网络安全概述.ppt

安全关联－SA 32位整数，刚开始通常为0 每次用SA来保护一个包时增1 用于生成AH或ESP头中的序列号域 在溢出之前，SA会重新进行协商 SAn …… SA3 SA2 SA1 * 第六十页，共一百零六页。 安全关联－SA 用于外出包处理 标识序列号计数器的溢出时，一个SA是否仍 可以用来处理其余的包 SAn …… SA3 SA2 SA1 * 第六十一页，共一百零六页。 安全关联－SA 使用一个32位计数器和位图确定一个输入 的AH或ESP数据包是否是一个重放包 SAn …… SA3 SA2 SA1 * 第六十二页，共一百零六页。 安全关联－SA AH认证密码算法和所需要的密钥 SAn …… SA3 SA2 SA1 * 第六十三页，共一百零六页。 安全关联－SA ESP认证密码算法和所需要的密钥 SAn …… SA3 SA2 SA1 * 第六十四页，共一百零六页。 安全关联－SA ESP加密算法，密钥，初始化向量(IV)和IV模式 IV模式：ECB，CBC，CFB，OFB SAn …… SA3 SA2 SA1 * 第六十五页，共一百零六页。 安全关联－SA 传输模式 隧道模式 SAn …… SA3 SA2 SA1 * 第六十六页，共一百零六页。 安全关联－SA 路径最大传输单元 是可测量和可变化的 它是IP数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的IP数据 包的最大长度 SAn …… SA3 SA2 SA1 * 第六十七页，共一百零六页。 安全关联－SA 包含一个时间间隔 外加一个当该SA过期时是被替代还是终止 SAn …… SA3 SA2 SA1 * 第六十八页，共一百零六页。 安全策略－SP SP：指定用于到达或源自特定主机/网络的数据流的策略 SPD：包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 * 第六十九页，共一百零六页。 安全策略－SP选择符 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 * 第七十页，共一百零六页。 安全策略－SP选择符 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 * 第七十一页，共一百零六页。 安全策略－SP选择符 指定传输协议（只要传输协议 能访问） SRn …… SR3 SR2 SR1 * 第七十二页，共一百零六页。 安全策略－SP选择符 完整的DNS名 或e-mail地址 SRn …… SR3 SR2 SR1 * 第七十三页，共一百零六页。 安全策略－SP选择符 完整的DNS用户名 SRn …… SR3 SR2 SR1 * 第七十四页，共一百零六页。 安全策略－SP选择符 应用端口 SRn …… SR3 SR2 SR1 * 第七十五页，共一百零六页。 IPSec的实现 * 第二十八页，共一百零六页。 3 IPsec数据封装 3.1 AH 3.2 ESP 3.3 SA及SP * 第二十九页，共一百零六页。 3.1 AH 为IP包提供数据完整性和鉴别功能 利用MAC码实现鉴别，双方必须共享一个密钥 鉴别算法由SA指定 － 鉴别的范围：整个包 两种鉴别模式： － 传输模式：不改变IP地址，插入一个AH － 隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的载荷数据中 * 第三十页，共一百零六页。 AH功能 提供的服务包括 数据源认证 无连接的完整性 可选的抗重放服务 不提供保密性 * 第三十一页，共一百零六页。 AH报文格式 * 第三十二页，共一百零六页。 AH头说明－ Next Header 8比特，指出AH后的下一载荷的类型(RFC1700) * 第三十三页，共一百零六页。 AH头说明－SPI 32bit 用于和源/目的IP地址、IPSec协议(ESP/AH)共同唯一标识一个SA * 第三十四页，共一百零六页。 AH头说明－Sequence Number SA建立时，发送方和接收方SN初始化为0 通信双方每使用一个特定的SA发送一个数据报则将它们增1，用于抵抗重放攻击 AH规范强制发送者必须发送SN给接收者，而接收者可以选择不使用抗重放特性，这时它不理会该SN 若接收者启用抗重放特性，则使用滑动接收窗口机制检测重放包。具体的滑动窗口因IPSec的实现而异 * 第三十五页，共一百零六页。 AH头说明－Authentication Data 该变长域包含数据报的认证数据，称为完整性校验值(ICV) 生成ICV的算法由SA指