IP安全性與IPSec簡版(1)ppt課件

1、IP平安性與IPSec引言IP級平安問題涉及三個功能領域：認證嚴密密鑰管理IP平安性概要1994年IAB(Internet Architecture Board)發(fā)表一份報告“Internet體系構造中的平安性(RFC1636)維護網絡根底設備，防止非授權用戶監(jiān)控網絡流量需求認證和加密機制加強用戶-用戶通訊流量。1997年CERT(Computer Emergency Response Team)年報闡明2500平安事故影響了150000站點。IAB決議把認證和加密作為下一代IP的必備平安特性IPv6僥幸的是，IPv4也可以實現這些平安特性。IPSec的運用IPSec提供對跨越LAN/WAN，

2、Internet的通訊提供平安性分支辦公機構經過Internet互連。(Secure VPN)經過Internet的遠程訪問。與協作同伴建立extranet與intranet的互連。加強電子商務平安性。IPSec的主要特征是可以支持IP級一切流量的加密和/或認證。因此可以加強一切分布式運用的平安性。IPSec的益處在防火墻或路由器中實現時，可以對一切跨越周界的流量實施強平安性。而公司內部或任務組不用招致與平安相關處置的負擔。在防火墻中實現IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對運用透明。不用改動用戶或效力器系統上的軟件。IPSec可以對最終用戶透明。無須訓

3、練用戶。需求時IPSec可以提供個人平安性。這對非現場任務人員以及在一個組織內為一個敏感運用建立一個平安的虛擬子網是有用的。路由運用從一個授權的路由器廣播一個新路由的出現從一個授權的路由器廣播相鄰關系從一個發(fā)出初始包的路由器發(fā)出一個重定向音訊一個路由更新不會被欺騙。IP平安體系構造RFC 1825: An overview of a security architectureRFC 1826: Description of a packet authentication extension to IPRFC 1828: A specific authentication mechanismRF

4、C 1827: Description of a packet encryption extension to IPRFC 1829: A specific encryption mechanismIPSec 任務組織IETF設立的IP Security Protocol Working GroupArchitectureEncapsulating Security Payload(ESP)Authentication Header (AH)Encryption AlgorithmAuthentication AlgorithmKey ManagementDomain of Interpret

5、ation(DOI)體系構造ESP協議AH協議加密算法加密算法DOI密鑰管理IPSec的主要目的期望平安的用戶可以運用基于密碼學的平安機制應能同時適用與IPv4和IPv6, IPng.算法獨立有利于實現不同平安戰(zhàn)略對沒有采用該機制的的用戶不會有副面影響對上述特征的支持在IPv6中是強迫的，在IPv4中是可選的。這兩種情況下都是采用在主IP報頭后面接續(xù)擴展報頭的方法實現的。認證的擴展報頭稱為AH(Authentication Header)加密的擴展報頭稱為ESP header (Encapsulating Security Payload)體系構造：包括總體概念，平安需求，定義，以及定義IPS

6、ec技術的 機制；ESP： 運用ESP進展包加密的報文包格式和普通性問題，以及， 可選的認證；AH： 運用ESP進展包加密的報文包格式和普通性問題；加密算法：描畫將各種不同加密算法用于ESP的文檔；認證算法：描畫將各種不同加密算法用于AH以及ESP認證選項的文檔；密鑰管理：描畫密鑰管理方式；DOI： 其它相關文檔，同意的加密和認證算法標識，以及運轉參數 等；IPSec提供的效力IPSec在IP層提供平安效力，使得系統可以選擇所需求的平安協議，確定該效力所用的算法，并提供平安效力所需任何加密密鑰。訪問控制銜接完好性數據源認證回絕重放數據包嚴密性加密有限信息流嚴密性AHESP(僅加密ESP(加密+

7、認證) 訪問控制銜接完好性數據源認證回絕重放包嚴密性有限嚴密性1、平安關聯SA(Security Association)SA是IP認證和嚴密機制中最關鍵的概念。一個關聯就是發(fā)送與接納者之間的一個單向關系。假設需求一個對等關系，即雙向平安交換，那么需求兩個SA。一個SA由一個Internet目的地址和一個平安變量SA索引SPI獨一標識。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6頭和內部擴展頭AH或ESP中的SPI所獨一標識的。SA由三個參數獨一確定：Security Parameters Index(SPI)：平安變量索引。分配給這個SA的一個位串并且只需本地有效。SPI在AH

8、和ESP報頭中出現，以使得接納系統選擇SA并在其下處置一個收到的報文。IP目的地址：目前，只允許單點傳送地址；這是該SA的目的終點的地址，它可以是一個最終用戶系統或一個網絡系統如防火墻或路由器。平安協議標識符：闡明是AH還是ESP的SASA的參數序數計數器：一個32位值用于生成AH或ESP頭中的序數字段；計數器溢出位：一個標志位闡明該序數計數器能否溢出，假設是，將生成一個審計事件，并制止本SA的進一步的包傳送。防回放窗口：用于確定一個入站的AH或ESP包能否是一個回放AH信息：認證算法、密鑰、密鑰生存期、以及與AH一同運用的其它參數ESP信息：加密和認證算法、密鑰、初始值、密鑰生存期、以及ES

9、P一同運用的其它參數SA的生存期：一個時間間隔或字節(jié)記數，到時后一個SA必需用一個新的SA交換或終止，以及一個這些活動發(fā)生的指示。IPSec協議方式：隧道、運輸、統配符。通路MTU：任何服從的最大傳送單位和老化變量SA選擇符IP信息流與SA關聯的手段是經過平安戰(zhàn)略數據庫SPD(Security Policy Database)每一個SPD入口經過一組IP和更高層協議域值，稱為選擇符來定義。以下的選擇符確定SPD入口：目的IP地址：可以是單地址或多地址源地址：單地址或多地址UserID: 操作系統中的用戶標識。數據敏感級別：傳輸層協議：IPSec協議AH, ESP, AH/ESP)源/目的端口效

10、力類型(TOS)Authentication HeaderNext Header(8bits)Payload Length(8bits)Reserved (16bits)Security Parameters Index(32bits)Sequence NumberAuthentication Data(variable):一個變長字段，包含ICV(Integrity Check Value) 或 MAC窗口與回放攻擊檢測假設收到的包落在窗口中并且是新的，其MAC被檢查。假設該包已被認證，那么對應的窗口項做標志。假設接納包已到窗口右邊并且是新的，其MAC被檢查。假設該包一被認證，窗口向前運動，讓該包的順序號成為窗口的右端，對應的項做標志。假設接納的包在窗口的左邊，或認證失敗，該包被丟棄，并做審計事件記錄。AH傳輸方式AH隧道方式封裝平安負載ESP格式算法3DES、RC5、IDEA、3IDEA、CAST、BlowfishESP傳輸與隧道方式加密的TCP會話