建立 其他 kmp 計算 序列號 缺點 iat 進行 發出

第四章 第一節?IPSec工作原理

  
  網絡層安全性，優點：密鑰協商的開銷大大消減、需改動的應用程序很少，很容易構建×××。缺點：很難解決抗抵賴之類問題。
  IPsec：兼容IPv4和IPv6。高質量和基於密碼的安全。在IP層實現多種安全服務，包括訪問控制、無連接完整性、數據源驗證、抗重播、機密性和特定的業務流機密性。
  
IPsec體系結構：ESP協議+AH協議，涉及加密算法、鑒別算法和密鑰管理。
1.AH協議：Authentication Header，
  驗證頭部，為IP包提供數據完整性校驗和身份認證

功能，驗證算法由SA指定，認證範圍是整個包。
處理過程：
  
  發送方：對發出去的包構造AH：
  （1）創建一個外出SA（手工或IKE）
  （2）產生序列號
  （3）填充AH頭的各自段
  （4）計算ICV完整性檢驗值，包括IP頭中部分域、AH自身、上層協議數據。
  （5）AH頭中的“下一頭部”置為原IP報頭中的協議字段的值，原IP報頭的“協議字段置為51”（代表AH）
  
  接受方：對接收到的包處理：
  （1）分片裝配
  （2）查找SA，依據目標IP地址、AH協議、SPI
  （3）檢查序列號
  （4）ICV檢查
  

2.ESP協議：Encapsulating Security Payload，
  封裝安全載荷，提供機密性、數據源驗證、抗重播以及數據完整性等安全服務，加密算法和身份驗證方法均由SA指定。
  
  發送方：對發出去的包處理
  （1）查找SA
  （2）加密
  （3）封裝必要的數據，放在payload data域中，不同的模式，封裝數據的範圍不同

  （4）增加必要的padding數據
  （5）加密操作
  （6）驗證
  （7）計算ICV，針對加密後的數據進行計算的
  
  接收方：對接收到的包處理
  （1）分片裝配
  （2）查找SA，依據目標IP地址、ESP協議、SPI
  （3）檢查序列號，使用一個滑動窗口來檢查序列號的重放
  （4）ICV檢查
  （5）解密，根據SA中指定的算法和密鑰、參數，對於被加密部分的數據進行解密，去掉padding，重構原始IP包。
  
3.密鑰管理：Key Management，
  SA（Security Association）安全聯盟，
  （1）SA是單向的，
  （2）SA是“協議相關的”，
  （3）每個SA通過三個參數標誌<spi,dst(src),protocol>，
    spi是安全參數索引，dst(src)是對方IP地址，protocol安全協議標識AH or ESP。
  （4）SA與IPsec系統中實現的兩個數據庫有關,
    安全策略數據庫（SPD）
    安全關聯數據庫（SAD）
  
  ISAKMP：Internet安全關聯和密鑰管理協議，
  （1）RFC2408，
  （2）定義如何建立安全聯盟並初始化密鑰。
  
  IKE：Internet密鑰交換協議，
  （1）RFC2409，是Oakley和SKEME協議的一種混合，
  （2）基於是ISAKMP框架，
  （3）沿用了Oakley和SKEME共享和密鑰更新技術。
  
兩階段交換：
  第一階段：建立起ISAKMP SA---IKE SA，雙方商定如何保護以後的通訊，通信雙方建立一個已通過身份鑒別和安全保護的通道；此SA將用於保護後面的prorocol SA的協商過程。
  第二階段：建立起針對其他安全協議的SA---IPsec SA，這個階段可建立多個SA，此SA將被相應的安全協議用於保護數據或消息交換。
  
IPsec的模式：
  1.隧道模式：IP頭+IPsec+TCP頭+數據
  2.傳輸模式：外部IP頭+IPsec頭+IP頭+TCP頭+數據
  

IPSec-×××協議和算法：
  IP安全協議：AH、ESP
  數據加密標準：DES、3DES
  公共密鑰密碼協議：Diffie-Hellman（D-H）
  散列算法：MD5、SHA-1
  公鑰加密算法：RSA
  Internet密鑰交換：IKE
  證書授權中心：CA

網絡安全與管理精講視頻筆記8-IPSec工作原理