網(wǎng)絡(luò)層安全通信協(xié)議_第1頁
網(wǎng)絡(luò)層安全通信協(xié)議_第2頁
網(wǎng)絡(luò)層安全通信協(xié)議_第3頁
網(wǎng)絡(luò)層安全通信協(xié)議_第4頁
網(wǎng)絡(luò)層安全通信協(xié)議_第5頁
已閱讀5頁,還剩26頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)層安全通信協(xié)議信息1201王璐茅依莎什么是IPsec協(xié)議?IPsec協(xié)議簇1.IPsec的產(chǎn)生背景2.IPsec的體系結(jié)構(gòu)3.IPsec實現(xiàn)方式4.IPsec工作模式5.安全關(guān)聯(lián)第二部分2023/2/5IPsec的產(chǎn)生背景以IPv4為代表的TCP/IP協(xié)議簇存在的安全缺陷:(1)IP協(xié)議沒有為通信提供良好的數(shù)據(jù)源認(rèn)證機(jī)制。(2)IP協(xié)議沒有為數(shù)據(jù)提供強(qiáng)的完整性保護(hù)機(jī)制。(3)IP協(xié)議沒有為數(shù)據(jù)提供任何形式的機(jī)密性保護(hù)。(4)協(xié)議本身的設(shè)計存在一些細(xì)節(jié)上的缺陷和實現(xiàn)上的安全漏洞,使各種安全攻擊有機(jī)可乘。在1998年,由IETFIP工作組制定了一組基于密碼學(xué)的安全的開放網(wǎng)絡(luò)安全協(xié)議,總稱IP體系安全體系結(jié)構(gòu)。簡稱IPsec.返回IPsec的體系結(jié)構(gòu)IPSec是一套協(xié)議包,而不是一個單獨(dú)的協(xié)議RFC文號。IPSec協(xié)議族中三個主要的協(xié)議:IP認(rèn)證包頭AH(IPAuthenticationHeader):AH協(xié)議為IP包提供信息源驗證和完整性保證。IP封裝安全負(fù)載ESP(IPEncapsulatingSecurityPayload)ESP協(xié)議提供加密保證。Internet密鑰交換IKE(TheInternetKeyExchange):IKE提供雙方交流時的共享安全信息。IPsec的體系結(jié)構(gòu)返回IPsec的實現(xiàn)方式常用的實現(xiàn)方式有集成方式、BITS方式和BITW方式3種。(1)集成方式:把IPsec集成到IP協(xié)議的原始實現(xiàn)中,需要處理IP源碼,適用于在主機(jī)和安全網(wǎng)關(guān)中實現(xiàn)。(2)堆棧中的塊BITS方式:把IPsec作為一個“楔子”插入原來的IP協(xié)議棧和鏈路層之間,不需要處理IP源碼,適用于對原有系統(tǒng)升級,通常在主機(jī)中實現(xiàn)。(3)線纜中的塊BITW方式:在一個直接接入路由器或主機(jī)的設(shè)備中實現(xiàn)IPsec,通常用于軍事和商業(yè)目的。當(dāng)用于支持主機(jī)時,實現(xiàn)與BITS相似,但用于支持路由器或防火墻時,必須起到安全網(wǎng)關(guān)的作用。返回IPsec的工作模式

IPSec有兩種工作模式:傳輸模式(TransportMode)和隧道模式(TunnelMode)。1.傳輸模式(TransportMode):

IPSec協(xié)議頭插入到原IP頭部和傳輸層頭部之間,只對IP包的有效負(fù)載進(jìn)行加密或認(rèn)證。2.隧道模式:IPSec會先利用AH或ESP對IP包進(jìn)行認(rèn)證或者加密,然后在IP包外面再包上一個新IP頭。返回只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常,傳輸模式應(yīng)用在兩臺主機(jī)之間的通訊,或一臺主機(jī)和一個安全網(wǎng)關(guān)之間的通訊。返回用戶的整個IP數(shù)據(jù)包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常,隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通訊。返回定義安全關(guān)聯(lián)SA,用于記錄每條IP安全通路的策略和策略參數(shù)。安全關(guān)聯(lián)是IPSec的基礎(chǔ),是通信雙方建立的一種協(xié)定,決定了用來保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期等。AH和ESP都要用到安全關(guān)聯(lián),IKE的一個主要功能就是建立和維護(hù)安全關(guān)聯(lián)。類型傳輸模式SA:傳輸模式SA只能用于兩個主機(jī)之間的IP通信。隧道模式SA:隧道模式SA既可以用于兩個主機(jī)之間的IP通信也可用于兩個安全網(wǎng)關(guān)之間或一個主機(jī)與一個安全網(wǎng)關(guān)之間的IP通信。生存期是一個時間間隔或IPsec協(xié)議利用該SA來處理的數(shù)據(jù)量的大小。

SA是安全策略通常用一個三元組唯一的表示:<SPI,IP目的地址,安全協(xié)議標(biāo)識符>1)SPI:安全參數(shù)索引(SecurityParametersIndex),說明用SA的IP頭類型,它可以包含認(rèn)證算法、加密算法、用于認(rèn)證加密的密鑰以及密鑰的生存期;2)IP目的地址:指定輸出處理的目的IP地址,或輸入處理的源IP地址;3)安全協(xié)議標(biāo)識符:指明使用的協(xié)議是AH還是ESP或者兩者同時使用。安全關(guān)聯(lián)概述安全關(guān)聯(lián)數(shù)據(jù)庫SPD決定了對數(shù)據(jù)包提供的安全服務(wù),所有IPSec實施方案的策略都保存在該數(shù)據(jù)庫中。IP包的處理過程中,系統(tǒng)要查閱SPD,每一個數(shù)據(jù)包,都有三種可能的選擇:丟棄、繞過IPSec或應(yīng)用IPSec:1)丟棄:根本不允許數(shù)據(jù)包離開主機(jī)穿過安全網(wǎng)關(guān);2)繞過:允許數(shù)據(jù)包通過,在傳輸中不使用IPSec進(jìn)行保護(hù);3)應(yīng)用:在傳輸中需要IPSec保護(hù)數(shù)據(jù)包,對于這樣的傳輸SPD必須規(guī)定提供的安全服務(wù)、所使用的協(xié)議和算法等等。

安全關(guān)聯(lián)數(shù)據(jù)庫SAD存放著和安全實體相關(guān)的所有SA,每個SA由三元組索引。一個SAD條目包含下列域:1)序列號計數(shù)器:32位整數(shù),用于生成AH或ESP頭中的序列號;2)序列號溢出標(biāo)志:標(biāo)識是否對序列號計數(shù)器的溢出進(jìn)行審核;3)抗重發(fā)窗口:使用一個32位計數(shù)器和位圖確定一個輸入的AH或ESP數(shù)據(jù)包是否是重發(fā)包;4)IPSec協(xié)議操作模式:傳輸或隧道;5)AH的認(rèn)證算法和所需密鑰;6)ESP的認(rèn)證算法和所需密鑰;7)ESP加密算法,密鑰,初始向量(IV)和IV模式;8)路徑最大傳輸單元;9)進(jìn)出標(biāo)志;SA生存期狀態(tài)。返回(1)AH頭格式(2)AH操作模式(3)AH的處理過程AH協(xié)議下一個頭:AH之后的下一載荷的類型,如可能是ESP或是其他傳輸層協(xié)議。載荷長度:以32位字為單位的AH的長度減2。AH實際上是一個IPv6擴(kuò)展頭,按照RFC2460,它的長度是從64位字表示的頭長度中減去一個64位字而來,由于AH采用32位字為單位,因此需要減去兩個32位字。保留:該字段目前置為0。安全參數(shù)索引:該字段用于和源或目的地址以及IPsec相關(guān)協(xié)議(AH或ESP)共同唯一標(biāo)識一個數(shù)據(jù)報所屬的數(shù)據(jù)流的安全關(guān)聯(lián)(SA)。序列號:該字段包含一個作為單調(diào)增加計數(shù)器的32位無符號整數(shù),它用來防止對數(shù)據(jù)包的重放攻擊。認(rèn)證數(shù)據(jù):這個變長域包含數(shù)據(jù)包的認(rèn)證數(shù)據(jù),通過該認(rèn)證數(shù)據(jù)具體提供數(shù)據(jù)包的完整性保護(hù)服務(wù)返回AH傳輸模式AH隧道模式返回ESP協(xié)議(1)ESP包格式(2)ESP操作模(3)ESP的處理過程1)安全參數(shù)索引SPI(SecurityParametersIndex):同AH;2)序列號(SequenceNumber):同AH;3)填充域(Padding):0-255個字節(jié)。用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求,若數(shù)據(jù)長度不足,則填充;4)填充域長度(PaddingLength):接收端根據(jù)該字段長度去除數(shù)據(jù)中的填充位;5)下一個包頭(NextHeader):同AH;6)認(rèn)證數(shù)據(jù)(AuthenticationData):包含完整性檢查和。完整性檢查部分包括ESP包頭、傳輸層協(xié)議、數(shù)據(jù)和ESP包尾,但不包括IP包頭,因此ESP不能保證IP包頭不被篡改。ESP加密部分包括傳輸層協(xié)議、數(shù)據(jù)和ESP包尾。返回返回IKE協(xié)議?IPSec支持手工設(shè)置密鑰和自動商兩種方式管理密鑰。手工設(shè)置密鑰方式是管理員使用自己的密鑰手協(xié)工設(shè)置每個系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境和有限的安全需要時可以工作得很好。自動協(xié)商方式則能滿足其它所有的應(yīng)用需求。使用自動協(xié)商方式,通訊雙方在建立SA時可以動態(tài)地協(xié)商本次會話所需的加密密鑰和其它各種安全參數(shù),無須用戶的介入。當(dāng)采用自動協(xié)商密鑰時就需要使用IKE。IKE是一個混合型協(xié)議,用來管理IPSec所用加密密鑰的產(chǎn)生及處理。IKE提供的好處如下:允許管理員不必在兩個對等體中手工指定所有IPSecSA參數(shù);可以安全地建立用于對等體之間的會話密鑰;允許為IPSecSA指定一個生存期;允許加密密鑰在IPSec會話過程中改變;允許IPSec提供防重發(fā)攻擊服務(wù);允許為一個可以管理的、可以擴(kuò)展的IPSec實施采用CA支持;優(yōu)勢

IKE由三個不同的協(xié)議組成:Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP(InternetSecurityAssociationan

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論