371-寬頻網際網路網路安全IPSec機制探討.ppt

IP Security 大綱 前言 IP AH IP ESP 安全群組SA IPSec的金鑰交換與管理 結論 參考文獻 楊慶隆,“寬頻網際網路網路安全IPSec機制探討” 陳契憲,“IPSec的明日之星”,01 BYTE, Jan. 2000, pp94~99. 李逸元、洪李吉、蔡銘聰、李昆育,“IPSec系統應用於嵌入式系統之設計和實作”, 資訊安全通訊,第五卷第三期, June 1999, pp68~85. Dave Kosiur, “Building and Managing Virtual Private Networks”, wiley computer publishing, 1998. 李國熙、陳永旺,“電子商務與網路安全”, O’REILLY, 1999。 General IPSec RFCs: [1825, 2401, 2411, 2521, 2709, 2764] ESP, AH RFCs: [1826-187, 2402, 2406] Key Exchange RFCs: [2407-2409, 2412, 2367, 2522-2523] Cryptography RFCs: [1828-1829,2085, 2104, 2202, 2403-2405, 2410, 2451, 2393-2395] Internet Rosurces: /thml.charters/ipsec-charter.html .tw/faq/vpn/ipsec.html .tw/faq/vpn/SKIP.html /ism6222/Ipsec.html http://www.hsc.fr/veille/papier/papier.html.en /public/library/isakmp/ipsec.html 前言 IPSec是由IETF所提出的IP層通訊安全必威体育官网网址架構 第一版於1995年提出，包含AH與ESP封包轉換，但金鑰的交換與管理並未定義。 第二版於1998年11月提出，除了更新AH與ESP轉換的格式，還加上了自動金鑰轉換機制、金鑰管理架構，與身分認證及加密演算法。是目前必威体育精装版的版本。 OSI Layer 與 TCP/IP Layer 攻擊方式 大部分的攻擊方式包括︰ 假冒IP (IP Spoofing) 各種形態的竊聽 (eavesdropping) 封包察看 (Packet sniffing) IPSec Architecture IPSec之功能 IETF(Internet Engineering Task Force)著手訂定了一套開放標準網路安全協定IPSec(IP Security)，將密碼技術應用在網路層，以提供傳送、接收端做資料的認證(Authentication)、完整性(Integrity)、存取控制(Access Control)以及機密性(Confidentiality)等安全服務。 IPv4與IPv6: IPv4: 隨意的(Optional) IPv6: 強制的(Mandatory) IPSec之特色 IPSec並不是針對特定加解密演算法而設計，而是提出一個共同的基礎架構。因此如果有新的演算法可以很容易套用到IPSec上，非常具有彈性。 IPSec同時設計來必須保持透通性，即尚未升級為IPSec的IP通信系統也可以和IPSec系統共存而互通。 利用IPSec有三種主要應用方式： 在校園網路(campus network)上用來加密保全網路連線 透過Internet連結企業網路與分公司 個人經由Internet對公司區域做遠端存取。（即所謂的“端對端”IPSec形態，安裝有IPSec 軟體的用戶端機器，透過IP網路對伺服器建立起安全的通道。） IPSec主要是設計來達到網路層中端對端安全通訊的第三層協定。 其他協定 1. SSL (Secure Socket Layer) 專用於保全瀏覽器和網頁伺服器的網頁會談，而不是下層的IP連線本身。 可以在IPSec連線存在的環境下，同時在網頁程式上使用SSL。 2. PPTP (Point-to-Point Tunneling Protocol) 透過“苗條”密碼的安全性，來做到資料的通道傳輸。 它用了比IPSec更短的金鑰長度，破解起來也容易得多。 3. L2TP (Layer 2 Tunneling Protocol): 不限於服務IP通道 不但可傳達IPX，語音和視訊等多點傳播應用程式的資料也沒有問題。 提供使用者層次的認證 Microsoft現在結合L2TP和IPSec，因L2TP在VPN上包封資料交通必須仰賴強大的安全性。 IPSec vs SSL IPSec Network layer/IP Secure Host/Subnet