【正文】 標(biāo)定自己的身份 , 并相互交換驗(yàn)證散列摘要。交換 DH公共值以及偽隨機(jī)nonce。IKE SA是雙向的，雙方都可以發(fā)起一次快速模式交換。 185第二 階 段的 3個步 驟發(fā)起者（客戶端） 響應(yīng)者（服務(wù)器端）HDR、散列、 SA …HDR、散列、 SA …步驟 1步驟 2SA 、寫 IPSec SA、寫 IPSec步驟 3快速模式協(xié)商發(fā)起方在收到響應(yīng)方的 “已連接 ”消息后，將 SA加入自己的 IPSec SADB數(shù)據(jù)庫。n 消息 (5)和消息 (6)中，雙方使用前兩步得出的加密、 驗(yàn)證算法和密 鑰 保 護(hù)傳輸 的數(shù)據(jù)。消息 (2)中，響 應(yīng) 者與本地策略 進(jìn) 行匹配和 選擇 之后，將最 終 決定的安全 聯(lián) 盟內(nèi)容同 樣 用相 應(yīng)載荷回送 發(fā) 起者。n 此 時 ，兩端第二 階 段完成 協(xié) 商， SA成功建立起來。n 消息 2—— 接收端收到消息，解密 該 消息，選擇 自己所支持的， 發(fā) 響 應(yīng)報 文。此 時 已 經(jīng) 建立了用于密 鑰 交 換 的安全的通道。n 消息 6—— 接收端收到消息，解密 該 消息，獲 取 對 方的身份信息，然后 發(fā) 送響 應(yīng) 報 文，并攜 帶 自己的身份信息。q 主密 鑰產(chǎn) 生：q 發(fā) 起端： (gy)x=gxyq 接收端： (gx)y=gxyn 密 鑰 材料 產(chǎn) 生 —— 由主密 鑰 推 導(dǎo) 出用于后面 階 段的密 鑰 材料。180VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn 消息 3—— 發(fā) 起方隨機(jī) 選 取一個 Nonce值 如x，并 計 算 gx， 發(fā) 送消息。 (3個步 驟 )179VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn 第一 階 段n 消息 1—— 初始 階 段， 發(fā) 起方 發(fā) 送消息 1，攜 帶 SA、 Proposal、 Transform等 Payload（如自己所支持的算法等信息）。 IP udp isakmp payload IKE的報文格式177VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn 端口： UDP 500、 4500n 用 處 ： 為 IPSec協(xié) 商 SAn 兩個 階 段：第一 階 段 為 IKE本身 協(xié) 商 SA；第二 階 段 為 IPSec協(xié) 商 SAn 三種模式： 主模式 （身份保 護(hù) ）、 野蠻模式 ， 對應(yīng) 第一 階 段； 快速模式 ， 對應(yīng) 第二階 段。176VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEUDP報文，端口號 500。171AH傳輸 模式172AH隧道模式173ESP傳輸 模式174ESP隧道模式175VPN技 術(shù) 及 應(yīng) 用 簡 介 IKEn 什么是 IKE（ RFC240 240 2402410… ）n IKE（ Inter Key Exchange）是一個密 鑰協(xié) 商協(xié)議 ；n IKE提供了身份 認(rèn)證 ， 協(xié) 商信息的保 護(hù) ，并 為IPSec等安全 協(xié)議進(jìn) 行安全 聯(lián) 盟的 協(xié) 商。169VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSEC傳輸 模式下 IPSec數(shù)據(jù)包格式AH＋ ESPESPAH IP頭 AH(51) 網(wǎng)絡(luò)載荷加密通道IP頭 ESP(50)網(wǎng)絡(luò)載荷IP頭 AH(51) ESP(50)網(wǎng)絡(luò)載荷170VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSEC隧道模式下 IPSec數(shù)據(jù)包格式AH＋ ESPESPAH 新 IP頭 AH(51) 上層協(xié)議原 IP頭新 IP頭 ESP(50)上層協(xié)議原 IP頭新 IP頭 AH(51) ESP(50)上層協(xié)議原 IP頭加密通道n 對 一個 IP報 文 進(jìn) 行封裝，在原有的 IP頭 前，又添加一個新的 IP報頭 的 協(xié)議 ，就像隧道一 樣 保 護(hù) 原來的 IP報 文。n 隧道模式q 用于數(shù)據(jù)包的最 終 目的地不是安全 終 點(diǎn)的情況下。 166VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSEC通道模式的 ESP報文167VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSEC通道模式的 AH、 ESP混合報文168IPSec的兩種模式n 傳輸 模式q AH和 ESP保 護(hù) 的是 傳輸頭 ； AH和 ESP會 攔 截從 傳輸層 到網(wǎng) 絡(luò)層 的數(shù)據(jù)包，根據(jù)具體的配置提供安全保護(hù) 。完整性 檢查 部分包括 ESP包 頭 、 傳輸層協(xié)議 、數(shù)據(jù)和 ESP包尾，但不包括 IP包 頭 ，因此 ESP不能保 證 IP包 頭 不被 篡改。 安全參數(shù)索引 序列號 （ SPI） IP頭 IPSec ESP 頭 傳輸層頭（ TCP/UDP） 數(shù)據(jù) ESP尾 ESP 認(rèn)證尾 認(rèn)證數(shù)據(jù) 填充域 填充域 下一個 長度 包頭 165ESP包 頭 字段n 安全參數(shù)索引 SPI(Security Parameters Index)：同 AH；n 序列號 (Sequence Number)：同 AH； n 填充域 (Padding)： 0255個字 節(jié) 。 為 了保 證 各種 IPSec之 間實(shí)現(xiàn) 互操作性，目前 ESP必 須 提供 對 56位 DES算法的支持。 163VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSEC通道模式的 AH報文164IP封裝安全 負(fù)載 ESPn ESP為 IP包提供 完整性 檢查 、 認(rèn)證 和加密 。 IP頭 IPSec AH頭 傳輸層頭（ TCP/UDP） 數(shù) 據(jù) 下一個包頭 長度 保留 安全參數(shù)索引 (SPI) 序列號 認(rèn)證數(shù)據(jù)162AH包 頭 字段n 下一個包 頭 (Next Header， 8位 )： 標(biāo)識緊 跟 AH頭 后面使用 IP協(xié)議 號的包 頭 ；n 載 荷 長 度 (Payload Len， 8位 )： AH包 頭長 度；n 保留 （ Reserved， 16位）： 為 將來的 應(yīng) 用保留 ， （目前 為0） ；n 安全參數(shù)索引 (SPI， 32位 )：與目的 IP 地址 一同 標(biāo)識 SA；n 序列號 (Sequence Number Field， 32位 )：從 1開始的 32位單 增序列號，不允 許 重復(fù)，唯一地 標(biāo)識 每一個 發(fā) 送的數(shù)據(jù)包， 為 SA提供反重 發(fā) 保 護(hù) 。它能保護(hù)通信免受篡改，但不能防止竊聽，適用于傳輸非機(jī)密數(shù)據(jù)。n IKE的作用是 協(xié) 助 進(jìn) 行安全管理，它在 IPSec 進(jìn) 行 處 理 過 程中 對 身份 進(jìn) 行 鑒別 ，同 時進(jìn) 行安全策略的 協(xié) 商和 處 理會 話密 鑰 的交 換 工作。n 認(rèn)證 機(jī)制使 IP通信的數(shù)據(jù)接收方能 夠 確 認(rèn) 數(shù)據(jù) 發(fā) 送方的真 實(shí)身份以及數(shù)據(jù)在 傳輸過 程中是否遭 篡 改；n 加密機(jī)制通 過對 數(shù)據(jù) 進(jìn) 行 編碼 來保 證 數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在 傳輸過 程中被竊聽。n IP包的 處 理 過 程中，系 統(tǒng) 要 查閱 SPD，每一個數(shù)據(jù)包，都有三種可能的 選擇 ： 丟 棄、 繞過 IPSec或 應(yīng) 用 IPSec:q 丟 棄：根本不允 許 數(shù)據(jù)包離開主機(jī)穿 過 安全網(wǎng)關(guān)；q 繞過 ：允 許 數(shù)據(jù)包通 過 ，在 傳輸 中不使用 IPSec進(jìn) 行保護(hù) ；q 應(yīng) 用：在 傳輸 中需要 IPSec保 護(hù) 數(shù)據(jù)包， 對 于 這樣 的傳輸 SPD必 須規(guī) 定提供的安全服 務(wù) 、所使用的 協(xié)議 和算法等等。一個 SAD條目包含下列域： q 序列號 計 數(shù)器： 32位整數(shù)，用于生成 AH或 ESP頭 中的序列號；q 序列號溢出 標(biāo) 志： 標(biāo)識 是否 對 序列號 計 數(shù)器的溢出 進(jìn) 行 審 核；q 抗重 發(fā) 窗口：使用一個 32位 計 數(shù)器和位 圖 確定一個 輸 入的 AH或ESP數(shù)據(jù)包是否是重 發(fā) 包；q IPSec協(xié)議 操作模式： 傳輸 或隧道；q AH的 認(rèn)證 算法和所需密 鑰 ；q ESP的 認(rèn)證 算法和所需密 鑰 ；q ESP加密算法，密 鑰 ，初始向量（ IV）和 IV模式；q 路徑最大 傳輸單 元；q 進(jìn) 出 標(biāo) 志；q SA 生存期狀 態(tài) 。主機(jī) A 主機(jī) BSA（ out）SA（ in）SA（ in）SA（ out）共享相同的加密參數(shù)共享相同的加密參數(shù)155安全 聯(lián) 盟（ SA）n SA是安全策略通常用一個三元 組 唯一的表示： SPI， IP目的地址，安全 協(xié)議標(biāo)識 符 q SPI：安全參數(shù)索引 (Security Parameters Index)， 說 明用 SA的 IP頭類 型，它可以包含 認(rèn)證 算法、加密算法、用于 認(rèn)證 加密的密 鑰 以及密 鑰 的生存期；q IP目的地址：指定 輸 出 處 理的目的 IP地址，或 輸 入 處理的源 IP地址；q 安全 協(xié)議標(biāo)識 符：指明使用的 協(xié)議 是 AH還 是 ESP或者兩者 同 時 使用。n SA是兩個通信 實(shí) 體 經(jīng)協(xié) 商建立起來的一種 協(xié) 定。IPv4包頭 ESP包頭 高層協(xié)議ESP協(xié)議為 IP數(shù)據(jù)包提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。153VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSECIPSec 加密－ ESP協(xié)議n 其使用的包 頭 號放在 標(biāo) 準(zhǔn)的 IPv4和 IPv6包 頭 和下一個高 層協(xié)議幀 （如 TCP、 UDP、 ICMP等）之 間 。151IPSec基本原理n 對報 文 進(jìn) 行安全封裝后再在不可信 賴 網(wǎng) 絡(luò)上 傳輸 并 檢查 和解除接收到的 報 文的安全封裝IPSEC隧道報文封裝 報文解封A B152VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSECIPSec 認(rèn)證 － AH協(xié)議n 其使用的包 頭 號放在 標(biāo) 準(zhǔn)的 IPv4和 IPv6包 頭 和下一個高 層協(xié)議幀 （如 TCP、 UDP、 ICMP、ESP等）之 間 ；n 國 際 IANA機(jī)構(gòu)分配 給 AH的 協(xié)議 號 為 51。150VPN技 術(shù) 及 應(yīng) 用 簡 介 IPSECn IPSec協(xié)議的組成q IPSec協(xié)議包括 AH協(xié)議、 ESP協(xié)議、密鑰管理協(xié)議（ IKE協(xié)議）和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。137信息分析技 術(shù)n 信息分析技 術(shù) 的技 術(shù) 指 標(biāo)q 誤報 率q 漏 報 率n 常用的信息分析技 術(shù) 包括q 模式匹配（基于知 識 的 檢測 ）q 統(tǒng)計 分析（基于行 為 的 檢測 ）138模式匹配n 過 程： 監(jiān) 控 ? 特征提取 ? 匹配 ? 判定139模式匹配的特點(diǎn)n 前提：q 所有的入侵行 為 都有可被 檢測 到的特征n 特點(diǎn)：q 系 統(tǒng)負(fù) 擔(dān)小q 準(zhǔn)確度高q 不能 檢測 未知的入侵140統(tǒng)計 分析n 過 程： 監(jiān) 控 ? 量化 ? 比 較 ? 判定 ? 修正141統(tǒng)計 分析的特點(diǎn)n 前提q 入侵是異?；?動 的子集 n 特點(diǎn)：q 測 系 統(tǒng) 能 針對 用 戶 行 為 的改 變進(jìn) 行自我 調(diào) 整和 優(yōu) 化q 能 檢測 到未知的入侵和更 為 復(fù) 雜 的入侵q 對 系 統(tǒng)資 源消耗大q 系 統(tǒng)誤報 相 對 比 較 高，且不能適 應(yīng) 用 戶 正常行 為 的突然改 變 。q 目 錄 和文件中的不期望的改 變 （包括修改、 創(chuàng)建和 刪 除），特 別 是那些正常情況下限制 訪問的，很可能就是一種入侵 產(chǎn) 生的指示和信號。q 另外一些攻 擊 可能使網(wǎng) 絡(luò) 流量 產(chǎn) 生異常，比如特洛伊木 馬 、服 務(wù) 拒 絕 等等。126通用入侵 檢測 框架 CIDFn 體系 結(jié) 構(gòu)： 闡 述了一個 標(biāo) 準(zhǔn)的 IDS的通用模型n 組 件通信：定 義 了 IDS組 件之 間進(jìn) 行通信的 標(biāo) 準(zhǔn)協(xié)議n 語 言 規(guī) 范：定 義 了一個用來描述各種 檢測 信息的標(biāo) 準(zhǔn) 語 言n 編 程接口：提供了一整套 標(biāo) 準(zhǔn)的 應(yīng) 用程序接口127CIDF體系 結(jié) 構(gòu)128CIDF組 件n 事件 產(chǎn) 生器（ Event generators）n 事件分析器（ Event analyzers）n 事件數(shù)據(jù) 庫 （ Event databases）n 響 應(yīng)單 元（ Response units）129事件 產(chǎn) 生器n 數(shù)據(jù) 獲 取q 主機(jī)入侵 檢測 ：系 統(tǒng)審計記錄 ， 應(yīng) 用程序日志q 網(wǎng) 絡(luò) 入侵 檢測 ：網(wǎng) 絡(luò) 流量q 復(fù)合型入侵 檢測 ：其它安全 產(chǎn) 品的數(shù)據(jù)，如防火 墻 的事件 記錄130事件分析器n 數(shù)據(jù)分析q 模式匹配q 統(tǒng)計 分析131事件數(shù)據(jù) 庫n 數(shù)據(jù)管理q 保存事件信息，包括正常事件和入侵事件q 用來存 儲臨時處 理數(shù)據(jù)，扮演各個 組 件之 間 的數(shù)據(jù)交 換 中心 132響 應(yīng)單 元n 行 為 響 應(yīng)q 主 動 響 應(yīng) ：自 動 干涉入侵，如切