第八部分-網(wǎng)絡(luò)協(xié)議的安全(1)：IP層的安全協(xié)議IPSec

1、 IPV4的局限性表現(xiàn)在：的局限性表現(xiàn)在：1. IPV4的尋址能力有限。2. IPV4沒有優(yōu)先級的劃分。3. IPV4的安全性差。對于通信的雙方，不能保證收到的IP數(shù)據(jù)報：確系來自聲明的發(fā)送方（IP報頭內(nèi)的源地址）；確系原始數(shù)據(jù)，未被任何篡改；未發(fā)生泄密事件；IPSec (IPSecurity)IPSec(IP Security)產(chǎn)生于IPv6的制定之中，用于提供IP層的安全性。由于所有支持TCPIP協(xié)議的主機進行通信時，都要經(jīng)過IP層的處理，所以提供了IP層的安全性就相當于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增添了對IPv4的支持。最初

2、的一組有關(guān)IPSec標準由IETF在1995年制定，但由于其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截止至1998年11月份主要協(xié)議已經(jīng)基本制定完成。不過這組新的協(xié)議仍然存在一些問題，預計在不久的將來IETF又會進行下一輪IPSec的修訂工作。IPSec的目標是：的目標是：為IPV4和IPV6提供具有較強的互操作能力、高質(zhì)量和基于密碼技術(shù)的安全能力，在網(wǎng)絡(luò)層實現(xiàn)多種安全服務，包括訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源驗證、抗重播和機密性等等。 IPSec通過支持一系列加密算法如DES、三重DES 、IDEA和AES等確保通信雙方的機密性。 IPSec基本工作

3、原理基本工作原理IPSec的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。 處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。IPSec通過查詢SPD (Security Policy Database安全策略數(shù)據(jù)庫)決定對接收到的IP數(shù)據(jù)包的處理。SPD中存儲了IPSec協(xié)議的安全策略，其每個條目都定義了要保護的是什么通信，怎樣保護以及和誰共享這種保護。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞

4、過IPSec)外，還有一種，即進行IPSec處理。正是這新增添的處理方法提供了比包過濾防火墻更進一步的網(wǎng)絡(luò)安全性。進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。包過濾防火墻只能包過濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內(nèi)部某些站點，也可以拒絕某個內(nèi)部站點對某些外部網(wǎng)站的訪問。但是包過濾防火墻不能保證不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性，真實性，完整性，通過Internet進行安全的通信才成為可能。IPSec既可以

5、只對IP數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式，一種是傳輸模式，另一種是隧道模式。 IPSec 的工作模式的工作模式1. 傳輸模式傳輸模式主要用于兩臺主機之間，保護傳輸層協(xié)議頭，實現(xiàn)端到端的安全。只對IP數(shù)據(jù)包的有效負載進行加密或認證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，而IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。2. 隧道模式隧道模式主要用于主機和路由器之間或者兩臺路由器之間，保護整個IP數(shù)據(jù)報。對整個IP數(shù)據(jù)報進行加密或認證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部

6、和以前的IP數(shù)據(jù)報之間，從而組成一個新的IP頭部。 在隧道模式下，將整個IP數(shù)據(jù)報（其報頭稱為內(nèi)部IP頭）進行封裝，然后增加一個IP頭（稱為外部IP頭），并在外部與內(nèi)部IP頭之間插入一個IPSec頭。該模式的通信終點由受保護的內(nèi)部IP頭指定，而IPSec的終點則由外部IP頭指定。IPSec支持嵌套的隧道，即對已經(jīng)隧道化的數(shù)據(jù)報再進行隧道化處理。IPSec的組成的組成IPSec主要功能為加密和認證，為了進行加密和認證IPSec還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。 IPSec結(jié)合了三個主要的協(xié)議從而組成一個和諧的安全框架。l Internet 密

7、鑰交換（密鑰交換（IKE）協(xié)議）協(xié)議l 封裝安全載荷（封裝安全載荷（ESP）協(xié)議）協(xié)議l 認證頭（認證頭（AH）協(xié)議）協(xié)議 安全關(guān)聯(lián)安全關(guān)聯(lián)通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當雙方協(xié)商好使用的安全策略后，我們就說雙方建立了一個SA。SA ( Security Association )是兩個應用IPSec的實體之間的一個單向的邏輯連接。它決定了如何保護通信數(shù)據(jù)，保護什么樣的通信數(shù)據(jù)以及由誰實行保護的問題。SA是實現(xiàn)IPSec的基礎(chǔ)。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接，可以由AH或ESP提供。當給定了一個SA，就確定了IPSec要執(zhí)行的處理，如加密，認證等。 IKE的主要功能就是SA的建立和維護。只要實現(xiàn)AH和ESP都必須提供對SA的支持。 SA的組成的組成 SPI(安全策略索引安全策略索引)用來標識發(fā)送方是使用哪組加密策略來處理IP數(shù)據(jù)包的，當接收方看到了這個序號就知道了對收到的IP數(shù)據(jù)包應該如何處理。目的地址目的地址所使用的機制所使用的機制SA可以事先手工建立，也可以在需要時通過因特網(wǎng)密鑰交換協(xié)議動態(tài)建立。SA是單向的，一個關(guān)聯(lián)就是發(fā)送者與接收者之間的一個單向關(guān)系。如