欢迎来到天天文库
浏览记录
ID:43766515
大小:586.00 KB
页数:67页
时间:2019-10-14
《网络安全原理与应用 沈苏彬 NetSec-ch6.1 IPsec》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第6章网络数据安全技术安全IP及其应用沈苏彬南京邮电大学信息网络技术研究所关键知识点网络数据安全主要讨论在网络数据传递环境下的安全技术。目前最为完整的一类网络数据安全技术是安全IP技术(IPsec技术)。目前使用最为广泛的一类网络数据安全技术是安全套接层技术(SSL技术)。2主要内容安全IP概述身份验证报头(AH)协议封装安全报体(ESP)协议因特网安全关联与密钥管理协议(ISAKMP)因特网密钥交换(IKE)协议3安全IP概述安全IP(IPsec)在互联网协议(IP)层提供安全服务,也就是在网络层提供安全服务。安全IP提供的安全服务包括:访问
2、控制、数据传递的完整性验证、数据源身份验证和防范重播分组攻击、数据保密传递、以及有限的数据传递信息保密。这里“有限的数据传递信息保密”是指不泄漏IP分组真实的源地址、目的地址、端口号等协议控制信息。4安全IP的总体组成IPsec总体上包括4个组成部分:安全协议,安全关联,密钥管理,以及身份验证算法与加密算法。为了利用IPsec在IP层提供安全服务,必须选择安全协议、选择安全协议中采用的身份验证算法或者加密算法,协商身份验证算法或加密算法采用的密钥,最终建立需要进行IPsec通信的IP结点之间的安全关联。5安全IP中定义的安全协议IPsec目前只
3、提供两种安全协议:身份验证报头(AH)协议和封装安全报体(ESP)协议。AH协议主要提供的IP层安全服务包括:访问控制、数据传递的完整性验证、数据源身份验证和防范重播分组攻击。ESP协议不仅可以提供AH协议提供的身份验证类安全服务,还可以提供数据保密传递和有限的数据传递信息保密等功能。6安全关联安全关联(SA)概念是安全IP的基础,AH和ESP都需要使用SA,而互联网密钥交换(IKE)协议的主要功能是建立和维护安全关联。安全关联是一个单工(单向)连接,它为在该连接上传递的报文提供安全服务。SA可以利用AH协议或者ESP协议提供安全服务,但是,一
4、个SA不能同时使用AH和ESP协议。7安全关联的标识一个SA可以由三元组(安全参数索引,IP目的地址,安全协议标识)唯一标识,安全参数索引(SPI)指向存放该SA已经协商完成的安全参数的数据项,IP目的地址指向该SA数据接收方的主机或安全网关,安全协议标识表示SA采用的安全协议是AH,还是ESP。8安全关联的模式SA可以分成两种模式:一种是传送模式,另一种是隧道模式。传送模式的SA是在两个主机之间建立的SA,它仅仅保护IP层之上的报文传递。例如,传送模式的SA可以采用ESP协议对传送层报文进行加密传递。隧道模式的SA是将安全关联应用于IP隧道中
5、。9IP隧道IP隧道就是在正常的IP报文外面再封装一个IP报头,使得正常的IP报文先传递到封装的IP报头指定的目的地址,然后,拆除封装的IP报头,再按照原来的IP报文指定的目的地址继续传递。源主机隧道入口隧道出口目的主机正常IP报文正常IP报文正常IP报文封装报头图6.1IP隧道示意图IP隧道10SA组合模式每条SA只能支持一个安全协议。但是,有些应用需要同时支持AH和ESP安全协议。这时,就需要在一对IP网络结点之间建立多条SA(即SA组合)。IPsec规定,任何符合IPsec规范的安全IP实现系统中至少必须支持以下4种SA组合模式:11SA
6、组合模式1在两台IP网络主机之间可以建立多条SA(如图6.2所示),SA可以是传送模式或者隧道模式。这里的主机1和主机2都支持IPsec相关协议。主机1企业内部网/公共互联网主机2图6.2SA组合模式1多条SA12SA组合模式1(续)在主机1和主机2之间传递的分组报头可以采用以下任意一种形式:传送模式1:[IP1][AH][Upper]传送模式2:[IP1][ESP][Upper]传送模式3:[IP1][AH][ESP][Upper]隧道模式1:[IP2][AH][IP1][Upper]隧道模式2:[IP2][ESP][IP1][Upper]1
7、3SA组合模式2这是简单的虚拟专用网(VPN)支持模式,两个企业内部网通过两个安全网关建立的多条SA实现跨越公共互联网相互连接。公共互联网主机1安全网关1安全网关2主机2图6.3SA组合模式2企业内部网1企业内部网2多条SA14SA组合模式3这是SA组合模式1与SA组合模式2的结合,在SA组合模式2的基础上增加了IP报文的发送主机和接收主机之间的多条SA。公共互联网主机1安全网关1安全网关2主机2图6.4SA组合模式3企业内部网1企业内部网2多条SA多条SA15SA组合模式4远地主机首先通过公共互联网与安全网关建立SA连接,然后,再与企业内部网
8、中某个主机建立SA连接。公共互联网远地主机安全网关内部主机图6.5SA组合模式4企业内部网多条SA多条SA16IPsec协议簇IPsec规范由一组IE
此文档下载收益归作者所有