返回
网络协议的安全-ipsec

网络协议的安全-ipsec

ID:10897343

大小:1.91 MB

页数:67页

时间:2018-07-08

网络协议的安全-ipsec_第1页
网络协议的安全-ipsec_第2页
网络协议的安全-ipsec_第3页
网络协议的安全-ipsec_第4页
网络协议的安全-ipsec_第5页
资源描述:

《网络协议的安全-ipsec》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IPSec本章要点:IPSec的概念、功能和体系结构AH机制和功能ESP机制和功能IKE机制和功能1IPSec安全体系结构IPSec(IPSecurity)是一种由IETF设计的端到端的确保IP层通信安全的机制。IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。IPSec在IPv6中是必须支持的,而在IPv4中是可选的。2IP通信可能会遭受如下攻击:窃听、篡改、IP欺骗、重放……IPSec协议可以为IP网

2、络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。3IPSec协议族相关的RFCRFC内容2401IPSec体系结构2402AH(AuthenticationHeader)协议2403HMAC-MD5-96在AH和ESP中的应用2404HMAC-SHA-1-96在AH和ESP中的应用2405DES-CBC在ESP中的应用2406ESP(EncapsulatingSecurityPayload)协议2407IPSecDOI2408ISA

3、KMP协议2409IKE(InternetKeyExchange)协议2410NULL加密算法及在IPSec中的应用2411IPSec文档路线图2412OAKLEY协议4IPSec的功能作为一个隧道协议实现了VPN通信第三层隧道协议,可以在IP层上创建一个安全的隧道,使两个异地的私有网络连接起来,或者使公网上的计算机可以访问远程的企业私有网络。保证数据来源可靠在IPSec通信之前双方要先用IKE认证对方身份并协商密钥,只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥,因此无

4、法冒充发送方,即使冒充,也会被接收方检测出来。保证数据完整性IPSec通过验证算法保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。保证数据机密性IPSec通过加密算法使只有真正的接收方才能获取真正的发送内容,而他人无法获知数据的真正内容。5IPSec体系结构图IKE协议AH协议ESP协议加密算法验证算法IPSec安全体系DOI6AH(AuthenticationHeader)AH为IP数据包提供如下3种服务:数据完整性验证通过哈希函数(如MD5)产生的校验来保证数据源身份认证通过在计

5、算验证码时加入一个共享密钥来实现防重放攻击AH报头中的序列号可以防止重放攻击。7ESP(EncapsulatingSecurityPayload)ESP除了为IP数据包提供AH已有的3种服务外,还提供另外两种服务:数据包加密对一个IP包进行加密,可以是对整个IP包,也可以只加密IP包的载荷部分,一般用于客户端计算机数据流加密。一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始包继续转发。加密是ESP的基本功能,而数据源身份认证、数据完

6、整性验证以及防重放攻击都是可选的。8AH和ESP可以单独使用,也可以嵌套使用。通过这些组合方式,可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。9IKE(InternetKeyExchange)IKE协议负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。解释域DOI定义IKE所没有定义的协商的内容;DOI为使用IKE进行协商SA的协议统一分配标识符。共享一个DOI的

7、协议从一个共同的命名空间中选择安全协议和变换、共享密码以及交换协议的标识符等,DOI将IPSec的这些RFC文档联系到一起。DOI(DomainofInterpretation)10安全联盟&安全联盟数据库SA(SecurityAssociation,安全联盟)是两个IPSec实体(主机、安全网关)之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以

8、及谁来保护。可以说SA是构成IPSec的基础。AH和ESP两个协议都使用SA来保护通信,而IKE的主要功能就是在通信双方协商SA。SA是单向的,进入(inbound)SA负责处理接收到的数据包,外出(outbound)SA负责处理要发送的数据包。因此每个通信方必须要有两种SA,一个进入SA,一个外出SA,这两个SA构成了一个SA束(SABundle)。11SA的表示方法每个SA由三元组(SPI,IP目的地址,IPSec协议)来

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。