第五章安全協(xié)議技術-IPSec的安全關聯(lián)與安全策略計算機系統(tǒng)與網(wǎng)絡安全技術TCP/IP協(xié)議概述IPSec體系結構安全關聯(lián)(SA)和安全策略(SP)認證頭AH封裝安全載荷ESP安全關聯(lián)的組合IPSec中的密鑰管理IPSec應用與部署結論IPSec安全協(xié)議技術安全關聯(lián)－SA安全關聯(lián)（SA）是發(fā)送方和接收方之間的單向關系，用于為通信雙方之間的業(yè)務流提供安全服務安全關聯(lián)是單向的如果需要雙向的安全交換，則需要建立兩個安全關聯(lián)安全服務是通過使用AH或ESP來實現(xiàn)的AH和ESP不能在一個SA上同時實現(xiàn)如果需要同時提供AH和ESP，則需要建立多個SAAHESP(只加密)ESP(加密并鑒別)訪問控制服務YYY無連接完整性Y-Y數(shù)據(jù)起源認證Y-Y拒絕重放的分組YYY保密性-YY流量保密性-YYIPSec的安全關聯(lián)與安全策略安全協(xié)議技術安全關聯(lián)的主要內容SA的內容SA的內容主要是包含一組針對特定目的主機（或安全網(wǎng)關）的一組參數(shù)通過這組參數(shù)，可以提供安全服務一個安全關聯(lián)由三個參數(shù)唯一確定：安全參數(shù)索引（SPI:SecurityParameterIndex）IP目的地址安全協(xié)議標識：AH或者ESP安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的功能安全關聯(lián)的功能取決于以下因素：所選擇的安全協(xié)議（AH或ESP）SA的類型（傳輸模式還是隧道模式）SA所對應的通信雙方的性質（主機還是安全網(wǎng)關）安全協(xié)議所提供的安全服務安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的分類情況安全關聯(lián)（SA）類型：兩類SA傳輸模式SA隧道模式SA安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的分類情況：傳輸模式SA傳輸模式SA兩個主機之間的安全關聯(lián)在ESP協(xié)議中，傳輸模式的SA僅保護IP以上的協(xié)議數(shù)據(jù)安全，對IP頭的安全不保證在AH中，傳輸模式的SA不僅保護IP以上的協(xié)議數(shù)據(jù)安全，也對IP不可變字段的安全進行保證IP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的分類情況：隧道模式SA隧道模式SA適用于IP隧道安全網(wǎng)關之間、主機與安全網(wǎng)關之間的SA為隧道模式主機之間也可以建立隧道模式SAIP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的分類情況：隧道模式SA隧道模式SA隧道模式的SA有兩個IP頭：內部IP頭：IPSec設備的IP頭外部IP頭：最終目的的IP頭安全協(xié)議頭在外部IP頭后，內部IP頭前如果在AH中使用隧道模式的SA，整個IP包（包括內部IP都和高層協(xié)議數(shù)據(jù)）和外部IP頭的一部分受保護如果在ESP中使用隧道模式的SA，僅保護隧道數(shù)據(jù)包，而不保護外部IP頭新IP頭IP載荷AH/ESP隧道模式SAIP頭安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全關聯(lián)的分類情況IPSec相關標準對兩類SA的實現(xiàn)要求主機必須支持傳輸模式和隧道模式的SA安全網(wǎng)關只要求支持隧道模式的SA如果安全網(wǎng)關支持傳輸模式的SA，則該安全網(wǎng)關僅能當作主機來使用（如網(wǎng)絡管理主機）新IP頭IP載荷AH/ESP隧道模式SAIP頭IP頭IP載荷AH/ESP傳輸模式SA安全協(xié)議技術IPSec的安全關聯(lián)與安全策略SA中的獲得與管理如何獲得SA？通過像IKE這樣的密鑰管理協(xié)議在通信對等方之間協(xié)商而生成如何管理SA？當一個SA協(xié)商完成后，兩個對等方都在其安全關聯(lián)數(shù)據(jù)庫(SAD)中存儲該SA參數(shù)SAD用于存放SA的內容SA具有一定的生存期，當過期時，要么中止該SA，要么用新的SA替換終止的SA將從SAD中刪除安全協(xié)議技術IPSec的安全關聯(lián)與安全策略SAn……SA3SA2SA1SAD（關聯(lián)數(shù)據(jù)庫）SAD與SA的關系SA:SecurityAssociationSPI:SecurityParameterIndexPMTU:PathMTU安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全參數(shù)索引32位整數(shù)，唯一標識SA1－255被IANA保留將來使用0被保留用于本地實現(xiàn)SAn……SA3SA2SA1安全參數(shù)索引（SPI）安全協(xié)議技術IPSec的安全關聯(lián)與安全策略輸出處理SA的目的IP地址輸入處理SA的源IP地址SAn……SA3SA2SA1地址信息安全協(xié)議技術IPSec的安全關聯(lián)與安全策略AH：認證頭ESP：封裝安全有效負載SAn……SA3SA2SA1協(xié)議選擇安全協(xié)議技術IPSec的安全關聯(lián)與安全策略32位整數(shù)，剛開始通常為0每次用SA來保護一個包時增1用于生成AH或ESP頭中的序列號域在溢出之前，SA會重新進行協(xié)商SAn……SA3SA2SA1序列號計數(shù)器安全協(xié)議技術IPSec的安全關聯(lián)與安全策略用于外出包處理標識序列號計數(shù)器的溢出時，一個SA是否仍可以用來處理其余的包SAn……SA3SA2SA1序列號溢出標志安全協(xié)議技術IPSec的安全關聯(lián)與安全策略使用一個32位計數(shù)器和位圖確定一個輸入的AH或ESP數(shù)據(jù)包是否是一個重放包SAn……SA3SA2SA1抗重放窗口安全協(xié)議技術IPSec的安全關聯(lián)與安全策略AH認證密碼算法和所需要的密鑰SAn……SA3SA2SA1AH認證協(xié)密鑰安全協(xié)議技術IPSec的安全關聯(lián)與安全策略ESP認證密碼算法和所需要的密鑰SAn……SA3SA2SA1ESP認證密鑰安全協(xié)議技術IPSec的安全關聯(lián)與安全策略ESP加密算法，密鑰，初始化向量(IV)和IV模式IV模式：ECB，CBC，CFB，OFBSAn……SA3SA2SA1ESP加密算法安全協(xié)議技術IPSec的安全關聯(lián)與安全策略傳輸模式隧道模式通配模式：暗示可用于傳輸隧道模式SAn……SA3SA2SA1SA操作模式安全協(xié)議技術IPSec的安全關聯(lián)與安全策略路徑最大傳輸單元是可測量和可變化的它是IP數(shù)據(jù)報經(jīng)過一個特定的從源主機到目的主機的網(wǎng)絡路由而無需分段的IP數(shù)據(jù)包的最大長度SAn……SA3SA2SA1路徑最大傳輸單元安全協(xié)議技術IPSec的安全關聯(lián)與安全策略包含一個時間間隔外加一個當該SA過期時是被替代還是終止采用軟和硬的存活時間：軟存活時間用于在SA會到期之前通知內核，便于在硬存活時間到來之前內核能及時協(xié)商新的SASAn……SA3SA2SA1SA的生存期安全協(xié)議技術IPSec的安全關聯(lián)與安全策略如何使用多個安全關聯(lián)問題：如果一個通信實體需要同時和多個其他通信實體建立不同安全關聯(lián)，如何處理呢？解決方法：安全策略數(shù)據(jù)庫：SPD：SecurityPolicyDatabase安全協(xié)議技術IPSec的安全關聯(lián)與安全策略安全策略與安全策略數(shù)據(jù)庫安全策略（SP）：指定用于到達或源自特定主機/網(wǎng)絡的數(shù)據(jù)流的策略安全策略數(shù)據(jù)庫（SPD）：包含策略條目的有序列表通過使用一個或多個選擇符來確定每個條目安全協(xié)議技術IPSec的安全關聯(lián)與安全策略SRn……SR3SR2SR1安全策略數(shù)據(jù)庫（SPD）目的IP地址安全協(xié)議技術IPSec的安全關聯(lián)與安全策略32位IPv4或128位IPv6地址可以是：主機地址、廣播地址、單播地址、任意播地址、多播組地址地址范圍，地址加子網(wǎng)掩碼通配符號等SRn……SR3SR2SR1安全策略數(shù)據(jù)庫（SPD）源IP地址安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略32位IPv4或128位IPv6地址可以是：主機地址、廣播地址、單播地址、任意播地址、多播組地址地址范圍，地址加子網(wǎng)掩碼通配符號等指定傳輸協(xié)議（只有傳輸協(xié)議能訪問）許多情況下，只要使用了ESP,傳輸協(xié)議便無法訪問，此時需使用通配符SRn……SR3SR2SR1傳輸層協(xié)議標識安全策略數(shù)據(jù)庫（SPD）安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略完整的DNS名或e-mail地址SRn……SR3SR2SR1系統(tǒng)名安全策略數(shù)據(jù)庫（SPD）安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略完整的DNS用戶名或X.500DNSRn……SR3SR2SR1用戶標識安全策略數(shù)據(jù)庫（SPD）安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略應用端口如無法訪問，則使用通配符SRn……SR3SR2SR1端口號安全策略數(shù)據(jù)庫（SPD）安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略采取的動作Discard：丟棄BypassIPSec：繞過IPSecApplyIPSec：采用IPSecSRn……SR3SR2SR1操作標示安全策略數(shù)據(jù)庫（SPD）安全關聯(lián)數(shù)據(jù)庫安全協(xié)議技術IPSec的安全關聯(lián)與安全策略包括：指向一個SA或SA集的指針應用的I