网络与信息安全IP安全.pptx

;TCP/IP协议栈;TCP/IP配置实例;TCP/IP协议栈封装过程;IPv4报头;IPv4报头;缺乏对通信双方身份真实性的认证能力 缺乏对传输数据的完整性和机密性保护的机制 由于IP地址可软件配置以及缺乏基于源IP地址的认证机制，IP层存在业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等攻击;IPv6报头;IPv6报头;IPSec实现了在局域网、广域网和Internet上的安全通信 Internet上的安全办公室（虚拟专用网络） Internet上的安全远程访问 与合作者之间建立专用的Extranet和Intranet连接 增强电子商务安全 IPSec的主要特征是可以支持IP层所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性;IPSec应用的一个典型场景;端到端（end-end)：实现主机到主机的安全通信 端到路由（end-router)：实现主机到路由设备之间的安全通信 路由到路由（router-router)：实现路由设备之间的安全通信，常用于在两个网络之间建???虚拟私有网（VPN）。;在防火墙和路由器层面上实现IPSec，可以对所有跨越网络边界的流量实施强安全性，而企业内部不必增加与安全相关的处理开销。 IPSec位于传输层（TCP、UDP）之下，对应用程序透明 IPSec对终端用户透明 IPSec可以为单个用户提供安全性，对网外员工非常有用;6.2 IPSec体系结构;IPSec在IPv6中是强制的，在IPv4中是可选的,这两种情况下都是采用在主IP报头后面接续扩展报头的方法实现的。 认证头AH(Authentication Header)：认证的扩展报头 封装安全负载ESP header (Encapsulating Security Payload)：实现加密和认证(可选)的扩展报头;IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥;SA(Security Association)是IP认证和保密机制中最关键的概念 是发送者与接收者之间的一种单向安全关系，对于一个双向通信，需要两个SA 是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合 SA可以由三个参数来唯一标识 安全参数索引（SPI）：分配给此SA的一个仅在本地有意义的比特串 IP目的地址：SA的目的端点地址 安全协议标识符（指明是AH还是ESP） IPSec系统中定义了两个数据库 安全关联数据库(SAD) 安全策略数据库(SPD);序号计数器：一个32位值，用于生成AH或ESP头中的序列号 计数器溢出位：一个标志位表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的的分组继续传送 反重放窗口：用于判断内部的AH或ESP包是否是重放的 AH信息：认证算法、密钥、密钥生存期以及相关参数 ESP信息：加密和认证算法、密钥、初始值、密钥生存期、以及相关参数 SA的生存期：一个时间间隔或字节计数，以及一个用于表示哪些动作应发生的标志位；到时间后，一个SA必须用一个新的SA替换或终止 IPSec协议模式：隧道模式、传输模式或通配符模式（混合模式） 路径MTU：不经分片可传送的分组最大长度;IPSec策略由安全策略数据库(Security Policy Database,SPD)加以维护。在每个条目中定义了要保护什么样的通信、怎样保护它以及和谁共享这种保护 SPD：对于通过的数据的策略支持三种选择：discard, bypass IPSec和apply IPSec 当apply IPSec时，是将IP流与SA对应起来 所用参数：目的IP地址、源IP地址、用户ID、数据敏感性级别、传输层协议、源端口和目的端口;应用实例： 可在一个安全网关上制定IPSec策略 对在本地保护的子网与远程网关的子网间通信的所有数据，全部采用DES加密，并用HMAC-MD5进行认证 对于需要加密的、发给另一个服务器的所有Web通信均用3DES加密，同时用HMAC-SHA认证;AH和ESP都支持这两种模式 传输模式只对上层协议，即IP包的有效负载进行保护，不对IP包头提供保护，典型地用于两个主机之间的端到端通信 ESP加密和认证IP载荷，AH认证IP载荷和IP报头的选中部分 隧道模式对整个IP包提供保护，并将生成一个新的IP头（即外部IP报头），用于SA的一端或两端是安全网关（如支持IPSec的防火墙、路由器等）的情况下 ESP加密和认证包括内部IP报头的整个内部IP包，AH认证整个内部IP包和外部IP报头被选中的部分;IPSec包转发处理流程;AH(Authentication Header)：提供数据完整性和IP包认证功能 利用MAC码实现认证，双方必须共享一个密钥 认证算