【文章內(nèi)容簡介】 IP數(shù)據(jù)報的進出處理基于安全策略。對于外出的 IP數(shù)據(jù)報，根據(jù) SA選擇器來查找 SPD中匹配的安全策略條目，它會指向 0個或多個 SA，然后在 SAD中檢索這個 SA， SA按指定順序依次對外出 IP數(shù)據(jù)報進行處理。對于進入的 IP數(shù)據(jù)報，首先要對 IP數(shù)據(jù)報進行安全處理。然后，根據(jù) SA選擇器對 SPD數(shù)據(jù)庫進行檢索，證實對 IP數(shù)據(jù)報采取的安全策略。安全策略的配置和管理都沒有統(tǒng)一的硬性規(guī)定，但對于管理應用來說，至少應該具有使用選擇器進行檢索的功能。9 之 11/28/2023 38安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 32位位 IPv4或或 128位位 IPv6地址。地址。9 之 21/28/2023 39安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 32位位 IPv4或或 128位位 IPv6地址。地址。9 之 31/28/2023 40安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 指定傳輸協(xié)議（指定傳輸協(xié)議（只要傳輸協(xié)議能訪問只要傳輸協(xié)議能訪問）。許多情況下，只）。許多情況下，只要使用了要使用了 ESP, 傳輸協(xié)傳輸協(xié)議便無法訪問，此時議便無法訪問，此時需使用通配符。需使用通配符。9 之 41/28/2023 41安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 完整的完整的 DNS名或名或地址。地址。9 之 51/28/2023 42安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 完整的完整的 DNS用戶用戶名，如：名，如：，或，或 DN。9 之 61/28/2023 43安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 應用端口。如無應用端口。如無法訪問，則使用通配法訪問，則使用通配符。符。9 之 71/28/2023 44安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 采取的動作：采取的動作：216。 Discard216。 Bypass IPSec216。 Apply IPSec9 之 81/28/2023 45安全策略數(shù)據(jù)庫（ SPD）目錄 安全關聯(lián) (SA)和安全策略 (SP)SPn……SP3SP2SP1 目的 IP地址源 IP地址傳輸層協(xié)議系統(tǒng)名用戶 ID上層端口標志SA指針SP條目SPD 包括：包括：252。 指向一個指向一個 SA或或 SA集集的指針的指針252。 應用的應用的 IPSec協(xié)議協(xié)議252。 運用的密碼算法運用的密碼算法252。 生成生成 ICV的算法的算法9 之 91/28/2023 46認證頭（ AH）目錄w 概述w AH操作模式w AH頭格式w AH處理過程1/28/2023 47概 述目錄 認證頭 AHw 為 IP數(shù)據(jù)報提供數(shù)據(jù)完整性和認證功能，不提供保密性服務；w 利用 MAC碼實現(xiàn)認證，雙方必須共享一個密鑰；w 認證算法由 SA指定； 認證的范圍：整個 IP數(shù)據(jù)報。w 兩種操作模式：n 傳輸模式傳輸模式 ：不改變 IP地址，插入一個 AH；n 隧道模式隧道模式 ：生成一個新的 IP頭，把 AH和原來的整個IP數(shù)據(jù)報放到新 IP數(shù)據(jù)報的凈荷數(shù)據(jù)中。1/28/2023 48AH操作模式目錄 認證頭 AHw 傳輸模式w 隧道模式1/28/2023 49傳輸模式目錄 認證頭 AHAH使用模式 傳輸模式用于兩臺主機之間實現(xiàn)端傳輸模式用于兩臺主機之間實現(xiàn)端 端端的安全的安全 。它所保護的 IP數(shù)據(jù)報的通信終點必須是 IPSec終點。 AH頭被插在 IP數(shù)據(jù)報中，緊跟在 IP頭之后和需要保護的上層協(xié)議數(shù)據(jù)之前，對 IP數(shù)據(jù)報中的不變部分進行安全保護。3 之 11/28/2023 50傳輸模式目錄 認證頭 AHAH使用模式原始 IP數(shù)據(jù)報加入 AH頭后的 IP數(shù)據(jù)報3 之 21/28/2023 51圖 示目錄 認證頭 AHAH使用模式AH3 之 31/28/2023 52隧道模式目錄 認證頭 AHAH使用模式 隧道模式用于主機隧道模式用于主機 路由器或路由器路由器或路由器 路由器之路由器之間的點間的點 點通信，點通信， 保護整個 IP數(shù)據(jù)報。 隧道模式先將整個 IP數(shù)據(jù)報（其 IP頭稱為內(nèi)部IP頭）進行封裝，然后增加一個 IP頭（稱為外部 IP頭），并在外部與內(nèi)部 IP頭之間插入 AH頭。該模式的通信終點由受保護的內(nèi)部 IP頭指定，而 IPSec終點則由外部 IP頭指定，如果其終點是 IPSec網(wǎng)關，則該網(wǎng)關會還原出內(nèi)部 IP數(shù)據(jù)報，再轉發(fā)到最終目的地。4 之 11/28/2023 53隧道模式目錄 認證頭 AHAH使用模式原始 IP數(shù)據(jù)報加入 AH頭后的 IP數(shù)據(jù)報4 之 21/28/2023 54圖 示目錄 認證頭 AHAH使用模式AH4 之 31/28/2023 55端 端和點 點目錄 認證頭 AHAH使用模式Transport ModeTunnel Mode4 之 41/28/2023 56AH頭格式目錄 認證頭 AH 3 之 11/28/2023 57AH頭說明 (1)w Next Header 8bit，用于指出 AH后的下一載荷（協(xié)議）的類型（RFC1700）。在傳輸模式（包括傳輸層數(shù)據(jù)）下可為 6（TCP）或 17（ UDP）；在隧道模式（保護整個 IP數(shù)據(jù)報）下可為 4（ IPv4）或 41（ IPv6）。w Payload Length 8bit， 用于表示 AH的長度 (32位為單位 )。w Reserved 8bit，保留，未使用時必須設為 0。w SPI 32bit，用來指定此 IP數(shù)據(jù)報的 SA。將目的 IP地址和 SPI組合即可確定 SA。目錄 認證頭 AH 3 之 21/28/2023 58AH頭說明 (2)w Sequence Number 32bit，用來避免重放攻擊（指黑客在通信線路上非法竊取數(shù)據(jù)，復制后發(fā)往對方進行的偽裝攻擊）。具體做法：發(fā)