第7章网络安全.pptVIP

7.6因特网使用的安全协议

7.6.1网络层安全协议

7.6.2运输层安全协议

7.6.3应用层的安全协议破

7.6因特网使用的安全协议

7.6.1网络层安全协议1.IPsec与安全关联SA网络层保密是指所有在IP数据报中的数据都是加密的。

IPsec中最主要的两个部分鉴别首部AH(AuthenticationHeader)：AH鉴别源点和检查数据完整性，但不能保密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP比AH复杂得多，它鉴别源点、检查数据完整性和提供保密。

安全关联SA

(SecurityAssociation)在使用AH或ESP之前，先要从源主机到目的主机建立一条网络层的逻辑连接。此逻辑连接叫做安全关联SA。IPsec就把传统的因特网无连接的网络层转换为具有逻辑连接的层。公司总部分公司因特网SAR1R2IPsec数据报H1H2路由器R1到R2的安全关联SA

安全关联的特点安全关联是一个单向连接。它由一个三元组唯一地确定，包括：(1)安全协议（使用AH或ESP）的标识符(2)此单向连接的源IP地址(3)一个32位的连接标识符，称为安全参数索引SPI(SecurityParameterIndex)对于一个给定的安全关联SA，每一个IPsec数据报都有一个存放SPI的字段。通过此SA的所有数据报都使用同样的SPI值。公司总部分公司因特网SAR1R2IPsec数据报H1H2

2.鉴别首部协议AH在使用鉴别首部协议AH时，把AH首部插在原数据报数据部分的前面，同时把IP首部中的协议字段置为51。在传输过程中，中间的路由器都不查看AH首部。当数据报到达终点时，目的主机才处理AH字段，以鉴别源点和检查数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51

AH首部(1)下一个首部(8位)。标志紧接着本首部的下一个首部的类型（如TCP或UDP）。(2)有效载荷长度(8位)，即鉴别数据字段的长度，以32位字为单位。(3)安全参数索引SPI(32位)。标志安全关联。(4)序号(32位)。鉴别数据字段的长度，以32位字为单位。(5)保留(16位)。为今后用。(6)鉴别数据(可变)。为32位字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查IP数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51

3.封装安全有效载荷ESP使用ESP时，IP数据报首部的协议字段置为50。当IP首部检查到协议字段是50时，就知道在IP首部后面紧接着的是ESP首部，同时在原IP数据报后面增加了两个字段，即ESP尾部和ESP数据。在ESP首部中有标识一个安全关联的安全参数索引SPI(32位)，和序号(32位)。IP首部ESP首部TCP/UDP报文段使用ESP的IP数据报原数据报的数据部分ESP尾部ESP鉴别加密的部分鉴别的部分协议=50

3.封装安全有效载荷ESP（续）在ESP尾部中有下一个首部（8位，作用和AH首部的一样）。ESP尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。ESP鉴别和AH中的鉴别数据是一样的。因此，用ESP封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。IP首部ESP首部TCP/UDP报文段使用ESP的IP数据报原数据报的数据部分ESP尾部ESP鉴别加密的部分鉴别的部分协议=50

ESP首部运输层报文段或IP数据报ESPMACIPsec首部ESP尾部协议=50加密的部分鉴别的部分SPI序号填充填充长度下一个首部IPsec数据报

IPsec数据报有以下

两种不同的工作方式一、运输方式(transportmode)：在整个运输层报文段的后面和前面分别添加一些控制字段，构成IPsec数据报，把整个运输层报文段都保护起来，很适合于主机到主机之间的安全传送，但这需要使用IPsec的主机都运行IPsec协议。二、隧道方式(tunnelmode)：在IP数据报的后面和前面分别添加一些控制字段，构成IPsec数据报。这需要在IPsec数据报所经过的所有路由器都运行IPsec协议。隧道方式常用来实现虚拟专用网VPN。

有效载荷ESP首部TCP