(16教材资料)ip安全.pptVIP

一、IPSec 概述 1. IPSec 的应用 通过互联网安全分支机构接入 通过互联网进行安全远程访问 与合作者建立企业间联网和企业内联网接入 加强电子商务安全性 2. IPSec 的好处 IPSec有下列优点： 当在路由器和防火墙中使用 IPSec 时，它对通过其边界的所有通信流提供了强安全性。公司或者工作组内部的通信不会引起与安全相关的开销。 放火墙内的 IPSec 能在所有的外部流量必须使用IP时阻止旁路，因为防火墙是从互联网进入组织内部的唯一通道。 IPSec 位于传输层（TCP、UDP）之下，所以对所有的应用都是透明的。因此当防火墙或者路由器使用IPSec时，没有必要对用户系统和服务器系统的软件做任何改变。即使终端系统中使用IPSec，上层软件和应用也不会受到影响。 IPSec可以对终端用户是透明的。不需要对用户进行安全机制的培训，如分发基于每个用户的密匙资料（keying material），或者在用户离开组织时撤销密匙资料。 若有必要的话，IPSec 能给个人用户提供安全性。这对网外员工非常有用，它对在敏感的应用领域中组建一个安全虚拟子网络也是有用的。 3、IPSec体系结构 包括以下几个基本部分： AH（Authentication Header，认证报头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Management，密钥交换协议）、SA（Security Association，安全关联）、DOI（Domain of Interpretation，解释域）、认证和加密算法。 SA是IPSec的基础，决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数，通常用一个三元组（安全参数索引、目的IP地址、安全协议）唯一表示。SA总是成对出现的，对等存在于两端的通信实体，是通信双方协商的结果。 AH为IP数据报的IP头和上层协议数据提供完整性检查与数据源认证，并防止重放攻击。AH不提供数据加密服务。 ESP提供数据内容的加密，根据用户安全要求，ESP既可以用于加密IP数据报的内容（如：TCP、UDP、ICMP、IGMP），也可以用于加密整个IP数据报。作为可选项，ESP也可以提供AH的认证服务。 4. IPSec 服务 数据加密 IPSec的数据加密服务由ESP（Encapsulating Security Payload，封装安全载荷）提供，算法采用CBC（Cipher Block Chaining，加密块链接）方式，这样确保了即使信息在传输过程中被窃听，非法用户也无法得知信息的真实内容。 数据源地址验证、数据完整性检查 IPSec使用HMAC（Hash-Base Message Authentication Code）进行数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容等在传输过程中不变的字段计算出来的，具有唯一性。数据如果在传输过程中发生改动，在接收端就无法通过验证。 防止重放攻击 IPSec使用AH（Authentication Header，认证头）为每个SA（Security Association，安全关联）建立系列号，而接收端采用滑动窗口技术，丢弃所有的重复的包，因此可以防止重放攻击。 5. IPSec的工作模式 AH 和 ESP 都支持两种使用模式：传输模式和隧道模式。 传输模式通常应用于主机之间端对端通信，该模式要求主机支持IPSec。 隧道模式应用于网关模式中，即在主机的网关（防火墙、路由器）上加载IPSec，这个网关就同时升级为SG（Security Gateway，安全网关）。 传输模式主要为上层协议提供保护，AH或ESP报头插入在IP报头和传输层协议报头之间。 隧道模式，整个IP包都封装在一个新的IP包中，并在新的IP报头和原来的IP报头之间插入IPSec头（AH/ESP）。 传输模式下的AH和ESP都没有对IP报头进行封装，隧道模式下整个IP包都被封装了。当采用ESP进行数据加密时，原始IP报头中的源地址和目的地址都被隐藏起来，具有更好的安全性。 下表总结了传输模式和隧道模式的功能 二、封装安全载荷 1.ESP格式 安全参数索引(32bit)：标识一个安全关联 序列号（32bit）：一个递增的计数值，提供了反重放功能 载荷数据（payload data）（长度可变）：这是被加密保护的传输层分段（传输模式）或者 IP 包（隧道模式） 填充域（padding）（0~255字节）：此域的目的将在后面讨论。 填充长度（pad length）（8比特）：标明此域前面一个域中填充数据的长度。 邻接报头（next header）（ 8比特）：通过标识载荷中的第一个报头来标