网络安全之IPsec详解.docVIP

IPSEC安全协议　　“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoftreg; Windowsreg; 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。 IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。ipsec 提供两种数据包格式AH： authentication head? ?51??保证数据的完整性以及认证 不能加密 是使用单向的hash算法进行加密将ah报文放到ip数据包头与传输层数据的中间，通过加密算法进行计算出来的一个ah头，这样保证数据在传输中不能被篡改。[/url]·Next Header（下一个报头）： 识别下一个使用IP协议号的报头，例如，Next Header值等于6，表示紧接其后的是TCP报头。 　　·Length（长度）： AH报头长度。 　　·Security Parameters Index (SPI，安全参数索引)： 这是一个为数据报识别安全关联的 32 位伪随机值。SPI 值 0 被保留来表明没有安全关联存在。 　　·Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。 　　·Authentication Data（AD，认证数据）： 包含完整性检查和。接收端接收数据包后，首先执行hash计算，再与发送端所计算的该字段值比较，若两者相等，表示数据完整，若在传输过程中数据遭修改，两个计算结果不一致，则丢弃该数据包。esp：encapsolution security payload??50 保证数据的负载加密 同样也保证完整性以及认证，超级 AH， 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。然而，也有一些限制： 　　　　·完整性检查和认证一起进行。 　　·仅当与完整性检查和认证一起时，重播（Replay）保护才是可选的。 　　·重播保护只能由接收方选择。[url=/photo/AHCQ2CQC7WMmXMIDNMcvQA==/443886038274275262.jpg]esp 在选择了加密的同时 也提供了数据包的安全性检查以及认证如图可以看到esp是在ip报头以后添加esp 报头 然后在应用数据以后添加esp包尾提供完整性，最后加上esp认证包尾完成认证功能。[/url]可以看到esp报头 到esp包尾是用来进行安全性检查的??应用程序数据和esp包尾进行了加密。ESP报头的位置在IP报头之后，TCP，UDP，或者ICMP等传输层协议报头之前。如果已经有其他IPSec协议使用，则ESP报头应插在其他任何IPSec协议报头之前。ESP认证报尾的完整性检查部分包括ESP报头、传输层协议报头，应用数据和ESP报尾，但不包括IP报头，因此ESP不能保证IP报头不被篡改。ESP加密部分包括上层传输协议信息、数据和ESP报尾。ESP隧道模式和AH隧道模式在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中内部IP报头（原IP报头）指定最终的信源和信宿地址，而外部IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。 下面是ah的隧道模式：参考：[url=/blog/static/3013403420074318255906/]/blog/static/3013403420074318255906/[/url]Internet密钥交换（IKE）??internet key exchange两台[url=/keywords/IPSec.html]IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为安全关联，安全关联SA（Security Association）是单向的，在一次通信中，IPSec 需要建立两个SA，一个用于入站通信，另一个用于出站通信。若某台主机，