IP安全概述 IPSec的协议 对IP数据报或上层协议进行保护的方法是使 用某种 IPSec协议:“封装安全载荷(ESP Encapsulating Security Payload)”或者“认证 头(AH: Authentication header)” AH可证明数据的起源地、保障数据的完整性 防止相同数据包的重播。 ESP除具有AH的所有能力之外,还可选择保 障数据的机密性,以及为数据流提供有限的 机密性保障
6 IPSec的协议 一、IP安全概述 对IP数据报或上层协议进行保护的方法是使 用某种IPSec协议:“封装安全载荷(ESP: Encapsulating Security Payload)”或者“认证 头(AH:Authentication Header)” 。 AH可证明数据的起源地、保障数据的完整性、 防止相同数据包的重播。 ESP除具有AH的所有能力之外,还可选择保 障数据的机密性,以及为数据流提供有限的 机密性保障
IPSec的安全业务 AH ESP ESP (加密)(加密并认证) 访问控制 无连接完整性 数据来源认证 对重放数据的 拒绝 保密性 受限业务流的 保密性
7 IPSec的安全业务 AH ESP (加密) ESP (加密并认证) 访问控制 √ √ √ 无连接完整性 √ √ 数据来源认证 √ √ 对重放数据的 拒绝 √ √ √ 保密性 √ √ 受限业务流的 保密性 √ √
IP安全概述 密钥管理协议IKE 密钥管理协议IKE( Internet Key Exchange) 用于动态地认证 IPSec参与各方的身份、协商 安全服务以及生成共享密钥等。 IPSec提供的 安全服务需要用到共享密钥,它既可用于保 障数据的机密性,亦可用于数据完整性(消 息认证码MAC),或者同时应用于两者。 IPSec的运算速度必须够快,而现有公共密钥 技术(如RSA或DSS)的速度均不够快。 共密钥技术仍然限于在密钥交换期间完成 些初始的认证工作
8 密钥管理协议IKE 一、IP安全概述 密钥管理协议IKE(Internet Key Exchange) 用于动态地认证IPSec参与各方的身份、协商 安全服务以及生成共享密钥等。 IPSec提供的 安全服务需要用到共享密钥,它既可用于保 障数据的机密性,亦可用于数据完整性(消 息认证码MAC),或者同时应用于两者。 IPSec的运算速度必须够快,而现有公共密钥 技术(如RSA或DSS)的速度均不够快。公 共密钥技术仍然限于在密钥交换期间完成一 些初始的认证工作
结构 IPSec协议组成 安全关联SA( Security Association) 安全策略数据库SPD( Security Policy database) 认证头AH( Authentication head) 封装安全载荷ESP( Encapsulation Security Payload) IKE( Internet密钥交换) ISAKMP/ Oakley(密钥管理协议) ISAKMP: Internet Security Association and Key Management protocol Oakley:是DH密钥交换协议的改进
9 IPSec协议组成 二、结构 安全关联SA (Security Association) 安全策略数据库SPD (Security Policy Database) 认证头AH (Authentication Head ) 封装安全载荷ESP(Encapsulation Security Payload) IKE(Internet密钥交换) ISAKMP/Oakley(密钥管理协议) ISAKMP:Internet Security Association and Key Management Protocol Oakley:是D-H密钥交换协议的改进
结构 结构图 体系 封装安全载荷 验证头 加密算法 验证算法 解释域 密钥管理 策略
10 结构图 二、结构