【文章內(nèi)容簡(jiǎn)介】 值可以被預(yù)測(cè)的字段。 ●AH頭和可能的填充字節(jié)，認(rèn)證數(shù)據(jù)在 ICV計(jì)算時(shí)全部填 0。 ● 上層協(xié)議數(shù)據(jù)，這些數(shù)據(jù)在傳輸過(guò)程中不會(huì)發(fā)生變化。 IPSec安全協(xié)議 （ 2）可變域的處理 在傳輸過(guò)程中， IP頭和它的選項(xiàng)可能發(fā)生改變： ① IP頭 IPv4頭中的字段有不變的，有可變的，有可變但是可預(yù)測(cè)的： ● 不變字段：版本號(hào)、 IP頭長(zhǎng)度、數(shù)據(jù)報(bào)總長(zhǎng)、標(biāo)識(shí)、上層協(xié)議、源地址、目的地址 (沒(méi)有源選徑選項(xiàng)時(shí) )。 ● 可變但可預(yù)測(cè)的字段：目的地址 (有源選徑選項(xiàng)時(shí) )。 ● 可變且不可預(yù)測(cè)的字段：服務(wù)類(lèi)型 (TOS)、標(biāo)志、生存期、頭校驗(yàn)和。 TOS：盡管在 IP協(xié)議中， TOS是不可變的，但有些路由器要修改這個(gè)字段的值。 標(biāo)志：因?yàn)?IP數(shù)據(jù)報(bào)在傳輸過(guò)程中可能被分段，所以標(biāo)志字段的 DF位有可能發(fā)生變化。 生存期：這個(gè)字段的值隨經(jīng)過(guò)的路由器而變化，因此也不可預(yù)測(cè)。 頭校驗(yàn)和：如果上述幾個(gè)字段發(fā)生變化，它的值自然隨之改變。 IPSec安全協(xié)議 ② IP選項(xiàng) 在 IPv4中，每一選項(xiàng)都被視為一個(gè)整體，所以盡管選項(xiàng)的類(lèi)型和長(zhǎng)度沒(méi)有發(fā)生改變，只要其內(nèi)容改變了，這一選項(xiàng)都被認(rèn)為是可變的。對(duì)于這種情況，在計(jì)算 ICV時(shí)，把這個(gè)選項(xiàng)整體填充為 0。 4. 填充處理 （ 1）認(rèn)證數(shù)據(jù)填充 （ 2）包長(zhǎng)填充 IPSec安全協(xié)議 ? 安全封裝協(xié)議規(guī)范 ? 安全封裝協(xié)議介紹 安全封裝協(xié)議 (Encapsulating Security Payload)可以為 IP數(shù)據(jù)報(bào)提供幾種安全服務(wù) 。 它可以單獨(dú)使用 ， 也可以與 AH協(xié)議一起使用 ， 或者以隧道方式嵌套使用 。 ? 報(bào)文格式 安全參數(shù)索引 SPI 序號(hào) 初始化向量 載荷數(shù)據(jù) 填充數(shù)據(jù) 填充項(xiàng)長(zhǎng)度 上層協(xié)議 認(rèn)證數(shù)據(jù) (變長(zhǎng) )(HMAC) IPSec安全協(xié)議 ：與 AH協(xié)議一樣，收方可由此確定報(bào)文所用的安全聯(lián)結(jié)。 ：與 AH協(xié)議一樣，這一序號(hào)也是一個(gè)遞增計(jì)數(shù)器的值，用來(lái)防止重放攻擊。 ：載荷數(shù)據(jù)是非定長(zhǎng)的域，用來(lái)存放經(jīng) ESP協(xié)議處理過(guò)的數(shù)據(jù)，這些數(shù)據(jù)所屬的類(lèi)型由“下一協(xié)議頭”字段定義。 ：由于以下幾個(gè)原因， ESP需要填充字段： (1) 加密算法需要明文長(zhǎng)度為分組塊長(zhǎng)度的整數(shù)倍 (2) 填充字段還能保證上層協(xié)議字段的右邊界以 4字節(jié)對(duì)齊。 (3) 另外，通過(guò)使用填充字段， ESP協(xié)議能有效地隱藏實(shí)際載荷的長(zhǎng)度，從而提供一定的流量保密性。 ：上層協(xié)議字段指出了載荷數(shù)據(jù)所包含的內(nèi)容。 ：認(rèn)證數(shù)據(jù)是 ESP認(rèn)證算法對(duì)從安全參數(shù)索引字段開(kāi)始，到上層協(xié)議字段為止的所有數(shù)據(jù)進(jìn)行認(rèn)證的結(jié)果。 IPSec安全協(xié)議 ? 報(bào)文處理 (1)傳輸模式 (2)隧道模式 原 IP頭 (選項(xiàng) ) TCP 用戶數(shù)據(jù) 原 IP報(bào)文 原 IP頭 (選項(xiàng) ) ESP頭 TCP 用戶數(shù)據(jù) ESP尾 ESP認(rèn)證 ESP協(xié)議加密范圍 ESP協(xié)議認(rèn)證范圍 (a) ESP傳輸模式 新 IP頭 (選項(xiàng) ) ESP頭 原 IP頭 (選項(xiàng) ) TCP 用戶數(shù)據(jù) ESP尾 ESP認(rèn)證 ESP協(xié)議加密范圍 ESP協(xié)議認(rèn)證范圍 (b) ESP隧道模式 圖 516 安全聯(lián)結(jié)兩種模式下的 ESP協(xié)議頭位置 IPSec安全協(xié)議 ESP協(xié)議所涉及的算法分為加密算法和認(rèn)證算法兩類(lèi)，由相應(yīng)的安全聯(lián)結(jié)規(guī)定兩種算法實(shí)施細(xì)節(jié)，但至少要選取一種算法。 （ 1） 加密算法 （ 2） 認(rèn)證算法 IPSec安全協(xié)議 ? SA的使用 ? SA的組合方式 1. ―傳輸方式組合” 圖 517 傳輸方式組合 IPSec安全協(xié)議 2. ―嵌套隧道” (1) 所有的安全聯(lián)結(jié)隧道的兩個(gè)終點(diǎn)都分別一樣 (如圖 518示 )。內(nèi)外隧道協(xié)議可以是 AH或 ESP，但一般來(lái)說(shuō)內(nèi)外層的安全協(xié)議不會(huì)相同，如同是 AH或 ESP協(xié)議。 IPSec安全協(xié)議 (2) 安全聯(lián)結(jié)有一個(gè)共同的終點(diǎn)。內(nèi)外層隧道協(xié)議可以是 AH或 ESP協(xié)議。 IPSec安全協(xié)議 (3) 安全聯(lián)結(jié)沒(méi)有一個(gè)共同的終點(diǎn)。內(nèi)外層隧道協(xié)議可以是 AH或ESP協(xié)議。 IPSec安全協(xié)議 對(duì)于以傳輸方式組合的 SA，只有一種實(shí)用順序：由于傳輸方式的 AH保護(hù)了上層協(xié)議數(shù)據(jù)和部分 IP頭數(shù)據(jù)，當(dāng) AH與 ESP一起使用時(shí)， AH應(yīng)該緊接在 IP頭后，并位于 ESP之前。這時(shí)， AH保護(hù)了ESP所加密的數(shù)據(jù)， IP包結(jié)構(gòu)如圖 521所示。 與此相對(duì)的是，在嵌套隧道組合方式下，可以有多種多樣的組合順序。 IP頭 AH頭 ESP頭 TCP頭 用戶數(shù)據(jù) 圖 521 加密后 IP包結(jié)構(gòu) IPSec安全協(xié)議 自 到 協(xié)議 端口 策略 任意值 任意值 隨 HMACMD5使用的傳送 AH ? 使用 SA實(shí)例 A的 SPD 自 目的地 協(xié)議 SPI SA記錄 AH 10 MD5密鑰 A的外出 SADB IPSec安全協(xié)議 RA的 SPD 自 到 協(xié)議 端口 策略 通道目的地 RA的外出 SADB 源 目的地 協(xié)議 SPI SA記錄 ESP通道 11 168位的 3DES密鑰 RB的 SPD 自 到 協(xié)議 端口 策略 通道入口 RB的進(jìn)入 SADB 源 目的地 協(xié)議 SPI SA記錄 ESP 11 168位 3DES密鑰 IPSec安全協(xié)議 B的 SPD 自 到 協(xié)議 端口 策略 AH 任意值 隨 HMACMD5使用的傳送 AH B的進(jìn)入 SADB 源 目的地 協(xié)議 SPI SA記錄 AH 10 HMACMD5密鑰 在 RA與 RB之間傳送的 IP包結(jié)構(gòu)如圖 523所示： 新 IP頭 ESP頭 原 IP頭 AH頭 TCP頭 用戶數(shù)據(jù) ESP尾 IPSec安全協(xié)議 ? IPsec協(xié)議處理過(guò)程 ? 外出處理 ——丟棄數(shù)據(jù)包，并記錄出錯(cuò)信息。 IPsec——給數(shù)據(jù)包添加 IP頭，然后發(fā)送。 IPsec——查詢 SAD，確定是否存在有效的 SA。 IPSec安全協(xié)議 (1)存在有效的 SA，則取出相應(yīng)的參數(shù)，將數(shù)據(jù)包封裝（包括加密、驗(yàn)證，添加 IPsec頭和 IP頭等），然后發(fā)送。 AH輸出包處理過(guò)程： ● AH頭定位：在傳輸模式下， AH頭插在 IP頭和上層協(xié)議頭之間；在隧道模式下， AH頭在整個(gè)原 IP數(shù)據(jù)報(bào)之前。 ●發(fā)送方對(duì) IP包計(jì)算認(rèn)證數(shù)據(jù) ICV，并將結(jié)果放入輸出包的認(rèn)證數(shù)據(jù)字段隨包發(fā)送。 ESP輸出包處理過(guò)程： ● ESP頭定位：在傳輸模式下， ESP插在 IP頭和上一層協(xié)議頭之間；在隧道模式下， ESP頭在整個(gè)原 IP數(shù)據(jù)報(bào)之前。 包加密： a)封裝：把數(shù)據(jù)封裝到 ESP的有效負(fù)載字段 傳輸模式 ——只封裝上層協(xié)議數(shù)據(jù)；隧道模式 ——封裝整個(gè)原 IP數(shù)據(jù)報(bào)。 b)加密：使用由 SA指定的密鑰和加密算法對(duì)上述結(jié)果加密。 ●如果在 ESP中選定了認(rèn)證選項(xiàng)，發(fā)送方對(duì) IP包計(jì)算認(rèn)證數(shù)據(jù) ICV，并將 結(jié)果放入輸出包的認(rèn)證數(shù)據(jù)字段隨包發(fā)送。 ●必要時(shí)進(jìn)行分段。 IPSec安全協(xié)議 (2) 尚未建立 SA，策略管理模塊啟動(dòng)或觸發(fā) IKE協(xié)商，協(xié)商成功后按 1中的步驟處理，不成功則應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯(cuò)信息。 (3)存在 SA但無(wú)效，策略管理模塊將此信息向 IKE通告。請(qǐng)求協(xié)商新的 SA，協(xié)商成功后按 1中的步驟處理，不成功則應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯(cuò)信息。 ? 進(jìn)入處理 對(duì)于進(jìn)入數(shù)據(jù)包， IPsec協(xié)議先根據(jù)包中目的 IP地址、安全協(xié)議和SPI查詢 SAD，如得到有效的 SA，則對(duì)數(shù)據(jù)包進(jìn)行解封 (或還原 )，再查詢 SPD，驗(yàn)證為該數(shù)據(jù)包提供的安全保護(hù)是否與策略配置的相符。如相符，則按 SA中指定的算法進(jìn)行解密 (用 ESP協(xié)議時(shí) )并重新構(gòu)造原 IP數(shù)據(jù)報(bào)格式，然后將還原后的數(shù)據(jù)包交給 TCP層或轉(zhuǎn)發(fā)。如不相符，或要求應(yīng)用 IPsec但沒(méi)有用于此會(huì)話的 SA存在，或 SA無(wú)效，則將數(shù)據(jù)包丟棄，并記入日志。 IPSec安全協(xié)議 ? AH協(xié)議與 ESP協(xié)議比較 ? 認(rèn)證服務(wù)： AH協(xié)議和 ESP協(xié)議都提供認(rèn)證服務(wù)功能。 AH協(xié)議是專門(mén)用以提供認(rèn)證服務(wù)； ESP協(xié)議的認(rèn)證服務(wù)是它的選項(xiàng)，主要為了防止對(duì)協(xié)議的“剪貼”攻擊。 ESP提供的認(rèn)證服務(wù)范圍要比 AH的窄，即 ESP頭以前的IP報(bào)文部分不會(huì)被保護(hù)；而 AH協(xié)議認(rèn)證了幾乎所有的 IP報(bào)文字段。 ? 保密服務(wù)： AH協(xié)議不提供保密服務(wù)，當(dāng)不需要保密或者法律不允許保密的情況下， AH協(xié)議是一種恰當(dāng)?shù)陌踩珔f(xié)議； ESP主要用于數(shù)據(jù)保密。當(dāng)使用隧道方式時(shí)，位于兩個(gè)安全網(wǎng)關(guān)間的使用 ESP保護(hù)的安全聯(lián)結(jié)還可以提供一定的流量保密性。使用隧道方式時(shí)，由于內(nèi)層的 IP包被加密，所以隱藏了報(bào)文的實(shí)際源頭和終點(diǎn)。更進(jìn)一步的是， ESP使用的填充字節(jié)隱藏了報(bào)文的實(shí)際尺寸，從而更進(jìn)一步地隱藏了這個(gè)報(bào)文的外在特性。當(dāng)網(wǎng)絡(luò)中的移動(dòng)用戶使用動(dòng)態(tài)地址，使用隧道方式的安全聯(lián)結(jié)穿過(guò)安全網(wǎng)關(guān)時(shí)，也有類(lèi)似的通信流的保密性。當(dāng)然，如果安全聯(lián)結(jié)的粒度越細(xì)，那么這種安全服務(wù)就越脆弱 (對(duì)于流量分析的情況 )。 ? 防止重放： AH協(xié)議和 ESP協(xié)議都有防止重放的功能。只要收方?jīng)Q定使用此功能， AH協(xié)議的此項(xiàng)功能就可靠工作，而 ESP協(xié)議必須要有認(rèn)證機(jī)制的配合，此項(xiàng)功能才起作用。 IPSec安全協(xié)議 ? IPsec的實(shí)現(xiàn)機(jī)制 ? 訪問(wèn)控制 ? 數(shù)據(jù)源驗(yàn)證 ? 無(wú)連接完整性和抗重播 ? 機(jī)密性和有限的業(yè)務(wù)流機(jī)密性 IPSec安全協(xié)議 ? IPSec的應(yīng)用 ? IPSec與其它安全機(jī)制的聯(lián)系與比較 2. 數(shù)據(jù)源驗(yàn)證 (NAT) 網(wǎng)絡(luò)地址轉(zhuǎn)換器 NAT (Network Address Translation)是用于解決全球 IP地址資源匱乏和對(duì)外隱藏企業(yè)內(nèi)部 IP地址的機(jī)制 ， 它解決問(wèn)題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址 ， 通過(guò) NAT把內(nèi)部地址翻譯成合法的 IP地址在 Inter上使用 ， 其具體做法是把 IP包內(nèi)的地址域用合法的 IP地址來(lái)替換 。 需要注意的是 ， NAT并不是一種有安全保證的方案 ， 它不能提供類(lèi)似防火墻 、 包過(guò)濾 、 隧道等技術(shù)的安全性 ， 僅僅在包的最外層改變 IP地址 。 這使得黑客可以很容易地竊取網(wǎng)絡(luò)信息 ， 危及網(wǎng)絡(luò)安全 。 另外 ， 當(dāng) NAT改變包的 IP地址后 ， 需要認(rèn)真考慮這樣做對(duì)安全設(shè)施帶來(lái)的影響 。 IPSec安全協(xié)議 2. IP包過(guò)濾 (IP Packet Filtering) IP包過(guò)濾是防火墻和路由器中的常見(jiàn)技術(shù) 。 包過(guò)濾技術(shù)即在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢脤?duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò) ， 其原理在于監(jiān)視并過(guò)濾網(wǎng)絡(luò)上流入流出的 IP包 ， 拒絕發(fā)送那些可疑的包 。 3. L2TP L2TP (Layer 2 Tunneling Protocol)定義了利用公共網(wǎng)絡(luò)設(shè)施(如 IP網(wǎng)絡(luò) 、 ATM和幀中繼網(wǎng)絡(luò) )封裝數(shù)據(jù)鏈路層 PPP幀的方法 ， 可用于基于 Inter的遠(yuǎn)程撥號(hào)方式訪問(wèn) 。 它有能力為使用 PPP協(xié)議的客戶端建立撥號(hào)方式的 VPN連接 。 優(yōu)點(diǎn)： L2TP對(duì)用微軟操作系統(tǒng)的用戶來(lái)說(shuō)很方便 缺點(diǎn)： 將不安全的 IP包封裝在安全的 IP包內(nèi) ， 它們用 IP包在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開(kāi)數(shù)據(jù)通道 ， 一旦通道打開(kāi) ， 源和目的地身份就不再需要 ，