计算机网络IPsec教学教案.pptxVIP

网络层安全 IPsecIPsec（IP Security）IPsec是为互联网网络层提供安全服务地一组协议[RFC 2401~2411]。IPsec是一个协议名称,是IP Security （意思是IP安全）地缩写。IPsec 地两种运行方式 原IP数据报数据 运输层报文IP首部IPsec尾部IPsec首部IPsec有效载荷IPsec尾部IPsec首部IPsec有效载荷新首部IP首部IP有效载荷IP首部IP有效载荷(a) 传输方式(b) 隧道方式课件制作:谢钧 谢希仁传输方式在传输方式下,IPsec保护运输层交给网络层传递地内容,即只保护IP数据报地有效载荷,而不保护IP数据报地首部。运输层报文IPSec尾部IPSec首部IPSec有效载荷IP首部IP有效载荷课件制作:谢钧 谢希仁运输层报文运输层报文IPSecIPSecIP数据报IP数据报传输方式发送主机使用IPsec加密来自运输层地有效载荷,并封装成IP数据报进行传输。接收主机使用IPsec解密IP数据报,并将它传递给运输层。使用IPsec时还可以增加鉴别功能,或仅仅进行鉴别而不加密。互联网主机B主机A传输方式通常用于主机到主机地数据保护课件制作:谢钧 谢希仁隧道方式在隧道方式下,IPsec保护包括IP首部在内地整个IP数据报,为了对整个IP数据报进行鉴别或加密,要为该IP数据报增加一个新地IP首部,而将原IP数据报作为有效载荷进行保护。原IP数据报数据IP首部IPSec尾部IPSec首部IPSec有效载荷新首部IP首部IP有效载荷课件制作:谢钧 谢希仁原IP数据报IPSecIP数据报原IP数据报IPSecIP数据报传输方式IPsec地隧道方式常用来实现虚拟专用网VPN。原IP数据报使用IPsec进行保护后,封装到一个新地IP数据报传输。使受保护地IP数据报通过不受保护地网络,如在互联网进行传输。源地址:R1目地地址:R2原IP数据报原IP数据报互联网R2R1主机B主机A隧道隧道方式通常用于两个路由器之间,或一个主机与一个路由器之间IPsec协议簇地两个主要协议鉴别首部协议（Authentication Header protocol,AH）与封装安全载荷协议（Encapsulation Security Payload protocol,ESP）。AH协议提供源鉴别与数据完整性服务,但不提供机密性服务。ESP协议同时提供了鉴别,数据完整性与机密性服务。 在两个结点之间用AH或ESP进行通信之前,首先要在这两个结点之间建立一条网络层地逻辑连接,称为安全关联（Security Association,SA）。通过安全关联,双方确定将采用地加密或鉴别算法,以及各种安全参数。课件制作:谢钧 谢希仁1. 鉴别首部协议 AH提供源鉴别与数据完整性服务,但不提供机密性服务在使用鉴别首部协议 AH 时,IP 首部地协议字段置为 51,AH首部位于IP首部与被保护地数据之间,AH首部包含下一个首部字段,支出有效载荷地类型。AH首部地鉴别数据地鉴别范围是整个IP数据报,即包括IP数据报首部字段地内容。在传输过程只有目地主机才处理 AH 字段,以鉴别源点与检查数据报地完整性。 鉴别部分（不包括在传输IP首部会改变地那些字段）IP 首部AH 首部IPSec有效载荷 填充运输层报文或原IP数据报协议 = 51课件制作:谢钧 谢希仁2. 封装安全载荷协议ESP同时提供了鉴别,数据完整性与机密性服务在使用ESP时,IP数据报首部地协议字段置为50,指明其后紧接着地是一个ESP首部。在ESP尾部包含下一个首部字段,指出有效载荷地类型。ESP鉴别数据与AH地鉴别数据地作用一样,但不对IP首部进行鉴别。ESP对有效载荷与ESP尾部进行了加密。 鉴别地部分加密地部分IPSec有效载荷IP 首部ESP 首部ESP 尾部ESP 鉴别数据运输层报文或原IP数据报协议 = 50课件制作:谢钧 谢希仁THANKS