IP的安全性范例.ppt

TCP/IP协议栈 用户数据经过协议栈的封装过程 网络层安全 传输层安全 应用层安全 IPV4数据报 IPv4的缺陷 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基于源IP地址的鉴别机制 ，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击 IPv6 IPSec 两个通信协议：AH , ESP 两种操作模式：传输模式，隧道模式 一个密钥交换管理协议：IKE 两个数据库：安全策略数据库SPD，安全关联数据库SAD IPSec的体系结构 IPSec的实现 认证头 AH AH 为IP包提供数据完整性和鉴别功能 利用MAC码实现鉴别，双方必须共享一个密钥 鉴别算法由SA指定 － 鉴别的范围：整个包 两种鉴别模式： － 传输模式：不改变IP地址，插入一个AH － 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中 AH 提供的服务包括 数据源认证 无连接的完整性 可选的抗重放服务 不提供保密性 AH头说明－ Next Header 8比特，指出AH后的下一载荷的类型(RFC1700) AH头说明－Payload Length 包含以32比特为单位的AH的长度减 2 AH头说明－SPI 32bit 用于和源/目的IP地址、IPSec协议(ESP/A