返回
信息安全概论第16讲

信息安全概论第16讲

ID:44328430

大小:892.00 KB

页数:22页

时间:2019-10-20

信息安全概论第16讲_第1页
信息安全概论第16讲_第2页
信息安全概论第16讲_第3页
信息安全概论第16讲_第4页
信息安全概论第16讲_第5页
资源描述:

《信息安全概论第16讲》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全概论第16讲2008年x月y日6.2IPSec简介IPSec(IPSecurity)工作在TCP/IP协议栈的网络层。为应用程序提供共同的安全服务和密钥管理。它将密码技术应用在网络层,提供发送、接收端的身份识别、数据完整性、访问控制、以及机密性等安全服务。IPSec是IPv6的标准协议子集,但也可在IPv4上实施。特点1、对IP层的所有信息进行过滤处理工作;2、有比较好的兼容性,比高层的安全协议更灵活,比底层协议更能够适应通信介质的多样性;3、透明性好,IP层以上的所有应用都不需要经过修改,即可获得安全性的保障,同时终端用户不需要了解相关安全机制就可使用;4、

2、可以轻松实现VPN,可以保护、确认路由信息,使路由器不会受欺骗而阻断通信等。6.2.1.IPSec体系结构IPSec提供三种不同的形式来保护IP网络的数据:原发方鉴别数据完整机密性IPSec通过三个基本的协议来实现上述三种保护鉴别报头(AH)协议载荷安全封装(ESP)协议密钥管理与交换协议(IKE)鉴别报头协议和载荷安全封装协议可以通过分开或组合使用来达到所希望的保护等级。此外还涉及鉴别算法、加密算法和安全关联SA等,我们在后面的部分将对这些关键组件进行详细描述。它们之间的关系如图6.2所示:图6.2IPsec协议文档关系图6.2.2IPSec提供的安全服务表6.1I

3、PSec提供的服务AHESP(只加密)ESP(加密和鉴别)访问控制√√√无连接完整性√√数据原发方鉴别√√反重放√√√机密性√√有限的数据流量机密性√√6.2.3安全关联安全关联的参数包括:(1)序列号计数器(2)序列号计数器溢出标志(3)反重放窗口(4)AH信息(5)ESP信息(6)安全关联的生存期(7)IPSec协议模式(8)路径最大传输单元。安全关联(SecurityAssociation,SA)是安全策略(SecurityPolicy)一种具体实现,它指定了对IP数据报提供何种保护,并以何种方式实施保护。它是发送方和接收方之间的一个单向逻辑连接,决定保护什么、

4、如何保护以及谁来保护通信数据。如果需要双向的安全服务,那就要建立起两条(或更多条)安全连接,安全关联通过指定AH或ESP协议来实现。6.2.4封装安全载荷封装安全载荷(EncapsulatingSecurityPayload,ESP)协议利用加密机制为通过不可信网络传输的IP数据提供机密性服务,同时也可以提供鉴别服务。加密算法:DES、三重DES、RC5、IDEA,CAST等算法。鉴别算法:NULL、MD5和SHA-1算法。通过这些加密和鉴别机制为IP数据报提供原发方鉴别、数据完整性、反重放和机密性安全服务,可在传输模式和隧道模式下使用(见后文)。ESP安全参数索引S

5、PI(32位):标识一个安全关联(SA)。序列号(32位):增量计数器的值,用来提供反重放与完整性服务。载荷数据(长度可变):通过加密进行保护的数据。填充(0—255Byte):主要用来实现某些加密算法对明文分组字节数的要求。填充长度(8位):表示填充字段的字节数。下一报头(8位):通过标识有效载荷的第一个报头来说明有效载荷数据字段中包含的数据类型。鉴别数据(可变长):一个可变长字段(必须是32位字的整数倍),用来填入对ESP包中除鉴别数据字段外的数据进行完整性校验时的校验值。该字段的默认长度是96比特。6.2.5鉴别头协议鉴别报头(AuthenticationHea

6、der,AH)可以保证IP分组的可靠性和完整性。其原理是将IP分组头、上层数据和公共密钥通过鉴别算法计算出AH报头鉴别数据,将AH报头数据加入IP分组,接收方将收到的IP分组运行同样的计算,并与接收到的AH报头比较进行鉴别。数据完整性可以对传输过程中的非授权修改进行检测;鉴别服务可使末端系统或网络设备鉴别用户或通信数据,根据需要过滤通信量,验证服务还可防止地址欺骗攻击及重放攻击。鉴别算法:MD5和SHA-1算法。其结构如图所示:AH下一报头(8位):表示紧跟验证头的下一个头的类型。载荷长度(8位):以32位字节为单位的鉴别头长度再减去2,其缺省值为4。保留(16位):

7、留作将来使用。安全参数索引SPI(32位):用来标识一个安全关联。序列号(32位):增量计数器的值,与ESP中的功能相同。鉴别数据(可变长):一个可变长字段(必须是32位字的整数倍),用来填入对AH包中除鉴别数据字段外的数据进行完整性校验时的校验值。该字段的默认长度是96比特。6.2.6IPSec的工作模式IPSec的工作模式分为传输模式和隧道模式,AH和ESP均支持这两种模式。如图所示:(1)传输模式主要为上层协议提供保护,用于两台主机之间,实现端到端的安全。(2)隧道模式的安全连接实质上是一种应用在IP隧道上的安全连接。隧道模式对整个原始数据报提

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。