【正文】 密鑰管理和密鑰交換密鑰管理和密鑰交換 ? 1 概述概述? 必要性? 方式：– 手工 – 自動(dòng)：通過使用自動(dòng)的密鑰管理協(xié)議，可以創(chuàng)建 SA所需要的密鑰。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)57? ④ 遠(yuǎn)程終端支持? 該情況表示一個(gè)具有 IPSec的遠(yuǎn)程主機(jī)通過 Inter到達(dá)某一組織的防火墻，然后訪問防火墻后面的本地主機(jī)（如服務(wù)器或工作站）。當(dāng)網(wǎng)關(guān)到網(wǎng)關(guān)的隧道是 ESP時(shí)，它還提供了有限形式的通信量機(jī)密性。在情況 ① 和情況 ② 中討論的組合在這里同樣允許。 由于 IPSec安全業(yè)務(wù)作用于整個(gè)內(nèi)部數(shù)據(jù)報(bào)，因此不需要使用嵌套的隧道模式。MAC)新的 IP頭(任何選項(xiàng) )55? ② 網(wǎng)關(guān)到網(wǎng)關(guān)之間實(shí)現(xiàn) IPSec ? 該情況中，兩個(gè)主機(jī)未實(shí)現(xiàn) IPSec， 因此僅在兩個(gè)網(wǎng)關(guān)之間提供安全業(yè)務(wù)。SPI,序號(hào) ,MAC)ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號(hào) )源 IP頭 ESP認(rèn)證ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號(hào) )源 IP頭 ESP認(rèn)證AH(載荷 長度 ,SPI,此時(shí) SA的組合方式可能有：?傳輸模式下的 AH；?傳輸模式下的 ESP；?AH后跟 ESP， 兩者都處于傳輸模式下（即 AH　 SA在 ESP　 SA的內(nèi)部）；?上面三種情況的任一種在隧道模式下的 AH或 ESP里面 對于主機(jī)到主機(jī)的 SA， 可以是傳輸模式或者隧道模式；其他情況則必須是隧道模式。?這些例子如下圖所示，圖中，每種情況的下面部分表示的是元素的物理連接；上面部分通過一個(gè)或多個(gè)嵌套 SA表示了邏輯連接。 然而，并沒有限制使用多個(gè) SA， 這通常稱為 SA束(bundle)。驗(yàn)證過程包括：檢查 SA的使用是否得當(dāng) (也就是說， SA中的源和目標(biāo)地址是否與策略對應(yīng) )，以及 SA保護(hù)的傳送層協(xié)議是否和要求的相符。?協(xié)議載荷處理完之后，需要查詢策略，對載荷進(jìn)行檢驗(yàn)。?協(xié)議值要么是 AH， 要么是 ESP。?IPSec層會(huì)從 IP數(shù)據(jù)報(bào)中提取出 SPI、 源地址和目標(biāo)地址。否則，就將包傳遞給下一層，作進(jìn)一步的處理。策略的輸出可能是下述三種選擇：丟棄、繞過或應(yīng)用。? 收到 IP包后， 假如包內(nèi)根本沒有包含 IPSec頭 ，那么安全層就會(huì)對策略進(jìn)行檢查，判斷該如何對這個(gè)包進(jìn)行處理。4950? 進(jìn)入處理 有別于外出處理。如果 SA已經(jīng)建立， SPD內(nèi)便會(huì)包含指向 SA或 SA集束的一個(gè)指針 (具體由策略決定 )。? ③ 應(yīng)用安全服務(wù)。? ② 繞過安全服務(wù)。48? 至于 SPD檢索的輸出，則可能有下面幾種情況：? ① 丟棄這個(gè)包。?外出處理過程 中，傳輸層的數(shù)據(jù)包流進(jìn) IP層， IP層檢索 SPD數(shù)據(jù)庫，判斷應(yīng)為這個(gè)包提供哪些安全服務(wù)。47IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫?3．． IPSec處理方式處理方式 當(dāng)該持續(xù)時(shí)間已結(jié)束時(shí)，必須用一個(gè)新的 SA(以及新的 SPl)來替代該 SA， 或者終止該 SA， 同時(shí)該參數(shù)中包括一個(gè)應(yīng)該采取何種動(dòng)作的標(biāo)識(shí)。?⑤ ESP信息：與使用 ESP有關(guān)的參數(shù) (如加密算法、密鑰、密鑰生存期和初始化值 )。?③ 抗重放窗口：一個(gè) 32位計(jì)數(shù)器，用于決定一個(gè)輸入的AH 或者 ESP數(shù)據(jù)包是否是一個(gè)重放包。?下面的參數(shù)用于定義一個(gè) SA：?① 序列號(hào)計(jì)數(shù)器：用于生成位于 AH或者 ESP頭中的序列號(hào)域的一個(gè) 32比特值。?⑥ 數(shù)據(jù)敏感級：這被用于提供信息流安全的系統(tǒng) (例如無分級的或者秘密的 )。?⑤ 源端口和目的端口：這些端口可以是單個(gè)的 UDP或 TCP端口值，真正應(yīng)用協(xié)議的便是這些端口。?④ 傳輸層協(xié)議：這可以從 IPv4協(xié)議域或者 IPv6的下一個(gè)頭域中得到。?② 源 IP地址：這可以是一個(gè)單一的 IP地址、一個(gè)地址范圍或者是一個(gè)通配的地址。44?① 目的 IP地址：這可以是一個(gè)單一的 IP地址、一個(gè)地址列表或者是一個(gè)通配的地址。 ? SAD包含有與當(dāng)前活動(dòng)的安全關(guān)聯(lián)相關(guān)的參數(shù)。Database， SAD)。Database，SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫 (Security42 IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫? 安全策略數(shù)據(jù)庫 (Security安全聯(lián)盟可以手工或動(dòng)態(tài)建立。41? IPSec實(shí)施方案最終會(huì)構(gòu)建一個(gè) SA數(shù)據(jù)庫 (SADB)， 由它來維護(hù) IPSec協(xié)議用來保障數(shù)據(jù)包安全的SA記錄。安全協(xié)議標(biāo)識(shí)符：該參數(shù)表明本關(guān)聯(lián)是一個(gè)AH安全關(guān)聯(lián)還是一個(gè) ESP安全關(guān)聯(lián)。盡管從概念上講該參數(shù)可以是任意地址類型 (多播、廣播等 )，但是目前它只能是一個(gè)單播地址。目的 IP地址：該參數(shù)表明該 SA的目的 IP地址。 SPI位于 AH和 ESP頭內(nèi)，因此接收系統(tǒng)可以挑選出用于處理接收到的 IP數(shù)據(jù)包的 SA。和 SB(out)共享一個(gè)加密參數(shù)? 因此對外發(fā)和進(jìn)入的 SA分別需要維護(hù)一張單獨(dú)的數(shù)據(jù)表40? 一個(gè) SA由三個(gè)參數(shù)來惟一地標(biāo)識(shí)：? l和 SB(in)? SA(out)? 如 A需要有一個(gè) SA(out)用來處理外發(fā)數(shù)據(jù)包；一個(gè) SA(in)用來處理進(jìn)入數(shù)據(jù)包。39? 安全關(guān)聯(lián)是單向的，意味著每一對通信系統(tǒng)連接都至少需要兩個(gè)安全關(guān)聯(lián)。? 也就是在使用 AH或 ESP之前，先要從源主機(jī)到目的主機(jī)建立一條網(wǎng)絡(luò)層的邏輯連接。? 為了使通信雙方的認(rèn)證算法、加密算法保持一致，相互間建立的聯(lián)系被稱為安全關(guān)聯(lián)(Security被認(rèn)證的 38IPSec 協(xié)議協(xié)議 －－ 7 安全關(guān)聯(lián)安全關(guān)聯(lián) ? 當(dāng)利用 IPSec進(jìn)行通信時(shí)，采用哪種認(rèn)證算法、加密算法以及采用什么密鑰都是事先協(xié)商好的。被加密的 ESP ESP?傳輸方式操作為使用它的任何應(yīng)用程序提供了機(jī)密性，因此避免了在每一個(gè)單獨(dú)的應(yīng)用程序中實(shí)現(xiàn)機(jī)密性，這種方式的操作也是相當(dāng)有效的，幾乎沒有增加 IP分組的總長度。?③ 目的結(jié)點(diǎn)檢查和處理 IP首部加上任何明文的 IP擴(kuò)展首部。?② 然后分組被路由到目的站。被認(rèn)證的 36?傳輸方式的操作總結(jié)如下：?① 在源站，由 ESP尾部加上整個(gè)傳輸級的報(bào)文段組成的數(shù)據(jù)塊被加密，這個(gè)數(shù)據(jù)塊的明文被其密文所代替，以形成用于傳輸?shù)?IP分組。被認(rèn)證的 被加密的 ESP ESPBlowfish?lIDEA?l三密鑰三重 DES?l34IPSec 協(xié)議協(xié)議 －－ 6封裝安全載荷協(xié)議封裝安全載荷協(xié)議 (ESP)?3．加密與認(rèn)證算法．加密與認(rèn)證算法?ESP服務(wù)對有效載荷數(shù)據(jù)、填充、填充長度和下一個(gè)首部字段加密。另外 ESP也可提供認(rèn)證服務(wù)，但與 AH相比，二者的認(rèn)證范圍不同， ESP只認(rèn)證 ESP頭之后的信息，比 AH認(rèn)證的范圍要小。序號(hào) , 隧道模式下的 IPv6 認(rèn)證范圍：所有不變的域新的 IP頭(任何選項(xiàng) )擴(kuò)展項(xiàng)頭(如果有 )數(shù)據(jù)擴(kuò)展項(xiàng)頭(如果有 )TCPAH(載荷 長度 ,MAC)新的 IP頭(任何選項(xiàng) )SPI,序號(hào) ,傳輸模式下的 IPv4認(rèn)證范圍：所有不變的域30原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)擴(kuò)展項(xiàng)頭 (如果有)標(biāo)準(zhǔn)的 IPv6數(shù)據(jù)報(bào) 傳輸模式下的 IPv6 原始的 IP頭(任何選項(xiàng) )目的選項(xiàng)數(shù)據(jù)逐躍點(diǎn)、目的、路由、分段TCPAH(載荷 長度 ,序號(hào) ,29原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長度 ,28IPSec 協(xié)議協(xié)議 －－ 5 認(rèn)證頭協(xié)議認(rèn)證頭協(xié)議 (AH)?5．傳輸模式和遂道模式．傳輸模式和遂道模式?AH服務(wù)可以以兩種方式來使用：傳輸(transport)模式和隧道 (tunnel)模式。如果分組被 鑒別 ，那么窗口就向前走，使得該序號(hào)成為窗口的右邊界，并對窗口的相應(yīng)