【正文】 的連接，但又不存在與該連接相應的 SA， IPSec的內(nèi)核會立即啟動 IKE來協(xié)商 SA。 SA是單向的， 進入進入 SA負責處理接收到的 IP數(shù)據(jù)報， 外外出出 SA負責處理要發(fā)送的 IP數(shù)據(jù)報。 IKE:Inter Key Exchange216。7 之 21/28/2023 15IPSec安全體系結(jié)構目錄ESP:封裝安全載荷AH :驗證頭DOI:解釋域7 之 31/28/2023 16IPSec的文檔目錄ArchitectureRFC 2401AHRFC 2402ESPRFC 2406DOIRFC 2407ISAKMPRFC 2408OaklyRFC 2412IKERFC 2409216。7 之 11/28/2023 14IPSec的構成目錄w 兩個通信協(xié)議兩個通信協(xié)議 AH 和 ESP。 IPv4在設計之初沒有考慮安全性， IP數(shù)據(jù)報本身并不具備任何安全特性，導致在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)很容易收到各式各樣的攻擊：業(yè)務流被監(jiān)聽和捕獲、 IP地址欺騙、信息泄露和數(shù)據(jù)項篡改等。 Inter（因特網(wǎng)）（因特網(wǎng)） 是一個專用名詞，它特指當前全球最大的、開放的、由眾多網(wǎng)絡相互連接而成的特定計算機網(wǎng)絡，它采用TCP/IP協(xié)議簇，且前身是美國的 ARPANET。目錄 TCP/IP協(xié)議 5 之 11/28/2023 3圖 示目錄 TCP/IP協(xié)議 5 之 21/28/2023 45 之 3OSI/RM和和 TCP/IP RM1/28/2023 55 之 4TCP/IP例子例子1/28/2023 65 之 5TCP/IP中的數(shù)據(jù)傳輸中的數(shù)據(jù)傳輸1/28/2023 7網(wǎng)絡層安全目錄 TCP/IP協(xié)議 3 之 11/28/2023 8傳輸層安全目錄 TCP/IP協(xié)議 3 之 21/28/2023 9應用層安全目錄 TCP/IP協(xié)議 3 之 21/28/2023 10IP層安全 IP層的主要協(xié)議是 IP協(xié)議，有兩種版本的 IP：IPv4和 IPv6。目錄 TCP/IP協(xié)議 3 之 11/28/2023 11IPv4首部目錄 TCP/IP協(xié)議 3 之 21/28/2023 12IPv6首部目錄 TCP/IP協(xié)議 3 之 31/28/2023 13IPSec概述目錄 為加強因特網(wǎng)的安全性，從 1995年開始，IETF著手研究制定了一套用于保護 IP通信的 IP安全協(xié)議（ IP Security,IPSec），目的是：為 IPv4和IPv6提供具有較強的互操作能力、高質(zhì)量和基于密碼的安全功能，在 IP層實現(xiàn)多種安全服務：訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源驗證、抗重播、機密性等。w 兩種操作模式兩種操作模式 傳輸模式傳輸模式 和 隧道模式隧道模式 。 ESP:Encapsulating Security Payload216。 ISAKMP:Inter Security Association and Management Protocol7 之 41/28/2023 17IPSec的服務目錄w 訪問控制w 無連接完整性w 數(shù)據(jù)源認證w 拒絕重放數(shù)據(jù)包w 機密性（保密）w 有限通信量機密性7 之 51/28/2023 18IPSec的服務目錄AH ESP(加密 ) ESP(加密 +認證 )訪問控制 ? ? ?無連接完整性 ? ?數(shù)據(jù)源認證 ? ?拒絕重放包 ? ? ?保密性 ? ?有限保密性 ? ?7 之 61/28/2023 19IPSec的實現(xiàn)目錄 7 之 71/28/2023 20安全關聯(lián) (SA)和安全策略 (SP)目錄w 安全關聯(lián)（ SA）w 安全策略（ SP）1/28/2023 21概 述目錄 安全關聯(lián) (SA)和安全策略 (SP) 理解理解 SA這一概念對于理解這一概念對于理解 IPSec至關重要至關重要 。因此每個通信方必須要有兩個 SA：一個進入 SA，一個外出 SA，這兩個 SA構成了一個 SA束束 （ SA Bundle）。1/28/2023 24安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP) 16 之 4 安全關聯(lián)數(shù)據(jù)庫（安全關聯(lián)數(shù)據(jù)庫（ SAD）用于存儲）用于存儲 SA參數(shù)參數(shù) 。分配給這個安全參數(shù)索引。16 之 5SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 26安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數(shù) 目前，只允許單播地址；用目前，只允許單播地址；用于表示對方于表示對方 IP地址，對于外出流地址，對于外出流量指目的量指目的 IP地址，對于進入流量地址，對于進入流量指源指源 IP地址。號域，僅用于外出數(shù)據(jù)報。會重新進行協(xié)商。數(shù)據(jù)包是否是一個重放包。參數(shù)。）。據(jù)報的最大長度。策略保存在一個稱為安全策略數(shù)據(jù)庫（ SPD）中，可根據(jù) SA選擇器對數(shù)據(jù)庫進行選擇。然后，根據(jù) SA選擇器對 SPD數(shù)據(jù)庫進行檢索，證實對 IP數(shù)據(jù)報采取的安全策略。9 之 21/28/2023 39安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 32位位 IPv4或或 128位位 IPv6地址。許多情況下，只要使用了要使用了 ESP, 傳輸協(xié)傳輸協(xié)議便無法訪問，此時議便無法訪問，此時需使用通配符。9 之 51/28/2023 42安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 完整的完整的 DNS用戶用戶名，如：名，如：，或，或 DN。符。 Apply IPSec9 之 81/28/2023 45安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 包括：包括：252。 生成生成 ICV的算法的算法9 之 91/28/2023 46認證頭（ AH）目錄w 概述w AH操作模式w AH頭格式w AH處理過程1/28/2023 47概 述目錄 認證頭 AHw 為 IP數(shù)據(jù)報提供數(shù)據(jù)完整性和認證功能，不提供保密性服務；w 利用 MAC碼實現(xiàn)認證，雙方必須共享一個密鑰；w 認證算法由 SA指定； 認證的范圍：整個 IP數(shù)據(jù)報。 AH頭被插在 IP數(shù)據(jù)報中，緊跟在 IP頭之后和需要保護的上層協(xié)議數(shù)據(jù)之前，對 IP數(shù)據(jù)報中的不變部分進行安全保護。4 之 11/28/2023 53隧道模式目錄 認證頭 AHAH使用模式原始 IP數(shù)據(jù)報加入 AH頭后的 IP數(shù)據(jù)報4 之 21/28/2023 54圖 示目錄 認證頭 AHAH使用模式AH4 之 31/28/2023 55端 端和點 點目