第1章-IP安全协议IPSec课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第1章-IP安全协议IPSec课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IP 安全 协议 IPSec 课件
- 资源描述:
-
1、Information Security:Principles&Applications2022-12-16Char 10 pp.2oEverything over IP(TCP/IP,VOIP)。n但是但是IP不能提供安全性。不能提供安全性。o前身:前身:IPSP(IP Security Protocol)。)。oIETF中的中的IP Security Protocol Working Group工工作组负责标准化,目标:作组负责标准化,目标:n该体制不仅适用于该体制不仅适用于IP目前的版本(目前的版本(IPv4),也能在也能在IP的的新版本(新版本(IPng或或IPv6)下工作;)下工作;
2、n可为运行于可为运行于IP顶部的任何一种协议提供保护;顶部的任何一种协议提供保护;n与加密算法无关,即使加密算法改变了或增加新的算与加密算法无关,即使加密算法改变了或增加新的算法,也不对其他部分的实现产生影响;法,也不对其他部分的实现产生影响;n必须能实现多种安全策略,但要避免给不使用该体制必须能实现多种安全策略,但要避免给不使用该体制的人造成不利影响。的人造成不利影响。背景背景2022-12-16Char 10 pp.3IPSec初始文档集初始文档集 RFC编号编号RFC名称名称现状现状1825Security Architecture for the Internet Protocol 被
3、被RFC2401取取代代1826IP Authentication Header(AH)被被RFC2402取取代代18211IP Encapsulating Security Payload(ESP)被被RFC2406取取代代1828IP Authentication using Keyed MD5有效有效1829The ESP DES-CBC Transform有效有效2022-12-16Char 10 pp.4IPSec体系结构体系结构 2022-12-16Char 10 pp.5 IPSec提供的安全机制提供的安全机制o鉴别鉴别n保证收到的数据包的确是由数据包头所标识的数据源发来的,保证
4、收到的数据包的确是由数据包头所标识的数据源发来的,且数据包在传输过程中未被篡改。且数据包在传输过程中未被篡改。o保密性保密性n保证数据在传输期间不被未授权的第三方窥视。保证数据在传输期间不被未授权的第三方窥视。o密钥管理密钥管理 n解决密钥的安全交换。解决密钥的安全交换。2022-12-16Char 10 pp.6 IPSec提供的安全服务提供的安全服务 协议安全服务AHESP(只加密只加密)ESP(加密并鉴加密并鉴别别)访问控制服务访问控制服务YYY无连接完整性无连接完整性Y-Y数据源鉴别数据源鉴别Y-Y拒绝重放的分组拒绝重放的分组YYY保密性保密性-YY流量保密性流量保密性-YY2022-
5、12-16Char 10 pp.7IPSec的典型用途的典型用途 o保证因特网上各分支办公点的安全连接。保证因特网上各分支办公点的安全连接。o保证因特网上远程访问的安全。保证因特网上远程访问的安全。o通过外部网或内部网建立与合作伙伴的联系。通过外部网或内部网建立与合作伙伴的联系。o提高了电子商务的安全性。提高了电子商务的安全性。2022-12-16Char 10 pp.8IPSec的优点的优点 o如果在路由器或防火墙上执行了如果在路由器或防火墙上执行了IPSec,它就会为周边的,它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通通信提供强有力的安全保障。一个公司或工作组内部的通信
6、将不涉及与安全相关的费用。信将不涉及与安全相关的费用。oIPSec在传输层之下,对于应用程序来说是透明的。当在在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上实现路由器或防火墙上实现IPSec时,无需更改用户或服务器时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行系统中的软件设置。即使在终端系统中执行IPSec,应用,应用程序一类的上层软件也不会被影响。程序一类的上层软件也不会被影响。oIPSec对终端用户来说是透明的,因此不必对用户进行安对终端用户来说是透明的,因此不必对用户进行安全机制的培训。全机制的培训。o如果需要的话,如果需要的话,IPSec可以为个体用户提供
7、安全保障,这可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。样做就可以保护企业内部的敏感信息。2022-12-16Char 10 pp.9IPSec的工作模式的工作模式 o传输模式传输模式n传输模式保护的是传输模式保护的是IP载荷。载荷。o隧道模式隧道模式 n隧道模式保护的是整个隧道模式保护的是整个IP包。包。2022-12-16Char 10 pp.10传输模式和隧道模式的比较传输模式和隧道模式的比较 2022-12-16Char 10 pp.11IPSec的实施位置的实施位置端主机端主机 o优点:优点:n可以保障端到端的安全性;可以保障端到端的安全性;n能够实现所有的能够实
8、现所有的IPSec安全模式;安全模式;n能够针对单个数据流提供安全保障;能够针对单个数据流提供安全保障;n在建立在建立IPSec的过程中,能够记录用户身份验证的相关的过程中,能够记录用户身份验证的相关数据和情况。数据和情况。o实施方案可分为两类:实施方案可分为两类:n与主机中的操作系统集成;与主机中的操作系统集成;n作为一个单独的部分在协议堆栈的网络层和数据链路作为一个单独的部分在协议堆栈的网络层和数据链路层之间实施。层之间实施。2022-12-16Char 10 pp.12IPSec的实施位置的实施位置路由器路由器o优点:优点:n能对两个子网(私有网络)间通过公共网络(如能对两个子网(私有网
9、络)间通过公共网络(如Internet)传输的数据提供安全保护;传输的数据提供安全保护;n能通过身份验证控制授权用户从外部进入私有网络,而能通过身份验证控制授权用户从外部进入私有网络,而将非授权用户挡在私有网络的外面。将非授权用户挡在私有网络的外面。o实施方案也可分为两类:实施方案也可分为两类:nIPSec功能集成在路由器软件中;功能集成在路由器软件中;nIPSec功能在直接物理接入路由器的设备中实现,该设备功能在直接物理接入路由器的设备中实现,该设备一般不运行任何路由算法,只用来提供安全功能。一般不运行任何路由算法,只用来提供安全功能。2022-12-16Char 10 pp.13鉴别首部(
10、鉴别首部(AH)o为为IP提供数据完整性提供数据完整性n防止传输过程中对数据包内容的修改。防止传输过程中对数据包内容的修改。o数据源身份验证(鉴别)数据源身份验证(鉴别)n防止地址欺骗攻击。防止地址欺骗攻击。o一些有限的抗重播服务一些有限的抗重播服务 n防止消息重放攻击。防止消息重放攻击。o不保证任何的机密性不保证任何的机密性 2022-12-16Char 10 pp.14AH的组成格式的组成格式 2022-12-16Char 10 pp.15抗重播服务抗重播服务(Antireply)o序列号字段序列号字段n创建一个新的创建一个新的SA时,发送者会将序列号计数器初始化为时,发送者会将序列号计数
11、器初始化为0;n每当在这一每当在这一SA上发送一个数据包,序列号计数器的值就加上发送一个数据包,序列号计数器的值就加1并将序列号字段设置成计数器的值;并将序列号字段设置成计数器的值;n当达到其最大值当达到其最大值232-1时,就应建立一个新的时,就应建立一个新的SA。o一种一种”滑动滑动”窗口机制窗口机制nIP是无连接的、不可靠的是无连接的、不可靠的,需设立窗口;,需设立窗口;n窗口的最左端对应于窗口起始位置的数据包序列号窗口的最左端对应于窗口起始位置的数据包序列号N,则最右,则最右端对应于可以接收的合法分组的最高序号端对应于可以接收的合法分组的最高序号N+W-1。2022-12-16Char
12、 10 pp.16窗口的移动窗口的移动o接收到的数据包必须满足如下全部条件才不会被丢弃并将相接收到的数据包必须满足如下全部条件才不会被丢弃并将相应的窗口位置做上标记:应的窗口位置做上标记:n接收到的数据包的序列号必须是新的,即在窗口中未出现过;接收到的数据包的序列号必须是新的,即在窗口中未出现过;n接收到的数据包的序列号必须落在窗口内部,或落在窗口右接收到的数据包的序列号必须落在窗口内部,或落在窗口右侧;侧;n接收到的数据包能通过鉴别检查。接收到的数据包能通过鉴别检查。o接收到的数据包落在窗口右侧且通过鉴别检查,窗口就会向接收到的数据包落在窗口右侧且通过鉴别检查,窗口就会向前走,使得该序号成为
13、窗口的右边界。前走,使得该序号成为窗口的右边界。2022-12-16Char 10 pp.17W=16的滑动窗口的滑动窗口 2022-12-16Char 10 pp.18完整性校验值完整性校验值ICV o由由MAC算法产生的消息鉴别码或截短的消息鉴别码组成算法产生的消息鉴别码或截短的消息鉴别码组成nHMAC-MD5-96;nHMAC-SHA-1-96。o用用HMAC求求MAC时算法的输入如下:时算法的输入如下:nIP数据包头:只包括在传输期间不变的字段或接受方可预测数据包头:只包括在传输期间不变的字段或接受方可预测的字段,其余不定的字段全置为的字段,其余不定的字段全置为0;nAH::除:除“鉴
14、别数据鉴别数据”字段外其他的所有字段,字段外其他的所有字段,“鉴别数据鉴别数据”字段被置为字段被置为0;nIP数据包中的所有的上层协议数据。数据包中的所有的上层协议数据。2022-12-16Char 10 pp.19IPv4包头中的确定字段和不定字段包头中的确定字段和不定字段 2022-12-16Char 10 pp.20传输模式和隧道模式的传输模式和隧道模式的AH数据包格式数据包格式 2022-12-16Char 10 pp.21封装安全载荷(封装安全载荷(ESP)o提供保密性和抗重播服务提供保密性和抗重播服务 n包括数据包内容的保密性和有限的流量保密性。包括数据包内容的保密性和有限的流量保
15、密性。o可选:提供数据完整性和鉴别服务。可选:提供数据完整性和鉴别服务。o是一个通用的、易于扩展的安全机制是一个通用的、易于扩展的安全机制 n协议定义同具体的算法是分开的。协议定义同具体的算法是分开的。2022-12-16Char 10 pp.22ESP的格式的格式 2022-12-16Char 10 pp.23ESP的加密和鉴别的加密和鉴别 o用来加密的算法叫作加密器(用来加密的算法叫作加密器(cipher)。)。o负责身份鉴别的算法叫鉴别器(负责身份鉴别的算法叫鉴别器(authenticator)。)。o每个每个ESP SA都至少有一个加密器或一个鉴别器。都至少有一个加密器或一个鉴别器。o
展开阅读全文