原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
协议_IPSec
Internet安全协议与标准
第六章 IPsec协议 张保稳 * 本次课程教学安排 Ipsec 概念 IPsec机理 IPsec 应用 What is IPSec? IP Security :一个框架,一套协议和标准,支撑IP层的安全。 传输中的认证和加密. 认证包的发起者. 防止传输中的拦截和篡改. Necessity 和IP有关的安全设施 广泛的业界支持e.g. Cisco, Microsoft, Network Associates, CheckPoint Software, Bay Networks, etc. IETF standard – Will网络 be mandatory in IPv6 TCP/IP原理图 IPv4 header IPv4 security 无连接的不可靠的 IP地址容易被假冒 路由器和网关容易被嗅探 IPSec 数据源认证 (IP address) 完整性保护 重放攻击保护 机密性和隐私 DOS预防 (Clogging, DOS) Support for IPv4, IPv6 (mandatory in IPv6) IPv6 header IPsec资料 IPSec documents: RFC 2401: An overview of security architecture RFC 2402: Description of a packet encryption extension to IPv4 and IPv6 RFC 2406: Description of a packet encryption extension to IPv4 and IPv6 RFC 2408: Specification of key managament capabilities IPsec 文档体系 IPsec 两个分离的层 IKE – Internet Key Exchange IP-Sec record sub-layer: traffic encapsulation protection IPsec Security Associations Security Association (SA). 见 RFC 1825. SAs 由Security Parameter Index (SPI) 和 目标地址组成. 单个IPsec连接至少需要2个SA。 Security Associations SA的参数: 认证算法和模式 加密算法和模式 相关密钥 密钥生命周期 SA生命周期 SA源地址 敏感水平(秘密还是未分类) Security Association Data (SAD) contains all the active Security Associations (SAs) Incoming: access via SPI in packet SPI in each direction selected by recipient (for efficiency) Outgoing: access via `selectors` in packet IP addresses, TCP/UDP ports and more 手工创建或者经由IKE Security Policy Data (SPD) 含有用户定义的策略.:每个报文的安全服务及其水平。 contains a list of rules: TrafficSelector, action Traffic Selectors:IP addresses and/or ports (specific or range), protocol (TCP/UDP/?); Actions: Discard; Bypass IPsec;Apply IPsec AH – Authentication Header AH Defined in RFC 1826 完整性: Yes, including IP header 认证: Yes Non-repudiation: Depends on cryptography algorithm. 加密: No 重放保护: Yes AH Outbound Inbound processing Outbound processing (senders end): Security Association Lookup Sequence Number Generation ICV computation Padding Fragmentation Inbound processing (receivers end): Re
文档评论(0)