 决定了对数据包提供的安全服务，所有IPSec 实施方案的策略都保存在该数据库中。 IP包的处理过程中，系统要查阅SPD，每一个数据包，都有三种可能的选择：丢弃、绕过IPSec或应用IPSec: 1）丢弃：根本不允许数据包离开主机穿过安全网关； 2）绕过：允许数据包通过，在传输中不使用IPSec进行保护； 3）应用：在传输中需要IPSec保护数据包，对于这样的传输SPD必须规定提供的安全服务、所使用的协议和算法等等。 SAD 存放着和安全实体相关的所有SA，每个SA由三元组索引。一个SAD条目包含下列域： 1)序列号计数器：32位整数，用于生成AH或ESP头中的序列号； 2)序列号溢出标志：标