第五章安全協(xié)議技術(shù)-IPSec協(xié)議概述計算機系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)安全協(xié)議技術(shù)IPSec協(xié)議概述IPSec（IPSecurity）是一種由IETF設(shè)計的端到端的確保IP層通信安全的機制。IPSec不是一個單獨的協(xié)議，而是一組協(xié)議，IPSec協(xié)議的定義文件包括了12個RFC文件和幾十個Internet草案，已經(jīng)成為工業(yè)標準的網(wǎng)絡(luò)安全協(xié)議。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IP通信可能會遭受如下攻擊：竊聽、篡改、IP欺騙、重放……IP體系結(jié)構(gòu)

IETF中的IPSecurityProtocolWorkingGroup工作組負責標準化，目標包括：該體制不僅適用于IPv4,也適合于IPv6可為運行于IP頂部的任何一種協(xié)議提供保護與加密算法無關(guān)即使加密算法改變了或增加新的算法，也不對其他部分的實現(xiàn)產(chǎn)生影響必須能實現(xiàn)多種安全策略也要避免給不使用該體制的系統(tǒng)成不利影響IPSec協(xié)議概述安全協(xié)議技術(shù)IP體系結(jié)構(gòu)如果在路由器或防火墻上執(zhí)行了IPSec，就可以為周邊的通信提供強有力的安全保障。該防火墻或者路由器所管轄的網(wǎng)絡(luò)（如一個公司或工作組內(nèi)部）的通信將不涉及與安全相關(guān)的費用。IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當在路由器或防火墻上實現(xiàn)IPSec時，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會被影響。IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內(nèi)部的敏感信息。IPSec協(xié)議優(yōu)點安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec協(xié)議族相關(guān)的RFCRFC編號RFC名稱現(xiàn)狀1825IPSec安全體系RFC24011826IP認證頭（AH）RFC240218211IP封裝安全載荷(ESP)RFC24061828使用MD5的IP認證有效1829TheESPDES-CBCTransform有效2405,2451等加密算法有效2403,2404等認證算法有效2407解釋域有效2409，2408密鑰管理有效安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的功能保證數(shù)據(jù)來源可靠（認證）保證收到的數(shù)據(jù)包的確是由數(shù)據(jù)包頭所標識的數(shù)據(jù)源發(fā)來的，且數(shù)據(jù)包在傳輸過程中未被篡改。保證數(shù)據(jù)完整性（完整性）保證數(shù)據(jù)從發(fā)送方到接收方的傳送過程中的任何數(shù)據(jù)篡改和丟失都可以被檢測。保證數(shù)據(jù)機密性（機密性）保證數(shù)據(jù)在傳輸期間不被未授權(quán)的第三方窺視。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)協(xié)議安全服務(wù)AHESP(只加密)ESP(加密并鑒別)訪問控制服務(wù)YYY無連接完整性Y-Y數(shù)據(jù)起源認證Y-Y拒絕重放的分組YYY保密性-YY流量保密性-YY認證頭（AH）:AuthenticationHead載荷安全封裝（ESP）：EncapsulatingSecurityPayload安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec提供的安全服務(wù)IPSec體系結(jié)構(gòu)圖IKE協(xié)議AH協(xié)議ESP協(xié)議加密算法驗證算法IPSec安全體系DOI解釋域：其他文檔（如被認可的加密算法、認證算法、密鑰生存周期參數(shù)等）安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的實施在主機實施OS集成（圖a）IPSec作為網(wǎng)絡(luò)層的一部分來實現(xiàn)堆棧中的塊（圖b）IPSec作為一個“楔子”插入網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層之間，BITS（Bump-in-the-stack）應(yīng)用層傳輸層網(wǎng)絡(luò)層+IPSec數(shù)據(jù)鏈路層圖aIPSec與OS集成應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層圖bBITSIPSecIPSec處理安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的實施在路由器中實施原始實施：等同于主機上的OS集成方案，IPSec是集成在路由器軟件當中；線纜中的塊（BITW：Bump-in-the-wire）：等同于BITS，IPSec在一個設(shè)備中實施，該設(shè)備直接接入路由器的物理接口，不運行路由算法，只保障數(shù)據(jù)包的安全。應(yīng)用層傳輸層網(wǎng)絡(luò)層+IPSec數(shù)據(jù)鏈路層外部IPSec功能實體安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：主機之間主機：端設(shè)備安全網(wǎng)關(guān)之間安全網(wǎng)關(guān)（securitygateways）實現(xiàn)了IPSec的中間系統(tǒng)（如實現(xiàn)了IPSec的路由器、防火墻等）網(wǎng)關(guān)網(wǎng)關(guān)IPSec的部署位置安全協(xié)議技術(shù)IP體系結(jié)構(gòu)主機主機優(yōu)點：可以保障端到端的安全性；能夠?qū)崿F(xiàn)所有的IPSec安全模式；能夠針對單個數(shù)據(jù)流提供安全保障；在建立IPSec的過程中，能夠記錄用戶身份驗證的相關(guān)數(shù)據(jù)和情況。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：主機優(yōu)點：能對兩個子網(wǎng)（私有網(wǎng)絡(luò)）間通過公共網(wǎng)絡(luò)（如Internet）傳輸?shù)臄?shù)據(jù)提供安全保護；能通過身份驗證控制授權(quán)用戶從外部進入私有網(wǎng)絡(luò)，而將非授權(quán)用戶擋在私有網(wǎng)絡(luò)的外面。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：安全網(wǎng)關(guān)（如路由器、防火墻）兩種操作模式傳輸模式隧道模式兩個數(shù)據(jù)庫安全策略數(shù)據(jù)庫SPD安全關(guān)聯(lián)數(shù)據(jù)庫SAD兩個通信協(xié)議：AH：認證頭（AuthenticationHead)ESP:載荷安全封裝（EncapsulatingSecurityPayload）兩個算法：加密算法認證算法三個密鑰管理協(xié)議安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP：InternetSecurityAssociationan