資源描述:
《IPSec協(xié)議及其在Windows平臺(tái)的實(shí)現(xiàn)》由會(huì)員上傳分享����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1��、一���、IPSEC安全體系結(jié)構(gòu)41.1ESP協(xié)議51.2AH協(xié)議71.3DOI91.4IKE錯(cuò)誤�����!未定義書簽���。0二����、IPSec運(yùn)行模式122.1.1傳輸模式122.1.2隧道模式錯(cuò)誤�!未定義書簽。32.2SA安全模式錯(cuò)誤�!未定義書簽。4三��、IPSec的實(shí)施錯(cuò)誤��!未定義書簽�����。43.1在主機(jī)實(shí)施錯(cuò)誤���!未定義書簽����。43.2在路由器中實(shí)施153.3IPSec的處理流程錯(cuò)誤�!未定義書簽���。6四����、Windows中的IPsec配置和使用實(shí)現(xiàn)。錯(cuò)誤����!未定義書簽。74.1Windows中的IPsec策略錯(cuò)誤����!未定義書簽。84.2在Windows±使用內(nèi)置IPsec策略錯(cuò)誤�!未定義書簽。8五���、參考
2����、文獻(xiàn)21Windows平臺(tái)屮IPSec的設(shè)計(jì)與實(shí)現(xiàn)一���、IPSec安全體系結(jié)構(gòu)IPSec(IPSecurity)是一?種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制�。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議��,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議AuthenticationHeader(AH)>封裝安全載荷協(xié)議EncapsulatingSecurityPayload(ESP)>密鑰管理協(xié)議InternetKeyExchange(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等��。這些協(xié)議用于提供數(shù)據(jù)認(rèn)證�、數(shù)據(jù)完整性和加密性三種保護(hù)形式。AH和ESP都可以提供
3����、認(rèn)證服務(wù),但AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP�����。而IKE主要是對(duì)密鑰進(jìn)行交換管理���,對(duì)算法����、協(xié)議和密鑰3個(gè)方面進(jìn)行協(xié)商oIPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議����、確定安全算法和密鑰交換,向上提供了訪問控制�����、數(shù)據(jù)源認(rèn)證�、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec在IPv6中是必須支持的���,而在IPv4中是可選的�����。IPSec協(xié)議可以為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)�����,保護(hù)TCP/IP通信免遭竊聽和篡改�����,保證數(shù)據(jù)的完整性和機(jī)密性����,有效抵御網(wǎng)絡(luò)攻擊���,同吋保持易用性��。IPSec體系結(jié)構(gòu)圖:l.lESP(EncapsulatedSecurityPayload)協(xié)議它提供IP層加密保證和驗(yàn)證數(shù)據(jù)源以
4��、對(duì)付網(wǎng)絡(luò)上的監(jiān)聽����。因?yàn)锳H雖然可以保護(hù)通信免受竄改,但并不對(duì)數(shù)據(jù)進(jìn)行變形轉(zhuǎn)換�,數(shù)據(jù)對(duì)于黑客而言仍然是清晰的。為了有效地保證數(shù)據(jù)傳輸安全�,在IPv6屮有另外一個(gè)報(bào)頭ESP,進(jìn)一步提供數(shù)據(jù)保密性并防止竄改。ESP(EncapsulatingSecurityPayload,封裝安全載荷):RFC24060ESP協(xié)議除了可以提供無連接的完整性���、數(shù)據(jù)來源驗(yàn)證和抗重放攻擊服務(wù)之外��,還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密服務(wù)�。與AH相比���,ESP驗(yàn)證的數(shù)據(jù)范圍要小一些���。ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)必須實(shí)現(xiàn)的驗(yàn)證算法:HMAGMD5、HMAC-SHAKNULLoESP的加密采用的是對(duì)稱密鑰加密
5���、算法�。不同的IPSec實(shí)現(xiàn)���,其加密算法也有所不同�����。為了保證互操作性,ESP協(xié)議規(guī)定了所有IPSec系統(tǒng)都必須實(shí)現(xiàn)的加密算法:DES?CBC�、NULLoESP協(xié)議規(guī)定加密和認(rèn)證不能同時(shí)為NULL���。即加密和認(rèn)證必須至少選其一����。SPIESP頭部序列號(hào).=載荷數(shù)據(jù)(變長(zhǎng))=填充(0?255字節(jié))ESP尾部填充氏度下一個(gè)頭.=驗(yàn)證數(shù)據(jù)(變長(zhǎng))=(1)SPI:32位與口的IP地址��、協(xié)議一起組成的三元組可以為該IP包唯一地確定一個(gè)SA����。(2)序列號(hào)(SequenceNumber):32位單調(diào)遞增的計(jì)數(shù)器,為每個(gè)ESP包賦予一個(gè)序號(hào)�����。通信雙方建立SA時(shí)���,計(jì)數(shù)器初始化為0�。SA是單向的,每
6���、發(fā)送一個(gè)包����,外出SA的計(jì)數(shù)器增1;每接收一個(gè)包����,進(jìn)入SA的計(jì)數(shù)器增1。該字段可以用于抵抗重放攻擊��。(3)載荷數(shù)據(jù)(PayloadData):變長(zhǎng)包含了實(shí)際的載荷數(shù)據(jù)��。不管SA是否需要加密���,該字段總是必需的�����。如果采用了加密�,該部分就是加密后的密文�;如果沒有加密,該部分就是明文�。如果采用的加密算法需要一個(gè)IV(InitialVector,初始向量)�����,IV也是在本字段屮傳輸?shù)?����。該加密算法的?guī)范必須能夠指明IV的長(zhǎng)度以及在木字段中的位置。對(duì)于強(qiáng)制實(shí)施的DES-CBC來說�����,IV是該字段當(dāng)中第一個(gè)8位組���。本字段的長(zhǎng)度必須是8位的整數(shù)倍���。(4)填充(Padding)填充字段包含了填充位
7、��。(2)填充長(zhǎng)度(PadLength):8位以字節(jié)為單位指示了填充字段的長(zhǎng)度�,其范圍為[0,255]o(3)下一個(gè)頭(NextHeader):8位指明了封裝在載荷中的數(shù)據(jù)類型,例如6表示TCP數(shù)據(jù)���,4表示IP-in-IPo(4)驗(yàn)證數(shù)據(jù)(AuthenticationData):變長(zhǎng)只有選擇了驗(yàn)證服務(wù)吋才會(huì)有該字段�����,包含了驗(yàn)證的結(jié)果��。1.2AH(AuthenticationHeader)協(xié)議它用來向IP通信提供數(shù)據(jù)完整性和身份驗(yàn)證����,同時(shí)可以提供抗重播服務(wù)。在IPv6中協(xié)議釆用AH后����,因?yàn)樵谥鳈C(jī)端設(shè)置了一個(gè)基于算法獨(dú)立交換的秘密鑰
