- 1、本文档共50页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第4讲 IP安全协议簇
安全协议与标准 第五章 IPsec 上节课回顾 PPP协议简介 PPTP协议简介 L2TP协议简介 第四章 IPsec协议簇 IPsec概述 AH协议 ESP协议 IKE协议 IPSec的若干问题 4.1 概述 4.1.1 IPsec产生的背景 IPv4的安全性缺陷 缺乏对通信双方身份真实性的鉴别能力; 缺乏对传输数据的完整性和机密性保护的机制; 由于IP地址可软件配置以及没有基于源IP地址的鉴别机制,IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击; IPsec正是为了弥补上述缺陷,为IP层及其上层协议提供保护而设计的. 4.1 概述 4.1.1 IPsec产生的背景 IPSeC(IPSeCurty Protcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。 1994年IAB(Internet Architecture Board)发表一份报告“Internet体系结构中的安全性”(RFC1636) 保护网络基础设施,防止非授权用户监控网络流量 需要认证和加密机制增强用户-用户通信流量的安全性。 IAB决定把认证和加密作为下一代IP的必备安全特性(IPv6) 幸运的是,IPv4也可以实现这些安全特性。 4.1 概述 4.1.2 IPsec发展概述 1995年IETF发表IPsec的5个相关标准:RFC1825 – 1829 1998年IETF发表RFC2401 – 2412 2004年IETF发表RFC3664、RFC3686、RFC3715、RFC3884,对已有的标准进行了补充 2004年9月IETF发表了INTERNET草案ESP、IKEv2、和IP安全体系结构,10月发表IP认证头草案 4.1 概述 4.1.2 IPsec发展概述 IPsec必威体育精装版版本的文档分类 Architecture:RFC4301, Security architecture for the Internet Protocol( 升级至rfc6040) Authentication Header(AH):RFC4302,IP Authentication Header. 现已不用,其功能由ESP所替代 Internet Key Exchange(IKE): 主要是RFC4306,Internet Key Exchange(IKEv2) Protocol(已由rfc5996替代) Cryptographic algorithm:包括大量相关文档 Other: 大量与IPsec有关的RFC文档 4.1 概述 4.1.3 IPsec的设计目标及功能 设计目标是为IPv4和IPv6提供可互操作的、高质量的、基于密码学的安全性保护。 工作在IP层,保护IP层及其上层协议 提供多种安全服务 具有较好的安全一致性、共享性及应用范围。 4.1 概述 4.1.3 IPsec的设计目标及功能 RFC4301列出下列服务: 访问控制(Access control) 无连接的完整性(Connectionless integrity) 数据源认证(Data origin authentication) 抗重放攻击(Rejection of replayed packets) 机密性(Confidentiality) 有限的数据流机密性(Limited traffic flow confidentiality) 4.1 概述 下表表明AH和ESP协议提供什么服务。 4.1 概述 4.1.4 IPsec的体系结构 如下页图所示,IPsec体系结构由RFC2401所描述。 体系结构文档描述了IPsec的工作原理、系统组成以及各组件是如何协同工作提供上述安全服务的。 从目前来看,AH、ESP、IKE是IPsec保护TCP/IP协议簇安全的主要协议。 4.1 概述 4.1 概述 4.1.5 IPSec的应用 IPSec对跨越LAN/WAN,Internet的通讯提供安全性 (1)分支办公机构通过Internet互连。(Secure VPN) (2)通过Internet的远程访问。 (3)与合作伙伴建立企业间联网和的企业内联网接入。 (4)增强电子商务安全性。 IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。应用情形如图所示: 4.1 概述 4.1 概述 4.1.6 IPSec的优势 在防火墙或路由器中实现时,可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担。 在防火墙中实现IPSec可以防止IP旁路。 IPSec
文档评论(0)