IPSec详细介绍(最新整理版).pptxVIP

10IPSec;IPSec安全体系结构;;IPSec协议族相关的RFC;IPSec的功能;IPSec体系结构图;AH（AuthenticationHeader）;ESP（EncapsulatingSecurityPayload）;;IKE（InternetKeyExchange）;安全联盟＆安全联盟数据库;SA的表示方法;SA的管理（1）;SA的管理（2）;SAD（SecurityAssociationDatabase，安全联盟数据库）;;;;安全策略和安全策略数据库;SPD（SecurityPolicyDatabase，安全策略数据库）;IPSec的实施(1);IPSec的实施(2);IPSec运行模式;IPSec的传输模式;IPSec的隧道模式;嵌套隧道;无效嵌套;IPSec处理(1)－外出处理;AH;IPSec处理(2)－进入处理;;IPSec安全协议——AH;AH头部格式;（1）下一个头（NextHeader）：8位

表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议。

在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）；

在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议。

（2）载荷长度（PayloadLength）：8位

其值是以32位（4字节）为单位的整个AH数据（包括头部和变长的认证数据）的长度再减2。

（3）保留（reserved）：16位

作为保留用，实现中应全部设置为0。;（4）SPI（SecurityParameterIndex，安全参数索引）：32位

与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包惟一地确定一个SA。

[1，255]保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为[256，232-1]。

（5）序列号（SequenceNumber）：32位

作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1。

该字段可以用于抵抗重放攻击。;（6）验证数据（AuthenticationData）

可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（IntegrityCheckValue，完整性校验值）。

该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充，用于生成ICV的算法由SA指定。;AH运行模式(1)－传输模式;AH与NAT冲突;AH运行模式(2)－隧道模式;隧道模式下，AH验证的范围也是整个IP包，因此上面讨论的AH和NAT的冲突在隧道模式下也存在。

在隧道模式中，AH可以单独使用，也可以和ESP一起嵌套使用。;数据完整性检查;IPv4头部中的不定字段和固定字段;;IPSec安全协议——ESP;ESP头部格式;;;;ESP运行模式(1)－传输模式;ESP传输模式示意图;;ESP运行模式(2)－隧道模式;;ESP处理;Internet密钥交换;ISAKMP协议;ISAKMP包头部格式;;;（2）应答方Cookie(ResponderCookie):64位

应答方的Cookie，紧跟在发起方Cookie之后

（3）下一个载荷（NextPayload）：4位

表示紧跟在ISAKMP头部之后的第一个载荷的类型值。

（4）主版本（MajorVersion）：4位

表示ISAKMP协议的主版本号。

（5）次版本（MinorVersion）：4位

表示ISAKMP协议的次版本号。

（6）交换类型（ExchangeType）：8位

表示该报文所属的交换类型。;（7）标志（Flags）：8位

目前只有后3位有用，其余保留，用0填充。后3位的含义从最后一位往前依次为：

加密位（encryption），0x01。加密位如果是1，表示ISAKMP头部后面的所有载荷都被加密了；如果是0，表示载荷是明文，没有加密。

提交位（commit），0x02。用于确保在发送被保护的数据之前完成SA协商。

纯验证位（AuthenticationOnly），0x04。主要由哪些希望为ISAKMP引入密钥恢复机制的人使用。

（8）报文ID（MessageID）：32位

包含的是由第二阶段协商的发起方生成的随机值，这个惟一的报文标识可以惟一确定第二阶段的协议状态。

（9）报文长度（length）：32位

以字节为单位表示了ISAKMP整个报文（头部+若干载荷）的总长度。;ISAKMP的载荷;ISAKMP定义的载荷类型值;ISAKMP载荷头部;发起方Cookie;ISAKM