计算机网络安全第五章(IP安全)

IP安全TCP/IP协议IPSec概述安全关联(SA)和安全策略(SP)认证头(AH)封装安全载荷(ESP)Internet密钥交换协议(IKE)IPSec的实现8/14/20241TCP/IP协议Internet概述Internet安全IP层安全目录8/14/20242internet和Internet

internet（互联网或互连网）是一个通用名词，它泛指由多个计算机网络互连而成的虚拟网络。

Internet（因特网）是一个专用名词，它特指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络，它采用TCP/IP协议簇，且前身是美国的ARPANET。目录>>TCP/IP协议5之18/14/20243图示目录>>TCP/IP协议5之28/14/202445之3OSI/RM和TCP/IPRM8/14/202455之4TCP/IP例子8/14/202465之5TCP/IP中的数据传输8/14/20247网络层安全目录>>TCP/IP协议3之18/14/20248传输层安全目录>>TCP/IP协议3之28/14/20249应用层安全目录>>TCP/IP协议3之28/14/202410IP层安全IP层的主要协议是IP协议，有两种版本的IP：IPv4和IPv6。IPv6是IPv4的后续版本，IPv6简化了IP首部，其数据报更灵活，同时IPv6还增加了对安全性的考虑。

目前因特网占统治地位的是IPv4。IPv4在设计之初没有考虑安全性，IP数据报本身并不具备任何安全特性，导致在网络上传输的数据很容易收到各式各样的攻击：业务流被监听和捕获、IP地址欺骗、信息泄露和数据项篡改等。目录>>TCP/IP协议3之18/14/202411IPv4首部目录>>TCP/IP协议3之28/14/202412IPv6首部目录>>TCP/IP协议3之38/14/202413IPSec概述目录为加强因特网的安全性，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IP安全协议（IPSecurity,IPSec），目的是：为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务：访问控制、数据完整性、数据源验证、抗重播、机密性等。

IPSec是IPv6的一个组成部分，也是IPv4的一个可扩展协议。本课程只考虑IPv4情况。7之18/14/202414IPSec的构成目录两个通信协议

AH和ESP。两种操作模式

传输模式和隧道模式。一个密钥交换管理协议

IKE。两个数据库安全策略数据库SPD和安全关联数据库SAD。7之28/14/202415IPSec安全体系结构目录ESP:封装安全载荷AH:验证头DOI:解释域7之38/14/202416IPSec的文档目录ArchitectureRFC2401AHRFC2402ESPRFC2406DOIRFC2407ISAKMPRFC2408OaklyRFC2412IKERFC2409ESP:EncapsulatingSecurityPayloadAH:AuthenticationHeaderDOI:DomainOfInterpretationIKE:InternetKeyExchangeISAKMP:InternetSecurityAssociationandManagementProtocol7之48/14/202417IPSec的服务目录访问控制无连接完整性数据源认证拒绝重放数据包机密性（保密）有限通信量机密性7之58/14/202418IPSec的服务目录AHESP(加密)ESP(加密+认证)访问控制

无连接完整性

数据源认证

拒绝重放包

保密性

有限保密性

7之68/14/202419IPSec的实现目录7之78/14/202420安全关联(SA)和

安全策略(SP)目录安全关联（SA）安全策略（SP）8/14/202421概述目录>>安全关联(SA)和安全策略(SP)

理解SA这一概念对于理解IPSec至关重要。AH和ESP协议都使用SA来保护通信，而IKE的主要功能就是在通信双方协商SA。16之18/14/202422SA的定义目录>>安全关联(SA)和安全策略(SP)

SA是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种约定，内容包括：采用何种IPSec协议（AH？ESP？）、操作模式（传输模式？隧道模式？）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么？如何保护？谁来保护？可以说SA是构成IPSec的基础。SA是单向的，进入SA负责处理接收到的IP数据报，外出SA负责处理要发送的IP数据报。因此每个通信方必须要有两个SA：一个进入SA，一个外出SA，这两个SA构成了一个SA束（SABundle）。16之28/14/202423SA的管理目录>>安全关联(SA)和安全策略(SP)16之3手工管理SA的内容由管理员手工指定、手工维护，但是，手工操作容易出错，而且手工建立的SA没有生存周期限制，除非手工删除，因此有安全隐患。IKE管理一般来说，SA的自动建立和动态维护是通过IKE进行的，SA有生存周期限制。如果安全策略要求建立安全、保密的连接，但又不存在与该连接相应的SA，IPSec的内核会立即启动IKE来协商SA。8/14/202424安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)16之4安全关联数据库（SAD）用于存储SA参数。对于外出的流量，如果需要使用IPSec处理，然而相应的SA不存在，则IPSec将启动IKE来协商出一个SA，并存储到SAD中。对于进入的流量，如果需要进行IPSec处理，IPSec将从IP数据报中得到三元组，并利用这个三元组在SAD中查找一个SA。每个SA由三元组唯一标识：<SPI，源/目的IP地址，IPSec协议>8/14/202425安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数安全参数索引。分配给这个SA的一个位串并且只有本地有效，用于标识同一个目的地的SA。SPI在AH和ESP报头中出现。16之5SPI源/目的IP地址IPSec协议SA标识符8/14/202426安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数目前，只允许单播地址；用于表示对方IP地址，对于外出流量指目的IP地址，对于进入流量指源IP地址。16之6SPI源/目的IP地址IPSec协议SA标识符8/14/202427安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1SPI源/目的IP地址IPSec协议序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA标识符SA参数表明是AH还是ESP的SA。16之78/14/202428安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数用于生成AH或ESP头中的序列号域，仅用于外出数据报。32位，刚开始通常为0，每次用SA来保护一个IP数据报时增1，对方利用此字段来检测重放攻击。在溢出之前，SA会重新进行协商。16之8SPI源/目的IP地址IPSec协议SA标识符8/14/202429安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数一个标志位，表明该序数计数器是否溢出，如果是，将生成一个审计事件，并禁止本SA的进一步的IP数据报传送。16之9SPI源/目的IP地址IPSec协议SA标识符8/14/202430安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数用来确定一个输入的AH或ESP数据包是否是一个重放包。仅用于进入数据报。16之10SPI源/目的IP地址IPSec协议SA标识符8/14/202431安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数认证算法、密钥、密钥生存期、以及与AH一起使用的其它参数。16之11SPI源/目的IP地址IPSec协议SA标识符8/14/202432安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数认证算法、密钥、密钥生存期、以及与ESP一起使用的其它参数。16之12SPI源/目的IP地址IPSec协议SA标识符8/14/202433安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数ESP加密算法、密钥、初始化向量（IV）和IV模式（ECB、CBC、CFB和OFB）。16之13SPI源/目的IP地址IPSec协议SA标识符8/14/202434安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数传输模式、隧道模式或通配模式（暗示可用于传输/隧道模式）。16之14SPI源/目的IP地址IPSec协议SA标识符8/14/202435安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数路径最大传输单元，是可测量和可变化的，它是IP数据报经过一个特定的从源主机到目的主机的网络路由而无需分段的IP数据报的最大长度。16之15SPI源/目的IP地址IPSec协议SA标识符8/14/202436安全关联数据库

（SAD）目录>>安全关联(SA)和安全策略(SP)SAn……SA3SA2SA1序列号计数器序列号溢出抗重放窗口AH认证信息ESP认证信息ESP加密信息IPSec操作模式路径MTUSA生存期SADSA参数一个SA最长能存在的时间，超过该时间后，一个SA必须用一个新的SA替换或终止，并指示发生了哪种操作。16之16SPI源/目的IP地址IPSec协议SA标识符8/14/202437安全策略

（SP）目录>>安全关联(SA)和安全策略(SP)安全策略决定了应用于IP数据报的安全服务以及如何对IP数据报进行处理。策略保存在一个称为安全策略数据库（SPD）中，可根据SA选择器对数据库进行选择。IP数据报的进出处理基于安全策略。对于外出的IP数据报，根据SA选择器来查找SPD中匹配的安全策略条目，它会指向0个或多个SA，然后在SAD中检索这个SA，SA按指定顺序依次对外出IP数据报进行处理。对于进入的IP数据报，首先要对IP数据报进行安全处理。然后，根据SA选择器对SPD数据库进行检索，证实对IP数据报采取的安全策略。安全策略的配置和管理都没有统一的硬性规定，但对于管理应用来说，至少应该具有使用选择器进行检索的功能。9之18/14/202438安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD32位IPv4或128位IPv6地址。9之28/14/202439安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD32位IPv4或128位IPv6地址。9之38/14/202440安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD指定传输协议（只要传输协议能访问）。许多情况下，只要使用了ESP,传输协议便无法访问，此时需使用通配符。9之48/14/202441安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD完整的DNS名或e-mail地址。9之58/14/202442安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD完整的DNS用户名，如：hjbin@，或X.500DN。9之68/14/202443安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD应用端口。如无法访问，则使用通配符。9之78/14/202444安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD采取的动作：DiscardBypassIPSecApplyIPSec9之88/14/202445安全策略数据库

（SPD）目录>>安全关联(SA)和安全策略(SP)SPn……SP3SP2SP1目的IP地址源IP地址传输层协议系统名用户ID上层端口标志SA指针SP条目SPD包括：指向一个SA或SA集的指针应用的IPSec协议运用的密码算法生成ICV的算法9之98/14/202446认证头

（AH）目录概述AH操作模式AH头格式AH处理过程8/14/202447概述目录>>认证头AH为IP数据报提供数据完整性和认证功能，不提供保密性服务；利用MAC码实现认证，双方必须共享一个密钥；认证算法由SA指定；认证的范围：整个IP数据报。两种操作模式：传输模式：不改变IP地址，插入一个AH；隧道模式：生成一个新的IP头，把AH和原来的整个IP数据报放到新IP数据报的净荷数据中。8/14/202448AH操作模式目录>>认证头AH传输模式隧道模式8/14/202449传输模式目录>>认证头AH>>AH使用模式传输模式用于两台主机之间实现端-端的安全。它所保护的IP数据报的通信终点必须是IPSec终点。AH头被插在IP数据报中，紧跟在IP头之后和需要保护的上层协议数据之前，对IP数据报中的不变部分进行安全保护。3之18/14/202450传输模式目录>>认证头AH>>AH使用模式原始IP数据报加入AH头后的IP数据报3之28/14/202451图示目录>>认证头AH>>AH使用模式AH3之38/14/202452隧道模式目录>>认证头AH>>AH使用模式隧道模式用于主机-路由器或路由器-路由器之间的点-点通信，保护整个IP数据报。隧道模式先将整个IP数据报（其IP头称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入AH头。该模式的通信终点由受保护的内部IP头指定，而IPSec终点则由外部IP头指定，如果其终点是IPSec网关，则该网关会还原出内部IP数据报，再转发到最终目的地。4之18/14/202453隧道模式目录>>认证头AH>>AH使用模式原始IP数据报加入AH头后的IP数据报4之28/14/202454图示目录>>认证头AH>>AH使用模式AH4之38/14/202455端-端和点-点目录>>认证头AH>>AH使用模式TransportModeTunnelMode4之48/14/202456AH头格式目录>>认证头AH3之18/14/202457AH头说明(1)NextHeader8bit，用于指出AH后的下一载荷（协议）的类型（RFC1700）。在传输模式（包括传输层数据）下可为6（TCP）或17（UDP）；在隧道模式（保护整个IP数据报）下可为4（IPv4）或41（IPv6）。PayloadLength8bit，用于表示AH的长度(32位为单位)。Reserved8bit，保留，未使用时必须设为0。SPI32bit，用来指定此IP数据报的SA。将目的IP地址和SPI组合即可确定SA。目录>>认证头AH3之28/14/202458AH头说明(2)SequenceNumber32bit，用来避免重放攻击（指黑客在通信线路上非法窃取数据，复制后发往对方进行的伪装攻击）。具体做法：发送方将每个IPSec分组依次将序号加1后发送，接收方对此序号进行校验就可以抵御重放攻击。AuthenticationData长度可变（32bit的整数倍），包含IP数据报的认证数据，称为完整性校验值(ICV)。生成ICV的算法由SA指定，具体视IPSec的具体实现而定。为保证互操作性，AH强制所有的IPSec必须实现两个MAC：HMAC-MD5、HMAC-SHA-1。目录>>认证头AH3之38/14/202459AH输出-输入处理流程8/14/202460封装安全载荷

(ESP)目录概述ESP操作模式ESP头格式ESP处理过程8/14/202461概述目录>>封装安全载荷(ESP)提供保密功能，包括报文内容的机密性和有限的通信量的机密性，也可以提供认证服务（可选）；ESP协议认证的原理与AH协议相同，ESP协议加密采用的是对称密钥加密算法；加密算法和认证算法由SA指定；两种操作模式：传输模式和隧道模式。8/14/202462ESP操作模式目录>>封装安全载荷(ESP)传输模式隧道模式8/14/202463传输模式目录>>封装安全载荷(ESP)>>ESP操作模式传输模式用于两台主机之间实现端-端的安全。它所保护的IP数据报的通信终点必须是IPSec终点。ESP头被插在IP数据报中，紧跟在IP头之后和需要保护的上层协议数据之前，对IP数据报中的载荷进行保护（加密、认证）。3之18/14/202464传输模式目录>>封装安全载荷(ESP)>>ESP操作模式原始IP数据报应用ESP后的IP数据报3之28/14/202465传输模式的加密目录>>封装安全载荷(ESP)>>ESP操作模式3之38/14/202466隧道模式目录>>封装安全载荷(ESP)>>ESP操作模式隧道模式用于主机-路由器或路由器-路由器之间的点-点通信，保护整个IP数据报。隧道模式先将整个IP数据报（其IP头称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入ESP头。该模式的通信终点由受保护的内部IP头指定，而IPSec终点则由外部IP头指定，如果其终点是IPSec网关，则该网关会还原出内部IP数据报，再转发到最终目的地。3之18/14/202467隧道模式目录>>封装安全载荷(ESP)>>ESP操作模式原始IP数据报应用ESP后的IP数据报3之28/14/202468传输模式的加密目录>>封装安全载荷(ESP)>>ESP操作模式3之38/14/202469ESP头格式目录>>封装安全载荷(ESP)ESP头部ESP尾部ESP验证数据8/14/202470ESP输出-输入处理流程8/14/202471Internet密钥交换协议(IKE)目录概述ISAKMP协议IKE协议8/14/202472概述目录>>IKEIPSec使用共享密钥来执行认证和机密性保障任务，为数据传输提供安全服务。利用Internet密钥交换协议（IKE）可以动态地验证IPSec参与各方的身份、协商安全服务以及生成共享密钥等，也即建立“安全关联”（SA）关系。整个IKE协议规范主要由3个文档定义：RFC2407（IPSecDOI）、RFC2408（ISAKMP）和RFC2409（IKE）。8/14/202473ISAKMP协议目录>>IKE概述报文格式协商阶段交换类型8/14/202474概述目录>>IKE>>ISAKMP协议Internet安全关联密钥管理协议（ISAKMP）定义了协商、建立、修改和删除SA的过程和格式。ISAKMP只是为SA的属性和协商、修改、删除SA的方法提供了一个通用的框架，并没有定义具体的SA格式。ISAKMP没有定义任何密钥交换协议的细节，也没有定义任何具体的加密算法、密钥生成技术或认证机制。这个通用的框架是与密钥交换独立的，可以被不同的密钥交换协议使用。8/14/202475ISAKMP报文格式目录>>IKE>>ISAKMP协议ISAKMP报文可通过TCP或UDP传输，端口为500，一般情况下常用UDP协议。ISAKMP报文格式为：

ISAKMP报头+

一个或多个有效载荷8/14/202476ISAKMP报头格式目录>>IKE>>ISAKMP协议>>ISAKMP报文格式4之18/14/202477解释发起方Cookie64bit，用于帮助通信双方验证一个ISAKMP报文是否真的来自对方。生成的方法可不同，建议采用MD5、SHA-1或其它支持的Hash函数利用源IP地址、目的IP地址、UDP/TCP源端口、UDP/TCP目的端口、生成时间等生成。对于一个SA来说必须保证唯一。接收方Cookie64bit，作用同上。目录>>IKE>>ISAKMP协议>>ISAKMP报文格式4之28/14/202478解释下一个载荷8bit，表示紧跟在ISAKMP报文头部之后的第一个载荷的类型。目前已经定义了13种载荷。主版本4bit，表示ISAKMP协议的主版本号。次版本4bit，表示ISAKMP协议的次版本号。交换类型8bit，表示该报文所属的交换类型。目前定义了5种交换类型。目录>>IKE>>ISAKMP协议>>ISAKMP报文格式4之38/14/202479解释标志8bit，目前只有后3bit有用：bit0为加密位，bit1为提交位，bit2为验证位。报文ID32bit，包含的是由第二阶段协商的发起方生成的随机值，这个唯一的报文标识可以唯一确定第二阶段的协议状态。报文长度32bit，以字节为单位表示了整个ISAKMP报文的总长度。目录>>IKE>>ISAKMP协议>>ISAKMP报文格式4之48/14/202480ISAKMP载荷头部不论何种载荷，都有一个相同格式的载荷头部。目录>>IKE>>ISAKMP协议>>ISAKMP报文格式2之18/14/202481解释下一个载荷8bit，表示紧跟在本载荷之后的下一个载荷的类型。这样，不同的载荷可以像链条一样链接起来，最后一个载荷的本字段为0。保留8bit，全0。载荷长度16bit，以字节为单位表示的载荷长度（包括载荷头部）。目录>>IKE>>ISAKMP协议>>ISAKMP报文格式2之28/14/202482ISAKMP协商阶段目录>>IKE>>ISAKMP协议协商过程分为两个阶段：阶段一两个实体协商在它们之间如何保护之后的传输，并建立起一个主秘密，后续使用的任何秘密都将根据主秘密产生。本阶段的目的是在通信实体之间建立一个已经通过身份验证和安全保护的通道。阶段二利用第一阶段建立的安全通道，为具体的安全协议建立安全关联，例如：IPSecSA。8/14/202483ISAKMP交换类型目录>>IKE>>ISAKMP协议交换类型定义的是在通信双方所传送的载荷的类型和顺序