一、网络层安全性
网络层 几乎不具备安全性 :
没有 数据源鉴别机制 ;
没有 数据完整性保护机制 ;
没有 数据保密性机制 ;
设计 / 实现 中 , 存在各种 安全漏洞 , 容易受到 IP 欺骗 , 会话劫持 , 流量嗅探 等攻击 ;
二、IPsec 协议族
IPsec 协议族 :
① 全称 : IP 安全 , sec 是 Security 的缩写 ; 是 IETF 制定的开放安全标准 ;
② 内容 : 定义了 在网络层如何实现网络安全 , 提供了 数据完整性 , 保密性 , 认证 , 应用透明的安全性 ;
③ 性质 : IPsec 是一个协议族 ;
④ 框架 : IPsec 只提供了框架 , 通信双方的 加密算法可以自定义 , 如使用什么样的参数 , 密钥 等 ;
⑤ 互操作性 : IPsec 中提供了一套 所有 IPsec 都必须实现的加密算法 ;
三、IPsec 协议族组成
IPsec 协议族组成 :
① IP 安全数据报格式 协议 :
鉴别首部协议 ( AH , Authentication Header ) : 支持 源点鉴别 , 数据完整性 , 不支持 数据保密 ;
封装有效载荷协议 ( ESP , Encapsulation Security Payload ) : 支持 源点鉴别 , 数据完整性 , 数据保密 ;
② 加密算法协议
③ 互联网密钥交换协议 ( IKE , Internet Key Exchange )
IP 安全数据报 : 使用 ESP 或 AH 协议的 IP 数据报 称为 IP 安全数据报 , 又称为 IPsec 数据报 ;
支持的 IP 协议版本 : IPsec 支持 IPv4 和 IPv6 两个版本的 IP 协议 ;
包含关系 : ESP 协议包含 AH 协议功能 ;
四、IP 安全数据报 工作方式
IP 安全数据包 工作方式 :
① 运输方式 ( Transport Mod ) :
组装 IP 安全数据报 : 运输层报文段 , 前后加上控制信息 , 再上述基础上 , 加上 IP 首部 , 组成 IP 安全数据报 ;
前提条件 : 只适合主机到主机之间的传送 , 两个主机之间都运行 IPsec 协议 ;
② 隧道方式 ( Tunnel Mode ) :
组装 IP 安全数据报 : 在 原始 IP 数据报 基础上 , 前后加上 控制信息 , 再添加新的 IP 首部信息 , 构成 IP 安全数据报 ;
前提条件 : IP 安全报文 所经过的路由器上 , 需要运行 IPsec 协议 ;
常用用途 : 虚拟专用网 VPN ;
③ IPsec 数据报加密 :
IP 首部是不能加密的 : 因为 途径的路由器 都需要根据该 IP 首部查找下一跳路由 ;
数据部分是加密的 : IPsec 数据报 的 数据部分是加密的 , 并且可以被鉴别 ;
有效载荷 : IPsec 数据报 中的 数据部分 称为 有效载荷 ;
五、安全关联 SA
安全关联 ( SA , Security Association ) : 发送 IP 安全数据报 前 , 在发送端 和 接收端 之间 , 建立一条 逻辑连接 ;
IPsec 协议将 无连接 的网络层 , 转为 有逻辑连接 的网络层 ;
安全关联 ( SA , Security Association ) 特点 :
① 单向连接 : SA 是 单向的 , 其作用是提供 安全的数据传输服务 ;
② 传输数据 : SA 主要作用是传输 IP 安全数据报 ;
③ 双向 SA : 在 往返两个方向都建立 SA , 即可进行 双向安全通信 ;
六、安全关联 SA 状态信息
建立安全关联 ( SA , Security Association ) 的双方需要维护的 状态信息 : 状态信息的作用是 描述如何进行 加密 / 解密 ;
① 安全参数索引 ( SPI , Security Parameter Index ) : 32 位 的 连接标识符 ;
② IP 地址 : SA 关联的 发送端 和 接收端 IP 地址 ;
③ 加密类型 : IPsec 数据报使用的 加密类型 , DES / AES ;
④ 密钥 : 加密使用的 密钥 ;
⑤ 完整性检查类型 : MD5 ( 报文摘要算法 ) , SHA-1 ( 安全散列算法 ) ;
⑥ 鉴别密钥 ;