第6讲安全协议ppt课件

报中插入一个惟一的、单向递增的序列号
接收端可通过检验该序列号来验证数据报的
惟一性，但并非必须检查数据报序列号
精品课件
10
精品课件
11
SPI：32位随机数，用来确定一个特定的SA。
在密钥交换过程中，由目标主机来选定SPI
序列号：32位整数, 用于提供抗重播服务。发
送端必须产生和填写序列号，接收端并非不一
精品课件
16
如果加密算法要求明文长度是32位整数倍, 则 要进行填充 如果需要密码同步数据, 则将其输入加密算法 对数据报进行加密, 加密范围从载荷数据开始 ,到“下一个头”字段 (3) 完整性检查值(ICV)计算步骤 从SA中得到认证算法 如果认证算法要求认证数据长度必须是32位整 数倍, 则要执行填充, 长度由认证算法确定 认证算法计算ICV值，并填写到ESP头的“验证 数据”字段中
定处理
载荷数据：受ESP保护的数据报包含在载荷数
据字段中，字段长度由数据长度来决定
填充项：0－255个字节, 填充内容可以由密码
算法来指定。如果密码算法没有指定，则由
ESP指定，填充项第1个字节值是1，后面所有
字节值都是单向递增的
精品课件
12
填充项长度：指明填充项的长度，接收端利
用它恢复载荷数据的实际长度
精品课件
7
AH和ESP协议可以分别单独使用，也可以联合 使用。每个协议都支持两种应用模式：
(1) 传输模式：为上层协议数据提供安全保 护
(2) 隧道模式：以隧道方式传输IP报文
AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必 须定义强制实现的加密算法
因此，在使用数据认证和加密机制时, 必须
精品课件
5
IPSec提供了数据机密性、数据完整性、抗重 播保护和接纳控制等安全服务，用于保证IP 协议及上层协议能安全地交换数据 IPSec安全体系由如下部分组成： 安全协议(AH/ESP) 安全联盟SA(Security Associations) 安全策略SP(Security Policy) 密钥管理协议(IKE)
精品课件
9
ESP通过加密器和验证器提供数据机密性和完
整性，加密器和验证器使用的算法由ESP SA
来指定
为了互操作, IPSec规定了ESP强制实施的密
码算法(DES/3DES)和认证算法(MD5/SHA)
基本的ESP功能和实际使用的算法是分离的,
有利于算法的更换和更新
ESP抗重播服务是可选的, 发送端在ESP数据
明ICV的长度、比较规则及认证步骤
精品课件
13
精品课件
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密， 并且IP数据报并非顺序到达接收方，因此每 个ESP数据报必须携带能够使接收方建立解密 同步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入 在传输模式下, ESP头插在IP头之后，并填写 ESP头中各个字段值，ESP头的“下一个头” 字段值为50, 表示是ESP
下一个头：指明载荷数据的类型。如果是隧
道模式，其值为4，表示IP-in-IP；如果是传
输模式，其值为上层协议的类型，如TCP对应
的值为6
验证数据：由认证算法对ESP数据报进行散列
计算所得到的完整性检查值(ICV)。该字段是
可选的，只有对ESP数据报进行完整性认证的
SA才会有该字段。SA使用的认证算法必须指
Байду номын сангаас
精品课件
2
通常安全协议是基于某一通信协议，提供安 全机制或服务，并非单独运行
按网络体系结构划分，安全协议可以分成数 据链路层安全协议、网络层安全协议、传输 层安全协议和应用层安全协议
数据链路层：PPTP/L2TP协议通过隧道技术在 某种程度上增强了PPP协议的安全性
网络层：IPSec(IP Security)协议是基于IP 协议的安全协议
解决三个问题：
精品课件
8
通信双方必须协商所使用的安全协议、加密 算法和密钥
必须能方便和安全地交换与更新密钥
能对协商的细节和过程进行记录和管理
一、 ESP协议
ESP在IP数据报中插入一个协议头，为IP数 据报提供数据机密性、数据完整性、抗重播 以及数据源认证等安全服务
ESP可用于传输模式和隧道模式两种模式。 ESP可单独使用，也可和AH组合使用
精品课件
4
二、IPSec协议
网络层提供了端到端的数据传输服务，而 网络层安全协议主要解决两个端点之间的安 全交换数据问题, 涉及数据传输的机密性和 完整性, 防止在数据交换过程中数据被非法 窃听和篡改
IPSec协议是对IP协议的安全性增强,它在网 络层协议的基础上增加了安全算法协商和数 据加密/解密处理的功能和过程
精品课件
6
1. 安全协议
IPSec 提 供 了 两 种 安 全 协 议 ： 认 证 头 AH(Authentication Header)和封装安全有效 载荷ESP(Encapsulating Security Payload)
AH只提供数据完整性认证机制, 可防止数据 篡改和重播
ESP同时提供了数据完整性认证和数据加密传 输机制，除了具有AH所有安全能力之外，还 可提供了数据机密性
精品课件
3
传输层：SSL(Secure Socket Layer)协议是 基于TCP协议的安全协议
应 用 层 ： S-HTTP(Secure-HTTP) 协 议 对 应 HTTP协议，S/MIME (Secure/MIME)协议对应 MIME协议，还有些应用层安全协议是为解决 特定应用的安全问题的，如用于加密电子邮 件的PGP(Pretty Good Privacy)协议、用于 支 持 信 用 卡 电 子 交 易 的 SET(Secure Electronic Transaction) 协 议 、 用 于 提 供 第三方认证服务的Kerberos等
精品课件
15
对于隧道模式, ESP头插在整个IP数据报前面 , ESP头的“下一个头”字段值为4, 表示是 IP-in-IP 在ESP头前增加一个IP头，填写下列字段： 源IP地址取自源ESP节点的IP地址 目的IP地址从处理该数据报的SA中获取 协议号为50，代表是ESP 其它字段按常规方式填写 (2) 数据加密处理步骤 从SA中得到加密算法和密钥
第六讲
精品课件
1
一、基本概念
在网络环境下交换信息时，存在着信息被窃 取、篡改、重放和假冒等风险，必须采用数 据机密性、数据完整性和身份真实性等安全 机制来防范 这些安全机制通常采用安全协议来实现，使 通信各方能够遵循相同的安全协议 安全协议定义了网络安全系统结构、安全机 制、密码算法以及密码算法协商机制等