文档介绍:信息 1201 王璐茅依莎 2017-2-15 1. IPsec 的产生背景 2. IPsec 的体系结构 3. IPsec 实现方式 4. IPsec 工作模式 IPv4 为代表的 TCP/IP 协议簇存在的安全缺陷: (1) IP协议没有为通信提供良好的数据源认证机制。(2) IP协议没有为数据提供强的完整性保护机制。(3) IP协议没有为数据提供任何形式的机密性保护。(4)协议本身的设计存在一些细节上的缺陷和实现上的安全漏洞,使各种安全攻击有机可乘。在 1998 年,由 IETF IP 工作组制定了一组基于密码学的安全的开放网络安全协议,总称 IP体系安全体系结构。简称 IPsec. 返回 IPSec 是一套协议包,而不是一个单独的协议 RFC 文号。 IPSec 协议族中三个主要的协议: IP 认证包头 AH ( IP Authentication Header ): AH 协议为 IP包提供信息源验证和完整性保证。 IP封装安全负载 ESP ( IP Encapsulating Security Payload ) ESP 协议提供加密保证。 密钥交换 IKE ( The Key Exchange ): IKE 提供双方交流时的共享安全信息。返回常用的实现方式有集成方式、 BITS 方式和 BITW 方式 3种。(1) 集成方式:把 IPsec 集成到 IP协议的原始实现中,需要处理 IP源码, 适用于在主机和安全网关中实现。(2) 堆栈中的块 BITS 方式:把 IPsec 作为一个“楔子”插入原来的 IP协议栈和链路层之间,不需要处理 IP源码,适用于对原有系统升级,通常在主机中实现。(3) 线缆中的块 BITW 方式:在一个直接接入路由器或主机的设备中实现 IPsec, 通常用于军事和商业目的。当用于支持主机时,实现与 BITS 相似,但用于支持路由器或防火墙时,必须起到安全网关的作用。返回 IPSec 有两种工作模式: 传输模式(Transport Mode) 和隧道模式(Tunnel Mode) 。 (Transport Mode) : IPSec 协议头插入到原 IP头部和传输层头部之间,只对 IP包的有效负载进行加密或认证。 :IPSec 会先利用 AH 或 ESP 对 IP包进行认证或者加密,然后在 IP包外面再包上一个新 IP头。返回只是传输层数据被用来计算 AH 或 ESP 头, AH 或 ESP 头以及 ESP 加密的用户数据被放置在原 IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。返回用户的整个 IP数据包被用来计算 AH 或 ESP 头, AH 或 ESP 头以及 ESP 加密的用户数据被封装在一个新的 IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。返回定义安全关联 SA ,用于记录每条 IP 安全通路的策略和策略参数。安全关联是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。 AH 和 ESP 都要用到安全关联,IKE 的一个主要功能就是建立和维护安全关联。类型传输模式 SA :传输模式 SA 只能用于两个主机之间的 IP通信。隧道模式 SA :隧道模式 SA 既可以用于两个主机之间的 IP通信也可用于两个安全网关之间或一个主机与一个安全网关之间的 IP通信。生存期是一个时间间隔或 IPsec 协议利用该 SA 来处理的数据量的大小。 SA 是安全策略通常用一个三元组唯一的表示: < SPI , IP目的地址,安全协议标识符> 1) SPI :安全参数索引(Security Parameters Index) ,说明用 SA 的 IP头类型,它可以包含认证算法、加密算法、用于认证加密的密钥以及密钥的生存期; 2) IP目的地址:指定输出处理的目的 IP地址,或输入处理的源 IP地址; 3)安全协议标识符:指明使用的协议是 AH 还是 ESP 或者两者同时使用。