因特网的网络层安全协议族ppt课件.ppt

《因特网的网络层安全协议族ppt课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、7.8因特网的网络层安全协议族IPsec7.8.1.IPsec与安全关联SAIPsec就是“IP安全(Security)协议”的缩写。IPSec执行网络层保密，使所有在IP数据报中的数据都是加密的。IPSec还可在网络层提供源站鉴别和数据完整性检验，即当目的站收到IP数据报时，能确信这是从该数据报的源IP地址的主机发来的，以及检验数据是否完整和被窜改。IPSecVPN应用场景Site-to-Site（站点到站点或者网关到网关）：如3个机构分布在互联网的3个不同的地方，各使用一个IPSecVPN网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的I

2、PSec隧道实现安全互联。End-to-End（端到端或者PC到PC）：两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。IPsec中最主要的两个组件鉴别首部AH(AuthenticationHeader)：AH提供源站鉴别和数据完整性，但不提供加密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP提供加密，同时也可以做源站鉴别、数据完整性的选项功能。其中，ESP用得最多。AH使用较少，原因是因为AH

3、无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密。安全关联SA(SecurityAssociation)在使用AH或ESP之前，先要从源主机到目的主机建立一条两个网络层实体间的逻辑关联。此逻辑连接关系叫做安全关联SA。IPsec就将传统的因特网上两个网络层实体的无连接关系转换为具有逻辑连接关系，并对该安全关联SA赋予加密密钥、加密及鉴别算法等参数，以在之后根据所使用的SA查知相应的参数进行IPSec处理。安全关联SA安全关联是一个单向连接。它由一个三元组唯一地标识，包括：(1)使用何安全协议（AH或ESP）(2)此单向连接的源IP地址(3)一个32

4、bit的连接标识符，称为安全参数索引SPI(SecurityParameterIndex)在AH或ESP头中有SPI字段，接收端根据该SPI、以及使用的安全协议、源IP就可对应到使用的SA，从而查知在该SA上使用的密钥、加密、鉴别方法等参数，进行相应的IPSec处理。7.8.2鉴别首部AH在使用鉴别首部AH时，将AH首部插在原数据报数据部分的前面，同时将IP首部中的协议字段置为51。在传输过程中，中间的路由器都不查看AH首部。当数据报到达目的站时，目的站主机才处理AH字段，以鉴别源主机和检查数据报的完整性。IP首部AH首部TCP/UDP报文段协议=51可鉴别的IP数

5、据报原数据报的数据部分AH首部(1)下一个首部(8bit)。标志紧接着本首部的下一个首部的类型（如TCP或UDP）。(2)有效载荷长度(8bit)，即鉴别数据字段的长度，以32bit字为单位。(3)安全参数索引SPI(32bit)。标志安全关联。(4)序号(32bit)。数据字节序号，以32bit字为单位。(5)保留(16bit)。为今后用。(6)鉴别数据(可变长)。为32bit字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查IP数据报的完整性。7.8.3封装安全有效载荷ESP在ESP首部中有标识一个安全关联的安全参数索引SPI(32bit)，和

6、序号(32bit)。在ESP尾部中有下一个首部（8bit，作用和AH首部的一样）。ESP尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。ESP的鉴别数据和AH中的鉴别数据是一样的。因此，用ESP封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。在IP数据报中的ESP的各字段IP首部ESP首部TCP/UDP报文段协议=50可鉴别的保密的IP数据报原数据报的数据部分ESP尾部ESP鉴别数据加密的部分鉴别的部分