ip安全性與ipsec（簡(jiǎn)版）

《ip安全性與ipsec（簡(jiǎn)版）》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。

IP安全性與IPSec 引言IP級(jí)安全問(wèn)題涉及三個(gè)功能領(lǐng)域：認(rèn)證保密密鑰管理 IP安全性概要1994年IAB(InternetArchitectureBoard)發(fā)表一份報(bào)告“Internet體系結(jié)構(gòu)中的安全性”(RFC1636)保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，防止非授權(quán)用戶監(jiān)控網(wǎng)絡(luò)流量需要認(rèn)證和加密機(jī)制增強(qiáng)用戶-用戶通信流量。1997年CERT(ComputerEmergencyResponseTeam)年報(bào)表明2500安全事故影響了150000站點(diǎn)。IAB決定把認(rèn)證和加密作為下一代IP的必備安全特性（IPv6）幸運(yùn)的是，IPv4也可以實(shí)現(xiàn)這些安全特性。 IPSec的應(yīng)用IPSec提供對(duì)跨越LAN/WAN，Internet的通訊提供安全性分支辦公機(jī)構(gòu)通過(guò)Internet互連。(SecureVPN)通過(guò)Internet的遠(yuǎn)程訪問(wèn)。與合作伙伴建立extranet與intranet的互連。增強(qiáng)電子商務(wù)安全性。IPSec的主要特征是可以支持IP級(jí)所有流量的加密和/或認(rèn)證。因此可以增強(qiáng)所有分布式應(yīng)用的安全性。 IPSec的好處在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對(duì)所有跨越周界的流量實(shí)施強(qiáng)安全性。而公司內(nèi)部或工作組不必招致與安全相關(guān)處理的負(fù)擔(dān)。在防火墻中實(shí)現(xiàn)IPSec可以防止IP旁路。IPSec是在傳輸層(TCP,UDP)之下，因此對(duì)應(yīng)用透明。不必改變用戶或服務(wù)器系統(tǒng)上的軟件。IPSec可以對(duì)最終用戶透明。無(wú)須訓(xùn)練用戶。需要時(shí)IPSec可以提供個(gè)人安全性。這對(duì)非現(xiàn)場(chǎng)工作人員以及在一個(gè)組織內(nèi)為一個(gè)敏感應(yīng)用建立一個(gè)安全的虛擬子網(wǎng)是有用的。 路由應(yīng)用從一個(gè)授權(quán)的路由器廣播一個(gè)新路由的出現(xiàn)從一個(gè)授權(quán)的路由器廣播相鄰關(guān)系從一個(gè)發(fā)出初始包的路由器發(fā)出一個(gè)重定向消息一個(gè)路由更新不會(huì)被欺騙。 IP安全體系結(jié)構(gòu)RFC1825:AnoverviewofasecurityarchitectureRFC1826:DescriptionofapacketauthenticationextensiontoIPRFC1828:AspecificauthenticationmechanismRFC1827:DescriptionofapacketencryptionextensiontoIPRFC1829:Aspecificencryptionmechanism IPSec工作組織IETF設(shè)立的IPSecurityProtocolWorkingGroupArchitectureEncapsulatingSecurityPayload(ESP)AuthenticationHeader(AH)EncryptionAlgorithmAuthenticationAlgorithmKeyManagementDomainofInterpretation(DOI) 體系結(jié)構(gòu)ESP協(xié)議AH協(xié)議加密算法加密算法DOI密鑰管理 IPSec的主要目標(biāo)期望安全的用戶能夠使用基于密碼學(xué)的安全機(jī)制應(yīng)能同時(shí)適用與IPv4和IPv6,IPng.算法獨(dú)立有利于實(shí)現(xiàn)不同安全策略對(duì)沒(méi)有采用該機(jī)制的的用戶不會(huì)有副面影響 對(duì)上述特征的支持在IPv6中是強(qiáng)制的，在IPv4中是可選的。這兩種情況下都是采用在主IP報(bào)頭后面接續(xù)擴(kuò)展報(bào)頭的方法實(shí)現(xiàn)的。認(rèn)證的擴(kuò)展報(bào)頭稱為AH(AuthenticationHeader)加密的擴(kuò)展報(bào)頭稱為ESPheader(EncapsulatingSecurityPayload)體系結(jié)構(gòu)：包括總體概念，安全需求，定義，以及定義IPSec技術(shù)的機(jī)制；ESP：使用ESP進(jìn)行包加密的報(bào)文包格式和一般性問(wèn)題，以及，可選的認(rèn)證；AH：使用ESP進(jìn)行包加密的報(bào)文包格式和一般性問(wèn)題；加密算法：描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描述密鑰管理模式；DOI：其它相關(guān)文檔，批準(zhǔn)的加密和認(rèn)證算法標(biāo)識(shí)，以及運(yùn)行參數(shù)等； IPSec提供的服務(wù)IPSec在IP層提供安全服務(wù)，使得系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需任何加密密鑰。訪問(wèn)控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放數(shù)據(jù)包保密性（加密）有限信息流保密性 AHESP(僅加密）ESP(加密+認(rèn)證)??????????????訪問(wèn)控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放包保密性有限保密性 1、安全關(guān)聯(lián)SA(SecurityAssociation)SA是IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念。一個(gè)關(guān)聯(lián)就是發(fā)送與接收者之間的一個(gè)單向關(guān)系。如果需要一個(gè)對(duì)等關(guān)系，即雙向安全交換，則需要兩個(gè)SA。一個(gè)SA由一個(gè)Internet目的地址和一個(gè)安全變量SA索引SPI唯一標(biāo)識(shí)。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6頭和內(nèi)部擴(kuò)展頭（AH或ESP）中的SPI所唯一標(biāo)識(shí)的。 SA由三個(gè)參數(shù)唯一確定：SecurityParametersIndex(SPI)：安全變量索引。分配給這個(gè)SA的一個(gè)位串并且只有本地有效。SPI在AH和ESP報(bào)頭中出現(xiàn)，以使得接收系統(tǒng)選擇SA并在其下處理一個(gè)收到的報(bào)文。IP目的地址：目前，只允許單點(diǎn)傳送地址；這是該SA的目標(biāo)終點(diǎn)的地址，它可以是一個(gè)最終用戶系統(tǒng)或一個(gè)網(wǎng)絡(luò)系統(tǒng)如防火墻或路由器。安全協(xié)議標(biāo)識(shí)符：表明是AH還是ESP的SA SA的參數(shù)序數(shù)計(jì)數(shù)器：一個(gè)32位值用于生成AH或ESP頭中的序數(shù)字段；計(jì)數(shù)器溢出位：一個(gè)標(biāo)志位表明該序數(shù)計(jì)數(shù)器是否溢出，如果是，將生成一個(gè)審計(jì)事件，并禁止本SA的進(jìn)一步的包傳送。防回放窗口：用于確定一個(gè)入站的AH或ESP包是否是一個(gè)回放AH信息：認(rèn)證算法、密鑰、密鑰生存期、以及與AH一起使用的其它參數(shù)ESP信息：加密和認(rèn)證算法、密鑰、初始值、密鑰生存期、以及ESP一起使用的其它參數(shù)SA的生存期：一個(gè)時(shí)間間隔或字節(jié)記數(shù)，到時(shí)后一個(gè)SA必須用一個(gè)新的SA替換或終止，以及一個(gè)這些活動(dòng)發(fā)生的指示。IPSec協(xié)議模式：隧道、運(yùn)輸、統(tǒng)配符。通路MTU：任何遵從的最大傳送單位和老化變量 SA選擇符IP信息流與SA關(guān)聯(lián)的手段是通過(guò)安全策略數(shù)據(jù)庫(kù)SPD(SecurityPolicyDatabase)每一個(gè)SPD入口通過(guò)一組IP和更高層協(xié)議域值，稱為選擇符來(lái)定義。以下的選擇符確定SPD入口：目的IP地址：可以是單地址或多地址源地址：?jiǎn)蔚刂坊蚨嗟刂稶serID:操作系統(tǒng)中的用戶標(biāo)識(shí)。數(shù)據(jù)敏感級(jí)別：傳輸層協(xié)議：IPSec協(xié)議（AH,ESP,AH/ESP)源/目的端口服務(wù)類型(TOS) AuthenticationHeaderNextHeader(8bits)PayloadLength(8bits)Reserved(16bits)SecurityParametersIndex(32bits)SequenceNumberAuthenticationData(variable):一個(gè)變長(zhǎng)字段，包含ICV(IntegrityCheckValue)或MAC 窗口與回放攻擊檢測(cè)如果收到的包落在窗口中并且是新的，其MAC被檢查。如果該包已被認(rèn)證，則對(duì)應(yīng)的窗口項(xiàng)做標(biāo)記。如果接收包已到窗口右邊并且是新的，其MAC被檢查。如果該包一被認(rèn)證，窗口向前運(yùn)動(dòng)，讓該包的順序號(hào)成為窗口的右端，對(duì)應(yīng)的項(xiàng)做標(biāo)記。如果接收的包在窗口的左邊，或認(rèn)證失敗，該包被丟棄，并做審計(jì)事件記錄。 AH傳輸模式 AH隧道模式 封裝安全負(fù)載ESP格式算法3DES、RC5、IDEA、3IDEA、CAST、Blowfish ESP傳輸與隧道模式 加密的TCP會(huì)話兩個(gè)主機(jī)之間的加密 基于隧道方式的VPN加密隧道運(yùn)送IP信息流 ESP的傳輸模式 ESP的隧道模式 SA的組合傳輸鄰接循環(huán)嵌套 密鑰管理手工自動(dòng)模塊密鑰管理協(xié)議MKMP(IBM)簡(jiǎn)單Internet密鑰管理協(xié)議SKIP(SUN)Internet安全關(guān)聯(lián)密鑰管理協(xié)議ISAKMP(NSA)OAKLEY密鑰判定協(xié)議（HilarieOrman)