结构 IPSec两种不同的使用模式 传送模式:保护上层协议;用于两主机之间; 隧道模式:保护整个IP数据报;当一方为网关时。 原始P包:IP头+TCP头+数据 传送模式:IP头+ IPSec头+TCP头+数据 隧道模式:新IP头+ IPSec头+IP头+TCP头+ 数据
16 IPSec两种不同的使用模式 二、结构 传送模式:保护上层协议;用于两主机之间; 隧道模式:保护整个IP数据报;当一方为网关时。 原始IP包: IP头 + TCP头 + 数据 传送模式: IP头 + IPSec头 + TCP头 + 数据 隧道模式:新 IP头 + IPSec头 + IP头 + TCP头 + 数据
结构 安全关联 为正确封装及提取 IPSec数据包,要将安全服务 密钥与要保护的通信数据联系到一起;同时要将 远程通信实体与要交换密钥的 IPSec数据传输联 系起来。这样的方案称为安全关联( Security Association,SA)。 SA是构成 IPSec的基础。它由两个通信实体协商 建立。它们决定了用来保护数据包安全的 IPSec 协议、密钥以及密钥的有效存在时间等。任何 IPSec实施方案都会构建一个SA数据库(SAD), 由它来维护保障数据包安全的SA记录
17 安全关联 二、结构 为正确封装及提取IPSec数据包,要将安全服务、 密钥与要保护的通信数据联系到一起;同时要将 远程通信实体与要交换密钥的IPSec数据传输联 系起来。这样的方案称为安全关联(Security Association,SA)。 SA是构成IPSec的基础。它由两个通信实体协商 建立。它们决定了用来保护数据包安全的IPSec 协议、密钥以及密钥的有效存在时间等。任何 IPSec实施方案都会构建一个SA数据库(SAD), 由它来维护保障数据包安全的SA记录
结构 安全关联 SA是单向进行的,它仅朝一个方向定义安全服务 要么对通信实体收到的包进行“进入”保护,要么 对实体外发的包进行“外出”保护。SA由一个三元 组唯一标识: 1)安全参数索引(SPI:存在于 IPSec协议头内; 2)安全协议(AH、ESP)标识符 3)目标P地址:它同时决定了关联方向。 通常SA是以成对的形式存在的,每个朝一个方向。 既可人工创建它,亦可采用动态创建方式。SA驻留 在“安全关联数据库(SAD)”内
18 安全关联 二、结构 SA是单向进行的,它仅朝一个方向定义安全服务, 要么对通信实体收到的包进行“进入”保护,要么 对实体外发的包进行“外出”保护。SA由一个三元 组唯一标识: 1)安全参数索引(SPI):存在于IPSec协议头内; 2)安全协议(AH、ESP)标识符; 3)目标IP地址:它同时决定了关联方向。 通常SA是以成对的形式存在的,每个朝一个方向。 既可人工创建它,亦可采用动态创建方式。SA驻留 在“安全关联数据库(SAD)”内
结构 SA创建 若用人工方式加以创建,SA便会一直存在下 去,除非再用人工方式将其删除。 若用动态方式创建,则SA有一个存活时间与 其关联在一起。存活时间(TTL)由 IPSec通 信双方在密钥管理协议中协商。TIL非常重 要,因为受一个密钥保护的通信量必须加以 谨慎地管理。若超时使用一个密钥,会为攻 击者侵入系统提供更多的机会
19 SA创建 二、结构 若用人工方式加以创建,SA便会一直存在下 去,除非再用人工方式将其删除。 若用动态方式创建,则SA有一个存活时间与 其关联在一起。存活时间(TTL)由IPSec通 信双方在密钥管理协议中协商。TTL非常重 要,因为受一个密钥保护的通信量必须加以 谨慎地管理。若超时使用一个密钥,会为攻 击者侵入系统提供更多的机会
安全关联数据库SAD SAD用于定义每个SA的参数值: 顺序号:以 AH/ESP报头中32位b值表示 顺序号溢出标记:防止溢出数据报的传送 反重放窗口:收到的 AH/ESP数据报是否重放 AH/ESP信息:认证/加密算法、密钥、有效期 SA有效期:该时间间隔之后,SA结束/被替代 IPSec协议模式:传输模式/隧道模式 路径最大传输单元;最大数据报长度(不分段)
20 安全关联数据库SAD SAD用于定义每个SA的参数值: ◼ 顺序号:以AH/ESP报头中32位bit值表示 ◼ 顺序号溢出标记:防止溢出数据报的传送 ◼ 反重放窗口:收到的AH/ESP数据报是否重放 ◼ AH/ESP信息:认证/加密算法、密钥、有效期 ◼ SA有效期:该时间间隔之后,SA结束/被替代 ◼ IPSec协议模式:传输模式/隧道模式 ◼ 路径最大传输单元:最大数据报长度(不分段)