[精选]IP安全性与IPSec.pptx

《[精选]IP安全性与IPSec.pptx》由会员分享，可在线阅读，更多相关《[精选]IP安全性与IPSec.pptx（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IPIP平安性与平安性与IPSecIPSec引言IP级平安问题涉及三个功能领域：认证保密密钥管理IP平安性概要1994年IABInternet Architecture Board发表一份报告“Internet体系结构中的平安性RFC1636保护网络基础设施，防止非授权用户监控网络流量需要认证和加密机制增强用户-用户通信流量。1997年CERT puter Emergency Response Team年报说明2500平安事故影响了150000站点。IAB决定把认证和加密作为下一代IP的必备平安特性IPv6幸运的是，IPv4也可以实现这些平安特性。IPSec的应用IPSec提供对跨越LAN/W

2、AN，Internet的通讯提供平安性分支办公机构通过Internet互连。Secure VPN通过Internet的远程访问。与合作伙伴建立extranet与intranet的互连。增强电子商务平安性。IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的平安性。IPSec的好处在防火墙或路由器中实现时，可以对所有跨越周界的流量实施强平安性。而公司内部或工作组不必招致与平安相关处理的负担。在防火墙中实现IPSec可以防止IP旁路。IPSec是在传输层TCP,UDP之下，因此对应用透明。不必改变用户或效劳器系统上的软件。IPSec可以对最终用户透明。无须训练

3、用户。需要时IPSec可以提供个人平安性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个平安的虚拟子网是有用的。路由应用从一个授权的路由器播送一个新路由的出现从一个授权的路由器播送相邻关系从一个发出初始包的路由器发出一个重定向消息一个路由更新不会被欺骗。IP平安体系结构RFC 1825:An overview of a security architectureRFC 1826:Description of a packet authentication extension to IPRFC 1828:A specific authentication mechanismRFC 18

4、27:Description of a packet encryption extension to IPRFC 1829:A specific encryption mechanismIPSec 工作组织IETF设立的IP Security Protocol Working GroupArchitectureEncapsulating Security PayloadESPAuthentication Header AHEncryption AlgorithmAuthentication AlgorithmKey ManagementDomain of InterpretationDOI体系

5、结构ESP协议AH协议加密算法加密算法DOI密钥管理IPSec的主要目标期望平安的用户能够使用基于密码学的平安机制应能同时适用与IPv4和IPv6,IPng.算法独立有利于实现不同平安策略对没有采用该机制的的用户不会有副面影响对上述特征的支持在对上述特征的支持在IPv IPv 是强制的，在是强制的，在IPv4IPv4中是可选的。中是可选的。这两种情况下都是采用在主IP报头后面接续扩展报头的方法实现的。认证的扩展报头称为AHAuthentication Header加密的扩展报头称为ESP header Encapsulating Security Payload体系结构：包括总体概念，平安需求

6、，定义，以及定义IPSec技术的 机制；ESP：使用ESP进行包加密的报文包格式和一般性问题，以及，可选的认证；AH：使用ESP进行包加密的报文包格式和一般性问题；加密算法：描述将各种不同加密算法用于ESP的文档；认证算法：描述将各种不同加密算法用于AH以及ESP认证选项的文档；密钥管理：描述密钥管理模式；DOI：其它相关文档，批准的加密和认证算法标识，以及运行参数 等；IPSec提供的效劳IPSec在IP层提供平安效劳，使得系统可以选择所需要的平安协议，确定该效劳所用的算法，并提供平安效劳所需任何加密密钥。访问控制连接完整性数据源认证拒绝重放数据包保密性加密有限信息流保密性AHESP(仅加密

7、）ESP(加密+认证)访问控制连接完整性数据源认证拒绝重放包保密性有限保密性1、平安关联SASecurity AssociationSA是IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向平安交换，则需要两个SA。一个SA由一个Internet目的地址和一个平安变量SA索引SPI唯一标识。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6头和内部扩展头AH或ESP中的SPI所唯一标识的。SA由三个参数唯一确定：Security Parameters IndexSPI：平安变量索引。分配给这个SA的一个位串并且只有本地有效。SPI在

8、AH和ESP报头中出现，以使得接收系统选择SA并在其下处理一个收到的报文。IP目的地址：目前，只允许单点传送地址；这是该SA的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。平安协议标识符：说明是AH还是ESP的SASA的参数序数计数器：一个32位值用于生成AH或ESP头中的序数字段；计数器溢出位：一个标志位说明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的进一步的包传送。防回放窗口：用于确定一个入站的AH或ESP包是否是一个回放AH信息：认证算法、密钥、密钥生存期、以及与AH一起使用的其它参数ESP信息：加密和认证算法、密钥、初始值、密钥生存期、以及

9、ESP一起使用的其它参数SA的生存期：一个时间间隔或字节记数，到时后一个SA必须用一个新的SA替换或终止，以及一个这些活动发生的指示。IPSec协议模式：隧道、运输、统配符。通路MTU：任何遵从的最大传送单位和老化变量SA选择符IP信息流与SA关联的手段是通过平安策略数据库SPDSecurity Policy Database每一个SPD入口通过一组IP和更高层协议域值，称为选择符来定义。以下的选择符确定SPD入口：目的IP地址：可以是单地址或多地址源地址：单地址或多地址UserID:操作系统中的用户标识。数据敏感级别：传输层协议：IPSec协议AH,ESP,AH/ESP源/目的端口效劳类型T

10、OSAuthentication HeaderNext Header8bitsPayload Length8bitsReserved 16bitsSecurity Parameters Index32bitsSequence NumberAuthentication Datavariable:一个变长字段，包含ICVIntegrity Check Value 或 MAC窗口与回放攻击检测如果收到的包落在窗口中并且是新的，其MAC被检查。如果该包已被认证，则对应的窗口项做标记。如果接收包已到窗口右边并且是新的，其MAC被检查。如果该包一被认证，窗口向前运动，让该包的顺序号成为窗口的右端，对应的项

11、做标记。如果接收的包在窗口的左边，或认证失败，该包被丢弃，并做审计事件记录。AH传输模式AH隧道模式封装平安负载ESP格式算法3DES、RC5、IDEA、3IDEA、CAST、BlowfishESP传输与隧道模式加密的TCP会话两个主机之间的加密两个主机之间的加密基于隧道方式的VPN加密隧道运送加密隧道运送IP信息流信息流ESP的传输模式ESP的隧道模式SA的组合传输邻接循环嵌套密钥管理手工自动模块密钥管理协议MKMPIBM简单Internet密钥管理协议SKIPSUNInternet平安关联密钥管理协议ISAKMPNSAOAKLEY密钥判定协议Hilarie Orman9、静夜四无邻，荒居旧

12、业贫。6月-236月-23Thursday,June 1,202310、雨中黄叶树，灯下白头人。07:37:4507:37:4507:376/1/2023 7:37:45 AM11、以我独沈久，愧君相见频。6月-2307:37:4507:37Jun-2301-Jun-2312、故人江海别，几度隔山川。07:37:4507:37:4507:37Thursday,June 1,202313、乍见翻疑梦，相悲各问年。6月-236月-2307:37:4507:37:45June 1,202314、他乡生白发，旧国见青山。01 六月 20237:37:45 上午07:37:456月-2315、比不了得就

13、不比，得不到的就不要。六月 237:37 上午6月-2307:37June 1,202316、行动出成果，工作出财富。2023/6/1 7:37:4507:37:4501 June 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:37:45 上午7:37 上午07:37:456月-239、没有失败，只有暂时停止成功！。6月-236月-23Thursday,June 1,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。07:37:4507:37:4507:376/1/2023 7:37:45 AM11、成功就是日复一日那一点点小小努力的积累

14、。6月-2307:37:4507:37Jun-2301-Jun-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。07:37:4507:37:4507:37Thursday,June 1,202313、不知香积寺，数里入云峰。6月-236月-2307:37:4507:37:45June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20237:37:45 上午07:37:456月-2315、楚塞三湘接，荆门九派通。六月 237:37 上午6月-2307:37June 1,202316、少年十五二十时，步行夺得胡马骑。2023/6/1 7:37:450

15、7:37:4501 June 202317、空山新雨后，天气晚来秋。7:37:45 上午7:37 上午07:37:456月-239、杨柳散和风，青山澹吾虑。6月-236月-23Thursday,June 1,202310、阅读一切好书如同和过去最杰出的人谈话。07:37:4507:37:4507:376/1/2023 7:37:45 AM11、越是没有本领的就越加自命非凡。6月-2307:37:4507:37Jun-2301-Jun-2312、越是无能的人，越喜欢挑剔别人的错儿。07:37:4507:37:4507:37Thursday,June 1,202313、知人者智，自知者明。胜人者有

16、力，自胜者强。6月-236月-2307:37:4507:37:45June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20237:37:45 上午07:37:456月-2315、最具挑战性的挑战莫过于提升自我。六月 237:37 上午6月-2307:37June 1,202316、业余生活要有意义，不要越轨。2023/6/1 7:37:4507:37:4501 June 202317、一个人即使已登上顶峰，也仍要自强不息。7:37:45 上午7:37 上午07:37:456月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉