大学课件IP安全.pptxVIP

IP安全

安全性途径网络层——IP安全性（IPSec)传输层——SSL/STL应用层——S/MIME,PGP,PEM,SET,Kerberos,SHTTP,SSH

密钥管理01机密性02不可抵赖性03完整性/身份验证04授权05安全服务

网络层安全性优点－密钥协商的开销被大大的消减了－需要改动的应用程序很少－很容易构建VPN缺点很难解决“抗抵赖”之类的问题

IPv4头

IPv6分组Nextheader

IPv6基本头

IPSec的目标为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全，在IP层实现多种安全服务，包括访问控制、无连接完整性、数据源验证、抗重播、机密性（加密）和有限的业务流机密性。

–AH:AuthenticationHeader–ESP:EncapsulatingSecurityPayload协议部分，分为–SA（SecurityAssociation）–ISAKMP定义了密钥管理框架IKE是目前正式确定用于IPSec的密钥交换协议密钥管理（KeyManagement）IPSec的内容

IPSec安全体系结构图

IPSec的实施–与IP协议栈紧密集成，直接修改协议栈既适用于主机模式，也适用于安全网关–不修改协议栈BITS（Bump-in-the-stack）位于IP协议栈和网络驱动程序之间BITW（Bump-in-the-wire）外置加密设备，通常是可IP寻址的

P1隧道模式P2传输模式IPSec的模式

安全联盟SASA是单向的；SA是“协议相关”的；每个SA通过三个参数来标志spi,dst(src),protocol－安全参数索引SPI(SecurityParametersIndex)－对方IP地址－安全协议标识:AHorESPSA与IPSec系统中实现的两个数据库有关－安全策略数据库(SPD)－安全关联数据库(SAD)

01提供机密性、数据源验证、抗重播以及数据完整性等安全服务；02加密算法和身份验证方法均由SA指定；03用于两种模式：传输模式和隧道模式。封装安全载荷（ESP）

ESP头格式加密范围01.验证范围02.IV03.

2Authenticated5Encrypted3IPv46Authenticated1Encrypted4IPv6ESP的传输模式

IPv606Authenticated05Encrypted04IPv403Authenticated02Encrypted01ESP的隧道模式

ESP的处理过程（1）对于发出去的包(OutboundPacket)的处理–查找SA–加密.封装必要的数据，放到payloaddata域中,不同的模式，封装数据的范围不同.增加必要的padding数据.加密操作–验证–计算ICV，注意，针对加密后的数据进行计算

ESP的处理过程（2）对于接收到的包(InboundPacket)的处理：–分片装配–查找SA.依据：目标IP地址、ESP协议、SPI–检查序列号(可选，针对重放攻击).使用一个滑动窗口来检查序列号的重放–ICV检查–解密.根据SA中指定的算法和密钥、参数，对于被加密部分的数据进行解密.去掉padding.重构原始的IP包

验证头部（AH）为IP包提供数据完整性校验和身份认证功能；验证算法由SA指定–认证的范围：整个包两种模式：–传输模式：不改变IP地址，插入一个AH–隧道模式：生成一个新的IP头，把AH和原来的整个IP包放到新IP包的净荷数据中

AH头格式

AH的传输模式IPv4IPv6AuthenticatedexceptformutablefieldsAuthenticatedexceptformutablefields

AuthenticatedexceptformutableFieldsinthenewIPheader01IPv402AuthenticatedexceptformutableFieldsinthenewIPheader03IPv604AH的隧道模式

AH的处理过程（1）对于发出去的包(OutboundPacket)的处理构造AH–创建一个外出SA（手工或通过IKE）–产生序列号填充AH头的各字段–计算ICV(IntegrityCheckValue).内容包括：IP头中部分域、AH自身、上层协议数据–AH头中的“下一头部”置为原IP报头中的“协议”