网络安全架构设计和网络安全设备的部署.PPT

* 安全联盟（SA） SA是安全策略通常用一个三元组唯一的表示： SPI，IP目的地址，安全协议标识符 SPI：安全参数索引(Security Parameters Index)，说明用SA的IP头类型，它可以包含认证算法、加密算法、用于认证加密的密钥以及密钥的生存期； IP目的地址：指定输出处理的目的IP地址，或输入处理的源IP地址； 安全协议标识符：指明使用的协议是AH还是ESP或者两者 同时使用。 * 安全关联数据库SAD SAD存放着和安全实体相关的所有SA，每个SA由三元组索引。一个SAD条目包含下列域： 序列号计数器：32位整数，用于生成AH或ESP头中的序列号； 序列号溢出标志：标识是否对序列号计数器的溢出进行审核； 抗重发窗口：使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是重发包； IPSec协议操作模式：传输或隧道； AH的认证算法和所需密钥； ESP的认证算法和所需密钥； ESP加密算法，密钥，初始向量（IV）和IV模式； 路径最大传输单元； 进出标志； SA 生存期状态。 * 安全策略数据库SPD SPD决定了对数据包提供的安全服务，所有IPSec 实施方案的策略都保存在该数据库中。 IP包的处理过程中，系统要查阅SPD，每一个数据包，都有三种可能的选择：丢弃、绕过IPSec或应用IPSec: 丢弃：根本不允许数据包离开主机穿过安全网关； 绕过：允许数据包通过，在传输中不使用IPSec进行保护； 应用：在传输中需要IPSec保护数据包，对于这样的传输SPD必须规定提供的安全服务、所使用的协议和算法等等。 * IPSec对数据包的处理 TCP层产生的或者需要转发的数据包 安全关联？ 处理策略？ 查询SPD 丢弃 绕过IPSec 应用IPSec，查询SAD SA不存在或SA无效 进行IPSec处理添加IPSec头 SA有效 添加IP头，送到IP层发送队列 返回 丢弃数据包，记录出错信息 协商成功？ 启动IKE协商 否 是 * SA的管理 SA管理的两大任务 创建 先协商SA参数，再用SA更新SADB 删除 SA管理方式 手工进行 通过Internet密钥交换协议来完成，如IKE * IPSec两种安全机制 IPSec提供了两种安全机制：认证和加密。 认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改； 加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。 AH定义了认证的应用方法，提供数据源认证和完整性保证； ESP定义了加密和可选认证的应用方法，提供可靠性保证。 IKE的作用是协助进行安全管理，它在IPSec 进行处理过程中对身份进行鉴别，同时进行安全策略的协商和处理会话密钥的交换工作。 * IP认证包头AH AH协议提供无连接的完整性、数据源认证和抗重发保护服务，但不提供保密性服务。它能保护通信免受篡改，但不能防止窃听，适用于传输非机密数据。AH在每一个数据包上添加一个身份验证包头。 IP头 IPSec AH头 传输层头（TCP/UDP） 数 据 下一个包头 长度 保留 安全参数索引(SPI) 序列号 认证数据 * AH包头字段 下一个包头(Next Header，8位)：标识紧跟AH头后面使用IP协议号的包头； 载荷长度(Payload Len，8位)：AH包头长度； 保留（Reserved，16位）：为将来的应用保留，（目前为0）； 安全参数索引 (SPI，32位)：与目的 IP 地址一同标识SA； 序列号(Sequence Number Field，32位)：从1开始的32位单增序列号，不允许重复，唯一地标识每一个发送的数据包，为SA提供反重发保护。 认证数据(Authentication Data，长度可变)：包含完整性检查和。 * VPN技术及应用简介- IPSEC 通道模式的AH报文 * IP封装安全负载ESP ESP为IP包提供完整性检查、认证和加密。它使用HMAC-MD5或HMAC-SHA-1算法对IP进行认证。为了保证各种IPSec之间实现互操作性，目前ESP必须提供对56位DES算法的支持。ESP可以单独使用，也可以和AH结合使用。 安全参数索引 序列号 （SPI） IP头 IPSec ESP 头 传输层头（TCP/UDP） 数据 ESP尾 ESP 认证尾 认证数据 填充域 填充域 下一个