IP安全性與IPSec簡版(1)ppt課件

1、IP平安性與IPSec引言IP級平安問題涉及三個功能領(lǐng)域：認證嚴密密鑰管理IP平安性概要1994年IAB(Internet Architecture Board)發(fā)表一份報告“Internet體系構(gòu)造中的平安性(RFC1636)維護網(wǎng)絡(luò)根底設(shè)備，防止非授權(quán)用戶監(jiān)控網(wǎng)絡(luò)流量需求認證和加密機制加強用戶-用戶通訊流量。1997年CERT(Computer Emergency Response Team)年報闡明2500平安事故影響了150000站點。IAB決議把認證和加密作為下一代IP的必備平安特性IPv6僥幸的是，IPv4也可以實現(xiàn)這些平安特性。IPSec的運用IPSec提供對跨越LAN/WAN，

2、Internet的通訊提供平安性分支辦公機構(gòu)經(jīng)過Internet互連。(Secure VPN)經(jīng)過Internet的遠程訪問。與協(xié)作同伴建立extranet與intranet的互連。加強電子商務(wù)平安性。IPSec的主要特征是可以支持IP級一切流量的加密和/或認證。因此可以加強一切分布式運用的平安性。IPSec的益處在防火墻或路由器中實現(xiàn)時，可以對一切跨越周界的流量實施強平安性。而公司內(nèi)部或任務(wù)組不用招致與平安相關(guān)處置的負擔。在防火墻中實現(xiàn)IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對運用透明。不用改動用戶或效力器系統(tǒng)上的軟件。IPSec可以對最終用戶透明。無須訓

3、練用戶。需求時IPSec可以提供個人平安性。這對非現(xiàn)場任務(wù)人員以及在一個組織內(nèi)為一個敏感運用建立一個平安的虛擬子網(wǎng)是有用的。路由運用從一個授權(quán)的路由器廣播一個新路由的出現(xiàn)從一個授權(quán)的路由器廣播相鄰關(guān)系從一個發(fā)出初始包的路由器發(fā)出一個重定向音訊一個路由更新不會被欺騙。IP平安體系構(gòu)造RFC 1825: An overview of a security architectureRFC 1826: Description of a packet authentication extension to IPRFC 1828: A specific authentication mechanismRF

4、C 1827: Description of a packet encryption extension to IPRFC 1829: A specific encryption mechanismIPSec 任務(wù)組織IETF設(shè)立的IP Security Protocol Working GroupArchitectureEncapsulating Security Payload(ESP)Authentication Header (AH)Encryption AlgorithmAuthentication AlgorithmKey ManagementDomain of Interpret

5、ation(DOI)體系構(gòu)造ESP協(xié)議AH協(xié)議加密算法加密算法DOI密鑰管理IPSec的主要目的期望平安的用戶可以運用基于密碼學的平安機制應(yīng)能同時適用與IPv4和IPv6, IPng.算法獨立有利于實現(xiàn)不同平安戰(zhàn)略對沒有采用該機制的的用戶不會有副面影響對上述特征的支持在IPv6中是強迫的，在IPv4中是可選的。這兩種情況下都是采用在主IP報頭后面接續(xù)擴展報頭的方法實現(xiàn)的。認證的擴展報頭稱為AH(Authentication Header)加密的擴展報頭稱為ESP header (Encapsulating Security Payload)體系構(gòu)造：包括總體概念，平安需求，定義，以及定義IPS

6、ec技術(shù)的 機制；ESP： 運用ESP進展包加密的報文包格式和普通性問題，以及， 可選的認證；AH： 運用ESP進展包加密的報文包格式和普通性問題；加密算法：描畫將各種不同加密算法用于ESP的文檔；認證算法：描畫將各種不同加密算法用于AH以及ESP認證選項的文檔；密鑰管理：描畫密鑰管理方式；DOI： 其它相關(guān)文檔，同意的加密和認證算法標識，以及運轉(zhuǎn)參數(shù) 等；IPSec提供的效力IPSec在IP層提供平安效力，使得系統(tǒng)可以選擇所需求的平安協(xié)議，確定該效力所用的算法，并提供平安效力所需任何加密密鑰。訪問控制銜接完好性數(shù)據(jù)源認證回絕重放數(shù)據(jù)包嚴密性加密有限信息流嚴密性AHESP(僅加密ESP(加密+

7、認證) 訪問控制銜接完好性數(shù)據(jù)源認證回絕重放包嚴密性有限嚴密性1、平安關(guān)聯(lián)SA(Security Association)SA是IP認證和嚴密機制中最關(guān)鍵的概念。一個關(guān)聯(lián)就是發(fā)送與接納者之間的一個單向關(guān)系。假設(shè)需求一個對等關(guān)系，即雙向平安交換，那么需求兩個SA。一個SA由一個Internet目的地址和一個平安變量SA索引SPI獨一標識。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6頭和內(nèi)部擴展頭AH或ESP中的SPI所獨一標識的。SA由三個參數(shù)獨一確定：Security Parameters Index(SPI)：平安變量索引。分配給這個SA的一個位串并且只需本地有效。SPI在AH

8、和ESP報頭中出現(xiàn)，以使得接納系統(tǒng)選擇SA并在其下處置一個收到的報文。IP目的地址：目前，只允許單點傳送地址；這是該SA的目的終點的地址，它可以是一個最終用戶系統(tǒng)或一個網(wǎng)絡(luò)系統(tǒng)如防火墻或路由器。平安協(xié)議標識符：闡明是AH還是ESP的SASA的參數(shù)序數(shù)計數(shù)器：一個32位值用于生成AH或ESP頭中的序數(shù)字段；計數(shù)器溢出位：一個標志位闡明該序數(shù)計數(shù)器能否溢出，假設(shè)是，將生成一個審計事件，并制止本SA的進一步的包傳送。防回放窗口：用于確定一個入站的AH或ESP包能否是一個回放AH信息：認證算法、密鑰、密鑰生存期、以及與AH一同運用的其它參數(shù)ESP信息：加密和認證算法、密鑰、初始值、密鑰生存期、以及ES

9、P一同運用的其它參數(shù)SA的生存期：一個時間間隔或字節(jié)記數(shù)，到時后一個SA必需用一個新的SA交換或終止，以及一個這些活動發(fā)生的指示。IPSec協(xié)議方式：隧道、運輸、統(tǒng)配符。通路MTU：任何服從的最大傳送單位和老化變量SA選擇符IP信息流與SA關(guān)聯(lián)的手段是經(jīng)過平安戰(zhàn)略數(shù)據(jù)庫SPD(Security Policy Database)每一個SPD入口經(jīng)過一組IP和更高層協(xié)議域值，稱為選擇符來定義。以下的選擇符確定SPD入口：目的IP地址：可以是單地址或多地址源地址：單地址或多地址UserID: 操作系統(tǒng)中的用戶標識。數(shù)據(jù)敏感級別：傳輸層協(xié)議：IPSec協(xié)議AH, ESP, AH/ESP)源/目的端口效

10、力類型(TOS)Authentication HeaderNext Header(8bits)Payload Length(8bits)Reserved (16bits)Security Parameters Index(32bits)Sequence NumberAuthentication Data(variable):一個變長字段，包含ICV(Integrity Check Value) 或 MAC窗口與回放攻擊檢測假設(shè)收到的包落在窗口中并且是新的，其MAC被檢查。假設(shè)該包已被認證，那么對應(yīng)的窗口項做標志。假設(shè)接納包已到窗口右邊并且是新的，其MAC被檢查。假設(shè)該包一被認證，窗口向前運動，讓該包的順序號成為窗口的右端，對應(yīng)的項做標志。假設(shè)接納的包在窗口的左邊，或認證失敗，該包被丟棄，并做審計事件記錄。AH傳輸方式AH隧道方式封裝平安負載ESP格式算法3DES、RC5、IDEA、3IDEA、CAST、BlowfishESP傳輸與隧道方式加密的TCP會話