防火墙IPESC VNP技术文档格式.docx

1、完整性（Data integrity）指对接收的数据进行验证，以判定报文是否被篡改。真实性（Data authentication）指验证数据源，以保证数据来自真实的发送者。防重放（Anti-replay）指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。幻灯片 6IPSec协议有两种操作模式：传输模式和隧道模式。在传输模式下，IPSec协议处理模块会在IP报头和高层协议报头之间插入一个IPSec报头。在这种模式下，IP报头与原始IP分组中的IP报头是一致的，只是IP报文中的协议字段会被改成IPSec协议的协议号（50或者51 ，并重新计算IP报头校验和。

2、传输模式保护数据包的有效载荷、高层协议，IPSec源端点不会修改IP报头中目的IP地址，原来的IP地址也会保持明文。传输模式只为高层协议提供安全服务。这种模式常应用在需要保护的两台主机之间的端到端连接，而不是多台主机的两个网关之间的数据流。与传输模式不同，在隧道模式下，原始IP分组被封装成一个新的IP报文，在内部报头以及外部报头之间插入一个IPSec报头，原IP地址被当作有效载荷的一部分收到IPSec的保护。另外，通过对数据加密，还可以隐藏原数据包中的IP地址，这样更有利于保护端到端通信中数据的安全性。 幻灯片 7IPSec是在两个端点之间提供安全通信，端点被称为IPSec对等体。IPSec能

3、够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护，并使用3DES（Triple Data Encryption Standard）进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用ESP保护，并仅使用DES加密。通过SA（SecurityAssociation），IPSec能够对不同的数据流提供不同级别的安全保护。安全联盟是IPSec的基础，也是IPSec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种安全协议、协议的操作模式（传输模式和隧道模式）、加密算法（DES和3DES）、特定

4、流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟来分别对两个方向的数据流进行安全保护。同时，如果希望同时使用AH和ESP来保护对等体间的数据流，则分别需要两个SA，一个用于AH，另一个用于ESP。安全联盟由一个三元组来唯一标识，这个三元组包括安全参数索引（SPI, Security Parameter Index）、目的IP地址、安全协议号（AH 或ESP）。SPI 是为唯一标识SA 而生成的一个32 比特的数值，它在IPSec头中传输。幻灯片 8AH和ESP是IPSec的两个主要协议。认证头（AH , Authentication

5、 Header）协议为IP通信提供数据源认证、数据完整性检验和防重放保证。封装安全载荷（ESP, Encapsulating Security Payload）为IP通信提供完整性检验、认证、加密和防重放保证。AH和ESP可以单独使用，也可以同时使用。 在实际的组网中,ESP协议使用较多。幻灯片 9IPSec协议组成ESPESP使用一系列加密算法提供机密性，数据完整性则由认证算法保证。具体使用过程中采用的算法则是由ESP安全联盟的相应组件决定的。另外ESP能够通过序列号提供防重放服务，至于是否采用则由数据包的接收者来决定。这是因为一个唯一的、单向递增的序列号是由发送端插入的，但却并不要求接收端

6、对该数据报进行检验。由于这项保护对安全性大有好处，所以一般都会采用。ESP可在不同的操作模式下使用。不管ESP处于什么模式， ESP头都会紧紧跟在一个IP头之后。在IPv4中，ESP头紧跟在IP头后面。ESP使用的协议号是50。也就是说，当ESP头插入原始报文中后，ESP之前的IP头中的协议字段将是50，以表明IP头之后是一个ESP头。作为一个IPSec头，ESP头中必然包含一个SPI字段。这个值，和IP头之前的目标地址以及协议结合在一起，用来标识特定的安全联盟。SPI本身是个任意数，可以是使用者自己指定，也可交由一些密钥管理技术自行协商决定。需要注意的是， SPI可以经过了验证，但却无法被加

7、密。这是必不可少的一种做法，因为SPI用于SA的标识，指定了采用的加密算法以及密钥，并用于对包进行解密。如果SPI本身已被加了密，我们会碰到一个非常严重的问题“先有鸡，还是先有蛋”。序列号是一个独一无二、单向递增、并由发送端插在ESP头中的一个32位数值。通过序列号，ESP具有了防重放的能力。与SPI一样，序列号经过了验证，但却没有加密。这是由于我们希望在协议模块处理流程的最前端可以根据它判断一个包是否重复，然后决定是否丢弃这个包，而不至于动用更多的资源对其进行解密。幻灯片 10初始化向量（IV, Initial Vector）并不是一个必不可少的字段，但在ESP定义的加密算法中，有一些特殊的

8、加密算法需要这个值。根据不同的加密算法，IV的取值方式也不尽相同。以DES-CBC来说，IV是载荷数据字段中的第一个8位组。相同的原因，IV也是只验证不加密的字段。填充字段在ESP头中主要有三个功能。某些加密算法对输入的明文有严格的定义，例如明文的大小必须是某个数目字节的整数倍 如分块加密算法中要求明文是单块长度的整数倍）。填充字段的第一个功能就是将明文扩展到算法需要的长度。另外，由于ESP要求ESP头必须是32比特的整数倍，“填充长度”以及“下一个报头”这两个字段需要靠右对齐排列，填充字段也用来保证这样的报文格式。最后一个功能是处于安全性考虑的，就是填充字段可以隐藏数据载荷的实际长度，从而提

9、供一定的保密性。填充字段的最大长度可达255个字节。填充内容与提供机密性的加密算法有关，如果这个算法定义了一个特定值，那么填充字段的内容就只能采用这个值。如果算法没有指定需要填充的值，ESP就会指定填充的第一个字节的值是1，后面的所有字节值都单向递增。填充长度字段则标明了“填充字段”中填充数据的长度。接收端可以根据这个字段恢复载荷数据的真实长度。填充项长度字段是硬性规定的，因此，即使没有填充，填充长度字段仍会将它表示出来。下一个报头字段表明载荷内的数据类型。如果在隧道模式下使用ESP，这个值就会是4，表示IP-in-IP。如果在传输模式下使用ESP，这个值表示的就是它背后的上一级协议的类型，比

10、如TCP对应的就是6。认证数据字段用于容纳数据完整性的检验结果，通常是一个经过密钥处理的散列函数。这一字段的长度由SA所用的身份验证算法决定。如果 SA中没有指定认证算法，则认证数据字段将不存在。幻灯片 11具体应用中，ESP可以使用传输模式也可以使用隧道模式。不同的模式决定了ESP对保护对象的定义。在传输模式中无法保护原有的IP头；在隧道模式中，整个原始报文都可以收到保护。幻灯片 12IPSec协议组成AH验证头（Authentication Header, AH）是IPSec协议集合中的另外一个重要安全协议，用于为IP提供数据完整保护、数据原始身份认证以及防重放服务。它定义在RFC2402

11、中。除了机密性之外，AH提供ESP能够提供的一切功能。由于AH不提供机密性保证，所以它也不需要加密算法。AH定义保护方法、报头的位置、身份验证的覆盖范围以及输出和输入处理规则，但没有对所用的身份验证算法进行定义。与ESP一样，AH没有硬性规定防重放保护，是否使用防重放服务由接收端自行选择。发送端无法得知接收端是否会检查其序列号，其结果是，发送端必须一直认定接收端正在采用防重放服务。和ESP一样，AH也是IP的一个万用型安全服务协议。但是AH提供的数据完整性与ESP提供的数据完整性稍有不同； AH对外部IP头各部分也会进行身份验证。AH分配到的协议号是51。也就是说，AH保护的IPv4数据报文的

12、协议字段将是51，表明IP头之后是一个AH头。AH头比ESP头简单得多，因为它没有提供机密性。由于不需要填充和一个填充长度指示器，因此也不存在尾部字段。另外，也不需要一个初始化向量。幻灯片 13和ESP一样，AH可以使用传输模式来保护一个上层协议，或者使用隧道模式来保护一个完整的IP数据报。在任何一种模式下， AH头都会紧跟在一个IP头之后。AH可以单独使用， 也可以与ESP联合使用，为数据提供最完整的安全保护。AH用于传输模式时，保护的是端到端的通信。通信的终点必须是IPSec终点。AH头被插在数据报中，紧跟在IP头之后（和任意选项），需要保护的上层协议之前。AH用于隧道模式时，它将自己保护

13、的数据报文封装起来，另外，在AH头之前，另添了一个新的IP头。“里面的”IP数据报中包含了通信的原始报文，而新的IP头则包含了IPSec端点的地址。隧道模式可用来替换端对端安全服务的传输模式。幻灯片 14幻灯片 15用IPSec保护一个IP包之前，必须先建立一个安全联盟（SA）。IPSec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时，手工配置将非常困难，而且难以保证安全性。这时就可以使用IKE（Internet Key Exchange）自动进行安全联盟建立与密钥交换的过程。Internet密钥交换（IKE）就用于动态建立SA，代表IPSec对SA进行协商。由RFC2409文件

14、描述的IKE属于一种混合型协议。它建立在由Internet安全联盟和密钥管理协议（ISAKMP）定义的一个框架上，详情可见RFC2408文件。同时，IKE还实现了两种密钥管理协议的一部分Oakley和SKEME。此外，IKE还定义了它自己的两种密钥交换方式。Oakley是由亚利桑那大学的安全专家Hilarie Orman开发的一种基于Diffie-Hellman（简称“DH”）算法的协议。它是一种自由形态的协议，允许各研究机构根据自身的水平改进协议状态。IKE在其基础上定义了正规的密钥交换方法。尽管由于降低了Oakley模型的灵活性，但仍然提供了多种交换模式供用户选择，所以最终还是成为一个非常适宜的密钥交换技术。SKEME则是另外一种密钥交换协议，由加密专家Hugo Krawczyk设计。SKEME定义了如何验证密钥交换。其中，通信各方利用公共密钥加密实现相互间的验证，同时“共享”交换的组件。每一方都要用对方的公共密钥来加密一个随机数字，两个随机数（解密后）都会对最终的密钥产生影响。IKE在它的一种验证方法（公共密钥加