创建全国文明城市“窗口”行业互评互3.ppt

IPSec协议 姓名：张杰 指导导师：马春光 2010年12月 为什么要引入IPSec协议 引言 一、原来的TCP/IP体系中间，没有包括基于 安全的设计，任何人，只要能够搭入线路，即可分 析所有的通讯数据。IPSEC引进了完整的安全机 制，包括加密、认证和数据防篡改功能。 　　 二、由于Internet迅速发展，接入越来越方 便，很多客户希望能够利用这种上网的带宽，实现 异地网络的的互连通。IPSEC协议通过包封装技 术，能够利用Internet可路由的地址，封装内部网 络的IP地址，实现异地网络的互通。 IPSec基本概念及构成 IPSec简述 IPSec（Internet Protocol Security）是 IETF以RFC形式发布的一组安全IP协议 集，是一个安全协议和算法的框架，在网 络层提供数据信息的正确性、完整性、机 密性和可用性。 IPSec的基本组成 IPSec协议包括： AH（验证头） ESP（封装安全载荷） IKE（因特网密钥交换） IPSec的基本组成 AH（Authentication Header，认证头）协议 设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重播攻击的机制，但是不提供数据机密性保护。验证报头的认证算法有两种：一种是基于对称加密算法（如DES），另一种是基于单向哈希算法（如MD5或SHA-1）。验证报头的工作方式有传输模式和隧道模式。 IPSec的基本组成 ESP（Encapsulate Security Payload，封装安全载荷）协议 封装安全载荷（ESP）用于提高Internet协议（IP）协 议的安全性。它可为IP提供机密性、数据源验证、抗重放 以及数据完整性等安全服务。ESP属于IPSec的机密性服 务。其中，数据机密性是ESP的基本功能，而数据源身份 认证、数据完整性检验以及抗重播保护都是可选的。ESP 主要支持IP数据包的机密性，它将需要保护的用户数据进 行加密后再重新封装到新的IP数据包中。 IPSec的基本组成 Internet密钥交换协议（IKE） Internet密钥交换协议（IKE）是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体（如网络终端或网关）进行安全通信派生会话密钥。IKE建立Internet安全关联和密钥管理协议（ISAKMP）定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议，IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理，同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议（Oakley和SKEME安全密钥交换机制）的一部分功能，并综合了Oakley和SKEME的密钥交换方案，形成了自己独一无二的受鉴别保护的加密材料生成技术。 IPSec的基本组成 安全关联（Security Association，SA） 安全关联是构成IPSec的基础，是两个 通信实体经协商建立起来的一种协定，它 们决定了用来保护数据包安全的安全协议 （AH协议或者ESP协议）、转码方式、密 钥及密钥的有效存在时间等。 IPSec的基本组成 传输模式下数据包格式 隧道模式下数据包格式 IPSec流程 IPSec在VPN的应用 VPN简介 随着企业信息化发展及Internet等公共网络和 国际经济一体化的迅速发展，企业内部及企业间 通过网络传递信息的需求越来越多。传统的办公 方式已经跟不上时代的需求，移动办公，soho办 公逐渐成为主流的办公方式。因此远程登录，远 程访问开始成为现代工作生活的一种必要的需求。 为了保证远程登录的安全性，采用现在流行的解 决方案就是利用隧道技术，在Internet等不安全的 公共网络上建立安全的虚拟专用网络，即虚拟专 用网（VPN）。 VPN简介 三种流行的VPN技术 一、IPSec VPN 二、SSLVPN 三、MPLS VPN 目前国外主要厂商对SSLVPN技术、MPLS VPN 技术发展相对比较重视发展较快，但是目前应用 最为广泛，技术最为成熟的仍然是IPSec VPN技 术。 VPN相关概念 VPN节点：一个VPN节点，可能是一台VPN网关，也可能是一个客户端软件。在VPN组网中间，属于组网的一个通讯节点。它应该能够连接 Internet，有可能是直接连接，比如