IPSec详细介绍.ppt

1、10 IPSec本章要点：IPSec的概念、功能和体系结构 AH机制和功能 ESP机制和功能 IKE机制和功能IPSec安全体系结构安全体系结构lIPSec（IP Security）是一种由IETF设计的端到端的确保IP层通信安全的机制。lIPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。lIPSec在IPv6中是必须支持的，而在IPv4中是可选的。lIP通信可能会遭受如下攻击：窃听、篡改、IP欺骗、重放lIPSec协议可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，

2、保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。IPSec协议族相关的协议族相关的RFCRFC内容内容2401IPSec体系结构体系结构2402AH（Authentication Header）协议）协议2403HMAC-MD5-96在在AH和和ESP中的应用中的应用2404HMAC-SHA-1-96在在AH和和ESP中的应用中的应用2405DES-CBC在在ESP中的应用中的应用2406ESP（Encapsulating Security Payload）协议）协议2407IPSec DOI2408ISAKMP协议协议2409IKE（Internet Key Exchange）协

3、议）协议2410NULL加密算法及在加密算法及在IPSec中的应用中的应用2411IPSec文档路线图文档路线图2412OAKLEY协议协议IPSec的功能的功能l作为一个隧道协议实现了VPN通信l第三层隧道协议，可以在IP层上创建一个安全的隧道，使两个异地的私有网络连接起来，或者使公网上的计算机可以访问远程的企业私有网络。l保证数据来源可靠l在IPSec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。l保证数据完整性lIPSec通过验证算法保证数据从发送方到接

4、收方的传送过程中的任何数据篡改和丢失都可以被检测。l保证数据机密性lIPSec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真正内容。IPSec体系结构图体系结构图IKE协议AH协议ESP协议加密算法验证算法IPSec安全体系安全体系DOIAH（Authentication Header）lAH为IP数据包提供如下3种服务：l数据完整性验证l通过哈希函数（如MD5）产生的校验来保证l数据源身份认证l通过在计算验证码时加入一个共享密钥来实现l防重放攻击lAH报头中的序列号可以防止重放攻击。ESP（Encapsulating Security Payload）lESP除

5、了为IP数据包提供AH已有的3种服务外，还提供另外两种服务：l数据包加密l对一个IP包进行加密，可以是对整个IP包，也可以只加密IP包的载荷部分，一般用于客户端计算机l数据流加密。l一般用于支持IPSec的路由器，源端路由器并不关心IP包的内容，对整个IP包进行加密后传输，目的端路由器将该包解密后将原始包继续转发。l加密是ESP的基本功能，而数据源身份认证、数据完整性验证以及防重放攻击都是可选的。lAH和ESP可以单独使用，也可以嵌套使用。通过这些组合方式，可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用。IKE（Internet Key Exchange）lIKE协

6、议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。lIKE将密钥协商的结果保留在安全联盟（SA）中，供AH和ESP以后通信时使用。l解释域DOI定义IKE所没有定义的协商的内容；lDOI为使用IKE进行协商SA的协议统一分配标识符。共享一个DOI的协议从一个共同的命名空间中选择安全协议和变换、共享密码以及交换协议的标识符等，lDOI将IPSec的这些RFC文档联系到一起。DOI（Domain of Interpretation）安全联盟安全联盟数据库安全联盟安全联盟数据库lSA（Security Association，安全联盟）l是两个IPSec实体（主

7、机、安全网关）之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成IPSec的基础。lAH和ESP两个协议都使用SA来保护通信，而IKE的主要功能就是在通信双方协商SA。lSA是单向的，进入（inbound）SA负责处理接收到的数据包，外出（outbound）SA负责处理要发送的数据包。因此每个通信方必须要有两种SA，一个进入SA，一个外出SA，这两个SA构成了一个SA束（SA Bundle）。SA的表示方法的

8、表示方法l每个SA由三元组（SPI，IP目的地址，IPSec协议）来惟一标识lSPI（Security Parameter Index，安全参数索引）是32位的安全参数索引，用于标识具有相同IP地址和相同安全协议的不同的SA，它通常被放在AH或ESP头中。lIP目的地址：IP目的地址，它是SA的终端地址。lIPSec协议：采用AH或ESP。SA的管理（的管理（1）l创建：SA的创建分两步进行先协商SA参数，再用SA更新SAD。l人工密钥协商：SA的内容由管理员手工指定、手工维护。l手工维护容易出错，而且手工建立的SA没有生存周期限制，永不过期，除非手工删除，因此有安全隐患。调试过程中有用。lI

9、KE自动管理：SA的自动建立、动态维护和删除是通过IKE进行的。而且SA有生命期。如果安全策略要求建立安全、保密的连接，但又不存在与该连接相应的SA，IPSec的内核会立刻启动IKE来协商SA。SA的管理（的管理（2）l删除：l存活时间过期；l密钥已遭破解；l使用SA加密/解密或验证的字节数已超过策略设定的某一个阈值；l另一端要求删除这个SA。l必须先删除现有SA，再协商建立一个新的SA。为避免耽搁通信，应该在SA过期之前就协商好新的SA。SAD（Security Association Database，安全联盟数据库），安全联盟数据库）lSAD并不是通常意义上的“数据库”，而是将所有的SA

10、以某种数据结构集中存储的一个列表。l对于外出的流量，如果需要使用IPSec处理，然而相应的SA不存在，则IPSec将启动IKE来协商出一个SA，并存储到SAD中。l对于进入的流量，如果需要进行IPSec处理，IPSec将从IP包中得到三元组（SPI,DST,Protocol），并利用这个三元组在SAD中查找一个SA。有时是四元组，加上源地址（SRC）。lSAD中每个SA除了上述三元组之外，还包括：l1.序列号（Sequence Number）：32位，用于产生AH或ESP头的序号字段，仅用于外出数据包。SA刚建立时，该字段值设置为0，每次用SA保护完一个数据包时，就把序列号的值递增1，对方利用

11、这个字段来检测重放攻击。通常在这个字段溢出之前，SA会重新进行协商。l2.序列号溢出（Sequence Number Overflow）：标识序号计数器是否溢出。用于外出数据包，在序列号溢出时加以设置。安全策略决定一个SA是否仍可用来处理其余的包。l3.抗重放窗口：32位，用于决定进入的AH或ESP数据包是否为重发的。仅用于进入数据包，如接收方不选择抗重放服务（如手工设置SA时），则不用抗重放窗口。l4.存活时间/生存周期（Lifetime，TTL）：规定每个SA最长能够存在的时间。SA生存周期的计算包括两种方式：l以时间为限制，每隔指定长度的时间就进行更新；l以流量为限制，每传输指定的数据量

12、（字节）就进行更新。（这两种方式可同时使用，优先采用先到期者）l可采用两种类型的存活时间：l软存活时间：警告内核，通知它SA马上就要到期了；l“硬存活时间”：真正的存活时间，当硬存活时间到期之前，内核可以及时协商好一个新SA。l5.模式（mode）：IPSec协议可用于隧道模式还是传输模式；l6.通道目的地（Tunnel Destination）：对于通道模式的IPSec来说，需指出通道的目的地即外部头的目标IP地址；l7.PMTU参数：路径MTU，以对数据包进行必要的分段。安全策略和安全策略数据库安全策略和安全策略数据库lSP（Security Policy，安全策略）：决定对IP数据包提供

13、何种保护，并以何种方式实施保护。lSP主要根据源IP地址、目的IP地址、入数据还是出数据等来标识。lIPSec还定义了用户能以何种粒度来设定自己的安全策略，不仅可以控制到IP地址，还可以控制到传输层协议或者TCP/UDP端口等。SPD（Security Policy Database，安全策略数据库），安全策略数据库）lSPD也不是通常意义上的“数据库”，而是将所有的SP以某种数据结构集中存储的列表。（包处理过程中，SPD和SAD两个数据库要联合使用）l当接收或将要发出IP包时，首先要查找SPD来决定如何进行处理。存在3种可能的处理方式：丢弃、不用IPSec和使用IPSec。l丢弃：流量不能离

14、开主机或者发送到应用程序，也不能进行转发。l不用IPSec：对流量作为普通流量处理，不需要额外的IPSec保护。l使用IPSec：对流量应用IPSec保护，此时这条安全策略要指向一个SA。对于外出流量，如果该SA尚不存在，则启动IKE进行协商，把协商的结果连接到该安全策略上。IPSec的实施的实施(1)l在主机实施lOS集成（图a）lIPSec作为网络层的一部分来实现l堆栈中的块（图b）lIPSec作为一个“楔子”插入网络层与数据链路层之间，BITS（Bump-in-the-stack）应用层传输层网络层+IPSec数据链路层图图a IPSec与与OS集成集成应用层传输层网络层数据链路层图图b

15、 BITS IPSecIPSec处理处理IPSec的实施的实施(2)l在路由器中实施l原始实施：等同于主机上的OS集成方案，IPSec是集成在路由器软件当中；l线缆中的块（BITW：Bump-in-the-wire）：等同于BITS，IPSec在一个设备中实施，该设备直接接入路由器的物理接口，不运行路由算法，只保障数据包的安全。应用层传输层网络层+IPSec数据链路层外部外部IPSec功能实体功能实体IPSec运行模式运行模式l传输模式（Transport Mode）和隧道模式（Tunnel Mode）。lAH和ESP都支持这两种模式，因此有四种组合：l传输模式的AHl隧道模式的AHl传输模式

16、的ESPl隧道模式的ESPIPSec的传输模式的传输模式l传输模式要保护的是IP包的载荷包的载荷，通常情况下，只用于两台主机之间的安全通信。l正常网络层次处理：传输层数据报IP头AHl启用IPSec传输模式之后：传输层数据报IP头应用应用AHESP传输层数据报IP头应用应用ESPESP传输层数据报IP头应用应用AH和和ESPAHIPSec的隧道模式的隧道模式l隧道模式保护的是整个整个IP包包。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。ESP原始IP包IP头应用应用ESP内部IP头：由主机创建外部IP头：由提供安全服务器的设备添加嵌套隧道嵌套隧道AH数据IP头E

17、SPIP头IP头Src=2.2.2.1Dst=2.3.2.2Src=1.1.1.1Dst=2.3.2.2Src=1.1.1.1Dst=3.3.3.2无效嵌套无效嵌套ESP数据IP头IP头Src=RADst=RCSrc=主机ADst=主机BAHIP头Src=RBDst=主机BESP数据IP头IP头Src=RADst=RCSrc=主机ADst=主机BRA处理处理RB处理处理IPSec处理处理(1)外出处理外出处理l外出处理过程中，传输层的数据包流入IP层。IP层检索SPD数据库，判断应为这个包提供哪些服务。可能有以下几种情况：l丢弃：简单丢掉；l绕过安全服务：为载荷增添IP头，然后分发IP包；l应

18、用安全服务：假设已建立SA，则返回指向该SA的指针；如果未建立SA，则调用IKE建立SA。如果策略规定强行将IPSec应用于数据包，则在SA正式建立起来之前，包是不会被传送出去的。SA建好之后，会按正确顺序增添适当的AH和ESP头。AH网络载荷ESPIP头IP头Src=主机ADst=RBSrc=主机ADst=主机B要求：主机A用ESP隧道将包传给RB，但要主机B验证自己。处理：lIKE建立4个SA：两个用于接收（暂不考虑），两个用于接收（SA1和SA2）；lSA1：主机A和RB之间；SA2：主机A和主机B之间AH网络载荷ESPIP头IP头Src=主机ADst=RBSrc=主机ADst=主机BI

19、P头Src=主机ADst=主机B(1)(2)XIPSec处理处理(2)进入处理进入处理l收到IP包后，如果包内没有IPSec头，则根据安全策略对包进行检查，决定如何处理：l丢弃：直接丢弃；l应用安全服务：SA没有建立，包同样会被丢弃；l否则将包传给上层协议处理。l如果IP包中包含了IPSec包：l从IP包中提取三元组(SPI，目标地址，协议)在SAD中检索。根据协议值交给AH层或ESP层处理。协议载荷处理完之后，要在SPD中查询策略，验证SA使用是否得当。XSPD源目的处理本地端点对方端点主机B 主机AESPRB主机AESP主机主机ARBIPSec安全协议安全协议AHlAH（Authentic

20、ation Header，验证头部协议）：RFC2402，用于增强IP层安全，可以提供无连接的数据完整性、数据来源验证和抗重放攻击服务。lAH对IP层的数据使用验证算法MAC，从而对完整性进行保护。lMAC（Message Authentication Codes，报文验证码），即报文摘要，是从HASH算法演变而来，又称为HMAC，如HMAC-MD5、HMAC-SHA1、HMAC-RIPEMD-160。l通过HMAC可以检测出对IP包的头部和载荷的修改，从而保护IP包的内容完整性和来源可靠性。l不同IPSec系统可用的HMAC算法可能不同，但HMAC-MD5和HMAC-SHA1是必须实现的。A

21、H头部格式头部格式lAH协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，AH的协议号是51。下一个头 载荷长度保留SPI序列号验证数据（变长）0 7 15 31（1）下一个头（Next Header）：8位l表示紧跟在AH头部的下一个载荷的类型，也就是紧跟在AH头部后面数据的协议。l在传输模式下，该字段是处于保护中的传输层协议的值，比如6（TCP）、17（UDP）或者50（ESP）；l在隧道模式下，AH所保护的是整个IP包，该值是4，表示IP-in-IP协议。（2）载荷长度（Payload Length）：8位l其值是以32位（4字节）为单位的整个

22、AH数据（包括头部和变长的认证数据）的长度再减2。（3）保留（reserved）：16位l作为保留用，实现中应全部设置为0。下一个头 载荷长度保留SPI序列号验证数据（变长）0 7 15 31（4）SPI（Security Parameter Index，安全参数索引）：32位l与源/目的IP地址、IPSec协议一起组成的三元组可以为该IP包惟一地确定一个SA。l1，255保留为将来使用，0保留本地的特定实现使用。因此，可用的SPI值为256，232-1。（5）序列号（Sequence Number）：32位l作为一个单调递增的计数器，为每个AH包赋予一个序号。当通信双方建立SA时，计数器初始

23、化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1。l该字段可以用于抵抗重放攻击。下一个头 载荷长度保留SPI序列号验证数据（变长）0 7 15 31（6）验证数据（Authentication Data）l可变长部分，包含了验证数据，也就是HMAC算法的结果，称为ICV（Integrity Check Value，完整性校验值）。l该字段必须为32位的整数倍，如果ICV不是32位的整数倍，必须进行填充，用于生成ICV的算法由SA指定。下一个头 载荷长度保留SPI序列号验证数据（变长）0 7 15 31AH运行模式运行模式(1)传输模式传输模式lAH插

24、入到IP头部（包括IP选项字段）之后，传输层协议（如TCP、UDP）或者其他IPSec协议之前。IP头部(含选项字段)数据图图a 应用应用AH之前之前AH头部图图b 应用应用AH之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)验证区域验证区域（可变字段除外）（可变字段除外）AH与与NAT冲突冲突l被AH验证的区域是整个IP包（可变字段除外），包括IP包头部，因此源IP地址、目的IP地址是不能修改的，否则会被检测出来。l然而，如果该包在传送的过程中经过NAT网关，其源/目的IP地址将被改变，将造成到达目的地址后的完整性验证失败。因此，AH在传输模式下和NAT是冲

25、突的，不能同时使用，或者可以说AH不能穿越NAT。AH运行模式运行模式(2)隧道模式隧道模式l在隧道模式中，AH插入到原始IP头部之前，然后在AH之前再增加一个新的IP头部。IP头部(含选项字段)数据图图a 应用应用AH之前之前新IP头部(含选项字段)图图b 应用应用AH之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)AH头部验证区域验证区域（可变字段除外）（可变字段除外）l隧道模式下，AH验证的范围也是整个IP包，因此上面讨论的AH和NAT的冲突在隧道模式下也存在。l在隧道模式中，AH可以单独使用，也可以和ESP一起嵌套使用。数据完整性检查数据完整性检查l验

26、证过程概括如下：l在发送方，整个IP包和验证密钥被作为输入，经过HMAC算法计算后得到的结果被填充到AH头部的“验证数据”字段中；l在接收方，整个IP包和验证算法所用的密钥也被作为输入，经过HMAC算法计算的结果和AH头部的“验证数据”字段进行比较，如果一致，说明该IP包数据没有被篡改，内容是真实可信的。IPv4头部中的不定字段和固定字段头部中的不定字段和固定字段版 本标志生 存 时 间协 议标 识服 务 类 型总 长 度片 偏 移首 部 检 验 和源 地 址目 的 地 址首部长度选 项 字 段l不定字段（在通信过程中可能被合法修改）：l在计算HMAC时先临时用0填充；l另外，AH头部的验证数

27、据字段在计算之前也要用0填充，计算之后再填充验证结果。l应被AH保护的内容（在通信过程应该不被修改）：l固定字段；lAH头中除“验证数据”以外的其他字段；l数据：指经过AH处理之后，在AH头部后面的数据。传输方式下，指TCP、UDP或ICMP等传输层数据；隧道模式下，指被封装的原IP包。IPSec安全协议安全协议ESPlESP（Encapsulating Security Payload，封装安全载荷）：RFC2406。ESP协议除了可以提供无连接的完整性、数据来源验证和抗重放攻击服务之外，还提供数据包加密和数据流加密服务。l与AH相比，ESP验证的数据范围要小一些。ESP协议规定了所有IPS

28、ec系统必须实现的验证算法：HMAC-MD5、HMAC-SHA1、NULL。lESP的加密采用的是对称密钥加密算法。不同的IPSec实现，其加密算法也有所不同。为了保证互操作性，ESP协议规定了所有IPSec系统都必须实现的加密算法：DES-CBC、NULL。l但ESP协议规定加密和认证不能同时为NULL。即加密和认证必须至少选其一。ESP头部格式头部格式lESP协议和TCP、UDP协议一样，是被IP协议封装的协议之一，可以由IP协议头部中的协议字段判断，ESP的协议号是50。SPI序列号载荷数据（变长）填充（0255字节）填充长度下一个头验证数据（变长）0 7 15 31ESP头部ESP尾部

29、（1）SPI：32位l与目的IP地址、协议一起组成的三元组可以为该IP包唯一地确定一个SA。（2）序列号（Sequence Number）：32位l单调递增的计数器，为每个ESP包赋予一个序号。l通信双方建立SA时，计数器初始化为0。SA是单向的，每发送一个包，外出SA的计数器增1；每接收一个包，进入SA的计数器增1。l该字段可以用于抵抗重放攻击。（3）载荷数据（Payload Data）：变长l包含了实际的载荷数据。不管SA是否需要加密，该字段总是必需的。如果采用了加密，该部分就是加密后的密文；如果没有加密，该部分就是明文。l如果采用的加密算法需要一个IV（Initial Vector，初始

30、向量），IV也是在本字段中传输的。该加密算法的规范必须能够指明IV的长度以及在本字段中的位置。对于强制实施的DES-CBC来说，IV是该字段当中第一个8位组。l本字段的长度必须是8位的整数倍。（4）填充（Padding）l填充字段包含了填充位。（5）填充长度（Pad Length）：8位l以字节为单位指示了填充字段的长度，其范围为0，255。（6）下一个头（Next Header）：8位l指明了封装在载荷中的数据类型，例如6表示TCP数据，4表示IP-in-IP。（7）验证数据（Authentication Data）：变长l只有选择了验证服务时才会有该字段，包含了验证的结果。ESP运行模式运

31、行模式(1)传输模式传输模式l保护的是IP包的载荷；lESP插入到IP头部（包括IP选项字段）之后，任何被IP协议所封装的协议（如传输层协议TCP、UDP、ICMP，或者IPSec协议）之前。ESP传输模式示意图传输模式示意图IP头部(含选项字段)数据图图a 应用应用ESP之前之前ESP头部图图b 应用应用ESP之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)ESP验证数据ESP尾部验证区域验证区域加密区域加密区域l加密不包括SPI和序号字段；l加密不包括验证数据；lESP的验证不包括IP头部，所以不存在与NAT冲突的问题。lESP加密不包括SPI和序号字段；

32、lESP加密不包括验证数据；lESP的验证不包括IP头部：l优点：不存在与NAT冲突的问题；l缺点：除了ESP头部之外，任何IP头部字段都可以修改，只要保证其校验和计算正确，接收端就不能检测出这种修改。所以，ESP传输模式的验证服务要比AH传输模式弱一些。如果需要更强的验证服务并且通信双方都是公有IP地址，应该采用AH来验证，或者将AH认证与ESP验证同时使用。ESP运行模式运行模式(2)隧道模式隧道模式l保护的是整个IP包，对整个IP包进行加密；l在隧道模式中，ESP插入到原始IP头部之前，然后在ESP之前再增加一个新的IP头部。IP头部(含选项字段)数据图图a 应用应用ESP之前之前新IP

33、头部(含选项字段)图图b 应用应用ESP之后之后TCP头部(含选项字段)IP头部(含选项字段)数据TCP头部(含选项字段)ESP头部ESP尾部ESP验证数据验证区域验证区域加密区域加密区域lESP隧道模式的验证和加密能够提供比ESP传输模式更加强大的安全功能，因为隧道模式下对整个原始IP包进行验证和加密，可以提供数据流加密服务；而ESP在传输模式下不能提供流加密服务，因为源、目的IP地址不被加密。l不过，隧道模式将占用更多的带宽，因为增加了一个额外的IP头部。l尽管ESP隧道模式的验证功能不像AH传输模式或隧道模式那么强大，但ESP隧道模式提供的安全功能已经足够了。ESP处理处理l根据ESP采用的模式来具体处理。l注意：l密文是得到验证的，而验证中包括未加密的明文。所以外出报文：先加密；进入报文：先验证。Internet密钥交换密钥交换lInternet密钥交换（IKE）用于动态建立SA。