資源描述:
《IP安全性與IPSec(簡(jiǎn)》由會(huì)員上傳分享����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1��、IP安全性與IPSec引言IP級(jí)安全問(wèn)題涉及三個(gè)功能領(lǐng)域:認(rèn)證保密密鑰管理IP安全性概要1994年IAB(InternetArchitectureBoard)發(fā)表一份報(bào)告“Internet體系結(jié)構(gòu)中的安全性”(RFC1636)保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施�,防止非授權(quán)用戶監(jiān)控網(wǎng)絡(luò)流量需要認(rèn)證和加密機(jī)制增強(qiáng)用戶-用戶通信流量。1997年CERT(ComputerEmergencyResponseTeam)年報(bào)表明2500安全事故影響了150000站點(diǎn)�����。IAB決定把認(rèn)證和加密作為下一代IP的必備安全特性(IPv6)幸運(yùn)的是���,IPv4也可以實(shí)現(xiàn)這
2�、些安全特性�。IPSec的應(yīng)用IPSec提供對(duì)跨越LAN/WAN,Internet的通訊提供安全性分支辦公機(jī)構(gòu)通過(guò)Internet互連�。(SecureVPN)通過(guò)Internet的遠(yuǎn)程訪問(wèn)。與合作伙伴建立extranet與intranet的互連��。增強(qiáng)電子商務(wù)安全性�����。IPSec的主要特征是可以支持IP級(jí)所有流量的加密和/或認(rèn)證����。因此可以增強(qiáng)所有分布式應(yīng)用的安全性����。IPSec的好處在防火墻或路由器中實(shí)現(xiàn)時(shí)����,可以對(duì)所有跨越周界的流量實(shí)施強(qiáng)安全性。而公司內(nèi)部或工作組不必招致與安全相關(guān)處理的負(fù)擔(dān)�。在防火墻中實(shí)現(xiàn)IPSec可以防止IP旁路。
3���、IPSec是在傳輸層(TCP,UDP)之下��,因此對(duì)應(yīng)用透明����。不必改變用戶或服務(wù)器系統(tǒng)上的軟件�。IPSec可以對(duì)最終用戶透明。無(wú)須訓(xùn)練用戶�����。需要時(shí)IPSec可以提供個(gè)人安全性���。這對(duì)非現(xiàn)場(chǎng)工作人員以及在一個(gè)組織內(nèi)為一個(gè)敏感應(yīng)用建立一個(gè)安全的虛擬子網(wǎng)是有用的����。路由應(yīng)用從一個(gè)授權(quán)的路由器廣播一個(gè)新路由的出現(xiàn)從一個(gè)授權(quán)的路由器廣播相鄰關(guān)系從一個(gè)發(fā)出初始包的路由器發(fā)出一個(gè)重定向消息一個(gè)路由更新不會(huì)被欺騙���。IP安全體系結(jié)構(gòu)RFC1825:AnoverviewofasecurityarchitectureRFC1826:Description
4�、ofapacketauthenticationextensiontoIPRFC1828:AspecificauthenticationmechanismRFC1827:DescriptionofapacketencryptionextensiontoIPRFC1829:AspecificencryptionmechanismIPSec工作組織IETF設(shè)立的IPSecurityProtocolWorkingGroupArchitectureEncapsulatingSecurityPayload(ESP)Authenticati
5�、onHeader(AH)EncryptionAlgorithmAuthenticationAlgorithmKeyManagementDomainofInterpretation(DOI)體系結(jié)構(gòu)ESP協(xié)議AH協(xié)議加密算法加密算法DOI密鑰管理IPSec的主要目標(biāo)期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制應(yīng)能同時(shí)適用與IPv4和IPv6,IPng.算法獨(dú)立有利于實(shí)現(xiàn)不同安全策略對(duì)沒(méi)有采用該機(jī)制的的用戶不會(huì)有副面影響對(duì)上述特征的支持在IPv6中是強(qiáng)制的,在IPv4中是可選的��。這兩種情況下都是采用在主IP報(bào)頭后面接續(xù)擴(kuò)展報(bào)頭的方法
6��、實(shí)現(xiàn)的��。認(rèn)證的擴(kuò)展報(bào)頭稱為AH(AuthenticationHeader)加密的擴(kuò)展報(bào)頭稱為ESPheader(EncapsulatingSecurityPayload)體系結(jié)構(gòu):包括總體概念���,安全需求�,定義���,以及定義IPSec技術(shù)的機(jī)制��;ESP:使用ESP進(jìn)行包加密的報(bào)文包格式和一般性問(wèn)題���,以及�,可選的認(rèn)證��;AH:使用ESP進(jìn)行包加密的報(bào)文包格式和一般性問(wèn)題��;加密算法:描述將各種不同加密算法用于ESP的文檔�����;認(rèn)證算法:描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔�;密鑰管理:描述密鑰管理模式;DOI:其它相關(guān)文檔�����,批
7�、準(zhǔn)的加密和認(rèn)證算法標(biāo)識(shí),以及運(yùn)行參數(shù)等����;IPSec提供的服務(wù)IPSec在IP層提供安全服務(wù),使得系統(tǒng)可以選擇所需要的安全協(xié)議�����,確定該服務(wù)所用的算法,并提供安全服務(wù)所需任何加密密鑰�。訪問(wèn)控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放數(shù)據(jù)包保密性(加密)有限信息流保密性AHESP(僅加密)ESP(加密+認(rèn)證)??????????????訪問(wèn)控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放包保密性有限保密性1、安全關(guān)聯(lián)SA(SecurityAssociation)SA是IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念�。一個(gè)關(guān)聯(lián)就是發(fā)送與接收者之間的一個(gè)單向關(guān)系����。如果需要一個(gè)對(duì)等
8、關(guān)系���,即雙向安全交換����,則需要兩個(gè)SA��。一個(gè)SA由一個(gè)Internet目的地址和一個(gè)安全變量SA索引SPI唯一標(biāo)識(shí)�。因此,任何IP包中��,SA是由IPv4中的目的地址或IPv6頭和內(nèi)部擴(kuò)展頭(AH或ESP)中的SPI所唯一標(biāo)識(shí)的���。SA由三個(gè)參數(shù)唯一確定:SecurityParam
