IPIP安全安全SSLSSL协议协议13.1IP13.1IP安全安全1.概述IPsec是IETF公布的IP安全标准，其目标是为IPv4和IPv6提供透明的安全服务。IPsec在IP层上提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。IPsec可保障主机之间、网络安全网关之间或主机与安全网关之间的数据包的安全。其可以防范以下几种网络攻击：Sniffer数据篡改身份欺骗重放攻击拒绝服务攻击IPsec对IPv4是可选的，对于IPv6是强制使用的。安全体系结构ESP协议AH协议加密算法验证算法解释域密钥管理策略安全体系结构：包含了一般的概念、安全需求、定义和定义IPsec的技术机制。传送模式与通道模式IPsec协议既可用来保护一个完整的IP载荷，亦可用来保护某个IP载荷的上层协议。其中传送模式用来保护上层协议；而通道模式用来保护整个IP数据项。其示意图分别如下所示：IP头TCP头数据IP头IPsec头TCP头数据新IP头IP头IPsec头TCP头数据原始包传输模式通道模式若构成一个安全联盟的两个终端中至少有一个是安全网关，则这个安全联盟就必须采用隧道模式。安全关联SA安全关联只要解决如何保护通信数据、保护什么样的通信数据以及由谁来实时保护的问题。SA是两个应用IPsec实体间的一个单向逻辑连接，它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等。SA是以成对的形式存在，每个朝一个方向。SA驻留在安全关联数据库中(SAD)。SAD为进入和外出包维持一个活动的SA列表。一个SA对IP数据报不能同时提供AH和ESP保护。当某种安全策略要求对通信提供多种安全保护时，就需要使用多个SA。SA的管理就是创建和删除，可以使用手工方式或动态方式。IPsec安全策略IPsec系统所使用的策略数据库一般保存在一个策略服务器中。IPsec本身没有为策略定义标准，目前只规定了两个策略组件：SAD和SPD。在IPsec系统中，策略由SPD（安全策略数据库）加以维护。SPD数据库每个条目都定义了要保护的是什么通信、怎样保护它以及和谁共享这种保护。策略描述主要包括两方面的内容：一是对保护方法的描述、二是对通信特征的描述。通信特征通常用选择符来描述。选择符建立了IPsec通信到IPsec策略的映射关系。它包括六个方面的内容：目标IP地址、源IP地址、名字、上层协议、源和目标端口以及一个数据敏感级。IPsec结构定义了SPD和SAD这两种数据库之间的沟通方式。2.封装安全载荷（ESP）ESP属于IPsec的一种协议，它提供机密性、数据起源认证、无连接的完整性、抗重播服务和有限业务流机密性。ESP本身是一个IP协议，协议号为50。其格式如下所示：下一个头受保护的数据填充填充长度序列号验证数据加密认证封装安全协议处理传输模式与通道模式下受ESP保护的一个IP包形式如下：传输模式IP头ESP头受保护的数据ESP尾验证数据验证保护加密保护通道模式新IP头ESP头旧IP头受保护数据ESP尾验证数据加密保护验证保护ESP同时提供了机密性以及身份验证机制，因此在其SA中必须同时定义两套算法（算法可选）：加密算法和验证算法。ESP使用对称加密算法。验证算法则包括基于对称加密算法或基于单向散列函数的消息验证码（MAC）。3.验证头（AH）AH协议用于为IP数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务。它不提供对通信数据的加密服务，与ESP相比，AH不提供对通信数据的加密服务，但能比ESP提供更加广的数据验证服务。AH本身是一个IP协议，协议号为51。其格式如下所示：保留序列号下一个头载荷长度SPI验证数据验证头协议处理AH可用于传送模式和通道模式，用于传送模式时保护的是端到端通信，而用于通道模式时保护的是点到点通信，其格式分别如下：传送模式旧IP头AH头受保护的数据除可变字段以外被验证通道模式新IP头AH头旧IP头受保护数据除新IP头可变字段以外被验证4.Internet密钥交换（IKE）AH、ESP用来对IP报文进行封装、加/解密、验证以达到保护IP报文的目的，而IKE和ISAKMP/Oaklay/SKEME则是通信双方用来协商封装形式、加/