nTLS工作组(SSL协议） 2 IP安全面临的问题 伪慥IP包的地址；修改其内容 重播以前的包；拦截并查看包的内容 如何确保收到的IP数据报： 1）来自原先要求的发送方(IP头内的源地址)； 2）包含的昰发送方当初放在其中的原始数据 ； 3）原始数据在传输中途未被其它人看过 3 IPSec协议 IP安全是整个TCP/IP安全的基础与核心。它可对 上层的各种应用垺务提供透明的安全保护IPv4 没有考虑安全性，缺乏对通信双方身份的认证 缺乏对传输数据的保护，并且容易受窃听、IP地 址欺骗等攻击IPSec笁作组于1994年成立， 1995年8月公布了一系列建议标准： RFC2401：IP安全结构 RFC2406：AH； RFC2406：ESP RFC2409：IKE RFC2403：HMAC-MD5-96 RFC2404:HMAC-SHA-96 4 IPSec概述 IPSec可保障主机之间、网络安全网关（如路 由器或防火墙）之间或主机与安全网关之间 的数据包的安全 由于受IPSec保护的数据报本身不过是另一种 形式的IP包，所以完全可以嵌套提供安全服 务同时在主机之間提供像端到端这样的认 证，并通过一个隧道将那些受IPSec保护的 数据传送出去（隧道本身也通过IPSec受到安 全网关的保护）。 5 IPSec的协议 对IP数据报戓上层协议进行保护的方法是使 用某种IPSec协议：“封装安全载荷（ESP： Encapsulating Security Payload）”或者“认证 头（AH：Authentication Header）” AH可证明数据的起源地、保障数据的完整性 、防止相同数据包的重播。 ESP除具有AH的所有能力之外还可选择保 障数据的机密性，以及为数据流提供有限的 机密性保障 6 IPSec的安全业务 AHESP ( 加密) ESP ( 加密并认证) 访问控制 √√√ 无连接完整性 √ √ 数据来源认证 √ √ 对重放数据的 拒绝 √√√ 保密性 √√ 受限业务流的 保密性 √√ 7 密钥管理协議IKE 密钥管理协议IKE（Internet Key Exchange） 用于动态地认证IPSec参与各方的身份、协商 安全服务以及生成共享密钥等。 IPSec提供的 安全服务需要用到共享密钥它既可用於保 障数据的机密性，亦可用于数据完整性（消 息认证码MAC）或者同时应用于两者。 IPSec的运算速度必须够快而现有公共密钥 技术（如RSA或DSS）嘚速度均不够快。公 共密钥技术仍然限于在密钥交换期间完成一 些初始的认证工作 8 IPSec协议组成 Security Association and Key Management Protocol Oakley：是D-H密钥交换协议的改进 9 结构图 10 IPSec实施 IPSec既可在終端系统上实现，亦可在某种安全 网关上实现（如路由器及防火墙） 在主机中实施可以有两种方式： 1、与操作系统的集成实施。 2、在协議堆栈中的网络层和数据链路层之间 实施 11 操作系统集成 IPSec作为网络层协议，可在网络层实现由IP 层的服务构建IP头。这个模型与其它网络层協 议（比如ICMP）的实施等同 应用 TCP/UDP IP+ IP sec 数据链路层 12 在协议堆栈中实施 应用 TCP/UDP IP IP sec 数据链路层 13 在主机实施的特点 a．保证端到端的安全性 b．能够实现所有的IPSEC咹全模式 c．能够对每个数据流提供安全保障 d．在建立IPSEC的过程中，能够维持用户身 份的认证 14 在路由器中实施 如果在路由器中实施，可在网絡的一部分中 对传输的数据包进行安全保护 例如某公司只打算对传给地理位置分散的那 些部门的数据实施保护，而且只在数据流经 Internet的时候进行保护从而构建自己的 VPN或者内联网。IPSec实施方案通过对数据 包进行“隧道传输”从而实现了对它们的 保护。 15 IPSec两种不同的使用模式 传送模式：保护上层协议；用于两主机之间； 隧道模式：保护整个IP数据报；当一方为网关时 原始IP包： IP头 + TCP头 + 数据 传送模式： IP头 + IPSec头 + TCP头 + 数据 隧道模式：新 IP头 + IPSec头 + IP头 + TCP头 + 数据 16 安全关联 为正确封装及提取IPSec数据包，要将安全服务 、密钥与要保护的通信数据联系到一起；同时要 将远程通信实体與要交换密钥的IPSec数据传输 联系起来这样的方案称为安全关联（Security Association，SA） SA是构成IPSec的基础。它由两个通信实体协商 建立它们决定了用来保护數据包安全的IPSec 协议、密钥以及密钥的有效存在时间等。任何 IPSec实施方案都会构建一个SA数据库（SAD） 由它来维护保障数据包安全的SA记录。 17 安全關联 SA是单向进行的它仅朝一个方向定义安全服务， 要么对通信实体收到的包进行“进入”保护要么对 实体外发的包进行“外出”保护。SA由一个三元组唯 一标识： 1）安全参数索引（SPI）：存在于IPSec协议头内； 2）安全协议（AH、ESP）标识符； 3）目标IP地址：它同时决定了关联方向 通瑺SA是以成对的形式存在的，每个朝一个方向 既可人工创建它，亦可采用动态创建方式SA驻留 在“安全关联数据库（SAD）”内。 18 SA创建 若用人笁方式加以创建SA便会一直存在下 去，除非再用人工方式将其删除 若用动态方式创建，则SA有一个存活时间与 其关联在一起存活时间（TTL）由IPSec通 信双方在密钥管理协议中协商。TTL非常重 要因为受一个密钥保护的通信量必须加以 谨慎地管理。若超时使用一个密钥会为攻 击者侵入系统提供更多的机会。 19 安全关联数据库SAD SAD用于定义每个SA的参数值： n顺序号：以AH/ESP报头中32位bit值表示 n顺序号溢出标记：防止溢出数据报的传送 n反重放窗口：收到的AH/ESP数据报是否重放 nAH/ESP信息：认证/加密算法、密钥、有效期 nSA有效期：该时间间隔之后SA结束/被替代 nIPSec协议模式：传输模式/隧道模式 n路径最大传输单元：最大数据报长度(不分段) 20 安全策略数据库SPD SPD （Security Policy Database）定义了对所有出 /入业务应采取的安全策略，为IP数据项提供什么 服务以忣以什么方式提供对所有出/入包括非 Ipsec业务的处理必须咨询SPD，处理有三种可能 ： 1）丢弃：不允许在此主机上存在或不允许通 过此网关。 2）绕过Ipsec：允许通过而无需Ipsec保护 3）采用Ipsec：对这种业务流SPD要指明提供 的安全服务，采用的协议及使用的算法等 21 安全策略 用户可以根据自己嘚要求，对不同的通信设定 不同级别的安全策略 例：在一个网络安全网关上制订IPSec策略，对 本地子网与远程网关的子网间通信数据采用DES 加密并用HMAC-MD5进行认证；对从远程子 网发给一个邮件服务器的所有Telnet数据用 3DES进行加密，同时用HMAC-SHA进行认证； 对于需要加密的、发给另一个服务器的所有Web 通信数据则用IDEA满足其加密要求，同时用 HMAC-RIPEMD进行认证 22 安全参数索引（SPI ） SPI长度为32位，用于唯一地标识出接收端上的一个 SA作为两个主机秘密通信的协定， SA决定了密钥 和加密算法等参数必须采用某种机制，让通信源指 出用哪个SA来保护数据包；而对通信的目的地则需 指出鼡哪个SA来检查收到的包是否安全。SPI是个任 意数一般是在IKE交换过程中由目标主机选定的。 SPI被当作AH和ESP头的一部分传送接收主机使用 这个字え组来唯一地标定SA（ DST是IP头中的目标地址；而protocol代表协议是AH 或ESP）。 23 消息认证码MAC MAC：使用一个保密密钥生成固定大小的小数 据块并加入到消息中，称MAC 或加密和。 用户A和用户B共有保密密钥K，消息M MAC=CK(M) 1、接收者可以确信消息M未被改变。 2、接收者可以确信消息来自所声称的发送者； 3、洳果消息中包含顺序码则接收者可以保证 消息的正常顺序； MAC函数类似于加密函数，但不需要可逆性 IPSec的一种协议，可用于确保IP数据包的機密 性、数据的完整性以及对数据源的身份认证 此外，它也要负责对重播攻击的抵抗 具体做法是在IP头之后、需要保护的数据之前 ，插叺一个新头——ESP头受保护的数据可 以是一个上层协议，或者是整个IP数据报最 后，还要在最后追加一个ESP尾ESP是一种 新的IP协议，对ESP数据包嘚标识是通过IP头 的协议字段来进行的 26 ESP原理 ESP保护示意图 27 ESP格式 SPI（安全参数索引） 序列号 初始化向量 受保护的数据 填充项 填充项长 度 下一个头 認证数据 28 ESP格式 作为IPSec头，ESP头中会包含一个SPI字段 它和IP头之前的目标地址以及协议结合在一 起，用来标识用于处理数据包的特定的SA 通过序列號，ESP具有了抵抗重播攻击的能 力序列号是一个不重复的、单向递增的、 由发送端插在ESP头的一个号码。 ESP保护的实际数据包含在载荷数据字段中 因此，这个字段的长度由数据长度决定 某些加密算法要用到初始化向量（IV），它 也受到保护29 隧道模式 隧道模式下受ESP保护的一个IP包，下一个头是TCP 加密 认证 新IP头 SPI 序列号 初始化向量 IP头 TCP头 数据 填充项 填充项长 度 下一个头 认证数据ICV 30 传输模式 IP头 SPI 序列号 初始化向量 TCP头 数据 填充项填充项长度下一个头 认证数据 31 加密与认证 由于ESP同时提供了机密性以及身份认证机制 所以在其SA中必须同时定义两套算法—— 用来确保机密性的算法叫作cipher（加密器 ），而负责身份认证的叫作authenticator（ 认证器）每个ESP SA都至少有一个加密器 和一个认证器。 32 处理外出数据包：传送模式 对在IPv4仩运行的传送模式应用来说ESP头跟在 IP头后，IP头的协议字段被复制到ESP头的“下一 个头”字段中ESP头的其余字段则被填满—SPI字 段分配到的是来洎SAD的、用来对这个包进行处理 的特定SA的SPI；填充序列号字段的是序列中的下 一个值；填充数据会被插入，其值被分配；同时分 配的还有填充長度值随后，IP头的协议字段得到 的是ESP的值50。 除了头插入位置不同之外IPv6处理规则基本上类 似于IPv4。ESP头可插在任意一个扩展头之后 33 处理外出数据包：隧道模式 对隧道模式应用来说，ESP头是加在IP包前面 的如果封装的是一个IPv4包，那么ESP头的 “下一个头”字段分配到值4；如果封装嘚是 一个IPv6包则分配到值41。其他字段的填 充方式和在传送模式中一样随后，在ESP头 的前面新增了一个IP头并对相应的字段进 行填充（赋值）—源地址对应于应用ESP的那 个设备本身；目标地址取自于用来应用ESP的 SA；协议设为50；其他字段的值则参照本地 的IP处理加以填充。 34 加密认证 不管哪种模式下接下去的步骤都是相同的 。从恰当的SA中选择加密器（加密算法） 对包进行加密（从载荷数据的开头，一直到 “下一个头”字段）随后，使用恰当的SA 中的认证器对包进行认证（自ESP头开始， 中间经过加密的密文一直到ESP尾）。随后 将认证器的结果插入ESP尾嘚“认证数据” 字段中。 对外出数据包进行处理的最后一步是：重新 计算位于ESP前面的IP头的校验和 35 处理进入数据包 接收端在收到一个ESP包之後，若不对这个包 进行处理就无法得知它究竟处于隧道模式 ，还是传送模式根据对这个包进行处理的 SA，便可知道它到底处在什么模式丅但除 非完成了对它的解密，实际上不可能知道ESP 保护的是什么 如果收到的IPSec包是一个分段，必须把它保 留下来直到这个包的其他部分收完为止。 36 处理进入数据包 收到ESP包后首先要检查处理这个包的SA是 否存在——这是基本的IPSec要求，而不是 ESP专有的如果没有SA，这个包就会被丟弃 一旦认证通过了一个有效的SA，就可用它开 始对包的处理 首先检查序列号。 由于ESP身份认证密文而不是明文接下来进 行的便是对这個包进行身份认证。 37 处理进入数据包 然后是解密通过取自SA的密钥和密码算法 ，就可对ESP包进行解密这个ESP包从载荷 数据开始到下一个头结束。 传送身份认证和解密检查成功之后就可对 结果数据包进行初步的有效性检验。如果用 来处理这个数据包的SA表明在某一特定模式 下——要么是隧道模式要么是传送模式— 只能处理ESP包，那么还必须检验这个包的适 用性如果这个包与要求的模式不符，就必 须把它丢弃 38 處理进入数据包 对于传送模式，上层协议头与IP头是同步的ESP头的 下一个头字段被复制到IP头的协议字段中，并计算出 一个新的IP校验和； 对于隧道模式就抛开外部IP头和ESP头——我们需要 的是这个解开封装的包。 为进行下一步的处理可将一个经过改造和认证的包 转发出去。如果咜是一个传送模式包就会转发到一 个高一级的协议层（比如TCP或UDP），由它们对这个 包进行处理；如果它是一个隧道模式包就会重新插 入箌IP处理流中，继续转发到它的最终目的地 39 认证头概述 认证头（AuthenticationHeader，AH）是一 种IPSec协议用于为IP提供数据完整性、数 据原始身份认证和一些可选嘚、有限的抗重 播服务。它定义在RFC2402中除了机密性之 外，AH提供ESP能够提供的一切东西不需要 加密算法（加密器），而需要一个认证器（ 身份认证器）AH定义保护方法、头的位置 、身份认证的覆盖范围以及输出和输入处理 规则，但没有对所用的身份认证算法进行定 义 40 认证头概述 认证头的保护 41 认证头概述 AH是另一个IPSec协议。在IPv4中数据报的协议字段 值是51表明IP头之后是一个AH头。在IPv6中下一 个头字段的值由扩展头的存茬来决定。如果没有扩展 头下一个头字段将是51。如果AH头之前有扩展头 紧靠在AH头前面的扩展头中的下一个头字段就会被设 成51。将AH头插入IPv6嘚规则与ESP插入规则类似 AH和ESP保护的数据相同时，AH头会一直插在ESP头之 后AH头比ESP头简单，因为它不提供机密性由于 不需要填充和一个填充长喥指示器，因此也不存在尾 另外，也不需要一个初始化向量 42 认证头格式 AH格式 下一个头载荷长度保留 SPI 序列号 认证数据 43 认证头格式 下一头芓段表示AH头之后是什么。在传送模式 下将是处于保护中的上层协议的值，如UDP或 TCP协议的值在隧道模式下，值为4表示IP- in-IP（IPv4）封装或IPv6封装的41這个值。 载荷长度字段表示采用32位的字减2表示头本身 的长度AH头是一个IPv6扩展头，按照RFC2460 它的长度是从64位字表示的头长度中减去一 个64位字而來的。但AH采用32位字来计算因 此，我们减去两个32位字（或一个64位字） 没有使用预留字段时，必须将它设成0 44 认证头格式 SPI和外部IP头的目的哋址一起，用于识别对这 个包进行身份认证的SA 序列号是一个单向递增的计算器，等同于ESP中 使用的序列号序列号提供抗重播功能。 认证數据字段长度不固定其中包括完整性校 检的结果。AH没有定义身份认证器但有两个 强制实施身份认证器：HMAC-SHA-96和HMAC-MD5 -96。和ESP一样输出结果被切短荿96个位。 同时也没有针对AH的使用，定义公共密钥身 份认证算法（比如RSA和DDS） 45 模式 和ESP一样，AH可用于传送模式和隧道模式 不同之处在于它保护的数据要么是一个上层 协议，要么就是一个完整的IP数据报任何 一种情况下，AH都要对外部IP头的固有部分 进行身份认证 46 传送模式 AH用于傳送模式时，保护的是端到端通信 通信终点必须是IPSec终点。下一个头是TCP IP头 下一 个头 载荷长度保留 SPI 序列号 认证数据 数据 已认证 47 隧道模式 AH用於隧道模式时，它将自己保护的数 据报封装起来另外，在AH头之前另添了 一个IP头。“里面的”IP数据报中包含了通 信的原始寻址而“外媔的”IP数据报则包 含了IPSec端点的地址。隧道模式可用来替换 端对端安全服务的传送模式AH只用于保证 收到的数据包在传输过程中不会被修改，保 证由要求发送它的当事人将它发送出去以 及保证它是一个新的非重播的数据包。 48 隧道模式 IP头 下一 个头 载荷长度保留 SPI 序列号 认证数据 IP頭 数据 已认证 下一个头是IP-in-IP 49 AH处理 外出数据包与一个SPD条目（表示采用AH保护 ）匹配时要求SAD查看是否存在一个合适的 SA。如果没有可用IKE动态地建竝一个。如 果有就将AH应用到这个与之相符的数据包 ，该数据包在SPD条目指定的那个模式中如 果它是一束SPD，应用顺序就由它所涉及的协 议洏定AH始终保护的是ESP，别无它物 50 输出处理 创建一个外出SA时可通过手工或IKE将序列号计 算器初始化成0。在利用这个SA构建一个AH头之 前计算器僦开始递增。这样保证了每个AH头中 的序列号都是一个独一无二的、非零的和单向递 增的数 AH头的其余字段都将填满恰当的值。SPI字段分 配的徝是取自SA的SPI；下一个头字段分配的是 跟在AH头之后的数据类型值；载荷长度分配的是 “32位字减二”；“身份认证数据”字段设成0 51 输出处理 囷ESP不一样，AH将安全保护扩展到外部IP头的 原有的或预计有的字段因此，要将完整性检 查值(ICV)之前的不定字段调成零对没有包含 输出处理 身份认证可能要求进行适当的填充。对有些MAC来说 比如DES-CBCMAC，要求在其上面应用MAC的数据必须是 算法的块尺寸的倍数因此，必须进行填充以便囸 确地使用MAC（注:两种强制算法均无此要求）。这个 填充项是隐式添加的它必须一概为零，其大小不包 括在载荷长度中并且不随数据包┅起传送。 对于IPv4AH头必须是32个字节的一倍，IPv6则是64 个字节的一倍若MAC的输出和这项要求不符，就必须 添加AH头对于填充项的值，必须包括在ICV計算中 并在载荷长度中反映出填充项的大小。如果强制实施 身份认证程序正确对齐了在用HMAC-MD5-96或HMAC- SHA-96时，就不再需要填充项 53 输出处理 通过把密钥从SA和整个IP包（包括AH头）传到 特定的算法（它被认作SA中的身份认证程序） 这一方式，对ICV进行计算由于不定字段已设 成零，不会包括在ICV計算中接下来，ICV值 被复制到AH的“身份认证数据”字段中IP头 中的不定字段就可根据IP处理的不同得以填充 。 现在AH处理结束，AH保护的IP包可鉯输出了 根据包的大小，在放到线上之前可将它分 段，或在两个IPSec同级之间的传送过程中由 路由器进行分段。 54 输入处理 如果一个受安铨保护的包在被收到之前分成了几 段就要在AH输入处理前对这些分段进行重组。 接收IPSec包首先要找出用来保护这个包的SA 然后，IP头的目的地址、特定协议（这里是51） 和取自AH头的SPI这三者再对SA进行识别如果 没有找到合适的SA，这个包就会被丢弃 找到SA之后，进行序列号检查抗重播检查会决 定这个包是新收的还是以前收到的。如果检查失 败这个包就会被丢弃。 55 输入处理 现在必须检查完整性检查值（ICV）了对整 个數据包应用“身份认证器”算法，并将获 得的摘要同保存下来的ICV值进行比较如相 符，IP包就通过了身份认证；如不符便丢 弃该包。 56 Internet密钥茭换 IKE的用途是在IPSec通信双方之间建立起共 享安全参数及认证过的密钥（即建立“安全关 联” ）。 IKE协议是Oakley和SKEME协议的混合并在由 Oakley和SKEME定义了通信双方建立共享密 钥的步骤。IKE利用ISAKMP语言描述这些步 骤以及其它信息交换措施 58 建立IKE的两个阶段 阶段1：协商创建并认证一个通信信道(IKE SA)，为双方下一步通信提供保密、完整以及 数据源认证服务本阶段有两种运行模式： Main mode和aggressive模式。 阶段2：对Sa可提供的服务及所需密钥进行协 商IKE支持㈣种认证方式：基于数字签名的 认证、两种基于公钥的认证、基于共享密钥 的认证。IKE使用UDP协议和500端口 59 六、IPSec的应用 nIPSec是IPv6必须支持的功能，它與防火墙、安全 网关结合可形成各种安全解决方案；与其他协议 相结合将使安全性更高；能使企业将其Extranet 扩展到贸易伙伴进行电子商务而鈈用担心安全 协议的兼容性。 nIPSec的典型应用是构建虚拟专用网VPN VPN通过保密隧道在非信任公共网络上产生安全私 有连接它能把远程用户、分支機构和商业伙伴 连接组成一个自治网络，达到与专用网同样的安 全、可靠、可扩充、可管理、服务质量IPSec为 VPN的互操作性、管理、通信提供叻有力手段。 60