【文章內(nèi)容簡(jiǎn)介】 AH來(lái)驗(yàn)證，或者將 AH認(rèn)證與 ESP驗(yàn)證同時(shí)使用 ESP運(yùn)行模式 (2)－隧道模式 ? 保護(hù)的是整個(gè) IP包，對(duì)整個(gè) IP包進(jìn)行 加密 ? 在隧道模式中， ESP插入到原始 IP頭部之前，然后在 ESP之前再增加一個(gè)新的 IP頭部 IP頭部 (含選項(xiàng)字段 ) 數(shù)據(jù) 應(yīng)用 ESP之前 新 IP頭部 (含選項(xiàng)字段 ) 應(yīng)用 ESP之后 TCP頭部 (含選項(xiàng)字段 ) IP頭部 (含選項(xiàng)字段 ) 數(shù)據(jù) TCP頭部 (含選項(xiàng)字段 ) ESP頭部 ESP尾部 ESP驗(yàn)證數(shù)據(jù) 驗(yàn)證區(qū)域 加密區(qū)域 ? 隧道 模式下對(duì)整個(gè)原始 IP包進(jìn)行驗(yàn)證和加密，可以提供數(shù)據(jù)流加密服務(wù)；而 ESP在傳輸模式下不能提供 流加密 服務(wù)，因?yàn)樵?、目?IP地址不被 加密 ? 隧道 模式將占用更多的帶寬，因?yàn)樵黾恿艘粋€(gè)額外的 IP頭部 ? 驗(yàn)證功能依然不像 AH傳輸模式或隧道模式那么 強(qiáng)大 ? 外出 報(bào)文：先 加密，后驗(yàn)證 ? 進(jìn)入 報(bào)文：先 驗(yàn)證，后加密 ESP輸出－輸入處理流程 AH ESP(只加密 ) ESP（加密并鑒別） 訪問(wèn)控制服務(wù) √ √ √ 無(wú)連接完整性 √ √ 數(shù)據(jù)源鑒別 √ √ 拒絕重放分組 √ √ √ 內(nèi)容保密性 √ √ 流量保密性 √ √ IPSec各種服務(wù)的功能 目 錄 1. IP協(xié)議 2. IPSec的結(jié)構(gòu) 3. 認(rèn)證頭 AH 4. 封裝安全載荷 ESP 5. 安全關(guān)聯(lián) (SA)和安全策略 (SP) 6. ISAKMP和 Inter密鑰交換模式 安全關(guān)聯(lián)－ SA （ Security Association) 安全關(guān)聯(lián) SA ? 兩個(gè) IPSec實(shí)體（主機(jī)、安全網(wǎng)關(guān)）之間經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定， 定義在兩個(gè)使用 IPSec的實(shí)體間建立的邏輯連接，定義 實(shí)體 (主機(jī) /網(wǎng)關(guān) )間如何使用安全服務(wù)進(jìn)行通信 ? SA是一個(gè) 單向 的邏輯連接，一次通信中， IPSec需要建立兩個(gè)SA，用于出站和入站通信，這兩個(gè) SA構(gòu)成了一個(gè) SA束（ SA Bundle） ? 每個(gè) SA用唯一的 SPI索引標(biāo)識(shí)，當(dāng)處理接收數(shù)據(jù)包時(shí)，服務(wù)器根據(jù) SPI值來(lái)決定該使用哪種 SA 安全關(guān)聯(lián)－ SA 用于通信對(duì)等方之間對(duì)某些要素的一種協(xié)定 ， 如： ? IPSec協(xié)議 ? 操作模式：傳輸 、 隧道 ? 密碼算法 ? 密鑰 ? 用于保護(hù)數(shù)據(jù)流的密鑰的生存期 安全關(guān)聯(lián)－ SA ? 通過(guò)像 IKE這樣的密鑰管理協(xié)議在通信對(duì)等方之間協(xié)商而生成 ? 當(dāng)一個(gè) SA協(xié)商完成后 ， 兩個(gè) 對(duì)等方 都在其安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (SAD)中存儲(chǔ)該 SA參數(shù) ? SA具有一定的生存期 ， 當(dāng)過(guò)期時(shí) ， 要么中止該 SA， 要么用新的 SA替換 ? 終止的 SA將從 SAD中刪除 SA的管理（ 1） ? 創(chuàng)建： SA的創(chuàng)建分兩步進(jìn)行 —— 先協(xié)商 SA參數(shù)，再用 SA更新 SAD ? 人工密鑰協(xié)商： SA的內(nèi)容由管理員手工指定、手工維護(hù)。 – 手工維護(hù)容易出錯(cuò)，而且手工建立的 SA沒(méi)有生存周期限制，永不過(guò)期，除非手工刪除，因此有安全隱患。調(diào)試過(guò)程中有用。 ? IKE自動(dòng)管理： SA的自動(dòng)建立、動(dòng)態(tài)維護(hù)和刪除是通過(guò)IKE進(jìn)行 的，而且 SA有 生命期 ? 如果 安全策略要求建立 安全的 連接，但又不存在與該連接相應(yīng)的 SA， IPSec的內(nèi)核會(huì)立刻啟動(dòng) IKE來(lái)協(xié)商 SA SA的管理（ 2） ? 刪除 ? 存活時(shí)間 過(guò)期 ? 密鑰已遭 破解 ? 使用 SA加密 /解密或驗(yàn)證的字節(jié)數(shù)已超過(guò)策略設(shè)定的某一個(gè) 閾值 ? 另一端要求刪除這個(gè) SA ? 必須先刪除現(xiàn)有 SA，再協(xié)商建立一個(gè)新的 SA。為避免耽擱通信，應(yīng)該在 SA過(guò)期之前就協(xié)商好新的SA SAD （ Security Association Database，安全聯(lián)盟數(shù)據(jù)庫(kù)） ? SAD并不是通常意義上的“數(shù)據(jù)庫(kù)”，而是將所有的 SA以某種數(shù)據(jù)結(jié)構(gòu)集中存儲(chǔ)的一個(gè) 列表 ? 對(duì)于外出的流量，如果需要使用 IPSec處理，然而相應(yīng)的 SA不存在，則 IPSec將啟動(dòng) IKE來(lái)協(xié)商出一個(gè) SA，并存儲(chǔ)到 SAD中 ? 對(duì)于進(jìn)入的流量，如果需要進(jìn)行 IPSec處理， IPSec將從 IP包中得到三元組（ SPI,DST,Protocol），并利用這個(gè)三元組在 SAD中查找一個(gè) SA SAD示例 AH認(rèn)證密鑰 AH認(rèn)證算法 SAD SAn …… SA3 SA2 SA1 SAD ?安全參數(shù)索引 ?32位整數(shù)，唯一標(biāo)識(shí) SA ?1－ 255被 IANA保留將來(lái)使用 ?0被保留用于本地實(shí)現(xiàn) SAn …… SA3 SA2 SA1 SAD ?輸出 處理： SA的目的 IP地址 ?輸入 處理： SA的源 IP地址 SAn …… SA3 SA2 SA1 SAD ?AH ?ESP SAn …… SA3 SA2 SA1 SAD ?32位整數(shù)，剛開始通常為 0 ?每次用 SA來(lái)保護(hù)一個(gè)包時(shí)增 1 ?用于生成 AH或 ESP頭中的序列號(hào)域 ?在溢出之前， SA會(huì)重新進(jìn)行協(xié)商 SAn …… SA3 SA2 SA1 SAD ?用于外出包處理 ?標(biāo)識(shí)序列號(hào)計(jì)數(shù)器的溢出時(shí)，一個(gè) SA是否仍 可以用來(lái)處理其余的包 SAn …… SA3 SA2 SA1 SAD ?使用一個(gè) 32位計(jì)數(shù)器和位圖確定一個(gè)輸入 的 AH或 ESP數(shù)據(jù)包是否是一個(gè)重放 包 ?接收到的數(shù)據(jù)包的序列號(hào)必須是新的，且落 在滑動(dòng)窗口內(nèi)部或右側(cè) SAn …… SA3 SA2 SA1 SAD ?AH認(rèn)證密碼算法和所需要的密鑰 SAn …… SA3 SA2 SA1 SAD ?ESP認(rèn)證密碼算法和所需要的密鑰 SAn …… SA3 SA2 SA1 SAD ?ESP加密算法，密鑰，初始化向量 (IV)和 IV模式 ?IV模式： ECB， CBC， CFB， OFB SAn …… SA3 SA2 SA1 SAD ?傳輸模式 ?隧道模式 ?通配模式：暗示可用于傳輸隧道模式 SAn …… SA3 SA2 SA1 SAD ?路徑最大傳輸單元 ?是可測(cè)量和可變化的 ?它是 IP數(shù)據(jù)報(bào)經(jīng)過(guò)一個(gè)特定的從源主機(jī)到 目的主機(jī)的網(wǎng)絡(luò)路由而無(wú)需分段的 IP數(shù)據(jù) 包的最大長(zhǎng)度 SAn …… SA3 SA2 SA1 SAD ?包含一個(gè)時(shí)間間隔 ?外加一個(gè)當(dāng)該 SA過(guò)期時(shí)是被替代還是終止 ?采用軟和硬的存活時(shí)間：軟存活時(shí)間用于在 SA會(huì)到期之前通知內(nèi)核，便于在硬存活時(shí)間 到來(lái)之前內(nèi)核能及時(shí)協(xié)商新的 SA SAn …… SA3 SA2 SA1 安全策略－ SP （ Security Policy） 安全策略－ SP ?決定對(duì) IP數(shù)據(jù)包提供何種保護(hù) ， 并以何種方式實(shí)施保護(hù) ?主要根據(jù)源 IP地址 、 目的 IP地址 、 入數(shù)據(jù)還是出數(shù)據(jù)等來(lái)標(biāo)識(shí) ?IPSec還定義了用戶能以何種粒度來(lái)設(shè)定自己的安全策略 ， 不僅可以控制到 IP地址 ， 還可以控制到傳輸層協(xié)議或者 TCP/UDP端口等 SPD （ Security Policy Database，安全策略數(shù)據(jù)庫(kù)） ? SPD不是 通常意義上的 “ 數(shù)據(jù)庫(kù) ” ， 而是將所有的 SP以某種數(shù)據(jù)結(jié)構(gòu)集中存儲(chǔ)的 列表 ? 包 處理過(guò)程中 ， SPD和 SAD兩個(gè)數(shù)據(jù)庫(kù)要聯(lián)合 使用 ? 當(dāng)接收或?qū)⒁l(fā)出 IP包時(shí) ， 首先要查找 SPD來(lái)決定如何進(jìn)行 處理 ? 丟棄：流量不能離開主機(jī)或者發(fā)送到應(yīng)用程序 ， 也不能進(jìn)行轉(zhuǎn)發(fā) 。 ? 不用 IPSec：對(duì)流量作為普通流量處理 ， 不需要額外的 IPSec保護(hù) 。 ? 使用 IPSec：對(duì)流量應(yīng)用 IPSec保護(hù) ， 此時(shí)這條安全策略要指向一個(gè) SA。 對(duì)于外出流量 ， 如果該 SA尚不存在 ， 則啟動(dòng) IKE進(jìn)行協(xié)商 ， 把協(xié)商的結(jié)果連接到該安全策略 上 SPD示例 安全策略－ SP選擇符 ?32位 IPv4或 128位 IPv6地址 ?可以是：主機(jī)地址、廣播地址、 單播地址、任意播地址、多播組 地址地址范圍，地址加子網(wǎng)掩碼 通配符號(hào)等 SRn …… SR3 SR2 SR1 安全策略－ SP選擇符 ?32位 IPv4或 128