資源描述:
《IP安全協(xié)議(IPSec)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)�。
1、第10章IP安全協(xié)議(IPSec)EverythingoverIP(TCP/IP,VOIP…)。但是IP不能提供安全性��。前身:IPSP(IPSecurityProtocol)�。IETF中的IPSecurityProtocolWorkingGroup工作組負(fù)責(zé)標(biāo)準(zhǔn)化,目標(biāo):該體制不僅適用于IP目前的版本(IPv4),也能在IP的新版本(IPng或IPv6)下工作�����;可為運(yùn)行于IP頂部的任何一種協(xié)議提供保護(hù)����;與加密算法無(wú)關(guān),即使加密算法改變了或增加新的算法�,也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響;必須能實(shí)現(xiàn)多種安全策略���,但要避免給不使用該體制的人造成不利影響���。背景202
2、1/9/162IPSec初始文檔集RFC編號(hào)RFC名稱現(xiàn)狀1825SecurityArchitecturefortheInternetProtocol被RFC2401取代1826IPAuthenticationHeader(AH)被RFC2402取代18211IPEncapsulatingSecurityPayload(ESP)被RFC2406取代1828IPAuthenticationusingKeyedMD5有效1829TheESPDES-CBCTransform有效2021/9/163IPSec體系結(jié)構(gòu)2021/9/164IPSec提供的安全機(jī)制鑒
3�����、別保證收到的數(shù)據(jù)包的確是由數(shù)據(jù)包頭所標(biāo)識(shí)的數(shù)據(jù)源發(fā)來(lái)的�����,且數(shù)據(jù)包在傳輸過(guò)程中未被篡改。保密性保證數(shù)據(jù)在傳輸期間不被未授權(quán)的第三方窺視����。密鑰管理解決密鑰的安全交換�����。2021/9/165IPSec提供的安全服務(wù)協(xié)議安全服務(wù)AHESP(只加密)ESP(加密并鑒別)訪問(wèn)控制服務(wù)YYY無(wú)連接完整性Y-Y數(shù)據(jù)源鑒別Y-Y拒絕重放的分組YYY保密性-YY流量保密性-YY2021/9/166IPSec的典型用途保證因特網(wǎng)上各分支辦公點(diǎn)的安全連接��。保證因特網(wǎng)上遠(yuǎn)程訪問(wèn)的安全��。通過(guò)外部網(wǎng)或內(nèi)部網(wǎng)建立與合作伙伴的聯(lián)系�。提高了電子商務(wù)的安全性。2021/9/167IPSec的優(yōu)
4��、點(diǎn)如果在路由器或防火墻上執(zhí)行了IPSec�����,它就會(huì)為周邊的通信提供強(qiáng)有力的安全保障����。一個(gè)公司或工作組內(nèi)部的通信將不涉及與安全相關(guān)的費(fèi)用��。IPSec在傳輸層之下�,對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的�����。當(dāng)在路由器或防火墻上實(shí)現(xiàn)IPSec時(shí)�,無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec���,應(yīng)用程序一類的上層軟件也不會(huì)被影響���。IPSec對(duì)終端用戶來(lái)說(shuō)是透明的,因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)�����。如果需要的話�����,IPSec可以為個(gè)體用戶提供安全保障��,這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息�����。2021/9/168IPSec的工作模式傳輸模式傳輸模式保護(hù)的是IP載荷。隧
5�����、道模式隧道模式保護(hù)的是整個(gè)IP包�����。2021/9/169傳輸模式和隧道模式的比較2021/9/1610IPSec的實(shí)施位置—端主機(jī)優(yōu)點(diǎn):可以保障端到端的安全性���;能夠?qū)崿F(xiàn)所有的IPSec安全模式;能夠針對(duì)單個(gè)數(shù)據(jù)流提供安全保障�;在建立IPSec的過(guò)程中,能夠記錄用戶身份驗(yàn)證的相關(guān)數(shù)據(jù)和情況�����。實(shí)施方案可分為兩類:與主機(jī)中的操作系統(tǒng)集成�;作為一個(gè)單獨(dú)的部分在協(xié)議堆棧的網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間實(shí)施。2021/9/1611IPSec的實(shí)施位置—路由器優(yōu)點(diǎn):能對(duì)兩個(gè)子網(wǎng)(私有網(wǎng)絡(luò))間通過(guò)公共網(wǎng)絡(luò)(如Internet)傳輸?shù)臄?shù)據(jù)提供安全保護(hù)�����;能通過(guò)身份驗(yàn)證控制授權(quán)用戶從外
6、部進(jìn)入私有網(wǎng)絡(luò)�����,而將非授權(quán)用戶擋在私有網(wǎng)絡(luò)的外面��。實(shí)施方案也可分為兩類:IPSec功能集成在路由器軟件中����;IPSec功能在直接物理接入路由器的設(shè)備中實(shí)現(xiàn),該設(shè)備一般不運(yùn)行任何路由算法�,只用來(lái)提供安全功能。2021/9/1612鑒別首部(AH)為IP提供數(shù)據(jù)完整性防止傳輸過(guò)程中對(duì)數(shù)據(jù)包內(nèi)容的修改��。數(shù)據(jù)源身份驗(yàn)證(鑒別)防止地址欺騙攻擊�。一些有限的抗重播服務(wù)防止消息重放攻擊。不保證任何的機(jī)密性2021/9/1613AH的組成格式2021/9/1614抗重播服務(wù)(Antireply)序列號(hào)字段創(chuàng)建一個(gè)新的SA時(shí)����,發(fā)送者會(huì)將序列號(hào)計(jì)數(shù)器初始化為0;每當(dāng)在這一SA
7����、上發(fā)送一個(gè)數(shù)據(jù)包,序列號(hào)計(jì)數(shù)器的值就加1并將序列號(hào)字段設(shè)置成計(jì)數(shù)器的值��;當(dāng)達(dá)到其最大值232-1時(shí),就應(yīng)建立一個(gè)新的SA�。一種”滑動(dòng)”窗口機(jī)制IP是無(wú)連接的、不可靠的��,需設(shè)立窗口�����;窗口的最左端對(duì)應(yīng)于窗口起始位置的數(shù)據(jù)包序列號(hào)N�,則最右端對(duì)應(yīng)于可以接收的合法分組的最高序號(hào)N+W-1。2021/9/1615窗口的移動(dòng)接收到的數(shù)據(jù)包必須滿足如下全部條件才不會(huì)被丟棄并將相應(yīng)的窗口位置做上標(biāo)記:接收到的數(shù)據(jù)包的序列號(hào)必須是新的����,即在窗口中未出現(xiàn)過(guò)���;接收到的數(shù)據(jù)包的序列號(hào)必須落在窗口內(nèi)部����,或落在窗口右側(cè)����;接收到的數(shù)據(jù)包能通過(guò)鑒別檢查。接收到的數(shù)據(jù)包落在窗口右側(cè)且通過(guò)
8���、鑒別檢查�����,窗口就會(huì)向前走�����,使得該序號(hào)成為窗口的右邊界�。2021/9/1616W=
