基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能

基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能

ID:9707247

大?。?1.00 KB

頁(yè)數(shù):9頁(yè)

時(shí)間:2018-05-05

基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能_第1頁(yè)
基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能_第2頁(yè)
基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能_第3頁(yè)
基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能_第4頁(yè)
基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能_第5頁(yè)
資源描述:

《基于ipsec協(xié)議的ipv6安全機(jī)制(三):ipsec的四種功能》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)

1、基于IPSec協(xié)議的IPv6安全機(jī)制(三):IPSEC的四種功能~教育資源庫(kù)  三、IPSEC的四種功能  與IPv4相比,IPv6具有許多優(yōu)勢(shì)。首先,IPv6解決了IP地址數(shù)量短缺的問題;其次,IPv6對(duì)IPv4協(xié)議中諸多不完善之處進(jìn)行了較大的改進(jìn)。其中最為顯著的就是將IPSec集成到協(xié)議內(nèi)部,從此IPSec將不再單獨(dú)存在,而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個(gè)領(lǐng)域。IPSEC提供四種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù):  安全關(guān)聯(lián)(SecurityAssociations,簡(jiǎn)稱SA)  報(bào)頭認(rèn)證(A

2、uthenticationonly(AuthenticationHeader,簡(jiǎn)稱AH))  IP封裝安全載荷(Encryptionandauthenticationknoanagement)  1、安全關(guān)聯(lián)SecurityAssociation(SA)  IPSec中的一個(gè)基本概念是安全關(guān)聯(lián)(SA),安全關(guān)聯(lián)包含驗(yàn)證或者加密的密鑰和算法。它是單向連接,為保護(hù)兩個(gè)主機(jī)或者兩個(gè)安全網(wǎng)關(guān)之間的雙向通信需要建立兩個(gè)安全關(guān)聯(lián)。安全關(guān)聯(lián)提供的安全服務(wù)是通過AH和ESP兩個(gè)安全協(xié)議中的一個(gè)來實(shí)現(xiàn)的。如果要在同一個(gè)通信流中使用AH和ESP兩個(gè)安全協(xié)議

3、,那么需要?jiǎng)?chuàng)建兩個(gè)(或者更多)的安全關(guān)聯(lián)來保護(hù)該通信流。一個(gè)安全關(guān)聯(lián)需要通三個(gè)參數(shù)進(jìn)行識(shí)別,它由安全參數(shù)索引(AH/ESP報(bào)頭的一個(gè)字段)、目的IP地址和安全協(xié)議(AH或者ESP)三者的組合唯一標(biāo)識(shí)。表6列出AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別。  表6 AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別傳送模式隧道模式AH基本IP報(bào)頭和擴(kuò)展報(bào)頭原始的IP數(shù)據(jù)包外面封裝新IPv6報(bào)頭和AHESP壓縮數(shù)據(jù)包和IPv6擴(kuò)展ESP報(bào)頭ESP報(bào)頭帶AH的ESPESP報(bào)頭和HA擴(kuò)展報(bào)頭  傳送模式隧道模式  AH基本IP報(bào)頭和擴(kuò)展報(bào)頭原始的IP

4、數(shù)據(jù)包外面封裝新IPv6報(bào)頭和AH  ESP壓縮數(shù)據(jù)包和IPv6擴(kuò)展ESP報(bào)頭ESP報(bào)頭  帶AH的ESP  ESP報(bào)頭和HA擴(kuò)展報(bào)頭  2、報(bào)頭驗(yàn)證AuthenticationHeader(AH)  認(rèn)證協(xié)議頭(AH)是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過一個(gè)只有密匙持有人才知道的數(shù)字簽名來對(duì)用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果;AH還能維持?jǐn)?shù)據(jù)的完整性,因?yàn)樵趥鬏斶^程中無論多小的變化被加載,數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來。IPv6的驗(yàn)證主要由驗(yàn)證報(bào)頭(AH)來完成。驗(yàn)證報(bào)頭是IPv6的一個(gè)安全擴(kuò)展報(bào)頭,它為

5、IP數(shù)據(jù)包提供完整性和數(shù)據(jù)驗(yàn)證,防止反重放攻擊,避免IP欺騙攻擊?! 、膨?yàn)證報(bào)頭的格式,如圖2所示?! D2 驗(yàn)證報(bào)頭的格式(IPSecurityAuthenticationHeader)  驗(yàn)證報(bào)頭的格式包括以下內(nèi)容:  下一報(bào)頭字段(NextHeader):確定跟在驗(yàn)證報(bào)頭后面的有效載荷的類型(如TCP)  有效載荷長(zhǎng)度(Payloadlength):驗(yàn)證報(bào)頭的長(zhǎng)度?! “踩珔?shù)索引(SecurityParameterIndex):用來確定安全關(guān)聯(lián)的安全參數(shù)索引?! ◎?yàn)證數(shù)據(jù)字段(SequenceNumber):一個(gè)變長(zhǎng)字段,它包含

6、完整性檢查值(ICV,IntegrityCheckValue),用來提供驗(yàn)證和數(shù)據(jù)完整性?! ”A糇侄危≧eserved):(16位)供以后使用 ?、乞?yàn)證數(shù)據(jù)(AuthenticationData)  驗(yàn)證數(shù)據(jù),它包含完整性檢查值(ICV),用來提供驗(yàn)證和數(shù)據(jù)完整性。用來計(jì)算ICV的算法由安全關(guān)聯(lián)指定。ICV是在這種情況下計(jì)算的,即IP報(bào)頭字段在傳遞過程中保持未變,驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷。有些字段在傳遞的過程中可能改變,包括最大跳數(shù)、業(yè)務(wù)類別和流標(biāo)簽等。IP數(shù)據(jù)包的接收者使用驗(yàn)證算法和安全關(guān)聯(lián)中確定的密鑰對(duì)驗(yàn)證

7、報(bào)頭重新計(jì)算ICV。如果ICV一樣,接收者知道數(shù)據(jù)通過驗(yàn)證并且沒有被更改過。驗(yàn)證數(shù)據(jù)包工作過程,如圖3所示?! D3 驗(yàn)證數(shù)據(jù)包工作過程 ?、欠乐怪胤殴簦≒reventReplyAttack)  重放攻擊是一種獲得加密數(shù)據(jù)包,然后發(fā)送設(shè)定的目的地。收到復(fù)制加密數(shù)據(jù)包后,可能而而面臨破解及其它一引起意想不到的后果。序列號(hào)計(jì)數(shù)器可阻止此類攻擊,當(dāng)發(fā)送者和接收者之間的通信狀態(tài)建立的時(shí)候,序列號(hào)被置0。當(dāng)發(fā)送者或者接收者傳送數(shù)據(jù)的時(shí)候,它隨后被加1。如果接收者發(fā)覺一個(gè)IP數(shù)據(jù)包具有復(fù)制的序列號(hào)字段,它將被丟棄,這是為了提供反重放的保護(hù)。該字段

8、是強(qiáng)制使用的,即使接收者沒有選擇反重放服務(wù)它也會(huì)出現(xiàn)在特定的安全關(guān)聯(lián)中。驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷?! ?、封裝安全有效載荷數(shù)據(jù)(EncapsulatingSecurityPayloa

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無此問題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。