网络安全-16：IP安全性.pptVIP

Chapter16

IP平安性《密码编码学与网络平安》

2025/6/14西安电子科技大学计算机学院2网络体系架构ISO/OSI参考模型TCP/IP参考模型

2025/6/14西安电子科技大学计算机学院3TCP/IP协议栈

2025/6/14西安电子科技大学计算机学院4Internet平安性途径网络接口层(链路层)——链路加密网络层——IPSec传输层——SSL/TLSWTLS应用层——S/MIME,PGP,PEM,SET,Kerberos,SHTTP,SSH……

2025/6/14西安电子科技大学计算机学院5网络层平安

2025/6/14西安电子科技大学计算机学院6传输层平安

2025/6/14西安电子科技大学计算机学院7应用层平安

2025/6/14西安电子科技大学计算机学院8IP协议IP是TCP/IP协议族中至关重要的组成局部,但它提供的是一种不可靠、无连接的的数据报传输效劳。不可靠〔unreliable)：不能保证一个IP数据报成功地到达其目的地。错误处理方法：扔掉该数据报，向其发送者传送一个ICMP消息。无连接〔connectionless)：IP并不维护关于连续发送的数据报的任何状态信息。每个数据报单独处理，在传送过程中可能出现错序。

2025/6/14西安电子科技大学计算机学院9用户数据经过协议栈的封装过程

2025/6/14西安电子科技大学计算机学院10IPv4头

2025/6/14西安电子科技大学计算机学院11IP首部说明(1)版本号目前取值4(IPV4)首部长度4个字节(字)为单位，取值范围5～15效劳类型指定传输的优先级、传输速度、可靠性和吞吐量等报文总长度最大长度为65535字节报文标识唯一标识一个数据报，如果数据报分段，那么每个分段的标识都一样标志最高位未使用，定义为0，其余两位为DF〔不分段〕和MF〔更多分段〕段偏移量以8个字节为单位，指出该分段的第一个数据字在原始数据报中的偏移位置

2025/6/14西安电子科技大学计算机学院12IP首部说明(2)生存时间取值0～255秒,每经过一个路由节点减1，为0时被丢弃协议数据报的协议类型，1:ICMP，4:IP，6:TCP，17:UDP…首部校验和每通过一次网关都要重新计算该值，用于保证IP首部的完整性源/目的IP地址标明该数据报的源地址和目标地址选项长度可变，提供某些控制功能，IP首部的长度必须是4个字节的整数倍，否那么必须填充

2025/6/14西安电子科技大学计算机学院13IPv6根本头

2025/6/14西安电子科技大学计算机学院14IPv4的缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制由于IP地址可软件配置以及基于源IP地址的鉴别机制，IP层存在：业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击

2025/6/14西安电子科技大学计算机学院15IPSec网络层平安性需求：身份鉴别、数据完整性和保密性好处：对于应用层透明弥补IPv4在协议设计时缺乏平安性考虑的缺乏

2025/6/14西安电子科技大学计算机学院16IPSec的历史1994年IETF专门成立IP平安协议工作组，来制定和推动一套称为IPsec的IP平安协议标准。1995年8月公布了一系列关于IPSec的建议标准1996年，IETF公布下一代IP的标准IPv6，把鉴别和加密作为必要的特征，IPSec成为其必要的组成局部1999年底，IETF平安工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)协议，密钥分配协议IKE、Oakley。ISAKMP/IKE/Oakley支持自动建立加密、鉴别信道，以及密钥的自动平安分发和更新。幸运的是，IPv4也可以实现这些平安特性。

2025/6/14西安电子科技大学计算机学院17IPSec的应用IPSec为在LAN、WAN和Internet上的通讯提供平安性分支办公机构通过Internet互连。(SecureVPN)通过Internet的远程访问。与合作伙伴建立extranet与intranet的互连。增强电子商务平安性IPSec的主要特征是可以支持IP层所有流量的加密和/或鉴别。因此可以增强所有分布式应用的平安性。

2025/6/14西安电子科技大学计算机学院18一个IP平安方案

2025/6/14西安电子科技大学计算机学院19IPSec的应用方式端