第四章 第一節 IPSec工作原理
網絡層安全性,優點:密鑰協商的開銷大大消減、需改動的應用程序很少,很容易構建×××。缺點:很難解決抗抵賴之類問題。
IPsec:兼容IPv4和IPv6。高質量和基於密碼的安全。在IP層實現多種安全服務,包括訪問控制、無連接完整性、數據源驗證、抗重播、機密性和特定的業務流機密性。
IPsec體系結構:ESP協議+AH協議,涉及加密算法、鑑別算法和密鑰管理。
1.AH協議:Authentication Header,
驗證頭部,爲IP包提供數據完整性校驗和身份認證功能,驗證算法由SA指定,認證範圍是整個包。
處理過程:
發送方:對發出去的包構造AH:
(1)創建一個外出SA(手工或IKE)
(2)產生序列號
(3)填充AH頭的各自段
(4)計算ICV完整性檢驗值,包括IP頭中部分域、AH自身、上層協議數據。
(5)AH頭中的“下一頭部”置爲原IP報頭中的協議字段的值,原IP報頭的“協議字段置爲51”(代表AH)
接受方:對接收到的包處理:
(1)分片裝配
(2)查找SA,依據目標IP地址、AH協議、SPI
(3)檢查序列號
(4)ICV檢查
2.ESP協議:Encapsulating Security Payload,
封裝安全載荷,提供機密性、數據源驗證、抗重播以及數據完整性等安全服務,加密算法和身份驗證方法均由SA指定。
發送方:對發出去的包處理
(1)查找SA
(2)加密
(3)封裝必要的數據,放在payload data域中,不同的模式,封裝數據的範圍不同
(4)增加必要的padding數據
(5)加密操作
(6)驗證
(7)計算ICV,針對加密後的數據進行計算的
接收方:對接收到的包處理
(1)分片裝配
(2)查找SA,依據目標IP地址、ESP協議、SPI
(3)檢查序列號,使用一個滑動窗口來檢查序列號的重放
(4)ICV檢查
(5)解密,根據SA中指定的算法和密鑰、參數,對於被加密部分的數據進行解密,去掉padding,重構原始IP包。
3.密鑰管理:Key Management,
SA(Security Association)安全聯盟,
(1)SA是單向的,
(2)SA是“協議相關的”,
(3)每個SA通過三個參數標誌<spi,dst(src),protocol>,
spi是安全參數索引,dst(src)是對方IP地址,protocol安全協議標識AH or ESP。
(4)SA與IPsec系統中實現的兩個數據庫有關,
安全策略數據庫(SPD)
安全關聯數據庫(SAD)
ISAKMP:Internet安全關聯和密鑰管理協議,
(1)RFC2408,
(2)定義如何建立安全聯盟並初始化密鑰。
IKE:Internet密鑰交換協議,
(1)RFC2409,是Oakley和SKEME協議的一種混合,
(2)基於是ISAKMP框架,
(3)沿用了Oakley和SKEME共享和密鑰更新技術。
兩階段交換:
第一階段:建立起ISAKMP SA---IKE SA,雙方商定如何保護以後的通訊,通信雙方建立一個已通過身份鑑別和安全保護的通道;此SA將用於保護後面的prorocol SA的協商過程。
第二階段:建立起針對其他安全協議的SA---IPsec SA,這個階段可建立多個SA,此SA將被相應的安全協議用於保護數據或消息交換。
IPsec的模式:
1.隧道模式:IP頭+IPsec+TCP頭+數據
2.傳輸模式:外部IP頭+IPsec頭+IP頭+TCP頭+數據
IPSec-×××協議和算法:
IP安全協議:AH、ESP
數據加密標準:DES、3DES
公共密鑰密碼協議:Diffie-Hellman(D-H)
散列算法:MD5、SHA-1
公鑰加密算法:RSA
Internet密鑰交換:IKE
證書授權中心:CA