Sec协议.pptx

IP安全协议IPSec;IPSec在协议栈中的位置;IPSec提供的安全性服务;主要内容;一、IPSec体系结构 ;二、IPSec安全关联;安全关联SA通过一个三元组（安全参数索引SPI、目的IP地址和安全协议AH或ESP）来唯一标识。 实现IPsec必须维护这两个数据库： 安全策略数据库（SPD）：对所有出/入业务应采取的安全策略 安全关联数据库(SAD)：为进入和外出包处理维持一个活动的SA列表 ;安全关联数据库 ;三、IPSec安全策略;TCP层的数据包;四、IPSec模式;IPSec模式;五、IP认证包头 ;AH报头结构 ;（1）下一个头（Next Header）：8位，标识下一个使用IP协议号的报头类型，其取值在RFC1700中定义。 （2）载荷长度（Payload Length）：8位，表示以32位为单位的AH头的长度。 （3）保留（Reserved）：16位，供将来使用。值为0。 （4）安全参数索引（Security Parameters Index，SPI）：这是一个为数据报识别安全关联SA的32位伪随机值。 ???5）序列号（Sequence Number）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。 （6）认证数据（Authentication Data，AD）：长度可变，但必须是32位的整数倍，默认长度为96位。包含了数据包的完整性校验值ICV。;2. AH工作模式;AH传输模式：;AH隧道模式 ;六、IP封装安全负载 ;1.ESP数据包格式 ;1. ESP数据包格式 ;ESP包格式;2.ESP工作模式 ;ESP传输模式 ;ESP隧道模式 ;;七、IPSec密钥管理 ;八、IPSec应用实例 ;IPSec应用实例 ;基于IPsec的VPN