計(jì)算機(jī)網(wǎng)絡(luò)安全(IP安全)

1、IP平安TCP/IP協(xié)議IPSec概述平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)認(rèn)證頭(AH)封裝平安載荷 (ESP)Internet密鑰交換協(xié)議(IKE)IPSec的實(shí)現(xiàn)TCP/IP協(xié)議Internet概述Internet平安IP層平安目錄internet和Internet internet互聯(lián)網(wǎng)或互連網(wǎng)是一個(gè)通用名詞，它泛指由多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)互連而成的虛擬網(wǎng)絡(luò)。 Internet因特網(wǎng)是一個(gè)公用名詞，它特指當(dāng)前全球最大的、開放的、由眾多網(wǎng)絡(luò)相互銜接而成的特定計(jì)算機(jī)網(wǎng)絡(luò)，它采用TCP/IP協(xié)議簇，且前身是美國的ARPANET。目錄TCP/IP協(xié)議5 之 1圖 示目錄TCP/IP協(xié)議5 之 25 之 3

2、OSI/RM和TCP/IP RM5 之 4TCP/IP例子5 之 5TCP/IP中的數(shù)據(jù)傳輸網(wǎng)絡(luò)層平安目錄TCP/IP協(xié)議3 之 1傳輸層平安目錄TCP/IP協(xié)議3 之 2運(yùn)用層平安目錄TCP/IP協(xié)議3 之 2IP層平安 IP層的主要協(xié)議是IP協(xié)議，有兩種版本的IP：IPv4和IPv6。IPv6是IPv4的后續(xù)版本，IPv6簡(jiǎn)化了IP首部，其數(shù)據(jù)報(bào)更靈敏，同時(shí)IPv6還添加了對(duì)平安性的思索。 目前因特網(wǎng)占統(tǒng)治位置的是IPv4。IPv4在設(shè)計(jì)之初沒有思索平安性，IP數(shù)據(jù)報(bào)本身并不具備任何平安特性，導(dǎo)致在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)很容易收到各式各樣的攻擊：業(yè)務(wù)流被監(jiān)聽和捕獲、IP地址欺騙、信息泄露和數(shù)據(jù)項(xiàng)

3、篡改等。目錄TCP/IP協(xié)議3 之 1IPv4首部目錄TCP/IP協(xié)議3 之 2IPv6首部目錄TCP/IP協(xié)議3 之 3IPSec概述目錄 為加強(qiáng)因特網(wǎng)的平安性，從1995年開場(chǎng)，IETF著手研討制定了一套用于維護(hù)IP通訊的IP平安協(xié)議IP Security,IPSec，目的是：為IPv4和IPv6提供具有較強(qiáng)的互操作才干、高質(zhì)量和基于密碼的平安功能，在IP層實(shí)現(xiàn)多種平安效力：訪問控制、數(shù)據(jù)完好性、數(shù)據(jù)源驗(yàn)證、抗重播、性等。 IPSec是IPv6的一個(gè)組成部分，也是IPv4的一個(gè)可擴(kuò)展協(xié)議。本課程只思索IPv4情況。7 之 1IPSec的構(gòu)成目錄兩個(gè)通訊協(xié)議 AH 和ESP。兩種操作方式 傳

4、輸方式和隧道方式。一個(gè)密鑰交換管理協(xié)議 IKE。兩個(gè)數(shù)據(jù)庫 平安戰(zhàn)略數(shù)據(jù)庫SPD和平安關(guān)聯(lián)數(shù)據(jù)庫SAD。7 之 2IPSec平安體系構(gòu)造目錄ESP:封裝平安載荷AH :驗(yàn)證頭DOI:解釋域7 之 3IPSec的文檔目錄ArchitectureRFC 2401AHRFC 2402ESPRFC 2406DOIRFC 2407ISAKMPRFC 2408OaklyRFC 2412IKERFC 2409ESP:Encapsulating Security PayloadAH:Authentication HeaderDOI:Domain Of InterpretationIKE:Internet Ke

5、y ExchangeISAKMP:Internet Security Association and Management Protocol7 之 4IPSec的效力目錄訪問控制無銜接完好性數(shù)據(jù)源認(rèn)證回絕重放數(shù)據(jù)包性嚴(yán)密有限通訊量性7 之 5IPSec的效力目錄AHESP(加密)ESP(加密+認(rèn)證)訪問控制無連接完整性數(shù)據(jù)源認(rèn)證拒絕重放包保密性有限保密性7 之 6IPSec的實(shí)現(xiàn)目錄7 之 7平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)目錄平安關(guān)聯(lián)SA平安戰(zhàn)略SP概 述目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP) 了解SA這一概念對(duì)于了解IPSec至關(guān)重要。AH和ESP協(xié)議都運(yùn)用SA來維護(hù)通訊，而IKE的主要

6、功能就是在通訊雙方協(xié)商SA。 16 之 1SA的定義目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP) SA是兩個(gè)IPSec實(shí)體主機(jī)、平安網(wǎng)關(guān)之間經(jīng)過協(xié)商建立起來的一種商定，內(nèi)容包括：采用何種IPSec協(xié)議AH？ESP？、操作方式傳輸方式？隧道方式？、驗(yàn)證算法、加密算法、加密密鑰、密鑰生存期、抗重放窗口、計(jì)數(shù)器等，從而決議了維護(hù)什么？如何維護(hù)？誰來維護(hù)？可以說SA是構(gòu)成IPSec的根底。 SA是單向的，進(jìn)入SA擔(dān)任處置接納到的IP數(shù)據(jù)報(bào)，外出SA擔(dān)任處置要發(fā)送的IP數(shù)據(jù)報(bào)。因此每個(gè)通訊方必需求有兩個(gè)SA：一個(gè)進(jìn)入SA，一個(gè)外出SA，這兩個(gè)SA構(gòu)成了一個(gè)SA束SA Bundle。16 之 2SA的管理目錄平

7、安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)16 之 3 手工管理 SA的內(nèi)容由管理員手工指定、手工維護(hù)，但是，手工操作容易出錯(cuò)，而且手工建立的SA沒有生存周期限制，除非手工刪除，因此有平安隱患。 IKE管理 普通來說，SA的自動(dòng)建立和動(dòng)態(tài)維護(hù)是經(jīng)過IKE進(jìn)展的，SA有生存周期限制。假設(shè)平安戰(zhàn)略要求建立平安、嚴(yán)密的銜接，但又不存在與該銜接相應(yīng)的SA，IPSec的內(nèi)核會(huì)立刻啟動(dòng)IKE來協(xié)商SA。平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)16 之 4 平安關(guān)聯(lián)數(shù)據(jù)庫SAD用于存儲(chǔ)SA參數(shù)。對(duì)于外出的流量，假設(shè)需求運(yùn)用IPSec處置，然而相應(yīng)的SA不存在，那么IPSec將啟動(dòng)IKE來協(xié)商出一個(gè)S

8、A，并存儲(chǔ)到SAD中。對(duì)于進(jìn)入的流量，假設(shè)需求進(jìn)展IPSec處置，IPSec將從IP數(shù)據(jù)報(bào)中得到三元組，并利用這個(gè)三元組在SAD中查找一個(gè)SA。 每個(gè)SA由三元組獨(dú)一標(biāo)識(shí)：平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 平安參數(shù)索引。分配給這個(gè)SA的一個(gè)位串并且只需本地有效，用于標(biāo)識(shí)同一個(gè)目的地的SA 。SPI在AH和ESP報(bào)頭中出現(xiàn)。16 之 5SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平

9、安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 目前，只允許單播地址；用于表示對(duì)方IP地址，對(duì)于外出流量指目的IP地址，對(duì)于進(jìn)入流量指源IP地址。16 之 6SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1SPI源/目的IP地址IPSec協(xié)議序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA標(biāo)識(shí)符SA參數(shù)闡明是AH還是ESP的SA。

10、16 之 7平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 用于生成AH或ESP頭中的序列號(hào)域，僅用于外出數(shù)據(jù)報(bào)。32位，剛開場(chǎng)通常為0，每次用SA來維護(hù)一個(gè)IP數(shù)據(jù)報(bào)時(shí)增1，對(duì)方利用此字段來檢測(cè)重放攻擊。在溢出之前，SA會(huì)重新進(jìn)展協(xié)商。16 之 8SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ES

11、P加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 一個(gè)標(biāo)志位，闡明該序數(shù)計(jì)數(shù)器能否溢出，假設(shè)是，將生成一個(gè)審計(jì)事件，并制止本SA的進(jìn)一步的IP數(shù)據(jù)報(bào)傳送。16 之 9SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 用來確定一個(gè)輸入的AH或ESP數(shù)據(jù)包能否是一個(gè)重放包。僅用于進(jìn)入數(shù)據(jù)報(bào)。16 之 10SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(

12、SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 認(rèn)證算法、密鑰、密鑰生存期、以及與AH一同運(yùn)用的其它參數(shù)。16 之 11SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 認(rèn)證算法、密鑰、密鑰生存期、以及與ESP一同運(yùn)用的其它參數(shù)。16 之 12SPI源/目的IP地址IP

13、Sec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) ESP加密算法、密鑰、初始化向量IV和IV方式ECB、CBC、CFB和OFB。16 之 13SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 傳輸方式、隧道方式或通配方

14、式暗示可用于傳輸 / 隧道方式。16 之 14SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 途徑最大傳輸單元，是可丈量和可變化的，它是IP數(shù)據(jù)報(bào)經(jīng)過一個(gè)特定的從源主機(jī)到目的主機(jī)的網(wǎng)絡(luò)路由而無需分段的IP數(shù)據(jù)報(bào)的最大長(zhǎng)度。16 之 15SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安關(guān)聯(lián)數(shù)據(jù)庫SAD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SAnSA3SA2SA1序列號(hào)計(jì)數(shù)器序列號(hào)溢出抗重放窗

15、口AH認(rèn)證信息ESP認(rèn)證信息ESP加密信息IPSec操作模式路徑MTUSA生存期SADSA參數(shù) 一個(gè)SA最長(zhǎng)能存在的時(shí)間，超越該時(shí)間后，一個(gè)SA必需用一個(gè)新的SA交換或終止，并指示發(fā)生了哪種操作。16 之 16SPI源/目的IP地址IPSec協(xié)議SA標(biāo)識(shí)符平安戰(zhàn)略SP目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP) 平安戰(zhàn)略決議了運(yùn)用于IP數(shù)據(jù)報(bào)的平安效力以及如何對(duì)IP數(shù)據(jù)報(bào)進(jìn)展處置。戰(zhàn)略保管在一個(gè)稱為平安戰(zhàn)略數(shù)據(jù)庫SPD中，可根據(jù)SA選擇器對(duì)數(shù)據(jù)庫進(jìn)展選擇。 IP數(shù)據(jù)報(bào)的進(jìn)出處置基于平安戰(zhàn)略。對(duì)于外出的IP數(shù)據(jù)報(bào)，根據(jù)SA選擇器來查找SPD中匹配的平安戰(zhàn)略條目，它會(huì)指向0個(gè)或多個(gè)SA，然后在SAD中檢

16、索這個(gè)SA，SA按指定順序依次對(duì)外出IP數(shù)據(jù)報(bào)進(jìn)展處置。對(duì)于進(jìn)入的IP數(shù)據(jù)報(bào)，首先要對(duì)IP數(shù)據(jù)報(bào)進(jìn)展平安處置。然后，根據(jù)SA選擇器對(duì)SPD數(shù)據(jù)庫進(jìn)展檢索，證明對(duì)IP數(shù)據(jù)報(bào)采取的平安戰(zhàn)略。平安戰(zhàn)略的配置和管理都沒有一致的硬性規(guī)定，但對(duì)于管理運(yùn)用來說，至少應(yīng)該具有運(yùn)用選擇器進(jìn)展檢索的功能。9 之 1平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 32位IPv4或128位IPv6地址。9 之 2平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地

17、址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 32位IPv4或128位IPv6地址。9 之 3平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 指定傳輸協(xié)議只需傳輸協(xié)議能訪問。許多情況下，只需運(yùn)用了ESP, 傳輸協(xié)議便無法訪問，此時(shí)需運(yùn)用通配符。9 之 4平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 完好的DNS名或地址。9 之 5平安戰(zhàn)略

18、數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 完好的DNS用戶名，如：，或X.500 DN。9 之 6平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 運(yùn)用端口。如無法訪問，那么運(yùn)用通配符。9 之 7平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口

19、標(biāo)志SA指針SP條目SPD 采取的動(dòng)作： Discard Bypass IPSec Apply IPSec9 之 8平安戰(zhàn)略數(shù)據(jù)庫SPD目錄平安關(guān)聯(lián)(SA)和平安戰(zhàn)略(SP)SPnSP3SP2SP1目的IP地址源IP地址傳輸層協(xié)議系統(tǒng)名用戶ID上層端口標(biāo)志SA指針SP條目SPD 包括： 指向一個(gè)SA或SA集的指針 運(yùn)用的IPSec協(xié)議 運(yùn)用的密碼算法 生成ICV的算法9 之 9認(rèn)證頭AH目錄概述AH操作方式AH頭格式AH處置過程概 述目錄認(rèn)證頭AH為IP數(shù)據(jù)報(bào)提供數(shù)據(jù)完好性和認(rèn)證功能，不提供嚴(yán)密性效力；利用MAC碼實(shí)現(xiàn)認(rèn)證，雙方必需共享一個(gè)密鑰；認(rèn)證算法由SA指定； 認(rèn)證的范圍：整個(gè)IP數(shù)據(jù)報(bào)

20、。兩種操作方式：傳輸方式：不改動(dòng)IP地址，插入一個(gè)AH；隧道方式：生成一個(gè)新的IP頭，把AH和原來的整個(gè)IP數(shù)據(jù)報(bào)放到新IP數(shù)據(jù)報(bào)的凈荷數(shù)據(jù)中。AH操作方式目錄認(rèn)證頭AH傳輸方式隧道方式傳輸方式目錄認(rèn)證頭AHAH運(yùn)用方式 傳輸方式用于兩臺(tái)主機(jī)之間實(shí)現(xiàn)端-端的平安。它所維護(hù)的IP數(shù)據(jù)報(bào)的通訊終點(diǎn)必需是IPSec終點(diǎn)。 AH頭被插在IP數(shù)據(jù)報(bào)中，緊跟在IP頭之后和需求維護(hù)的上層協(xié)議數(shù)據(jù)之前，對(duì)IP數(shù)據(jù)報(bào)中的不變部分進(jìn)展平安維護(hù)。3 之 1傳輸方式目錄認(rèn)證頭AHAH運(yùn)用方式原始IP數(shù)據(jù)報(bào)參與AH頭后的IP數(shù)據(jù)報(bào)3 之 2圖 示目錄認(rèn)證頭AHAH運(yùn)用方式AH3 之 3隧道方式目錄認(rèn)證頭AHAH運(yùn)用方式

21、 隧道方式用于主機(jī)-路由器或路由器-路由器之間的點(diǎn)-點(diǎn)通訊，維護(hù)整個(gè)IP數(shù)據(jù)報(bào)。 隧道方式先將整個(gè)IP數(shù)據(jù)報(bào)其IP頭稱為內(nèi)部IP頭進(jìn)展封裝，然后添加一個(gè)IP頭稱為外部IP頭，并在外部與內(nèi)部IP頭之間插入AH頭。該方式的通訊終點(diǎn)由受維護(hù)的內(nèi)部IP頭指定，而IPSec終點(diǎn)那么由外部IP頭指定，假設(shè)其終點(diǎn)是IPSec網(wǎng)關(guān)，那么該網(wǎng)關(guān)會(huì)復(fù)原出內(nèi)部IP數(shù)據(jù)報(bào)，再轉(zhuǎn)發(fā)到最終目的地。4 之 1隧道方式目錄認(rèn)證頭AHAH運(yùn)用方式原始IP數(shù)據(jù)報(bào)參與AH頭后的IP數(shù)據(jù)報(bào)4 之 2圖 示目錄認(rèn)證頭AHAH運(yùn)用方式AH4 之 3端-端和點(diǎn)-點(diǎn)目錄認(rèn)證頭AHAH運(yùn)用方式Transport ModeTunnel Mode

22、4 之 4AH頭格式目錄認(rèn)證頭AH3 之 1AH頭闡明(1) Next Header 8bit，用于指出AH后的下一載荷協(xié)議的類型RFC1700。在傳輸方式包括傳輸層數(shù)據(jù)下可為6TCP或17UDP；在隧道方式維護(hù)整個(gè)IP數(shù)據(jù)報(bào)下可為4IPv4或41IPv6。 Payload Length 8bit， 用于表示AH的長(zhǎng)度(32位為單位)。 Reserved 8bit，保管，未運(yùn)用時(shí)必需設(shè)為0。 SPI 32bit，用來指定此IP數(shù)據(jù)報(bào)的SA。將目的IP地址和SPI組合即可確定SA。目錄認(rèn)證頭AH3 之 2AH頭闡明(2) Sequence Number 32bit，用來防止重放攻擊指黑客在通訊線

23、路上非法竊取數(shù)據(jù)，復(fù)制后發(fā)往對(duì)方進(jìn)展的偽裝攻擊。詳細(xì)做法：發(fā)送方將每個(gè)IPSec分組依次將序號(hào)加1后發(fā)送，接納方對(duì)此序號(hào)進(jìn)展校驗(yàn)就可以抵御重放攻擊。 Authentication Data 長(zhǎng)度可變32bit的整數(shù)倍，包含IP數(shù)據(jù)報(bào)的認(rèn)證數(shù)據(jù)，稱為完好性校驗(yàn)值(ICV)。生成ICV的算法由SA指定，詳細(xì)視IPSec的詳細(xì)實(shí)現(xiàn)而定。為保證互操作性，AH強(qiáng)迫一切的IPSec必需實(shí)現(xiàn)兩個(gè)MAC：HMAC-MD5、 HMAC-SHA-1。目錄認(rèn)證頭AH3 之 3AH輸出-輸入處置流程封裝平安載荷 (ESP)目錄概述ESP操作方式ESP頭格式ESP處置過程概 述目錄封裝平安載荷 (ESP)提供嚴(yán)密功能，

24、包括報(bào)文內(nèi)容的性和有限的通訊量的性，也可以提招認(rèn)證效力可選；ESP協(xié)議認(rèn)證的原理與AH協(xié)議一樣，ESP協(xié)議加密采用的是對(duì)稱密鑰加密算法；加密算法和認(rèn)證算法由SA指定；兩種操作方式：傳輸方式和隧道方式。ESP操作方式目錄封裝平安載荷 (ESP)傳輸方式隧道方式傳輸方式目錄封裝平安載荷 (ESP)ESP操作方式 傳輸方式用于兩臺(tái)主機(jī)之間實(shí)現(xiàn)端-端的平安。它所維護(hù)的IP數(shù)據(jù)報(bào)的通訊終點(diǎn)必需是IPSec終點(diǎn)。 ESP頭被插在IP數(shù)據(jù)報(bào)中，緊跟在IP頭之后和需求維護(hù)的上層協(xié)議數(shù)據(jù)之前，對(duì)IP數(shù)據(jù)報(bào)中的載荷進(jìn)展維護(hù)加密、認(rèn)證。3 之 1傳輸方式目錄封裝平安載荷 (ESP)ESP操作方式原始IP數(shù)據(jù)報(bào)運(yùn)用E

25、SP后的IP數(shù)據(jù)報(bào)3 之 2傳輸方式的加密目錄封裝平安載荷 (ESP)ESP操作方式3 之 3隧道方式目錄封裝平安載荷 (ESP)ESP操作方式 隧道方式用于主機(jī)-路由器或路由器-路由器之間的點(diǎn)-點(diǎn)通訊，維護(hù)整個(gè)IP數(shù)據(jù)報(bào)。 隧道方式先將整個(gè)IP數(shù)據(jù)報(bào)其IP頭稱為內(nèi)部IP頭進(jìn)展封裝，然后添加一個(gè)IP頭稱為外部IP頭，并在外部與內(nèi)部IP頭之間插入ESP頭。該方式的通訊終點(diǎn)由受維護(hù)的內(nèi)部IP頭指定，而IPSec終點(diǎn)那么由外部IP頭指定，假設(shè)其終點(diǎn)是IPSec網(wǎng)關(guān)，那么該網(wǎng)關(guān)會(huì)復(fù)原出內(nèi)部IP數(shù)據(jù)報(bào)，再轉(zhuǎn)發(fā)到最終目的地。3 之 1隧道方式目錄封裝平安載荷 (ESP)ESP操作方式原始IP數(shù)據(jù)報(bào)運(yùn)用ES

26、P后的IP數(shù)據(jù)報(bào)3 之 2傳輸方式的加密目錄封裝平安載荷 (ESP)ESP操作方式3 之 3ESP頭格式目錄封裝平安載荷 (ESP)ESP頭部ESP尾部ESP驗(yàn)證數(shù)據(jù)ESP輸出-輸入處置流程Internet密鑰交換協(xié)議(IKE)目錄概述ISAKMP協(xié)議IKE協(xié)議概 述目錄IKE IPSec運(yùn)用共享密鑰來執(zhí)行認(rèn)證和性保證義務(wù)，為數(shù)據(jù)傳輸提供平安效力。利用Internet密鑰交換協(xié)議IKE可以動(dòng)態(tài)地驗(yàn)證IPSec參與各方的身份、協(xié)商平安效力以及生成共享密鑰等，也即建立“平安關(guān)聯(lián)SA關(guān)系。 整個(gè)IKE協(xié)議規(guī)范主要由3個(gè)文檔定義：RFC 2407IPSec DOI、RFC 2408ISAKMP和RFC

27、 2409IKE。ISAKMP協(xié)議目錄IKE概述報(bào)文格式協(xié)商階段交換類型概 述目錄IKEISAKMP協(xié)議 Internet平安關(guān)聯(lián)密鑰管理協(xié)議ISAKMP定義了協(xié)商、建立、修正和刪除SA的過程和格式。ISAKMP只是為SA的屬性和協(xié)商、修正、刪除SA的方法提供了一個(gè)通用的框架，并沒有定義詳細(xì)的SA格式。ISAKMP沒有定義任何密鑰交換協(xié)議的細(xì)節(jié)，也沒有定義任何詳細(xì)的加密算法、密鑰生成技術(shù)或認(rèn)證機(jī)制。這個(gè)通用的框架是與密鑰交換獨(dú)立的，可以被不同的密鑰交換協(xié)議運(yùn)用。ISAKMP報(bào)文格式目錄IKEISAKMP協(xié)議 ISAKMP報(bào)文可經(jīng)過TCP或UDP傳輸，端口為 500，普通情況下常用UDP協(xié)議。

28、ISAKMP報(bào)文格式為： ISAKMP報(bào)頭 + 一個(gè)或多個(gè)有效載荷ISAKMP報(bào)頭格式目錄IKEISAKMP協(xié)議ISAKMP報(bào)文格式4 之 1解 釋 發(fā)起方Cookie 64bit，用于協(xié)助通訊雙方驗(yàn)證一個(gè)ISAKMP報(bào)文能否真的來自對(duì)方。生成的方法可不同，建議采用MD5、SHA-1或其它支持的Hash函數(shù)利用源IP地址、目的IP地址、 UDP/TCP源端口、 UDP/TCP目的端口、生成時(shí)間等生成。對(duì)于一個(gè)SA來說必需保證獨(dú)一。 接納方Cookie 64bit，作用同上。目錄IKEISAKMP協(xié)議ISAKMP報(bào)文格式4 之 2解 釋 下一個(gè)載荷 8bit，表示緊跟在ISAKMP報(bào)文頭部之后的

29、第一個(gè)載荷的類型。目前曾經(jīng)定義了13種載荷。 主版本 4bit，表示ISAKMP協(xié)議的主版本號(hào)。 次版本 4bit，表示ISAKMP協(xié)議的次版本號(hào)。 交換類型 8bit，表示該報(bào)文所屬的交換類型。目前定義了5種交換類型。目錄IKEISAKMP協(xié)議ISAKMP報(bào)文格式4 之 3解 釋 標(biāo)志 8bit，目前只需后3bit有用：bit 0為加密位， bit 1為提交位， bit 2為驗(yàn)證位。 報(bào)文ID 32bit，包含的是由第二階段協(xié)商的發(fā)起方生成的隨機(jī)值，這個(gè)獨(dú)一的報(bào)文標(biāo)識(shí)可以獨(dú)一確定第二階段的協(xié)議形狀。 報(bào)文長(zhǎng)度 32bit，以字節(jié)為單位表示了整個(gè)ISAKMP報(bào)文的總長(zhǎng)度。目錄IKEISAKMP

30、協(xié)議ISAKMP報(bào)文格式4 之 4ISAKMP載荷頭部不論何種載荷，都有一個(gè)一樣格式的載荷頭部。目錄IKEISAKMP協(xié)議ISAKMP報(bào)文格式2 之 1解 釋 下一個(gè)載荷 8bit，表示緊跟在本載荷之后的下一個(gè)載荷的類型。這樣，不同的載荷可以像鏈條一樣鏈接起來，最后一個(gè)載荷的本字段為0。 保管 8bit，全0。 載荷長(zhǎng)度 16bit，以字節(jié)為單位表示的載荷長(zhǎng)度包括載荷頭部。目錄IKEISAKMP協(xié)議ISAKMP報(bào)文格式2 之 2ISAKMP協(xié)商階段目錄IKEISAKMP協(xié)議 協(xié)商過程分為兩個(gè)階段： 階段一 兩個(gè)實(shí)體協(xié)商在它們之間如何維護(hù)之后的傳輸，并建立起一個(gè)主，后續(xù)運(yùn)用的任何都將根據(jù)主產(chǎn)生。本階段的目的是在通訊實(shí)體之間建立一個(gè)曾經(jīng)經(jīng)過身份驗(yàn)證和平安維護(hù)的通道。 階段二 利用第一階段建立的平安通道，為詳細(xì)的平安協(xié)議建立平安關(guān)聯(lián)，例如：IPSec SA。ISAKMP交換類型目錄IKEISAKMP協(xié)議 交換類型定義的是在通訊雙方所傳送的載荷的類型和順序，例如：一方先發(fā)送什么載荷？另一方應(yīng)如何應(yīng)對(duì)等。 ISAKMP定義了5種交換類型： 根本交換(Base Exchange) 身份維護(hù)交換(Identity Protection Exchange) 純認(rèn)證交換(Authentication Only Exchange