第 6 章 IP 的安全6.1 IP 安全概述6.2 IP 安全体系结构6.3 实例： Windows 2000 对于 IPSec 的支持

6.1 IP 安全概述 6.1.1 IP 数据报的头格式

1 版本域：表示数据报相对应的 IP 协议是多少 , 目前是 4( 代表 IPv4, 但IPv6 也许要替代 IPv4 了 ) 2 首部长度： 4 位， IP 协议包头的长度，指明 IPv4 协议包头长度的字节数包含多少个 32 位。由于 IPv4 的包头可能包含可变数量的可选项，所以这个字段可以用来确定 IPv4 数据报中数据部分的偏移位置。 IPv4包头的最小长度是 20 个字节，因此 IHL 这个字段的最小值用十进制表示就是 5 (5x4 = 20 字节 ) 。就是说，它表示的是包头的总字节数是 4 字节的倍数。 3 服务类型：定义 IP 协议包的处理方法，它包含如下子字段

过程字段： 3 位，设置了数据包的重要性，取值越大数据越重要，取值范围为： 0 （正常） ~ 7 （网络控制） 延迟字段： 1 位，取值： 0 （正常）、 1 （期特低的延迟） 流量字段： 1 位，取值： 0 （正常）、 1 （期特高的流量） 可靠性字段： 1 位，取值： 0 （正常）、 1 （期特高的可靠性） 成本字段： 1 位，取值： 0 （正常）、 1 （期特最小成本） 未使用： 1 位

4 总长度域： IP 包的总长，以字节为单位 5 标识域：是源机赋予数据报的标识符，以便目的机进行分片的重组工作； 6 标志：是一个 3 位的控制字段，包含： 保留位 (2) ： 1 位 不分段位 (1) ： 1 位，取值： 0 （允许数据报分段） 1 （数据报不能分段） 更多段位 (0) ： 1 位，取值： 0 （数据包后面没有包，该包为最后的包）、 1 （数据包后面有更多的包） 7 段偏移量：当数据分组时，它和更多段位（ MF, More fragments ）进行连接，帮助目的主机将分段的包组合。偏移量是以 8个字节为单位的；

8 TTL ：表示数据包在网络上生存多久，每通过一个路由器该值减一，为 0 时将被路由器丢弃。 9 协议： 8 位，这个字段定义了 IP 数据报的数据部分使用的协议类型。常用的协议及其十进制数值包括 ICMP(1) 、 TCP(6) 、UDP(17) 。 10 校验和： 16 位，是 IPv4 数据报包头的校验和。 11 源 IP 地址：为发送方的 IP 地址 4 字节， 0x0a0x080x7a0xfe 对应 IP 地址 10.8.122.254 12 目的地址：接收方 IP 地址 13 选项域：该字段长度可变，主要用于控制和测试。

6.1.2 IP 安全面临的威胁 利用 IP 协议和 IP 协议处理程序的漏洞，黑客可以发起攻击。 IP 安全面临严重的威胁。下面我们来简要分析一下几种常见的 IP 攻击。 1. 网络监听 网络监听是一种常用的被动式网络攻击方法，它只监听数据流，而不修改数据包。它能帮助入侵者轻易地获得用其他方法很难获得的信息，包括用户账号、口令、敏感数据、 IP 地址、路由信息等，从而破坏了信息的保密性。网络监听可以在网络上的任何位置实施，在主机上实施比较容易，当主机处于监听模式下时，同一条物理信道上传输的所有信息都可以被接收到。网络监听奏效的根源在于所有的 IP 数据报是以明文形式传输信息的。

2. 拒绝服务攻击 拒绝服务攻击破坏信息的可用性。它使得被访问实体拒绝正常的服务请求。下面两种攻击都是典型的拒绝服务攻击。 （ 1 ） Smurf 攻击 Smurf 攻击利用多数服务器中具有的同时向许多计算机广播请求的功能。攻击者伪造一个合法的 IP 地址（攻击目标的 IP地址），然后由网络上所有的服务器广播请求，该请求要求所有的主机向该 IP 地址做出回答。由于这些数据包表面上看是来自于已知地址的合法请求，因此网络中的所有主机向这个地址做出回答，回答淹没了这台合法的机器，造成拒绝服务。

（ 2 ） SYN 洪水 主机的 TCP 连接的数目是有限制的。当主机上的 TCP 连接（包括已经建立和正在建立的连接）达到最大值后，主机不再接收连接请求。攻击者利用 TCP 处理程序的这个特点，进行 SYN洪水攻击。攻击者首先用伪造的 IP 地址向目标主机发出多个连接（ SYN）请求，目标主机则会发送确认信息（ ACK），并等待回答。由于伪造的 IP 地址（该 IP 目前不在使用中）不属于任何实际的机器，因此不会有回答，从而使连接保持开放，占用了连接数，阻塞了合法的数据流。

3. 源路由篡改 这是一种数据劫持攻击，破坏信息的可控性。在这种攻击中，攻击者篡改路由表表项（通常在边缘路由器上），使发送到某一站点的数据流改向传送到另一个站点上（在这个站点上信息可以被截获），或者什么地方都不发送。

4.IP 欺骗 IP欺骗是利用了主机之间的正常信任关系来发动的，实现非授权访问。 IP欺骗的攻击过程如下： （ 1 ）首先选定目标主机，并且找到被目标主机信任的主机； （ 2 ）其次黑掉这台被信任的主机，使之丧失工作能力。采样目标主机发出的 TCP 序列号，猜测出它的数据序列号。 （ 3 ）然后伪装成被信任的主机，建立起与目标主机基于地址验证的应用连接。如果成功，黑客可是使用一种简单的命令放置一个系统后门，以进行非授权操作。

5.IP 劫持攻击 IP劫持是一种主动攻击方式。可破坏信息的完整性和可控性。所谓 IP劫持是指，当用户连接远程机器的时候，攻击者接管用户的连线如同经过攻击者中转一样，能任意对连线交换的数据进行修改，冒充合法用户给服务器发送非法命令，或冒充服务器给用户返回虚假信息。

6.1.3 IP 安全的解决方案 IP 协议无法对网络上传输的数据提供完整性和机密性保密，无法对通信双方身份进行认证。这些安全问题之所以会出现，根本原因在于 IP 协议没有采用安全机制。 IETF 成立了 IP 安全协议工作组，提出了一系列的安全协议，构成了一个安全体系，全称为 IP Security Protocol，简称 IPSec 。

6.2 IP 安全体系结构 6.2.1 IPSec 概述 1. IPSec 的组成 IPSec 是指 IETF 以 RFC形式公布的一组安全协议集，属于 IP级的安全保护协议。其基本目的就是把安全机制引入 IP 协议，通过使用现代密码学方法支持机密性和认证性服务，使用户能有选择地使用这些服务，并期望获得期望中的安全性。

根据 RFC2401 ， IPSec 的安全结构包含以下 4 个基本部分： ①安全协议： AH 和 ESP ②安全联盟（ SA） ③密钥交换 ④认证和加密算法

2. IPSec 的功能 IPSec 是 IPv6必须支持的功能，对于 IPv4 来说，是一个建议的可选服务。 IPSec 将加密技术、消息摘要技术、身份认证技术等几种安全技术结合在一起，形成比较完整的安全体系结构。 IPSec提供的安全功能有： （ 1 ）访问控制 访问控制防止未经授权对资源进行访问。 IPSec中，需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。 IPSec 使用身份认证机制进行访问控制。

（ 2 ）数据源认证和无连接认证 数据源认证对数据来源所声明的身份进行验证。无连接完整性服务对单份数据包是否被修改进行检查，而对数据包的到达顺序不作要求。 IPSec 使用消息鉴别机制实现数据源认证服务和无连接性服务。 （ 3 ）抗重放 亦称为部分序号完整性服务，是指防止攻击者截取和复制 IP 包，然后再发送到目的地。 IPSec根据 IPSec 头中的序号字段，使用滑动窗口原理，实现抗重放服务。 （ 4 ）机密性和有限传输流量的机密性 相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务能够防止通信的外部属性（源地址、目的地址、消息长度和通信频率等）的泄露，从而使攻击者无法对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。

IPSec采用了 AH 和 ESP两个协议提供传输安全。 IP AH提供无连接完整性、数据源认证和可选的抗重放服务。 ESP 协议可提供机密性和受限传输流机密性，还可提供无连接完整性、数据源认证和抗重放服务。这些协议可单独使用或组合使用，以提供所希望的安全服务。 IPSec 的安全服务有 IP层提供，所以能被更高层的协议所利用（如： TCP 、 UDP 、 ICMP 、 BGP等），应用程序不需要更改就可使用 IPSec提供的服务。 IPSec提供的安全服务对于终端用户来说也是透明的，终端用户无须接收安全方面的专门培训就可使用。

6.2.2 安全关联（ Security Association, SA ） 1.SA的定义 SA是一个单向的逻辑连接。它实质上是一组参数的集合，是通信双方对参数的协商。 SA为逻辑连接上传输的数据提供安全保护。因为 SA是单向的，所以如果通信双方要建立双向安全通信，需要建立两个 SA。

SA由三个参数唯一确定： Security Parameters Index(SPI) ：安全变量索引。分配给这个 SA的一个位串并且只有本地有效。 SPI 在 AH 和 ESP 报头中出现，以使得接收系统选择 SA并在其下处理一个收到的报文。 IP 目的地址：目前，只允许单点传送地址；这是该 SA的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。 安全协议标识符：表明是 AH还是 ESP 的 SA

安全关联－ SA用于通信对等方之间对某些要素的一种协定，如： IPSec 协议 协议的操作模式：传输、隧道 密码算法 密钥 用于保护数据流的密钥的生存期

安全关联－ SA 通过像 IKE 这样的密钥管理协议在通信对等方之间协商而

生成 当一个 SA 协商完成后，两个对等方都在其安全关联数据

库 (SAD) 中存储该 SA 参数 SA 具有一定的生存期，当过期时，要么中止该 SA ，要么

用新的 SA 替换 终止的 SA 将从 SAD 中删除

安全关联－ SA

SAn……SA3SA2SA1

安全关联－ SA

安全参数索引32 位整数，唯一标识 SA1 － 255 被 IANA 保留将来使用0 被保留用于本地实现

SAn……SA3SA2SA1

安全关联－ SA

输出处理 SA 的目的 IP 地址输入处理 SA 的源 IP 地址

SAn……SA3SA2SA1

安全关联－ SA

AHESP

SAn……SA3SA2SA1

安全关联－ SA

32 位整数，刚开始通常为 0每次用 SA 来保护一个包时增 1用于生成 AH 或 ESP 头中的序列号域在溢出之前， SA 会重新进行协商

SAn……SA3SA2SA1

安全关联－ SA

用于外出包处理标识序列号计数器的溢出时，一个 SA 是否仍可以用来处理其余的包

SAn……SA3SA2SA1

安全关联－ SA

使用一个 32 位计数器和位图确定一个输入的 AH 或 ESP 数据包是否是一个重放包

SAn……SA3SA2SA1

安全关联－ SA

AH 认证密码算法和所需要的密钥

SAn……SA3SA2SA1

安全关联－ SA

ESP 认证密码算法和所需要的密钥

SAn……SA3SA2SA1

安全关联－ SA

ESP 加密算法，密钥，初始化向量 (IV) 和 IV 模式IV 模式： ECB ， CBC ， CFB ， OFB

SAn……SA3SA2SA1

安全关联－ SA

传输模式隧道模式通配模式：暗示可用于传输隧道模式

SAn……SA3SA2SA1

安全关联－ SA

路径最大传输单元是可测量和可变化的它是 IP 数据报经过一个特定的从源主机到 目的主机的网络路由而无需分段的 IP 数据 包的最大长度

SAn……SA3SA2SA1

安全关联－ SA

包含一个时间间隔外加一个当该 SA 过期时是被替代还是终止采用软和硬的存活时间：软存活时间用于在 SA 会到期之前通知内核，便于在硬存活时间 到来之前内核能及时协商新的 SA

SAn……SA3SA2SA1

3.SA的两个数据库 要实现 IPSec ，必须维护两个数据库：安全策略数据库和安全关联数据库。 （ 1 ）安全策略数据库（ Security Policy Database, SPD ） 安全策略数据库定义提供给 IP 数据报的服务，以及这些服务的提供方式。所有 IP 数据报的输入和输出（包括 IPSec传输和非 IPSec传输）的处理都必须咨询 SPD 。 对于输出的数据报，必须先查阅 SPD ，以决定提供给它的安全服务。对于输入的数据报，也要检索 SPD ，判断为其提供的安全保护是否和策略规定的安全保护相符。

（ 2 ）安全关联数据库（ Security Association Database, SAD ）

安全关联数据库为输入和输出的数据报维持一个活动的 SA列表。 SAD 中存放现行的 SA 条目。 SA的管理可以由管理员手工操作，也可以通过 IKE来进行。 IKE可以自动建立 SA并动态维护 SA。

对数据报的处理需要访问 SPD和 SAD两个数据库。为了提高访问效率， SPD的每条记录都有指向 SAD相应记录的指针，反之亦然。

输出数据报处理SPD SAD

输出

处理输出的数据报，必须先查询 SPD ，获得指向 SAD 中相应记录的指针，再在 SAD 中查询进行处理所需的参数。如果 SA 在 SPD未建立，则使用 IKE 进行协商，建立 SPD 和 SAD 间的指针。

输入数据报处理SPD SAD

输入

处理输入的数据报，则需先查询 SAD ，对 IPSec 数据报进行还原，再根据 SAD 中指向 SPD 的指针，查找相应的数据，验证该数据报应用的策略与 SPD 中规定的是否相符。

IPSec 的体系结构

6.2.3 AH 协议（ Authentication Header ） AH 协议是 IPSec 协议集的重要协议之一， IP AH 为 IP数据报提供无连接完整性、数据源认证和抗重放攻击。AH采用的是数字签名和验证原理，将数据报通过消息摘要算法，计算摘要值。如果数据报中有稍微的改变，摘要值就会改变，因此能够保证数据报的完整性。数据源认证是通过在数据包中包含一个通信双方共享的密钥来保证的。抗重放攻击是通过在 AH 中使用一个序列号来实现的。

1.AH 的报头格式

Next Header （下一个报头）： 用来定义紧跟 AH 头之后的下一个头的类型。该域的取值是选自 IANA定义的 IP 协议号集合。 Payload Length（有效载荷长度）：以 32比特为单位的 AH 的长度减 2 。 Reserved （保留）：保留为今后使用，发送时该域必须置全零。因为保留字段的值要参与认证值计算。

Security Parameters Index (SPI ，安全参数索引 ) ： 它与 IP 目的地址和安全协议（ AH ）这三元组为该数据报唯一地指定它所用的 SA。 1~255 的 SPI 值由 IANA保留，以便将来使用。这些值不会被 IANA分配出去， IANA会在 RFC 中公布这些 SPI 值的指定用途。 SPI 值为 0 是保留给本地的特定实现使用的，不允许在线路上发送。 例如，当 IPSec 实现要求它的密钥管理试题建立新 SA，但 SA仍然没有建立时，密钥管理实现可以使用 SPI 的0 值表示“没有安全关联存在”。

Sequence Number （序列号）：该域有 32 位，是一个无符号的单调递增的计数器，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。 Authentication Data （ AD ，认证数据）：该域长度可变，但必须是 32bit 的整数倍。 包含完整性检查值和填充值（保证AH 头的长度是 32bit （ IPv4 ）或者64bit （ IPv6 ）的整数倍）。接收端接收数据包后，首先执行 hash计算，再与发送端所计算的该字段值比较，若两者相等，表示数据完整，若在传输过程中数据遭修改，两个计算结果不一致，则丢弃该数据包。

2.AH 的模式 （ 1 ）传输模式 传输模式只对上层协议数据和选择的 IP 头字段提供认证保护，切仅适用于主机与主机之间的安全通信。采用传输模式， IP 数据报的封装模式如图所示：

在应用中， AH 可以采用两种模式：传输模式和隧道模式。

传输模式下的 AH封装：

采用传输模式的 IP 数据报， AH 头插在原 IP 头之后，封装后的 IP 头仍然是原 IP 头，但是 IP 头中的协议字段由原来的值变为 51 ，表示 IP 头后紧跟 AH 头。而 AH 的下一个字段则记录原 IP 头中协议字段的值，表示AH 头之后是上层协议头。 采用传输模式， AH 在主机上实现，这样虽能够减轻安全网关的通信负担，但是无法实现对端用户的透明服务。

（ 2 ）隧道模式 隧道模式对整个 IP 数据项提供认证保护。适用于主机和安全网关之间、安全网关和安全网关之间的安全通信。只要通信一方是安全网关，就必须采用隧道模式。采用隧道模式时， AH 在安全网关实现。 采用隧道模式的 IP 数据报， AH 头放置在原 IP 头之前，然后在 AH 头之前再添加一个新的 IP 头。 IP 数据报的封装模式如图：

隧道模式下的 AH封装：

采用隧道模式的优点有：安全网关所保护的子网内的所有用户都可以透明地享受安全网关提供的安全保护；子网内可以使用私有 IP 地址，节省成本，而且还能保护子网内部的拓扑结构。但是隧道模式也存在缺点： AH 在安全网关实现，增加了网关的负载，容易形成通信瓶颈。

3.AH 的认证算法 AH 的认证算法用于计算 ICV的认证算法由 SA指定。最新的 Internet草案建议的 AH认证算法是 HMAC-MD5 、 HMAC-SHA。

6.2.4 ESP 协议 ESP提供机密性、数据完整性、无连接的完整性、抗重播服务和有限信息流机密性。 AH 协议只确认信息的来源和完整性，而不能保护信息的机密性。 ESP 协议则不仅能够保证信息的机密性，而且也能保证信息的完整性。只不过 ESP提供的认证范围比 AH 小， ESP只认证 ESP 头之后的信息。

安全参数索引 SPI：长度有 32bit ， SPI 和 IP 目的地址、安全协议（ ESP ）三元组用于标识数据报所属的SA。同AH 中的 SPI 一样，从 1~255 的这组 SPI 是由IANA保留给将来使用的； SPI 的值为 0 是保留给本地的特定实现使用的，不允许在线路上发送。 序列号：是无符号、 32bit 的字段，它是一个单增计数器，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。如果没有选择抗重播攻击，计数器的值可以循环。

有效载荷数据：该字段长度可变，但必须是 8bit 的整数倍。有效载荷数据字段是强制出现的。它存放同步数据（例如：有些加密算法要求有初始化向量）和要保护的数据。如果加密算法要求有同步数据，则必须明确指明同步数据的长度、结构和位置。 填充项：填充字段是可选的，但是所有实现必须支持填充字段的产生和消耗。填充字段的长度为 0~255 字节。填充字段的出现是为了满足某些加密算法的要求。例如：保证明文是某个数量字节的倍数。 填充长度：填充长度字段指明紧跟其前的填充字节的个数。有效值范围是 0~255 ， 0 表明没有填充字节。填充长度字段是强制性的。

下一个报头：标识有效载荷字段中包含的数据类型，例如： IPv6 中的扩展头或者上层协议标识符。 验证数据：验证字段是可变长字段，它包含一个完整性校验值（ ICV）， ESP 分组中该值的计算不好喊验证数据本身。字段长度由选择的验证函数指定。验证数据字段是可选的，只有 SA选择验证服务，才包含验证数据字段。验证算法规范必须指定 ICV长度、验证的比较规则和处理步骤。

2.ESP模式 （ 1 ）传输模式 传输模式保护上层协议数据，但不包括 IP 头。它适用于主机之间的安全通信。在传输模式中， ESP 协议将上层协议数据作为 ESP封装的载荷数据。 ESP 头插在原 IP 头之后。 ESP尾插在原 IP 头之后。 ESP尾插在原数据报的 data 字段之后。 采用传输模式的 IP 数据报封装格式如图：

传输模式下的 ESP 封装：

（ 2 ）隧道模式 隧道模式保护整个 IP 数据报，包括 IP 头。它适用于主机和安全网关、安全网关之间的安全通信。在隧道模式下， ESP 协议先将原 IP 数据报作为 ESP封装的载荷数据，然后再为 ESP 分组构造新的 IP 头（即 ESP分组利用 IP 包传输方式进行传送）。采用隧道模式的IP 数据报封装格式如图：

隧道模式下的 ESP 封装：

6.2.5 Internet密钥交换协议 1.因特网安全联盟和密钥管理协议 ISAKMP （ Internet Security Association and Key Management Protocol ） ISAKMP 定义协商、建立、修改和删除 SA的过程和包格式 (RFC240

8) ISAKMP 被设计为与密钥交换协议无关的协议，即不受任何具体的密钥交换协议、密码算法、密钥生成技术或认证机制

通信双方通过 ISAKMP向对方提供自己支持的功能从而协商共同的安全属性

ISAKMP消息可通过 TCP 和 UDP传输： Port 500

2.Internet密钥交换 IKE IKE是一个混合协议，使用到三个不同协议的相关部分： － ISAKMP －Oakley 密钥确定协议 － SKEME IKE实际定义了一个密钥交换，而 ISAKMP仅仅提供了一个可由任意密钥交换协议使用的通用密钥交换框架。

IKE共定义了 5钟模式的交换：“主模式”、“积极模式”、“快速模式”、“新组模式”、“ ISAKMP信息交换”。 “新组模式”为通信各方协商一个新的 Diffie-Hellman 组类型； “ISAKMP信息交换”用于 IKE通信双方之间传送错误以及状态信息。 IKE使用了 ISAKMP 中定义的“阶段”概念： 第一阶段，两个 ISAKMP 实体建立一个安全、验证过的信道来进行通信，此时的信道被称为 ISAKMP 安全联盟（ SA）。 “主模式”和“积极模式”只能在第一阶段使用。 第二阶段，对安全联盟可提供的服务以及所需要的密钥和参数进行协商，这些服务可以是 IPSec或任何其他需要密钥材料或者需要协商参数的服务。第二阶段可使用的模式是“快速模式”。

6.2.6 加密和验证算法 IPSec 标准规定可使用的加密标准有 DES 、 3DES 、 RC5 、 IDEA、3IDEA、 CAST 、 Blowfish。为了让通信双方能够成功地协商加密算法，使得不同 IPSec 实现能够兼容，目前 IPSec 标准规定任何的 IPSec 实现都必须支持 DES 。 IPSec 协议使用 HMAC 作为验证算法，可用于 AH 和 ESP 。 HMAC是一个带密钥的认证算法， HMAC 将消息的一部分和密钥作为输入，以消息鉴别码（ MAC ）作为输出。 HMAC提供的数据完整性和数据原始性认证依赖于密钥的分发范围。如果只有发送方和接收方知道密码，它就提供了收发放之间数据包的原始数据鉴定和完整性检查；如果消息鉴别码（ MAC ）是正确的，那就能证明是发送方发来的信息，并且消息正确无误。

6.2.7 IPSec 的实现方式 IPSec 保障 IP层的安全性。为了让用户透明地使用 IPSec提供的服务，发送方的主机在 IP 数据报上添加和改变的信息，接收方的主机必须能够还原。这就引入了如何实现 IPSec 的问题。在主机或安全网关（路由器、防火墙）上， IPSec 可以有几种实现方式。

（ 1 ） IPSec完全嵌入原有的 IP层实现 这种方法将 IP 安全性支持引入 IP层，并且作为任何 IP 实现的一个必备部分。这要求对整个 IP 协议栈重新改写以支持上述改变。 （ 2 ） BITS （ Bump-in-the-stack）实现 在原有 IP 协议栈的下层，即原有的 IP 协议层和网络设备驱动之间实现 IPSec 。该方法适用于遗留系统。 （ 3 ） BITW （ Bump-in-the-wire ）实现 采用外接加密处理设备对 IP 数据报进行相关的安全性处理。这种硬件设备通常作为安全网关使用，为位于它后面的所有系统发送的 IP 数据报服务。 BITW 实现是军方、金融系统常采用的网络安全系统设计方案。

6.3 实例： Windows 2000 对于 IPSec 的支持 实验课