文档介绍:1 IP安全 2 已有的安全机制?电子邮件: PGP , S/MIME ?客户端/服务器: Kerberos ? Web 访问:安全套接字层等?没有应用安全机制的网络安全? 3 IP级别安全?认证:确认收到的包是包头标志的源端实体发出的,保证传输过程不被篡改?保密:正在通信点对点消息加密,防止第三方窃听?密钥管理机制与密钥交换安全相关 4 IPSec ? IPSec 提供了在 LAN, 专用和公用 WAN 以及互联网中安全通信的性能。用途包括以下方面: –通过互联网安全分支机构接入–通过互联网进行安全远程访问–与合作者建立企业间联网和企业内联网接入–加强电子商务安全?能在 IP层对所有的流量进行加密或认证,保证所有分布式应用,包括远程登录、客户端/服务器、电子邮件、文件传输、 Web 访问等 5 IPSec 好处?路由器和防火墙中使用 IPSec ,对通过边界的所有通信流量提供强安全性?防火墙内的 IPSec 能在所有外部流量必须使用 IP 时阻止旁路,防火墙是唯一通道? IPSec 位于传输层之下,队有所的应用都是透明的,因此没有必要对服务系或客户端的软件做任何修改,上层软件不受影响? IPSec 对终端用户是透明的,不需要对用户进行安全机制的培训? IPSec 能给个人用户提供安全性,组件安全虚拟子网络 6 路由应用中使用 IPSec ?可确保路由器广播来自于授权路由器?可确保邻居广播来自于授权路由器?确保重定向报文,来自于被发送给初始包的路由器?确保路由更新未被伪造?没有这些安全措施,攻击者可能中断通信或转发某些流,路由协议( OSPF )应该运行在由 IPSec 定义的路由器间安全关联的最上层 7 IPSec 文档? RFC2401 RFC2402 RFC2406 RFC2408 ?这些安全特性均是在主 IP包头之后的扩展抱头来实现的,用于认证的扩展报头叫做认证报头,用于加密扩展报头叫做封装安全载荷报头?除四个文档之外还包括其他草案。可分成 7 各部分:体系结构、封装安全载荷、认证报头、加密算法、认证算法、密钥管理、解释域 8 IPSec 服务? IPSec 通过让系统选择所需的安全协议,决定服务中使用的算法和为请求服务提供任何加密密钥来实现 IP级的安全服务。两种协议可以用来提供安全性: AH 报头认证协议和加密/认证联合协议 ESP. 提供的服务: ?访问控制、无连接完整性、数据源认证、拒绝重放包、保密性、受限制的流量保密性 9 安全挂念?关联是发送方和接收方之间的单向关系,该关联围棋上的流提供安全服务。双向需要两个安全关联(SA) 。一个安全关联由三个参数唯一确定: ?安全参数索引: AH ESP 报头携带,使得接收系统能选择合适的 SA ? IP目的地址: SA 目的端地址,可以使用过户系统或者防火墙、路由器这样的网络系统?安全协议标志:标志关联是一个 AH 安全关联还是一个 ESP 安全关联 10 传输模式和隧道模式?传输模式主要为上层协议提供保护。如对 tcp 段、 udp 段、 icmp 包的保护,用于两个主机之间进行端对端的通信?隧道模式对整个 IP包提供保护。为了达到这个目的,在把 AH 或者 ESP 域添加到 IP包中后,整个包加上安全域被作为带有新外部 IP报头的新“外部” IP包的载荷。沿途路由器不能检查内部的 IP报头