網(wǎng)絡(luò)層安全通信協(xié)議

網(wǎng)絡(luò)層安全通信協(xié)議信息1201王璐茅依莎什么是IPsec協(xié)議？IPsec協(xié)議簇１．IPsec的產(chǎn)生背景2．IPsec的體系結(jié)構(gòu)3．IPsec實(shí)現(xiàn)方式4．IPsec工作模式5．安全關(guān)聯(lián)第二部分2023/2/5IPsec的產(chǎn)生背景以IPv4為代表的TCP/IP協(xié)議簇存在的安全缺陷：（1）IP協(xié)議沒有為通信提供良好的數(shù)據(jù)源認(rèn)證機(jī)制。（2）IP協(xié)議沒有為數(shù)據(jù)提供強(qiáng)的完整性保護(hù)機(jī)制。（3）IP協(xié)議沒有為數(shù)據(jù)提供任何形式的機(jī)密性保護(hù)。（4）協(xié)議本身的設(shè)計(jì)存在一些細(xì)節(jié)上的缺陷和實(shí)現(xiàn)上的安全漏洞，使各種安全攻擊有機(jī)可乘。在1998年，由IETFIP工作組制定了一組基于密碼學(xué)的安全的開放網(wǎng)絡(luò)安全協(xié)議，總稱IP體系安全體系結(jié)構(gòu)。簡(jiǎn)稱IPsec.返回IPsec的體系結(jié)構(gòu)IPSec是一套協(xié)議包，而不是一個(gè)單獨(dú)的協(xié)議RFC文號(hào)。IPSec協(xié)議族中三個(gè)主要的協(xié)議：IP認(rèn)證包頭AH（IPAuthenticationHeader）：AH協(xié)議為IP包提供信息源驗(yàn)證和完整性保證。IP封裝安全負(fù)載ESP（IPEncapsulatingSecurityPayload）ESP協(xié)議提供加密保證。Internet密鑰交換IKE（TheInternetKeyExchange）：IKE提供雙方交流時(shí)的共享安全信息。IPsec的體系結(jié)構(gòu)返回IPsec的實(shí)現(xiàn)方式常用的實(shí)現(xiàn)方式有集成方式、BITS方式和BITW方式3種。(1)集成方式：把IPsec集成到IP協(xié)議的原始實(shí)現(xiàn)中，需要處理IP源碼，適用于在主機(jī)和安全網(wǎng)關(guān)中實(shí)現(xiàn)。(2)堆棧中的塊BITS方式：把IPsec作為一個(gè)“楔子”插入原來的IP協(xié)議棧和鏈路層之間，不需要處理IP源碼，適用于對(duì)原有系統(tǒng)升級(jí)，通常在主機(jī)中實(shí)現(xiàn)。(3)線纜中的塊BITW方式：在一個(gè)直接接入路由器或主機(jī)的設(shè)備中實(shí)現(xiàn)IPsec,通常用于軍事和商業(yè)目的。當(dāng)用于支持主機(jī)時(shí)，實(shí)現(xiàn)與BITS相似，但用于支持路由器或防火墻時(shí)，必須起到安全網(wǎng)關(guān)的作用。返回IPsec的工作模式

IPSec有兩種工作模式：傳輸模式(TransportMode)和隧道模式(TunnelMode)。1.傳輸模式(TransportMode)：

IPSec協(xié)議頭插入到原IP頭部和傳輸層頭部之間，只對(duì)IP包的有效負(fù)載進(jìn)行加密或認(rèn)證。2.隧道模式:IPSec會(huì)先利用AH或ESP對(duì)IP包進(jìn)行認(rèn)證或者加密，然后在IP包外面再包上一個(gè)新IP頭。返回只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。返回用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。返回定義安全關(guān)聯(lián)SA,用于記錄每條IP安全通路的策略和策略參數(shù)。安全關(guān)聯(lián)是IPSec的基礎(chǔ),是通信雙方建立的一種協(xié)定,決定了用來保護(hù)數(shù)據(jù)包的協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰有效期等。AH和ESP都要用到安全關(guān)聯(lián),IKE的一個(gè)主要功能就是建立和維護(hù)安全關(guān)聯(lián)。類型傳輸模式SA：傳輸模式SA只能用于兩個(gè)主機(jī)之間的IP通信。隧道模式SA：隧道模式SA既可以用于兩個(gè)主機(jī)之間的IP通信也可用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。生存期是一個(gè)時(shí)間間隔或IPsec協(xié)議利用該SA來處理的數(shù)據(jù)量的大小。

SA是安全策略通常用一個(gè)三元組唯一的表示：<SPI，IP目的地址，安全協(xié)議標(biāo)識(shí)符>1）SPI：安全參數(shù)索引(SecurityParametersIndex)，說明用SA的IP頭類型，它可以包含認(rèn)證算法、加密算法、用于認(rèn)證加密的密鑰以及密鑰的生存期；2）IP目的地址：指定輸出處理的目的IP地址，或輸入處理的源IP地址；3）安全協(xié)議標(biāo)識(shí)符：指明使用的協(xié)議是AH還是ESP或者兩者同時(shí)使用。安全關(guān)聯(lián)概述安全關(guān)聯(lián)數(shù)據(jù)庫SPD決定了對(duì)數(shù)據(jù)包提供的安全服務(wù)，所有IPSec實(shí)施方案的策略都保存在該數(shù)據(jù)庫中。IP包的處理過程中，系統(tǒng)要查閱SPD，每一個(gè)數(shù)據(jù)包，都有三種可能的選擇：丟棄、繞過IPSec或應(yīng)用IPSec:1）丟棄：根本不允許數(shù)據(jù)包離開主機(jī)穿過安全網(wǎng)關(guān)；2）繞過：允許數(shù)據(jù)包通過，在傳輸中不使用IPSec進(jìn)行保護(hù)；3）應(yīng)用：在傳輸中需要IPSec保護(hù)數(shù)據(jù)包，對(duì)于這樣的傳輸SPD必須規(guī)定提供的安全服務(wù)、所使用的協(xié)議和算法等等。

安全關(guān)聯(lián)數(shù)據(jù)庫SAD存放著和安全實(shí)體相關(guān)的所有SA，每個(gè)SA由三元組索引。一個(gè)SAD條目包含下列域：1)序列號(hào)計(jì)數(shù)器：32位整數(shù)，用于生成AH或ESP頭中的序列號(hào)；2)序列號(hào)溢出標(biāo)志：標(biāo)識(shí)是否對(duì)序列號(hào)計(jì)數(shù)器的溢出進(jìn)行審核；3)抗重發(fā)窗口：使用一個(gè)32位計(jì)數(shù)器和位圖確定一個(gè)輸入的AH或ESP數(shù)據(jù)包是否是重發(fā)包；4)IPSec協(xié)議操作模式：傳輸或隧道；5)AH的認(rèn)證算法和所需密鑰；6)ESP的認(rèn)證算法和所需密鑰；7)ESP加密算法，密鑰，初始向量（IV）和IV模式；8)路徑最大傳輸單元；9)進(jìn)出標(biāo)志；SA生存期狀態(tài)。返回(1)AH頭格式(2)AH操作模式(3)AH的處理過程AH協(xié)議下一個(gè)頭：AH之后的下一載荷的類型，如可能是ESP或是其他傳輸層協(xié)議。載荷長(zhǎng)度：以32位字為單位的AH的長(zhǎng)度減2。AH實(shí)際上是一個(gè)IPv6擴(kuò)展頭，按照RFC2460，它的長(zhǎng)度是從64位字表示的頭長(zhǎng)度中減去一個(gè)64位字而來，由于AH采用32位字為單位，因此需要減去兩個(gè)32位字。保留：該字段目前置為0。安全參數(shù)索引：該字段用于和源或目的地址以及IPsec相關(guān)協(xié)議（AH或ESP）共同唯一標(biāo)識(shí)一個(gè)數(shù)據(jù)報(bào)所屬的數(shù)據(jù)流的安全關(guān)聯(lián)（SA）。序列號(hào)：該字段包含一個(gè)作為單調(diào)增加計(jì)數(shù)器的32位無符號(hào)整數(shù)，它用來防止對(duì)數(shù)據(jù)包的重放攻擊。認(rèn)證數(shù)據(jù)：這個(gè)變長(zhǎng)域包含數(shù)據(jù)包的認(rèn)證數(shù)據(jù)，通過該認(rèn)證數(shù)據(jù)具體提供數(shù)據(jù)包的完整性保護(hù)服務(wù)返回AH傳輸模式AH隧道模式返回ESP協(xié)議(1)ESP包格式(2)ESP操作模(3)ESP的處理過程1)安全參數(shù)索引SPI(SecurityParametersIndex)：同AH；2)序列號(hào)(SequenceNumber)：同AH；3)填充域(Padding)：0-255個(gè)字節(jié)。用來保證加密數(shù)據(jù)部分滿足塊加密的長(zhǎng)度要求，若數(shù)據(jù)長(zhǎng)度不足，則填充；4)填充域長(zhǎng)度(PaddingLength)：接收端根據(jù)該字段長(zhǎng)度去除數(shù)據(jù)中的填充位；5)下一個(gè)包頭(NextHeader)：同AH；6)認(rèn)證數(shù)據(jù)(AuthenticationData)：包含完整性檢查和。完整性檢查部分包括ESP包頭、傳輸層協(xié)議、數(shù)據(jù)和ESP包尾，但不包括IP包頭，因此ESP不能保證IP包頭不被篡改。ESP加密部分包括傳輸層協(xié)議、數(shù)據(jù)和ESP包尾。返回返回IKE協(xié)議？IPSec支持手工設(shè)置密鑰和自動(dòng)商兩種方式管理密鑰。手工設(shè)置密鑰方式是管理員使用自己的密鑰手協(xié)工設(shè)置每個(gè)系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境和有限的安全需要時(shí)可以工作得很好。自動(dòng)協(xié)商方式則能滿足其它所有的應(yīng)用需求。使用自動(dòng)協(xié)商方式，通訊雙方在建立SA時(shí)可以動(dòng)態(tài)地協(xié)商本次會(huì)話所需的加密密鑰和其它各種安全參數(shù)，無須用戶的介入。當(dāng)采用自動(dòng)協(xié)商密鑰時(shí)就需要使用IKE。IKE是一個(gè)混合型協(xié)議,用來管理IPSec所用加密密鑰的產(chǎn)生及處理。IKE提供的好處如下：允許管理員不必在兩個(gè)對(duì)等體中手工指定所有IPSecSA參數(shù)；可以安全地建立用于對(duì)等體之間的會(huì)話密鑰；允許為IPSecSA指定一個(gè)生存期；允許加密密鑰在IPSec會(huì)話過程中改變；允許IPSec提供防重發(fā)攻擊服務(wù)；允許為一個(gè)可以管理的、可以擴(kuò)展的IPSec實(shí)施采用CA支持；優(yōu)勢(shì)

IKE由三個(gè)不同的協(xié)議組成：Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP（InternetSecurityAssociationan