网络互联技术(第2版)梁广民数字资源5.3.4 ah和esp.ppt

#14496)国家精品课程国家精品资源共享课程教育部网络技术专业教学资源库课程“十二五”KEY交换(KeyExchange(IKE)):提供安全参数协商框架建立验证key封装安全载荷(EncapsulatingSecurityPayload(ESP)):提供加密、验证和数据安全的框架验证包头(AuthenticationHeader(AH)):提供验证和数据安全的框架ESP和AH加密(Encryption)验证Authentication完整性(Integrity)ESP在IP包头协议字段是50数据明文RouterARouterB数据加密(RouterARouterB验证(Authentication)完整性(Integrity)AH在IP包头协议字段是51验证包头(AuthenticationHeader)封装安全载荷(EncapsulatingSecurityPayload)IPsec包头ESPandAH包头AH协议保留负载长度认证数据(完整性校验值ICV)变长序列号安全参数索引(SPI)下一头部负载AH头部IP头部认证数据:一个变长字段,也叫IntegrityCheckValue,由SA初始化时指定的算法来计算。保留负载长度认证数据(完整性校验值ICV)变长序列号安全参数索引(SPI)下一头部下一头部:8比特,标识认证头后面的下一个负载类型负载长度:8比特,表示以32比特为单位的AH头部长度保留字段:16比特,保留将来使用,Default=0SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,序列号不允许重复32位ESP认证数据:一个变长字段,也叫IntegrityCheckValue,由SA初始化时指定的算法来计算。下一头部:8比特,标识认证头后面的下一个负载类型填充字段:8比特,大多数加密加密算法要求输入数据包含整数各分组,因此需要填充负载数据:包含由下一头部字段给出的变长数据SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义ESP认证ESP尾负载ESP头IP头填充(0~255字节)下一头部填充长度认证数据(变长的)负载数据(变长的)序列号安全参数索引(SPI)填充长度给出前面填充字段的长度,置0时表示没有填充下一头部填充长度认证数据(变长的)填充(0~255字节)负载数据(变长的)序列号安全参数索引(SPI)32位ESP头部ESP尾部ESP认证数据加密的认证的序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,负载IP头部HostAHostBVPN网关VPN网关负载AH头部IP头部负载AH头部IP头部负载IP头部经过IPSec核心处理以后经过IPSec核心处理以后负载AH头部IP头部