IPSEC实现分析.docx

IPSec实现分析目 录1引言11.1编写目的11.2编写背景11.3预期读者和阅读建议11.4文档约定11.5参考资料12详细设计12.1IPSec介绍12.2IPSec实现62.3IPSec发包和收包212.4内核与IKE进程通信253IKE协商介绍273.1主模式（第一阶段）283.2野蛮模式（第一阶段）343.3快速模式（第二阶段）353.4IKE进程状态转换及调用关系384哈希的计算414.1哈希计算414.2DH计算434.3加密材料(RFC2409 Appendix B)485IPSEC穿NAT505.1穿NAT讨论505.2NAT穿越原理535.3NAT穿越实现575.4两种模式对比59引言编写目的编写该文档的目的是为了更好地理IPSec模块。为了能更好地理解IPSec，本详细设计报告描述了IPSec介绍、数据结构、IPSec策略匹配、SA的查找安全路由的安装、发包和收包过程和IPSec IKE。编写背景无预期读者和阅读建议本文档的预期读者包括网关安全模块开发人员。开发人员应重点理解函数实现和数据结构之间的关系。文档约定IPSec Internet Protocol Security SASecurity Association （安全联盟）SPISecurity parameter index（安全参数索引）AHAuthentication Header （认证头）ESPEncapsulating Security Payload （加密安全载荷）IKEInternet Key Exchange HMAC Keyed-hash Message Authentication Code参考资料RFC 2401 《Security Architecture for the Internet Protocol》RFC 2402 《IP Authentication Header》RFC 2406《IP Encapsulating Security Payload (ESP)》RFC 2407 《The Internet IP Security Domain of Interpretation for ISAKMP》RFC 2408 《Internet Security Association and Key Management Protocol (ISAKMP)》 RFC 2409 《The Internet Key Exchange (IKE)》 RFC 3947 《Negotiation of NAT-Traversal in the IKE》RFC 3948 《UDP Encapsulation of IPsec ESP Packets》详细设计IPSec介绍IPSEC(Internet Protocol Security)是IETF指定的一个IP层安全框架协议。它提供了在未提供保护的网络环境中传输敏感数据的保护。它定义了IP数据包格式和相关基础结构，以便为网络通信提供端对端、加强的身份验证、完整性、防重放和保密性等。IPSec到底是如何起作用的呢？为了更直观的理解IPSec VPN，图2-1到图2-3说明了：当两个机构通信的重要内容不想被中间人截获到，可以采用的方法。图2-1是最原始的方法，两个机构直接通过Internet进行通信，但是这样的话，很容易遭受中间黑客的截获和对内容的篡改，而两边都无法知道，很可能会造成重要损失。图2-2，两边的机构通过架设自己的专用网络进行通信，这样的话，黑客不修改物理的连接是无法接触到两边的通信内容的，所以比较安全，但是这样的方式会耗费巨大的投资。图2-3，通过架设虚拟的VPN通道就可以使得：1.黑客能截获到报文，但也无法得知内容；2.即便是修改了内容，但两边机构是能检测到报文有无修改。图2-1 普通通信方式图2-2 架设专用网络图2-3 开辟虚拟通道当然VPN有多种，本文着重从IPSec VPN的角度介绍IPSec的原理及实现。IPSec通过两种协议来实现对IP数据包的保护，分别是AH和ESP(下文介绍)。IPSec既可以保护一个完整的IP载荷，也可以保护某个IP载荷的上层协议(例如TCP)。这两种方式的保护取决于两种不同的‘模式’来提供的，如图2-4。图2-4 两种模式传输模式用来保护上层协议，而隧道模式则用来保护整个IP报文。两种协议均能使用两种模式进行数据传输。IPSec提供以下的安全特性：● 数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。● 数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。● 数据来源认证（Data Authentication）