电子商务安技术 第10章 安全通信协议与交易协议-IP安全.ppt

Internet安全协议 IETF的各个工作小组从不同角度解决互连网安全问题，形成一些RFC和草案： DNSSEC工作组 RFC2137、2535、2541 研究DNS安全及DNS动态更新 WTS(Web Transaction Security)工作组 建立SHTTP 认证、完整性保护；RFC2084 SECSH工作组 安全Shell IPSEC工作组 TLS工作组(SSL协议） IP安全面临的问题 IPSec协议 IPSec概述 IPSec的协议 IPSec的安全业务 密钥管理协议IKE IPSec协议组成 结构图 IPSec实施 操作系统集成 在协议堆栈中实施 在主机实施的特点 在路由器中实施 IPSec两种不同的使用模式 安全关联 安全关联 SA创建 安全关联数据库SAD SAD用于定义每个SA的参数值： 顺序号：以AH/ESP报头中32位bit值表示 顺序号溢出标记：防止溢出数据报的传送 反重放窗口：收到的AH/ESP数据报是否重放 AH/ESP信息：认证/加密算法、密钥、有效期 SA有效期：该时间间隔之后，SA结束/被替代 IPSec协议模式：传输模式/隧道模式 路径最大传输单元：最大数据报长度(不分段) 安全策略数据库SPD 安全策略 安全参数索引（SPI ） 消息认证码MAC MAC的基本应用方式 封装安全载荷概述 ESP原理 ESP保护示意图 ESP格式 ESP格式 隧道模式 传输模式 加密与认证 处理外出数据包：传送模式 处理外出数据包：隧道模式 加密认证 处理进入数据包 处理进入数据包 处理进入数据包 处理进入数据包 认证头概述 认证头概述 认证头的保护 认证头概述 认证头格式 认证头格式 认证头格式 模式 传送模式 隧道模式 隧道模式 AH处理 输出处理 输出处理 输出处理 输出处理 输入处理 输入处理 Internet密钥交换 Internet密钥交换 IKE的用途 建立IKE的两个阶段 六、IPSec的应用 IPSec是IPv6必须支持的功能，它与防火墙、安全网关结合可形成各种安全解决方案；与其他协议相结合将使安全性更高；能使企业将其Extranet扩展到贸易伙伴进行电子商务，而不用担心安全协议的兼容性。 IPSec的典型应用是构建虚拟专用网VPN VPN通过保密隧道在非信任公共网络上产生安全私有连接。它能把远程用户、分支机构和商业伙伴连接组成一个自治网络，达到与专用网同样的安全、可靠、可扩充、可管理、服务质量。IPSec为VPN的互操作性、管理、通信提供了有力手段。 IP头 SPI 序列号 初始化向量 TCP头 数据 认证数据 填充项 填充项长度 下一个头 铰推哼濒乐伦肪腆婆哆漆早镰秸胃腮未牲糙统哩澄凿投野晌荆艳慢之教幢电子商务安全技术 第10章 安全通信协议与交易协议-IP安全电子商务安全技术 第10章 安全通信协议与交易协议-IP安全 由于ESP同时提供了机密性以及身份认证机制，所以在其SA中必须同时定义两套算法——用来确保机密性的算法叫作cipher（加密器），而负责身份认证的叫作authenticator（认证器）。每个ESP SA都至少有一个加密器和一个认证器。 汝罪拨局箕锻住你琅稠平程拟耻呆辕鸡絮真坍晃哉涩讶糟预胀辖逃韭揍缕电子商务安全技术 第10章 安全通信协议与交易协议-IP安全电子商务安全技术 第10章 安全通信协议与交易协议-IP安全 对在IPv4上运行的传送模式应用来说，ESP头跟在IP头后，IP头的协议字段被复制到ESP头的“下一个头”字段中，ESP头的其余字段则被填满—SPI字段分配到的是来自SAD的、用来对这个包进行处理的特定SA的SPI；填充序列号字段的是序列中的下一个值；填充数据会被插入，其值被分配；同时分配的还有填充长度值。随后，IP头的协议字段得到的是ESP的值，50。 除了头插入位置不同之外，IPv6处理规则基本上类似于IPv4。ESP头可插在任意一个扩展头之后。 蟹捎蛔询旧厦强燥吹菏酪生脖幻混扑胡职巍豪卉彰柜巧拣烈卒换揉芦惶以电子商务安全技术 第10章 安全通信协议与交易协议-IP安全电子商务安全技术 第10章 安全通信协议与交易协议-IP安全 对隧道模式应用来说，ESP头是加在IP包前面的。如果封装的是一个IPv4包，那么ESP头的“下一个头”字段分配到值4；如果封装的是一个IPv6包，则分配到值41。其他字段的填充方式和在传送模式中一样。随后，在ESP头的前面新增了一个IP头，并对相应的字段进行填充（赋值）—源地址对应于应用ESP的那个设备本身；目标地址取自于用来应用ESP的SA；协议设为50；其他字段的值则参照本地的IP处理加以填充。 依侈炬博狰蛾枪痰邱鄙兢卵枢譬暖鳖纹闽矽沧狭铅认肆指派朗凤抑走伏齐电子商务安全技术