七、IP安全
1、IP/IPsec
2、TCP/IP协议的封装
3、分组转发:分组从一个网络到另一个网络的过程
跳(hop )、 下一跳(next-hop)路由器:转发通路上的一个路由器被称为一跳(站)。转发通路上,与某路由器相邻接的下游路由器称为其下一跳路由器。
路由器的基本组件:路由表、转发器、路由协议
在一个路由器中,IP 分组被转发到哪里决定于:该路由器的路由表的内容、分组的目的地址
4、IPsec应用
IPSec提供对跨越LAN/WAN,Internet的通讯提供安全性,增强所有分布式应用的安全性。
IPSec是在传输层(TCP,UDP)之下。
IPsec提供服务
访问控制
无连接完整性
数据源认证
拒绝重放数据包
保密性(加密)
有限信息流保密性
5、安全关联SA
一个安全关联就是发送与接收者之间的一个单向关系。
如果需要一个对等关系,即双向安全交换,则需要两个SA。
单独的一个SA可以实现AH或ESP协议,但不能同时实现这两个协议。
一个SA由一个Internet目的地址和一个安全变量SA索引SPI唯一标识。
因此,任何IP包中,SA是由IPv4中的目的地址或IPv6头和内部扩展头(AH或ESP)中的SPI所唯一标识。
SA由三个参数唯一确定:
Security Parameters Index(SPI):安全变量索引。分配给这个SA的一个位串并且只有本地有效。SPI在AH和ESP报头中出现,以使得接收系统选择SA并在其下处理一个收到的包。
IP目的地址:目前,只允许单播地址(单点传送地址);这是该SA的目标终点的地址,它可以是一个最终用户系统或一个网络系统如防火墙或路由器。
安全协议标识符:表明是AH还是ESP的SA
6、IPsec的使用模式
传输模式和隧道模式
传输模式主要提供为上层协议提供保护;隧道模式对整个IP包提供保护。
AH传输模式
AH隧道模式
ESP传输模式
ESP隧道模式
7、认证报头AH
认证报头(Authentication Header)对数据完整性和IP分组的鉴别提供支持,可防止地址欺骗和重放攻击。
8、窗口与重放攻击检测
如果收到的包落在窗口中并且是新的,其MAC被检查。如果该包已被认证,则对应的窗口项做标记。
如果接收包已到窗口右边并且是新的,其MAC被检查。如果该包一被认证,窗口向前运动,让该包的顺序号成为窗口的右端,对应的项做标记。
如果接收的包在窗口的左边,或认证失败,该包被丢弃,并做审计事件记录。
9、几种模式
10、封装安全载荷ESP
ESP可提供数据加密和流量信息保密。它也能提供AH所提供的认证服务
ESP传输模式:传输层安全:两个主机之间的加密
ESP隧道模式:用隧道模式的虚拟网(VPN):加密隧道运送IP信息流
11、SA安全关联束:传输邻接;循环嵌套
12、 认证和保密的组合
13、SA组合
每个SA可以是AH或ESP;
对主机到主机的SA,可以是传输模式或隧道模式;其它情况必须是隧道模式。
14、密钥管理
OAKLEY密钥确定协议:OAKLEY是基于Diffie-Hellman算法的密钥交换协议,并提供附加的安全性。它是通用的,它并不指定具体的格式。
三种不同的身份验证方式:
数字签名:基于参数(如ID、nonce)哈希的签名
公钥加密:发送方私钥加密参数(如ID、nonce)
对称密钥加密:使用带外方式传送密钥,再使用该密钥和对称密钥算法对交换的信息加密来验证交换
15、ISAKMP
ISAKMP 为Internet密钥管理提供框架,还提供具体的协议支持,包括用于安全属性的协商格式。
ISAKMP定义用于建立、协商、修改和删除SA的过程和包格式。
使用传输层协议运载。即必须支持UDP。
5种默认的交换类型:基本交换、身份的保护交换、仅身份验证的交换、主动交换、信息交换
1094
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
