[工学]3-3：网络安全协议-IP安全.ppt

Internet安全体系-IP安全 概述 Internet网络体系结构 概述 TCP/IP协议栈 概述 IETF的安全相关工作组 DNSSEC IPSec TLS SECSH WTS Internet安全协议 网络层－ IPSec协议 传输层－ SSL/TLS 应用层 S/MIME PGP PEM SET Kerberos SHTTP SSH 概述 Internet网络层安全 概述 Internet传输层安全 概述 Internet应用层安全 网络层安全－IPSec协议 IP协议 IP是TCP/IP协议族中至关重要的组成部分, 但它提供的是一种不可靠、无连接的数据报传输服务。 网络层安全－IPSec协议 用户数据经过协议栈的封装过程 网络层安全－IPSec协议 IPv4首部 网络层安全－IPSec协议 IPv4的缺陷 缺乏对通信双方身份真实性的鉴别能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及基于源地址的鉴别机制，IP层存在：业务流被监听和捕获、IP地址欺骗、信息泄漏和数据项篡改等攻击 网络层安全－IPSec协议 IPSec 在网络层提供身份鉴别、数据完整性和必威体育官网网址性服务，弥补IPv4在协议设计时缺乏安全性考虑的不足 对于应用层透明 是IPv6的主要组成部分 网络层安全－IPSec协议 IPSec的应用 IPSec为在局域网和Internet上的通讯提供安全性 IPSec的应用方式 端到端:主机到主机的安全通信 端到路由:主机到路由设备之间的安全通信 路由到路由:路由设备之间的安全通信，常用于在两个网络之间建立虚拟私有网（VPN） 网络层安全－IPSec协议 IPSec的优点 对应用和最终用户透明 在防火墙或路由器中实现时 可以防止IP旁路 可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担 需要时IPSec可以提供个人安全性 弥补IPv4在协议设计时缺乏安全性考虑的不足 网络层安全－IPSec协议 IPSec的内容 协议部分 AH: Authentication Header ESP: encapsulating security payload 密钥管理 SA： Security Association ISAKMP：定义了密钥管理框架 IKE是目前正式确定用于IPSec的密钥交换协议 网络层安全－IPSec协议 IPSec安全体系结构 网络层安全－IPSec协议 与IPSec相关的标准 网络层安全－IPSec协议 RFC 1825: An overview of a security architecture RFC 1826: Description of a packet authentication extension to IP RFC 1828: A specific authentication mechanism RFC 1827: Description of a packet encryption extension to IP RFC 1829: A specific encryption mechanism 网络层安全－IPSec协议 RFC 2401: Security architecture for the Internet Protocol RFC 2402: IP authentication header RFC 2406: IP encapsulating security payload (ESP)（封装安全有效载荷） RFC 2408: Internet security association and key management protocol …… 网络层安全－IPSec协议 IPSec提供的服务 IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。 网络层安全－IPSec协议 安全关联SA(Security Association) 一个安全关联就是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合，安全关联是发送与接收者之间的一个单向关系 SA管理 创建：先协商SA参数，再用SA更新SAD 删除：IPSec本身没提供更新密钥的能力，必须先删除现有的SA，再协商建立一个新的SA 网络层安全－IPSec协议 安全关联SA(Security Association) SAD：定义了SA参数 每个SA通过三个参数来标识spi,dst(src),protocol 安全参数索引SPI(Security Parameters Index) 对方IP地址 安全协议标识:AH or ESP 网络层安全－IPSec协议 安全关联SA(Securit