IP安全培训课程.pptxVIP

一、IPSec 概述 ;2. IPSec 的好处 IPSec有下列优点： 当在路由器和防火墙中使用 IPSec 时，它对通过其边界的所有通信流提供了强安全性。公司或者工作组内部的通信不会引起与安全相关的开销。 放火墙内的 IPSec 能在所有的外部流量必须使用IP时阻止旁路，因为防火墙是从互联网进入组织内部的唯一通道。 IPSec 位于传输层（TCP、UDP）之下，所以对所有的应用都是透明的。因此当防火墙或者路由器使用IPSec时，没有必要对用户系统和服务器系统的软件做任何改变。即使终端系统中使用IPSec，上层软件和应用也不会受到影响。 ;IPSec可以对终端用户是透明的。不需要对用户进行安全机制的培训，如分发基于每个用户的密匙资料（keying material），或者在用户离开组织时撤销密匙资料。 若有必要的话，IPSec 能给个人用户提供安全性。这对网外员工非常有用，它对在敏感的应用领域中组建一个安全虚拟子网络也是有用的。;3、IPSec体系结构 包括以下几个基本部分： AH（Authentication Header，认证报头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Management，密钥交换协议）、SA（Security Association，安全关联）、DOI（Domain of Interpretation，解释域）、认证和加密算法。 SA是IPSec的基础，决定通信中采用的IPSec安全协议、散列方式、加密算法和密钥等安全参数，通常用一个三元组（安全参数索引、目的IP地址、安全协议）唯一表示。SA总是成对出现的，对等存在于两端的通信实体，是通信双方协商的结果。 AH为IP数据报的IP头和上层协议数据提供完整性检查与数据源认证，并防止重放攻击。AH不提供数据加密服务。 ESP提供数据内容的加密，根据用户安全要求，ESP既可以用于加密IP数据报的内容（如：TCP、UDP、ICMP、IGMP），也可以用于加密整个IP数据报。作为可选项，ESP也可以提供AH的认证服务。;;4. IPSec 服务 数据加密 IPSec的数据加密服务由ESP（Encapsulating Security Payload，封装安全载荷）提供，算法采用CBC（Cipher Block Chaining，加密块链接）方式，这样确保了即使信息在传输过程中被窃听，非法用户也无法得知信息的真实内容。 数据源地址验证、数据完整性检查 IPSec使用HMAC（Hash-Base Message Authentication Code）进行数据验证。HMAC是使用单向散列函数对包中源IP地址、数据内容等在传输过程中不变的字段计算出来的，具有唯一性。数据如果在传输过程中发生改动，在接收端就无法通过验证。 防止重放攻击 IPSec使用AH（Authentication Header，认证头）为每个SA（Security Association，安全关联）建立系列号，而接收端采用滑动窗口技术，丢弃所有的重复的包，因此可以防止重放攻击。;5. IPSec的工作模式 AH 和 ESP 都支持两种使用模式：传输模式和隧道模式。 传输模式通常应用于主机之间端对端通信，该模式要求主机支持IPSec。 隧道模式应用于网关模式中，即在主机的网关（防火墙、路由器）上加载IPSec，这个网关就同时升级为SG（Security Gateway，安全网关）。;传输模式主要为上层协议提供保护，AH或ESP报头插入在IP报头和传输层协议报头之间。;隧道模式，整个IP包都封装在一个新的IP包中，并在新的IP报头和原来的IP报头之间插入IPSec头（AH/ESP）。 传输模式下的AH和ESP都没有对IP报头进行封装，隧道模式下整个IP包都被封装了。当采用ESP进行数据加密时，原始IP报头中的源地址和目的地址都被隐藏起来，具有更好的安全性。 ;下表总结了传输模式和隧道模式的功能;二、封装安全载荷;完整性校验值（Integrity Check Value，ICV）（长度可变）：一个可变长的域（必须为32比特的字长的整数倍），它包含ICV。ICV的计算参量为 ESP 包中除认证数据域外的其他部分。 当使用任何组合式算法时，该算法本身既能够返回解密的明文，又能够返回一个示明完整性校验通过或不通过的信息。对组合式算法，通常应该会在 ESP 包（当选择完整性校验时）最后出现的 ICV 值会被省略。当选择完整性校验且省略 ICV 值时，在载荷数据内设置一种与 ICV 等价的方法去验证包的完整性则成为组合式算法的职责。;2.加密和认证算法 ESP 服务加密载荷数据、填充域、填充长度和邻接报头域，如果用于加密载荷的算