您好,欢迎访问三七文档
IPSec协议姓名:张杰指导导师:马春光2010年12月为什么要引入IPSec协议引言一、原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。二、由于Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。IPSec基本概念及构成IPSec简述IPSec(InternetProtocolSecurity)是IETF以RFC形式发布的一组安全IP协议集,是一个安全协议和算法的框架,在网络层提供数据信息的正确性、完整性、机密性和可用性。IPSec的基本组成IPSec协议包括:AH(验证头)ESP(封装安全载荷)IKE(因特网密钥交换)IPSec的基本组成AH(AuthenticationHeader,认证头)协议设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重播攻击的机制,但是不提供数据机密性保护。验证报头的认证算法有两种:一种是基于对称加密算法(如DES),另一种是基于单向哈希算法(如MD5或SHA-1)。验证报头的工作方式有传输模式和隧道模式。IPSec的基本组成ESP(EncapsulateSecurityPayload,封装安全载荷)协议封装安全载荷(ESP)用于提高Internet协议(IP)协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中,数据机密性是ESP的基本功能,而数据源身份认证、数据完整性检验以及抗重播保护都是可选的。ESP主要支持IP数据包的机密性,它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。IPSec的基本组成Internet密钥交换协议(IKE)Internet密钥交换协议(IKE)是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体(如网络终端或网关)进行安全通信派生会话密钥。IKE建立Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议,IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理,同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议(Oakley和SKEME安全密钥交换机制)的一部分功能,并综合了Oakley和SKEME的密钥交换方案,形成了自己独一无二的受鉴别保护的加密材料生成技术。IPSec的基本组成安全关联(SecurityAssociation,SA)安全关联是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。IPSec的基本组成传输模式下数据包格式隧道模式下数据包格式IPSec流程IPSec在VPN的应用VPN简介随着企业信息化发展及Internet等公共网络和国际经济一体化的迅速发展,企业内部及企业间通过网络传递信息的需求越来越多。传统的办公方式已经跟不上时代的需求,移动办公,soho办公逐渐成为主流的办公方式。因此远程登录,远程访问开始成为现代工作生活的一种必要的需求。为了保证远程登录的安全性,采用现在流行的解决方案就是利用隧道技术,在Internet等不安全的公共网络上建立安全的虚拟专用网络,即虚拟专用网(VPN)。VPN简介三种流行的VPN技术一、IPSecVPN二、SSLVPN三、MPLSVPN目前国外主要厂商对SSLVPN技术、MPLSVPN技术发展相对比较重视发展较快,但是目前应用最为广泛,技术最为成熟的仍然是IPSecVPN技术。VPN相关概念•VPN节点:一个VPN节点,可能是一台VPN网关,也可能是一个客户端软件。在VPN组网中间,属于组网的一个通讯节点。它应该能够连接Internet,有可能是直接连接,比如adsl、电话拨号等等,也可能是通过nat方式,例如:小区宽带、cdma上网、铁通线路等等。VPN相关概念•VPN隧道:在两个vpn节点之间建立的一个虚拟链路通道。两个设备内部的网络,能够通过这个虚拟的数据链路到达对方。与此相关的信息是当时两个VPN节点的IP地址,隧道名称、双方的密钥。VPN相关概念•隧道路由:一个设备可能和很多设备建立隧道,那么就存在一个隧道选择的问题,即到什么目的地,走哪一个隧道。IPSec在VPN中要解决的问题怎样找到vpn节点设备。•一、通过网页,这是深信服公司发明的一种技术,通过Web页解析ip地址•二、通过一个集中的服务器,实现统一解析,然后给用户进行分组。•三、DDNS,即动态域名。IPSec在VPN中要解决的问题怎样建立隧道•协商出一个可以通讯的隧道。如果是nat之后,应该怎么处理。IPSec在VPN中要解决的问题建立隧道路由表•确定不同的目标地址,走不同的隧道。IPSec在IPv6的应用IP包本身并不继承任何安全特性,我们可以很容易地伪造IP包的地址、修改其内容。IPSEC提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层(如TCP、UDP)提供安全保证;在IPv6下,IPSEC是强制实施的;它定义了一套默认的算法,以确保不同的实施方案相互间可以共通,它是独立于算法本身的。IPSec应用优点•可以防止局域网内部的sniffer监听问题。•IPSec可以在一定程度上解决欺骗攻击,这是因为IPSec的通道模式可以对整个IP包,包括IP头部进行保护。IPSec无法完全解决目前广泛存在的DOS攻击(拒绝服务攻击),更无法有效的防止DDoS攻击(分布式拒绝服务攻击)。IPSec无法有效防止针对协议本身的攻击,如SYNflood(同步洪水)攻击。IPSec也无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。IPSec应用缺点IPSec常用的密钥算法•IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES—CBC算法ESP协议要求具体实现要支持DES—CBC算法,并由RFC2405对此算法在ESP协议中的使用方法作了规定。
本文标题:IPSec协议张杰
链接地址:https://www.777doc.com/doc-2877715 .html