[精选]IP安全性与IPSec(简版).pptx

《[精选]IP安全性与IPSec(简版).pptx》由会员分享，可在线阅读，更多相关《[精选]IP安全性与IPSec(简版).pptx（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IP平安性与IPSec引言IP 级平安问题涉及三个功能领域：认证保密密钥管理IP 平安性概要1994 年IAB Internet Architecture Board 发表一份报告“Internet 体系结构中的平安性RFC1636 保护网络基础设施，防止非授权用户监控网络流量 需要认证和加密机制增强用户-用户通信流量。1997 年CERT puter Emergency Response Team 年报说明2500 平安事故影响了150000 站点。IAB 决定把认证和加密作为下一代IP 的必备平安特性IPv6 幸运的是，IPv4 也可以实现这些平安特性。IPSec 的应用IPSec 提供对

2、跨越LAN/WAN，Internet 的通讯提供平安性 分支办公机构通过Internet 互连。Secure VPN 通过Internet 的远程访问。与合作伙伴建立extranet 与intranet 的互连。增强电子商务平安性。IPSec 的主要特征是可以支持IP 级所有流量的加密和/或认证。因此可以增强所有分布式应用的平安性。IPSec 的好处在防火墙或路由器中实现时，可以对所有跨越周界的流量实施强平安性。而公司内部或工作组不必招致与平安相关处理的负担。在防火墙中实现IPSec 可以防止IP 旁路。IPSec 是在传输层TCP,UDP 之下，因此对应用透明。不必改变用户或效劳器系统上的软

3、件。IPSec 可以对最终用户透明。无须训练用户。需要时IPSec 可以提供个人平安性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个平安的虚拟子网是有用的。路由应用从一个授权的路由器播送一个新路由的出现从一个授权的路由器播送相邻关系从一个发出初始包的路由器发出一个重定向消息一个路由更新不会被欺骗。IP 平安体系结构RFC 1825:An overview of a security architectureRFC 1826:Description of a packet authentication extension to IPRFC 1828:A specific authen

4、tication mechanismRFC 1827:Description of a packet encryption extension to IPRFC 1829:A specific encryption mechanismIPSec 工作组织IETF 设立的IP Security Protocol Working Group Architecture Encapsulating Security Payload ESP Authentication Header AH Encryption Algorithm Authentication Algorithm Key Managem

5、ent Domain of Interpretation DOI 体系结构ESP 协议 AH 协议加密算法 加密算法DOI密钥管理IPSec 的主要目标期望平安的用户能够使用基于密码学的平安机制 应能同时适用与IPv4 和IPv6,IPng.算法独立 有利于实现不同平安策略 对没有采用该机制的的用户不会有副面影响对上述特征的支持在IPv 是强制的，在IPv4中是可选的。这两种情况下都是采用在主IP 报头后面接续扩展报头的方法实现的。认证的扩展报头称为AH Authentication Header 加密的扩展报头称为ESP header Encapsulating Security Paylo

6、ad 体系结构：包括总体概念，平安需求，定义，以及定义IPSec 技术的 机制；ESP：使用ESP 进行包加密的报文包格式和一般性问题，以及，可选的认证；AH：使用ESP 进行包加密的报文包格式和一般性问题；加密算法：描述将各种不同加密算法用于ESP 的文档；认证算法：描述将各种不同加密算法用于AH 以及ESP 认证选项的文档；密钥管理：描述密钥管理模式；DOI：其它相关文档，批准的加密和认证算法标识，以及运行参数 等；IPSec 提供的效劳IPSec 在IP 层提供平安效劳，使得系统可以选择所需要的平安协议，确定该效劳所用的算法，并提供平安效劳所需任何加密密钥。访问控制 连接完整性 数据源认

7、证 拒绝重放数据包 保密性加密 有限信息流保密性AH ESP(仅加密）ESP(加密+认证)访问控制连接完整性数据源认证拒绝重放包保密性有限保密性1、平安关联SA Security Association SA 是IP 认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向平安交换，则需要两个SA。一个SA 由一个Internet 目的地址和一个平安变量SA 索引SPI 唯一标识。因此，任何IP 包中，SA 是由IPv4 中的目的地址或IPv6 头和内部扩展头AH 或ESP 中的SPI 所唯一标识的。SA 由三个参数唯一确定：Security Pa

8、rameters Index SPI：平安变量索引。分配给这个SA 的一个位串并且只有本地有效。SPI 在AH 和ESP 报头中出现，以使得接收系统选择SA 并在其下处理一个收到的报文。IP 目的地址：目前，只允许单点传送地址；这是该SA 的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。平安协议标识符：说明是AH 还是ESP 的SASA 的参数序数计数器：一个32 位值用于生成AH 或ESP 头中的序数字段；计数器溢出位：一个标志位说明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA 的进一步的包传送。防回放窗口：用于确定一个入站的AH 或ESP 包是否

9、是一个回放AH 信息：认证算法、密钥、密钥生存期、以及与AH 一起使用的其它参数ESP 信息：加密和认证算法、密钥、初始值、密钥生存期、以及ESP 一起使用的其它参数SA 的生存期：一个时间间隔或字节记数，到时后一个SA 必须用一个新的SA 替换或终止，以及一个这些活动发生的指示。IPSec 协议模式：隧道、运输、统配符。通路MTU：任何遵从的最大传送单位和老化变量SA 选择符IP 信息流与SA 关联的手段是通过平安策略数据库SPD Security Policy Database 每一个SPD 入口通过一组IP 和更高层协议域值，称为选择符来定义。以下的选择符确定SPD 入口：目的IP 地址

10、：可以是单地址或多地址 源地址：单地址或多地址 UserID:操作系统中的用户标识。数据敏感级别：传输层协议：IPSec 协议AH,ESP,AH/ESP 源/目的端口 效劳类型TOS Authentication HeaderNext Header 8bits Payload Length 8bits Reserved 16bits Security Parameters Index 32bits Sequence NumberAuthentication Data variable:一个变长字段，包含ICV Integrity Check Value 或 MAC窗口与回放攻击检测如果收到的包

11、落在窗口中并且是新的，其MAC 被检查。如果该包已被认证，则对应的窗口项做标记。如果接收包已到窗口右边并且是新的，其MAC 被检查。如果该包一被认证，窗口向前运动，让该包的顺序号成为窗口的右端，对应的项做标记。如果接收的包在窗口的左边，或认证失败，该包被丢弃，并做审计事件记录。AH 传输模式AH 隧道模式封装平安负载ESP格式算法 3DES、RC5、IDEA、3IDEA、CAST、BlowfishESP 传输与隧道模式加密的TCP 会话两个主机之间的加密基于隧道方式的VPN加密隧道运送IP信息流ESP 的传输模式ESP 的隧道模式SA 的组合传输邻接循环嵌套密钥管理手工自动 模块密钥管理协议M

12、KMPIBM 简单Internet 密钥管理协议SKIP SUN Internet 平安关联密钥管理协议ISAKMP NSA OAKLEY 密钥判定协议Hilarie Orman 9、静夜四无邻，荒居旧业贫。6 月-236 月-23Thursday,June 1,202310、雨中黄叶树，灯下白头人。07:37:3207:37:3207:376/1/2023 7:37:32 AM11、以我独沈久，愧君相见频。6 月-2307:37:3207:37Jun-2301-Jun-2312、故人江海别，几度隔山川。07:37:3207:37:3207:37Thursday,June 1,202313、乍

13、见翻疑梦，相悲各问年。6 月-236 月-2307:37:3207:37:32June 1,202314、他乡生白发，旧国见青山。01 六月 20237:37:32 上午07:37:326 月-2315、比不了得就不比，得不到的就不要。六月 237:37 上午6 月-2307:37June 1,202316、行动出成果，工作出财富。2023/6/1 7:37:3307:37:3301 June 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。7:37:33 上午7:37 上午07:37:336 月-239、没有失败，只有暂时停止成功！。6 月-236 月-23T

14、hursday,June 1,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。07:37:3307:37:3307:376/1/2023 7:37:33 AM11、成功就是日复一日那一点点小小努力的积累。6 月-2307:37:3307:37Jun-2301-Jun-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。07:37:3307:37:3307:37Thursday,June 1,202313、不知香积寺，数里入云峰。6 月-236 月-2307:37:3307:37:33June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01

15、六月 20237:37:33 上午07:37:336 月-2315、楚塞三湘接，荆门九派通。六月 237:37 上午6 月-2307:37June 1,202316、少年十五二十时，步行夺得胡马骑。2023/6/1 7:37:3307:37:3301 June 202317、空山新雨后，天气晚来秋。7:37:33 上午7:37 上午07:37:336 月-239、杨柳散和风，青山澹吾虑。6 月-236 月-23Thursday,June 1,202310、阅读一切好书如同和过去最杰出的人谈话。07:37:3307:37:3307:376/1/2023 7:37:33 AM11、越是没有本领的就

16、越加自命非凡。6 月-2307:37:3307:37Jun-2301-Jun-2312、越是无能的人，越喜欢挑剔别人的错儿。07:37:3307:37:3307:37Thursday,June 1,202313、知人者智，自知者明。胜人者有力，自胜者强。6 月-236 月-2307:37:3307:37:33June 1,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。01 六月 20237:37:33 上午07:37:336 月-2315、最具挑战性的挑战莫过于提升自我。六月 237:37 上午6 月-2307:37June 1,202316、业余生活要有意义，不要越轨。2023/6/1 7:37:3307:37:3301 June 202317、一个人即使已登上顶峰，也仍要自强不息。7:37:33 上午7:37 上午07:37:336 月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉