IPSec协议创新.pptVIP

因特网与TCP/IP安全 SSL协议 SET协议 IPSec协议;IPSec 协议 －1 概述;IPSec 协议 －1 概述;IPSec 协议 －1 概述;帧头;应用层;IPSec 协议 －2 IPSec的安全体系结构 ;各个模块的功能是： 体系结构：覆盖了定义IPSec技术的一般性概念、安全需求、定义和机制 安全封装载荷(ESP)：是插入IP数据包内的一个协议头，具有为IP数据包提供机密性、数据完整性、数据源认证和抗重传攻击等功能。 认证头(AH)：是插入IP数据包内的一个协议头，具有为IP数据包提供数据完整性、数据源认证和抗重传攻击等功能。 加密算法：一组文档描述了怎样将不同的加密算法用于ESP。 认证算法：一组文档描述了怎样将不同的认证算法用于AH和ESP可选的鉴别选项。 密钥管理：描述密钥管理机制的文档。 解释域DOI：包含了其他文档需要的为了彼此间相互联系的一些值。这些值包括经过检验的加密和认证算法的标识以及操作参数，例如密钥的生存期。 ;IPSec 协议 －3 IPSec服务 ;IPSec 协议 －4 IPSec的工作模式 ;;IPSec 协议 －4 IPSec的工作模式;;IPSec 协议 －5 认证头协议(AH) ;IPSec 协议 －5 认证头协议(AH);IPSec 协议 －5 认证头协议(AH);IPSec 协议 －5 认证头协议(AH);Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd.;窗口最左端对应于窗口起始位置的序列号，窗口的右边界则代表目前已经收到的合法分组的最高序号。对于任何已经正确接收的(即经过了正确鉴别的)其序号处于N-W+1到N范围之间的分组，窗口的相应插槽被标记。当收到一个分组时，按照如下步骤进行进入处理： ①．如果收到的分组落在窗口之内并且是新的，就进行MAC检查。如果分组被鉴别，就对窗口的相应插槽做标记。 ②．如果收到的分组落在窗口的右边并且是新的，就进行MAC检查。如果分组被鉴别，那么窗口就向前走，使得该序号成为窗口的右边界，并对窗口的相应插槽做标记。 ③．如果收到的分组落在窗口的左边，或者鉴别失败，就丢弃该分组。 ;IPSec 协议 －5 认证头协议(AH);原始的IP头 (任何选项) ;原始的IP头 (任何选项) ;原始的IP头 (任何选项) ;IPSec 协议 －6封装安全载荷协议(ESP) ;IPSec 协议 －6封装安全载荷协议(ESP);IPSec ???议 －6封装安全载荷协议(ESP);IPSec 协议 －6封装安全载荷协议(ESP);传输方式的操作总结如下： ①在源站，由ESP尾部加上整个传输级的报文段组成的数据块被加密，这个数据块的明文被其密文所代替，以形成用于传输的IP分组。如果认证选项被选中，还要加上认证。 ②然后分组被路由到目的站。每个中间路由器都要检查和处理IP首部加上任何明文的IP扩展首部，但是不需要检查密文。 ③目的结点检查和处理IP首部加上任何明文的IP扩展首部。然后，在ESP首部的SPI基础上目的结点对分组的其他部分进行解密以恢复明文的传输层报文段。 传输方式操作为使用它的任何应用程序提供了机密性，因此避免了在每一个单独的应用程序中实现机密性，这种方式的操作也是相当有效的，几乎没有增加IP分组的总长度。;ESP尾 ;IPSec 协议 －7 安全关联 ;安全关联是单向的，意味着每一对通信系统连接都至少需要两个安全关联。一个是从A到B，一个是从B到A。 如A需要有一个SA(out)用来处理外发数据包；一个SA(in)用来处理进入数据包。 如B需要有SB(out) 和SB(in) SA(out) 和SB(in)共享一个加密参数 SA(in) 和SB(out)共享一个加密参数 因此对外发和进入的SA分别需要维护一张单独的数据表 ;一个SA由三个参数来惟一地标识： l?安全参数索引(SPI)：该比特串惟一地标识一个与某一安全协议(例如AH或者置SP)相关的安全关联。SPI位于AH和ESP头内，因此接收系统可以挑选出用于处理接收到的IP数据包的SA。 l?目的IP地址：该参数表明该SA的目的IP地址。端点可能会是最终用户系统或者一个如网关或防火墙这样的网络系统。尽管从概念上讲该参数可以是任意地址类型(多播、广播等)，但是目前它只能是一个单播地址。 l?安全协议标识符：该参数表明本关联是一个AH安全关联还是一个ESP安全关联。 ;IPSec实施方案最终会构建一个SA数据库(SADB)，由它来维护IPSec协议用来保障数据包安全的SA记录。 在IPSec保护IP报文之前，必须