信息安全原理及应用:第10章IP安全协议(IPSec).pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路层之间实施。
11
IPSec的实施位置—路由器
• 优点:
– 能对两个子网(私有网络)间通过公共网络(如 Internet)传输的数据提供安全保护;
– 能通过身份验证控制授权用户从外部进入私有网络, 而将非授权用户挡在私有网络的外面。
• 实施方案也可分为两类:
– IPSec功能集成在路由器软件中; – IPSec功能在直接物理接入路由器的设备中实现,该设
N,则最右端对应于可以接收的合法分组的最高序 号N+W-1。
15
窗口的移动
• 接收到的数据包必须满足如下全部条件才不会 被丢弃并将相应的窗口位置做上标记:
– 接收到的数据包的序列号必须是新的,即在窗口中 未出现过;
– 接收到的数据包的序列号必须落在窗口内部,或落 在窗口右侧;
– 接收到的数据包能通过鉴别检查。
• 密钥管理
– 解决密钥的安全交换。
5
IPSec提供的安全服务
协
安 全
议
服
务
AH
访问控制服务
Y
无连接完整性
Y
数据源鉴别
Y
拒绝重放的分组
Y
保密性
-
流量保密性
-
ESP(只加密) ESP(加密并鉴 别)
Y
Y
-
Y
-
Y
Y
Y
Y
Y
Y
Y
6
IPSec的典型用途
• 保证因特网上各分支办公点的安全连接。 • 保证因特网上远程访问的安全。 • 通过外部网或内部网建立与合作伙伴的联系。 • 提高了电子商务的安全性。
• 序列号字段
– 创建一个新的SA时,发送者会将序列号计数器初始 化为0;
– 每当在这一SA上发送一个数据包,序列号计数器的 值就加1并将序列号字段设置成计数器的值;
– 当达到其最大值232-1时,就应建立一个新的SA。
• 一种”滑动”窗口机制
– IP是无连接的、不可靠的 ,需设立窗口; – 窗口的最左端对应于窗口起始位置的数据包序列号
7
IPSec的优点
• 如果在路由器或防火墙上执行了IPSec,它就会为周边 的通信提供强有力的安全保障。一个公司或工作组内 部的通信将不涉及与安全相关的费用。
• IPSec在传输层之下,对于应用程序来说是透明的。当 在路由器或防火墙上实现IPSec时,无需更改用户或服 务器系统中的软件设置。即使在终端系统中执行IPSec, 应用程序一类的上层软件也不会被影响。
– IP数据包头:只包括在传输期间不变的字段或接受 方可预测的字段,其余不定的字段全置为0;
– AH::除“鉴别数据”字段外其他的所有字段, “鉴别数据”字段被置为0;
– IP数据包中的所有的上层协议数据。
18
IPv4包头中的确定字段和不定字段
19
传输模式和隧道模式的AH数据包格式
20
封装安全载荷(ESP)
第10章 IP安全协议(IPSec)
1
背景
• Everything over IP(TCP/IP, VOIP…)。
– 但是IP不能提供安全性。
• 前身:IPSP(IP Security Protocol)。 • IETF中的IP Security Protocol Working Group
工作组负责标准化,目标:
2
IPSec初始文档集
Biblioteka Baidu
RFC编号
RFC名称
现状
1825 1826
Security Architecture for the Internet Protocol
IP Authentication Header(AH)
被RFC2401取代 被RFC2402取代
18211
IP Encapsulating Security Payload (ESP) 被RFC2406取代
• 接收到的数据包落在窗口右侧且通过鉴别检查, 窗口就会向前走,使得该序号成为窗口的右边 界。
16
W=16的滑动窗口
17
完整性校验值ICV
• 由MAC算法产生的消息鉴别码或截短的消息鉴 别码组成
– HMAC-MD5-96; – HMAC-SHA-1-96。
• 用HMAC求MAC时算法的输入如下:
• 提供保密性和抗重播服务
– 包括数据包内容的保密性和有限的流量保密 性。
• 可选:提供数据完整性和鉴别服务。 • 是一个通用的、易于扩展的安全机制
– 协议定义同具体的算法是分开的。
21
ESP的格式
22
ESP的加密和鉴别
• 用来加密的算法叫作加密器(cipher)。 • 负责身份鉴别的算法叫鉴别器(authenticator)。 • 每个ESP SA都至少有一个加密器或一个鉴别器。 • 可选的算法包括:
10
IPSec的实施位置—端主机
• 优点:
– 可以保障端到端的安全性; – 能够实现所有的IPSec安全模式; – 能够针对单个数据流提供安全保障; – 在建立IPSec的过程中,能够记录用户身份验证的相
关数据和情况。
• 实施方案可分为两类:
– 与主机中的操作系统集成; – 作为一个单独的部分在协议堆栈的网络层和数据链
– 该体制不仅适用于IP目前的版本(IPv4),也能在 IP的新版本(IPng或IPv6)下工作;
– 可为运行于IP顶部的任何一种协议提供保护; – 与加密算法无关,即使加密算法改变了或增加新
的算法,也不对其他部分的实现产生影响; – 必须能实现多种安全策略,但要避免给不使用该
体制的人造成不利影响。
• IPSec对终端用户来说是透明的,因此不必对用户进行 安全机制的培训。
• 如果需要的话,IPSec可以为个体用户提供安全保障, 这样做就可以保护企业内部的敏感信息。
8
IPSec的工作模式
• 传输模式
– 传输模式保护的是IP载荷。
• 隧道模式
– 隧道模式保护的是整个IP包。
9
传输模式和隧道模式的比较
备一般不运行任何路由算法,只用来提供安全功能。
12
鉴别首部(AH)
• 为IP提供数据完整性
– 防止传输过程中对数据包内容的修改。
• 数据源身份验证(鉴别)
– 防止地址欺骗攻击。
• 一些有限的抗重播服务
– 防止消息重放攻击。
• 不保证任何的机密性
13
AH的组成格式
14
抗重播服务(Antireply )
1828
IP Authentication using Keyed MD5
有效
1829
The ESP DES-CBC Transform
有效
3
IPSec体系结构
4
IPSec提供的安全机制
• 鉴别
– 保证收到的数据包的确是由数据包头所标识的数据源发 来的,且数据包在传输过程中未被篡改。
• 保密性
– 保证数据在传输期间不被未授权的第三方窥视。
11
IPSec的实施位置—路由器
• 优点:
– 能对两个子网(私有网络)间通过公共网络(如 Internet)传输的数据提供安全保护;
– 能通过身份验证控制授权用户从外部进入私有网络, 而将非授权用户挡在私有网络的外面。
• 实施方案也可分为两类:
– IPSec功能集成在路由器软件中; – IPSec功能在直接物理接入路由器的设备中实现,该设
N,则最右端对应于可以接收的合法分组的最高序 号N+W-1。
15
窗口的移动
• 接收到的数据包必须满足如下全部条件才不会 被丢弃并将相应的窗口位置做上标记:
– 接收到的数据包的序列号必须是新的,即在窗口中 未出现过;
– 接收到的数据包的序列号必须落在窗口内部,或落 在窗口右侧;
– 接收到的数据包能通过鉴别检查。
• 密钥管理
– 解决密钥的安全交换。
5
IPSec提供的安全服务
协
安 全
议
服
务
AH
访问控制服务
Y
无连接完整性
Y
数据源鉴别
Y
拒绝重放的分组
Y
保密性
-
流量保密性
-
ESP(只加密) ESP(加密并鉴 别)
Y
Y
-
Y
-
Y
Y
Y
Y
Y
Y
Y
6
IPSec的典型用途
• 保证因特网上各分支办公点的安全连接。 • 保证因特网上远程访问的安全。 • 通过外部网或内部网建立与合作伙伴的联系。 • 提高了电子商务的安全性。
• 序列号字段
– 创建一个新的SA时,发送者会将序列号计数器初始 化为0;
– 每当在这一SA上发送一个数据包,序列号计数器的 值就加1并将序列号字段设置成计数器的值;
– 当达到其最大值232-1时,就应建立一个新的SA。
• 一种”滑动”窗口机制
– IP是无连接的、不可靠的 ,需设立窗口; – 窗口的最左端对应于窗口起始位置的数据包序列号
7
IPSec的优点
• 如果在路由器或防火墙上执行了IPSec,它就会为周边 的通信提供强有力的安全保障。一个公司或工作组内 部的通信将不涉及与安全相关的费用。
• IPSec在传输层之下,对于应用程序来说是透明的。当 在路由器或防火墙上实现IPSec时,无需更改用户或服 务器系统中的软件设置。即使在终端系统中执行IPSec, 应用程序一类的上层软件也不会被影响。
– IP数据包头:只包括在传输期间不变的字段或接受 方可预测的字段,其余不定的字段全置为0;
– AH::除“鉴别数据”字段外其他的所有字段, “鉴别数据”字段被置为0;
– IP数据包中的所有的上层协议数据。
18
IPv4包头中的确定字段和不定字段
19
传输模式和隧道模式的AH数据包格式
20
封装安全载荷(ESP)
第10章 IP安全协议(IPSec)
1
背景
• Everything over IP(TCP/IP, VOIP…)。
– 但是IP不能提供安全性。
• 前身:IPSP(IP Security Protocol)。 • IETF中的IP Security Protocol Working Group
工作组负责标准化,目标:
2
IPSec初始文档集
Biblioteka Baidu
RFC编号
RFC名称
现状
1825 1826
Security Architecture for the Internet Protocol
IP Authentication Header(AH)
被RFC2401取代 被RFC2402取代
18211
IP Encapsulating Security Payload (ESP) 被RFC2406取代
• 接收到的数据包落在窗口右侧且通过鉴别检查, 窗口就会向前走,使得该序号成为窗口的右边 界。
16
W=16的滑动窗口
17
完整性校验值ICV
• 由MAC算法产生的消息鉴别码或截短的消息鉴 别码组成
– HMAC-MD5-96; – HMAC-SHA-1-96。
• 用HMAC求MAC时算法的输入如下:
• 提供保密性和抗重播服务
– 包括数据包内容的保密性和有限的流量保密 性。
• 可选:提供数据完整性和鉴别服务。 • 是一个通用的、易于扩展的安全机制
– 协议定义同具体的算法是分开的。
21
ESP的格式
22
ESP的加密和鉴别
• 用来加密的算法叫作加密器(cipher)。 • 负责身份鉴别的算法叫鉴别器(authenticator)。 • 每个ESP SA都至少有一个加密器或一个鉴别器。 • 可选的算法包括:
10
IPSec的实施位置—端主机
• 优点:
– 可以保障端到端的安全性; – 能够实现所有的IPSec安全模式; – 能够针对单个数据流提供安全保障; – 在建立IPSec的过程中,能够记录用户身份验证的相
关数据和情况。
• 实施方案可分为两类:
– 与主机中的操作系统集成; – 作为一个单独的部分在协议堆栈的网络层和数据链
– 该体制不仅适用于IP目前的版本(IPv4),也能在 IP的新版本(IPng或IPv6)下工作;
– 可为运行于IP顶部的任何一种协议提供保护; – 与加密算法无关,即使加密算法改变了或增加新
的算法,也不对其他部分的实现产生影响; – 必须能实现多种安全策略,但要避免给不使用该
体制的人造成不利影响。
• IPSec对终端用户来说是透明的,因此不必对用户进行 安全机制的培训。
• 如果需要的话,IPSec可以为个体用户提供安全保障, 这样做就可以保护企业内部的敏感信息。
8
IPSec的工作模式
• 传输模式
– 传输模式保护的是IP载荷。
• 隧道模式
– 隧道模式保护的是整个IP包。
9
传输模式和隧道模式的比较
备一般不运行任何路由算法,只用来提供安全功能。
12
鉴别首部(AH)
• 为IP提供数据完整性
– 防止传输过程中对数据包内容的修改。
• 数据源身份验证(鉴别)
– 防止地址欺骗攻击。
• 一些有限的抗重播服务
– 防止消息重放攻击。
• 不保证任何的机密性
13
AH的组成格式
14
抗重播服务(Antireply )
1828
IP Authentication using Keyed MD5
有效
1829
The ESP DES-CBC Transform
有效
3
IPSec体系结构
4
IPSec提供的安全机制
• 鉴别
– 保证收到的数据包的确是由数据包头所标识的数据源发 来的,且数据包在传输过程中未被篡改。
• 保密性
– 保证数据在传输期间不被未授权的第三方窥视。