第7章IPSEC祥解.ppt

网络信息安全 第6章 IP层安全协议（IPsec) 7.1 基本概念 目前互联网采用的最基本协议是IP协议，它向其他运行在网络层或网络层之上的协议提供了数据传送服务。任何类型的数据都能通过这个基本而有效的传送机制得到传输服务，但是IP不能提供安全特性。在路由过程中，IP数据包可以被伪造、篡改或窥视。 现在在互联网应用领域已有许多与特定场合应用相关的安全服务，它们考虑的是特定应用系统的安全，如安全电子邮件（PGP，S/MIME）、网络中的认证（包括Kerberos, X.509)等。但是有时用户的某些需求会跨越协议层，如不允许对不可信站点的连接，可以对从自己网络发出的数据包加密，能对进入自己网络的数据报进行认证等，这些安全策略的实施都需要在IP层上进行。 IP层上的安全应该并且能够包含了以下安全服务：鉴别、必威体育官网网址性、密钥管理（防重放攻击） 鉴于对IP层上的安全性需求，因特网工程任务组（IETF）委托因特网协议安全协议工作组（IPSec）对IP安全协议和对应的因特网密钥管理协议进行标准化工作。主要目的是使有安全需求的用户能够使用相应的加密安全体制。IPSec工作组制定了目前的IP层的安全协议IPSec,它可以“无缝”地为IP引入安全特性。 IPSec是一组协议套件，套件内的各种协议通常称为“IPSec”，如鉴别首部AH（authentication header)、封装安全载荷ESP（encapsulating security payload)及Internet密钥交换IKE（Internet key exchange) AH协议为IP包提供信息源鉴别和数据完整性服务 ESP协议可以实现通信内容的必威体育官网网址性并可选地提供鉴别服务 IKE解决密钥的安全交换。 1985年，IETF的IPSec工作组发表了5个与安全相关的腿标准文件RFC1825-1829，这些文件主要对网络层的安全能力及应包含的特征进行定义。随后出台关于IPv6的RFC中定义IPv6必须支持这些安全特性，而在IPv4中这些安全特性是可选的。 1998年又陆续发布了一批RFC文档。这些文档可以分为7类。 IPSec的用途 保证因特网上各分支办公点的安全连接。公司可以借助因特网或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络，而只须依托因特网即可获得同样地效果。 保证因特网上远程访问的安全。在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。这一做法降低了流动办公人员及远距离工作者的长途电话费用。 通过外部网或内部网建立与合作伙伴的联系。IPSec通过认证和密钥交换机制确保企业与其他组织的信息往来的安全性和机密性。 提高了电子商务的安全性。尽管在电子商务的许多应用中已嵌入了一些安全协议， IPSec的使用仍然可以使其安全级别在原有的基础上更进一步，因为所有由网络管理员指定的通信都是认证和加密的。 IPSec的优点 如果在路由器或在防火墙上执行了IPSec，它将会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不增加与安全相关的费用。 IPSec在传输层下，对于应用程序来说是透明的。当在路由器或防火墙上实现IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端中执行IPSec，应用程序一类的上层软件也不会受影响。 IPSec对终端用户是透明的，因次不必对用户进行安全机制的培训 如果需要的话， IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。 IPSec的主要特征在于它对所有IP级的通信进行加密和认证，使得IPSec可以确保包括远程登陆、客户/服务器、电子邮件、文件传输及Web访问等在内的多种应用程序的安全，从而成为目前最易于扩展、最完整的一种网络安全方案。 7.1 IPSec安全体系结构 7.1.1 IPSec的功能 1、身份鉴别：即确保IP报文来源于合法的IP报文发送者，以防止伪造合法身份而对网络形成攻击。 2、数据完整性保护：IPSec通过此项功能以保证IP报文中的数据为发送方最初放在报文中的原始数据，以防止因接收到被篡改的报文而受到攻击。 3、数据的机密性保护：IPSec通过对IP报文实施一定的加密算法以防止信息被非法者窃取。 4、防重放攻击：即防止敌手截获已经过认证的IP数据报后实施重放攻击。 7.1.2 IPSec的体系结构 IPSec体系结构由一系列RFC文档定义，整个IPSec协议族的体系结构如图所示。 IPSec体系结构 7.1.3　安全关联（SA） 要进行安全通信，需采用身份鉴别和加密服务。所以通信的双方在通信之前需协商好采用那种安全协议、加密算法以及加密的密钥等问题。所谓的安全关联（ Security Association）就是通