网络安全Chapter06.pptVIP

第六章 IPSec安全协议 本章内容 IPSec概念及安全体系结构 AH协议 ESP协议 ISAKMP协议 IKE协议 IPSec安全体系结构 1.IPSec概念 IPSec（IP Security）是Internet的网络层安全协议，于1995年8月发布IPSec 1.0，1998年11月发布了IPSec 2.0，同时支持IPv4和IPv6，它规定了： IPSec的整体结构（RFC2401，2411） IPSec协议（认证与加密）（RFC2402-2406） 密钥管理协议（RFC2407-2409，2412） IPSec安全体系结构 IPSec安全体系结构 为什么需要IPSec？ IP协议安全性能差，存在众多安全隐患。 如窃听、篡改、伪造（IP欺骗）、重放 IPSec 可以为IP网络通信 提供透明安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性 安全保护的范围 点到点（链路）：由于IP分组头要用来寻路，在路由器上需要相应的安全操作（如认证或加解密） 端到端：只需要在收发两端进行安全操作 Security Protocol Layers IPSec安全体系结构 IPSec安全体系结构 IPSec安全体系结构 2. IPSec的功能 1）作为一个隧道协议实现了VPN通信 IPSec作为第三层隧道协议，可以在网络层创建一个安全隧道，使两个异地私有网络连接起来，或者使公网上的计算机可以远程访问企业的私有网络 2）保证数据来源可靠 IPSec通信之前双方要先用IKE认证对方身份并协商密钥，成功之后才可以通信，第三方不可能知道验证和加密算法以及相关密钥，因此无法冒充。 3）保证数据完整性 保证数据传送过程中任何篡改和丢失都能被检测 4）保证数据机密性 IPSec安全体系结构 3.IPSec体系结构 IPSec安全体系结构 3.IPSec体系结构 IPSEC包含了3个重要协议：AH、ESP和IKE 1）AH：为IP数据包提供3种服务： 无连接的数据完整性：通过哈希函数产生的校验来保证 数据源身份认证：通过计算校验码时加入一个共享密钥实现 防止重放攻击：AH报头的序列号可以防止重放攻击 IPSec安全体系结构 3.IPSec体系结构 2）ESP除了为IP数据包提供了AH的3种服务外（可选的），还提供数据包加密和数据流加密（基本功能） 数据包加密：是指对一个IP包进行加密，可以是对整个IP包或仅对IP包的载荷部分加密，一般用于客户端计算机 数据流加密：一般用于支持IPSec的路由器，源端路由器并不关心IP包的内容，对整个IP包进行加密后传输，目的端路由器将包解密后将原始包继续转发 AH和ESP可以单独使用，也可以嵌套使用。可以在两台主机、两台网关（防火墙和路由器），或者主机与安全网关之间使用 IPSec安全体系结构 3.IPSec体系结构 3）IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享密钥的方法。IKE将密钥协商结果保存在安全联盟（SA）中，供AH和ESP使用 4）解释域（DOI）为使用IKE进行协商SA的协议统一分配标识符，共享一个DOI的协议从一个共同的命名空间中选择安全协议和变换、共享密码以及交换协议的标识符等，DOI将IPSEC的这些RFC文档联系到一起 IPSec安全体系结构 4. 安全联盟（SA）和安全联盟数据库（SAD） 1）SA SA是两个IPSec实体之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、密钥、密钥生存期、抗重放窗口、计数器等，从而决定保护什么、如何保护以及谁来保护，SA是构成IPSec的基础 SA是单向的，进入（inbound）SA负责处理接收到的数据包，外出（outbound）SA负责处理要发送的数据包，每个通信方必须由一个进入SA和一个外出SA。这两个SA构成了一个SA束（SA Bundle） IPSec安全体系结构 4. 安全联盟（SA）和安全联盟数据库（SAD） 1）SA SA是通过密钥管理协议在通信双方之间进行协商，协商完毕后，双方都在它们的安全关联数据库（SAD）中存储该SA参数 SA由一个三元组唯一地标识，该三元组为安全参数索引SPI、一个用于输出处理的目的IP地址（或用于输入处理的源IP地址）和协议（如AH或ESP） 安全参数索引（SPI） 4. 安全联盟（SA）和安全联盟数据库（SAD） SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中，其值1～255被IANA留作将来使用，0被保留，目前有效的值为256～232－1 有了SPI，相同源、目的节点的数据流可以建立多个SA IPSe