IP的安全概述培训资料课件.pptVIP

* * 第三十页，共六十页。 * * 第三十一页，共六十页。 * * 安全关联－SA 第三十二页，共六十页。 * * 用于通信对等方之间对某些要素的一种协定，如： IPSec协议 协议的操作模式：传输、隧道 密码算法 密钥 用于保护数据流的密钥的生存期 安全关联－SA 第三十三页，共六十页。 * * 通过像IKE这样的密钥管理协议在通信对等方之间协商而生成 当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该SA参数 SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换 终止的SA将从SAD中删除 安全关联－SA 第三十四页，共六十页。 * * SAn …… SA3 SA2 SA1 安全关联－SA 第三十五页，共六十页。 * * 安全参数索引 32位整数，唯一标识SA 1－255被IANA保留将来使用 0被保留用于本地实现 SAn …… SA3 SA2 SA1 安全关联－SA 第三十六页，共六十页。 * * 输出处理SA的目的IP地址 输入处理SA的源IP地址 SAn …… SA3 SA2 SA1 安全关联－SA 第三十七页，共六十页。 * * AH ESP SAn …… SA3 SA2 SA1 安全关联－SA 第三十八页，共六十页。 * * 安全策略－SP 第三十九页，共六十页。 * * SP：指定用于到达或源自特定主机/网络的数据流的策略 SPD：包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 安全策略－SP 第四十页，共六十页。 * * 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 安全策略－SP选择符 课下作业： Windows对IPSec的支持 第四十一页，共六十页。 * * Internet密钥交换 第四十二页，共六十页。 * * 第十讲 IP的安全 王志伟 Email: 第一页，共六十页。 * * 课程内容 IP安全概述 IP安全体系结构 Windows 对IPSec的支持 小结 4 1 2 3 第二页，共六十页。 * * IP安全概述 目前TCP/IP协议面临的各种安全威胁主要包括 数据泄露 如用户名、密码都是以明文传输 数据完整性的破坏 如网上银行的存款额可能被修改 身份伪装 如IP欺骗 拒绝服务 协议中有若干弱点可被利用 第三页，共六十页。 * * IP Security Protocol 为解决Internet的安全问题，IETF提出了一系列的协议，总称为IP Security Protocol，简称IPSec 有标准都是以RFC的方式予以公开 RFC1825– Internet协议安全体系结构 RFC1826– IP鉴别头：AH RFC1827– IP封闭安全载荷：ESP IPSec在IPv4中需要工程设计和实现，在IPv6中作为选项实现 第四页，共六十页。 * * IPV4数据报 第五页，共六十页。 * * 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基于源IP地址的鉴别机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击 IPv4的缺陷 第六页，共六十页。 * * TCP/IP协议栈 第七页，共六十页。 * * 网络层安全 “Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。 第八页，共六十页。 * * 传输层安全 第九页，共六十页。 * * 应用层安全 第十页，共六十页。 * * 课程内容 IP安全概述 IP安全体系结构 Windows 对IPSec的支持 小结 4 1 2 3 第十一页，共六十页。 * * 两个通信协议：AH , ESP 两种操作模式：传输模式，隧道模式 一个密钥交换管理协议：IKE 两个数据库：安全策略数据库SPD，安全关联数据库SAD IPSec 参见P238页 概述 第十二页，共六十页。 * * 认证头 AH 协议 第十三页，共六十页。 * * 为IP包提供数据完整性和鉴别功能 利用MAC码实现鉴别，双方必须共享一个密钥 鉴别算法由SA（安全关联）指定 － 鉴别的范围：整个包 两种鉴别模式： － 传输模式 － 隧道模式 AH 第十四页，共六十页。 * * 提供的服务包括 数据源认证 无连接的完整性 可选的抗重放服务 不提供保密性 AH 第十五页，共六十页。 * * AH头格式 下一个报头 (Next Header) 有效载荷长度