计算机网络安全第五章IP安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SA是单向的,进入SA负责处理接收到的IP数据报,外 出SA负责处理要发送的IP数据报。因此每个通信方必须要 有两个SA:一个进入SA,一个外出SA,这两个SA构成了 一个SA束(SA Bundle)。
5/9/2020
23
目录>>安全关联(SA)和安全策略(SP)
SA的管理
16 之 3
手工管理
SA的内容由管理员手工指定、手工维护,但是,手工 操作容易出错,而且手工建立的SA没有生存周期限制,除 非手工删除,因此有安全隐患。
路径MTU SA生存期
31
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 11
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
认证算法、密钥、密钥生存 期、以及与AH一起使用的其它 参数。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
5/9/2020
15
目录
7之3
IPSec安全体系结构
5/9/2020
ESP:封装安全载荷 AH :验证头 DOI:解释域
16
目录
7之4
IPSec的文档
Architecture RFC 2401
ESP RFC 2406
AH RFC 2402
DOI RFC 2407
IKE RFC 2409
ISAKMP RFC 2408
<SPI,源/目的IP地址,IPSec协议>
5/9/2020
25
目录>>安全关联(SA)和安全策略(SP)
16 之 5
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
安全参数索引。分配给这个SA 的一个位串并且只有本地有效,用 于标识同一个目的地的SA 。SPI在 AH和ESP报头中出现。
5/9/2020
22
目录>>安全关联(SA)和安全策略(SP)
SA的定义
16 之 2
SA是两个IPSec实体(主机、安全网关)之间经过协 商建立起来的一种约定,内容包括:采用何种IPSec协议 (AH?ESP?)、操作模式(传输模式?隧道模式?)、 验证算法、加密算法、加密密钥、密钥生存期、抗重放窗 口、计数器等,从而决定了保护什么?如何保护?谁来保 护?可以说SA是构成IPSec的基础。
路径MTU SA生存期
32
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 12
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
认证算法、密钥、密钥生存 期、以及与ESP一起使用的其它 参数。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
目前因特网占统治地位的是IPv4。IPv4在设 计之初没有考虑安全性,IP数据报本身并不具备 任何安全特性,导致在网络上传输的数据很容易 收到各式各样的攻击:业务流被监听和捕获、IP 地址欺骗、信息泄露和数据项篡改等。
5/9/2020
11
目录>>TCP/IP协议
3之2
IPv4首部
5/9/2020
12
Association and Management Protocol
17
目录
7之5
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放数据包 机密性(保密) 有限通信量机密性
5/9/2020
18
目录
7之6
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放包 保密性 有限保密性
16 之 7
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
表明是AH还是ESP的SA。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
29
目录>>安全关联(SA)和安全策略(SP)
16 之 9
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
5/9/2020
3
目录>>TCP/IP协议
5之2
图示
5/9/2020
4
5之3
OSI/RM和TCP/IP RM
5/9/2020
5
5之4
TCP/IP例子
5/9/2020
6
5之5
TCP/IP中的数据传输
5/9/2020
7
目录>>TCP/IP协议
3之1
网络层安全
5/9/2020
8
目录>>TCP/IP协议
2
目录>>TCP/IP协议
5之1
internet和Internet
internet(互联网或互连网)是一个通 用名词,它泛指由多个计算机网络互连而成 的虚拟网络。
Internet(因特网)是一个专用名词, 它特指当前全球最大的、开放的、由众多网 络相互连接而成的特定计算机网络,它采用 TCP/IP协议簇,且前身是美国的ARPANET。
安全关联数据库
16 之 10
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
用来确定一个输入的AH或 ESP数据包是否是一个重放包。 仅用于进入数据报。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
一个标志位,表明该序数计 数器是否溢出,如果是,将生成 一个审计事件,并禁止本SA的进 一步的IP数据报传送。
5/9/2020
ቤተ መጻሕፍቲ ባይዱ
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
30
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库(SAD)用于存储SA参数。
对于外出的流量,如果需要使用IPSec处理,然而 相应的SA不存在,则IPSec将启动IKE来协商出一 个SA,并存储到SAD中。对于进入的流量,如果 需要进行IPSec处理,IPSec将从IP数据报中得到三 元组,并利用这个三元组在SAD中查找一个SA。
每个SA由三元组唯一标识:
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
26
目录>>安全关联(SA)和安全策略(SP)
16 之 6
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
路径MTU SA生存期
36
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 16
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
一个SA最长能存在的时间, 超过该时间后,一个SA必须用一 个新的SA替换或终止,并指示发 生了哪种操作。
IPSec是IPv6的一个组成部分,也是IPv4的一 个可扩展协议。本课程只考虑IPv4情况。
5/9/2020
14
目录
7之2
IPSec的构成
两个通信协议 AH 和ESP。
两种操作模式 传输模式和隧道模式。
一个密钥交换管理协议 IKE。
两个数据库 安全策略数据库SPD和安全关联数据库SAD。
28
目录>>安全关联(SA)和安全策略(SP)
16 之 8
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
用于生成AH或ESP头中的序列 号域,仅用于外出数据报。32位, 刚开始通常为0,每次用SA来保护 一个IP数据报时增1,对方利用此 字段来检测重放攻击。在溢出之前, SA会重新进行协商。
IP安全
TCP/IP协议 IPSec概述 安全关联(SA)和安全策略(SP) 认证头(AH) 封装安全载荷 (ESP) Internet密钥交换协议(IKE) IPSec的实现
5/9/2020
1
目录
TCP/IP协议
Internet概述 Internet安全 IP层安全
5/9/2020
3之2
传输层安全
5/9/2020
9
目录>>TCP/IP协议
3之2
应用层安全
5/9/2020
10
目录>>TCP/IP协议
3之1
IP层安全
IP层的主要协议是IP协议,有两种版本的IP: IPv4和IPv6。IPv6是IPv4的后续版本,IPv6简化了 IP首部,其数据报更灵活,同时IPv6还增加了对安 全性的考虑。
传输模式、隧道模式或通配 模式(暗示可用于传输 / 隧道模 式)。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
35
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 15
(SAD)
5/9/2020
Oakly RFC 2412
➢ ESP:Encapsulating Security Payload
➢ AH:Authentication Header ➢ DOI:Domain Of Interpretation ➢ IKE:Internet Key Exchange ➢ ISAKMP:Internet Security
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
路径最大传输单元,是可测 量和可变化的,它是IP数据报经 过一个特定的从源主机到目的主 机的网络路由而无需分段的IP数 据报的最大长度。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
34
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 14
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
5/9/2020
AH ESP(加密) ESP(加密+认证)
19
目录
7之7
IPSec的实现
5/9/2020
20
目录
安全关联(SA)和 安全策略(SP)
安全关联(SA)
安全策略(SP)
5/9/2020
21
目录>>安全关联(SA)和安全策略(SP)
概述
16 之 1
理解SA这一概念对于理解IPSec至关重要。AH和ESP 协议都使用SA来保护通信,而IKE的主要功能就是在通信 双方协商SA。
目录>>TCP/IP协议
3之3
IPv6首部
5/9/2020
13
目录
7之1
IPSec概述
为加强因特网的安全性,从1995年开始, IETF着手研究制定了一套用于保护IP通信的IP安 全协议(IP Security,IPSec),目的是:为IPv4和 IPv6提供具有较强的互操作能力、高质量和基于 密码的安全功能,在IP层实现多种安全服务:访 问控制、数据完整性、数据源验证、抗重播、机 密性等。
IKE管理
一般来说,SA的自动建立和动态维护是通过IKE进行 的,SA有生存周期限制。如果安全策略要求建立安全、保 密的连接,但又不存在与该连接相应的SA,IPSec的内核 会立即启动IKE来协商SA。
5/9/2020
24
目录>>安全关联(SA)和安全策略(SP)
16 之 4
安全关联数据库
(SAD)
目前,只允许单播地址;用 于表示对方IP地址,对于外出流 量指目的IP地址,对于进入流量 指源IP地址。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
27
目录>>安全关联(SA)和安全策略(SP)
路径MTU SA生存期
33
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 13
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
ESP加密算法、密钥、初始 化向量(IV)和IV模式(ECB、 CBC、CFB和OFB)。
5/9/2020
5/9/2020
23
目录>>安全关联(SA)和安全策略(SP)
SA的管理
16 之 3
手工管理
SA的内容由管理员手工指定、手工维护,但是,手工 操作容易出错,而且手工建立的SA没有生存周期限制,除 非手工删除,因此有安全隐患。
路径MTU SA生存期
31
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 11
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
认证算法、密钥、密钥生存 期、以及与AH一起使用的其它 参数。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
5/9/2020
15
目录
7之3
IPSec安全体系结构
5/9/2020
ESP:封装安全载荷 AH :验证头 DOI:解释域
16
目录
7之4
IPSec的文档
Architecture RFC 2401
ESP RFC 2406
AH RFC 2402
DOI RFC 2407
IKE RFC 2409
ISAKMP RFC 2408
<SPI,源/目的IP地址,IPSec协议>
5/9/2020
25
目录>>安全关联(SA)和安全策略(SP)
16 之 5
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
安全参数索引。分配给这个SA 的一个位串并且只有本地有效,用 于标识同一个目的地的SA 。SPI在 AH和ESP报头中出现。
5/9/2020
22
目录>>安全关联(SA)和安全策略(SP)
SA的定义
16 之 2
SA是两个IPSec实体(主机、安全网关)之间经过协 商建立起来的一种约定,内容包括:采用何种IPSec协议 (AH?ESP?)、操作模式(传输模式?隧道模式?)、 验证算法、加密算法、加密密钥、密钥生存期、抗重放窗 口、计数器等,从而决定了保护什么?如何保护?谁来保 护?可以说SA是构成IPSec的基础。
路径MTU SA生存期
32
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 12
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
认证算法、密钥、密钥生存 期、以及与ESP一起使用的其它 参数。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
目前因特网占统治地位的是IPv4。IPv4在设 计之初没有考虑安全性,IP数据报本身并不具备 任何安全特性,导致在网络上传输的数据很容易 收到各式各样的攻击:业务流被监听和捕获、IP 地址欺骗、信息泄露和数据项篡改等。
5/9/2020
11
目录>>TCP/IP协议
3之2
IPv4首部
5/9/2020
12
Association and Management Protocol
17
目录
7之5
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放数据包 机密性(保密) 有限通信量机密性
5/9/2020
18
目录
7之6
IPSec的服务
访问控制 无连接完整性 数据源认证 拒绝重放包 保密性 有限保密性
16 之 7
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
表明是AH还是ESP的SA。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
29
目录>>安全关联(SA)和安全策略(SP)
16 之 9
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
5/9/2020
3
目录>>TCP/IP协议
5之2
图示
5/9/2020
4
5之3
OSI/RM和TCP/IP RM
5/9/2020
5
5之4
TCP/IP例子
5/9/2020
6
5之5
TCP/IP中的数据传输
5/9/2020
7
目录>>TCP/IP协议
3之1
网络层安全
5/9/2020
8
目录>>TCP/IP协议
2
目录>>TCP/IP协议
5之1
internet和Internet
internet(互联网或互连网)是一个通 用名词,它泛指由多个计算机网络互连而成 的虚拟网络。
Internet(因特网)是一个专用名词, 它特指当前全球最大的、开放的、由众多网 络相互连接而成的特定计算机网络,它采用 TCP/IP协议簇,且前身是美国的ARPANET。
安全关联数据库
16 之 10
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
用来确定一个输入的AH或 ESP数据包是否是一个重放包。 仅用于进入数据报。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
一个标志位,表明该序数计 数器是否溢出,如果是,将生成 一个审计事件,并禁止本SA的进 一步的IP数据报传送。
5/9/2020
ቤተ መጻሕፍቲ ባይዱ
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
30
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库(SAD)用于存储SA参数。
对于外出的流量,如果需要使用IPSec处理,然而 相应的SA不存在,则IPSec将启动IKE来协商出一 个SA,并存储到SAD中。对于进入的流量,如果 需要进行IPSec处理,IPSec将从IP数据报中得到三 元组,并利用这个三元组在SAD中查找一个SA。
每个SA由三元组唯一标识:
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
26
目录>>安全关联(SA)和安全策略(SP)
16 之 6
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
路径MTU SA生存期
36
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 16
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
一个SA最长能存在的时间, 超过该时间后,一个SA必须用一 个新的SA替换或终止,并指示发 生了哪种操作。
IPSec是IPv6的一个组成部分,也是IPv4的一 个可扩展协议。本课程只考虑IPv4情况。
5/9/2020
14
目录
7之2
IPSec的构成
两个通信协议 AH 和ESP。
两种操作模式 传输模式和隧道模式。
一个密钥交换管理协议 IKE。
两个数据库 安全策略数据库SPD和安全关联数据库SAD。
28
目录>>安全关联(SA)和安全策略(SP)
16 之 8
安全关联数据库
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
用于生成AH或ESP头中的序列 号域,仅用于外出数据报。32位, 刚开始通常为0,每次用SA来保护 一个IP数据报时增1,对方利用此 字段来检测重放攻击。在溢出之前, SA会重新进行协商。
IP安全
TCP/IP协议 IPSec概述 安全关联(SA)和安全策略(SP) 认证头(AH) 封装安全载荷 (ESP) Internet密钥交换协议(IKE) IPSec的实现
5/9/2020
1
目录
TCP/IP协议
Internet概述 Internet安全 IP层安全
5/9/2020
3之2
传输层安全
5/9/2020
9
目录>>TCP/IP协议
3之2
应用层安全
5/9/2020
10
目录>>TCP/IP协议
3之1
IP层安全
IP层的主要协议是IP协议,有两种版本的IP: IPv4和IPv6。IPv6是IPv4的后续版本,IPv6简化了 IP首部,其数据报更灵活,同时IPv6还增加了对安 全性的考虑。
传输模式、隧道模式或通配 模式(暗示可用于传输 / 隧道模 式)。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
35
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 15
(SAD)
5/9/2020
Oakly RFC 2412
➢ ESP:Encapsulating Security Payload
➢ AH:Authentication Header ➢ DOI:Domain Of Interpretation ➢ IKE:Internet Key Exchange ➢ ISAKMP:Internet Security
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
路径最大传输单元,是可测 量和可变化的,它是IP数据报经 过一个特定的从源主机到目的主 机的网络路由而无需分段的IP数 据报的最大长度。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
34
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 14
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
5/9/2020
AH ESP(加密) ESP(加密+认证)
19
目录
7之7
IPSec的实现
5/9/2020
20
目录
安全关联(SA)和 安全策略(SP)
安全关联(SA)
安全策略(SP)
5/9/2020
21
目录>>安全关联(SA)和安全策略(SP)
概述
16 之 1
理解SA这一概念对于理解IPSec至关重要。AH和ESP 协议都使用SA来保护通信,而IKE的主要功能就是在通信 双方协商SA。
目录>>TCP/IP协议
3之3
IPv6首部
5/9/2020
13
目录
7之1
IPSec概述
为加强因特网的安全性,从1995年开始, IETF着手研究制定了一套用于保护IP通信的IP安 全协议(IP Security,IPSec),目的是:为IPv4和 IPv6提供具有较强的互操作能力、高质量和基于 密码的安全功能,在IP层实现多种安全服务:访 问控制、数据完整性、数据源验证、抗重播、机 密性等。
IKE管理
一般来说,SA的自动建立和动态维护是通过IKE进行 的,SA有生存周期限制。如果安全策略要求建立安全、保 密的连接,但又不存在与该连接相应的SA,IPSec的内核 会立即启动IKE来协商SA。
5/9/2020
24
目录>>安全关联(SA)和安全策略(SP)
16 之 4
安全关联数据库
(SAD)
目前,只允许单播地址;用 于表示对方IP地址,对于外出流 量指目的IP地址,对于进入流量 指源IP地址。
5/9/2020
SA参数 序列号计数器 序列号溢出 抗重放窗口 AH认证信息 ESP认证信息 ESP加密信息 IPSec操作模式
路径MTU SA生存期
27
目录>>安全关联(SA)和安全策略(SP)
路径MTU SA生存期
33
目录>>安全关联(SA)和安全策略(SP)
安全关联数据库
16 之 13
(SAD)
SAD
SA1 SA2 …S…A3 SAn
SA标识符 SPI
源/目的IP地址 IPSec协议
ESP加密算法、密钥、初始 化向量(IV)和IV模式(ECB、 CBC、CFB和OFB)。
5/9/2020