IP安全培训资料课件.ppt

6.4.1 IPSec的ESP 安全参数索引（32bit）：标识一个SA 序列号（32bit） ：一个单调递增计数器，防止重放攻击 载荷数据（长度可变）：被加密保护的传输层分段（传输模式）或IP包（隧道模式） 填充域：扩展ESP包到需要的长度 填充长度：标明填充域的长度 邻接报头（8bit）：通过标识载荷中的第一个报头来标识包含在载荷数据域中的数据类型 认证数据（长度可变）：包含完整性校验值（ICV） * 第三十页，共五十二页。 加密算法： 三重DES RC5 IDEA 三重IDEA CAST Blowfish 认证算法： HMAC-SHA-1-96 HMAC-MD5-96 加密和认证算法 * 第三十一页，共五十二页。 传输模式的ESP服务 加密机制以及可选的认证机制在两个主机之间直接实现 * 第三十二页，共五十二页。 隧道模式的ESP服务 利用隧道模式建立VPN 在安全网关处建立对每一个内部网络的隧道，适用于保护可信内部网络 * 第三十三页，共五十二页。 传输模式ESP（加密＋认证） 原始IP头未被加密，因此无法抵御基于最终目的端的流量分析 加密操作在两端主机处进行 1、源端加密（认证可选），组成IP包 2、将包路由到目的地，中间路由器检查和处理IP报头及明文扩展报头 3、目的节点检查和处理IP报头及明文扩展报头，并基于ESP报头的SPI解密，恢复原始IP包 * 第三十四页，共五十二页。 ESP的格式 * 第三十五页，共五十二页。 隧道模式ESP（加密＋认证） 原始IP头被加密，生成新IP头，能够抵御基于最终目的端的流量分析 加密操作在外部主机和安全网关或者安全网关之间进行，减少了内部主机的处理负担 1、源端加密（认证可选），生成新的IP报头，形成新的IP包 2、将包路由到目的防火墙，中间路由器检查和处理新IP报头和外部IP扩展报头 3、目的防火墙检查和处理新IP报头和外部IP扩展报头，并基于ESP报头的SPI解密，恢复原IP包 4、原IP包（内部包）在内部网络中路由到目的主机 * 第三十六页，共五十二页。 为什么需要SA组合 一个SA只能实施AH或ESP，不能同时实施 而一个特定的数据流可能同时需要主机间和安全网关间的IPSec服务 得到认证＋机密性，但是带有认证选项的ESP也可以具有该能力 认证应用于密文而不是明文，而且认证覆盖区域少 SA组合是SA序列 SA组合的好处：得到认证＋机密性 传输邻接：先加密再认证，即内部传输模式ESP（仅加密） ＋外部传输模式AH ，认证机制可以覆盖更多的IP头中的域 传输-隧道束：先认证再加密，即内部传输模式AH＋外部隧道模式ESP，认证原始数据并经过加密 6.5 SA组合 * 第三十七页，共五十二页。 * * 网络与信息安全 IP安全 陈宇峰 湖北汽车工业学院 电气与信息工程学院 Email： * 第一页，共五十二页。 TCP/IP协议栈 * 第二页，共五十二页。 TCP/IP配置实例 * 第三页，共五十二页。 TCP/IP协议栈封装过程 * 第四页，共五十二页。 IPv4报头 版本（4bit）：版本号，值为4 首部长度（4bit）：以32bit为单位的首部长度 服务类型（8bit）：指明相对优先级，如最小延迟、最大吞吐量、最高可靠性和最小费用等 总长度（16bit）：以字节为单位的整个IP包长度 标识符（16bit） ：IP包的序号 标志（3bit）：指明是否可分片 分片偏移量（13bit） * 第五页，共五十二页。 IPv4报头 寿命（TTL，8bit）：数据包可以经过的最多路由器数目，说明允许包在网络上存在多久 协议（8bit） ：指出更高一层的协议，如TCP 报头校验和（16bit） 源地址（32bit） 目的地址（32bit） 选项（可变长度）：设置一些选项 填充（可变长度）：保证包头的长度是32bit的整数倍 * 第六页，共五十二页。 缺乏对通信双方身份真实性的认证能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及缺乏基于源IP地址的认证机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击 IPv4的安全缺陷 * 第七页，共五十二页。 IPv6报头 版本（4bit）：版本号，值为6 通信量类型（8bit）：类型及优先级说明 流标号（20bit）：对请求特殊处理的包作标记 有效载荷长度（16bit）：以字节为单位的首部之后剩余部分的长度 * 第八页，共五十二页。 IPv6报头 Next Header（8bit） ：紧接着IPv6头下一个Header的类型 跳数限制（8bit）：即生存寿命TTL 源地址（128bit） 目的地址（128bit） * 第九页，共五十二页。 IPSec实现了在局域网、广域网和Internet