第17章-网络安全讲解.ppt

当实现ESP时，IP数据报中增添了三个附加组件，它们是ESP报头，ESP报尾（Tailer）和ESP验证（Auth）。在IP数据报中，ESP紧随IP报头之后，ESP报尾和ESP验证在数据组件后面。 下图为ESP在IP数据报格式中的位置，以及ESP字段的结构： 17.3.2 IPSec协议类型 ESP报头由两个32位字组成，分别是Security Parameters Index （SPI，安全参数索引）和Sequence Number（序列号）。这同AH报头的SPI、SN是相同的。而且，如同AH一样，ESP提供了HMAC完整性检查，只不过检查字段置于整个分组的最后。这是因为不需要缓存分组就可以计算出整个分组的散列值，然后直接填充到HMAC（Hashed Message Authentication Code，散列的信息认证码）域，提高了传输速率。 ESP过程的步骤如下： （1）有效载荷增加ESP报尾。 （2）有效载荷和报尾要进行加密。 （3）增加ESP报头。 （4）ESP报头、有效载荷以及ESP报尾都用来生成身份验证数据。 （5）身份验证数据加到ESP报尾的末端。 （6）加上IP报头，但要把协议字段值改变为50。 17.3.2 IPSec协议类型 3. ESP隧道模式和AH隧道模式 IPSec支持两种工作模式：一种为传输模式，在这种模式下，IPSec报头直接插在IP报头的后面，同时IP报头的协议域指明了插放的IPSec报头类型。 另一种模式是隧道模式，在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中内部IP报头（原IP报头）指定最终的信源和信宿地址，而外部IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。 17.3.2 IPSec协议类型 在传输模式下，AH在每一个数据包的IP层与上层之间插入一个身份验证报头，并且在这个数据包的IP分组头的协议字段用数字51指明了紧跟在IP报头后面的是AH协议。而在隧道模式下，AH头在新的IP报头后面，然后才是原始的IP分组。 AH在TCP/IP协议体系中的位置如下： AH头格式如下： AH对包括IP报头的整个分组进行完整性检查，但是对于IP报头随着路由器转发而改变的值如TTL（Time to Live）和协议域等不在完整性检查范围之内。 IP报头 AH头 TCP/UDP报头 数据 新的IP报头 AH头 原始IP报头 TCP/UDP报头 数据 17.3.2 IPSec协议类型 在传输模式下，ESP在每一个数据包的IP层与上层之间插入一个身份验证报头，并且在这个数据包的IP分组头的协议域用数字“50”指明了紧跟在IP报头后面的是ESP协议。而在隧道模式下，ESP头在新的IP报头后面，然后才是原始的IP分组。 ESP在TCP/IP协议体系中的位置： ESP头格式： 与AH不同的是，ESP认证完整性检查部分（HMAC）包括ESP报头、传输层协议报头，应用数据和但不包括IP报头，因此ESP不能保证IP报头不被篡改。ESP加密部分包括上层传输协议信息、数据。 新的IP报头 ESP头 原始IP报头 TCP/UDP报头 数据 认证（HMAC） IP报头 ESP头 TCP/UDP报头 数据 认证（HMAC） 17.3.2 IPSec协议类型 17.4.1 安全技术—加密技术 VPN常常在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此需要建立强大的安全功能以确保企业内部网络不受到外来攻击，确保通过公共网络传送的企业数据的安全。 VPN中的安全技术通常由加密技术、密钥管理和认证技术组成。认证和加密是信息安全的两大部分，加密是为了不让传送的信息泄漏出去，防止如窃听等的第三方的被动攻击；而认证是防止第三方对传送的文件进行主动攻击，如篡改、伪造。可见，加密和认证是两个独立的过程。 对需要发送的消息加密，这样没有经过授权的用户是不能提取真正的内容的。我们把发送方要发送的数据看成是明文，明文通过加密后就叫密文。相应的，有加密算法和解密算法，分别是使用在加密过程中的规则、解密过程的规则。而加密算法和解密算法都是在一组密钥的控制下进行的，称之为加密密钥和解密密钥。 1. 对称加密技术 下图显示了对称加密技术的基本思想：