欢迎来到天天文库
浏览记录
ID:40401140
大小:820.51 KB
页数:45页
时间:2019-08-01
《IP安全协议(IPSec)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第10章IP安全协议(IPSec)EverythingoverIP(TCP/IP,VOIP…)。但是IP不能提供安全性。前身:IPSP(IPSecurityProtocol)。IETF中的IPSecurityProtocolWorkingGroup工作组负责标准化,目标:该体制不仅适用于IP目前的版本(IPv4),也能在IP的新版本(IPng或IPv6)下工作;可为运行于IP顶部的任何一种协议提供保护;与加密算法无关,即使加密算法改变了或增加新的算法,也不对其他部分的实现产生影响;必须能实现多种安全策略,但要避免给不使用该体制的人造成不利影响。背景202
2、1/9/162IPSec初始文档集RFC编号RFC名称现状1825SecurityArchitecturefortheInternetProtocol被RFC2401取代1826IPAuthenticationHeader(AH)被RFC2402取代18211IPEncapsulatingSecurityPayload(ESP)被RFC2406取代1828IPAuthenticationusingKeyedMD5有效1829TheESPDES-CBCTransform有效2021/9/163IPSec体系结构2021/9/164IPSec提供的安全机制鉴
3、别保证收到的数据包的确是由数据包头所标识的数据源发来的,且数据包在传输过程中未被篡改。保密性保证数据在传输期间不被未授权的第三方窥视。密钥管理解决密钥的安全交换。2021/9/165IPSec提供的安全服务协议安全服务AHESP(只加密)ESP(加密并鉴别)访问控制服务YYY无连接完整性Y-Y数据源鉴别Y-Y拒绝重放的分组YYY保密性-YY流量保密性-YY2021/9/166IPSec的典型用途保证因特网上各分支办公点的安全连接。保证因特网上远程访问的安全。通过外部网或内部网建立与合作伙伴的联系。提高了电子商务的安全性。2021/9/167IPSec的优
4、点如果在路由器或防火墙上执行了IPSec,它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不涉及与安全相关的费用。IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上实现IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。2021/9/168IPSec的工作模式传输模式传输模式保护的是IP载荷。隧
5、道模式隧道模式保护的是整个IP包。2021/9/169传输模式和隧道模式的比较2021/9/1610IPSec的实施位置—端主机优点:可以保障端到端的安全性;能够实现所有的IPSec安全模式;能够针对单个数据流提供安全保障;在建立IPSec的过程中,能够记录用户身份验证的相关数据和情况。实施方案可分为两类:与主机中的操作系统集成;作为一个单独的部分在协议堆栈的网络层和数据链路层之间实施。2021/9/1611IPSec的实施位置—路由器优点:能对两个子网(私有网络)间通过公共网络(如Internet)传输的数据提供安全保护;能通过身份验证控制授权用户从外
6、部进入私有网络,而将非授权用户挡在私有网络的外面。实施方案也可分为两类:IPSec功能集成在路由器软件中;IPSec功能在直接物理接入路由器的设备中实现,该设备一般不运行任何路由算法,只用来提供安全功能。2021/9/1612鉴别首部(AH)为IP提供数据完整性防止传输过程中对数据包内容的修改。数据源身份验证(鉴别)防止地址欺骗攻击。一些有限的抗重播服务防止消息重放攻击。不保证任何的机密性2021/9/1613AH的组成格式2021/9/1614抗重播服务(Antireply)序列号字段创建一个新的SA时,发送者会将序列号计数器初始化为0;每当在这一SA
7、上发送一个数据包,序列号计数器的值就加1并将序列号字段设置成计数器的值;当达到其最大值232-1时,就应建立一个新的SA。一种”滑动”窗口机制IP是无连接的、不可靠的,需设立窗口;窗口的最左端对应于窗口起始位置的数据包序列号N,则最右端对应于可以接收的合法分组的最高序号N+W-1。2021/9/1615窗口的移动接收到的数据包必须满足如下全部条件才不会被丢弃并将相应的窗口位置做上标记:接收到的数据包的序列号必须是新的,即在窗口中未出现过;接收到的数据包的序列号必须落在窗口内部,或落在窗口右侧;接收到的数据包能通过鉴别检查。接收到的数据包落在窗口右侧且通过
8、鉴别检查,窗口就会向前走,使得该序号成为窗口的右边界。2021/9/1616W=
此文档下载收益归作者所有