版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络层安全通信协议信息1201王璐茅依莎什么是IPsec协议?IPsec协议簇1.IPsec的产生背景2.IPsec的体系结构3.IPsec实现方式4.IPsec工作模式5.安全关联第二部分2023/2/5IPsec的产生背景以IPv4为代表的TCP/IP协议簇存在的安全缺陷:(1)IP协议没有为通信提供良好的数据源认证机制。(2)IP协议没有为数据提供强的完整性保护机制。(3)IP协议没有为数据提供任何形式的机密性保护。(4)协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞,使各种安全攻击有机可乘。在1998年,由IETFIP工作组制定了一组基于密码学的安全的开放网络安全协议,总称IP体系安全体系结构。简称IPsec.返回IPsec的体系结构IPSec是一套协议包,而不是一个单独的协议RFC文号。IPSec协议族中三个主要的协议:IP认证包头AH(IPAuthenticationHeader):AH协议为IP包提供信息源验证和完整性保证。IP封装安全负载ESP(IPEncapsulatingSecurityPayload)ESP协议提供加密保证。Internet密钥交换IKE(TheInternetKeyExchange):IKE提供双方交流时的共享安全信息。IPsec的体系结构返回IPsec的实现方式常用的实现方式有集成方式、BITS方式和BITW方式3种。(1)集成方式:把IPsec集成到IP协议的原始实现中,需要处理IP源码,适用于在主机和安全网关中实现。(2)堆栈中的块BITS方式:把IPsec作为一个“楔子”插入原来的IP协议栈和链路层之间,不需要处理IP源码,适用于对原有系统升级,通常在主机中实现。(3)线缆中的块BITW方式:在一个直接接入路由器或主机的设备中实现IPsec,通常用于军事和商业目的。当用于支持主机时,实现与BITS相似,但用于支持路由器或防火墙时,必须起到安全网关的作用。返回IPsec的工作模式
IPSec有两种工作模式:传输模式(TransportMode)和隧道模式(TunnelMode)。1.传输模式(TransportMode):
IPSec协议头插入到原IP头部和传输层头部之间,只对IP包的有效负载进行加密或认证。2.隧道模式:IPSec会先利用AH或ESP对IP包进行认证或者加密,然后在IP包外面再包上一个新IP头。返回只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。返回用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。返回定义安全关联SA,用于记录每条IP安全通路的策略和策略参数。安全关联是IPSec的基础,是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和ESP都要用到安全关联,IKE的一个主要功能就是建立和维护安全关联。类型传输模式SA:传输模式SA只能用于两个主机之间的IP通信。隧道模式SA:隧道模式SA既可以用于两个主机之间的IP通信也可用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。生存期是一个时间间隔或IPsec协议利用该SA来处理的数据量的大小。
SA是安全策略通常用一个三元组唯一的表示:<SPI,IP目的地址,安全协议标识符>1)SPI:安全参数索引(SecurityParametersIndex),说明用SA的IP头类型,它可以包含认证算法、加密算法、用于认证加密的密钥以及密钥的生存期;2)IP目的地址:指定输出处理的目的IP地址,或输入处理的源IP地址;3)安全协议标识符:指明使用的协议是AH还是ESP或者两者同时使用。安全关联概述安全关联数据库SPD决定了对数据包提供的安全服务,所有IPSec实施方案的策略都保存在该数据库中。IP包的处理过程中,系统要查阅SPD,每一个数据包,都有三种可能的选择:丢弃、绕过IPSec或应用IPSec:1)丢弃:根本不允许数据包离开主机穿过安全网关;2)绕过:允许数据包通过,在传输中不使用IPSec进行保护;3)应用:在传输中需要IPSec保护数据包,对于这样的传输SPD必须规定提供的安全服务、所使用的协议和算法等等。
安全关联数据库SAD存放着和安全实体相关的所有SA,每个SA由三元组索引。一个SAD条目包含下列域:1)序列号计数器:32位整数,用于生成AH或ESP头中的序列号;2)序列号溢出标志:标识是否对序列号计数器的溢出进行审核;3)抗重发窗口:使用一个32位计数器和位图确定一个输入的AH或ESP数据包是否是重发包;4)IPSec协议操作模式:传输或隧道;5)AH的认证算法和所需密钥;6)ESP的认证算法和所需密钥;7)ESP加密算法,密钥,初始向量(IV)和IV模式;8)路径最大传输单元;9)进出标志;SA生存期状态。返回(1)AH头格式(2)AH操作模式(3)AH的处理过程AH协议下一个头:AH之后的下一载荷的类型,如可能是ESP或是其他传输层协议。载荷长度:以32位字为单位的AH的长度减2。AH实际上是一个IPv6扩展头,按照RFC2460,它的长度是从64位字表示的头长度中减去一个64位字而来,由于AH采用32位字为单位,因此需要减去两个32位字。保留:该字段目前置为0。安全参数索引:该字段用于和源或目的地址以及IPsec相关协议(AH或ESP)共同唯一标识一个数据报所属的数据流的安全关联(SA)。序列号:该字段包含一个作为单调增加计数器的32位无符号整数,它用来防止对数据包的重放攻击。认证数据:这个变长域包含数据包的认证数据,通过该认证数据具体提供数据包的完整性保护服务返回AH传输模式AH隧道模式返回ESP协议(1)ESP包格式(2)ESP操作模(3)ESP的处理过程1)安全参数索引SPI(SecurityParametersIndex):同AH;2)序列号(SequenceNumber):同AH;3)填充域(Padding):0-255个字节。用来保证加密数据部分满足块加密的长度要求,若数据长度不足,则填充;4)填充域长度(PaddingLength):接收端根据该字段长度去除数据中的填充位;5)下一个包头(NextHeader):同AH;6)认证数据(AuthenticationData):包含完整性检查和。完整性检查部分包括ESP包头、传输层协议、数据和ESP包尾,但不包括IP包头,因此ESP不能保证IP包头不被篡改。ESP加密部分包括传输层协议、数据和ESP包尾。返回返回IKE协议?IPSec支持手工设置密钥和自动商两种方式管理密钥。手工设置密钥方式是管理员使用自己的密钥手协工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商方式则能满足其它所有的应用需求。使用自动协商方式,通讯双方在建立SA时可以动态地协商本次会话所需的加密密钥和其它各种安全参数,无须用户的介入。当采用自动协商密钥时就需要使用IKE。IKE是一个混合型协议,用来管理IPSec所用加密密钥的产生及处理。IKE提供的好处如下:允许管理员不必在两个对等体中手工指定所有IPSecSA参数;可以安全地建立用于对等体之间的会话密钥;允许为IPSecSA指定一个生存期;允许加密密钥在IPSec会话过程中改变;允许IPSec提供防重发攻击服务;允许为一个可以管理的、可以扩展的IPSec实施采用CA支持;优势
IKE由三个不同的协议组成:Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationan
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论