【正文】 的連接，但又不存在與該連接相應的 SA， IPSec的內核會立即啟動 IKE來協(xié)商 SA。 SA是單向的， 進入進入 SA負責處理接收到的 IP數據報， 外外出出 SA負責處理要發(fā)送的 IP數據報。 IKE:Inter Key Exchange216。7 之 21/28/2023 15IPSec安全體系結構目錄ESP:封裝安全載荷AH :驗證頭DOI:解釋域7 之 31/28/2023 16IPSec的文檔目錄ArchitectureRFC 2401AHRFC 2402ESPRFC 2406DOIRFC 2407ISAKMPRFC 2408OaklyRFC 2412IKERFC 2409216。7 之 11/28/2023 14IPSec的構成目錄w 兩個通信協(xié)議兩個通信協(xié)議 AH 和 ESP。 IPv4在設計之初沒有考慮安全性， IP數據報本身并不具備任何安全特性，導致在網絡上傳輸的數據很容易收到各式各樣的攻擊：業(yè)務流被監(jiān)聽和捕獲、 IP地址欺騙、信息泄露和數據項篡改等。 Inter（因特網）（因特網） 是一個專用名詞，它特指當前全球最大的、開放的、由眾多網絡相互連接而成的特定計算機網絡，它采用TCP/IP協(xié)議簇，且前身是美國的 ARPANET。目錄 TCP/IP協(xié)議 5 之 11/28/2023 3圖 示目錄 TCP/IP協(xié)議 5 之 21/28/2023 45 之 3OSI/RM和和 TCP/IP RM1/28/2023 55 之 4TCP/IP例子例子1/28/2023 65 之 5TCP/IP中的數據傳輸中的數據傳輸1/28/2023 7網絡層安全目錄 TCP/IP協(xié)議 3 之 11/28/2023 8傳輸層安全目錄 TCP/IP協(xié)議 3 之 21/28/2023 9應用層安全目錄 TCP/IP協(xié)議 3 之 21/28/2023 10IP層安全 IP層的主要協(xié)議是 IP協(xié)議，有兩種版本的 IP：IPv4和 IPv6。目錄 TCP/IP協(xié)議 3 之 11/28/2023 11IPv4首部目錄 TCP/IP協(xié)議 3 之 21/28/2023 12IPv6首部目錄 TCP/IP協(xié)議 3 之 31/28/2023 13IPSec概述目錄 為加強因特網的安全性，從 1995年開始，IETF著手研究制定了一套用于保護 IP通信的 IP安全協(xié)議（ IP Security,IPSec），目的是：為 IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全功能，在 IP層實現多種安全服務：訪問控制、數據完整性、數據源驗證、抗重播、機密性等。w 兩種操作模式兩種操作模式 傳輸模式傳輸模式 和 隧道模式隧道模式 。 ESP:Encapsulating Security Payload216。 ISAKMP:Inter Security Association and Management Protocol7 之 41/28/2023 17IPSec的服務目錄w 訪問控制w 無連接完整性w 數據源認證w 拒絕重放數據包w 機密性（保密）w 有限通信量機密性7 之 51/28/2023 18IPSec的服務目錄AH ESP(加密 ) ESP(加密 +認證 )訪問控制 ? ? ?無連接完整性 ? ?數據源認證 ? ?拒絕重放包 ? ? ?保密性 ? ?有限保密性 ? ?7 之 61/28/2023 19IPSec的實現目錄 7 之 71/28/2023 20安全關聯(lián) (SA)和安全策略 (SP)目錄w 安全關聯(lián)（ SA）w 安全策略（ SP）1/28/2023 21概 述目錄 安全關聯(lián) (SA)和安全策略 (SP) 理解理解 SA這一概念對于理解這一概念對于理解 IPSec至關重要至關重要 。因此每個通信方必須要有兩個 SA：一個進入 SA，一個外出 SA，這兩個 SA構成了一個 SA束束 （ SA Bundle）。1/28/2023 24安全關聯(lián)數據庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP) 16 之 4 安全關聯(lián)數據庫（安全關聯(lián)數據庫（ SAD）用于存儲）用于存儲 SA參數參數 。分配給這個安全參數索引。16 之 5SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 26安全關聯(lián)數據庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數 目前，只允許單播地址；用目前，只允許單播地址；用于表示對方于表示對方 IP地址，對于外出流地址，對于外出流量指目的量指目的 IP地址，對于進入流量地址，對于進入流量指源指源 IP地址。號域，僅用于外出數據報。會重新進行協(xié)商。數據包是否是一個重放包。參數。）。據報的最大長度。策略保存在一個稱為安全策略數據庫（ SPD）中，可根據 SA選擇器對數據庫進行選擇。然后，根據 SA選擇器對 SPD數據庫進行檢索，證實對 IP數據報采取的安全策略。9 之 21/28/2023 39安全策略數據庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 32位位 IPv4或或 128位位 IPv6地址。許多情況下，只要使用了要使用了 ESP, 傳輸協(xié)傳輸協(xié)議便無法訪問，此時議便無法訪問，此時需使用通配符。9 之 51/28/2023 42安全策略數據庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 完整的完整的 DNS用戶用戶名，如：名，如：，或，或 DN。符。 Apply IPSec9 之 81/28/2023 45安全策略數據庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 包括：包括：252。 生成生成 ICV的算法的算法9 之 91/28/2023 46認證頭（ AH）目錄w 概述w AH操作模式w AH頭格式w AH處理過程1/28/2023 47概 述目錄 認證頭 AHw 為 IP數據報提供數據完整性和認證功能，不提供保密性服務；w 利用 MAC碼實現認證，雙方必須共享一個密鑰；w 認證算法由 SA指定； 認證的范圍：整個 IP數據報。 AH頭被插在 IP數據報中，緊跟在 IP頭之后和需要保護的上層協(xié)議數據之前，對 IP數據報中的不變部分進行安全保護。4 之 11/28/2023 53隧道模式目錄 認證頭 AHAH使用模式原始 IP數據報加入 AH頭后的 IP數據報4 之 21/28/2023 54圖 示目錄 認證頭 AHAH使用模式AH4 之 31/28/2023 55端 端和點 點目