【文章內(nèi)容簡介】 議AH（ IP Authentication Header）和 ESP（ IP Encapsulating Security Payload）。 – AH協(xié)議 ? 實現(xiàn)認證傳輸，提供數(shù)據(jù)源身份認證、數(shù)據(jù)完整性保護、重放攻擊保護功能 – ESP協(xié)議 ? 實現(xiàn)認證和加密傳輸，提供數(shù)據(jù)保密、數(shù)據(jù)源身份認證、數(shù)據(jù)完整性、重放攻擊保護功能 中國信息安全認證中心 IPSEC VPN 框架 ? 協(xié)議簇 – DOI ? （ The Inter IP Security Domain of Interpretation）為這些協(xié)議中的數(shù)據(jù)定義了具體的數(shù)值。 – Key management ? 密鑰管理協(xié)議亦為協(xié)議族，包括 ISAKMP協(xié)議（ Inter Security Association and Key Management Protocol）， IKE（ The Inter Key Exchange）協(xié)議 。 中國信息安全認證中心 IPSEC VPN 框架 ? 系統(tǒng)框架 API Database ISAKMP Daemon DOI Key Exchange Define IP/IPSEC TCP/IP協(xié)議棧 系統(tǒng)核心 應(yīng)用層 中國信息安全認證中心 VPN技術(shù)及其應(yīng)用 ? 3. IPSEC VPN工作原理 –概念 –框架 –AH協(xié)議 –ESP協(xié)議 –密鑰協(xié)商協(xié)議 –VPN隧道的建立過程 中國信息安全認證中心 保留 負載長度 認證數(shù)據(jù) （完整性校驗值 ICV）變長 序列號 安全參數(shù)索引（ SPI） 下一頭部 負 載 AH頭部 IP頭部 ?認證數(shù)據(jù)：一個變長字段，也叫 Integrity Check Value，由 SA初始化時指定的算法來計算。長度 =整數(shù)倍 32位比特 保留負載長度認證數(shù)據(jù)（完整性校驗值 ）變長序列號安全參數(shù)索引（ ）下一頭部? 下一頭部： 8比特，標(biāo)識認證頭后面的下一個負載類型 ? 負載長度： 8比特，表示以 32比特為單位的 AH頭部長度減 2， Default=4 ?保留字段： 16比特，保留將來使用， Default=0 ?SPI： 32比特，用于標(biāo)識有相同 IP地址和相同安全協(xié)議的不同 SA。由 SA的創(chuàng)建者定義，只有邏輯意義 ?序列號： 32比特，一個單項遞增的計數(shù)器，用于防止重放攻擊， SA建立之初初始化為 0，序列號不允許重復(fù) 32位 AH協(xié)議 中國信息安全認證中心 傳輸模式下的 AH認證工作原理 Inter 負 載 IP頭部 Host A Host B VPN網(wǎng)關(guān) VPN網(wǎng)關(guān) 負 載 AH頭部 IP頭部 負 載 AH頭部 IP頭部 負 載 IP頭部 經(jīng)過 IPSec 核心處理以后 經(jīng)過 IPSec 核心處理以后 負 載 AH頭部 IP頭部 AH協(xié)議 中國信息安全認證中心 隧道模式下的 AH認證工作原理 Inter 負 載 IP 頭 Host A Host B VPN網(wǎng)關(guān) 1 VPN網(wǎng)關(guān) 2 負 載 IP 頭 經(jīng)過 IPSec 核心處理以后 經(jīng)過 IPSec 核心處理以后 負 載 IP頭 AH頭 新 IP頭 負 載 IP頭 AH頭 新 IP頭 Source IP=VPN網(wǎng)關(guān) 1 Destination IP=VPN網(wǎng)關(guān) 2 Source IP=Host A Destination IP=Host B AH協(xié)議 中國信息安全認證中心 VPN技術(shù)及其應(yīng)用 ? 3. IPSEC VPN工作原理 –概念 –框架 –AH協(xié)議 –ESP協(xié)議 –密鑰協(xié)商協(xié)議 –VPN隧道的建立過程 中國信息安全認證中心 ?認證數(shù)據(jù)：一個變長字段，也叫 Integrity Check Value，由 SA初始化時指定的算法來計算。長度 =整數(shù)倍 32位比特 ? 下一頭部： 8比特，標(biāo)識認證頭后面的下一個負載類型 ? 填充字段： 8比特，大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組，因此需要填充 ?負載數(shù)據(jù)：包含由下一頭部字段給出的變長數(shù)據(jù) ?SPI： 32比特，用于標(biāo)識有相同 IP地址和相同安全協(xié)議的不同 SA。由 SA的創(chuàng)建者定義，只有邏輯意義 ESP認證 ESP尾 負 載 ESP頭 IP頭 填充（ 0~255字節(jié)） 下一頭部 填充長度 認證數(shù)據(jù) （變長的） 負載數(shù)據(jù) （變長的） 序列號 安全參數(shù)索引（ SPI） ? 填充長度： 8比特，給出前面填充字段的長度，置 0時表示沒有填充 下一頭部填充長度認證數(shù)據(jù)（變長的）填充（ 字節(jié)）負載數(shù)據(jù)（變長的）序列號安全參數(shù)索引（ ）32位 ESP頭部 ESP尾部 ESP認證數(shù)據(jù) 加密的 認證的 ?序列號： 32比特，一個單項遞增的計數(shù)器，用于防止重放攻擊， SA建立之初初始化為 0，序列號不允許重復(fù) ESP協(xié)議 中國信息安全認證中心 傳輸模式下的 ESP工作原理 Inter 負 載 IP頭部 Host A Host B VPN網(wǎng)關(guān) VPN網(wǎng)關(guān) 負 載 IP頭部 經(jīng)過 IPSec 核心處理以后 經(jīng)過 IPSec 核心處理以后 ESP認證 ESP尾 負 載 ESP頭 IP頭 加密數(shù)據(jù) 認證數(shù)據(jù) ESP認證 ESP尾 負 載 ESP頭 IP頭 ESP認證 ESP尾 負 載 ESP頭 IP頭 加密數(shù)據(jù) 認證數(shù)據(jù) ESP協(xié)議 中國信息安全認證中心 隧道模式下的 ESP工作原理 Inter 負 載 IP 頭 Host A Host B VPN網(wǎng)關(guān) 1 VPN網(wǎng)關(guān) 2 負 載 IP 頭 經(jīng)過 IPSec 核心處理以后 經(jīng)過 IPSec 核心處理以后 Source IP=VPN網(wǎng)關(guān) 1 Destination IP=VPN網(wǎng)關(guān) 2 Source IP=Host A Destination IP=Host B 負載 ESP認證 ESP尾 IP頭 ES