因特网安全协议.pptVIP

网络安全 IPSec综述 SA(Security Association) AH(Authentication Header) ESP(Encapsulating Security Protocol) IKE(Internet key Exchange) IPSec的体系结构 IPSec综述 IPSec的由来 IPSec的定义 IPSec运作原理 IPSec传输模式及图解 IPSec的应用 IPSec的由来 TCP/IP协议族提供了一个开放式的协议平台,目前网络面临的各种威胁包括保密数据的泄露、完整性的破坏、身份伪装和拒绝服务等 : 首先是保密数据的泄露。 其次是数据完整性的破坏。 再次是身份伪装。 另一种威胁是拒绝服务。 加密和验证是抵抗上述威胁保障的关键服务。 为实现IP网络上的安全，IETF建立了一个Internet安全协议工作组负责IP安全协议和密钥管理机制的制定。经过几年的努力，该工作组提出一系列的协议，构成一个安全体系，总称为IP Security Protocol，简称为IPSec。 IPSec的定义 IPSec是设计用来加密和认证IP数据包,从而防止任何人在网路上看到这些包的内容或者对其进行修改.IPSec是保护内部网络,专用网络,以及外部攻击的关键防线.IPSec提供一种安全服务,他能让管理员监视传输,检查位置,以及将各种方法套用到IP包上. IPSec运作原理 IPSec是利用AH(Authentication Header)和ESP(Encapsulating Security Payload)这两种通讯协议来保护IP数据包。AH integrity是确保IP数据包在传输过程中未被更改，且一旦此数据包在传输过程中被更改其内容，接收端也会察觉。而ESP confidentiality则是將IP数据包加密再传输，因此即使这个数据包被其他人截取，也无法解开此数据包而察看其内容。 IPSec模式 IPSec主要分成两种模式： 1.??? Transport Mode: IPSec利用AH或ESP直接对IP包验证或加密。 2.??? Tunnel Mode：IPSec会先利用AH或ESP对IP包认证或者加密,然后在这个IP包外面再包上一个新的IP头,而这个新的IP头的目的的地址则指向一个tunnel endpoint(一般而言是指到一个通往内部网络的网关(Gateway),而此包到达目的地后,会先移除外面的IP头，再送到原来IP包的目的地. IPSec的应用 IPsec的实现机制 IPsec的优势 IPsec的应用实例 IPsec的实现机制 1. 访问控制 2. 数据源验证 3 .无连接完整性和抗重播 4. 机密性和有限的业务流机密性 IPsec的优势 互操作性 安全可靠 实施灵活 节省费用 用途广泛 IPsec的应用实例 IPsec可为各种分布式应用，包括远程登录、客户/服务器、电子邮件、文件传输、Web访问等提供安全，可保证LAN、专用和公用WAN以及Internet的通信安全。现将一些应用列举如下： 例1：端到端安全如图1所示，主机C、D位于两个不同的网关A、B内，均配置了IPsec， A、B通过Internet（或Extranet）相连，但都未应用IPsec。主机C、D可以单独使用ESP或AH，也可以将两者组合使用。使用的模式既可以是传输模式也可以是隧道模式。 例2：基本的VPN支持如图2所示，网关A、B上运行隧道模式ESP，保护两个网内主机的通信，所有主机可不必配置IPsec。当主机C要向主机D发送数据包时，网关A要对数据包进行封装，封装的包通过隧道穿越Internet(或Extranet)后到达网关B，B对该包解封，然后发给D。 例3：保护移动用户访问公司的内部网如图3所示，位于主机B的移动用户要通过网关A访问其公司的内部主机C。主机B和网关A均配置IPsec，而主机C未配置IPsec。当B给C发数据包时，要进行封装，经过Internet(或Extranet)后到达网关A, A对该包解封，然后发给C。 例4：嵌套式隧道如图4所示，主机C要同主机D进行通信，中间经过两层隧道。公司的总出口网关为A，而主机D所在部门的网关为B。C同B间有一条隧道，C和A间也有一条隧道。当D向C发送数据包P时，网关B将它封装成P1，P1到达网关A后被封装成P2，P2经过Internet(或Extranet)到达主机C，C先将其解封成P1，然后将P1还原成P。 例5：IPsec的一个应用场景 安全关联SA(Security Association) 定义及其属性 SAD(Security As