【正文】 插槽做標(biāo)記。如果分組被鑒別，就對(duì)窗口的相應(yīng)插槽做標(biāo)記。對(duì)于任何已經(jīng)正確接收的 (即經(jīng)過(guò)了正確鑒別的 )其序號(hào)處于 NW+1到 N范圍之間的分組，窗口的相應(yīng)插槽被標(biāo)記。– 因?yàn)?IP是無(wú)連接、不可靠的服務(wù)，協(xié)議不能保證分組的按序交付，也不能保證所有的分組都會(huì)被交付，因此， IPSec認(rèn)證文檔規(guī)定接收者應(yīng)該實(shí)現(xiàn)大小為 W的接收窗口。序號(hào)字段是設(shè)計(jì)用來(lái)阻擋這種攻擊的。25IPSec 協(xié)議協(xié)議 －－ 5 認(rèn)證頭協(xié)議認(rèn)證頭協(xié)議 (AH)?4．抗重放攻擊．抗重放攻擊– 重放攻擊指的是攻擊者獲得了認(rèn)證分組的副本，并且以后將它傳輸?shù)剿哪康牡刂?。– AH首部，為了在源和目的地進(jìn)行計(jì)算，必須將認(rèn)證數(shù)據(jù)域置為 0。?只使用前 96bit。?注意 AH并不提供保密性保護(hù)，因此當(dāng)數(shù)據(jù)通過(guò)一個(gè)網(wǎng)絡(luò)的時(shí)候仍然可以被看到。– 數(shù)據(jù)完整性是通過(guò)消息認(rèn)證碼產(chǎn)生的校驗(yàn)值來(lái)保證的；– 數(shù)據(jù)源認(rèn)證是通過(guò)在數(shù)據(jù)包中包含一個(gè)將要被認(rèn)證的共享秘密或密鑰來(lái)保證的；– 抗重傳攻擊是通過(guò)使用了一個(gè)經(jīng)認(rèn)證的序列號(hào)來(lái)實(shí)現(xiàn)的。?這時(shí)，對(duì) IPSec的處理是在安全網(wǎng)關(guān)執(zhí)行的，因此兩端主機(jī)不必知道 IPSec協(xié)議的存在。19首部 有效載荷IP 數(shù)據(jù)報(bào) 傳輸網(wǎng)絡(luò)首部 有效載荷IP 數(shù)據(jù)報(bào) 20IPSec 協(xié)議協(xié)議 －－ 4 IPSec的工作模式的工作模式隧道模式隧道模式 ?IPSec隧道模式對(duì)整個(gè) IP數(shù)據(jù)包提供保護(hù)。?當(dāng)采用 AH傳輸模式時(shí)，主要為 IP數(shù)據(jù)包提供認(rèn)證保護(hù)；而采用 ESP傳輸模式時(shí)，主要對(duì) IP數(shù)據(jù)包的上層信息提供加密和認(rèn)證雙重保護(hù)。這些值包括經(jīng)過(guò)檢驗(yàn)的加密和認(rèn)證算法的標(biāo)識(shí)以及操作參數(shù)，例如密鑰的生存期。– 密鑰管理：描述密鑰管理機(jī)制的文檔。– 加密算法：一組文檔描述了怎樣將不同的加密算法用于 ESP。13幀頭應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭TCP頭TCP頭IP頭IP頭應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層沒(méi)有 IPSec的數(shù)據(jù)封裝 14應(yīng)用層傳輸層網(wǎng)絡(luò)層IPSec封裝數(shù)據(jù)鏈路層 幀頭IPSec頭應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用數(shù)據(jù)TCP頭TCP頭TCP頭IP頭IP頭應(yīng)用數(shù)據(jù)TCP頭IP頭IPSec頭 IPSe尾IPSec尾有 IPSec數(shù)據(jù)封裝15IPSec 協(xié)議協(xié)議 －－ 2 IPSec的安全體系結(jié)構(gòu)的安全體系結(jié)構(gòu) 體系結(jié)構(gòu)安全封裝載荷 (ESP)協(xié)議(ESP)協(xié)議認(rèn)證頭 (AH)協(xié)議認(rèn)證算法加密算法解釋域 DOI密鑰管理16?各個(gè)模塊的功能是：– 體系結(jié)構(gòu)：覆蓋了定義 IPSec技術(shù)的一般性概念、安全需求、定義和機(jī)制– 安全封裝載荷 (ESP)： 是插入 IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，具有為 IP數(shù)據(jù)包提供機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。?認(rèn)證協(xié)議頭和安全加載封裝是一套協(xié)議中兩個(gè)不同的機(jī)制。12IPSec 協(xié)議協(xié)議 －－ 1 概述概述?IPSec由三個(gè)基本要素來(lái)提供以上三種保護(hù)形式– 驗(yàn)證頭 (AH)– 封裝安全載荷 (ESP)– 互聯(lián)網(wǎng)密鑰管理協(xié)議 (IKMP)。 11IPSec 協(xié)議協(xié)議 －－ 1 概述概述?IPSec提供三種不同的形式來(lái)保護(hù)通過(guò)公有或私有 IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。10IPSec 協(xié)議協(xié)議 －－ 1 概述概述?在發(fā)送 IP數(shù)據(jù)包之前，對(duì) IP包的一些重要部分進(jìn)行加密和驗(yàn)證計(jì)算，由接收端對(duì)這部分進(jìn)行解密和驗(yàn)證，從而實(shí)現(xiàn)安全傳輸?shù)哪康?。SYN, SEQ = x主機(jī) BSYN, ACK, SEQ = y, ACK= x ? 1ACK, SEQ = x + 1, ACK = y ? 1確認(rèn)確認(rèn)主機(jī) A連接請(qǐng)求8因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 5. TCP協(xié)議協(xié)議? TCP安全缺陷－安全缺陷－ TCP連接的可靠性連接的可靠性9? 安全缺陷－沒(méi)有任何認(rèn)證機(jī)制安全缺陷－沒(méi)有任何認(rèn)證機(jī)制? TCP假定只要接受到的數(shù)據(jù)包含有正確的序列號(hào)就認(rèn)為數(shù)據(jù)是可以接受的。6因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 5. TCP協(xié)議協(xié)議網(wǎng)絡(luò)層安全協(xié)議網(wǎng)絡(luò)層安全協(xié)議2因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 1. TCP/IP協(xié)議棧協(xié)議棧? TCP/IP是一組通信協(xié)議的縮寫(xiě)? ISO/OSI模型及其與 TCP/IP的關(guān)系3因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 2. 互聯(lián)網(wǎng)地址互聯(lián)網(wǎng)地址? 互聯(lián)網(wǎng)上每個(gè)接口必須有一個(gè)唯一的互聯(lián)網(wǎng)地址 (IP地址 )，長(zhǎng) 32bit， 層次結(jié)構(gòu)? 32bit寫(xiě)成 4個(gè)十進(jìn)制數(shù)，點(diǎn)分十進(jìn)制表示法4因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 3. 協(xié)議封裝協(xié)議封裝? 當(dāng)應(yīng)用程序用 TCP/IP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)送入?yún)f(xié)議棧，通過(guò)各層，直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。1第三章第三章 5因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 4. IP協(xié)議協(xié)議7因特網(wǎng)與因特網(wǎng)與 TCP/IP安全安全 5. TCP協(xié)議協(xié)議? TCP安全缺陷－安全缺陷－ TCP連接的可靠性連接的可靠性– 初始化連接 ：三次握手，確保雙方做好傳輸準(zhǔn)備，統(tǒng)一序列號(hào)。一旦連接建立，服務(wù)器無(wú)法確定進(jìn)入的數(shù)據(jù)包是否來(lái)自真實(shí)的機(jī)器。?IPSec實(shí)現(xiàn)了網(wǎng)絡(luò)層的加密和認(rèn)證，它在網(wǎng)絡(luò)體系結(jié)構(gòu)中提供了一種端到端的安全解決方案。?(1)認(rèn)證：通過(guò)認(rèn)證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)的，還是偽裝的發(fā)送者；?(2)數(shù)據(jù)完整性驗(yàn)證：通過(guò)驗(yàn)證，保證數(shù)據(jù)在從發(fā)送者到接收者的傳送過(guò)程中沒(méi)有被修改；?(3)保密：使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)關(guān)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。 所以，它們可以被單獨(dú)使用，也可以被組合起來(lái)使用，可以滿(mǎn)足不同的安全要求。– 認(rèn)證頭 (AH)： 是插入 IP數(shù)據(jù)包內(nèi)的一個(gè)協(xié)議頭，具有為 IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。– 認(rèn)證算法：一組文檔描述了怎樣將不同的認(rèn)證算法用于 AH和ESP可選的鑒別選項(xiàng)。– 解釋域 DOI： 包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值。17IPSec 協(xié)議協(xié)議 －－ 3 IPSec服務(wù)服務(wù) 服務(wù)類(lèi)型 AH ESP(只加密 )ESP(加密并認(rèn)證 )訪(fǎng)問(wèn)控制 Y Y Y無(wú)連接完整性 Y N Y數(shù)據(jù)源的鑒別 Y N Y拒絕重放攻擊 Y Y Y保密性 N Y Y有限的通信流保密性N Y Y18IPSec 協(xié)議協(xié)議 －－ 4 IPSec的工作模式的工作模式 1傳輸模式傳輸模式?IPSec傳輸模式主要對(duì) IP包的部分信息提供安全保護(hù)，即對(duì) IP數(shù)據(jù)包的上層協(xié)議數(shù)據(jù)提供安全保護(hù)。這是一種端到端的安全， IPSec在端點(diǎn)執(zhí)行加密認(rèn)證、處理，在安全通道上傳輸，因此主機(jī)必須配置 IPSec。其基本原理是構(gòu)造新的 IP數(shù)據(jù)包?當(dāng)采用 AH遂道模式時(shí)，主要為整個(gè) IP數(shù)據(jù)包提供認(rèn)證保護(hù) (可變字段除外 )；當(dāng)采用 ESP遂道模式模式時(shí)，主要為整個(gè) IP數(shù)據(jù)包提供加密和認(rèn)證雙重保護(hù)。21首部 有效載荷 首部 有效載荷首部 有效載荷內(nèi)部 IP數(shù)據(jù)報(bào)外首部(新首部 )傳輸網(wǎng)絡(luò)首部 有效載荷內(nèi)部 IP數(shù)據(jù)報(bào)內(nèi)部 IP數(shù)據(jù)報(bào)內(nèi)部 IP數(shù)據(jù)報(bào) 安全網(wǎng)關(guān)安全網(wǎng)關(guān)外首部(新首部 )22IPSec 協(xié)議協(xié)議 －－ 5 認(rèn)證頭協(xié)議認(rèn)證頭協(xié)議 (AH) ?1．認(rèn)證頭的功能．認(rèn)證頭的功能?為 IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重傳攻擊等功能。23IPSec 協(xié)議協(xié)議 －－ 5 認(rèn)證頭協(xié)議認(rèn)證頭協(xié)議 (AH)?2．認(rèn)證頭格式．認(rèn)證頭格式?AH為 IP數(shù)據(jù)包提供了數(shù)據(jù)完整性和認(rèn)證服務(wù)。下一個(gè)首部 載荷長(zhǎng)度 保留安全參數(shù)索引 (SPI)序列號(hào)認(rèn)證數(shù)據(jù) ICV(長(zhǎng)度可變