IPsec:网络层协议 ●PseC实现对IP包的加密和认证 ●包括3个协议: ▣首部协议(AH) ●认证IP包的来源和完整性(同时认证IP包的首部和载荷) 。用滑动窗口防御消息重放攻击 口载荷安全封装协议(ESP) ●规定加密格式,用于加密和认证P包 口互联网密钥交换协议(KE) ●规定密钥交换格式,用于通信双方协商密钥 ●】 两种运行模式: 口传输模式 隧道模式(需要网关) 《计算机网络安全的理论与实践(第2版)》·【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. IPsec 实现对IP包的加密和认证 包括3个协议: 首部协议(AH) 认证IP包的来源和完整性(同时认证IP包的首部和载荷) 用滑动窗口防御消息重放攻击 载荷安全封装协议(ESP) 规定加密格式,用于加密和认证IP包 互联网密钥交换协议(IKE) 规定密钥交换格式,用于通信双方协商密钥 两种运行模式: 传输模式 隧道模式(需要网关) IPsec: 网络层协议
IPsec安全联盟(SA) Alice Bob SA 当Alice要与Bob建立IPsec连接,双方首先需要协商使用的算法 和密钥 安全联盟就是为实现以上目的 一个安全联盟(SA)在通信的发起者和响应者之间建立,在一个会 话阶段内有效 一个安全联盟(SA)可以用于加密或者认证,但不能同时用于两者 如果一个连接既需要加密又需要认证,则需要建立两个安全联结 (SA),一个用于加密,另一个用于认证 《计算机网络安全的理论与实践(第2版)》·【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. IPsec 安全联盟(SA) 当 Alice 要与Bob 建立 IPsec 连接, 双方首先需要协商使用的算法 和密钥 安全联盟就是为实现以上目的 一个安全联盟(SA)在通信的发起者和响应者之间建立,在一个会 话阶段内有效 一个安全联盟(SA) 可以用于加密或者认证,但不能同时用于两者 如果一个连接既需要加密又需要认证,则需要建立两个安全联结 (SA),一个用于加密,另一个用于认证 SA Alice Bob
安全联盟(SA)组成 ●三个参数: 口安全参数索引(SP):出现在IPsec包头里,索引SADB中的SA 口目标P地址 口安全协议标识符:标明是为AH还是为ESP而设立的 ● 安全联盟数据库(SAD) 口在本地主机上存储安全联盟 ● 安全策略数据库(SPD) 口一组对P包进行加密或认证的策略 ● SA选择器(SAS) 口指定每个安全联盟用于哪些P包的规则 《计算机网络安全的理论与实践(第2版)》.【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. 安全联盟(SA) 组成 三个参数: 安全参数索引(SPI) : 出现在IPsec 包头里,索引SADB中的SA 目标IP 地址 安全协议标识符 :标明是为AH还是为ESP而设立的 安全联盟数据库(SAD) 在本地主机上存储安全联盟 安全策略数据库(SPD) 一组对IP包进行加密或认证的策略 SA 选择器(SAS) 指定每个安全联盟用于哪些IP包的规则
IPsec包的组成 Normal IP Packet Unauthenticated Plain Text IP Header Payload Authenticated IPsec in Transport Mode and/or Encrypted IP Header IPsec Header Payload IPsec in Tunnel Mode ●Single tunnel ●Nested tunnel Gateway IP HeaderIPsec Header IP Header Payload 《计算机网络安全的理论与实践(第2版)》·【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. IPsec 包的组成
IPSec包头 IPsec包头 认证头(AH) 封装安全载荷(ESP) 认证和加密使用不同的安全联盟(SA) 《计算机网络安全的理论与实践(第2版)》·【美】王杰,高等教育出版社,2011年
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年. IPSec包头 认证头(AH) 封装安全载荷(ESP) 认证和加密使用不同的安全联盟(SA) IPsec 包头