【文章內(nèi)容簡介】 er密鑰交換 (IKE)用于動態(tài)建立安全聯(lián)盟， IKE代表 IPSec對 SA進行協(xié)商，并對 SADB進行填充。42 IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫? 安全策略數(shù)據(jù)庫 (SecurityPolicyDatabase，SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫 (SecurityAssociationDatabase， SAD)。? SPD指定了決定所有輸入或者輸出的 IP通信部署的策略。? SAD包含有與當前活動的安全關(guān)聯(lián)相關(guān)的參數(shù)。? 安全關(guān)聯(lián)是雙方所協(xié)商的安全策略的一種描述。 43IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫? 1 安全策略數(shù)據(jù)庫安全策略數(shù)據(jù)庫? 安全策略決定了為一個包提供的安全服務(wù)? 根據(jù) “選擇符 ”對數(shù)據(jù)庫進行檢索，選擇符從網(wǎng)絡(luò)層和傳輸層頭提取出來? IP包的外出和進入都需要查詢 SPD， 以判斷為這個包提供的安全服務(wù)有哪些。44?① 目的 IP地址：這可以是一個單一的 IP地址、一個地址列表或者是一個通配的地址。多個地址和通配地址用于多于一個的源系統(tǒng)共享同一個 SA的情況 (例如，位于一個網(wǎng)關(guān)之后 )。?② 源 IP地址：這可以是一個單一的 IP地址、一個地址范圍或者是一個通配的地址。?③ 名稱：這可以是一個 X． 500特定名稱 (DN)或者是一個來自操作系統(tǒng)的用戶標識符。?④ 傳輸層協(xié)議：這可以從 IPv4協(xié)議域或者 IPv6的下一個頭域中得到。它可以是一個單獨的協(xié)議號碼、一個協(xié)議號的列表，或者是一個協(xié)議號碼范圍。?⑤ 源端口和目的端口：這些端口可以是單個的 UDP或 TCP端口值，真正應(yīng)用協(xié)議的便是這些端口。如果端口不能訪問，便需要使用通配符。?⑥ 數(shù)據(jù)敏感級：這被用于提供信息流安全的系統(tǒng) (例如無分級的或者秘密的 )。45IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫?2．安全關(guān)聯(lián)數(shù)據(jù)庫．安全關(guān)聯(lián)數(shù)據(jù)庫 ?下面的參數(shù)用于定義一個 SA：?① 序列號計數(shù)器：用于生成位于 AH或者 ESP頭中的序列號域的一個 32比特值。?② 序列號計數(shù)器溢出：這是一個標志。?③ 抗重放窗口：一個 32位計數(shù)器，用于決定一個輸入的AH 或者 ESP數(shù)據(jù)包是否是一個重放包。?④ AH信息：與使用 AH有關(guān)的參數(shù) (如認證算法、密鑰和密鑰生存期 )。?⑤ ESP信息：與使用 ESP有關(guān)的參數(shù) (如加密算法、密鑰、密鑰生存期和初始化值 )。46? ⑥ SA的生存期：一個時間間隔或者字節(jié)計數(shù)，用于指定一個 SA使用的持續(xù)時間。當該持續(xù)時間已結(jié)束時，必須用一個新的 SA(以及新的 SPl)來替代該 SA， 或者終止該 SA， 同時該參數(shù)中包括一個應(yīng)該采取何種動作的標識。? ⑦ IPSec協(xié)議模式：指定對于該 SA的通信流所使用的操作模式 (傳輸模式、隧道模式，或通配模式 )。47IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫?3．． IPSec處理方式處理方式 ?IPSec處理分為兩類：外出處理和進入處理。?外出處理過程 中，傳輸層的數(shù)據(jù)包流進 IP層， IP層檢索 SPD數(shù)據(jù)庫，判斷應(yīng)為這個包提供哪些安全服務(wù)。需要輸入 SPD的是前面已經(jīng)討論過的 “選擇符 ”。48? 至于 SPD檢索的輸出，則可能有下面幾種情況：? ① 丟棄這個包。此時包不會得以處理，只是簡單地丟掉。? ② 繞過安全服務(wù)。在這種情況下， IP層會在載荷內(nèi)增添 IP頭，然后分發(fā) IP包。? ③ 應(yīng)用安全服務(wù)。在這種情況下，假如已建立了一個SA， 就會返回指向這個 SA的指針；? 假如尚未建立 SA， 就會調(diào)用 IKE， 將這個 SA建立起來。如果 SA已經(jīng)建立， SPD內(nèi)便會包含指向 SA或 SA集束的一個指針 (具體由策略決定 )。如果策略的輸出規(guī)定強行將 IPSec應(yīng)用于數(shù)據(jù)包，那么在 SA正式建立起來之前，包是不會傳送出去的。4950? 進入處理 有別于外出處理。如果收到的 IPSec包是一個分段，必須把它保留下來，直到這個包的其他部分收完為止。? 收到 IP包后， 假如包內(nèi)根本沒有包含 IPSec頭 ，那么安全層就會對策略進行檢查，判斷該如何對這個包進行處理。它會用選擇符字段來檢索SPD數(shù)據(jù)庫。策略的輸出可能是下述三種選擇：丟棄、繞過或應(yīng)用。如果策略的輸出是丟棄，那么數(shù)據(jù)包就會被丟棄；如果是應(yīng)用，但 SA沒有建立，包同樣會被丟棄。否則，就將包傳遞給下一層，作進一步的處理。51?如果 IP包中包含了 IPSec頭 ，就會由 IPSec層對這個包進行處理。?IPSec層會從 IP數(shù)據(jù)報中提取出 SPI、 源地址和目標地址。它會利用 SPI， 目標地址，協(xié)議 字元組對 SADB數(shù)據(jù)庫進行檢索。?協(xié)議值要么是 AH， 要么是 ESP。 根據(jù)這個協(xié)議值，這個包的處理要么由 AH層，要么由 ESP層進行。?協(xié)議載荷處理完之后，需要查詢策略，對載荷進行檢驗。選擇符則用作獲取策略的依據(jù)。驗證過程包括：檢查 SA的使用是否得當 (也就是說， SA中的源和目標地址是否與策略對應(yīng) )，以及 SA保護的傳送層協(xié)議是否和要求的相符。52IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫??使用一個單一的 SA， AH或者 ESP來實現(xiàn) IP數(shù)據(jù)包的安全。然而，并沒有限制使用多個 SA， 這通常稱為 SA束(bundle)。 SA集結(jié)的順序是通過安全策略來定義的。 ?IPSec體系結(jié)構(gòu)文檔列出了 IPSec兼容的主機或安全網(wǎng)關(guān)必須支持的四種 SA組合的例子。?這些例子如下圖所示，圖中，每種情況的下面部分表示的是元素的物理連接；上面部分通過一個或多個嵌套 SA表示了邏輯連接。每個 SA可以是 AH或者 ESP。 對于主機到主機的 SA， 可以是傳輸模式或者隧道模式；其他情況則必須是隧道模式。53?① 端到端主機之間應(yīng)用 IPSec?該情況中，對實現(xiàn) IPSec的兩個端系統(tǒng)提供安全業(yè)務(wù)，兩個端系統(tǒng)必須有共享的秘密密鑰。此時 SA的組合方式可能有：?傳輸模式下的 AH；?傳輸模式下的 ESP；?AH后跟 ESP， 兩者都處于傳輸模式下（即 AH　 SA在 ESP　 SA的內(nèi)部）；?上面三種情況的任一種在隧道模式下的 AH或 ESP里面 Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)一個或多個 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機 主機54原始的 IP頭(任何選項 )TCP 數(shù)據(jù)AH(載荷 長度 ,SPI,序號 ,MAC)ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號 )源 IP頭 ESP認證ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號 )源 IP頭 ESP認證AH(載荷 長度 ,SPI,序號 ,MAC)原始的 IP頭(任何選項 )TCP 數(shù)據(jù)AH(載荷 長度 ,SPI,序號 ,MAC)新的 IP頭(任何選項 )55? ② 網(wǎng)關(guān)到網(wǎng)關(guān)之間實現(xiàn) IPSec ? 該情況中，兩個主機未實現(xiàn) IPSec， 因此僅在兩個網(wǎng)關(guān)之間提供安全業(yè)務(wù)。此時僅需要一個隧道模式下的 SA， 可用于支持 AH、 ESP或具有認證選擇的 ESP。 由于 IPSec安全業(yè)務(wù)作用于整個內(nèi)部數(shù)據(jù)報，因此不需要使用嵌套的隧道模式。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機 主機56? ③ 上面 ① 和 ② 的組合? 該情況在情況 ② 的基礎(chǔ)上增加了端到端的安全性。在情況 ① 和情況 ② 中討論的組合在這里同樣允許。網(wǎng)關(guān)到網(wǎng)關(guān)的隧道為終端系統(tǒng)之間的所有通信量提供了鑒別服務(wù)或者機密性，或者兩種服務(wù)都提供。當網(wǎng)關(guān)到網(wǎng)關(guān)的隧道是 ESP時，它還提供了有限形式的通信量機密性。通過端到端的 SA， 單獨的主機可以為給定的應(yīng)用程序或給定的用戶實現(xiàn)任何需要的補充 IPSec。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機 主機57? ④ 遠程終端支持? 該情況表示一個具有 IPSec的遠程主機通過 Inter到達某一組織的防火墻，然后訪問防火墻后