【正文】 )24IPSec 協(xié)議協(xié)議 －－ 5 認(rèn)證頭協(xié)議認(rèn)證頭協(xié)議 (AH)?3完整性校驗(yàn)值的計(jì)算完整性校驗(yàn)值的計(jì)算?ICV是消息認(rèn)證碼 (message authentication code，MAC)的一種截?cái)喟姹荆怯?MAC算法計(jì)算的。?ICV使用下面的域來計(jì)算：– 在傳輸中不變化的 IP頭域，或者其值在到達(dá)使用該 AH關(guān)聯(lián)的端點(diǎn)時(shí)可以預(yù)測的 IP頭域。– 所有的上層協(xié)議數(shù)據(jù)，假定它們在傳輸中不變化 (例如 TCP報(bào)文段或隧道方式的一個(gè)內(nèi)部 IP分組 )。收到了重復(fù)的認(rèn)證 IP分組可能會以某種方式中斷服務(wù)或者出現(xiàn)其他一些意想不到的后果。– IPSec數(shù)據(jù)包專門使用了一個(gè)序列號，以及一個(gè) “滑動 ”的接收窗口。2627– 窗口最左端對應(yīng)于窗口起始位置的序列號，窗口的右邊界則代表目前已經(jīng)收到的合法分組的最高序號。當(dāng)收到一個(gè)分組時(shí)，按照如下步驟進(jìn)行進(jìn)入處理：? ① ．如果收到的分組落在窗口之內(nèi)并且是新的，就進(jìn)行 MAC檢查。? ② ．如果收到的分組落在窗口的右邊并且是新的，就進(jìn)行 MAC檢查。? ③ ．如果收到的分組落在窗口的左邊，或者鑒別失敗，就丟棄該分組。 AH的實(shí)際位置決定于使用何種模式以及 AH是應(yīng)用于一個(gè)IPv4還是一個(gè) IPv6數(shù)據(jù)包。SPI,MAC)標(biāo)準(zhǔn) IPv4數(shù)據(jù)報(bào) SPI,MAC)認(rèn)證范圍：所有不變的域31原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長度 ,序號 ,隧道模式下的 IPv4SPI,MAC)認(rèn)證范圍：所有不變的域32IPSec 協(xié)議協(xié)議 －－ 6封裝安全載荷協(xié)議封裝安全載荷協(xié)議 (ESP) ?1 ESP功能功能?ESP主要支持 IP數(shù)據(jù)包的機(jī)密性，它將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到新的 IP數(shù)據(jù)包中。33IPSec 協(xié)議協(xié)議 －－ 6封裝安全載荷協(xié)議封裝安全載荷協(xié)議 (ESP)? 2．． ESP格式格式 下面是一些已定義的算法：?lRC5?lCAST?l三密鑰三重 IDEA35IPSec 協(xié)議協(xié)議 －－ 6封裝安全載荷協(xié)議封裝安全載荷協(xié)議 (ESP)? 4．傳輸模式和隧道模式．傳輸模式和隧道模式ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號 )源 IP頭 ESP認(rèn)證ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號 )源 IP頭 ESP認(rèn)證目的選項(xiàng)逐躍點(diǎn)、目的、路由、分段傳輸模式下的 IPv4傳輸模式下的 IPv6被加密的 如果認(rèn)證選項(xiàng)被選中，還要加上認(rèn)證。每個(gè)中間路由器都要檢查和處理 IP首部加上任何明文的 IP擴(kuò)展首部，但是不需要檢查密文。然后，在 ESP首部的 SPI基礎(chǔ)上目的結(jié)點(diǎn)對分組的其他部分進(jìn)行解密以恢復(fù)明文的傳輸層報(bào)文段。37ESP尾TCP 數(shù)據(jù)ESP頭 (SPI，序列號 )原 IP頭 ESP認(rèn)證新 IP頭ESP尾TCP 數(shù)據(jù)ESP頭 (SPI， 序列號 )原 IP頭 ESP認(rèn)證新 IP頭 原擴(kuò)展頭新擴(kuò)展頭隧道模式下的 IPv4隧道模式下的 IPv6被加密的 被認(rèn)證的 一旦通信雙方取得一致后，在通信期間將共享這些安全參數(shù)信息來進(jìn)行安全信息傳輸。Association， SA)。? SA是構(gòu)成 IPSec的基礎(chǔ)。一個(gè)是從 A到 B，一個(gè)是從 B到 A。? 如 B需要有 SB(out)和 SB(in)共享一個(gè)加密參數(shù)? SA(in)安全參數(shù)索引 (SPI)： 該比特串惟一地標(biāo)識一個(gè)與某一安全協(xié)議 (例如 AH或者置 SP)相關(guān)的安全關(guān)聯(lián)。? l端點(diǎn)可能會是最終用戶系統(tǒng)或者一個(gè)如網(wǎng)關(guān)或防火墻這樣的網(wǎng)絡(luò)系統(tǒng)。 l ? 在 IPSec保護(hù) IP報(bào)文之前，必須先建立一個(gè)安全聯(lián)盟。Inter密鑰交換 (IKE)用于動態(tài)建立安全聯(lián)盟， IKE代表 IPSec對 SA進(jìn)行協(xié)商，并對 SADB進(jìn)行填充。PolicyAssociation? SPD指定了決定所有輸入或者輸出的 IP通信部署的策略。? 安全關(guān)聯(lián)是雙方所協(xié)商的安全策略的一種描述。43IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫? 1 安全策略數(shù)據(jù)庫安全策略數(shù)據(jù)庫? 安全策略決定了為一個(gè)包提供的安全服務(wù)? 根據(jù) “選擇符 ”對數(shù)據(jù)庫進(jìn)行檢索，選擇符從網(wǎng)絡(luò)層和傳輸層頭提取出來? IP包的外出和進(jìn)入都需要查詢 SPD， 以判斷為這個(gè)包提供的安全服務(wù)有哪些。多個(gè)地址和通配地址用于多于一個(gè)的源系統(tǒng)共享同一個(gè) SA的情況 (例如，位于一個(gè)網(wǎng)關(guān)之后 )。?③ 名稱：這可以是一個(gè) X． 500特定名稱 (DN)或者是一個(gè)來自操作系統(tǒng)的用戶標(biāo)識符。它可以是一個(gè)單獨(dú)的協(xié)議號碼、一個(gè)協(xié)議號的列表，或者是一個(gè)協(xié)議號碼范圍。如果端口不能訪問，便需要使用通配符。45IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫?2．安全關(guān)聯(lián)數(shù)據(jù)庫．安全關(guān)聯(lián)數(shù)據(jù)庫 ?② 序列號計(jì)數(shù)器溢出：這是一個(gè)標(biāo)志。?④ AH信息：與使用 AH有關(guān)的參數(shù) (如認(rèn)證算法、密鑰和密鑰生存期 )。46? ⑥ SA的生存期：一個(gè)時(shí)間間隔或者字節(jié)計(jì)數(shù)，用于指定一個(gè) SA使用的持續(xù)時(shí)間。? ⑦ IPSec協(xié)議模式：指定對于該 SA的通信流所使用的操作模式 (傳輸模式、隧道模式，或通配模式 )。?IPSec處理分為兩類：外出處理和進(jìn)入處理。需要輸入 SPD的是前面已經(jīng)討論過的 “選擇符 ”。此時(shí)包不會得以處理，只是簡單地丟掉。在這種情況下， IP層會在載荷內(nèi)增添 IP頭，然后分發(fā) IP包。在這種情況下，假如已建立了一個(gè)SA， 就會返回指向這個(gè) SA的指針；? 假如尚未建立 SA， 就會調(diào)用 IKE， 將這個(gè) SA建立起來。如果策略的輸出規(guī)定強(qiáng)行將 IPSec應(yīng)用于數(shù)據(jù)包，那么在 SA正式建立起來之前，包是不會傳送出去的。如果收到的 IPSec包是一個(gè)分段，必須把它保留下來，直到這個(gè)包的其他部分收完為止。它會用選擇符字段來檢索SPD數(shù)據(jù)庫。如果策略的輸出是丟棄，那么數(shù)據(jù)包就會被丟棄；如果是應(yīng)用，但 SA沒有建立，包同樣會被丟棄。51?如果 IP包中包含了 IPSec頭 ，就會由 IPSec層對這個(gè)包進(jìn)行處理。它會利用 SPI， 目標(biāo)地址，協(xié)議 字元組對 SADB數(shù)據(jù)庫進(jìn)行檢索。 根據(jù)這個(gè)協(xié)議值，這個(gè)包的處理要么由 AH層，要么由 ESP層進(jìn)行。選擇符則用作獲取策略的依據(jù)。52IPSec 協(xié)議協(xié)議 －－ 8 安全數(shù)據(jù)庫安全數(shù)據(jù)庫??使用一個(gè)單一的 SA， AH或者 ESP來實(shí)現(xiàn) IP數(shù)據(jù)包的安全。 SA集結(jié)的順序是通過安全策略來定義的。?IPSec體系結(jié)構(gòu)文檔列出了 IPSec兼容的主機(jī)或安全網(wǎng)關(guān)必須支持的四種 SA組合的例子。每個(gè) SA可以是 AH或者 ESP。53?① 端到端主機(jī)之間應(yīng)用 IPSec?該情況中，對實(shí)現(xiàn) IPSec的兩個(gè)端系統(tǒng)提供安全業(yè)務(wù)，兩個(gè)端系統(tǒng)必須有共享的秘密密鑰。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)一個(gè)或多個(gè) SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)54原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長度 ,序號 ,SPI,MAC)原始的 IP頭(任何選項(xiàng) )TCP 數(shù)據(jù)AH(載荷 長度 ,序號 ,此時(shí)僅需要一個(gè)隧道模式下的 SA， 可用于支持 AH、 ESP或具有認(rèn)證選擇的 ESP。Inter內(nèi)部網(wǎng) 內(nèi)部網(wǎng)隧道 SA安全網(wǎng)關(guān)安全網(wǎng)關(guān)主機(jī) 主機(jī)56? ③ 上面 ① 和 ② 的組合? 該情況在情況 ② 的基礎(chǔ)上增加了端到端的安全性。網(wǎng)關(guān)到網(wǎng)關(guān)的隧道為終端系統(tǒng)之間的所有通信量提供了鑒別服務(wù)或者機(jī)密性，或者兩種服務(wù)都提供。通過端到端的 SA， 單獨(dú)的主機(jī)可以為給定的應(yīng)用程序或給定的用戶實(shí)現(xiàn)任何需要的補(bǔ)充 IPSec。此時(shí)在遠(yuǎn)程主機(jī)和防火墻之間只要求使用隧道模式，而在遠(yuǎn)程主機(jī)和本地主機(jī)之間，則使用一到兩個(gè) SA。對于自動管理，可以使用各種各樣的協(xié)議，但是 IKE已經(jīng)成為了當(dāng)前的工業(yè)標(biāo)準(zhǔn)。