IPsec协议原理与应用（一）：IKE协商及IPSec基础配置.pptVIP

SADB概述 SADB（Security Association Database，安全关联数据库）。SADB并不是通常意义上的“数据库”，而是将所有的SA以某种数据结构集中存储的一个列表。在SADB中包含每一个SA的详细参数信息，如算法、密钥等。 对于进入的流量，如果需要进行IPSec处理，IPSec将从IP包中得到三元组（SPI,DST,Protocol），并利用这个三元组在SADB中查找一个SA。有时是四元组，加上源地址（SRC）。 * 第二章 IPSec协议工作原理 SP概述 SP（Security Policy，安全策略）：决定对IP数据包提供何种保护，并以何种方式实施保护。 SP主要根据源IP地址、目的IP地址、入数据还是出数据等来标识。 IPSec还定义了用户能以何种粒度来设定自己的安全策略，不仅可以控制到IP地址，还可以控制到传输层协议或者TCP/UDP端口等，即通常所说的感兴趣数据流。 SPDB概述 SPDB也不是通常意义上的“数据库”，而是将所有的SP以某种数据结构集中存储的列表。（包处理过程中，SPDB和SADB两个数据库要联合使用） * 第二章 IPSec协议工作原理 当接收或将要发出IP包时，首先要查找SPDB来决定如何进行处理。存在3种可能的处理方式：丢弃、不用IPSec和使用IPSec。 丢弃：流量不能离开主机或者发送到应用程序，也不能进行转发。 不用IPSec：对流量作为普通流量处理，不需要额外的IPSec保护。 使用IPSec：对流量应用IPSec保护，此时这条安全策略要指向一个SA。对于外出流量，如果该SA尚不存在，则启动IKE进行协商，把协商的结果连接到该安全策略上。 * 第二章 IPSec协议工作原理 AH协议（续） * 第二章 IPSec协议工作原理 验证数据（变长） 序列号 SPI 保留 载荷长度 下一头部 0 7 15 31 上层数据 IP头部 AH（Authentication Header，验证头部协议）：RFC2402，用于增强IP层安全，可以提供无连接的数据完整性、数据来源验证和抗重放攻击服务。 AH对IP层的数据使用HMAC，从而对完整性进行保护。通过HMAC可以检测出对IP包的头部和载荷的修改，从而保护IP包的内容完整性和来源可靠性。 AH协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，AH的协议号是51。 AH协议（续） AH协议各字段详细介绍 （1） 下一个头（Next Header）：8位 表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议。 在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）； 在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议。 （2） 载荷长度（Payload Length）：8位 其值是以32位（4字节）为单位的整个AH数据（包括头部和变长的认证数据）的长度再减2。 （3） 保留（reserved）：16位 作为保留用，实现中应全部设置为0。 * 第二章 IPSec协议工作原理 AH协议（续） AH协议各字段详细介绍 （4） SPI（Security Parameter Index，安全参数索引）：32位 与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包惟一地确定一个SA [1，255]保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为[256，232- 1]。 （5） 序列号（Sequence Number）：32位 作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1。该字段可以用于抵抗重放攻击。 （6） 验证数据（Authentication Data） 可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（Integrity Check Value，完整性校验值）。该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充。 用于生成ICV的算法及密钥由IPSec SA指定。 * 第二章 IPSec协议工作原理 AH协议（续） AH协议保护IP数据的两种模式 传输模式： AH协议字段插入到IP头部之后，传输层协议（如TCP、UDP）或者其他IPSec协议之前。 * 第二章 IPSec协议工作原理 IP头部 TCP/UDP头部 AH头部 验证范围（可变字段除外） 数据 应用AH之前： 应用AH之后： IP头部 TCP/UDP头部 数据 AH协议（续） AH协议保护IP数据的两种模式 隧道模式：