互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)IPSec協(xié)議工作原理

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

5.2.2 IPSec協(xié)議工作原理
IPSec是一種協(xié)議套件，它包括：AH、ESP、IKE、ISAKMP Internet Security Associationand Key Management Protocol,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）/Oakley以及轉(zhuǎn)碼等幾部分?這些組件之間的關(guān)系如閣5-2所示。

在圖5-2中，安全體系結(jié)構(gòu)包含了一般的概念和安全需求：ESP定義了ESP加密及驗(yàn)證處理的相關(guān)包格式和處理規(guī)則；AH定義了AH驗(yàn)證處理的相關(guān)包格式和處理規(guī)則：加密算法描述各種加密算法如何用于ESP中；驗(yàn)證算法描述各種身份驗(yàn)證算法如何應(yīng)用于AH和ESP中；IKE定義了密鑰自動(dòng)交換協(xié)議：DOI定義了密鑰協(xié)商協(xié)議彼此相關(guān)部分的標(biāo)識(shí)符及參數(shù)：策略則決定兩個(gè)實(shí)體之間能否通信以及如何進(jìn)行通信。
AH由RFC2402定義，是一個(gè)網(wǎng)絡(luò)層協(xié)議，類型號(hào)為51。它可以為IP包提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的、有限的抗重播服務(wù)，一般可用于傳送模式和隧道模式。AH提供的數(shù)據(jù)完整性與ESP提供的數(shù)據(jù)完整性稍有不同，即在隧道模式下，AH對(duì)外部IP頭各部分也進(jìn)行身份驗(yàn)證，而ESP不會(huì)對(duì)外部IP頭進(jìn)行驗(yàn)證。AH的頭格式如圖5-3所示。

在圖5-3中各字段的含義如下。
1）下一個(gè)頭：表明AH頭之后的數(shù)據(jù)類型。
2）載荷長(zhǎng)度：表示頭本身的長(zhǎng)度。
3）SPI：其值一般是在IKE交換過程中由目標(biāo)主機(jī)選定的。這個(gè)值和IP頭之前的目標(biāo)地址以及協(xié)議結(jié)合在-?起，用來標(biāo)識(shí)用于處理數(shù)據(jù)包的特定的那個(gè)安全聯(lián)盟。
4）序列號(hào)：提供抗重播服務(wù)。它獨(dú)一無二、單調(diào)遞增，由發(fā)送端插在AH頭中。創(chuàng)建好一個(gè)SA后，序列號(hào)便會(huì)初始化為零，并在進(jìn)行IPSec輸出處理之前，令此值遞增。新的SA必須在序列號(hào)回歸為零之前創(chuàng)建。一般為32位。
5）驗(yàn)證數(shù)據(jù)：是一個(gè)不固定的長(zhǎng)度字段，此字段用于容納數(shù)據(jù)完整性的檢驗(yàn)結(jié)果。
AH協(xié)議可采用多種驗(yàn)證算法，已經(jīng)被定義的驗(yàn)證算法有HMAC-MD5和HMAC-SHA1,
其中MD5是MessageDigest5(消息摘要5)的簡(jiǎn)寫，SHA(安全散列算法）是SecurityHashAlgorithm的簡(jiǎn)寫。通倌雙方中的一方用密鑰對(duì)整個(gè)IP包進(jìn)行計(jì)算得到摘要值，另一方用同樣的密鑰和算法進(jìn)行計(jì)算，如果兩者的結(jié)果相同，則說明數(shù)據(jù)包在傳輸?shù)倪^程中沒有被改變，IP包就通過了身份驗(yàn)證。因此，數(shù)據(jù)的完整性和驗(yàn)證安全得到了保證。
ESP由RFC2406定義，協(xié)議類型值為50,用于確保IP數(shù)據(jù)包的機(jī)密性、數(shù)據(jù)完整性以及對(duì)數(shù)據(jù)源的身份驗(yàn)證，此外，它還提供抗重播服務(wù)。ESP可以單獨(dú)使用，也可以和AH-起使用，用于傳送模式或者隧道模式，它的頭格式如圖5-4所示。

1）下面對(duì)圖5-4中各字段的含義進(jìn)行解釋。
安全參數(shù)索引(SPI)：與上面提到的AH中的32位SPI值相同。通信節(jié)點(diǎn)使用該值來指出SA,SA用于確定數(shù)據(jù)應(yīng)如何加密。
2）序列號(hào)：32位，從0開始，每發(fā)送一個(gè)數(shù)據(jù)報(bào)，該值加1。序列號(hào)可用于防御重放攻擊，在循環(huán)用完所有值之前，必須建立新的SA。
3）要保護(hù)的數(shù)據(jù)：此宇段長(zhǎng)度可變，它實(shí)際上包含數(shù)據(jù)報(bào)的加密部分以及加密算法需要的補(bǔ)充數(shù)據(jù)，例如初始化數(shù)據(jù)。
4）填充項(xiàng)：頭的加密部分（凈荷）必須在正確的邊界終止，因此有時(shí)窬要填充。
5）填充長(zhǎng)度：此字段指明凈荷數(shù)據(jù)所葙要填充的數(shù)據(jù)里。
6）下一個(gè)頭：指明數(shù)據(jù)類型。
7）身份驗(yàn)證數(shù)據(jù)：該字段是一個(gè)ICV(Integrity Check Value,完整性檢查值)?它對(duì)除身份驗(yàn)證數(shù)據(jù)本身之外的整個(gè)ESP頭進(jìn)行計(jì)算。這種身份驗(yàn)證計(jì)算是可選的。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總