網(wǎng)絡(luò)協(xié)議的安全-ipsec

網(wǎng)絡(luò)協(xié)議的安全-ipsec

ID:10897343

大?。?.91 MB

頁(yè)數(shù):67頁(yè)

時(shí)間:2018-07-08

網(wǎng)絡(luò)協(xié)議的安全-ipsec_第1頁(yè)
網(wǎng)絡(luò)協(xié)議的安全-ipsec_第2頁(yè)
網(wǎng)絡(luò)協(xié)議的安全-ipsec_第3頁(yè)
網(wǎng)絡(luò)協(xié)議的安全-ipsec_第4頁(yè)
網(wǎng)絡(luò)協(xié)議的安全-ipsec_第5頁(yè)
資源描述:

《網(wǎng)絡(luò)協(xié)議的安全-ipsec》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)

1、IPSec本章要點(diǎn):IPSec的概念、功能和體系結(jié)構(gòu)AH機(jī)制和功能ESP機(jī)制和功能IKE機(jī)制和功能1IPSec安全體系結(jié)構(gòu)IPSec(IPSecurity)是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制。IPSec不是一個(gè)單獨(dú)的協(xié)議,而是一組協(xié)議,IPSec協(xié)議的定義文件包括了12個(gè)RFC文件和幾十個(gè)Internet草案,已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。IPSec在IPv6中是必須支持的,而在IPv4中是可選的。2IP通信可能會(huì)遭受如下攻擊:竊聽(tīng)、篡改、IP欺騙、重放……IPSec協(xié)議可以為IP網(wǎng)

2、絡(luò)通信提供透明的安全服務(wù),保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。3IPSec協(xié)議族相關(guān)的RFCRFC內(nèi)容2401IPSec體系結(jié)構(gòu)2402AH(AuthenticationHeader)協(xié)議2403HMAC-MD5-96在AH和ESP中的應(yīng)用2404HMAC-SHA-1-96在AH和ESP中的應(yīng)用2405DES-CBC在ESP中的應(yīng)用2406ESP(EncapsulatingSecurityPayload)協(xié)議2407IPSecDOI2408ISA

3、KMP協(xié)議2409IKE(InternetKeyExchange)協(xié)議2410NULL加密算法及在IPSec中的應(yīng)用2411IPSec文檔路線圖2412OAKLEY協(xié)議4IPSec的功能作為一個(gè)隧道協(xié)議實(shí)現(xiàn)了VPN通信第三層隧道協(xié)議,可以在IP層上創(chuàng)建一個(gè)安全的隧道,使兩個(gè)異地的私有網(wǎng)絡(luò)連接起來(lái),或者使公網(wǎng)上的計(jì)算機(jī)可以訪問(wèn)遠(yuǎn)程的企業(yè)私有網(wǎng)絡(luò)。保證數(shù)據(jù)來(lái)源可靠在IPSec通信之前雙方要先用IKE認(rèn)證對(duì)方身份并協(xié)商密鑰,只有IKE協(xié)商成功之后才能通信。由于第三方不可能知道驗(yàn)證和加密的算法以及相關(guān)密鑰,因此無(wú)

4、法冒充發(fā)送方,即使冒充,也會(huì)被接收方檢測(cè)出來(lái)。保證數(shù)據(jù)完整性IPSec通過(guò)驗(yàn)證算法保證數(shù)據(jù)從發(fā)送方到接收方的傳送過(guò)程中的任何數(shù)據(jù)篡改和丟失都可以被檢測(cè)。保證數(shù)據(jù)機(jī)密性IPSec通過(guò)加密算法使只有真正的接收方才能獲取真正的發(fā)送內(nèi)容,而他人無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。5IPSec體系結(jié)構(gòu)圖IKE協(xié)議AH協(xié)議ESP協(xié)議加密算法驗(yàn)證算法IPSec安全體系DOI6AH(AuthenticationHeader)AH為IP數(shù)據(jù)包提供如下3種服務(wù):數(shù)據(jù)完整性驗(yàn)證通過(guò)哈希函數(shù)(如MD5)產(chǎn)生的校驗(yàn)來(lái)保證數(shù)據(jù)源身份認(rèn)證通過(guò)在計(jì)

5、算驗(yàn)證碼時(shí)加入一個(gè)共享密鑰來(lái)實(shí)現(xiàn)防重放攻擊AH報(bào)頭中的序列號(hào)可以防止重放攻擊。7ESP(EncapsulatingSecurityPayload)ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務(wù)外,還提供另外兩種服務(wù):數(shù)據(jù)包加密對(duì)一個(gè)IP包進(jìn)行加密,可以是對(duì)整個(gè)IP包,也可以只加密IP包的載荷部分,一般用于客戶端計(jì)算機(jī)數(shù)據(jù)流加密。一般用于支持IPSec的路由器,源端路由器并不關(guān)心IP包的內(nèi)容,對(duì)整個(gè)IP包進(jìn)行加密后傳輸,目的端路由器將該包解密后將原始包繼續(xù)轉(zhuǎn)發(fā)。加密是ESP的基本功能,而數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完

6、整性驗(yàn)證以及防重放攻擊都是可選的。8AH和ESP可以單獨(dú)使用,也可以嵌套使用。通過(guò)這些組合方式,可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)關(guān)(防火墻和路由器),或者主機(jī)與安全網(wǎng)關(guān)之間使用。9IKE(InternetKeyExchange)IKE協(xié)議負(fù)責(zé)密鑰管理,定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟(SA)中,供AH和ESP以后通信時(shí)使用。解釋域DOI定義IKE所沒(méi)有定義的協(xié)商的內(nèi)容;DOI為使用IKE進(jìn)行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。共享一個(gè)DOI的

7、協(xié)議從一個(gè)共同的命名空間中選擇安全協(xié)議和變換、共享密碼以及交換協(xié)議的標(biāo)識(shí)符等,DOI將IPSec的這些RFC文檔聯(lián)系到一起。DOI(DomainofInterpretation)10安全聯(lián)盟&安全聯(lián)盟數(shù)據(jù)庫(kù)SA(SecurityAssociation,安全聯(lián)盟)是兩個(gè)IPSec實(shí)體(主機(jī)、安全網(wǎng)關(guān))之間經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定,內(nèi)容包括采用何種IPSec協(xié)議(AH還是ESP)、運(yùn)行模式(傳輸模式還是隧道模式)、驗(yàn)證算法、加密算法、加密密鑰、密鑰生存期、抗重放窗口、計(jì)數(shù)器等,從而決定了保護(hù)什么、如何保護(hù)以

8、及誰(shuí)來(lái)保護(hù)??梢哉f(shuō)SA是構(gòu)成IPSec的基礎(chǔ)。AH和ESP兩個(gè)協(xié)議都使用SA來(lái)保護(hù)通信,而IKE的主要功能就是在通信雙方協(xié)商SA。SA是單向的,進(jìn)入(inbound)SA負(fù)責(zé)處理接收到的數(shù)據(jù)包,外出(outbound)SA負(fù)責(zé)處理要發(fā)送的數(shù)據(jù)包。因此每個(gè)通信方必須要有兩種SA,一個(gè)進(jìn)入SA,一個(gè)外出SA,這兩個(gè)SA構(gòu)成了一個(gè)SA束(SABundle)。11SA的表示方法每個(gè)SA由三元組(SPI,IP目的地址,IPSec協(xié)議)來(lái)

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。