1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第8章 安全通信协议.pptVIP

信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第8章 安全通信协议.ppt

    1. 1、本文档共35页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多
    第8章安全通信协议 8.1 IP安全协议IPSec 最初设计TCP/IP协议族时,设计者根本没有考虑协议的安全,出现了各种各样的安全危机; Internet工程任务组IETF建立了一个Internet安全协议工作组(简称IETF IPSec工作组),负责IP安全协议和密钥管理机制的制定; 于1998年制定了一组基于密码学的安全的开放网络安全协议体系,总称为IP安全协议(IP security protocol,IPSec); IPSec体系结构 IPSec是一套协议包,而不是一个单独的协议; 在IPSec协议族中由3个主要的协议; IP认证包头(IP authentication header,AH),为IP包提供信息源的验证和完整性保证; IP封装安全负载(IP encapsulating security payload,ESP),提供加密保证; Internet密钥交换(Internet key exchange,IKE),提供双方交流时的共享安全信息; IPSec安全关联 所谓安全关联(SA)就是通信双方协商好的安全通信的构建方案,是通信双方共同协商签署的“协议”,即通信双方之间为了给需要受保护的数据流提供安全性服务而对某些要素的一种约定,如IPSec协议(AH、ESP)、协议的操作模式、密码算法、密钥及密钥的有效生存期等; SA是单向逻辑的,要么对数据包进行“入站”保护,要么“出站”保护; 例如,主机X和主机Y通信,需要建立如下4个SA。 安全关联数据库 当安全参数创建完毕之后,通信双方将安全参数保存在一个数据库中,该数据库称为安全关联数据库(security association database,SAD) ; 为处理进入和外出的数据包维持一个活动的SA列表; IPSec安全策略 安全策略决定了对数据包提供的安全服务,所有IPSec 实施方案的策略都保存在一个数据库中,这个数据库就是安全策略数据库(security policy database,SPD); IP包的外出和进入处理都要以安全策略为准。在进行IP包的处理过程中,系统要查阅SPD,并判断为这个包提供的安全服务有哪些; 进入或外出的每一个数据包,都有3种可能的选择:丢弃、绕过IPSec或应用IPSec。 IPSec模式 传输模式 保护的是IP分组的有效负载或者说保护的是上层协议(如TCP和UDP); 路由数据包的原IP分组的地址部分不变,而将IPSec协议头插入到原IP头部和传输层头部之间,只对IP分组的有效负载进行加密或认证 ; IPSec模式 隧道模式 隧道模式为整个IP分组提供保护; 在隧道模式中,IPSec先利用AH或ESP对IP分组进行认证或者加密,然后在IP分组外面再包上一个新IP头; 这个新IP头包含了两个IPSec对等体的IP地址,而不是初始源主机和目的主机的地址,该新IP头的目的指向隧道的终点,一般是通往内部网络的网关; 当数据包到达目的后,网关会先移除新IP头,再根据源IP头地址将数据包送到源IP分组的目的主机 ; IP认证包头 AH定义了认证的应用方法,提供数据源认证和完整性保证;ESP定义了加密和可选认证的应用方法,提供可靠性保证。在进行IP通信时,可以根据安全的实际需求同时使用这两种协议或选择使用其中的一种。IKE的作用是协助进行安全管理,它在IPSec 进行处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。 IP认证包头格式 下一个头(Next Header,8位):标识紧跟AH头部的下一个载荷的类型,也就是紧跟在AH头后部的数据协议。传输模式下,该字段是处于保护中的传输层协议的值,如“6“表示TCP、“17”表示UDP;在隧道模式下,AH所保护的是整个IP包,该值是4。 载荷长度(Payload Len,8位):AH包头长度。 保留(Reserved,16位):为将来的应用保留,(目前为0)。 安全参数索引(SPI,32位):与目的 IP 地址、IPSec协议一同组成三元组标识一个安全关联。 序列号(Sequence Number Field,32位):从1开始的32位单增序列号,不允许重复,唯一地标识每一个发送的数据包,为SA提供抗重发保护。接收端校验序列号为该字段值的数据包是否已经被接收过,若是,则拒收该数据包。 认证数据(Authentication Data,长度可变):一个可变长字段(必须是32位字的整数倍),用于填入对AH包中除验证数据字段外的数据进行完整性校验时的校验值。 IP封装安全负载 设计ESP的主要目的是提供IP数据包的安全性。ESP主要用来处理数据包的加密,对认证也提供某种程度的支持。也就是说,ESP能够为IP数据提供必威体育官网网址性、数据源验证、数据完整性以及抗

    您可能关注的文档

    最近下载

    文档评论(0)

    包包鼻祖 + 关注
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >