网络安全协议(PPT 146页).ppt

* IPSec 协议 －1 概述 提供了一种端到端的安全解决方案。 IPSec协议数据包和普通的IP数据包相似 好处？ 这些数据包可以很容易的通过任何IP网络而不需要对中间的设备做任何的改变。 需要知道加密的唯一设备就是端点。这个大大的降低了实现和管理的成本。 * IPSec 协议 －1 概述 提供三种不同的形式的保护 (1)认证 (2)数据完整性验证 (3)保密 * IPSec 协议 － 2 IPSec的安全体系结构 IPSec由三个基本要素来提供以上三种保护形式 验证头(AH) 封装安全载荷(ESP) 互联网密钥管理协议(IKMP) 一套协议中两个不同的机制。可单独使用，可组合使用。 * IPSec 协议 －2 IPSec的安全体系结构 体系结构 安全封装载荷(ESP) 认证头(AH) 认证算法 加密算法 解释域DOI 密钥管理 * IPSec 协议 －3 IPSec服务 服务类型 AH ESP(只加密) ESP(加密并认证) 访问控制 Y Y Y 无连接完整性 Y N Y 数据源的鉴别 Y N Y 拒绝重放攻击 Y Y Y 保密性 N Y Y 有限的通信流保密性 N Y Y * IPSec 协议 －4 IPSec的工作模式 1传输模式 主要对IP包的部分信息提供安全保护，即对IP数据包的上层协议数据提供安全保护。 当采用AH传输模式时，主要为IP数据包提供认证保护； 而采用ESP传输模式时，主要对IP数据包的上层信息提供加密和认证双重保护。 这是一种端到端的安全，IPSec在端点执行加密认证、处理，在安全通道上传输，因此主机必须配置IPSec。 * 首部 有效载荷 IP 数据报 传输网络 首部 有效载荷 IP 数据报 部分信息 端到端 * IPSec 协议 －4 IPSec的工作模式 隧道模式 IPSec隧道模式对整个IP数据包提供保护 其基本原理是构造新的IP数据包 当采用AH遂道模式时，主要提供认证保护(可变字段除外)； 当采用ESP遂道模式时，主要提供加密和认证双重保护。 这时，对IPSec的处理是在安全网关执行的，因此两端主机不必知道IPSec协议的存在。 * 首部 有效载荷 首部 有效载荷 首部 有效载荷 内部IP数据报 外首部 (新首部) 传输网络 首部 有效载荷 内部IP数据报 内部IP数据报 内部IP数据报 安全网关 安全网关 外首部 (新首部) 整个IP数据包 * IPSec 协议 －5 认证头协议(AH) 1．认证头的功能 为IP数据包提供数据完整性、数据源认证和抗重传攻击等功能。 注意：注意AH并不提供保密性保护，因此当数据通过一个网络的时候仍然可以被看到。 * IPSec 协议 －5 认证头协议(AH) 2．认证头格式 下一个首部 载荷长度 保留 安全参数索引(SPI) 序列号 认证数据ICV(长度可变) 后面高层协议 AH的内容长度 指明一组安全参数 防止重放攻击 数据包的校验值 * IPSec 协议 －5 认证头协议(AH) 3完整性校验值的计算 ICV是消息认证码(MAC)的一种截断版本。 只使用前96bit。 ICV使用下面的域来计算： 在传输中不变化的IP头域，可预测的IP头域 AH首部（不包括认证数据） 所有的上层协议数据 首部长度和源地址 可防止地址欺骗 * IPSec 协议 －5 认证头协议(AH) 4．抗重放攻击 IPSec数据包专门使用了一个序列号，以及一个“滑动”的接收窗口。 * 如果收到的分组落在窗口之内并且是新的 分组落在窗口的右边并且是新的 窗口的左边，或鉴别失败 * IPSec 协议 －5 认证头协议(AH) 5．传输模式和遂道模式 AH的实际位置决定于使用何种模式 以及AH是应用于一个IPv4还是一个IPv6数据包。 * 原始的IP头 (任何选项) TCP 数据 原始的IP头 (任何选项) TCP 数据 AH(载荷长度, SPI, 序号, MAC) 标准IPv4数据报 传输模式下的IPv4 认证范围：所有不变的域 原始的IP头 (任何选项) TCP 数据 AH(载荷长度, SPI, 序号, MAC) 新的IP头 (任何选项) 隧道模式下的IPv4 认证范围：所有不变的域 * 小结 1、功能 2、格式 3、抗重放攻击 4、两种模式的格式 IPSec 协议 －5 认证头协议(AH) * IPSec 协议 －6封装安全载荷协议(ESP) 1 ESP功能 ESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再封装到新的IP数据包中。 另外ESP也可提供认证服务，但与AH相比，二者的认证范围不同，ESP只认证ESP头之