1. 程式人生 > >網絡安全與管理精講視頻筆記8-IPSec工作原理

網絡安全與管理精講視頻筆記8-IPSec工作原理

建立 其他 kmp 計算 序列號 缺點 iat 進行 發出

第四章 第一節?IPSec工作原理

  
  網絡層安全性,優點:密鑰協商的開銷大大消減、需改動的應用程序很少,很容易構建×××。缺點:很難解決抗抵賴之類問題。
  IPsec:兼容IPv4和IPv6。高質量和基於密碼的安全。在IP層實現多種安全服務,包括訪問控制、無連接完整性、數據源驗證、抗重播、機密性和特定的業務流機密性。
  
IPsec體系結構:ESP協議+AH協議,涉及加密算法、鑒別算法和密鑰管理。
1.AH協議:Authentication Header,
  驗證頭部,為IP包提供數據完整性校驗和身份認證

功能,驗證算法由SA指定,認證範圍是整個包。
處理過程:
  
  發送方:對發出去的包構造AH:
  (1)創建一個外出SA(手工或IKE)
  (2)產生序列號
  (3)填充AH頭的各自段
  (4)計算ICV完整性檢驗值,包括IP頭中部分域、AH自身、上層協議數據。
  (5)AH頭中的“下一頭部”置為原IP報頭中的協議字段的值,原IP報頭的“協議字段置為51”(代表AH)
  
  接受方:對接收到的包處理:
  (1)分片裝配
  (2)查找SA,依據目標IP地址、AH協議、SPI
  (3)檢查序列號
  (4)ICV檢查
  

2.ESP協議:Encapsulating Security Payload,
  封裝安全載荷,提供機密性、數據源驗證、抗重播以及數據完整性等安全服務,加密算法和身份驗證方法均由SA指定。
  
  發送方:對發出去的包處理
  (1)查找SA
  (2)加密
  (3)封裝必要的數據,放在payload data域中,不同的模式,封裝數據的範圍不同

  (4)增加必要的padding數據
  (5)加密操作
  (6)驗證
  (7)計算ICV,針對加密後的數據進行計算的
  
  接收方:對接收到的包處理
  (1)分片裝配
  (2)查找SA,依據目標IP地址、ESP協議、SPI
  (3)檢查序列號,使用一個滑動窗口來檢查序列號的重放
  (4)ICV檢查
  (5)解密,根據SA中指定的算法和密鑰、參數,對於被加密部分的數據進行解密,去掉padding,重構原始IP包。
  
3.密鑰管理:Key Management,
  SA(Security Association)安全聯盟,
  (1)SA是單向的,
  (2)SA是“協議相關的”,
  (3)每個SA通過三個參數標誌<spi,dst(src),protocol>,
    spi是安全參數索引,dst(src)是對方IP地址,protocol安全協議標識AH or ESP。
  (4)SA與IPsec系統中實現的兩個數據庫有關,
    安全策略數據庫(SPD)
    安全關聯數據庫(SAD)
  
  ISAKMP:Internet安全關聯和密鑰管理協議,
  (1)RFC2408,
  (2)定義如何建立安全聯盟並初始化密鑰。
  
  IKE:Internet密鑰交換協議,
  (1)RFC2409,是Oakley和SKEME協議的一種混合,
  (2)基於是ISAKMP框架,
  (3)沿用了Oakley和SKEME共享和密鑰更新技術。
  
兩階段交換:
  第一階段:建立起ISAKMP SA---IKE SA,雙方商定如何保護以後的通訊,通信雙方建立一個已通過身份鑒別和安全保護的通道;此SA將用於保護後面的prorocol SA的協商過程。
  第二階段:建立起針對其他安全協議的SA---IPsec SA,這個階段可建立多個SA,此SA將被相應的安全協議用於保護數據或消息交換。
  
IPsec的模式
  1.隧道模式:IP頭+IPsec+TCP頭+數據
  2.傳輸模式:外部IP頭+IPsec頭+IP頭+TCP頭+數據
  

IPSec-×××協議和算法:
  IP安全協議:AH、ESP
  數據加密標準:DES、3DES
  公共密鑰密碼協議:Diffie-Hellman(D-H)
  散列算法:MD5、SHA-1
  公鑰加密算法:RSA
  Internet密鑰交換:IKE
  證書授權中心:CA

網絡安全與管理精講視頻筆記8-IPSec工作原理