【正文】 3 二、 問題分析 系統(tǒng)需求 根據(jù)實際的工作要求，系統(tǒng)應(yīng)滿足以下要求： 1. 應(yīng)覆蓋網(wǎng)內(nèi)的所有主機，為所有主機提供可配置的、可選擇的安全通信方式。 2. 為網(wǎng)絡(luò)用戶提供身份鑒別、訪問控制、數(shù)據(jù)完整性、認(rèn)證等網(wǎng)絡(luò)安全服務(wù)。 3. 分別在 Linux 和 Windows 2020 兩種系統(tǒng)下實現(xiàn) IPsec 協(xié)議，并保證能在兩種操作系統(tǒng)之間互聯(lián)互通。 4. 安全系統(tǒng)對原有的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)透明。即系統(tǒng)不占用原網(wǎng)絡(luò)系統(tǒng) 中任何 IP地址；裝入系統(tǒng)后，不影響原有網(wǎng)絡(luò)整體性能；原有的網(wǎng)絡(luò)結(jié)構(gòu)不需要改變。 系統(tǒng)設(shè)計目標(biāo) 系統(tǒng)的實際目標(biāo)如下： 1. 實現(xiàn)方式的模塊化；系統(tǒng)內(nèi)部要實現(xiàn)加、解密（包括驗證）算法的獨立，以便用戶可以擴(kuò)展自己的加密 /認(rèn)證算法； AH 協(xié)議和 ESP 協(xié)議實現(xiàn)的獨立，保證可以被單獨聯(lián)合使用；加密流程和解密流程獨立，保證單位工作的獨立性；密鑰管理和 IPsec 流程的獨立，方便擴(kuò)展密鑰交換協(xié)議。 2. 系統(tǒng)應(yīng)實現(xiàn) IETF 規(guī)定的默認(rèn)加密 /認(rèn)證算法，包括 HMACMD HMACSHADES、 3DES；系統(tǒng)應(yīng)支持軟件和硬 件加密，并為擴(kuò)展加密 /認(rèn)證算法和硬件加密方式預(yù)留接口。 3. 支持安全聯(lián)盟的手工配置和自動協(xié)商建立。 4. 支持對報文先壓縮的傳輸方式，以提高效率。 5. 靈活方便，安全配置簡單。用戶可以根據(jù)實際需要，自由地選擇是否選擇安全訪問服務(wù)、所使用的安全協(xié)議和加密 /認(rèn)證算法等。 4 三、 IPsec 協(xié)議 協(xié)議簡介 IPsec 提供了一種標(biāo)準(zhǔn)的、健壯的以及包容廣泛的安全機制，可以用它為 IP及上層協(xié)議（如 TCP、 UDP 等）提供安全保證。 IPsec 工作在網(wǎng)絡(luò)層，其目標(biāo)是為 IPV4 和 IPV6 提供具有較強的互操作能力、 高質(zhì)量和基于密碼的安全；為在未經(jīng)保護(hù)的網(wǎng)絡(luò)上傳輸敏感信息提供安全 。 IPsec 對于 IPV4 是可選的，對于 IPV6是強制性的。 IPsec 是一個開放的標(biāo)準(zhǔn)體系，所使用的協(xié)議被設(shè)計成與算法無關(guān)的 。 密碼算法的選擇取決于 IPSce 的具體實現(xiàn)。但為了保證各種 IPsec 系統(tǒng)之間的互操作性， IETF 規(guī)定了一組標(biāo)準(zhǔn)的默認(rèn)算法．主要的默認(rèn)算法有： 1．加密算法： DES（ Date Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)） 3DES（ Triple DES） 2. 消息完整性（散列 ）函數(shù)： HMAC（ Hashbased Message Authentication，基于散列的消息認(rèn)證碼 ） MD5（ Message Digest5， 消息摘要算法 5） SHA1（ Secure Hash Algorithm1，安全散列算法 1） 3．對等實體認(rèn)證： RSA（ Rivest Shami Adelman）數(shù)字簽名 4．密鑰管理： DH（ DifferHellman） CA（ Certificate Authority，證書 授權(quán)） IPsec 提供以下網(wǎng)絡(luò)安全服務(wù)，這些服務(wù)是可選的，可以根據(jù)通信雙方的安全 策略指定一個或者多個這些服 服務(wù) ： 1．?dāng)?shù)據(jù)機密性： IPsec 發(fā)送者在發(fā)送時能夠加密數(shù)據(jù)包 。 2. 數(shù)據(jù)完整性： IPsec 接收者可以認(rèn)證由 IPsec 發(fā)送者發(fā)送的包，確定在傳輸過程中沒有被更改 。 3. 數(shù)據(jù)起源驗證； IPsec 接收者可以驗證發(fā)送 IPsec 數(shù)據(jù)包的真正來源，這項 服務(wù)是依賴于數(shù)據(jù)完整性來實現(xiàn)的。 4．抗重放服務(wù)： IPsec 接收者可以檢測和拒絕重放的數(shù)據(jù)包 。 IPsec 是 一 組協(xié)議 的集合。它包括安全協(xié)議和密鑰協(xié)商兩個部分。安全協(xié)議 5 部分定義了對通信的安全保護(hù)機制；密鑰協(xié)商部分定義了如何為安全協(xié)議提供所需 要的各種參數(shù)，以及如何對通信實體的身份進(jìn)行鑒別。 IPsec 安全協(xié)議給出了 ESp 協(xié)議（封裝安全載荷）和 AH 協(xié)議（認(rèn)證頭）兩種通信保護(hù)機制。 IPsec協(xié)議使用 IKE（ Inter 密鑰交換）協(xié)議實現(xiàn)安全協(xié)議的安全參數(shù)協(xié)商． IKE協(xié)商的安全參數(shù)包括加密／鑒別算法、通信的保護(hù)模式（傳輸模式或隧道模式）、密鑰的生存期等， IKE 將這些安全參數(shù)構(gòu)成的集合稱為安全關(guān)聯(lián) SA。 下面的章節(jié)對 IPsec 的體系結(jié)構(gòu)進(jìn)行簡單的闡述 。 IPsec 的安全協(xié)議 AH 協(xié)議 設(shè)計認(rèn)證頭（ AH）協(xié)議的目的是用來增加 IP 數(shù)據(jù)報的安全性。 AH 協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)。然而， AH 不提供任何保密性服務(wù)：它不加密所保護(hù)的數(shù)據(jù)包。 AH 的作用是為 IP 數(shù)據(jù)流提供高強度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。 AH 使用消息認(rèn)證碼（ MAC）對 IP進(jìn)行認(rèn)證。 MAC 是一種算法，它接收一個任意長度的消息和一個密鑰，生成一個固定長度的輸出，稱作消息摘要或指紋。 MAC 不同與散列函數(shù)。因為 它需要密鑰來產(chǎn)生消息摘要，而散列函數(shù)不需要密鑰。最常用的 MAC 是 HMAC。 HMAC 可以和任何迭代密碼散列函數(shù)（如 MD5,SHA1,RIPEMD160 等）結(jié)合使用，而不用對散列函數(shù)進(jìn)行修改。 因為生成 IP 數(shù)據(jù)報的消息摘要需要密鑰，所有 IPsec 的通信雙方需要共享密鑰。假設(shè)：如果采用的密鑰不同，對一個 MAC 輸入指定數(shù)據(jù)計算出相同的消息摘要是計算上不可行的。于是，只有共享密鑰的通信雙方才可以采用預(yù)先定義的MAC 對一個確定的消息生成確定的認(rèn)證數(shù)據(jù)。 AH 協(xié)議頭格式如下： 6 N e x t H e a d e r P a y l o a d L e n R E S E R V E D 0 7 1 5 3 1 S e c u r i t y P a r a m e t e r s I n d e x ( S P I )S e q u e n c e N u m b e r F i e l dI n t e g r i t y C h e c k V a l u e I