第8章辂协议的安全 人民邮电出版社
第8章 网络协议的安全
8.11P的安全 8.2传输协议的安全 8.3应用协议的安全 人民邮电出版社
8.1 IP 的 安 全 8.2 传输协议的安全 8.3 应用协议的安全
81IP的安全 IP级安全问题涉及3个功能领域:身份验证、机密 性和密钥管理。 IP层的安全性应达到以下几个目标: (1)期望安全的用户能够使用基于密码学的安全机 制 (2)应能同时适用于IPv4和IPv6; (3)算法独立; (4)有利于实现不同的安全策略; (5)对没有采用该机制的用户不会有负面的影响 人民邮电出版社
8.1 IP 的 安 全 IP级安全问题涉及3个功能领域:身份验证、机密 性和密钥管理。 IP层的安全性应达到以下几个目标: (1)期望安全的用户能够使用基于密码学的安全机 制; (2)应能同时适用于IPv4和IPv6; (3)算法独立; (4)有利于实现不同的安全策略; (5)对没有采用该机制的用户不会有负面的影响
8.1.1 IPSec协议簇 1. IPSec基本原理 (1) IPSec工作原理 IPSec( IP Security)首先协商建立安全关联( Security Association,SA), IPSec通过查询安 全策略数据库决定对接收到的IP数据包的处理方式 人民邮电出版社
8.1.1 IPSec协议簇 1.IPSec基本原理 (1)IPSec工作原理 IPSec(IP Security)首先协商建立安全关联( Security Association,SA),IPSec通过查询安 全策略数据库决定对接收到的IP数据包的处理方式
①封装安全载荷( Encapsulating Security pay load, ESP) ESP协议主要用来处理对IP数据包的加密,此外对认 证也提供某种程度的支持。 ②认证头( Authentication header,AH) A协议只涉及到认证,不涉及到加密。AH协议虽然 在功能上和ESP有些重复,但AH协议除了可以对IP的 有效负载进行认证外,还可以对IP头部实施认证。 3 IKE (Internet Key Exchange) IKE协议主要是对密钥交换进行管理 人民邮电出版社
① 封装安全载荷(Encapsulating Security payload,ESP) ESP协议主要用来处理对IP数据包的加密,此外对认 证也提供某种程度的支持。 ② 认证头(Authentication Header,AH) AH协议只涉及到认证,不涉及到加密。AH协议虽然 在功能上和ESP有些重复,但AH协议除了可以对IP的 有效负载进行认证外,还可以对IP头部实施认证。 ③ IKE(Internet Key Exchange) IKE协议主要是对密钥交换进行管理
2. IPSec提供的功能 (1) IPSec的功能 IPSec的基本功能包括在IP层提供安全服务,选择 需要的安全协议,决定服务使用的算法和保存加密使 用的密钥等。 (2) IPSec提供的服务和应用 ①保护 Internet上的区域连通性 ②可以保护 Internet上的远程访问 ③可以与合作伙伴之间建立外部网和内部网的连接 ④可以增强电子商务的安全性 人民邮电出版
2.IPSec提供的功能 (1)IPSec的功能 IPSec的基本功能包括在IP层提供安全服务,选择 需要的安全协议,决定服务使用的算法和保存加密使 用的密钥等。 (2)IPSec提供的服务和应用 ① 保护Internet上的区域连通性 ② 可以保护Internet上的远程访问 ③ 可以与合作伙伴之间建立外部网和内部网的连接 ④ 可以增强电子商务的安全性
具有PSec IP|PSec保密IP 的用户系统 报头报头有效载荷 公共 (Internet 或专用网络 IP|Psec保密IP 报头报头有效载荷 IP|PScc保密I 报头报头有效载荷 具有PSec 具有 IPSec 的用户系统 的用户系统 IP P有效 PIP有效 报头 载荷 报头载荷 图81|PSec的应用 人民邮电出版补
图8.1 IPSec的应用
(3) IPSec的体系结构 体系结构 封装安全有效负载 (ESP) 验证头(AH) 加密算法 验证算法 解释域(DOI) 密钥管理 策略 图82 IPSec的体系结构 人民邮电出版
(3)IPSec的体系结构 图8.2 IPSec的体系结构
①体系结构( Architecture): ②ESP封装安全有效负载( Encapsulating Security Payload) ③AH验证头( Authentication Header): ④加密算法( Encapsulation Algorithm): ⑤验证算法( Authentication Algorithm): ⑥密钥管理( Key Management): ⑦解释域( Domain of Interpretation,Do 人民邮电出版社
① 体系结构(Architecture): ② ESP封装安全有效负载(Encapsulating Security Payload): ③ AH验证头(Authentication Header): ④ 加密算法(Encapsulation Algorithm): ⑤ 验证算法(Authentication Algorithm): ⑥ 密钥管理(Key Management): ⑦ 解释域(Domain of Interpretation,DOI):
3.安全关联( Security Association,SA) SA是IP认证和保密机制中最关键的概念。一个 关联就是发送和接收者之间的一个单向关系。如果 需要一个对等关系,即双向安全交换,SA是由惟 个参数确定的。 ①SPI ②IP目的地址 ③安全协议标识符 人民邮电出版社
3.安全关联(Security Association,SA) SA是IP认证和保密机制中最关键的概念。一个 关联就是发送和接收者之间的一个单向关系。如果 需要一个对等关系,即双向安全交换,SA是由惟一 三个参数确定的。 ① SPI ② IP目的地址 ③ 安全协议标识符