IPSec：AH与ESP.ppt

IPSec：AH和ESP 薛开平（Xue Kaiping） 信息网络实验室 Lab. of Information and Networks kpxue@ 本章内容 3.1 IPsec协议的引入 3.2 IPv4和IPv6协议 3.3 IPSec中的安全组合（SA） 3.4 认证头标AH 3.5 封装安全载荷头标ESP 3.6 IPSec的传输模式与隧道模式 3.7 IPSec与NAT 3.8 IPSec隧道模式的应用-VPN 3.9 IPSec的实现 本章内容 3.1 IPsec协议的引入 3.2 IPv4和IPv6协议 3.3 IPSec中的安全组合（SA） 3.4 认证头标AH 3.5 封装安全载荷头标ESP 3.6 IPSec的传输模式与隧道模式 3.7 IPSec与NAT 3.8 IPSec隧道模式的应用-VPN 3.9 IPSec的实现 IP Security Protocols IPSec（IP Security）是Internet的网络层安全协议，于1995年8月发布IPSec 1.0，1998年11月发布了IPSec 2.0，同时支持IPv4和IPv6，它规定了： IPSec的整体结构（RFC4301，2411） IPSec协议（认证与加密）（RFC2403,4302,4303,4305） 密钥管理协议（RFC4304, 4306，2412） 为什么需要IPSec？ 计算机网络的安全性能差，存在众多安全隐患。 如伪造、篡改、重放、窃听 安全保护的范围 点到点（链路）：由于IP分组头要用来寻路，在路由器上需要相应的安全操作（如认证或加解密） 端到端：只需要在收发两端进行安全操作 Security Protocol Layers 本章内容 3.1 IPsec协议的引入 3.2 IPv4和IPv6协议 3.3 IPSec中的安全组合（SA） 3.4 认证头标AH 3.5 封装安全载荷头标ESP 3.6 IPSec的传输模式与隧道模式 3.7 IPSec与NAT 3.8 IPSec隧道模式的应用-VPN 3.9 IPSec的实现 IPv4和IPv6协议 IPv4协议——Internet的网络层协议 IPv6协议 Version – 4 bit IP version (6) Traffic Class – 8 bit priority value Flow Label – 20 bit Payload Length – 16 bit length of packet Includes all extension headers plus user data Allows for 216 – 1 (65,535) bytes Optional Extension Headers allow for larger packet sizes Next Header – 8 bit identifier of next header Hop Limit – 8 bit value denoting number of hops left before packet is dropped Source Address – 128 bit address of sending host Target Address – 128 bit address of target host IPv6地址 128位地址可产生2128个地址=3.4x1038 。 理论上说，地球上每平方米有665,570,793,348,866,943,898,599个IPv6地址. 实际分析表明，地球上每平方米可用的IPv6地址数为1564 - 3,911,873,538,269,506,102 表示方法采用十六进制冒号分割法 如1025:1ab6:0:0:0:87:a76f:1234 以上地址还可表示为1025:1ab6::87:a76f:1234 混合表示::FFFF:8 地址前缀表示：IPv6地址/前缀长度 IPv4与IPv6头标比较 V6: 6 fields + 2 addr V4: 10 fields + 2 addr + options Deleted: Header length type of service identification, flags, fragment offset Header Checksum Added: Traffic class Flow label Renamed: length - Payload length Protocol - Next header time to live - Hop Limit Redefined: Option mechanism IPv6 ex