信息技術(shù)趙澤茂第九章

9.1TCT/IP協(xié)議簇9.2網(wǎng)絡(luò)安全協(xié)議9.3SSL協(xié)議9.4IPSec協(xié)議小結(jié)習(xí)題TCP/IP協(xié)議簇是因特網(wǎng)的基礎(chǔ)協(xié)議，不能簡單說成是TCP協(xié)議和IP協(xié)議的和，它是一組協(xié)議的集合，包括傳輸層的TCP協(xié)議和UDP協(xié)議等，網(wǎng)絡(luò)層的IP協(xié)議、ICMP協(xié)議和IGMP協(xié)議等以及數(shù)據(jù)鏈路層和應(yīng)用層的若干協(xié)議。9.1TCP/IP協(xié)議簇9.1.1TCP/IP協(xié)議簇的基本組成

OSI參考模型是指用分層的思想把計(jì)算機(jī)之間的通信劃分為具有層間關(guān)系的七個協(xié)議層，要完成一次通信，需要在七個相對獨(dú)立的協(xié)議層上完成各自進(jìn)程才能實(shí)現(xiàn)，但TCP/IP

參考模型卻只用了四層，如圖9-1-1所示。TCP/IP協(xié)議是20世紀(jì)70年代中期，美國國防部為其ARPANET開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)和協(xié)議標(biāo)準(zhǔn)。以TCP/IP為基礎(chǔ)建立的因特網(wǎng)是目前國

際上規(guī)模最大的計(jì)算機(jī)網(wǎng)絡(luò)。圖9-1-1TCP/IP協(xié)議簇的體系結(jié)構(gòu)

1.應(yīng)用層協(xié)議

應(yīng)用層協(xié)議包括HTTP(超文本傳輸協(xié)議)、FTP(文件傳輸協(xié)議)、SMTP(簡單郵件傳輸協(xié)議)等。應(yīng)用層協(xié)議面向用戶處理特定的應(yīng)用，提供最基本的網(wǎng)絡(luò)資源服務(wù)。常用的網(wǎng)

絡(luò)應(yīng)用程序運(yùn)行在應(yīng)用層上，直接面向用戶。

2.傳輸層協(xié)議

傳輸層協(xié)議主要包括TCP(傳輸控制協(xié)議)和UDP(用戶數(shù)據(jù)報協(xié)議)。傳輸層協(xié)議的主要功能是完成在不同主機(jī)上的用戶進(jìn)程之間的數(shù)據(jù)通信。TCP協(xié)議實(shí)現(xiàn)面向連接的、可靠的

數(shù)據(jù)通信，而UDP協(xié)議負(fù)責(zé)處理面向無連接的數(shù)據(jù)通信。

3.網(wǎng)絡(luò)層協(xié)議

網(wǎng)絡(luò)層協(xié)議包括IP(網(wǎng)際協(xié)議)、ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)和IGMP(互聯(lián)網(wǎng)組管理協(xié)議)等。

IP協(xié)議的主要功能包括尋址、路由選擇、分段和重新組裝。

ICMP協(xié)議用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。IGMP協(xié)議運(yùn)行于主機(jī)和與主機(jī)直接相連的組播路由器之間，是IP主機(jī)用來報告多址廣播組成員身份的協(xié)議。通過IGMP協(xié)議，一方面主機(jī)可以通知本地路由器希望加入并接收某個特定組播放的信息;另一方面，路由器通過IGMP協(xié)議周期性地查詢局域網(wǎng)內(nèi)某個已知組的成員是否處于活動狀態(tài)。網(wǎng)絡(luò)層的主要功能是完成IP報文的傳輸，是無連接的、不可靠的。值得一提的是，ARP(地址解析協(xié)議)、RARP(反向地址解析協(xié)議)負(fù)責(zé)實(shí)現(xiàn)IP地址與硬件地址的轉(zhuǎn)換，是工作在網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層之間的協(xié)議，是TCP/IP協(xié)議的組成部分。

4.網(wǎng)絡(luò)接口層協(xié)議

網(wǎng)絡(luò)接口層也稱為數(shù)據(jù)鏈路層，又稱為“網(wǎng)絡(luò)訪問層”，是TCP/IP協(xié)議的最底層，它負(fù)責(zé)向網(wǎng)絡(luò)媒介(如光纖、雙絞線)發(fā)送IP數(shù)據(jù)包，并把它們發(fā)送到指定的網(wǎng)絡(luò)上，且從網(wǎng)絡(luò)媒介接收物理幀，抽出網(wǎng)絡(luò)層數(shù)據(jù)包，交給網(wǎng)絡(luò)層。網(wǎng)絡(luò)接口層協(xié)議包括標(biāo)準(zhǔn)以太網(wǎng)協(xié)議、令牌環(huán)協(xié)議、串行線路網(wǎng)際協(xié)議(SLIP)、光纖分布式數(shù)據(jù)接口(FDDI)、異步傳輸模式(ATM)和點(diǎn)對點(diǎn)協(xié)議(PPP)等。9.1.2TCP/IP協(xié)議的封裝

在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中，各種應(yīng)用層的數(shù)據(jù)都被封裝在IP數(shù)據(jù)包中在網(wǎng)絡(luò)上進(jìn)行傳輸。其數(shù)據(jù)封裝過程如圖9-1-2所示。

基于TCP/IP協(xié)議的所有應(yīng)用層的數(shù)據(jù)(如HTTP、FTP、EMAIL、DNS等)在傳輸層都是通過TCP(或UDP)數(shù)據(jù)包的格式進(jìn)行封裝的(見圖9-1-3)。圖9-1-2TCP/IP協(xié)議的封裝過程結(jié)構(gòu)圖9-1-3TCP數(shù)據(jù)包的封裝格式TCP協(xié)議議的頭結(jié)構(gòu)構(gòu)是固定的的，各字段段信息如下下:(1)源端端口:指指數(shù)據(jù)流的的流出端口口，取值范范圍是0～～65535。(2)目的端端口:指指數(shù)據(jù)流的的流入端口口，取值范范圍是0～～65535。(3)序序列號:指指出“IP數(shù)據(jù)報報”在發(fā)送送端數(shù)據(jù)流流中的位置置(依次遞遞增)。(4)確確認(rèn)序列號號:指出出本機(jī)希望望下一個接接收的字節(jié)節(jié)的序號。。TCP采采用捎帶技技術(shù)，在發(fā)發(fā)送數(shù)據(jù)時時捎帶進(jìn)行行對對方數(shù)數(shù)據(jù)的確認(rèn)認(rèn)。(5)頭長度度:指出出以32bit為為單位的段段頭標(biāo)長度度。(6)碼位:指出該該IP包的的目的與內(nèi)內(nèi)容，如表表9-1-1所示。。表9-1-1碼位中各位的含義(7)窗窗口(滑動動窗口):用于通通告接收端端接收數(shù)據(jù)據(jù)的緩沖區(qū)區(qū)的大小。。(8)校校驗(yàn)和:不僅對對頭數(shù)據(jù)進(jìn)進(jìn)行校驗(yàn)，，還對封包包內(nèi)容進(jìn)行行校驗(yàn)。(9)緊緊急指針:當(dāng)URG為1時時有效。TCP的緊緊急方式是是發(fā)送緊急急數(shù)據(jù)的一一種方式。。在在基于TCP/IP協(xié)議的的所有應(yīng)用用層的數(shù)據(jù)據(jù)通過傳輸輸層的封裝裝后，送給給網(wǎng)絡(luò)層，，在網(wǎng)絡(luò)層層是通過IP數(shù)據(jù)包包的格式進(jìn)進(jìn)行傳輸，，最終通過過網(wǎng)絡(luò)接口口設(shè)備將數(shù)數(shù)據(jù)通過各各種物理網(wǎng)網(wǎng)絡(luò)進(jìn)行傳傳

輸。IP數(shù)據(jù)包包的結(jié)構(gòu)是是固定的，，如圖9-1-4所所示。圖9-1-4IP數(shù)據(jù)包的封裝格式IP數(shù)據(jù)包包各字段的的信息如下下:(1)版本本:版本本標(biāo)識所使使用的頭““格式”，，通常為4或6(2)頭標(biāo)標(biāo)長:說說明報頭的的長度，以以4字節(jié)為為單位。(3)服服務(wù)類型:主要用用于QoS服務(wù)，如如延時、優(yōu)優(yōu)先級等。。(4)總長長:表示示整個IP數(shù)據(jù)包的的長度，它它等于IP頭的長度度加上數(shù)據(jù)據(jù)段的長度度。(5)標(biāo)識:一個報報文的所有有分片標(biāo)識識相同，目目標(biāo)主機(jī)根根據(jù)主機(jī)的的標(biāo)識字段段來確定新新到的分組組屬于哪一一個數(shù)據(jù)報報。(6)標(biāo)標(biāo)志:該該字段指示示“IP數(shù)數(shù)據(jù)報”是是否分片，，是否是最最后一個分分片。(7)片偏偏移:說說明該分片片在“IP數(shù)據(jù)報””中的位置置，用于目目標(biāo)主機(jī)重重建整個新新的“數(shù)據(jù)據(jù)報分組””，以8字字節(jié)為單位位。(8)生生存時間:表示IP包在網(wǎng)網(wǎng)絡(luò)的存活活時間(跳跳數(shù))，缺缺省值為64。(9)協(xié)議議類型:該該字段用用來說明此此IP包中中的數(shù)據(jù)類類型，如1表示ICMP數(shù)據(jù)據(jù)包，2表表示IGMP數(shù)據(jù)，，6表示TCP數(shù)據(jù)據(jù)，17表表示UDP數(shù)據(jù)包。。(10)頭標(biāo)校校驗(yàn)和:該該字段用用于校驗(yàn)IP包的頭頭信息，防防止數(shù)據(jù)傳傳輸時發(fā)生生錯誤。(11)IP選選項(xiàng):IP選項(xiàng)由由3部分組組成，即選選項(xiàng)(選項(xiàng)項(xiàng)類別、選選項(xiàng)代號)、長度和和選項(xiàng)數(shù)數(shù)據(jù)。9.1.3TCP連接的的建立與關(guān)關(guān)閉過程基于TCP/IP協(xié)協(xié)議的連接接，通常采采用客戶端端/服務(wù)器器模式。客客戶端與服服務(wù)器之間間的面向連連接的訪問問是基于TCP的““三次握手手協(xié)議”。。在這個協(xié)協(xié)議中，主主動連接方方(通常是是客戶端)先發(fā)送一一個SYN信息請求求連接，然然后等待被被連接方(通常是服服務(wù)器)的的應(yīng)答信息息，主動連連接方收到到應(yīng)答信息息后再發(fā)送送一個確認(rèn)認(rèn)信息，這這樣才正式式建立連接接，以后就就可以傳輸輸數(shù)據(jù)了。。

數(shù)據(jù)據(jù)傳輸完畢畢，需要斷斷開連接時時，其中任任何一方發(fā)發(fā)送一個FIN消息息，接收方方發(fā)送一個個ACK并并且回送一一個FIN消息，發(fā)發(fā)送方回送送一個應(yīng)答答消息后，，TCP的的連接就徹徹底斷開了了。

TCP的建立立與關(guān)閉過過程如圖9-1-5所示。圖9-1-5TCP的建立與關(guān)閉過程9.1.4TCP/IP協(xié)議簇的的安全問題題隨著Internet的發(fā)展展，TCP/IP協(xié)協(xié)議得到了了廣泛的應(yīng)應(yīng)用，幾乎乎所有的網(wǎng)網(wǎng)絡(luò)均采用用了TCP/IP協(xié)協(xié)議。由于于TCP/IP協(xié)議議在最初設(shè)設(shè)計(jì)時是基基于一種可可信環(huán)境的的，沒有考考慮安全性性問題，因因此它自身身存在許多多固有的安安全缺陷，，例如:(1)對對IP協(xié)協(xié)議，其IP地址可可以通過軟軟件進(jìn)行設(shè)設(shè)置，這樣樣會造成地地址假冒和和地址欺騙騙兩類安全全隱患。(2)IP協(xié)議支支持源路由由方式，即即源發(fā)方可可以指定信信息包傳送送到目的節(jié)節(jié)點(diǎn)的中間間路由，為為源路由攻攻擊埋下了了隱患。(3)在在TCP/IP協(xié)議議的實(shí)現(xiàn)中中也存在著著一些安全全缺陷和漏漏洞，如序序列號產(chǎn)生生容易被猜猜測、參數(shù)數(shù)不檢查而而導(dǎo)致的緩緩沖區(qū)溢出出等。(4)在在TCP/IP協(xié)議議簇中的各各種應(yīng)用層層協(xié)議(如如Telnet、FTP、SMTP等等)缺乏認(rèn)認(rèn)證和保密密措施，這這就為欺騙騙、否認(rèn)、、拒絕、篡篡改、竊取取等行為開開了方便之之門，使得得基于這些些缺陷和漏漏洞

的攻攻擊形式多多樣。如2000年年2月的coolio攻擊，，致使美國國無數(shù)網(wǎng)站站癱瘓(這這是一個典典型的DDoS攻擊擊，網(wǎng)絡(luò)上上的許多個個人用戶毫毫無知覺地地成為了攻攻擊行為的的“幫兇””);又又如2002年3月月底，黑黑客冒用eBay帳帳戶事件，，美國華盛盛頓著名藝藝術(shù)家GloriaGeary在eBay拍拍賣網(wǎng)站的的帳戶被黑黑客用來拍拍賣IntelPentium芯芯片，由于于黑客已經(jīng)經(jīng)更改了帳帳戶密碼，，使得真正正的帳戶戶主人GloriaGeary在察察覺后，反反而無法進(jìn)進(jìn)入自己的的帳戶，更更無法緊急急刪除這起起造假拍賣賣事件。為了解決TCP/IP協(xié)議簇簇的安全性性問題，彌彌補(bǔ)TCP/IP協(xié)協(xié)議簇在設(shè)設(shè)計(jì)之初對對安全功能能的考慮不不足，以Internet工工程任務(wù)組組(IETF)為代代表的相關(guān)關(guān)組織不斷斷通過對現(xiàn)現(xiàn)有協(xié)議的的改進(jìn)和設(shè)設(shè)計(jì)

新的的安全通信信協(xié)議，對對現(xiàn)有的TCP/IP協(xié)議簇簇提供相關(guān)關(guān)的安全保保證，在協(xié)協(xié)議的不同同層次設(shè)計(jì)計(jì)了相應(yīng)的的安全通信信協(xié)議，從從而形成了了由各層安安全通信協(xié)協(xié)議構(gòu)成的的TCP/IP協(xié)議議簇的安全全架

構(gòu)，，具體參看看圖9-2-1。9.2網(wǎng)網(wǎng)絡(luò)安全全協(xié)議圖9-2-1TCP/IP協(xié)議簇的安全架構(gòu)各個安全協(xié)協(xié)議的具體體含義描述述如下。1.應(yīng)用用層的安全全協(xié)議(1)S-HTTP(SecureHTTP):為為保證Web的安安全，由IETF開開發(fā)的協(xié)議議，該協(xié)議議利用MIME，基基于文本進(jìn)進(jìn)行加密、、報文認(rèn)證證和密鑰分分發(fā)等。(2)SSH(SecureShell):對BSD系列列的UNIX的r系系列命令加加密而采用用的安全技技術(shù)。(3)SSL-Telnet、SSL-SMTP、SSL-POP3:以以SSL協(xié)議分別別對Telnet、、SMTP、POP3等應(yīng)用用進(jìn)行的加加密。(4)PET(PrivacyEnhancedTelnet):使Telnet具有加加密功能，，在遠(yuǎn)程登登錄時對連連接本身進(jìn)進(jìn)行加密的的方式(由由富士通和和WIDE開發(fā))。。(5)PEM(PrivacyEnhancedMail):由由IEEE標(biāo)準(zhǔn)準(zhǔn)化的具有有加密簽名名功能的郵郵件系統(tǒng)。。(6)S/MIME(Secure/MultipurposeInternetMailExtensions):安安全的多多用途Internet郵件件擴(kuò)充協(xié)議議。(7)PGP(PrettyGoodPrivacy):具具有加密密及簽名功功能的電子子郵件協(xié)議議(RFC1991)。3.網(wǎng)絡(luò)絡(luò)層的安全全協(xié)議IPSec(InternetProtocolSecurity，，IEEE標(biāo)準(zhǔn)):為通信信雙方提供供機(jī)密性和和完整性服服務(wù)。4.網(wǎng)絡(luò)絡(luò)接口層的的安全協(xié)議議(1)PPTP(PointtoPointTunnelingProtocol)：點(diǎn)點(diǎn)到點(diǎn)隧隧道協(xié)議。。(2)L2F(Layer2Forwarding):第二層層轉(zhuǎn)發(fā)協(xié)議議。(3)L2TP(Layer2TunnelingProtocol):綜綜合了PPTP和和L2F的的協(xié)議，稱稱為第二層層隧道協(xié)議議。S-HTTP的設(shè)設(shè)計(jì)是以與與HTTP信息息樣板共存存并易于與與HTTP應(yīng)用用程序相整整合為出發(fā)發(fā)點(diǎn)的。S-HTTP對消息息的保護(hù)可可以從3個個獨(dú)立的方方面來進(jìn)行行:簽名名、認(rèn)證和和加密。任任何消息可可以被簽名名、認(rèn)證、、加密或者者三者中的的任意組合合。S-HTTP定定義了客客戶端和服服務(wù)器之間間的兩種加加密消息格格式標(biāo)準(zhǔn):CMS(CryptographicMessageSyntax)和MOSS(MIMEObjectSecurityServices)，，但不局限限于這兩種種。2.PGPPGP(PrettyGoodPrivacy)加加密技術(shù)的的創(chuàng)始人是是美國的PhilipZimmermann，他的創(chuàng)創(chuàng)造性工作作是把RSA公鑰體體系和傳統(tǒng)統(tǒng)加密(IDEA)體系結(jié)合合起來，并并且在數(shù)字字簽名和密密鑰認(rèn)證管管理機(jī)制上上有巧妙的的設(shè)計(jì)。PGP提供供了一種安安全的通信信方式，它它可以對郵郵件進(jìn)行保保密以防止止非授權(quán)者者閱讀，它它還能對郵郵件加上數(shù)數(shù)字簽名從從而使收信信人可以確確認(rèn)郵件的的發(fā)送者，，并能確信信郵件有沒沒有被篡改改。PGP采用了一一種雜合算算法，把RSA和IDEA算算法都應(yīng)用用其中，用用于電子郵郵件的壓縮縮和計(jì)算明明文的摘要要值等。9.2.2傳輸輸層的安全全協(xié)議傳輸層的安安全協(xié)議有有SSL、、TLS、、SOCKSv5等。Netscape公司開發(fā)發(fā)的SSL(SecureSocketLayer)協(xié)議是是安全套接接層協(xié)議，，是一種安安全通信協(xié)協(xié)議。SSL是為客客戶端/服服務(wù)器之間間的HTTP協(xié)議提提供加密的的安全協(xié)議議，作為標(biāo)標(biāo)準(zhǔn)被集成成在瀏覽器器上。SSL位于傳傳輸層與應(yīng)應(yīng)用層之間間，并非是是Web專專用的安全全協(xié)議，也也能為Telnet、SMTP、FTP等其其他協(xié)議所所應(yīng)用，但但SSL只只能用于TCP，不不能用于UDP。TLS是SSL通用用化的加密密協(xié)議，由由IETF標(biāo)準(zhǔn)化。。9.3節(jié)將詳細(xì)細(xì)介紹SSL協(xié)議和和TLS協(xié)協(xié)議。SOCKSv4是是為TELNET、、FTP、、HTTP、WAIS和GOPHER等基于TCP協(xié)議議的客戶端端/服務(wù)器器應(yīng)用提供供的協(xié)議。。SOCKSv5擴(kuò)展了SOCKSv4以以使其支持持UDP，，擴(kuò)展了框框架以包含含一般的強(qiáng)強(qiáng)安全認(rèn)證證方案，擴(kuò)擴(kuò)展了尋址址方案以包包括域名和和IPv6地址，此此協(xié)議在傳傳輸層及應(yīng)應(yīng)用層之間間進(jìn)行操作作。9.2.3網(wǎng)絡(luò)絡(luò)層的安全全協(xié)議IPSec協(xié)議是在在網(wǎng)絡(luò)層上上實(shí)現(xiàn)的具具有加密、、認(rèn)證功能能的安全協(xié)協(xié)議，由IETF標(biāo)標(biāo)準(zhǔn)化，它它既適合于于IPv4，也適適合于IPv6。。IPSec協(xié)議能能夠?yàn)樗杏谢赥CP/IP協(xié)議的應(yīng)應(yīng)用提供安安全服務(wù)務(wù)。9.4節(jié)將詳細(xì)細(xì)介紹IPSec協(xié)協(xié)議。9.2.4網(wǎng)絡(luò)絡(luò)接口層的的安全協(xié)議議網(wǎng)絡(luò)接口層層的安全協(xié)協(xié)議主要有有PPTP、L2F、L2TP等。1.PPTPPPTP(點(diǎn)到點(diǎn)隧隧道協(xié)議)是由微軟軟、朗訊和和3COM等公司推推出的協(xié)議議標(biāo)準(zhǔn)，是是集成在WindowsNT4.0、Windows98等系統(tǒng)上上的點(diǎn)對點(diǎn)點(diǎn)的安全協(xié)協(xié)議，它使使用擴(kuò)展的的GRE(Generic

RoutingEncapsulation，，通用路由由封裝)協(xié)協(xié)議封裝PPP分組組，通過在在IP網(wǎng)上上建立的隧隧道來透明明傳送PPP幀。PPTP在在邏輯上延延伸了PPP會話，，從而形成成了虛擬的的遠(yuǎn)程撥號號。PPTP是是目前較為為流行的第第二層隧道道協(xié)議，它它可以建立立PC到LAN的VPN連接接，滿足了了日益增多多的內(nèi)部職職員異地辦辦公的需要要。PPTP提供給給PPTP客戶機(jī)和和PPTP服務(wù)器之之間的加密密通信功能能主要是通通過PPP協(xié)議來實(shí)實(shí)現(xiàn)的，因因此PPTP并不為為認(rèn)證和加加密指定專專用算法，，而是提供供了一個協(xié)協(xié)商算法時時所用的框框架。這個個協(xié)商框架架并不是PPTP專專用的，而而是建立在在現(xiàn)有的PPP協(xié)協(xié)商可選項(xiàng)項(xiàng)、挑戰(zhàn)握握手認(rèn)證協(xié)協(xié)議(CHAP)以以及其他一一些PPP的增強(qiáng)強(qiáng)和擴(kuò)展協(xié)協(xié)議基礎(chǔ)上上的。2.L2FL2F是是第二層層轉(zhuǎn)發(fā)協(xié)協(xié)議，是是由CiscoSystems建建議的的標(biāo)準(zhǔn)。。它在RFC2341中定定義，是是基于ISP的的、為遠(yuǎn)遠(yuǎn)程接入入服務(wù)器器RAS提供VPN功功能的協(xié)協(xié)議。它它是1998年年標(biāo)準(zhǔn)化化的遠(yuǎn)程程訪問問VPN的協(xié)議議。3.L2TP1996年6月月，Microsoft和CISCO向向IETFPPP擴(kuò)擴(kuò)展工作作組(PPPEXT)提交了了一個MS-PPTP和CiscoL2F協(xié)議議的聯(lián)合合版本，，該提議議被命名名為第二二層隧道道協(xié)議(L2TP)。。L2TP是綜綜合了了PPTP和L2F等等協(xié)議的的另一個個基于數(shù)數(shù)據(jù)鏈路路層的隧隧道協(xié)議議，它繼繼承了L2F的的格式和和PPTP中的的最出色色的部分分。實(shí)際上，，L2TP和PPTP十分相相似，主主要的區(qū)區(qū)別在于于，PPTP只只能在IP網(wǎng)絡(luò)絡(luò)上傳輸輸，而L2TP實(shí)現(xiàn)了了PPP幀在IP、X.25、幀中中繼及ATM等等多種網(wǎng)網(wǎng)絡(luò)上的的傳輸;同時時，L2TP提提供了較較為完善善的身份份認(rèn)證機(jī)機(jī)制，而而PPTP的身身份鑒別別完全依依賴于PPP協(xié)協(xié)議。為傳輸層層提供安安全保護(hù)護(hù)的協(xié)議議主要有有SSL和TLS。TLS用于在在兩個通通信應(yīng)用用程序之之間提供供保密性性和數(shù)據(jù)據(jù)完整性性服務(wù)。。9.3SSL協(xié)協(xié)議9.3.1SSL安全服服務(wù)到現(xiàn)在為為止，SSL有有3個版版本:SSL1.0、SSL2.0和SSL3.0。SSL3.0規(guī)范范在1996年年3月正正式發(fā)行行，相比比前２個個版本提提供了更更多的算算法支持持和一些些安全特特性。1999年，IETF在基于于

SSL3.0協(xié)議議的基礎(chǔ)礎(chǔ)上發(fā)布布了TLS1.0版本本。SSL協(xié)協(xié)議可提提供以下下3種基基本的安安全功能能服務(wù)。。(1)信信息加密密。SSL所所采用的的加密技技術(shù)既有有對稱加加密技術(shù)術(shù)(如DES、、IDEA)，也有有非對稱稱加密技技術(shù)(如如RSA)，從從而確保保了信息息傳遞過過程中的的機(jī)密性性。(2)身身份認(rèn)認(rèn)證。通通信雙方方的身份份可通過過RSA(數(shù)字字簽名技技術(shù))、、DSA(數(shù)字字簽名算算法)和和ECDSA(橢圓曲曲線數(shù)字字簽名算算法)來來驗(yàn)證，，SSL協(xié)議要要求在握握手交換換數(shù)據(jù)前前進(jìn)行身身份認(rèn)證證，以此此來確保保用戶的的合法性性。(3)信信息完完整性校校驗(yàn)。通通信的發(fā)發(fā)送方通通過散列列函數(shù)產(chǎn)產(chǎn)生消息息驗(yàn)證碼碼(MAC)，，接收方方通過驗(yàn)驗(yàn)證MAC來保保證信息息的完整整性。SSL提提供完完整性校校驗(yàn)服務(wù)務(wù)，使所所有經(jīng)過過SSL協(xié)議處處理的的業(yè)務(wù)都都能全部部準(zhǔn)確、、無誤地地到達(dá)目目的地。。SSL不是是一個單單獨(dú)的協(xié)協(xié)議，而而是兩層層協(xié)議，，如圖9-3-1所示示。其中中，最主主要的兩兩個SSL子協(xié)協(xié)議是握握手協(xié)議議和記錄錄協(xié)議。。9.3.2SSL記錄協(xié)協(xié)議SSL記記錄協(xié)議議從它的的高層SSL子子協(xié)議收收到數(shù)據(jù)據(jù)后，進(jìn)進(jìn)行數(shù)據(jù)據(jù)分段、、壓縮、、認(rèn)證和和加密，，即它它把輸入入的任意意長度的的數(shù)據(jù)輸輸出為一一系列的的SSL數(shù)據(jù)段段(或者者叫“SSL記記錄”)，每每個這樣樣的數(shù)據(jù)據(jù)段最大大為16383(214-1)個個字節(jié)。。每每個個SSL記錄包包括內(nèi)容容類型、、協(xié)議版版本號、、長度、、數(shù)據(jù)據(jù)有效載載荷和MAC等等信息。。其中:““內(nèi)容容類型””定義了了用于隨隨后處理理SSL記錄有有效載荷荷(在合合適的解解壓縮和和解密之之后)的的高層協(xié)協(xié)議;““協(xié)議議版本號號”確定定了所用用的SSL版本本號(例例如3.0版本本);““MAC”提提供了消消息源認(rèn)認(rèn)證和數(shù)數(shù)據(jù)完整整性服務(wù)務(wù)，它是是在有效效數(shù)據(jù)載載荷被加加密之前前經(jīng)計(jì)算算并加入入SSL記錄的的。與與加密算算法類似似，用于于計(jì)算和和驗(yàn)證MAC的的算法是是根據(jù)密密碼說明明和當(dāng)前前的會話話狀態(tài)而而定義的的。在默默認(rèn)情況況下，SSL記記錄協(xié)議議采用了了RFC2104中中指定的的HMAC結(jié)構(gòu)構(gòu)的修正正版本。。此處的的修正，，是指在在雜湊之之前將一一個序列列號放入入消息中中，以此此抵抗特特定形式式的重傳傳攻擊。。在SSL記錄協(xié)協(xié)議上面面有幾個個子協(xié)議議，每個個子協(xié)議議都可能能指向正正用SSL記錄錄協(xié)議發(fā)發(fā)送的特特定類型型的消息息。如圖圖9-3-1所所示，SSL3.0規(guī)規(guī)范定義義3個SSL協(xié)協(xié)議:握握手協(xié)議議、更改改加密說說明協(xié)議議和報警警協(xié)議。。SSL握握手協(xié)議議是最重重要的一一個子協(xié)協(xié)議。SSL更更改加密密說明協(xié)協(xié)議被用用來在一一個加密密說明和和另外一一個加密密說明之之間進(jìn)行行轉(zhuǎn)換。。雖然加加密說明明一般在在握手協(xié)協(xié)議后改改變，但但它也可可以在其其他任任何時候候改變。。SSL報警協(xié)協(xié)議通過過SSL記錄協(xié)協(xié)議傳輸輸警告。。它由兩兩部分組組成:警警告級級和警告告描述。。9.3.3SSL握手協(xié)協(xié)議SSL握握手協(xié)協(xié)議是位位于SSL記錄錄協(xié)議之之上的主主要子協(xié)協(xié)議，SSL握握手消息息被提供供給SSL記錄錄層，在在那里它它們被封封裝進(jìn)一一個或多多個SSL記錄錄里。這這些記記錄根據(jù)據(jù)當(dāng)前SSL會會話指定定的壓壓縮方法法、加密密說明和和當(dāng)前SSL連連接對應(yīng)應(yīng)的密鑰鑰來進(jìn)行行處理和和傳輸。。SSL握手協(xié)協(xié)議使客客戶端和和服務(wù)器器建立并并保持用用于安全全通信的的狀態(tài)信信息，此此協(xié)議議使得客客戶端和和服務(wù)器器獲得共共同的SSL協(xié)協(xié)議版版本號、、選擇壓壓縮方法法和密碼碼說明、、可選的的相互認(rèn)認(rèn)證、產(chǎn)產(chǎn)生一個個主要秘秘密并由由此得到到消息認(rèn)認(rèn)證和加加密的各各種會話話密鑰。。9.3.4SSL協(xié)議性性能分析析SSL協(xié)協(xié)議性能能可從訪訪問速度度和安全全性進(jìn)行行分析。。1.訪訪問速度度SSL的的應(yīng)用降降低了HTTP服務(wù)器器和瀏覽覽器之間間相互作作用的速速度，原原因在于于在瀏覽覽器和服服務(wù)器之之間用來來初始化化SSL會話和和連接的的狀態(tài)信信息時需需要用到到公鑰加加密和解解密方案案。實(shí)際際上，在在開始連連接到HTTP服務(wù)器器和收到到第一個個HTML頁面面時，用用戶經(jīng)歷歷了一個個額外的的幾秒鐘鐘的停頓頓(SSL協(xié)議議對接下下來的會會話中的的主密鑰鑰進(jìn)行緩緩存處理理)。這個耽擱擱只影響響瀏覽器器和服務(wù)務(wù)器之間間的第一一次SSL連接接。與創(chuàng)創(chuàng)建會話話相比，，采用DES、、RC2、RC4算法法來進(jìn)行行加密和和解密數(shù)數(shù)據(jù)的額額外負(fù)擔(dān)擔(dān)很少(沒必要要讓用戶戶感覺到到)，所所以，對對于擁有有高速計(jì)計(jì)算機(jī)，，而聯(lián)網(wǎng)網(wǎng)速度相相對很慢慢的用戶戶來說，，在SSL會話話或多個個利用共共享的主主秘密的的會話建建立后，，傳送大大量數(shù)據(jù)據(jù)時，SSL的的開銷就就顯得微微不足道道。另一一方面，，繁忙的的SSL服務(wù)器器管理者者會考慮慮為了配配合公鑰鑰操作而而去尋找找速度很很快的計(jì)計(jì)算機(jī)或或者硬件件配置。。2.安安全性SSL并并不能抵抵抗通信信流量分分析。例例如，通通過檢查查沒有被被加密的的IP源源和目的的地址以以及TCP端口口號或者者檢查通通信數(shù)據(jù)據(jù)量，一一個通信信分析者者可以揭揭示哪一一方在使使用什么么服務(wù)，，有時甚甚至揭露露商業(yè)或或私人關(guān)關(guān)系的秘秘密。為為了利用用SSL的安全全保護(hù)，，客戶和和服務(wù)器器必須知知道另一一方也在在用SSL。IPSec通過過AH(AuthenticationHeader)ESP(EncapsulatedSecurityPayload)兩個個協(xié)議確確保基于于無連接接的數(shù)據(jù)據(jù)的真實(shí)實(shí)性、機(jī)機(jī)密性和和完整性性的要求求，加強(qiáng)強(qiáng)了IP協(xié)議的的安全性性，克服服了原有有IPv4協(xié)議議在安全全性方面面存在的的不足。。9.4IPSec協(xié)協(xié)議的的安全體體系結(jié)構(gòu)構(gòu)IPSec協(xié)議議由兩部部分組成成，即安安全協(xié)議議部分和和密鑰協(xié)協(xié)商部分分。安全全協(xié)議部部分定義義了對通通信的各各種保護(hù)護(hù)方式;密鑰鑰協(xié)商部部分定義義了如何何為安全全協(xié)議協(xié)協(xié)商保護(hù)護(hù)參數(shù)，，以及如如何對通通信實(shí)體體的身份份進(jìn)行鑒鑒別。具具體來講講，IPSec協(xié)議主主要由因因特網(wǎng)密密鑰交換換(IKE)協(xié)協(xié)議、認(rèn)認(rèn)證頭(AH)以及安安全封裝裝載荷(ESP)三個個子協(xié)議議組成，，同時還還涉及認(rèn)認(rèn)證、加加密算法法以及安安全關(guān)聯(lián)聯(lián)(SA)等內(nèi)內(nèi)容。IPSec的安安全體系系結(jié)構(gòu)如如圖9-4-1所示，，其中各各個模塊塊的功能能如下:(1)因因特網(wǎng)網(wǎng)密鑰交交換(IKE)協(xié)議:用于于動態(tài)建建立安全全關(guān)聯(lián)(SA)，管理理用于IPSec連接接的SA協(xié)議過過程。(2)認(rèn)證證頭(AH)：：是IPSec協(xié)議的的一個協(xié)協(xié)議，用用來保護(hù)護(hù)一個上上層協(xié)議議(傳輸輸模式)或者一一個完整整的IP數(shù)據(jù)包包(隧道道模式)。在兩兩種模式式下，AH頭都都會緊跟跟在IP頭后，，用于為為IP數(shù)數(shù)據(jù)包提提供數(shù)據(jù)據(jù)完整性性、數(shù)據(jù)據(jù)源認(rèn)證證和一些些可選的的、有限限的抗重重傳服務(wù)務(wù)。(3)安安全封封裝載荷荷（ESP）：：是是IPSec協(xié)協(xié)議的另另一個協(xié)協(xié)議，可可以在傳傳輸模式式以及隧隧道模式式下使用用，ESP頭可可以位于于IP頭頭與上層層協(xié)議之之間，或或者用它它封裝整整個IP數(shù)據(jù)報報。ESP為IP報文文提供數(shù)數(shù)據(jù)完整整性校驗(yàn)驗(yàn)、數(shù)據(jù)據(jù)加密以以及重放放攻擊保保護(hù)等可可選的身身份認(rèn)證證服務(wù)。。圖9-4-1IPSec的安全體系結(jié)構(gòu)(4)安安全關(guān)關(guān)聯(lián)(SA):是發(fā)發(fā)送者和和接收者者(指IPSec實(shí)體體，比如如主機(jī)或或路由器器)之間間的一個個簡單的的單向邏邏輯連接接，它規(guī)規(guī)定了用用來保護(hù)護(hù)數(shù)據(jù)包包安全的的IPSec協(xié)協(xié)議、轉(zhuǎn)轉(zhuǎn)換方式式、密鑰鑰以及密密

鑰的的有效存存在時間間等，是是安全協(xié)協(xié)議(AH和ESP)的基礎(chǔ)礎(chǔ)。SA提供的的安全服服務(wù)取決決于所選選的安全全協(xié)議(AH或或ESP)、SA模式式、SA作用的的兩端點(diǎn)點(diǎn)和安全全協(xié)議所所要求的的服務(wù)。。(5)認(rèn)認(rèn)證、加加密算法法:是是IPSec實(shí)實(shí)現(xiàn)安全全數(shù)據(jù)傳傳輸?shù)暮撕诵?。的的工作模模式根?jù)IPSec保護(hù)的的信息不不同，其其工作模模式可分分為傳輸輸模式和和隧道模模式。1.IPSec傳輸輸模式IPSec傳輸輸模式主主要對IP包的的部分信信息提供供安全保保護(hù)，即即對IP數(shù)據(jù)包包的上層層數(shù)據(jù)信信息(傳傳輸層數(shù)數(shù)據(jù))提提供安全全保護(hù)。。

IPSec傳輸模模式下的的AH、、ESP的數(shù)據(jù)據(jù)封裝格格式如圖圖9-4-2所所示，當(dāng)當(dāng)采用AH傳輸輸模式時時，主要要對IP數(shù)據(jù)包包(IP頭中的的可變信信息除外外)提供供認(rèn)證保保護(hù);當(dāng)當(dāng)采采用ESP傳輸輸模式時時，主要要對IP數(shù)據(jù)包包的上層層信息提提供加密密和認(rèn)證證雙重保保護(hù)。圖9-4-2IPSec傳輸輸模式下下的AH、ESP的數(shù)數(shù)據(jù)封裝裝格式2.IPSec隧隧道模式式IPSec隧道道模式的的基本原原理是構(gòu)構(gòu)造新的的IP數(shù)數(shù)據(jù)包，，將原IP數(shù)據(jù)據(jù)包作為為新數(shù)據(jù)據(jù)包的數(shù)數(shù)據(jù)部分分，并為為新的數(shù)數(shù)據(jù)包提提供安全全保護(hù)。。IPSec隧道模模式下的的AH、、ESP的數(shù)據(jù)據(jù)封裝格格式如圖圖9-4-3所所示，當(dāng)當(dāng)采用AH隧道道模式時時，主要要對整個個IP數(shù)數(shù)據(jù)包(可變字字段除外外)提供供認(rèn)證保保護(hù);當(dāng)當(dāng)采用用ESP隧道模模式時，，主要對對整個IP數(shù)據(jù)據(jù)包提供供加密和和認(rèn)證雙雙重保護(hù)護(hù)。圖9-4-3IPSec隧道模式下的AH、ESP的數(shù)據(jù)封裝格式認(rèn)認(rèn)證頭頭認(rèn)證頭(AH)的協(xié)議議代號為為51，，是基基于網(wǎng)絡(luò)絡(luò)層的一一個安全全協(xié)議。。它是IPSec協(xié)議議的重要要組成部部分，是是用于為為IP數(shù)數(shù)據(jù)包提提供安全全認(rèn)證的的一種安安全協(xié)議議。1.認(rèn)認(rèn)證頭頭的功能能認(rèn)證頭是是為IP數(shù)據(jù)包包提供強(qiáng)強(qiáng)認(rèn)證的的一種安安全機(jī)制制，它具具有為IP數(shù)據(jù)據(jù)包提供供數(shù)據(jù)完完整性、、數(shù)據(jù)源源認(rèn)證和和抗重傳傳攻擊等等功能。。在IPSec中中，數(shù)據(jù)據(jù)完整性性、數(shù)據(jù)據(jù)源認(rèn)證證和抗重重傳攻擊擊這三項(xiàng)項(xiàng)功能組組合在一一起統(tǒng)稱稱為認(rèn)證證。其其中中:數(shù)數(shù)據(jù)完整整性是通通過消息息認(rèn)證碼碼產(chǎn)生的的校驗(yàn)值值來保證證的;數(shù)數(shù)據(jù)源源認(rèn)證是是通過在在數(shù)據(jù)包包中包含含一個將將要被認(rèn)認(rèn)證的共共享秘密密或密鑰鑰來保證證的;抗抗重傳傳攻擊是是通過在在AH中中使用了了一個經(jīng)經(jīng)認(rèn)證的的序列號號來實(shí)現(xiàn)現(xiàn)的。圖9-4-4AH的格式2.認(rèn)認(rèn)證頭頭的格式式AH的格格式在RFC2402中有有明確的的規(guī)定(如圖9-4-4所示示)，由由6個字字段構(gòu)成成:(1)下一一負(fù)載頭頭標(biāo)識:是標(biāo)標(biāo)識AH后的有有效負(fù)載載的類型型，域長長度為8bit。(2)凈載載荷長度度:是是以32bit為單單位的認(rèn)認(rèn)證頭總總長度減減2，或或者SPI后的的以32bit為單單位的總總長度，，域長度度為8bit。(3)保留留:保留為為今后使用，，將全部16bit置置成零。(4)安全參數(shù)數(shù)索引(SPI):是是一個32bit的整整數(shù)。它與目目的IP地址址和安全協(xié)議議結(jié)合在一起起即可唯一地地標(biāo)識用于此此數(shù)據(jù)項(xiàng)的安安全關(guān)聯(lián)。

(5)序列號號(SN):長度為32bit，是一個無無符號單調(diào)遞遞增計(jì)數(shù)值，，每當(dāng)一個特特定的SPI數(shù)據(jù)包被傳傳送時，序列列號加1，用用于防止數(shù)據(jù)據(jù)包的重傳攻攻擊。(6)認(rèn)認(rèn)證數(shù)據(jù):是一個長長度可變的域域，長度為32bit的整數(shù)倍。。該字段包含含了這個IP數(shù)據(jù)包中的的不變信息的的完整性檢驗(yàn)驗(yàn)值(ICV)，用于提提供認(rèn)證和完完整性檢查。。具體格式隨隨認(rèn)證算法法而不同，但但至少應(yīng)該支支持RFC2403規(guī)規(guī)定的HMAC-MD5和RFC2404規(guī)規(guī)定的HMAC-SHA1。安安全封裝裝載荷

由于于認(rèn)證信息只只能確保數(shù)據(jù)據(jù)包的來源和和完整性，而而不能為IP數(shù)據(jù)包提供供機(jī)密性保護(hù)護(hù)，因此，需需要引入機(jī)密密性服務(wù)，這這就是安全封封裝載荷(簡簡稱ESP)，其協(xié)議代代號為50。。1.ESP的功能ESP主要支支持IP數(shù)據(jù)據(jù)包的機(jī)密性性，它將需要要保護(hù)的用戶戶數(shù)據(jù)進(jìn)行加加密后再封裝裝到新的IP數(shù)據(jù)包中。。另外，ESP也可提供供認(rèn)證服務(wù)，，但與AH相相比，二者的的認(rèn)證范圍不不同，ESP只

認(rèn)證ESP頭之后后的信息，比比認(rèn)證的范圍圍要小。圖9-4-5ESP的格式2.ESP的格式ESP的格式式在RFC2406中中有明確的規(guī)規(guī)定(如圖9-4-5所所示)，由7個字段組成成:(1)安安全參數(shù)索索引(SPI):被用用來指定加密密算法和密鑰鑰信息，是經(jīng)經(jīng)過認(rèn)證但未未被加密的。。

如果果SPI本身身被加密，接接收方就無法法確定相應(yīng)的的安全關(guān)聯(lián)(SA)。

(2)序列號:是一個增增量的計(jì)數(shù)值值，用于防止止重傳攻擊。。SN是經(jīng)過過認(rèn)證但未被被加密的，這這是為了在解解密前就可以以判斷該數(shù)據(jù)據(jù)包是否是重重復(fù)數(shù)據(jù)包，，不至于為解解密耗費(fèi)大量量的計(jì)算資源源。(3)ESP凈載荷數(shù)數(shù)據(jù)(變長):該字字段中存放了了IP數(shù)據(jù)包包的數(shù)據(jù)部分分經(jīng)加密后的的信息。具體體格式因加密密算法的不同同而不同，但但至少應(yīng)符合合RFC2405規(guī)定定的DES-CBC。

(4)填充:根據(jù)加密密算法的需要要填滿一定的的邊界，即使使不使用加密密也需要填充充到4字節(jié)的的整數(shù)倍。

(5)填充長長度:指出出填充字段的的長度，接收收方利用它來來恢復(fù)ESP凈載荷數(shù)據(jù)據(jù)。(6)下下一負(fù)載頭標(biāo)標(biāo)識:標(biāo)識識ESP凈載載荷數(shù)據(jù)的類類型。(7)認(rèn)證證數(shù)據(jù):認(rèn)認(rèn)證數(shù)據(jù)字段段是可選的，，該字段的長長度是可變的的，只有在SA初始化時時選擇了完整整性和身份認(rèn)認(rèn)證，ESP分組才會有有認(rèn)證數(shù)據(jù)字字段。具體格格式因所使用用的算法的不不同

而不同同，ESP要要求至少支持持兩種認(rèn)證算算法，即HMAC-MD5和HMAC-SHA-1。安安全關(guān)聯(lián)聯(lián)當(dāng)利用IPSec進(jìn)行通通信時，采用用哪種認(rèn)證算算法、加密算算法以及采用用什么密鑰都都是事先協(xié)商商好的。一旦旦通信雙方取取得一致后，，在通信期間間將共享這些些安全參數(shù)信信息來進(jìn)行安安全信息傳輸輸。1.安全全關(guān)聯(lián)的定義義為了使通信雙雙方的認(rèn)證算算法和加密算算法保持一致致，相互間建建立的聯(lián)系被被稱為安全關(guān)關(guān)聯(lián)，簡稱SA(SecurityAssociation)。。SA是構(gòu)成成IPSec的重要組成成部分，是與與給定的一個個網(wǎng)絡(luò)連接或或一組網(wǎng)絡(luò)連連接相關(guān)的安安全信息參數(shù)數(shù)的集合。它它包含了通信信系統(tǒng)執(zhí)行安安全協(xié)議(AH或ESP)所需要的的相關(guān)信息，，是安全協(xié)議議(AH和ESP)賴以以執(zhí)行的基礎(chǔ)礎(chǔ)，是發(fā)送者者和接收者之之間的一個簡簡單的單向邏邏輯連接。2.安全全關(guān)聯(lián)的特點(diǎn)點(diǎn)由于SA是單單向的，因因此在一對對對等系統(tǒng)間進(jìn)進(jìn)行雙向安全全通信時，就就需要兩個SA。如果通通信雙方(用用戶A和用戶戶B)通過ESP進(jìn)行安安全通信，那那么用戶A需需要有一個SA，即SA(out)，用來處處理發(fā)送的(流出)數(shù)據(jù)據(jù)包;同時時還需要另一一個不同的SA，即SA(in)，，用來處理接接收到的(流流入)數(shù)據(jù)包包。用戶A的的SA(out)和用戶戶B的SA(in)共享享相同的加密密參數(shù)，同樣樣

用戶A的的SA(in)和用戶B的SA(out)共享享相同的加密密參數(shù)。SA與協(xié)議相相關(guān)，一個SA為業(yè)務(wù)務(wù)流僅提供一一種安全機(jī)制制(AH或ESP)，即即每種協(xié)議都都有一個SA。如果用戶戶A和用戶B同時通過AH和ESP進(jìn)行安全全通信，那么么針對每個協(xié)協(xié)議都

會建建立一個相應(yīng)應(yīng)的SA。因因此，如果要要對特定業(yè)務(wù)務(wù)流提供多種種安全保護(hù)，，那么就要有有多個SA序序列組合(稱稱為SA綁定定)。SA可以以通過靜態(tài)配配置來建立，，也可以利用用密鑰管理協(xié)協(xié)議(IKE)來動態(tài)建建立。3.安全全關(guān)聯(lián)的組成成一個SA通常常由以下參數(shù)數(shù)定義:

(1)AH使使用的認(rèn)證算算法和算法模模式。(2)AH認(rèn)證算算法使用的密密鑰。(3)ESP使用用的加密算法法、算法模式式和變換。

(4)ESP使用的加密密算法的密鑰鑰。(5)ESP使用的的認(rèn)證算法和和模式。(6)加密密算法的密鑰鑰同步初始化化向量字段的的存在性和大大小。(7)認(rèn)認(rèn)證算法使使用的認(rèn)證密密鑰。(8)密密鑰的生存存周期。(9)SA的生生存周期。

(10)SA的源地址。。(11)受受保護(hù)的數(shù)據(jù)據(jù)的敏感級。。一一個系統(tǒng)中，，可能存在多多個SA，而而每一個SA都是通過一一個三元組(安全參數(shù)索索引SPI、、目的IP地址、安全全協(xié)議標(biāo)識符符AH/ESP)來唯一一標(biāo)識的。4.安全全參數(shù)索引SPI是和SA相關(guān)的一一個非常重要要的元素。SPI實(shí)際上上是一個32位長的數(shù)據(jù)據(jù)，用于唯一一地標(biāo)識出接接收／發(fā)送端端上的一個SA。在在通信過過程中，需要要解決如何標(biāo)標(biāo)識SA的問問題，即需要要指出發(fā)送方方用哪一個SA來保護(hù)發(fā)發(fā)送的數(shù)據(jù)包包，接收方用用哪一個SA來檢查接收收到的數(shù)據(jù)包包是否安全。。通常的做法法是隨每個數(shù)數(shù)據(jù)包一起發(fā)發(fā)送一個SPI，以便將將SA唯一地地標(biāo)識出來。。目標(biāo)主機(jī)再利利用這個值，，對SADB數(shù)據(jù)庫進(jìn)行行檢索查詢，，提取出適當(dāng)當(dāng)?shù)腟A。如如何保證SPI和SA之之間的唯一性性呢？根據(jù)IPSec結(jié)結(jié)構(gòu)文檔的規(guī)規(guī)定，在數(shù)據(jù)據(jù)包內(nèi)，由SPI、目的的地址來唯一一標(biāo)識一個SA，如果接接收端無法實(shí)實(shí)現(xiàn)唯一性，，數(shù)據(jù)包就不不能通過安全全檢查。發(fā)送送方對發(fā)送SADB數(shù)據(jù)據(jù)庫進(jìn)行檢索索，檢索的結(jié)結(jié)果就是一個個SA，該SA中包括已已經(jīng)協(xié)商好的的所有的安全全參數(shù)(包括括SPI)。。在實(shí)際使用過過程中，SPI被當(dāng)作AH和ESP頭的一部分分進(jìn)行傳輸，，接收方通常常使用SPI、目的地址址、協(xié)議類型型來唯一標(biāo)識識SA，此外外，還有可能能加上一個源源地址(即SPI、源地地址、目的地地址、協(xié)議類類型)來唯一一標(biāo)識一個SA。對于多多IP地址的的情況，還有有可能使用源源地址來唯一一標(biāo)識一個SA。因因特網(wǎng)密密鑰交換協(xié)議議用IPSec保護(hù)一個IP包之前，，必須建立一一個安全關(guān)聯(lián)聯(lián)，SA可以以手工創(chuàng)建或或動態(tài)建立。。

因特特網(wǎng)密鑰交換換協(xié)議(IKE)用于動動態(tài)建立安全全關(guān)聯(lián)(SA)，IKE以UDP的的方式通信，，其端口號為為500。

IKE是IPSec目前正正式確定的密密鑰交換協(xié)議議。IKE為為IPSec的AH和和ESP協(xié)議議提供密鑰交交換管理和安安全關(guān)聯(lián)管理理，同時也為為ISAKMP(密鑰鑰管理協(xié)議，，IKE沿用用此框架)提提供密鑰管理理和安全管管理。IKE定義了通信信實(shí)體間進(jìn)行行身份認(rèn)證、、創(chuàng)建安全關(guān)關(guān)聯(lián)、協(xié)商加加密算法以及及生成共享會會話密鑰的方方法。IKE分為兩個階階段來實(shí)現(xiàn)(如圖9-4-6所示)。圖9-4-6IKE的兩個階段第一階段為建建立IKE本本身使用的安安全信道而協(xié)協(xié)商S