資源描述:
《基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)。
1、基于IPSec協(xié)議的IPv6安全機(jī)制(三):IPSEC的四種功能~教育資源庫(kù) 三、IPSEC的四種功能 與IPv4相比,IPv6具有許多優(yōu)勢(shì)。首先,IPv6解決了IP地址數(shù)量短缺的問題;其次,IPv6對(duì)IPv4協(xié)議中諸多不完善之處進(jìn)行了較大的改進(jìn)。其中最為顯著的就是將IPSec集成到協(xié)議內(nèi)部,從此IPSec將不再單獨(dú)存在,而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個(gè)領(lǐng)域。IPSEC提供四種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù): 安全關(guān)聯(lián)(SecurityAssociations,簡(jiǎn)稱SA) 報(bào)頭認(rèn)證(A
2、uthenticationonly(AuthenticationHeader,簡(jiǎn)稱AH)) IP封裝安全載荷(Encryptionandauthenticationknoanagement) 1、安全關(guān)聯(lián)SecurityAssociation(SA) IPSec中的一個(gè)基本概念是安全關(guān)聯(lián)(SA),安全關(guān)聯(lián)包含驗(yàn)證或者加密的密鑰和算法。它是單向連接,為保護(hù)兩個(gè)主機(jī)或者兩個(gè)安全網(wǎng)關(guān)之間的雙向通信需要建立兩個(gè)安全關(guān)聯(lián)。安全關(guān)聯(lián)提供的安全服務(wù)是通過AH和ESP兩個(gè)安全協(xié)議中的一個(gè)來實(shí)現(xiàn)的。如果要在同一個(gè)通信流中使用AH和ESP兩個(gè)安全協(xié)議
3、,那么需要?jiǎng)?chuàng)建兩個(gè)(或者更多)的安全關(guān)聯(lián)來保護(hù)該通信流。一個(gè)安全關(guān)聯(lián)需要通三個(gè)參數(shù)進(jìn)行識(shí)別,它由安全參數(shù)索引(AH/ESP報(bào)頭的一個(gè)字段)、目的IP地址和安全協(xié)議(AH或者ESP)三者的組合唯一標(biāo)識(shí)。表6列出AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別。 表6 AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別傳送模式隧道模式AH基本IP報(bào)頭和擴(kuò)展報(bào)頭原始的IP數(shù)據(jù)包外面封裝新IPv6報(bào)頭和AHESP壓縮數(shù)據(jù)包和IPv6擴(kuò)展ESP報(bào)頭ESP報(bào)頭帶AH的ESPESP報(bào)頭和HA擴(kuò)展報(bào)頭 傳送模式隧道模式 AH基本IP報(bào)頭和擴(kuò)展報(bào)頭原始的IP
4、數(shù)據(jù)包外面封裝新IPv6報(bào)頭和AH ESP壓縮數(shù)據(jù)包和IPv6擴(kuò)展ESP報(bào)頭ESP報(bào)頭 帶AH的ESP ESP報(bào)頭和HA擴(kuò)展報(bào)頭 2、報(bào)頭驗(yàn)證AuthenticationHeader(AH) 認(rèn)證協(xié)議頭(AH)是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過一個(gè)只有密匙持有人才知道的數(shù)字簽名來對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果;AH還能維持?jǐn)?shù)據(jù)的完整性,因?yàn)樵趥鬏斶^程中無論多小的變化被加載,數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來。IPv6的驗(yàn)證主要由驗(yàn)證報(bào)頭(AH)來完成。驗(yàn)證報(bào)頭是IPv6的一個(gè)安全擴(kuò)展報(bào)頭,它為
5、IP數(shù)據(jù)包提供完整性和數(shù)據(jù)驗(yàn)證,防止反重放攻擊,避免IP欺騙攻擊?! 、膨?yàn)證報(bào)頭的格式,如圖2所示?! D2 驗(yàn)證報(bào)頭的格式(IPSecurityAuthenticationHeader) 驗(yàn)證報(bào)頭的格式包括以下內(nèi)容: 下一報(bào)頭字段(NextHeader):確定跟在驗(yàn)證報(bào)頭后面的有效載荷的類型(如TCP) 有效載荷長(zhǎng)度(Payloadlength):驗(yàn)證報(bào)頭的長(zhǎng)度?! “踩珔?shù)索引(SecurityParameterIndex):用來確定安全關(guān)聯(lián)的安全參數(shù)索引?! ◎?yàn)證數(shù)據(jù)字段(SequenceNumber):一個(gè)變長(zhǎng)字段,它包含
6、完整性檢查值(ICV,IntegrityCheckValue),用來提供驗(yàn)證和數(shù)據(jù)完整性?! ”A糇侄危≧eserved):(16位)供以后使用 ?、乞?yàn)證數(shù)據(jù)(AuthenticationData) 驗(yàn)證數(shù)據(jù),它包含完整性檢查值(ICV),用來提供驗(yàn)證和數(shù)據(jù)完整性。用來計(jì)算ICV的算法由安全關(guān)聯(lián)指定。ICV是在這種情況下計(jì)算的,即IP報(bào)頭字段在傳遞過程中保持未變,驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷。有些字段在傳遞的過程中可能改變,包括最大跳數(shù)、業(yè)務(wù)類別和流標(biāo)簽等。IP數(shù)據(jù)包的接收者使用驗(yàn)證算法和安全關(guān)聯(lián)中確定的密鑰對(duì)驗(yàn)證
7、報(bào)頭重新計(jì)算ICV。如果ICV一樣,接收者知道數(shù)據(jù)通過驗(yàn)證并且沒有被更改過。驗(yàn)證數(shù)據(jù)包工作過程,如圖3所示?! D3 驗(yàn)證數(shù)據(jù)包工作過程 ?、欠乐怪胤殴簦≒reventReplyAttack) 重放攻擊是一種獲得加密數(shù)據(jù)包,然后發(fā)送設(shè)定的目的地。收到復(fù)制加密數(shù)據(jù)包后,可能而而面臨破解及其它一引起意想不到的后果。序列號(hào)計(jì)數(shù)器可阻止此類攻擊,當(dāng)發(fā)送者和接收者之間的通信狀態(tài)建立的時(shí)候,序列號(hào)被置0。當(dāng)發(fā)送者或者接收者傳送數(shù)據(jù)的時(shí)候,它隨后被加1。如果接收者發(fā)覺一個(gè)IP數(shù)據(jù)包具有復(fù)制的序列號(hào)字段,它將被丟棄,這是為了提供反重放的保護(hù)。該字段
8、是強(qiáng)制使用的,即使接收者沒有選擇反重放服務(wù)它也會(huì)出現(xiàn)在特定的安全關(guān)聯(lián)中。驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷?! ?、封裝安全有效載荷數(shù)據(jù)(EncapsulatingSecurityPayloa