[互联网]IPSec.ppt

起始页面 讲师介绍 课程学习要求 通过对本课程的学习希望学员能达到以下要求： 理解IPSec的原理和协议结构 理解IPSec的处理流程 掌握IPsec 的功能和配置 IPSec原理介绍 IPSec是由Internet工程任务组（IETF）开发的开放标准框架 IPSec 是网络层中安全通讯的第三层协议 IPSec提供数据的认证、完整性、机密性、抗重播等安全服务 IPSec为无保护网络（如Internet）上传输敏感数据提供了安全性 IPSec应用的基本目的：确保数据通过公共网络时的安全性 IPSec背景介绍 IP包本身并不继承任何安全特性 我们不能担保收到的IP数据包： 来自原先要求的发送方（IP头内的源地址）； 包含的是发送方当初放在其中的原始数据； 原始数据在传输中途未被其他人看过。 IPSec的保护形式 数据源地址验证； 无连接数据的完整性验证； 数据内容的机密性（是否被别人看过）； 抗重播保护； 有限的数据流机密性保证。 具体分析：无IPSec的环境 具体分析：有IPSec的环境 IPSec保护模式介绍 IPSec提供的服务 数据完整性：接收方对包认证，确保数据在传输中没有被篡改 数据来源认证：接收方对IPSec包的源地址进行认证 反重播：接收方可拒绝接受过时包或包拷贝，保护自己不被攻击 数据机密性：发送方传输IP包前对包进行加密 IPSec提供服务的实现 数据完整性 ：由ESP、AH协议调用MD5或SHA散列算法实现 数据来源认证：由ESP、AH协议实现 反重播 ：由ESP、AH协议实现 数据机密性 ：由ESP结合DES、3DES加/解密算法实现 AH协议介绍 AH（Authentication Header）—验证头 为IP数据包提供数据完整性 为IP数据包提供源地址验证 为IP数据包提供抗重播服务 不提供对通信数据的加密服务 AH协议使用IP的50、51协议交互 ESP协议介绍 ESP（Encapsulating Security Payload）—封装安全性有效负载。 为IP数据包提供数据完整性 为IP数据包提供源地址验证 为IP数据包提供抗重播服务 提供对数据的加密服务 ESP协议使用IP的50、51协议交互 AH、ESP差异分析 AH不提供加密服务；ESP提供加密服务（结合DES、3DES） AH提供的验证保护可以保护整个IP数据包 ESP的验证保护无法保护IP头，但可以为数据提供加密服务 DES、3DES算法介绍 DES（Data Encryption Standard）—数据加密标准。 3DES（Triple Data Encryption Standard）—3倍数据加密标准。 相同： DES、3DES都是对数据包提供加/解密的算法 差异： DES的密钥长度为8字节（56个有效位） 3DES的密钥长度为24字节（168个有效位） 3DES加密强度比DES高若干倍 MD5、SHA散列算法介绍 MD5 （Message Digest-5）—消息摘要-5算法 。 SHA（Security Hash Algorithm） —安全散列算法 。 相同： MD5 、SHA都是散列算法，可对任意长度报文进行HASH计算 差异： MD5运算后得到128位的HASH（摘要）值 SHA运算后得到160位的HASH（摘要）值 SHA可以提供比MD5强度更高的验证 IPSec保护强度分析 网关A到B的Telnet数据采用：ESP协议、3DES加密、SHA验证 网关A到B的SMTP数据采用：ESP协议、DES加密、MD5验证 网关A到B的其他通信数据采用：AH协议、MD5验证 形成了3个保护强度的IPSec通信通道： TELNET保护强度最高、SMTP强度次之、其他通信的强度最弱 SA（Security Association）-安全联盟 SA是封装形式、加/解密算法、密钥、验证算法、密钥周期等信息的集合 SA是IPSec的一套专用方案，将安全服务/密钥、要保护的数据、通信实体联系起来。 若干个SA的集合形成了“安全联盟数据库”（SADB） SA-安全联盟（续） IPSec的SA是单向的，仅定义了一个方向上的服务。 通过2个SA的组合，可以对“进入”和“外出”的数据进行双向的保护。 每个SA由三个因素来决定： 1.安全参数索引（SPI）、 2.IPSec协议值，如（ESP、AH）、