6.IP安全.pptx

《6.IP安全.pptx》由会员分享，可在线阅读，更多相关《6.IP安全.pptx（96页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、IP安全安全胡建斌胡建斌北京大学信息科学技术学院北京大学信息科学技术学院E-mail: http:/ 2013-2014年度北京大学本科生课程目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式IPv4的缺陷的缺陷缺乏对通信双方身份真实性的鉴别能力缺乏对通信双方身份真实性的鉴别能力缺乏对传输数据的完整性和机密性保护的机制缺乏对传输数据的完整性和机密性保护的机制由于由于IP地址可软件配置地址可软件配置以及以及基于源基于源IP地

2、址的鉴别机制地址的鉴别机制，IP层存在业务流被监听和捕获、层存在业务流被监听和捕获、IP地址欺骗、信息泄露地址欺骗、信息泄露和数据项篡改等攻击和数据项篡改等攻击问题的引入问题的引入nIP内容的安全性加密内容的安全性加密nIP源和目的地址的身份认证鉴别源和目的地址的身份认证鉴别n不同网络内部不同网络内部IP地址之间的通信隧道地址之间的通信隧道IP隧道技术隧道技术(1)n如何在如何在TCP/IP网络中传输其他协议的数据包网络中传输其他协议的数据包(IP-in-IP)n例如，为了使IPX协议或X.25封装的数据包得以通过Internet进行传输，可通过在原协议数据包上再套上一个IP协议头来实现，形成

3、的IP数据包在通过Internet后卸去IP头，还原成原协议数据包，传送给目的站点n对原协议数据来说，就如同对原协议数据来说，就如同 被被IP带着过了一条隧道带着过了一条隧道IP隧道技术隧道技术(2)n在在网网络络中中建建立立一一条条固固定定的的路路径径，以以绕绕过过一一些些可可能能失失效效的的网网关关。此此时时，“隧道隧道”就是一条特定的路径就是一条特定的路径n这样的隧道是通过这样的隧道是通过IP报头中的报头中的源路由选项源路由选项来实现的来实现的n缺陷缺陷-要要设设置置源源路路由由选选项项就就必必须须知知道道数数据据包包要经过的确切路径要经过的确切路径-有些有些路由路由器器不再支持源路由选

4、项不再支持源路由选项IP隧道技术隧道技术(3)-挑战挑战n如何开发一种新的如何开发一种新的IP封装协议封装协议n套用当前的套用当前的IP头格式头格式n可以把未直接连接的机器绑在一起，从而创建虚拟网络可以把未直接连接的机器绑在一起，从而创建虚拟网络n易行、可靠、可扩展性强易行、可靠、可扩展性强n最好还要是最好还要是安全安全的的目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式IPSec的历史的历史n1994年IETF（Int

5、ernet Engineering Task Force）专门成立IP安全协议工作组，研究如何确保IP层通信安全的机制n1995年8月公布了一系列关于IPSec （IP SecurityIP Security）的建议标准n1996年，IETF公布下一代IP的标准IPv6，把鉴别和加密作为必要的特性，IPSec成为其必要的组成部分n1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP（因特网安全关联和密钥管理协议），IKE（密钥交换协议），Oakley（密钥确定协议）IPSec协议族协议族RFC内容内容2401IPSec体系结构体系结构2402AH（Aut

6、hentication Header）协议）协议2403HMAC-MD5-96在在AH和和ESP中的应用中的应用2404HMAC-SHA-1-96在在AH和和ESP中的应用中的应用2405DES-CBC在在ESP中的应用中的应用2406ESP（Encapsulating Security Payload）协议）协议2407IPSec DOI2408ISAKMP协议协议2409IKE（Internet Key Exchange）协议）协议2410NULL加密算法及在加密算法及在IPSec中的应用中的应用2411IPSec文档路线图文档路线图2412OAKLEY协议协议What Is IPSec?

7、nIPSec 工作于网络层，实现对IP包的保护和认证基于标准的开放框架，采用的算法独立提供数据保密性、完整性及认证实现安全通信的规则依托现有算法实现加密、认证和密钥交换PerimeterRouterMain SitePIXSecurity ApplianceConcentratorSOHO with ISDN/DSL RouterPOPMobile Worker with a VPN Client on a LaptopBusiness Partner Regional Office with a PIX Security ApplianceIPSecCorporateIPSec 实现框架实现

8、框架IPSec ProtocolEncryptionDiffie-HellmanAuthenticationIPSec FrameworkChoicesMD5DESDH1ESPSHA3DESDH2ESP+AHAESAHDH5IPSec体系结构图体系结构图IKE协议AH协议ESP协议加密算法验证算法IPSec安全体系安全体系DOIDOI（Domain of Interpretation）解释域DOI定义IKE所没有定义的协商的内容；DOI为使用IKE进行协商SA的协议统一分配标识符IPSec的实现的实现目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安

9、全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式HMAC（Hash-based Message Authentication CodeHash-based Message Authentication Code）HMAC（K，M）=H（KopadH（KipadM）B 代表H中所处理的块大小opad 用0 x5a重复B次 ipad 用0 x36重复B次 使用的密钥K是双方事先约定的，第三方不可能知道，可作源鉴别源鉴别通过MAC可以检测出对IP包的头部 和载荷的修改IPSec规定HMAC-MD5和HMAC-SHA1

10、是必须实现的AH（Authentication Header）数据完整性验证数据完整性验证-通过哈希函数（如MD5/SHA1）产生的MAC来保证数据源身份认证数据源身份认证-通过在计算验证码时加入一个共享密钥来实现防重放攻击防重放攻击-AH报头中的序列号可以防止重放攻击AH头部格式头部格式nAH协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，AH的协议号是51IPV4中协议字段的取值中协议字段的取值数值值描述0保留字段，用于IPv6(跳跃点到跳跃点选项)1Internet控制消息(ICMP)2Internet组管理(IGMP)3网关到网关(GGP)

11、4IP中的IP(封装)（隧道）5流6传输控制(TCP)7CBT8外部网关协议(EGP)50IP封装安全有效负载封装安全有效负载(ESP)51IP验证报头验证报头(AH)131IP中的私有IP封装133254未分配255保留（1）下一个头（Next Header）：8位n表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议n在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）n在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议（2）载荷长度（Payload Length）：8位n其值是以32位（4字节）为

12、单位的整个AH数据（包括头部和变长的认证数据）的长度再减2nAH实际上是一个IPv6扩展头按照RFC2460它的长度是从64位字表示的头长度中减去一个64位字而来由于AH采用32位字为单位因此需要减去两个32位字（3）保留（reserved）：16位n作为保留用，实现中应全部设置为0（4）SPI（Security Parameter Index，安全参数索引）：32位n与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包唯一确定一个SAn 1，255保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为256，232-1（5）序列号（Sequence Number）：32

13、位n作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1n不可以循环，满之前双方需重新协商n可用于抗重放攻击（6）验证数据（Authentication Data）n可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（Integrity Check Value，完整性校验值）n该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充，用于生成ICV的算法由SA指定，也确定了该字段的长度AH运行模式运行模式(1)传输模式传输模式AHAH插入到插入

14、到IPIP头部（包括头部（包括IPIP选项字段）之后，传输层协议（如选项字段）之后，传输层协议（如TCPTCP、UDPUDP）或者其他）或者其他IPSecIPSec协议之前协议之前IP头部(含选项字段)数据应用应用AH之前之前AH头部应用应用AH之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)验证区域验证区域（可变字段除外）（可变字段除外）AH认证认证数据完整性检查数据完整性检查发送方发送方：整个：整个IPIP包包(含含AHAH头部头部)和和验证密钥被作为输入，经过验证密钥被作为输入，经过HMACHMAC算法计算后算法计算后得到的结果被填充到得到的结果被填充到

15、AHAH头部的头部的“验证数据验证数据”字段字段中中接收方接收方：整个：整个IPIP包和验证算法所用的密钥也被作为输入，经过包和验证算法所用的密钥也被作为输入，经过HMACHMAC算法计算算法计算的结果和的结果和AHAH头部的头部的“验证数据验证数据”字段进行比较，如果一致，说明该字段进行比较，如果一致，说明该IPIP包数据包数据没有被篡改，内容是真实可信没有被篡改，内容是真实可信的的对不定字段的处理对不定字段的处理不定字段：在通信过程中可能被合法修改不定字段：在通信过程中可能被合法修改在计算在计算HMACHMAC时先临时用时先临时用0 0填充填充另外，另外，AHAH头部的验证数据字段在计算之

16、前也要用头部的验证数据字段在计算之前也要用0 0填充，计算之后再填充验填充，计算之后再填充验证结果证结果AH与与NAT冲突冲突被AH验证的区域是整个IP包（可变字段除外），包括IP包头部，因此源IP地址、目的IP地址是不能修改的，否则会被检测出来如果该包在传送的过程中经过NAT网关，其源/目的IP地址将被改变，将造成到达目的地址后的完整性验证失败。因此，AHAH在在传输模式下和传输模式下和NATNAT是冲突是冲突的的NATNATAH运行模式运行模式(2)隧道模式隧道模式在隧道模式中，在隧道模式中，AHAH插入到原始插入到原始IPIP头部之前，然后在头部之前，然后在AHAH之前再增之前再增加一个

17、新的加一个新的IPIP头部头部IP头部(含选项字段)数据 应用应用AH之前之前新IP头部(含选项字段)应用应用AH之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)AH头部验证区域验证区域（可变字段除外）（可变字段除外）隧道模式下，AH验证的范围是整个IP包一般用在网关，可以使用私有地址（原IP包中的源和目的地址）在隧道模式中，AH可以单独使用，也可以和ESP一起嵌套使用AH认证认证AH输出输入处理流程输出输入处理流程传输模式传输模式 Vs 隧道模式隧道模式传输模式传输模式IPSec模块运行于通信的两个端主机，保护端到端通信将IPSec处理负荷分摊到每个终端端用

18、户为了获得AH提供的安全服务，必须付出内存、处理时间等代价不能使用私有IP地址隧道模式隧道模式IPSec模块运行于通信的两个子网网关，保护子网到子网通信保护子网中的所有用户都可以透明的享受由安全网关提供的安全保护子网内部可以使用私有IP地址增大了安全网关的处理负荷，容易形成通信瓶颈。目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式ESP（Encapsulating Security Payload）nESP协议除了可以提

19、供无连接的完整性无连接的完整性、数据来源验证数据来源验证和抗重放攻抗重放攻击击服务之外，还提供数据包加密数据包加密和数据流加密数据流加密服务n与AH相比，ESP验验证证的数据范围要小一些。ESP协议规定了所有IPSec系统必须实现的验证算法：HMAC-MD5HMAC-MD5、HMAC-SHA1HMAC-SHA1、NULLNULLnESP的加密加密采用的是对称密钥加密算法。不同的IPSec实现，其加密算法也有所不同。为了保证互操作性，ESP协议规定了所有IPSec系统都必须实现的加密算法：DES-CBCDES-CBC、NULLNULLnESP协议规定加密和认证不能同时为不能同时为NULLNULL

20、,即加密和认证必须至少选其一ESP格式格式nESP协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，ESP的协议号是50SPI序列号载荷数据（变长）填充（0255字节）填充长度下一个头验证数据（变长）0 7 15 31ESP头部头部ESP尾部尾部IPV4中协议字段的取值中协议字段的取值数值值描述0保留字段，用于IPv6(跳跃点到跳跃点选项)1Internet控制消息(ICMP)2Internet组管理(IGMP)3网关到网关(GGP)4IP中的IP(封装)（隧道）5流6传输控制(TCP)7CBT8外部网关协议(EGP)50IP封装安全有效负载封装安全

21、有效负载(ESP)51IP验证报头验证报头(AH)131IP中的私有IP封装133254未分配255保留（1）SPI：32位n与源/目的IP地址、IPSec协议一起组成的三元组，可以为该IP包唯一地确定一个SA（2）序列号（Sequence Number）：32位n单调递增的计数器，为每个ESP包赋予一个序号n通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1n该字段可以用于抵抗重放攻击（3）载荷数据（Payload Data）：变长n包含了实际的载荷数据。不管SA是否需要加密，该字段总是必需的。如果采用了加密，该部分就是

22、加密后的密文；如果没有加密，该部分就是明文n如果采用的加密算法需要一个IV（Initial Vector，初始向量），IV也是在本字段中传输的。该加密算法的规范必须能够指明IV的长度以及在本字段中的位置。对于强制实施的DES-CBC来说，IV是该字段当中第一个8位组n本字段的长度必须是8位的整数倍（4）填充（Padding）n填充字段包含了填充位（5）填充长度（Pad Length）：8位n以字节为单位指示了填充字段的长度，其范围为0，255（6）下一个头（Next Header）：8位n指明了封装在载荷中的数据类型，例如6表示TCP数据，4表示IP-in-IP（7）验证数据（Authenti

23、cation Data）：变长n只有选择了验证服务时才会有该字段，包含了验证的结果ESP运行模式运行模式(1)传输模式传输模式n保护的是IP包的载荷nESP插入到IP头部（包括IP选项字段）之后，任何被IP协议所封装的协议（如传输层协议TCP、UDP、ICMP，或者IPSec协议）之前ESP传输模式示意图传输模式示意图IP头部(含选项字段)数据应用应用ESP之前之前ESP头部应用应用ESP之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)ESP验证数据ESP尾部验证区域验证区域加密区域加密区域n加密不包括SPI和序号字段（为什么？）n加密不包括验证数据（为什么？

24、）nESP的验证不包括IP头部，所以不存在与NAT冲突的问题优缺点优缺点n优点-不存在与NAT冲突的问题n缺点-IP头部字段都可以修改，只要保证IP报头校验和字段计算正确，接收端就不能检测出这种修改-ESP传输模式的验证服务要比AH传输模式弱一些-如果需要更强的验证服务并且通信双方都是公有IP地址，应该采用AH来验证，或者将AH认证与ESP验证同时使用ESP运行模式运行模式(2)隧道模式隧道模式n保护的是整个IP包，对整个IP包进行加密n在隧道模式中，ESP插入到原始IP头部之前，然后在ESP之前再增加一个新的IP头部IP头部(含选项字段)数据 应用应用ESP之前之前新IP头部(含选项字段)应

25、用应用ESP之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)ESP头部ESP尾部ESP验证数据验证区域验证区域加密区域加密区域n隧道模式下对整个原始IP包进行验证和加密，可以提供数据流加密服务；而ESP在传输模式下不能提供流加密流加密服务，因为源、目的IP地址不被加密n隧道模式将占用更多的带宽，因为增加了一个额外的IP头部n验证功能依然不像AH传输模式或隧道模式那么强大n外出报文：先加密，后验证n进入报文：先验证，后加密ESP输出输入处理流程输出输入处理流程AHAHESP(ESP(只加密只加密)ESPESP（加密并鉴别）（加密并鉴别）访问控制服务无连接完整性数

26、据源鉴别拒绝重放分组内容保密性流量保密性IPSec各种服务的功能各种服务的功能目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交换模式密钥交换模式安全关联安全关联SA（Security Association)安全关联安全关联SAn两个两个IPSec实体（主机、安全网关）之间经过协商建立起来的实体（主机、安全网关）之间经过协商建立起来的一种协定，一种协定，定义在两个使用定义在两个使用IPSec的实体间建立的逻辑连接，的实体间建立的逻辑连接，

27、定义定义实体实体(主机主机/网关网关)间如何使用安全服务进行通信间如何使用安全服务进行通信nSA是一个是一个单向单向的逻辑连接，一次通信中，的逻辑连接，一次通信中，IPSec需要建立两个需要建立两个SA，用于出站和入站通信，这两个，用于出站和入站通信，这两个SA构成了一个构成了一个SA束（束（SA Bundle）n每个每个SA用唯一的用唯一的SPI索引标识，当处理接收数据包时，服务器索引标识，当处理接收数据包时，服务器根据根据SPI值来决定该使用哪种值来决定该使用哪种SA安全关联安全关联SA用于通信对等方之间对某些要素的一种协定，如：用于通信对等方之间对某些要素的一种协定，如：IPSec协议协

28、议操作模式：传输、隧道操作模式：传输、隧道密码算法密码算法密钥密钥用于保护数据流的密钥的生存期用于保护数据流的密钥的生存期安全关联安全关联SA通通过过像像IKE这这样样的的密密钥钥管管理理协协议议在在通通信信对对等等方方之之间间协协商商而生成而生成当当一一个个SA协协商商完完成成后后，两两个个对对等等方方都都在在其其安安全全关关联联数数据据库库(SAD)中存储该中存储该SA参数参数SA具具有有一一定定的的生生存存期期，当当过过期期时时，要要么么中中止止该该SA，要要么用新的么用新的SA替换替换终止的终止的SA将从将从SAD中删除中删除SA的管理（的管理（1）n创建：SA的创建分两步进行先协商S

29、A参数，再用SA更新SADn人工密钥协商：SA的内容由管理员手工指定、手工维护。手工维护容易出错，而且手工建立的SA没有生存周期限制，永不过期，除非手工删除，因此有安全隐患。调试过程中有用。nIKE自动管理：SA的自动建立、动态维护和删除是通过IKE进行的，而且SA有生命期n如果安全策略要求建立安全的连接，但又不存在与该连接相应的SA，IPSec的内核会立刻启动IKE来协商SASA的管理（的管理（2）n删除n存活时间过期n密钥已遭破解n使用SA加密/解密或验证的字节数已超过策略设定的某一个阈值n另一端要求删除这个SAn必须先删除现有SA，再协商建立一个新的SA。为避免耽搁通信，应该在SA过期之

30、前就协商好新的SASAD（Security Association Database，安全联盟数据库），安全联盟数据库）nSAD并不是通常意义上的“数据库”，而是将所有的SA以某种数据结构集中存储的一个列表n对于外出的流量，如果需要使用IPSec处理，然而相应的SA不存在，则IPSec将启动IKE来协商出一个SA，并存储到SAD中n对于进入的流量，如果需要进行IPSec处理，IPSec将从IP包中得到三元组（SPI,DST,Protocol），并利用这个三元组在SAD中查找一个SASAD示例AH认证密钥AH认证算法SADSAnSA3SA2SA1SAD安全参数索引安全参数索引32位整数，唯一标识

31、位整数，唯一标识SA1255被被IANA保留将来使用保留将来使用0被保留用于本地实现被保留用于本地实现SAnSA3SA2SA1SAD输出输出处理：处理：SA的目的的目的IP地址地址输入输入处理：处理：SA的源的源IP地址地址SAnSA3SA2SA1SADAHESPSAnSA3SA2SA1SAD32位整数，刚开始通常为位整数，刚开始通常为0每次用每次用SA来保护一个包时增来保护一个包时增1用于生成用于生成AH或或ESP头中的序列号域头中的序列号域在溢出之前，在溢出之前，SA会重新进行协商会重新进行协商SAnSA3SA2SA1SAD用于外出包处理用于外出包处理标识序列号计数器的溢出时，一个标识序列

32、号计数器的溢出时，一个SA是否仍是否仍可以用来处理其余的包可以用来处理其余的包SAnSA3SA2SA1SAD使用一个使用一个32位计数器和位图确定一个输入位计数器和位图确定一个输入的的 AH或或ESP数据包是否是一个重放数据包是否是一个重放包包接收到的数据包的序列号必须是新的，且落接收到的数据包的序列号必须是新的，且落 在滑动窗口内部或右侧在滑动窗口内部或右侧SAnSA3SA2SA1SADAH认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1SADESP认证密码算法和所需要的密钥认证密码算法和所需要的密钥SAnSA3SA2SA1SADESP加密算法，密钥，初始化向量加

33、密算法，密钥，初始化向量(IV)和和IV模式模式IV模式：模式：ECB，CBC，CFB，OFBSAnSA3SA2SA1SAD传输模式传输模式隧道模式隧道模式通配模式：暗示可用于传输隧道模式通配模式：暗示可用于传输隧道模式SAnSA3SA2SA1SAD路径最大传输单元路径最大传输单元是可测量和可变化的是可测量和可变化的它是它是IP数据报经过一个特定的从源主机到数据报经过一个特定的从源主机到目的主机的网络路由而无需分段的目的主机的网络路由而无需分段的IP数据数据包的最大长度包的最大长度SAnSA3SA2SA1SAD包含一个时间间隔包含一个时间间隔外加一个当该外加一个当该SA过期时是被替代还是终止过

34、期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在采用软和硬的存活时间：软存活时间用于在SA会到期之前通知内核，便于在硬存活时间会到期之前通知内核，便于在硬存活时间到来之前内核能及时协商新的到来之前内核能及时协商新的SASAnSA3SA2SA1安全策略安全策略SP（Security Policy）安全策略安全策略SP决决定定对对IP数数据据包包提提供供何何种种保保护护，并并以以何何种种方方式式实实施施保保护护主主要要根根据据源源IP地地址址、目目的的IP地地址址、入入数数据据还还是是出出数数据据等来标识等来标识IPSec还还定定义义了了用用户户能能以以何何种种粒粒度度来来设设定定自自己

35、己的的安安全全策策略略，不不仅仅可可以以控控制制到到IP地地址址，还还可可以以控控制制到到传传输输层层协议或者协议或者TCP/UDP端口等端口等SPD（Security Policy Database，安全策略数据库），安全策略数据库）SPD不是通常意义上的“数据库”，而是将所有的SP以某种数据结构集中存储的列表包处理过程中，SPD和SAD两个数据库要联合使用当接收或将要发出IP包时，首先要查找SPD来决定如何进行处理丢弃：流量不能离开主机或者发送到应用程序，也不能进行转发。不用IPSec：对流量作为普通流量处理，不需要额外的IPSec保护。使用IPSec：对流量应用IPSec保护，此时这条安

36、全策略要指向一个SA。对于外出流量，如果该SA尚不存在，则启动IKE进行协商，把协商的结果连接到该安全策略上SPD示例安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地址地址范围，地址加子网掩码地址地址范围，地址加子网掩码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符32位位IPv4或或128位位IPv6地址地址可以是：主机地址、广播地址、可以是：主机地址、广播地址、单播地址、任意播地址、多播组单播地址、任意播地址、多播组地

37、址地址范围，地址加子网掩码地址地址范围，地址加子网掩码通配符号等通配符号等SRnSR3SR2SR1安全策略安全策略SP选择符选择符指定传输协议（只要传输协议指定传输协议（只要传输协议能访问）能访问）许多情况下，只要使用了许多情况下，只要使用了ESP,传输协议便无法访问，此时需传输协议便无法访问，此时需使用通配符使用通配符SRnSR3SR2SR1安全策略安全策略SP选择符选择符完整的完整的DNS名名或或e-mail地址地址SRnSR3SR2SR1安全策略安全策略SP选择符选择符完整的完整的DNS用户名用户名如如或或X.500 DNSRnSR3SR2SR1安全策略安全策略SP选择符选择符应用端口应

38、用端口如无法访问，则使用通配符如无法访问，则使用通配符SRnSR3SR2SR1安全策略安全策略SP采取的动作采取的动作DiscardBypass IPSecApply IPSecSRnSR3SR2SR1安全策略安全策略SP指向指向一个一个SA或或SA集的集的指针指针SRnSR3SR2SR1IPSec的实施的实施(1)n在主机实施nOS集成lIPSec作为网络层的一部分来实现n堆栈中的块lIPSec作为一个“楔子”插入网络层与数据链路层之间，BITS（Bump-in-the-stack）应用层传输层网络层+IPSec数据链路层IPSec与与OS集成集成应用层传输层网络层数据链路层 BITS IP

39、SecIPSec处理处理IPSec的实施的实施(2)n在路由器中实施n原始实施：等同于主机上的OS集成方案，IPSec是集成在路由器软件当中n线缆中的块（BITW：Bump-in-the-wire）：等同于BITS，IPSec在一个设备中实施，该设备直接接入路由器的物理接口，不运行路由算法，只保障数据包的安全应用层传输层网络层+IPSec数据链路层外部外部IPSec功能实体功能实体嵌套隧道嵌套隧道AH数据IP头ESPIP头IP头Src=2.2.2.1Dst=2.3.2.2Src=1.1.1.1Dst=2.3.2.2Src=1.1.1.1Dst=3.3.3.2RAHOST ARB收到RA的包后，

40、能正确解析出Src/Dst IP假设数据流A-Ra-Rb-B无效无效嵌套隧道嵌套隧道ESP数据IP头IP头Src=RADst=RCSrc=主机ADst=主机BAHIP头Src=RBDst=主机BESP数据IP头IP头Src=RADst=RCSrc=主机ADst=主机BRA处理处理RB处理处理假设数据流A-Ra-Rb-Rc-BnRC不做任何处理nB收到包后，只能解析出Src=RA Dst=RC目目 录录1.IP协议协议2.IPSec的结构的结构3.认证头认证头AH4.封装安全载荷封装安全载荷 ESP5.安全关联安全关联(SA)和安全策略和安全策略(SP)6.ISAKMP和和Internet密钥交

41、换模式密钥交换模式Internet安全关联密钥管理协议安全关联密钥管理协议 Internet Security Association Key Management ProtocolInternet Security Association Key Management ProtocolISAKMP协议协议n参见RFC2408n定义了协商、建立、修改和删除SA的过程和包格式nISAKMP只是为协商、修改、删除SA的方法提供了一个通用的框架，并没有定义具体的SA格式。这个通用的框架是与密钥交换独立的，可以被不同的密钥交换协议使用nISAKMP报文可以利用UDP或者TCP，端口都是500，一般情况

42、下常用UDP协议ISAKMP包头部格式包头部格式nISAKMP报文的头部是固定长度的，包含了维护状态、处理载荷必要的信息发起方Cookie应答方Cookie下一个载荷主版本次版本交换类型标志报文ID报文长度0 7 15 23 31（1）发起方Cookie（Initiator Cookie）：64位nCookie可以帮助通信双方确认一个ISAKMP报文是否真来自对方n在发起（接收）方，如果收到的报文的应答方Cookie字段和以前收到的该字段不同，则丢弃该报文。这种机制可以防止DOS攻击（3）下一个载荷（Next Payload）：4位n表示紧跟在ISAKMP头部之后的第一个载荷的类型值（8）报文

43、ID（Message ID）：32位n包含的是由第二阶段协商的发起方生成的随机值，这个唯一的报文标识可以唯一确定第二阶段的协议状态ISAKMP定义的载荷类型值定义的载荷类型值载荷类型载荷类型值值NoneNone0 0SASA载荷（载荷（Security AssociationSecurity Association）1 1建议载荷（建议载荷（ProposalProposal）2 2变换载荷（变换载荷（TransformTransform）3 3密钥交换载荷（密钥交换载荷（Key ExchangeKey Exchange）4 4身份载荷（身份载荷（IdentificationIdentifica

44、tion）5 5证书载荷（证书载荷（CertificateCertificate）6 6证书请求载荷（证书请求载荷（Certificate RequestCertificate Request）7 7HASHHASH载荷（载荷（HashHash）8 8签名载荷（签名载荷（SignatureSignature）9 9NONCENONCE载荷（载荷（NonceNonce）1010通知载荷（通知载荷（NotificationNotification）1111删除载荷（删除载荷（DeleteDelete）1212厂商载荷（厂商载荷（VendorVendor）1313保留保留14-12714-127私有

45、用途私有用途128-255128-255发起方Cookie应答方CookieKE主版本次版本交换类型标志报文ID报文长度0 7 15 23 31Nonce0KE载荷长度KE载荷数据Vendor0Nonce载荷长度Nonce载荷数据ISAKMP头头KE载荷载荷Nonce载荷载荷ISAKMP协商阶段协商阶段n阶段1n这个阶段要协商的SA可以称为ISAKMP SA（在IKE中可以称为IKE SA），该SA是为了保证阶段2的安全通信n阶段2n这个阶段要协商的SA是密钥交换协议最终要协商的SA，当IKE为IPSec协商时可以称为IPSec SA，是保证AH或者ESP的安全通信n阶段2的安全由阶段1的协商

46、结果来保证。阶段1所协商的一个SA可以用于协商多个阶段2的SAIKE协议nISAKMP本身没有定义具体的密钥交换技术。对于IPSec而言，已定义的密钥交换就是IKEnIKE交换的最终结果是一个通过验证的密钥以及建立在双方同意基础上的安全联盟SAnIKE并非为IPSec专用，只要其他协议需要，都可用它协商具体的安全服务IKE交换模式n第一阶段n主模式n积极模式/野蛮模式n建立IKE SA，建立验证过的密钥，是其他交换的前提条件n第二阶段n快速模式n为IPSec协商安全服务Diffie-Hellman密钥密钥交换（复习）交换（复习）n算法：n双方选择大素数p以及大的整数a，1ap，a最好是有限域中

47、p的原根n用户A选择一个随机数Xa p，计算 Ya=aXa mod pn用户B选择一个随机数Xb p，计算 Yb=aXb mod pn每一方保密X值，而将Y值交换给对方n用户A计算出 K=YbXa mod pn用户B计算出 K=YaXb mod pn双方获得一个共享密钥(k=aXaXbmod p)n素数p以及p的原根a可由一方选择后发给对方Host AHost B变换#n建议#nSA变换#1建议#1ISAKMP头部UDP头部IP头部发起方创建一个明文的ISAKMP报文（SA载荷）发给Host B响应方SA变换#2建议#2ISAKMP头部UDP头部IP头部Host B用消息2告诉Host A选择

48、第二个建议方案完成IKE SA的协商（包括加密算法、HASH算法、认证方法、DH组的选择）Host AHost B发起方交换Diffe-Hellman 公开值，随机数和身份标识响应方双方得到了用于保护ISAKMP消息的认证与加密密钥Host AHost B发起方Host A向Host B发送认证信息，供Host B确认Host A的身份响应方相互认证了身份，协商好了SA？为什么还需要证书之类的认证机制呢？签名认证YaIDP aISAKMP头部UDP头部IP头部B标识B签名B证书ISAKMP头部UDP头部IP头部签名认证YbIDP aISAKMP头部UDP头部IP头部A标识A签名A证书ISAKM

49、P头部UDP头部IP头部交换Diffe-Hellman 公开值，随机数和身份标识Host B向Host A发送认证信息，供Host A确认Host B的身份消息1消息2消息3消息4消息5消息6IKE第一阶段(主模式)IKE第二阶段Host AHost B发起方协商IPSec SA的各项特征响应方此时双方可以根据上述交换的nonce and Diffie-Hellman公开值等信息各自生成一对密钥(HMAC中的key)，分别用于保护两个方向上的通信Hash-1NjSAISAKMP头部UDP头部IP头部gaHash-2NrSAISAKMP头部UDP头部IP头部gbHash-3ISAKMP头部UDP

50、头部IP头部协商IPSec SA的各项特征Host A向Host B发送一个消息来证明自己的活性，该消息只包含一个Hash值此时两个系统就可用协商好的安全协议保护用户数据流了一个完整的IPSecVPN工作原理InternetVPN网关B公司AAH192.168.2.34258ESP192.168.2.34259ESP192.168.1.25257AH192.168.1.25256Security ProtocolDestination AddressSPI192.168.1.25公司BSPD中的数据项类似于防火墙的配置规则192.158.1.34192.168.1.25Source Addre