IP安全标准 IPSec IPSec( IP Security)是IPv6的一个组成部分 IPSec在网络层上提供安全服务 弥补IPv4在协议设计时缺乏安全性考虑的不足 > IPSec提供的两种安全机制 认证—使IP通信的数据接收方能够确认数据发送方 的真实身份以及数据在传输过程中是否被篡改 >加密—对数据进行加密来保证数据的机密性 IPSec在IPv6中是强制的,在IPv4中是可选的
IP安全标准IPSec IPSec(IP Security)是IPv6的一个组成部分 ➢IPSec在网络层上提供安全服务 ➢弥补IPv4在协议设计时缺乏安全性考虑的不足 ➢IPSec提供的两种安全机制 ➢认证——使IP通信的数据接收方能够确认数据发送方 的真实身份以及数据在传输过程中是否被篡改 ➢加密——对数据进行加密来保证数据的机密性 IPSec在IPV6中是强制的,在IPV4中是可选的
IP Security示意图 User system with IPSec Header Header Payload Public (Internet) or Private Network Networking device with IPSec with IPSec 旦 Heador Heador
IP Security示意图
IP安全标准 IPSec >IP网络层的要求: 认证性、完整性和机密性 IPSec的基本要素 认证协议头(AH) 封装安全载荷(ESP) 互联网密钥管理协议:SA、IKE
IP安全标准IPSec ➢IP网络层的要求: 认证性、完整性和机密性 ➢IPSec的基本要素: ➢认证协议头(AH) ➢封装安全载荷(ESP) ➢互联网密钥管理协议:SA、IKE
安全关联(SA) SA(Security Association) >是发送者和接收者两个 IPSec系统之间的一个简单 的单向逻辑连接,是一组与网络连接相关联的安全 信息参数集合,用于实现安全策略; >因为SA是单个方向的,所以,对于一个双向通信, 则需要两个SA >每个SA通过三个参数来标识 >安全参数索引SPI( Security Parameters Index) >目标地址IP >安全协议标识
安全关联(SA) ➢SA(Security Association) ➢是发送者和接收者两个IPSec系统之间的一个简单 的单向逻辑连接,是一组与网络连接相关联的安全 信息参数集合,用于实现安全策略; ➢因为SA是单个方向的,所以,对于一个双向通信, 则需要两个SA。 ➢每个SA通过三个参数来标识 ➢安全参数索引SPI(Security Parameters Index) ➢目标地址IP ➢安全协议标识
认证协议头(AH) AH (Authentication Header 为IP包提供的功能 >数据完整性 认证功能 >认证算法由SA指定 >认证的范围:整个包 >两种认证模式: >传输模式:不改变IP头,插入一个AH 隧道模式:生成一个新的IP头,把AH和原来的 整个IP包放到新IP包中
认证协议头(AH) AH(Authentication Header) ➢为IP包提供的功能 ➢数据完整性 ➢认证功能 ➢认证算法由SA指定 ➢认证的范围:整个包 ➢两种认证模式: ➢传输模式:不改变IP头,插入一个AH ➢隧道模式:生成一个新的IP头,把AH和原来的 整个IP包放到新IP包中