第五章安全協(xié)議技術(shù)-IPSec的安全關(guān)聯(lián)與安全策略計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)TCP/IP協(xié)議概述IPSec體系結(jié)構(gòu)安全關(guān)聯(lián)(SA)和安全策略(SP)認(rèn)證頭AH封裝安全載荷ESP安全關(guān)聯(lián)的組合IPSec中的密鑰管理IPSec應(yīng)用與部署結(jié)論IPSec安全協(xié)議技術(shù)安全關(guān)聯(lián)－SA安全關(guān)聯(lián)（SA）是發(fā)送方和接收方之間的單向關(guān)系，用于為通信雙方之間的業(yè)務(wù)流提供安全服務(wù)安全關(guān)聯(lián)是單向的如果需要雙向的安全交換，則需要建立兩個(gè)安全關(guān)聯(lián)安全服務(wù)是通過使用AH或ESP來實(shí)現(xiàn)的AH和ESP不能在一個(gè)SA上同時(shí)實(shí)現(xiàn)如果需要同時(shí)提供AH和ESP，則需要建立多個(gè)SAAHESP(只加密)ESP(加密并鑒別)訪問控制服務(wù)YYY無連接完整性Y-Y數(shù)據(jù)起源認(rèn)證Y-Y拒絕重放的分組YYY保密性-YY流量保密性-YYIPSec的安全關(guān)聯(lián)與安全策略安全協(xié)議技術(shù)安全關(guān)聯(lián)的主要內(nèi)容SA的內(nèi)容SA的內(nèi)容主要是包含一組針對(duì)特定目的主機(jī)（或安全網(wǎng)關(guān)）的一組參數(shù)通過這組參數(shù)，可以提供安全服務(wù)一個(gè)安全關(guān)聯(lián)由三個(gè)參數(shù)唯一確定：安全參數(shù)索引（SPI:SecurityParameterIndex）IP目的地址安全協(xié)議標(biāo)識(shí)：AH或者ESP安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的功能安全關(guān)聯(lián)的功能取決于以下因素：所選擇的安全協(xié)議（AH或ESP）SA的類型（傳輸模式還是隧道模式）SA所對(duì)應(yīng)的通信雙方的性質(zhì)（主機(jī)還是安全網(wǎng)關(guān)）安全協(xié)議所提供的安全服務(wù)安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的分類情況安全關(guān)聯(lián)（SA）類型：兩類SA傳輸模式SA隧道模式SA安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的分類情況：傳輸模式SA傳輸模式SA兩個(gè)主機(jī)之間的安全關(guān)聯(lián)在ESP協(xié)議中，傳輸模式的SA僅保護(hù)IP以上的協(xié)議數(shù)據(jù)安全，對(duì)IP頭的安全不保證在AH中，傳輸模式的SA不僅保護(hù)IP以上的協(xié)議數(shù)據(jù)安全，也對(duì)IP不可變字段的安全進(jìn)行保證IP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的分類情況：隧道模式SA隧道模式SA適用于IP隧道安全網(wǎng)關(guān)之間、主機(jī)與安全網(wǎng)關(guān)之間的SA為隧道模式主機(jī)之間也可以建立隧道模式SAIP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的分類情況：隧道模式SA隧道模式SA隧道模式的SA有兩個(gè)IP頭：內(nèi)部IP頭：IPSec設(shè)備的IP頭外部IP頭：最終目的的IP頭安全協(xié)議頭在外部IP頭后，內(nèi)部IP頭前如果在AH中使用隧道模式的SA，整個(gè)IP包（包括內(nèi)部IP都和高層協(xié)議數(shù)據(jù)）和外部IP頭的一部分受保護(hù)如果在ESP中使用隧道模式的SA，僅保護(hù)隧道數(shù)據(jù)包，而不保護(hù)外部IP頭新IP頭IP載荷AH/ESP隧道模式SAIP頭安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全關(guān)聯(lián)的分類情況IPSec相關(guān)標(biāo)準(zhǔn)對(duì)兩類SA的實(shí)現(xiàn)要求主機(jī)必須支持傳輸模式和隧道模式的SA安全網(wǎng)關(guān)只要求支持隧道模式的SA如果安全網(wǎng)關(guān)支持傳輸模式的SA，則該安全網(wǎng)關(guān)僅能當(dāng)作主機(jī)來使用（如網(wǎng)絡(luò)管理主機(jī)）新IP頭IP載荷AH/ESP隧道模式SAIP頭IP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略SA中的獲得與管理如何獲得SA？通過像IKE這樣的密鑰管理協(xié)議在通信對(duì)等方之間協(xié)商而生成如何管理SA？當(dāng)一個(gè)SA協(xié)商完成后，兩個(gè)對(duì)等方都在其安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)中存儲(chǔ)該SA參數(shù)SAD用于存放SA的內(nèi)容SA具有一定的生存期，當(dāng)過期時(shí)，要么中止該SA，要么用新的SA替換終止的SA將從SAD中刪除安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略SAn……SA3SA2SA1SAD（關(guān)聯(lián)數(shù)據(jù)庫）SAD與SA的關(guān)系SA:SecurityAssociationSPI:SecurityParameterIndexPMTU:PathMTU安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全參數(shù)索引32位整數(shù)，唯一標(biāo)識(shí)SA1－255被IANA保留將來使用0被保留用于本地實(shí)現(xiàn)SAn……SA3SA2SA1安全參數(shù)索引（SPI）安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略輸出處理SA的目的IP地址輸入處理SA的源IP地址SAn……SA3SA2SA1地址信息安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略AH：認(rèn)證頭ESP：封裝安全有效負(fù)載SAn……SA3SA2SA1協(xié)議選擇安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略32位整數(shù)，剛開始通常為0每次用SA來保護(hù)一個(gè)包時(shí)增1用于生成AH或ESP頭中的序列號(hào)域在溢出之前，SA會(huì)重新進(jìn)行協(xié)商SAn……SA3SA2SA1序列號(hào)計(jì)數(shù)器安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略用于外出包處理標(biāo)識(shí)序列號(hào)計(jì)數(shù)器的溢出時(shí)，一個(gè)SA是否仍可以用來處理其余的包SAn……SA3SA2SA1序列號(hào)溢出標(biāo)志安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略使用一個(gè)32位計(jì)數(shù)器和位圖確定一個(gè)輸入的AH或ESP數(shù)據(jù)包是否是一個(gè)重放包SAn……SA3SA2SA1抗重放窗口安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略AH認(rèn)證密碼算法和所需要的密鑰SAn……SA3SA2SA1AH認(rèn)證協(xié)密鑰安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略ESP認(rèn)證密碼算法和所需要的密鑰SAn……SA3SA2SA1ESP認(rèn)證密鑰安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略ESP加密算法，密鑰，初始化向量(IV)和IV模式IV模式：ECB，CBC，CFB，OFBSAn……SA3SA2SA1ESP加密算法安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略傳輸模式隧道模式通配模式：暗示可用于傳輸隧道模式SAn……SA3SA2SA1SA操作模式安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略路徑最大傳輸單元是可測(cè)量和可變化的它是IP數(shù)據(jù)報(bào)經(jīng)過一個(gè)特定的從源主機(jī)到目的主機(jī)的網(wǎng)絡(luò)路由而無需分段的IP數(shù)據(jù)包的最大長(zhǎng)度SAn……SA3SA2SA1路徑最大傳輸單元安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略包含一個(gè)時(shí)間間隔外加一個(gè)當(dāng)該SA過期時(shí)是被替代還是終止采用軟和硬的存活時(shí)間：軟存活時(shí)間用于在SA會(huì)到期之前通知內(nèi)核，便于在硬存活時(shí)間到來之前內(nèi)核能及時(shí)協(xié)商新的SASAn……SA3SA2SA1SA的生存期安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略如何使用多個(gè)安全關(guān)聯(lián)問題：如果一個(gè)通信實(shí)體需要同時(shí)和多個(gè)其他通信實(shí)體建立不同安全關(guān)聯(lián)，如何處理呢？解決方法：安全策略數(shù)據(jù)庫：SPD：SecurityPolicyDatabase安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略安全策略與安全策略數(shù)據(jù)庫安全策略（SP）：指定用于到達(dá)或源自特定主機(jī)/網(wǎng)絡(luò)的數(shù)據(jù)流的策略安全策略數(shù)據(jù)庫（SPD）：包含策略條目的有序列表通過使用一個(gè)或多個(gè)選擇符來確定每個(gè)條目安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略SRn……SR3SR2SR1安全策略數(shù)據(jù)庫（SPD）目的IP地址安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略32位IPv4或128位IPv6地址可以是：主機(jī)地址、廣播地址、單播地址、任意播地址、多播組地址地址范圍，地址加子網(wǎng)掩碼通配符號(hào)等SRn……SR3SR2SR1安全策略數(shù)據(jù)庫（SPD）源IP地址安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略32位IPv4或128位IPv6地址可以是：主機(jī)地址、廣播地址、單播地址、任意播地址、多播組地址地址范圍，地址加子網(wǎng)掩碼通配符號(hào)等指定傳輸協(xié)議（只有傳輸協(xié)議能訪問）許多情況下，只要使用了ESP,傳輸協(xié)議便無法訪問，此時(shí)需使用通配符SRn……SR3SR2SR1傳輸層協(xié)議標(biāo)識(shí)安全策略數(shù)據(jù)庫（SPD）安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略完整的DNS名或e-mail地址SRn……SR3SR2SR1系統(tǒng)名安全策略數(shù)據(jù)庫（SPD）安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略完整的DNS用戶名或X.500DNSRn……SR3SR2SR1用戶標(biāo)識(shí)安全策略數(shù)據(jù)庫（SPD）安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略應(yīng)用端口如無法訪問，則使用通配符SRn……SR3SR2SR1端口號(hào)安全策略數(shù)據(jù)庫（SPD）安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略采取的動(dòng)作Discard：丟棄BypassIPSec：繞過IPSecApplyIPSec：采用IPSecSRn……SR3SR2SR1操作標(biāo)示安全策略數(shù)據(jù)庫（SPD）安全關(guān)聯(lián)數(shù)據(jù)庫安全協(xié)議技術(shù)IPSec的安全關(guān)聯(lián)與安全策略包括：指向一個(gè)SA或SA集的指針應(yīng)用的I