安全通讯协议SSL与IPSEC

实现安全通讯SSL协议、IPSEC协议原理与应用SSL协议的概述1、SSL(SecureSocketLayer)是Netscape公司设计的主要用于web的安全传输协议。2、IETF()将SSL作了标准化，即RFC2246,并将其称为TLS（TransportLayerSecurity），TLS1.0与SSL3.0差别很小。3、在WAP的环境下，由于手机处理和存储能力有限，wap论坛（）在TLS的基础上做了简化，提出了WTLS协议（WirelessTLS），以适应无线的特殊环境。SSL协议的位置SSL协议的位置SSL协议要求建立在可靠的传输层协议(如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，FTP，TELNET)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL协议的组成一、SSL协议的概述SSL协议包括两个子协议：SSL记录协议和SSL握手协议。SSLHandshakeProtocolSSLChangeCipherSpecProtocolSSLAlertProtocolHTTP,FTP…SSLRecordProtocolTCPIPSSL协议的组成6一、SSL协议的概述记录协议定义了要传输数据的格式，它位于一些可靠的的传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。7SSL握手协议一、SSL协议的概述在初次建立SSL连接时使用SSL记录协议交换一系列消息。为如下操作做准备：.客户机对服务器的认证。.客户机与服务器都支持的加密算法或密码。.服务器对客户的认证（可选）。.使用公钥加密技术生成共享密钥。.建立加密SSL连接。8主要工作流程四、SSL协议原理及工作流程①网络连接建立；②选择与该连接相关的加密和压缩方式；③双方的身份识别；④本次传输密钥的确定；⑤加密的数据传输；⑥网络连接的关闭。实例：用SSL建立安全加密网站演示。。。。。。。。IPSECIP安全（IPSecurity）简称为IPSec，是指IETF以RFC形式公布的一组IP安全协议集，其基本目的就是把安全机制引入IP协议，通过使用相应地密码学技术支持加密和认证服务，使用户能够有选择地使用并得到所期望的安全服务。IPSec是IETF在开发IPv6时为保证IP数据报安全而设计的，是IPv6协议的一个组成部分、是IPv4的可选项。IPSec可以向IPv4和IPv6提供互操作、基于密码的安全性。11IPSec安全体系结构如图所示是IPSec协议簇的体系结构，即IPSec协议簇中各个子协议及其相互关系，它已经成为工业标准的网络安全协议。IPSec体系结构认证头（AH协议）封装安全载荷（ESP协议）加密算法认证算法解释域（DOI）密钥管理（IKE协议）12IPSec的运行模式IPSec支持传输模式和隧道模式两种运行模式。（1）IPSec传输模式传输模式为上层协议提供安全保护，保护的是IP数据报的有效载荷(如TCP、UDP和ICMP)，如图所示通常情况下传输模式只用于两台主机之间的安全通信。原始IP报头TCP/UDP数据IPSec头受保护的内容图IPSec传输模式13（2）IPSec隧道模式隧道模式为整个IP数据报提供保护，如图所示。隧道模式首先为原始IP数据报增加IPSec头（AH或ESP字段），然后再在外部增加一个新的IP报头，这样原有的IP数据报就被有效地隐藏起来了。新IP报头TCP/UDP数据IPSec头受保护的内容原始IP报头图8-3IPSec隧道模式14IPSec安全协议IPSec是一个协议集，所定义的文件包括12个RFC文件和几十个Internet草案。下面就其中的AH协议、ESP协议和IKE协议三个基本协议进行简单介绍。1．认证头（AH）协议AH定义了认证的应用方法，提供数据源认证和完整性保证。AH的工作原理是在每一个数据报上添加一个身份认证报头。此报头包含一个带密钥的Hash散列函数,此Hash散列函数在整个数据报中计算，因此对数据的任何更改将致使散列无效.15认证头（AH）协议格式原始IP报头TCP/UDP数据IPSec（AH）头下一个报头有效载荷长度保留位安全参数索引(SPI)序列号认证数据（长度可变）图8-4AH报头格式162．封装安全载荷（ESP）协议ESP协议为IP数据报提供机密性、数据来源认证、无连接完整性检查。ESP的加密服务是可选项，但如果启用加密，也就同时选择了完整性检查和认证。ESP可以单独使用，也可以与AH结合使用。ESP数据报由ESP报头、ESP报尾及ESP认证数据组成，格式如下所示。17封装安全载荷（ESP）协议数据报格式原始IP报头TCP/UDP载荷数据IPSec（ESP)报头下一个报头填充长度填充（0-255字节）安全参数索引(SPI)序列号载荷数据（要保护的数据，长度可变）ESP报尾ESP认证认证数据（长度可变）ESP认证ESP报尾ESP报头加密范围认证范围图ESP数据报格式18密钥管理（IKE）协议在一个安全关联SA中，两个系统需要就如何交换和保护数据预先达成协议。IKE过程就是IETF标准的一种安全关联和密钥交换解析的方法。IKE为IPSec双方提供用于生成加密密钥和认证密钥的密钥信息。同样，IKE使用安全管理关联和密钥管理协议（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）为其它IPSec（AH和ESP）协议协商安全关联SA。19IPSec的工作过程IPSec的工作过程可以划分为以下5个步骤。1）IPSec过程启动：根据配置IPSec对等实体（如公司总部的路由器和分支机构的路由器）中的IPSec安全策略，指定所要加密的数据流，启动IKE过程。2）IKE阶段1：在该连接阶段，IKE认证IPSec对等实体，协商IKE安全关联（SA），并为协商IPSec安全关联的参数建立一个安全传输通道。3）IKE阶段2：IKE协商IPSec的SA参数，并在对等实体中建立与之匹配的IPSecSA。4）数据传送：根据存储在SA数据库中的IPSec参数和密钥，在IPSec对等实体间传送数据。5）IPSec隧道终止：通过删除或超时机制结束IPSecSA。20IPSec对发送数据包的处理过程如图所示。自动IKE协商处理策略？发送的数据包安全关联？协商成功？添加IPSec头添加IP报头，置于IP发送队列返回丢弃数据包，记录出错信息查询丢弃绕过不存在SA或SA无效应用IPSec存在有效SA是否图IPSec对发送数据包的处理流程21IPSec安全配置示例IPSec策略基于IP筛选器表和IP筛选器操作两个元素。1.创建IPSec筛选器表22添加IP筛选列表23设置筛选器属性242.创建基于筛选器列表的IPSec策略25新规则属性设置26新规则属性设置27身份验证设置