【正文】 8/2023 9應用層安全目錄 TCP/IP協(xié)議 3 之 21/28/2023 10IP層安全 IP層的主要協(xié)議是 IP協(xié)議，有兩種版本的 IP：IPv4和 IPv6。 IPv4在設計之初沒有考慮安全性， IP數(shù)據(jù)報本身并不具備任何安全特性，導致在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)很容易收到各式各樣的攻擊：業(yè)務流被監(jiān)聽和捕獲、 IP地址欺騙、信息泄露和數(shù)據(jù)項篡改等。7 之 21/28/2023 15IPSec安全體系結構目錄ESP:封裝安全載荷AH :驗證頭DOI:解釋域7 之 31/28/2023 16IPSec的文檔目錄ArchitectureRFC 2401AHRFC 2402ESPRFC 2406DOIRFC 2407ISAKMPRFC 2408OaklyRFC 2412IKERFC 2409216。 SA是單向的， 進入進入 SA負責處理接收到的 IP數(shù)據(jù)報， 外外出出 SA負責處理要發(fā)送的 IP數(shù)據(jù)報。 每個 SA由三元組唯一標識：SPI，源，源 /目的目的 IP地址，地址， IPSec協(xié)議協(xié)議 1/28/2023 25安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數(shù) 安全參數(shù)索引。16 之 71/28/2023 28安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數(shù) 用于生成用于生成 AH或或 ESP頭中的序列頭中的序列號域，僅用于外出數(shù)據(jù)報。16 之 9SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 30安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數(shù) 用來確定一個輸入的用來確定一個輸入的 AH或或ESP數(shù)據(jù)包是否是一個重放包。16 之 12SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 33安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認證信息ESP加密信息IPSec操作模式路徑 MTUSA生存期SAD SA參數(shù) ESP加密算法、密鑰、初始加密算法、密鑰、初始化向量（化向量（ IV）和）和 IV模式（模式（ ECB、CBC、 CFB和和 OFB）。16 之 16SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 37安全策略（ SP）目錄 安全關聯(lián) (SA)和安全策略 (SP) 安全策略決定了應用于 IP數(shù)據(jù)報的安全服務以及如何對 IP數(shù)據(jù)報進行處理。地址。地址。 Bypass IPSec216。它所保護的 IP數(shù)據(jù)報的通信終點必須是 IPSec終點。w Reserved 8bit，保留，未使用時必須設為 0。目錄 認證頭 AH 3 之 31/28/2023 59AH輸出輸出 輸入處理流程輸入處理流程1/28/2023 60封裝安全載荷 (ESP)目錄w 概述w ESP操作模式w ESP頭格式w ESP處理過程1/28/2023 61概 述目錄 封裝安全載荷 (ESP)w 提供保密功能，包括報文內(nèi)容的機密性和有限的通信量的機密性，也可以提供認證服務（可選）；w ESP協(xié)議認證的原理與 AH協(xié)議相同， ESP協(xié)議加密采用的是對稱密鑰加密算法；w 加密算法和認證算法由 SA指定；w 兩種操作模式：傳輸模式和隧道模式。利用 Inter密鑰交換協(xié)議（ IKE）可以動態(tài)地驗證 IPSec參與各方的身份、協(xié)商安全服務以及生成共享密鑰等，也即建立 “安全關聯(lián) ”（ SA）關系。1/28/2023 75ISAKMP報文格式目錄 IKEISAKMP協(xié)議 ISAKMP報文可通過 TCP或 UDP傳輸，端口為 500，一般情況下常用 UDP協(xié)議。w 次版本次版本 4bit，表示 ISAKMP協(xié)議的次版本號。這樣，不同的載荷可以像鏈條一樣鏈接起來，最后一個載荷的本字段為 0。 IKE與 ISAKMP不同之處在于： IKE實際定義了一個密鑰交換的過程，而 ISAKMP僅僅提供了一個可由任意密鑰交換協(xié)議使用的通用密鑰交換框架。 一月 21一月 2113:02:3413:02:34January 28, 2023w 1他鄉(xiāng)生白發(fā)，舊國見青山。 一月 2113:02:3413:02Jan2128Jan21w 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 一月 21一月 21Thursday, January 28, 2023w 閱讀一切好書如同和過去最杰出的人談話。 2023/1/28 13:02:3413:02:3428 January 2023w 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 。 2023/1/28 13:02:3413:02:3428 January 2023w 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 一月 21一月 21Thursday, January 28, 2023w 雨中黃葉樹，燈下白頭人。本階段的目的是在通信實體之間建立一個已經(jīng)通過身份驗證和安全保護的通道。w 報文報文 ID 32bit，包含的是由第二階段協(xié)商的發(fā)起方生成的隨機值，這個唯一的報文標識可以唯一確定第二階段的協(xié)議狀態(tài)。w 接收方接收方 Cookie 64bit，作用同上。格式。3 之 11/28/2023 64傳輸模式目錄 封裝安全載荷 (ESP)ESP操作模式原始 IP數(shù)據(jù)報應用 ESP后的 IP數(shù)據(jù)報3 之 21/28/2023 65傳輸模式的加密目錄 封裝安全載荷 (ESP)ESP操作模式 3 之 31/28/2023 66隧道模式目錄 封裝安全載荷 (ESP)ESP操作模式 隧道模式用于主機隧道模式用于主機 路由器或路由器路由器或路由器 路由器之路由器之間的點間的點 點通信，點通信， 保護整個 IP數(shù)據(jù)報。具體做法：發(fā)送方將每個 IPSec分組依次將序號加 1后發(fā)送，接收方對此序號進行校驗就可以抵御重放攻擊。該模式的通信終點由受保護的內(nèi)部 IP頭指定，而 IPSec終點則由外部 IP頭指定，如果其終點是 IPSec網(wǎng)關，則該網(wǎng)關會還原出內(nèi)部 IP數(shù)據(jù)報，再轉發(fā)到最終目的地。 運用的密碼算法運用的密碼算法252。如無法訪問，則使用通配法訪問，則使用通配符。許多情況下，只）。對于進入的 IP數(shù)據(jù)報，首先要對 IP數(shù)據(jù)報進行安全處理。16 之 14SPI源 /目的 IP地址IPSec協(xié)議SA標識符1/28/2023 35安全關聯(lián)數(shù)據(jù)庫（ SAD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SAn……SA3SA2SA1 序列號計數(shù)器序列號溢出抗重放窗口AH認證信息ESP認