第五章安全協(xié)議技術(shù)-IPSec協(xié)議概述計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)安全協(xié)議技術(shù)IPSec協(xié)議概述IPSec（IPSecurity）是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制。IPSec不是一個(gè)單獨(dú)的協(xié)議，而是一組協(xié)議，IPSec協(xié)議的定義文件包括了12個(gè)RFC文件和幾十個(gè)Internet草案，已經(jīng)成為工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議。IPSec在IPv6中是必須支持的，而在IPv4中是可選的。IP通信可能會(huì)遭受如下攻擊：竊聽(tīng)、篡改、IP欺騙、重放……IP體系結(jié)構(gòu)

IETF中的IPSecurityProtocolWorkingGroup工作組負(fù)責(zé)標(biāo)準(zhǔn)化，目標(biāo)包括：該體制不僅適用于IPv4,也適合于IPv6可為運(yùn)行于IP頂部的任何一種協(xié)議提供保護(hù)與加密算法無(wú)關(guān)即使加密算法改變了或增加新的算法，也不對(duì)其他部分的實(shí)現(xiàn)產(chǎn)生影響必須能實(shí)現(xiàn)多種安全策略也要避免給不使用該體制的系統(tǒng)成不利影響IPSec協(xié)議概述安全協(xié)議技術(shù)IP體系結(jié)構(gòu)如果在路由器或防火墻上執(zhí)行了IPSec，就可以為周邊的通信提供強(qiáng)有力的安全保障。該防火墻或者路由器所管轄的網(wǎng)絡(luò)（如一個(gè)公司或工作組內(nèi)部）的通信將不涉及與安全相關(guān)的費(fèi)用。IPSec在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)在路由器或防火墻上實(shí)現(xiàn)IPSec時(shí)，無(wú)需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會(huì)被影響。IPSec對(duì)終端用戶來(lái)說(shuō)是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。如果需要的話，IPSec可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。IPSec協(xié)議優(yōu)點(diǎn)安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec協(xié)議族相關(guān)的RFCRFC編號(hào)RFC名稱現(xiàn)狀1825IPSec安全體系RFC24011826IP認(rèn)證頭（AH）RFC240218211IP封裝安全載荷(ESP)RFC24061828使用MD5的IP認(rèn)證有效1829TheESPDES-CBCTransform有效2405,2451等加密算法有效2403,2404等認(rèn)證算法有效2407解釋域有效2409，2408密鑰管理有效安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的功能保證數(shù)據(jù)來(lái)源可靠（認(rèn)證）保證收到的數(shù)據(jù)包的確是由數(shù)據(jù)包頭所標(biāo)識(shí)的數(shù)據(jù)源發(fā)來(lái)的，且數(shù)據(jù)包在傳輸過(guò)程中未被篡改。保證數(shù)據(jù)完整性（完整性）保證數(shù)據(jù)從發(fā)送方到接收方的傳送過(guò)程中的任何數(shù)據(jù)篡改和丟失都可以被檢測(cè)。保證數(shù)據(jù)機(jī)密性（機(jī)密性）保證數(shù)據(jù)在傳輸期間不被未授權(quán)的第三方窺視。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)協(xié)議安全服務(wù)AHESP(只加密)ESP(加密并鑒別)訪問(wèn)控制服務(wù)YYY無(wú)連接完整性Y-Y數(shù)據(jù)起源認(rèn)證Y-Y拒絕重放的分組YYY保密性-YY流量保密性-YY認(rèn)證頭（AH）:AuthenticationHead載荷安全封裝（ESP）：EncapsulatingSecurityPayload安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec提供的安全服務(wù)IPSec體系結(jié)構(gòu)圖IKE協(xié)議AH協(xié)議ESP協(xié)議加密算法驗(yàn)證算法IPSec安全體系DOI解釋域：其他文檔（如被認(rèn)可的加密算法、認(rèn)證算法、密鑰生存周期參數(shù)等）安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的實(shí)施在主機(jī)實(shí)施OS集成（圖a）IPSec作為網(wǎng)絡(luò)層的一部分來(lái)實(shí)現(xiàn)堆棧中的塊（圖b）IPSec作為一個(gè)“楔子”插入網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層之間，BITS（Bump-in-the-stack）應(yīng)用層傳輸層網(wǎng)絡(luò)層+IPSec數(shù)據(jù)鏈路層圖aIPSec與OS集成應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層圖bBITSIPSecIPSec處理安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的實(shí)施在路由器中實(shí)施原始實(shí)施：等同于主機(jī)上的OS集成方案，IPSec是集成在路由器軟件當(dāng)中；線纜中的塊（BITW：Bump-in-the-wire）：等同于BITS，IPSec在一個(gè)設(shè)備中實(shí)施，該設(shè)備直接接入路由器的物理接口，不運(yùn)行路由算法，只保障數(shù)據(jù)包的安全。應(yīng)用層傳輸層網(wǎng)絡(luò)層+IPSec數(shù)據(jù)鏈路層外部IPSec功能實(shí)體安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：主機(jī)之間主機(jī)：端設(shè)備安全網(wǎng)關(guān)之間安全網(wǎng)關(guān)（securitygateways）實(shí)現(xiàn)了IPSec的中間系統(tǒng)（如實(shí)現(xiàn)了IPSec的路由器、防火墻等）網(wǎng)關(guān)網(wǎng)關(guān)IPSec的部署位置安全協(xié)議技術(shù)IP體系結(jié)構(gòu)主機(jī)主機(jī)優(yōu)點(diǎn)：可以保障端到端的安全性；能夠?qū)崿F(xiàn)所有的IPSec安全模式；能夠針對(duì)單個(gè)數(shù)據(jù)流提供安全保障；在建立IPSec的過(guò)程中，能夠記錄用戶身份驗(yàn)證的相關(guān)數(shù)據(jù)和情況。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：主機(jī)優(yōu)點(diǎn)：能對(duì)兩個(gè)子網(wǎng)（私有網(wǎng)絡(luò)）間通過(guò)公共網(wǎng)絡(luò)（如Internet）傳輸?shù)臄?shù)據(jù)提供安全保護(hù)；能通過(guò)身份驗(yàn)證控制授權(quán)用戶從外部進(jìn)入私有網(wǎng)絡(luò)，而將非授權(quán)用戶擋在私有網(wǎng)絡(luò)的外面。安全協(xié)議技術(shù)IP體系結(jié)構(gòu)IPSec的部署位置：安全網(wǎng)關(guān)（如路由器、防火墻）兩種操作模式傳輸模式隧道模式兩個(gè)數(shù)據(jù)庫(kù)安全策略數(shù)據(jù)庫(kù)SPD安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SAD兩個(gè)通信協(xié)議：AH：認(rèn)證頭（AuthenticationHead)ESP:載荷安全封裝（EncapsulatingSecurityPayload）兩個(gè)算法：加密算法認(rèn)證算法三個(gè)密鑰管理協(xié)議安全關(guān)聯(lián)與密鑰管理協(xié)議（ISAKMP：InternetSecurityAssociationan