81 IPSec麻系绪袍() 网络安金 NETWORK SECURITY IPSec的体系结构如图 P安全结构 ESP AH 加密算法][算法验证 解释域(DoI) □密钥管理·策略 图8.1PSec体系结构
8.1.1 IPSec体系结构(续) IP安全结构 ESP 加密算法 算法验证 密钥管理 解释域(DOI) 策略 AH 图8.1 IP Sec体系结构 IPSec的体系结构如图
81 IPSec体系结袍(象) 网络安金 NETWORK SECURITY PSec提供的安全性服务: 1)访问控制:通过调用安全协议来控制密钥的安全交换 用户身份认证也用于访问控制。 2)无连接的完整性:使用 IPSec,可以在不参照其他数据 包的情况下,对任一单独的P包进行完整性校验。 3)数据源身份认证:通过数字签名的方法对P包内的 数据来源进行标识
8.1.1 IPSec体系结构(续) IPSec提供的安全性服务: 1)访问控制:通过调用安全协议来控制密钥的安全交换 , 用户身份认证也用于访问控制。 2)无连接的完整性:使用IPSec,可以在不参照其他数据 包的情况下,对任一单独的IP包进行完整性校验。 3)数据源身份认证:通过数字签名的方法对IP包内的 数据来源进行标识
81 IPSec体系结构(象) 网络安金 NETWORK SECURITY 4)抗重发攻击:重发攻击是指攻击者发送一个目的主机 已接收过的包,通过占用接收系统的资源,使系统的可用 性受到损害。为此 IPSec提供了包计数器机制,以便抵御 抗重发攻击。 5)保密性:确保数据只能为预期的接收者使用或读, 而不能为其他任何实体使用或读出。保密机制是通过使 用加密算法来实现的
4)抗重发攻击:重发攻击是指攻击者发送一个目的主机 已接收过的包,通过占用接收系统的资源,使系统的可用 性受到损害。为此IPSec提供了包计数器机制,以便抵御 抗重发攻击。 5)保密性:确保数据只能为预期的接收者使用或读, 而 不能为其他任何实体使用或读出。保密机制是通过使 用加密算法来实现的。 8.1.1 IPSec体系结构(续)
8n12 IPSec模式 网络安金 NETWORK SECURITY PSec对IP包可以执行的操作分别是:只加密,只认证, 既加密也认证。 Psec有两种工作模式:传输模式( Transport Mode)和隧道 模式( Tunne Mode)。 1.传输模式( Transport Mode): IPSec协议头插入到原IP 头部和传输层头部之间,只对IP包的有效负载进行加密或认证。 P头传输层头数据 P头PseA传输层头数据 加密的 图8.2传输模式AH数据包
8.1.2 IPSec模式 – IPSec对IP包可以执行的操作分别是:只加密,只认证, 既加密也认证。 IPSec有两种工作模式:传输模式(Transport Mode)和隧道 模式(Tunnel Mode)。 1.传输模式(Transport Mode) : IPSec协议头插入到原IP 头部和传输层头部之间,只对IP包的有效负载进行加密或认证。 加密的 IP头 IPSec AH头 传输层头 数据 IP头 传输层头 数据 图8.2 传输模式AH数据包
82 IPSEc模式() 网络安金 NETWORK SECURITY 2.隧道模式:PSec会先利用A或ESP对|P包进行认证或者加密, 然后在P包外面再包上一个新|P头。 IP头传输层头数据 新IP头| IPSec Al头IP头|传输层头数据 加密的 图8.3隧道模式AH数据包
8.1.2 IPSec模式(续) 2.隧道模式:IPSec会先利用AH或ESP对IP包进行认证或者加密, 然后在IP包外面再包上一个新IP头。 加密的 IP头 传输层头 数据 新IP头 IPSec AH头 IP头 传输层头 数据 图8.3 隧道模式AH数据包