814 IPSec认证与加容 网络安金 NETWORK SECURITY IPSec提供了两种安全机制:认证和加密。认证机制 使|P通信的数据接收方能够确认数据发送方的真实身份以 及数据在传输过程中是否遭篡改;加密机制通过对数据进 行编码来保证数据的机密性,以防数据在传输过程中被窃 听。 AH定义了认证的应用方法,提供数据源认证和完整性 保证;ESP定义了加密和可选认证的应用方法,提供可靠 性保证。IKE的作用是协助进行安全管理,它在 IPSec进 行处理过程中对身份进行鉴别,同时进行安全策略的协商 和处理会话密钥的交换工作
8.1.4 IPSec认证与加密 IPSec提供了两种安全机制:认证和加密。认证机制 使IP通信的数据接收方能够确认数据发送方的真实身份以 及数据在传输过程中是否遭篡改;加密机制通过对数据进 行编码来保证数据的机密性,以防数据在传输过程中被窃 听。 AH定义了认证的应用方法,提供数据源认证和完整性 保证;ESP定义了加密和可选认证的应用方法,提供可靠 性保证。IKE的作用是协助进行安全管理,它在IPSec 进 行处理过程中对身份进行鉴别,同时进行安全策略的协商 和处理会话密钥的交换工作
84工Psec证与加 网络安金 NETWORK SECURITY 1.|P认证包头AH AH协议提供无连接的完整性、数据源认证和抗重发保 护服务,但不提供保密性服务。它能保护通信免受篡改, 但不能防止窃听,适用于传输非机密数据。AH在每一个数 据包上添加一个身份验证包头。该包头位于P包头和传输 层协议包头之间,如图8.5所示。 IP头 IPSec ah头传输层头( TCP/UDP 数据 下一个包头长度保留按全参数索引(SPD)序列号认证数据 图8.5AH认证包头格式
1. IP认证包头AH AH协议提供无连接的完整性、数据源认证和抗重发保 护服务,但不提供保密性服务。它能保护通信免受篡改, 但不能防止窃听,适用于传输非机密数据。AH在每一个数 据包上添加一个身份验证包头。该包头位于IP包头和传输 层协议包头之间,如图8.5所示。 IP头 IPSec AH头 传输层头(TCP/UDP) 数 据 下一个包头 长度 保留 安全参数索引(SPI) 序列号 认证数据 图8.5 AH认证包头格式 8.1.4 IPSec认证与加密
84【Psec认泥与加鲁() 网络安金 NETWORK SECURITY AH包头字段内容包括: 下一个包头( Next header;8位):标识紧跟A头后面使用IP 协议号的包头; 载荷长度( Pay load Len,8位):AH包头长度; 保留( Reserved,16位):为将来的应用保留,(目前为 0) 安全参数索引(SPI,32位):与目的IP地址一同标识SA; 序列号( Sequence Number Field,32位):从1开始的32位单 增序列号,不允许重复,唯一地标识每一个发送的数据包, 为SA提供反重发保护。 认证数据( Authentication data,长度可变):包含完整性 检查和
8.1.4 IPSec认证与加密(续) AH包头字段内容包括: • 下一个包头(Next Header,8位):标识紧跟AH头后面使用IP 协议号的包头; • 载荷长度(Payload Len,8位):AH包头长度; • 保留(Reserved,16位):为将来的应用保留,(目前为 0); • 安全参数索引 (SPI,32位):与目的 IP 地址一同标识SA; • 序列号(Sequence Number Field,32位):从1开始的32位单 增序列号,不允许重复,唯一地标识每一个发送的数据包, 为SA提供反重发保护。 • 认证数据(Authentication Data,长度可变):包含完整性 检查和
84 IPSec认与加鲁(象) 网络安金 NETWORK SECURITY 2.IP封装安全负载EsP ESP为|P包提供完整性检查、认证和加密。它使用 HMAC-MD5或HMAC-SHA-1算法对P进行认证。为了保证各种 IPSec之间实现互操作性,目前ESP必须提供对56位DES算法的 支持。ESP可以单独使用,也可以和AH结合使用。 IP头 IPSec ESP头传输层头( TCP/UDP数据ESP尾ESP认证尾 安全参数索引序列号 填充域|填充域十下 认证数据 (SPD 长度 包头 图8.6ESP认证包头格式
2. IP封装安全负载ESP ESP为IP包提供完整性检查、认证和加密。它使用 HMAC-MD5或HMAC-SHA-1算法对IP进行认证。为了保证各种 IPSec之间实现互操作性,目前ESP必须提供对56位DES算法的 支持。ESP可以单独使用,也可以和AH结合使用。 安全参数索引 序列号 (SPI) 图8.6 ESP认证包头格式 IP头 IPSec ESP 头 传输层头(TCP/UDP) 数据 ESP尾 ESP 认证尾 填充域 填充域 下一个 认证数据 长度 包头 8.1.4 IPSec认证与加密(续)
84【Psec认泥与加鲁() 网络安金 NETWORK SECURITY ESP包头字段内容包括: 安全参数索引SPI( Security Parameters Index):同 AH 序列号( Sequence Number):同AH; 填充域( Padding):0-255个字节。用来保证加密数据 部分满足块加密的长度要求,若数据长度不足,则填充 填充域长度( Padding Length):接收端根据该字段长 度去除数据中的填充位; 下一个包头 (Next Header):同AH; 认证数据( Authentication data):包含完整性检查 和。完整性检查部分包括ESP包头、传输层协议、数据 和ESP包尾,但不包括|P包头,因此ESP不能保证P包头 不被篡改。ESP加密部分包括传输层协议、数据和EP包 尾
8.1.4 IPSec认证与加密(续) ESP包头字段内容包括: •安全参数索引SPI(Security Parameters Index):同 AH; •序列号(Sequence Number):同AH; •填充域(Padding):0-255个字节。用来保证加密数据 部分满足块加密的长度要求,若数据长度不足,则填充; •填充域长度(Padding Length):接收端根据该字段长 度去除数据中的填充位; •下一个包头(Next Header):同AH; •认证数据 (Authentication Data):包含完整性检查 和。完整性检查部分包括ESP包头、传输层协议、数据 和ESP包尾,但不包括IP包头,因此ESP不能保证IP包头 不被篡改。ESP加密部分包括传输层协议、数据和ESP包 尾