因特网的网络层安全协议族IPsec.pptVIP

7.8 因特网的网络层安全协议族 IPsec 7.8.1. IPsec 与安全关联 SA IPsec 就是“IP 安全(Security)协议”的缩写。 IPSec执行网络层保密，使所有在 IP 数据报中的数据都是加密的。 IPSec还可在网络层提供源站鉴别和数据完整性检验，即当目的站收到 IP 数据报时，能确信这是从该数据报的源 IP 地址的主机发来的，以及检验数据是否完整和被窜改。 IPSec VPN 应用场景 Site-to-Site（站点到站点或者网关到网关）：如3个机构分布在互联网的3个不同的地方，各使用一个 IPSec VPN 网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。 End-to-End（端到端或者PC到PC）： 两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。 End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。 IPsec 中最主要的两个组件 鉴别首部 AH (Authentication Header)： AH提供源站鉴别和数据完整性，但不提供加密。 封装安全有效载荷 ESP (Encapsulation Security Payload)： ESP 提供加密，同时也可以做源站鉴别、数据完整性的选项功能。 其中，ESP用得最多。AH使用较少，原因是因为AH无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密。 安全关联 SA(Security Association) 在使用 AH 或 ESP 之前，先要从源主机到目的主机建立一条两个网络层实体间的逻辑关联。此逻辑连接关系叫做安全关联 SA。 IPsec 就将传统的因特网上两个网络层实体的无连接关系转换为具有逻辑连接关系，并对该安全关联SA赋予加密密钥、加密及鉴别算法等参数，以在之后根据所使用的SA查知相应的参数进行IPSec处理。 安全关联 SA 安全关联是一个单向连接。它由一个三元组唯一地标识，包括： (1) 使用何安全协议（ AH 或 ESP） (2) 此单向连接的源 IP 地址 (3) 一个 32 bit 的连接标识符，称为安全参数索引 SPI (Security Parameter Index) 在AH或ESP头中有SPI字段，接收端根据该SPI、以及使用的安全协议、源IP就可对应到使用的SA，从而查知在该SA上使用的密钥、加密、鉴别方法等参数，进行相应的IPSec处理。 7.8.2 鉴别首部 AH 在使用鉴别首部 AH 时，将 AH 首部插在原数据报数据部分的前面，同时将 IP 首部中的协议字段置为 51。 在传输过程中，中间的路由器都不查看 AH 首部。当数据报到达目的站时，目的站主机才处理 AH 字段，以鉴别源主机和检查数据报的完整性。 AH 首部 (1) 下一个首部(8 bit)。标志紧接着本首部的下一个首部的类型（如 TCP 或 UDP）。 (2) 有效载荷长度(8 bit)，即鉴别数据字段的长度，以 32 bit 字为单位。 (3) 安全参数索引 SPI (32 bit)。标志安全关联。 (4) 序号(32 bit)。数据字节序号，以32 bit字为单位。 (5) 保留(16 bit)。为今后用。 (6) 鉴别数据(可变长)。为 32 bit 字的整数倍，它包含了经数字签名的报文摘要。因此可用来鉴别源主机和检查 IP 数据报的完整性。 7.8.3 封装安全有效载荷 ESP 在 ESP 首部中有标识一个安全关联的安全参数索引 SPI (32 bit)，和序号(32 bit)。 在 ESP 尾部中有下一个首部（8 bit，作用和 AH 首部的一样）。ESP 尾部和原来数据报的数据部分一起进行加密，因此攻击者无法得知所使用的运输层协议。 ESP 的鉴别数据和 AH 中的鉴别数据是一样的。因此，用 ESP 封装的数据报既有鉴别源站和检查数据报完整性的功能，又能提供保密。 在 IP 数据报中的ESP 的各字段 * * IP 首部 AH 首部 TCP/UDP 报文段 协议 = 51 可鉴别的 IP 数据报 原数据报的数据部分 IP 首部 ESP 首部 TCP/UDP 报文段 协议 = 50 可鉴别的保密的 IP 数据报 原数据报的数据部分 ESP 尾部 ESP 鉴别数据 加密的部分 鉴别的部分