返回
IPSec协议及其在Windows平台的实现

IPSec协议及其在Windows平台的实现

ID:45755342

大小:155.15 KB

页数:19页

时间:2019-11-17

IPSec协议及其在Windows平台的实现_第1页
IPSec协议及其在Windows平台的实现_第2页
IPSec协议及其在Windows平台的实现_第3页
IPSec协议及其在Windows平台的实现_第4页
IPSec协议及其在Windows平台的实现_第5页
资源描述:

《IPSec协议及其在Windows平台的实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、一、IPSEC安全体系结构41.1ESP协议51.2AH协议71.3DOI91.4IKE错误!未定义书签。0二、IPSec运行模式122.1.1传输模式122.1.2隧道模式错误!未定义书签。32.2SA安全模式错误!未定义书签。4三、IPSec的实施错误!未定义书签。43.1在主机实施错误!未定义书签。43.2在路由器中实施153.3IPSec的处理流程错误!未定义书签。6四、Windows中的IPsec配置和使用实现。错误!未定义书签。74.1Windows中的IPsec策略错误!未定义书签。84.2在Windows±使用内置IPsec策略错误!未定义书签。8五、参考

2、文献21Windows平台屮IPSec的设计与实现一、IPSec安全体系结构IPSec(IPSecurity)是一•种由IETF设计的端到端的确保IP层通信安全的机制。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)>封装安全载荷协议EncapsulatingSecurityPayload(ESP)>密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。这些协议用于提供数据认证、数据完整性和加密性三种保护形式。AH和ESP都可以提供

3、认证服务,但AH提供的认证服务要强于ESP。而IKE主要是对密钥进行交换管理,对算法、协议和密钥3个方面进行协商oIPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。IPSec在IPv6中是必须支持的,而在IPv4中是可选的。IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同吋保持易用性。IPSec体系结构图:l.lESP(EncapsulatedSecurityPayload)协议它提供IP层加密保证和验证数据源以

4、对付网络上的监听。因为AH虽然可以保护通信免受窜改,但并不对数据进行变形转换,数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全,在IPv6屮有另外一个报头ESP,进一步提供数据保密性并防止窜改。ESP(EncapsulatingSecurityPayload,封装安全载荷):RFC24060ESP协议除了可以提供无连接的完整性、数据来源验证和抗重放攻击服务之外,还提供数据包加密和数据流加密服务。与AH相比,ESP验证的数据范围要小一些。ESP协议规定了所有IPSec系统必须实现的验证算法:HMAGMD5、HMAC-SHAKNULLoESP的加密采用的是对称密钥加密

5、算法。不同的IPSec实现,其加密算法也有所不同。为了保证互操作性,ESP协议规定了所有IPSec系统都必须实现的加密算法:DES・CBC、NULLoESP协议规定加密和认证不能同时为NULL。即加密和认证必须至少选其一。SPIESP头部序列号.=载荷数据(变长)=填充(0〜255字节)ESP尾部填充氏度下一个头.=验证数据(变长)=(1)SPI:32位与口的IP地址、协议一起组成的三元组可以为该IP包唯一地确定一个SA。(2)序列号(SequenceNumber):32位单调递增的计数器,为每个ESP包赋予一个序号。通信双方建立SA时,计数器初始化为0。SA是单向的,每

6、发送一个包,外出SA的计数器增1;每接收一个包,进入SA的计数器增1。该字段可以用于抵抗重放攻击。(3)载荷数据(PayloadData):变长包含了实际的载荷数据。不管SA是否需要加密,该字段总是必需的。如果采用了加密,该部分就是加密后的密文;如果没有加密,该部分就是明文。如果采用的加密算法需要一个IV(InitialVector,初始向量),IV也是在本字段屮传输的。该加密算法的规范必须能够指明IV的长度以及在木字段中的位置。对于强制实施的DES-CBC來说,IV是该字段当中第一个8位组。本字段的长度必须是8位的整数倍。(4)填充(Padding)填充字段包含了填充位

7、。(2)填充长度(PadLength):8位以字节为单位指示了填充字段的长度,其范围为[0,255]o(3)下一个头(NextHeader):8位指明了封装在载荷中的数据类型,例如6表示TCP数据,4表示IP-in-IPo(4)验证数据(AuthenticationData):变长只有选择了验证服务吋才会有该字段,包含了验证的结果。1.2AH(AuthenticationHeader)协议它用来向IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。在IPv6中协议釆用AH后,因为在主机端设置了一个基于算法独立交换的秘密钥

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。