【文章內(nèi)容簡(jiǎn)介】 er密鑰交換 (IKE)用于動(dòng)態(tài)建立安全聯(lián)盟， IKE代表 IPSec對(duì) SA進(jìn)行協(xié)商，并對(duì) SADB進(jìn)行填充。42 IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)? 安全策略數(shù)據(jù)庫(kù) (SecurityPolicyDatabase，SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (SecurityAssociationDatabase， SAD)。? SPD指定了決定所有輸入或者輸出的 IP通信部署的策略。? SAD包含有與當(dāng)前活動(dòng)的安全關(guān)聯(lián)相關(guān)的參數(shù)。? 安全關(guān)聯(lián)是雙方所協(xié)商的安全策略的一種描述。 43IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)? 1 安全策略數(shù)據(jù)庫(kù)安全策略數(shù)據(jù)庫(kù)? 安全策略決定了為一個(gè)包提供的安全服務(wù)? 根據(jù) “選擇符 ”對(duì)數(shù)據(jù)庫(kù)進(jìn)行檢索，選擇符從網(wǎng)絡(luò)層和傳輸層頭提取出來(lái)? IP包的外出和進(jìn)入都需要查詢 SPD， 以判斷為這個(gè)包提供的安全服務(wù)有哪些。44?① 目的 IP地址：這可以是一個(gè)單一的 IP地址、一個(gè)地址列表或者是一個(gè)通配的地址。多個(gè)地址和通配地址用于多于一個(gè)的源系統(tǒng)共享同一個(gè) SA的情況 (例如，位于一個(gè)網(wǎng)關(guān)之后 )。?② 源 IP地址：這可以是一個(gè)單一的 IP地址、一個(gè)地址范圍或者是一個(gè)通配的地址。?③ 名稱：這可以是一個(gè) X． 500特定名稱 (DN)或者是一個(gè)來(lái)自操作系統(tǒng)的用戶標(biāo)識(shí)符。?④ 傳輸層協(xié)議：這可以從 IPv4協(xié)議域或者 IPv6的下一個(gè)頭域中得到。它可以是一個(gè)單獨(dú)的協(xié)議號(hào)碼、一個(gè)協(xié)議號(hào)的列表，或者是一個(gè)協(xié)議號(hào)碼范圍。?⑤ 源端口和目的端口：這些端口可以是單個(gè)的 UDP或 TCP端口值，真正應(yīng)用協(xié)議的便是這些端口。如果端口不能訪問(wèn)，便需要使用通配符。?⑥ 數(shù)據(jù)敏感級(jí)：這被用于提供信息流安全的系統(tǒng) (例如無(wú)分級(jí)的或者秘密的 )。45IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)?2．安全關(guān)聯(lián)數(shù)據(jù)庫(kù)．安全關(guān)聯(lián)數(shù)據(jù)庫(kù) ?下面的參數(shù)用于定義一個(gè) SA：?① 序列號(hào)計(jì)數(shù)器：用于生成位于 AH或者 ESP頭中的序列號(hào)域的一個(gè) 32比特值。?② 序列號(hào)計(jì)數(shù)器溢出：這是一個(gè)標(biāo)志。?③ 抗重放窗口：一個(gè) 32位計(jì)數(shù)器，用于決定一個(gè)輸入的AH 或者 ESP數(shù)據(jù)包是否是一個(gè)重放包。?④ AH信息：與使用 AH有關(guān)的參數(shù) (如認(rèn)證算法、密鑰和密鑰生存期 )。?⑤ ESP信息：與使用 ESP有關(guān)的參數(shù) (如加密算法、密鑰、密鑰生存期和初始化值 )。46? ⑥ SA的生存期：一個(gè)時(shí)間間隔或者字節(jié)計(jì)數(shù)，用于指定一個(gè) SA使用的持續(xù)時(shí)間。當(dāng)該持續(xù)時(shí)間已結(jié)束時(shí)，必須用一個(gè)新的 SA(以及新的 SPl)來(lái)替代該 SA， 或者終止該 SA， 同時(shí)該參數(shù)中包括一個(gè)應(yīng)該采取何種動(dòng)作的標(biāo)識(shí)。? ⑦ IPSec協(xié)議模式：指定對(duì)于該 SA的通信流所使用的操作模式 (傳輸模式、隧道模式，或通配模式 )。47IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)?3．． IPSec處理方式處理方式 ?IPSec處理分為兩類：外出處理和進(jìn)入處理。?外出處理過(guò)程 中，傳輸層的數(shù)據(jù)包流進(jìn) IP層， IP層檢索 SPD數(shù)據(jù)庫(kù)，判斷應(yīng)為這個(gè)包提供哪些安全服務(wù)。需要輸入 SPD的是前面已經(jīng)討論過(guò)的 “選擇符 ”。48? 至于 SPD檢索的輸出，則可能有下面幾種情況：? ① 丟棄這個(gè)包。此時(shí)包不會(huì)得以處理，只是簡(jiǎn)單地丟掉。? ② 繞過(guò)安全服務(wù)。在這種情況下， IP層會(huì)在載荷內(nèi)增添 IP頭，然后分發(fā) IP包。? ③ 應(yīng)用安全服務(wù)。在這種情況下，假如已建立了一個(gè)SA， 就會(huì)返回指向這個(gè) SA的指針；? 假如尚未建立 SA， 就會(huì)調(diào)用 IKE， 將這個(gè) SA建立起來(lái)。如果 SA已經(jīng)建立， SPD內(nèi)便會(huì)包含指向 SA或 SA集束的一個(gè)指針 (具體由策略決定 )。如果策略的輸出規(guī)定強(qiáng)行將 IPSec應(yīng)用于數(shù)據(jù)包，那么在 SA正式建立起來(lái)之前，包是不會(huì)傳送出去的。4950? 進(jìn)入處理 有別于外出處理。如果收到的 IPSec包是一個(gè)分段，必須把它保留下來(lái)，直到這個(gè)包的其他部分收完為止。? 收到 IP包后， 假如包內(nèi)根本沒(méi)有包含 IPSec頭 ，那么安全層就會(huì)對(duì)策略進(jìn)行檢查，判斷該如何對(duì)這個(gè)包進(jìn)行處理。它會(huì)用選擇符字段來(lái)檢索SPD數(shù)據(jù)庫(kù)。策略的輸出可能是下述三種選擇：丟棄、繞過(guò)或應(yīng)用。如果策略的輸出是丟棄，那么數(shù)據(jù)包就會(huì)被丟棄；如果是應(yīng)用，但 SA沒(méi)有建立，包同樣會(huì)被丟棄。否則，就將包傳遞給下一層，作進(jìn)一步的處理。51?如果 IP包中包含了 IPSec頭 ，就會(huì)由 IPSec層對(duì)這個(gè)包進(jìn)行處理。?IPSec層會(huì)從 IP數(shù)據(jù)報(bào)中提取出 SPI、 源地址和目標(biāo)地址。它會(huì)利用 SPI， 目標(biāo)地址，協(xié)議 字元組對(duì) SADB數(shù)據(jù)庫(kù)進(jìn)行檢索。?協(xié)議值要么是 AH， 要么是 ESP。 根據(jù)這個(gè)協(xié)議值，這個(gè)包的處理要么由 AH層，要么由 ESP層進(jìn)行。?協(xié)議載荷處理完之后，需要查詢策略，對(duì)載荷進(jìn)行檢驗(yàn)。選擇符則用作獲取策略的依據(jù)。驗(yàn)證過(guò)程包括：檢查 SA的使用是否得當(dāng) (也就是說(shuō)， SA中的源和目標(biāo)地址是否與策略對(duì)應(yīng) )，以及 SA保護(hù)的傳送層協(xié)議是否和要求的相符。52IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)??使用一個(gè)單一的 SA， AH或者 ESP來(lái)實(shí)現(xiàn) IP數(shù)據(jù)包的安全。然而，并沒(méi)有限制使用多個(gè) SA， 這通常稱為 SA束(bundle)。 SA集結(jié)的順序是通過(guò)安全策略來(lái)定義的。 ?IPSec體系結(jié)構(gòu)文檔列出了 IPSec兼容的主機(jī)或安全網(wǎng)關(guān)必須支持的四種 SA組合的例子。?這些例子如下圖所示，圖中，每種情況的下面部分表示的是元素的物理連接；上面部分通過(guò)一個(gè)或多個(gè)嵌套 SA表示了邏輯連接。每個(gè) SA可以是 AH或者 ESP。 對(duì)于主機(jī)到主機(jī)的 SA， 可以是傳輸模式或者隧道模式；其他情況則必須是隧道模式。53?① 端到端主機(jī)之間應(yīng)用 IPSec?該情況中，對(duì)實(shí)現(xiàn) IPSec的兩個(gè)端系統(tǒng)提供安全業(yè)務(wù)，兩個(gè)端系統(tǒng)必須有共享的秘密密鑰。此時(shí) SA的組合方式可能有：?傳輸模式下的 AH；?傳輸模式下的 ESP；?AH后跟 ESP， 兩者都處于傳輸模式下（即 AH　 SA在 ESP　 SA的內(nèi)部）；?上面三種情況的任一種在隧道模式下的 AH或 ESP里面 Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)一個(gè)或多個(gè) SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)54原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長(zhǎng)度 ,SPI,序號(hào) ,MAC)ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號(hào) )源 IP頭 ESP認(rèn)證ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號(hào) )源 IP頭 ESP認(rèn)證AH(載荷 長(zhǎng)度 ,SPI,序號(hào) ,MAC)原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長(zhǎng)度 ,SPI,序號(hào) ,MAC)新的 IP頭(任何選項(xiàng) )55? ② 網(wǎng)關(guān)到網(wǎng)關(guān)之間實(shí)現(xiàn) IPSec ? 該情況中，兩個(gè)主機(jī)未實(shí)現(xiàn) IPSec， 因此僅在兩個(gè)網(wǎng)關(guān)之間提供安全業(yè)務(wù)。此時(shí)僅需要一個(gè)隧道模式下的 SA， 可用于支持 AH、 ESP或具有認(rèn)證選擇的 ESP。 由于 IPSec安全業(yè)務(wù)作用于整個(gè)內(nèi)部數(shù)據(jù)報(bào)，因此不需要使用嵌套的隧道模式。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)56? ③ 上面 ① 和 ② 的組合? 該情況在情況 ② 的基礎(chǔ)上增加了端到端的安全性。在情況 ① 和情況 ② 中討論的組合在這里同樣允許。網(wǎng)關(guān)到網(wǎng)關(guān)的隧道為終端系統(tǒng)之間的所有通信量提供了鑒別服務(wù)或者機(jī)密性，或者兩種服務(wù)都提供。當(dāng)網(wǎng)關(guān)到網(wǎng)關(guān)的隧道是 ESP時(shí)，它還提供了有限形式的通信量機(jī)密性。通過(guò)端到端的 SA， 單獨(dú)的主機(jī)可以為給定的應(yīng)用程序或給定的用戶實(shí)現(xiàn)任何需要的補(bǔ)充 IPSec。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)57? ④ 遠(yuǎn)程終端支持? 該情況表示一個(gè)具有 IPSec的遠(yuǎn)程主機(jī)通過(guò) Inter到達(dá)某一組織的防火墻，然后訪問(wèn)防火墻后