IP安全性與IPSec簡(jiǎn)版(1)ppt課件

1、IP平安性與IPSec引言IP級(jí)平安問(wèn)題涉及三個(gè)功能領(lǐng)域：認(rèn)證嚴(yán)密密鑰管理IP平安性概要1994年IAB(Internet Architecture Board)發(fā)表一份報(bào)告“Internet體系構(gòu)造中的平安性(RFC1636)維護(hù)網(wǎng)絡(luò)根底設(shè)備，防止非授權(quán)用戶監(jiān)控網(wǎng)絡(luò)流量需求認(rèn)證和加密機(jī)制加強(qiáng)用戶-用戶通訊流量。1997年CERT(Computer Emergency Response Team)年報(bào)闡明2500平安事故影響了150000站點(diǎn)。IAB決議把認(rèn)證和加密作為下一代IP的必備平安特性IPv6僥幸的是，IPv4也可以實(shí)現(xiàn)這些平安特性。IPSec的運(yùn)用IPSec提供對(duì)跨越LAN/WAN，

2、Internet的通訊提供平安性分支辦公機(jī)構(gòu)經(jīng)過(guò)Internet互連。(Secure VPN)經(jīng)過(guò)Internet的遠(yuǎn)程訪問(wèn)。與協(xié)作同伴建立extranet與intranet的互連。加強(qiáng)電子商務(wù)平安性。IPSec的主要特征是可以支持IP級(jí)一切流量的加密和/或認(rèn)證。因此可以加強(qiáng)一切分布式運(yùn)用的平安性。IPSec的益處在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對(duì)一切跨越周界的流量實(shí)施強(qiáng)平安性。而公司內(nèi)部或任務(wù)組不用招致與平安相關(guān)處置的負(fù)擔(dān)。在防火墻中實(shí)現(xiàn)IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對(duì)運(yùn)用透明。不用改動(dòng)用戶或效力器系統(tǒng)上的軟件。IPSec可以對(duì)最終用戶透明。無(wú)須訓(xùn)

3、練用戶。需求時(shí)IPSec可以提供個(gè)人平安性。這對(duì)非現(xiàn)場(chǎng)任務(wù)人員以及在一個(gè)組織內(nèi)為一個(gè)敏感運(yùn)用建立一個(gè)平安的虛擬子網(wǎng)是有用的。路由運(yùn)用從一個(gè)授權(quán)的路由器廣播一個(gè)新路由的出現(xiàn)從一個(gè)授權(quán)的路由器廣播相鄰關(guān)系從一個(gè)發(fā)出初始包的路由器發(fā)出一個(gè)重定向音訊一個(gè)路由更新不會(huì)被欺騙。IP平安體系構(gòu)造RFC 1825: An overview of a security architectureRFC 1826: Description of a packet authentication extension to IPRFC 1828: A specific authentication mechanismRF

4、C 1827: Description of a packet encryption extension to IPRFC 1829: A specific encryption mechanismIPSec 任務(wù)組織IETF設(shè)立的IP Security Protocol Working GroupArchitectureEncapsulating Security Payload(ESP)Authentication Header (AH)Encryption AlgorithmAuthentication AlgorithmKey ManagementDomain of Interpret

5、ation(DOI)體系構(gòu)造ESP協(xié)議AH協(xié)議加密算法加密算法DOI密鑰管理IPSec的主要目的期望平安的用戶可以運(yùn)用基于密碼學(xué)的平安機(jī)制應(yīng)能同時(shí)適用與IPv4和IPv6, IPng.算法獨(dú)立有利于實(shí)現(xiàn)不同平安戰(zhàn)略對(duì)沒有采用該機(jī)制的的用戶不會(huì)有副面影響對(duì)上述特征的支持在IPv6中是強(qiáng)迫的，在IPv4中是可選的。這兩種情況下都是采用在主IP報(bào)頭后面接續(xù)擴(kuò)展報(bào)頭的方法實(shí)現(xiàn)的。認(rèn)證的擴(kuò)展報(bào)頭稱為AH(Authentication Header)加密的擴(kuò)展報(bào)頭稱為ESP header (Encapsulating Security Payload)體系構(gòu)造：包括總體概念，平安需求，定義，以及定義IPS

6、ec技術(shù)的 機(jī)制；ESP： 運(yùn)用ESP進(jìn)展包加密的報(bào)文包格式和普通性問(wèn)題，以及， 可選的認(rèn)證；AH： 運(yùn)用ESP進(jìn)展包加密的報(bào)文包格式和普通性問(wèn)題；加密算法：描畫將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描畫將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描畫密鑰管理方式；DOI： 其它相關(guān)文檔，同意的加密和認(rèn)證算法標(biāo)識(shí)，以及運(yùn)轉(zhuǎn)參數(shù) 等；IPSec提供的效力IPSec在IP層提供平安效力，使得系統(tǒng)可以選擇所需求的平安協(xié)議，確定該效力所用的算法，并提供平安效力所需任何加密密鑰。訪問(wèn)控制銜接完好性數(shù)據(jù)源認(rèn)證回絕重放數(shù)據(jù)包嚴(yán)密性加密有限信息流嚴(yán)密性AHESP(僅加密ESP(加密+

7、認(rèn)證) 訪問(wèn)控制銜接完好性數(shù)據(jù)源認(rèn)證回絕重放包嚴(yán)密性有限嚴(yán)密性1、平安關(guān)聯(lián)SA(Security Association)SA是IP認(rèn)證和嚴(yán)密機(jī)制中最關(guān)鍵的概念。一個(gè)關(guān)聯(lián)就是發(fā)送與接納者之間的一個(gè)單向關(guān)系。假設(shè)需求一個(gè)對(duì)等關(guān)系，即雙向平安交換，那么需求兩個(gè)SA。一個(gè)SA由一個(gè)Internet目的地址和一個(gè)平安變量SA索引SPI獨(dú)一標(biāo)識(shí)。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6頭和內(nèi)部擴(kuò)展頭AH或ESP中的SPI所獨(dú)一標(biāo)識(shí)的。SA由三個(gè)參數(shù)獨(dú)一確定：Security Parameters Index(SPI)：平安變量索引。分配給這個(gè)SA的一個(gè)位串并且只需本地有效。SPI在AH

8、和ESP報(bào)頭中出現(xiàn)，以使得接納系統(tǒng)選擇SA并在其下處置一個(gè)收到的報(bào)文。IP目的地址：目前，只允許單點(diǎn)傳送地址；這是該SA的目的終點(diǎn)的地址，它可以是一個(gè)最終用戶系統(tǒng)或一個(gè)網(wǎng)絡(luò)系統(tǒng)如防火墻或路由器。平安協(xié)議標(biāo)識(shí)符：闡明是AH還是ESP的SASA的參數(shù)序數(shù)計(jì)數(shù)器：一個(gè)32位值用于生成AH或ESP頭中的序數(shù)字段；計(jì)數(shù)器溢出位：一個(gè)標(biāo)志位闡明該序數(shù)計(jì)數(shù)器能否溢出，假設(shè)是，將生成一個(gè)審計(jì)事件，并制止本SA的進(jìn)一步的包傳送。防回放窗口：用于確定一個(gè)入站的AH或ESP包能否是一個(gè)回放AH信息：認(rèn)證算法、密鑰、密鑰生存期、以及與AH一同運(yùn)用的其它參數(shù)ESP信息：加密和認(rèn)證算法、密鑰、初始值、密鑰生存期、以及ES

9、P一同運(yùn)用的其它參數(shù)SA的生存期：一個(gè)時(shí)間間隔或字節(jié)記數(shù)，到時(shí)后一個(gè)SA必需用一個(gè)新的SA交換或終止，以及一個(gè)這些活動(dòng)發(fā)生的指示。IPSec協(xié)議方式：隧道、運(yùn)輸、統(tǒng)配符。通路MTU：任何服從的最大傳送單位和老化變量SA選擇符IP信息流與SA關(guān)聯(lián)的手段是經(jīng)過(guò)平安戰(zhàn)略數(shù)據(jù)庫(kù)SPD(Security Policy Database)每一個(gè)SPD入口經(jīng)過(guò)一組IP和更高層協(xié)議域值，稱為選擇符來(lái)定義。以下的選擇符確定SPD入口：目的IP地址：可以是單地址或多地址源地址：?jiǎn)蔚刂坊蚨嗟刂稶serID: 操作系統(tǒng)中的用戶標(biāo)識(shí)。數(shù)據(jù)敏感級(jí)別：傳輸層協(xié)議：IPSec協(xié)議AH, ESP, AH/ESP)源/目的端口效

10、力類型(TOS)Authentication HeaderNext Header(8bits)Payload Length(8bits)Reserved (16bits)Security Parameters Index(32bits)Sequence NumberAuthentication Data(variable):一個(gè)變長(zhǎng)字段，包含ICV(Integrity Check Value) 或 MAC窗口與回放攻擊檢測(cè)假設(shè)收到的包落在窗口中并且是新的，其MAC被檢查。假設(shè)該包已被認(rèn)證，那么對(duì)應(yīng)的窗口項(xiàng)做標(biāo)志。假設(shè)接納包已到窗口右邊并且是新的，其MAC被檢查。假設(shè)該包一被認(rèn)證，窗口向前運(yùn)動(dòng)，讓該包的順序號(hào)成為窗口的右端，對(duì)應(yīng)的項(xiàng)做標(biāo)志。假設(shè)接納的包在窗口的左邊，或認(rèn)證失敗，該包被丟棄，并做審計(jì)事件記錄。AH傳輸方式AH隧道方式封裝平安負(fù)載ESP格式算法3DES、RC5、IDEA、3IDEA、CAST、BlowfishESP傳輸與隧道方式加密的TCP會(huì)話