网络通信安全讲解.ppt

9.4.3 IPSec：AH和ESP IPSec提供了两种安全机制：认证和加密。IPSec协议组包含认证头（AH）协议、封装安全有效载荷（ESP）协议和Internet密钥交换（IKE）协议。其中，AH协议定义了认证的应用方法，提供数据源认证、完整性和反重保证；ESP协议定义了加密和应用方法，提供可靠性保证。 * * 9.4.3 IPSec：AH和ESP 1. 认证头AH ??AH协议是以IP数据包的形式实现的。AH报头位置在IP报头和传输层协议报头之间，如图3-2所示。IP协议号字段为51，AH可以单独使用也可以与ESP协议结合使用。 * * 9.4.3 IPSec：AH和ESP AH报头的结构包括以下内容： （1）下一个报头。占8位，该字段通过协议号指明在IPSec头之后的第4层协议的类型 (2)长度。占8位，IPSec协议头长度减2的值。 ? (3)安全参数索引（SPI）。占32位，包括目上IP地址、IPSec协议以及编号，用来唯一地为分组确定安全联盟SA。 ? (4)序列号。点32位，从1开始的32位单增序列号，不允许复，唯一地标识了每一个发送的数据包，为安全联盟提供反重播保护。 ? (5)认证数据。包含完整性检查和。? 由于IPSes存在传输模式和隧道模式这两种工作模式，所以AH报头的位置也不相同。 * * 9.4.3 IPSec：AH和ESP (1) 传输模式：AH用于传输模式时，保护的是端到端的通信。AH报头紧跟在IP报头之后和上层协议报文之前，对这个数据包进行保护，如图3-3所示。 * * 9.4.3 IPSec：AH和ESP ?(2) 隧道模式：在隧道模式下,内层的IP报头含有该IP数据包的最终目点地址和最初源地址,外层的IP报头可能含有与内层不同的地址,在该模式下,AH协议保护了整个内层IP数据包。AH报头的位置也是紧跟在最外面的IP报头之后,如图3-4所示。 * * 9.4.3 IPSec：AH和ESP AH安全协议对于外出和进入的IP分别进行处理。 (1)对外出分组的处理：首先,依据待处理的IP分组,构造出选择,即源IP地址、目的IP、协议号、通信端口，并以此选择符为索引，对安全策略数据库(SPD)条目直接指向的安全联盟SA条目，能找到用以处理数据的SA。如果SPD指向的SA为空，则策略引擎调用密钥协商模块(如IKE)协商SA。此时，协议的具体实现将决定暂时缓存待处理分组还是丢弃待处理分组。接着，按SA条目给出的处理模式，在适当的地方插入AH报头和外部IP报头。再对AH的相应字段进行填充。最后，对AH处理后的IP分组，重新计算IP报头校验和。如果处理后分组长度大于本地MTU，则进行IP分段。对于传输模式，处理完毕的IP-Sec分组被交给数据链路层；对于隧道模式，处理完毕的IPSec分组被交给IP层重新路由。 * * 9.4.3 IPSec：AH和ESP (2)对进入分组的处理。首先，对进入的IP分组，如果得到的分组仅仅是一个IP分组，则要进行分段重组。从待处理的IPSec分组中提取选择符SAID，即目的IP地址、协议号、SPI，对安全策略数据库进行检索，找到相应的处理该分组的安全联盟SA。如果没有找到，则丢弃该分组，半将此事件记录于日志中。接着，检查数据完整性即检查ICV值。再在数据完整性检查之后，应将该分组的保护方式与SA指向的SPD条目的安全策略相比较，以检验安全实施的一致性。最后，做必要的善后处理，比如滑动窗口的移动，IP报头的恢复等，并将处理后的分组宛给相应协议层来处理。 * * 9.4.3 IPSec：AH和ESP 2. 封装安全载荷ESP ? 封装安全载荷(ESP)是IPSec的一个重要组成部分，它是插入IP数据包内部的一个协议头，以便为IP数据包提供机密性、数据源验证、抗重放、数据完整性验证以及有限流量控制等安全服务。可以单独使用，也可以与AH一起使用。一个IP数据包所使用的具体的ESP服务是由相应的安全联盟规定的，保密服务是ESP的主要功能。IP协议号为50。ESP报头字段包括以下内容： ? (1)安全参数索引(SPI)。占32位，用于和源地址或目的地址以及IPSec协议(AH或ESP)共同唯一标识一个数据报所属的数据流的安全关联(SA)。 (2)序列号。占32位，从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全联盟提供反重放保护。 * * 9.4.3 IPSec：AH和ESP ESP报尾字段包括以下内容：? (1)扩展位。长度可变，共0～255个字节，可以根据需要进行填充。? (2)扩展位长度。占8位，该字段包含前面填充字段中包含的填充字节数，接收端根据该字段长度去除数据中的扩展位。? (3)下一个报