计算机网络安全第五章(IP安全)

死之镰刀
1 ℃
2019-10-01

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

10/2/201912:58:34PM1/91IP安全TCP/IP协议IPSec概述安全关联(SA)和安全策略(SP)认证头(AH)封装安全载荷(ESP)Internet密钥交换协议(IKE)IPSec的实现10/2/201912:58:34PM2/91TCP/IP协议Internet概述Internet安全IP层安全目录10/2/201912:58:34PM3/91internet和Internetinternet（互联网或互连网）是一个通用名词，它泛指由多个计算机网络互连而成的虚拟网络。Internet（因特网）是一个专用名词，它特指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络，它采用TCP/IP协议簇，且前身是美国的ARPANET。目录TCP/IP协议5之110/2/201912:58:34PM4/91图示目录TCP/IP协议5之25之3OSI/RM和TCP/IPRM5之4TCP/IP例子5之5TCP/IP中的数据传输10/2/201912:58:34PM8/91网络层安全目录TCP/IP协议3之110/2/201912:58:34PM9/91传输层安全目录TCP/IP协议3之210/2/201912:58:34PM10/91应用层安全目录TCP/IP协议3之210/2/201912:58:34PM11/91IP层安全IP层的主要协议是IP协议，有两种版本的IP：IPv4和IPv6。IPv6是IPv4的后续版本，IPv6简化了IP首部，其数据报更灵活，同时IPv6还增加了对安全性的考虑。目前因特网占统治地位的是IPv4。IPv4在设计之初没有考虑安全性，IP数据报本身并不具备任何安全特性，导致在网络上传输的数据很容易收到各式各样的攻击：业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等。目录TCP/IP协议3之110/2/201912:58:34PM12/91IPv4首部目录TCP/IP协议3之210/2/201912:58:34PM13/91IPv6首部目录TCP/IP协议3之310/2/201912:58:34PM14/91IPSec概述目录为加强因特网的安全性，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IP安全协议（IPSecurity,IPSec），目的是：为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务：访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec是IPv6的一个组成部分，也是IPv4的一个可扩展协议。本课程只考虑IPv4情况。7之110/2/201912:58:34PM15/91IPSec的构成目录两个通信协议AH和ESP。两种操作模式传输模式和隧道模式。一个密钥交换管理协议IKE。两个数据库安全策略数据库SPD和安全关联数据库SAD。7之210/2/201912:58:34PM16/91IPSec安全体系结构目录ESP:封装安全载荷AH:验证头DOI:解释域7之310/2/201912:58:34PM17/91IPSec的文档目录ArchitectureRFC2401AHRFC2402ESPRFC2406DOIRFC2407ISAKMPRFC2408OaklyRFC2412IKERFC2409ESP:EncapsulatingSecurityPayloadAH:AuthenticationHeaderDOI:DomainOfInterpretationIKE:InternetKeyExchangeISAKMP:InternetSecurityAssociationandManagementProtocol7之410/2/201912:58:34PM18/91IPSec的服务目录访问控制无连接完整性数据源认证拒绝重放数据包机密性（保密）有限通信量机密性7之510/2/201912:58:34PM19/91IPSec的服务目录AHESP(加密)ESP(加密+认证)访问控制无连接完整性数据源认证拒绝重放包保密性有限保密性7之610/2/201912:58:34PM20/91IPSec的实现目录7之710/2/201912:58:34PM21/91安全关联(SA)和安全策略(SP)目录安全关联（SA）安全策略（SP）10/2/201912:58:34PM22/91概述目录安全关联(SA)和安全策略(SP)理解SA这一概念对于理解IPSec至关重要。AH和ESP协议都使用SA来保护通信，而IKE的主要功能就是在通信双方协商SA。16之110/2/201912:58:34PM23/91SA的定义目录安全关联(SA)和安全策略(SP)SA是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种约定，内容包括：采用何种IPSec协议（AH？ESP？）、操作模式（传输模式？隧道模式？）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么？如何保护？谁来保护？可以说SA是构成IPSec的基础。SA是单向的，进入SA负责处理接收到的IP数据报，外出SA负责处理要发送的IP数据报。因此每个通信方必须要有两个SA：一个进入SA，一个外出SA，这两个SA构成了一个SA束（SABundle）。16之210/2/201912:58:34PM24/91SA的管理目录安全关联(SA)和安全策略(SP)16之3手工管理SA的内容由管理员手工指定、手工维护，但是，手工操作容易出错，而且手工建立的SA没有生存周期限制，除非手工删除，因此有安全隐患。IKE管理一般来说，SA的自动建立和动态维护是通过IKE进行的，SA有生存周期限制。如果安全策略要求建立安全、保密的连接，但又不存在与该连接相应的SA，IPSec的内核会立即启动IKE来协商SA。10/2/201912:58:34PM25/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)16之4安全关联数据库（SAD）用于存储SA参数。对于外出的流量，如果需要使用IPSec处理，然而相应的SA不存在，则IPSec将启动IKE来协商出一个SA，并存储到SAD中。对于进入的流量，如果需要进行IPSec处理，IPSec将从IP数据报中得到三元组，并利用这个三元组在SAD中查找一个SA。每个SA由三元组唯一标识：SPI，源/目的IP地址，IPSec协议10/2/201912:58:34PM26/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数安全参数索引。分配给这个SA的一个位串并且只有本地有效，用于标识同一个目的地的SA。SPI在AH和ESP报头中出现。16之5SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM27/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数目前，只允许单播地址；用于表示对方IP地址，对于外出流量指目的IP地址，对于进入流量指源IP地址。16之6SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM28/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1SPI源/目的IP地址IPSec协议序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA标识符SA参数表明是AH还是ESP的SA。16之710/2/201912:58:34PM29/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数用于生成AH或ESP头中的序列号域，仅用于外出数据报。32位，刚开始通常为0，每次用SA来保护一个IP数据报时增1，对方利用此字段来检测重放攻击。在溢出之前，SA会重新进行协商。16之8SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM30/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数一个标志位，表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的进一步的IP数据报传送。16之9SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM31/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数用来确定一个输入的AH或ESP数据包是否是一个重放包。仅用于进入数据报。16之10SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM32/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数认证算法、密钥、密钥生存期、以及与AH一起使用的其它参数。16之11SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM33/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数认证算法、密钥、密钥生存期、以及与ESP一起使用的其它参数。16之12SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM34/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数ESP加密算法、密钥、初始化向量（IV）和IV模式（ECB、CBC、CFB和OFB）。16之13SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM35/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数传输模式、隧道模式或通配模式（暗示可用于传输/隧道模式）。16之14SPI源/目的IP地址IPSec协议SA标识符10/2/201912:58:34PM36/91安全关联数据库（SAD）目录安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数路径最大传输单元，是可测量和可变化的，它是IP数据报经过一个特定的从源主机到目的主机的网络路由而无需分段的IP数据报的最大长度。16之15SPI源/目的IP地址IPSec协议SA标识符10/2/2