ipsec安全协议.docx
《ipsec安全协议.docx》由会员分享,可在线阅读,更多相关《ipsec安全协议.docx(8页珍藏版)》请在冰豆网上搜索。
ipsec安全协议
竭诚为您提供优质文档/双击可除
ipsec安全协议
篇一:
ipsec协议
ipsec协议
ipsec协议
1ipsec协议概述
2ipsecVpn工作原理
4.2.1隧道建立方式
2.2数据保护方式
2.3ipsec协议体系结构
3ipsec的优点
1ipsec协议概述
ipsec是一系列基于ip网络(包括intranet、extranet和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。
ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。
①保证internet上各分支办公点的安全连接:
公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。
这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托internet即可以获得同样的效果。
②保证internet上远程访问的安全:
在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。
这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
③通过外部网或内部网建立与合作伙伴的联系:
ipsec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。
④提高了电子商务的安全性:
尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。
ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。
ipsec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。
ipsec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
如果需要的话,ipsec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
ipsec正向internet靠拢。
已经有一些机构部分或全部执行了ipsec。
iab的前任总裁christianhuitema认为,关于如何保证internet安全的讨论是他所见过的最
激烈的讨论之一。
讨论的话题之一就是安全是否在恰当的协议层上被使用。
想要提供ip级的安全,ipsec必须成为配置在所有相关平台(包括windowsnt,unix和macintosh系统)的网络代码中的一部分。
实际上,现在发行的许多internet应用软件中已包含了安全特征。
例如,netscapenavigator和microsoftinternetexplorer支持保护互联网通信的安全套层协议(ssl),还有一部分产品支持保护internet上信用卡交易的安全电子交易协议(set)。
然而,Vpn需要的是网络级的功能,这也正是ipsec所提供的。
2ipsecVpn工作原理
当ipsec用于路由器时,就可以建立虚拟专用网。
在路由器的连内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。
两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个Vpn。
4.2.1隧道建立方式
ipsecVpn隧道的建立过程可以分为二个阶段:
第一阶段有二种模式:
主模式或主动模式和第二阶段:
快速模式。
第一阶段有三个任务必须完成:
①协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据)。
②必须计算出二边使用的加密key值,例如,二边使用3des算法密,3des算法则需要一个密码,这个密码两端端必须一样,但又不能在链路上传递。
③对等体的验证,如何才能知道对端就是我要与之通信的对端.这里验证有三种方法:
预共享,数字签名,加密临时值。
这一系列过程都是ike这个协议来实现。
第一阶段三个任务,分别用6个消息来完成,每二个为一组。
第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-des,散列机制-md5-hmac,diffie-hellman组-2,认证机制-预共享。
第二个消息由响应者回应,内容基本一样,主要与发起者比较,是否与发起者匹配,不匹配就进行下一组的比较.如果最终都找不到匹配,隧道就停止建立。
第三个消息由发起者发出,但是在发出这个消息之前,有个过程必须先完成,就是diffie-hellman算法过程。
该过程的目的是什么呢刚刚第一二条消息中所协商的算法它们必须需要一个key,这个key在二个对等体上必须一样,但同时这个key不能在链路中传递,因为传递key是一个不安全的手段.所以,该过程的目的是分别在二个对等间独立地生成一个dh公共值,该公共值有什么用呢?
因为二个对等体上都生成该dh公共值后,它们会在接下来的第三第四消息中传送给对方,打个比方,就是a收到
了b的dh公共值,b收到了a的dh公共值.当a,b都收到了对方的该公共值后,问题就好解决了.因为有一个公式在数学中被论证成立,那么现在借助该公式,就可以在二个对等上生成一个只有他们二个对等体知道的相同的key,该公式为
发起者密秘=(xb)amodp=(xa)bmodp=响应者密秘
注意,这个密秘不是最终算法中使用的key,但二个对等体通过该key材料来生成另个三个密钥,分别是:
skeyid_d--此密钥被用于计算后续ipsec密钥资源。
skeyid_a--此密钥被用于提供后续ike消息的数据完整性以及认证。
skeyid_e--此密钥被用于对后续ike消息进行加密。
所以由发起者发起的第三条消息主要是向对等体发送自己的dh公共值。
第四条消息由响应者向发起者发送,主要是向发送者发送自己的dh公共值.由于第一二条消息的算法,第三四条消息生成的key,所以在后续的第五六条消息就能被加密传送.第五条消息由发起者向响应者发送,主要是为了验证对端自己就是自己想要与之通信的对端.这可以通过预共享,数字签名,加密临时值来实现.。
第六条消息由响应者向发起者发送,主要目的和第五条一样。
第二阶段只有一任务必须完成:
在二个对等体间协商产生ipsec联盟的属性,安全联盟可以加密二个对等体间的数据,这才是真正的需要加密的用户数据,至此,隧道才真正建立起来。
在第一阶段的六条消息过后,就进入了第二阶段:
快速模式,快速模式使用二条消息来实现:
发起者会在第一条消息中发送ipsecsa的转换属性,如
:
封装--esp,完整性检验--sha-hmac,dh组--2,模式--隧道,
响应者向发起者发送第二条消息,同意第一条消息中的属性,同时也能起到确认收到对端消息的作用。
这一步一旦完成,
隧道就建立起来了,用户的数据就能被放入隧道中传送。
ipsec隧道建立过程类似于
tcp三次握手
,如下图所示:
图1“三次”握手隧道的建立过程
1)客户端向服务器端发送一个syn置位的tcp报文;
2)服务器端接收到客户端发送过来的syn报文后,向客户端发送一个syn和ack都置位的tcp报文,其中包括确认号为x+1和服务器的初始序列号y;
3)客户端收到服务器返回的syn+ack报文后,向服务器返回一个确认号为y+1序列号为x+1的ack报文。
2.2数据保护方式
ipsec提供三种不同的形式来保护通过公有或私有ip网络来传送的私有数据:
①认证:
可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
②数据完整:
保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
③机密性:
使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在ipsec由三个基本要素来提供以上三种保护形式:
认证协议头(ah)、安全加载封装(esp)和互联网密钥管理协议(ikmp)。
认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
对于Vpn来说,认证和加密都是必需的,因为只有双重安全措施才能确保XX的用户不能进入Vpn,同时,internet上的窃听者无法读取Vpn上传输的信息。
大部分的应用实例中都采用了esp而不是ah。
密钥交换功能允许手工或自动交换密钥。
当前的ipsec支持数据加密标准(des),但也可以使用其它多种加密算法。
因为人们对des的安全性有所怀疑,所以用户会选择使用triple-des(即三次des加密)。
至于认证技术,将会推出一个叫作hmac(mac即信息认证代码messageauthenticationcode)的新概念。
2.3ipsec协议体系结构
ipsec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密匙协商部分。
这些协议之间的相互关系如图2所示:
图2ipsec协议体系
①安全关联和安全策略:
安全关联(securityassociation,sa)是构成ipsec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(ah协或者esp协议)、转码方式、密匙及密匙的有效存在时间等等。
②ipsec协议的运行模式:
ipsec协议的运行模式有两种,ipsec隧道模式及ipsec传输模式。
隧道模式的特点是数据包最终的目的地不是安全的终点。
通常情况下,只有ipsec双方有一方是安全网关或路由器,就必须使用隧道模式。
传输模式下,ipsec主要对上层协议即ip包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
③认证协议头(ah)是在所有数据包头加入一个密码。
正如整个名称所示,ah通过一个只有密钥持有人才知道的"数字签名"来对用户进行认证。
这个签名是数据包通过特别的算法得出的独特结果;ah还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。
不过由于ah不能加密数据包所加载的内容,因而它不保证任何的机密性。
两个最普遍的ah标准是md5和sha-1,md5使用最高到128位的密匙,而sha-1通过最高到160位密匙提供更强的保护。
④安全加载封装(esp)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。
esp也能提供认证和维持数据的完整性。
最主要的esp标准是数据加密标准(des),des最高支持56位的密匙,而triple-des使用三套密匙加密,那就相当于使用最高到168位的密匙。
由于esp实际上加密所有的数据,因而它比ah需要更多的处理时间,从而导致性能下降。
⑤密钥管理包括密钥确定和密钥分发两个方面,最多需要四个密钥:
ah
篇二:
实验2_ipsec—ip安全协议
实验2ipsec—ip安全协议
伴随着密码学的发展,数字签名技术也得以实现,利用数字签名技术可以保证信息传输过程中的数据完整性以及提供对信息发送者身份的认证和不可抵赖性。
一、实验目的
1.了解ipsec主要协议
2.理解ipsec工作原理
3.windows环境下能够利用ipsec在两台主机间建立安全隧道
二、
三、实验环境实验原理windows,交换网络结构,每组2人,密码工具,网络协议分析器
ipsec工作原理
ipsec包含4类组件:
(1)ipsec进程本身:
验证头协议(ah)或封装安全载荷协议(esp);
(2)internet密钥交换协议(ike,internetkeyexchange):
进行安全参数协商;
(3)sadb(sadatabase):
用于存储安全关联(sa,securityassociation)等安全相关参数;
(4)spd(securitypolicydatabase,安全策略数据库):
用于存储安全策略。
ipsec的工作原理类似于包过滤防火墙。
ipsec是通过查询安全策略数据库spd来决定接收到的ip包的处理,但不同于包过滤防火墙的是,ipsec对ip数据包的处理方法除了丢弃、直接转发(绕过ipsec)外,还有进行ipsec的处理。
进行ipsec处理意味着对ip数据包进行加密和认证,保证了在外部网络传输的数据包的机密性、真实性、完整性,使通过internet进行安全的通信成为可能。
在ietF的标准化下,ipsec的处理流程受到了规范。
1.ipsec流出处理
如图2-1,在流出处理过程中,传输层的数据包流进ip层,然后按如下步骤执行:
图2-1ipsec流出处理流程
(1)查找合适的安全策略。
从ip包中提取出“选择符”来检索spd,找到该ip包所对应的流出策略,之后用此策略决定对该ip包如何处理:
绕过安全服务以普通方式传输此包或应用安全服务。
(2)查找合适的sa。
根据策略提供的信息,在安全关联数据库中查找为该ip包所应该应用的安全关联sa。
如果此sa尚未建立,则会调用ike,将这个sa建立起来。
此sa决定了使用何种基本协议(ah或esp),采用哪种模式(隧道模式或传输模式),以及确定了加密算法,验证算法,密钥等处理参数。
(3)根据sa进行具体处理。
根据sa的内容,对ip包的处理将会有几种情况:
使用隧道模式下的esp或ah协议,或者使用传输模式下的esp或ah协议。
2.ipsec流入处理
如图2-2,在流入处理过程中,数据包的处理按如下步骤执行:
图2-2ipsec流入处理流程
(1)ip包类型判断:
如果ip包中不包含ipsec头,将该包传递给下一层;如果ip包中包含ipsec头,会进入下面的处理。
(2)查找合适的sa:
从ipsec头中摘出spi,从外部ip头中摘出目的地址和ipsec协议,然后利用在sad中搜索spi。
如果sa搜索失败就丢弃该包。
如果找到对应sa,则转入以下处理。
(3)具体的ipsec处理:
根据找到的sa对数据包执行验证或解密进行具体的ipsec处理。
(4)策略查询:
根据选择符查询spd,根据此策略检验ipsec处理的应用是否正确。
最后,将ipsec头剥离下来,并将包传递到下一层,根据采用的模式的不同,下一层或者是传输层,或者是网络层。
四、实验步骤
本练习主机a、b为一组,c、d为一组,e、F为一组。
下面以主机a、b为例,说明实验步骤。
ipsec虚拟专用网络的设置
1.进入ipsec配置界面
(1)主机a、b通过“开始”|“程序”|“管理工具”|“本地安全策略”打开ipsec相关配置界面,如图2-3所示。
(2)在默认情况下ipsec的安全策略处于没有启动状态,必须进行指定,ipsec才能发挥作用。
ipsec包含以下3个默认策略,如图2-3所示。
图2-3本地安全设置
安全服务器:
对所有ip通讯总是使用kerberos信任请求安全。
不允许与不被信
任的客户端的不安全通讯。
这个策略用于必须采用安全通道进行通信的计算机。
客户端:
正常通信,默认情况下不使用ipsec。
如果通信对方请求ipsec安全通信,
则可以建立ipsec虚拟专用隧道。
只有与服务器的请求协议和端口通信是安全的。
服务器:
默认情况下,对所有ip通信总是使用kerberos信任请求安全。
允许与不
响应请求的客户端的不安全通信。
(3)以上策略可以在单台计算机上进行指派,也可以在组策略上批量指派,为了达到通过协商后双方可以通信的目的,通信双方都需要设置同样的策略并加以指派。
2.定制ipsec安全策略
(1)双击“安全服务器(需要安全)”项,进入“安全服务器属性”页,可以看到在“规则”页签中已经存在3个“ip安全规则”,单击“添加”按钮,进入向导添加新安全规则。
(2)在本练习中,我们实现的是两台主机之间的ipsec安全隧道,而不是两个网络之间的安全通信,因此,我们选择“此规则不指定隧道”,即选用传输模式ipsec,选中后单击“下一步”按钮。
(3)在选择网络类型的界面。
安全规则可以应用到3种网络类型:
所有网络连接、局域网(lan)和远程访问。
本练习中,我们选择“所有网络连接”,单击“下一步”按钮。
(4)在ip筛选器列表界面。
我们定制自己的筛选操作,单击“添加”按钮,进入“ip筛选器列表”界面,如图2-4所示。
图2-4ip筛选器列表
(5)定制自己的ip筛选器。
点击“添加”按钮进入“ip筛选器向导”,单击“下一步”按钮;
(6)在“ip筛选器描述和镜像属性”的“描述”中,可自由添加对新增筛选器的解释信息,在这里输入“与同组主机进行安全的icmp通信”,单击“下一步”按钮;
(7)ip通信源选择“我的ip地址”,单击“下一步”按钮;
(8)ip通信目标选择“一个特定的ip地址”,ip地址填写:
同组主机ip,单击“下一步”按钮;
(9)选择“icmp”协议类型,单击“下一步”按钮。
单击“完成”按钮,完成定制ip筛选器;
(10)单击“确定”按钮,退出“ip筛选器列表”对话框。
操作界面返回到“安全规则向导”,设置新的ip筛选器:
(1)在“ip筛选器列表”中选中“新ip筛选器列表”,单击“下一步”按钮;
(2)在“筛选器操作”界面单击“添加”按钮新建筛选器操作,在弹出的“筛选器操作向导”界面中,单击“下一步”按钮;
(3)新的筛选器操作名称为“安全的icmp通信”,描述自定义,单击“下一步”按钮;
(4)在“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;
(5)选中“不与不支持ipsec的计算机通信”,单击“下一步”按钮;
(6)在“ip通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”按钮完成筛选器操作设置。
(7)返回到“安全规则向导”,在“筛选器操作”列表中选中“安全的icmp通信”,单击“下一步”按钮;
(8)在“身份验证方法”界面。
选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“jlcss”(主机a、主机b的共享密钥必须一致),单击“下一步”按钮,直至最终完成。
ipsec虚拟专用网络的检测
「注」应用策略之前必须指派策略,否则策略不会自动生效。
右键点击“安全服务器”,选择“指派”使策略生效。
(1)主机a不指派策略,主机b不指派策略。
主机a在“cmd”控制台中,输入如下命令:
ping主机b的ip
填写ping操作反馈信息:
___________________________________________。
(2)主机a指派策略,主机b不指派策略。
主机a在“cmd”控制台中,输入如下命令:
ping主机b的ip
填写ping操作反馈信息:
___________________________________________。
(3)主机a不指派策略,主机b指派策略。
主机a在“cmd”控制台中,输入如下命令:
ping主机b的ip
填写ping操作反馈信息:
___________________________________________。
(4)主机a指派策略,主机b指派策略。
主机a在“cmd”控制台中,输入如下命令:
ping主机b的ip
填写ping操作反馈信息:
___________________________________________。
协议分析esp
首先确保主机a、主机b均已指派策略。
(1)主机a、b进入实验平台,单击工具栏“协议分析器”按钮,启动协议分析器。
定义过滤器,设置“网络地址”过滤为“主机a的ip主机b的ip”;单击“新建捕获窗口”按钮,点击“选择过滤器”按钮,确定过滤信息。
在新建捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
(2)主机a在“cmd”控制台中对主机b进行ping操作。
(3)待主机aping操作完成后,主机a、b协议分析器停止数据包捕获。
切换至“协议解析”视图,观察分析源地址为主机a的ip、目的地址为主机b的ip的数据包信息,如图2-5所示。
图2-5概要解析
(4)分析右侧协议树显示区中详细解析及下侧十六进制显示区中的数据,参照图2-6,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→esp报头的顺序解析数据,回答下列问题:
图2-6esp十六进制数据
esp协议类型值(十进制)__________。
安全参数索引(spi)值是_________________。
序列号是____________________。
icmp负载是否被加密封装________。
协议分析ah
(1)主机a、b同时进行如下操作,修改“icmp安全通信策略”,利用ah协议对数据源进行身份验证,而不对传输数据进行加密处理。
(2)在“本地安全设置”界面中,双击“安全服务器(需要安全)”;
(3)在“属性”对话框中,双击“新ip筛选器列表”;
(4)在“编辑规则属性”对话框中,选择“筛选器操作”页签,双击“安全的icmp
篇三:
ipsec中ah与esp安全协议
ipsec中ah与esp安全协议
ipsec使用两种协议来提供通信安全――认证头标(ah)和封装安全净载(esp)。
两种安全协议都分为隧道模式和传输模式。
传输模式用在主机到主机的ipsec通信,隧道模式用在其它任何方式的通信。
认证头标(ah)提供:
1.数据源鉴别认证联合数据完整性保护及在发送接收端使用共享密钥来保证身份的真实性。
2.数据完整性保护
通过对数据包长度进行单向散列算法计算进行保护,使用md5或sha-1算法。
在ah的传输模式下,ah散列算法计算范围是整个数据包(包括ip报头)中在传输过程中不改变的所有域。
ah包头被插入在ip报头之后,esp报头(如果有)和其它高层协议之前。
在ah的隧道模式下,ah散列算法计算整个原始数据包,并产生一个新的ip报头(新ip报头也在计算范围内,除易变字段)。
ah包头被插入在新ip报头之后。
3.可选的防重放保护
通过要求接收方在报头中设置重发比特位以表明包已被看到。
封装安全净载(esp)提供:
1.私密性(加密)
在ip层通过对数据包进行加密来提供私密性。
缺省使用des,cisco还提供3des加密。
3des加密强度是des的2倍。
在esp传输模式下,只有ip净载被加密(不包括ip报头、esp报头),esp报头被插入在ip报头之后、上层协议报头之前。
在esp隧道模式下,整个ip数据包被加密(不包括esp报头),并产生一个新的ip报头,esp报头被插入在新ip报头之后。
在esp中,先进行加密后进行鉴别。
(防止dos攻击时更快)2.有限的数据源鉴别认证
联合数据完整性保护及在发送接收端使用共享密钥来保证身份的真实性。
(只有在esp的隧道模式下可以对加密后的ip报头进行鉴别)3.数据完整性保护
esp通过可选的鉴别域来提供数据包鉴别服务(hmac),使用md5和sha-1算法。
在esp传输模式下,散列算法计算范围是ip净载及esp报头,ip报头不被鉴别。
在esp隧道模式下,散
升级会员 