以下內(nèi)容摘自業(yè)界唯一一本真正從全局視角介紹網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的圖書——《網(wǎng)絡(luò)工程師必讀——網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)》一書。目前該書在卓越網(wǎng)上僅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360??

8.5.1 IPSec邏輯體系架構(gòu)

有多個(gè)RFC定義了IPSec組件和體系架構(gòu)。這些組件和它們之間的關(guān)系構(gòu)成了IPSec體系架構(gòu)。本部分主要討論IPSec邏輯體系架色的基本組成，以及這些組件在Windows Server 2003中是如何協(xié)同工作的。

遵照IETF對(duì)IPSec協(xié)議的定義，在Windows Server 2003系統(tǒng)中，IPSec體系架構(gòu)主要包括以下幾個(gè)部分：

n 安全關(guān)聯(lián)（SA）

n SA和密鑰管理支持

n IPSec協(xié)議

n 算法和方法

1. 安全關(guān)聯(lián)（SA）

安全關(guān)聯(lián)（Security Associations，SA）是由互認(rèn)策略、定義安全服務(wù)密鑰機(jī)制和在IPSec通信雙方保護(hù)安全通信的密鑰組成。每個(gè)SA是為所負(fù)責(zé)的通信提供單方向，或者單一連接的安全保護(hù)。

因?yàn)镾A僅是單方向的定義，所以每個(gè)IPSec會(huì)話需要兩個(gè)SA。例如，如果IPSec協(xié)議的AH和ESP封裝方式同時(shí)在通信雙方的IPSec會(huì)話中應(yīng)用，則需要4個(gè)SA。

IPSec安全通信的SA需要2個(gè)數(shù)據(jù)庫：1個(gè)安全策略數(shù)據(jù)庫（Security Policy Database，SPD），一個(gè)安全關(guān)聯(lián)數(shù)據(jù)庫（Security Association Database，SAD）。SPD保存SA建立所需的安全需求和策略需求。它被應(yīng)用于出/入兩個(gè)方向的數(shù)據(jù)包處理期間。IPSec檢查出/入方向的數(shù)據(jù)包，以確保是符合安全策略需求。

SAD包括每個(gè)活動(dòng)SA的參數(shù)。IKE協(xié)議是在SAD中自動(dòng)封裝的。SA建立后，SA信息將被存儲(chǔ)在SAD中。圖8-12顯示了SA、SPD以及SAD之間的關(guān)系。對(duì)數(shù)據(jù)包進(jìn)行IPsec處理時(shí)，要查詢SPD和SAD。為了提高速度，SPD的每一條記錄都應(yīng)有指向SAD中相應(yīng)記錄的指針，反之亦然。對(duì)于外出處理，先查詢SPD，獲得指向SA的指針，再在SAD查詢進(jìn)行處理所需參數(shù)。如SA未建立，則應(yīng)使用IKE協(xié)商，并建立SPD和SAD間的指針。對(duì)于進(jìn)入處理，先查詢SAD，對(duì)IPsec包進(jìn)行還原，取出指向SPD的指針，然后驗(yàn)證該包應(yīng)用的策略與SPD中規(guī)定的是否相符。

圖8-12 SA、SAD、SPD之間的邏輯關(guān)系

一個(gè)IPsec系統(tǒng)中SPD分為進(jìn)入SPD和外出SPD，均處于內(nèi)核中。系統(tǒng)初始化時(shí)，將策略庫中的每一條記錄分別裝入進(jìn)入SPD和外出SPD中。為了確保SPD的有效性和安全性，應(yīng)定期進(jìn)行更新和刷新。SAD的每一條記錄對(duì)應(yīng)一個(gè)SA。SA經(jīng)IKE協(xié)商得到，并以有序散列鏈表的形式組織。而且，SAD也分為進(jìn)入SAD和外出SAD，分別與進(jìn)入散列鏈表和外出散列鏈表相對(duì)應(yīng)。進(jìn)入散列鏈表用SA中的IPsec源地址計(jì)算散列值，外出散列鏈表用SA中的IPsec目的地址計(jì)算散列值。

SA的維護(hù)視SA的建立方式而定。如采用自動(dòng)方式協(xié)商SA，則根據(jù)SA生存期的狀態(tài)和序號(hào)計(jì)數(shù)器的溢出標(biāo)志來決定SA的有效性。生存期分為軟生存期和硬生存期。軟生存期狀態(tài)決定發(fā)送方是否可用SA發(fā)送數(shù)據(jù)包，硬生存期狀態(tài)決定接收方是否可用SA來處理收到的數(shù)據(jù)包。當(dāng)一個(gè)SA的軟生存期期滿時(shí)，發(fā)送方不能繼續(xù)用其來發(fā)送數(shù)據(jù)包，此時(shí)，可以啟動(dòng)或觸發(fā)IKE再協(xié)商一個(gè)。使用軟、硬生存機(jī)制可保證通信的持續(xù)性。如采用手工方式建立SA，則不存在生存期，僅根據(jù)序號(hào)計(jì)數(shù)器的溢出標(biāo)志來決定SA的有效性。如SPD或SAD過于龐大，則可將一部分置于用戶空間。

2. SA和密鑰管理

IPSec需要SA和密鑰管理支持。ISAKMP（Internet Security Association and Key Management Protocol，互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議）通過協(xié)商、建立、修改和刪除SA過程定義了身份認(rèn)證和密鑰交換框架。但它不定義實(shí)際的密鑰交換，只提供框架。

IPSec需要支持手動(dòng)和自動(dòng)兩種方式的SA和密鑰管理。IKE是IPSec默認(rèn)的自動(dòng)密鑰管理協(xié)議的。IKE是一種混合協(xié)議，合并了Oakley密鑰交換協(xié)議的一部分和SKEME密鑰技術(shù)協(xié)議。圖8-13顯示了ISAKMP、Oakley和SKEME協(xié)議之間的關(guān)系。

Oakley協(xié)議使用Diffie-Hellman密鑰交換或者密鑰許可算法來創(chuàng)建一個(gè)唯一、共享的的加密密鑰，這個(gè)密鑰是作為產(chǎn)生身份認(rèn)證和加密所需的密鑰材料。例如，一個(gè)共享加密密鑰可以當(dāng)作DES加密算法所需的密鑰材料。Diffie-Hellman交換可以使用一個(gè)用來定義為在密鑰交換過程中使用而創(chuàng)建的基礎(chǔ)主號(hào)碼長度的組號(hào)。號(hào)碼越長，加密能力越強(qiáng)。典型的Diffie-Hellman組包括組1（密鑰長度為768位）、組2（密鑰長度為1024位）和組14（密鑰長度為2048位）。圖8-14顯示了Oakley協(xié)議、Diffie-Hellman算法和有名的Diffie-Hellman密鑰交換組之間的關(guān)系。

圖8-13 ISAKMP與IKE，以及IKE與Oakley和SKEME協(xié)議之間的關(guān)系 圖8-14 Oakley與Diffie-Hellman算法和Diffie-Hellman組之間的關(guān)系

Oakley協(xié)議定義了多種密鑰交換過程模式。這些模式符合在ISAKMP協(xié)議中定義的兩個(gè)協(xié)商步驟。步驟1，Oakley協(xié)議定義兩種法則模式：主模式（Main mode）和***性模式（Aggressive mode）。Windows IPSec不采用***性模式。步驟2：Oakley協(xié)議只定義一個(gè)模式，即：快速模式（Quick mode）快速模式。

3. IPSec協(xié)議

為IP層（也即網(wǎng)絡(luò)層）提供安全保護(hù)，IPSec定義了兩個(gè)協(xié)議：身份認(rèn)證頭（Authentication Header，AH）和封裝安全載荷（Encapsulating Security Payload，ESP）。這兩個(gè)協(xié)議為SA提供安全服務(wù)。每個(gè)SA是由SPI（Security Parameters Index，安全參數(shù)索引）、目的IP地址和安全協(xié)議（AH或者ESP）頭進(jìn)行標(biāo)識(shí)的。

在SA中，SPI是唯一的，用來在區(qū)別同一個(gè)接收請(qǐng)求計(jì)算機(jī)上的多個(gè)SA。例如，IPSec與兩臺(tái)計(jì)算機(jī)進(jìn)行通信，則在每臺(tái)計(jì)算機(jī)上就需要兩個(gè)SA。一個(gè)SA服務(wù)于入方向的通信，一個(gè)SA服務(wù)于出方向的通信。因?yàn)閷?duì)于這兩個(gè)SA來說，IPSec通信端的IP地址是一樣的，SPI就可以用于區(qū)別入方向和出方向SA。因?yàn)槊總€(gè)SA的加密密鑰不同，所以每個(gè)SA必須被唯一標(biāo)識(shí)。

圖8-15顯示了SA、SPI、目標(biāo)IP地址和安全協(xié)議（AH或者ESP）之間的關(guān)系，其實(shí)也是IPSec協(xié)議組成和SA體系架構(gòu)。從圖中可以看出，在SA中包括了IP頭和AH或者ESP頭兩個(gè)大部分。而在IP頭中包括了IP地址，而AH或者ESP頭中包括了SPI。具體這兩個(gè)協(xié)議的包格式將在本章后面介紹。

圖8-15 IPSec協(xié)議和SA體系架構(gòu)

4. 算法和方法

IPSec協(xié)議使用身份認(rèn)證、加密和密鑰交換算法。在AH和ESP協(xié)議中，有兩種身份認(rèn)證或者加密哈希算法：HMAC-MD5 （Hash Message Authentication Code with MD5，哈段消息認(rèn)證代碼-消息摘要5） 和HMAC-SHA-1（Hashed Message Authentication code with Secure Hash Algoritm-1，帶有安全哈然算法1的哈希消息身份認(rèn)證代碼）。在ESP中還可以使用DES和3DES（Triple DES）加密算法。圖8-16顯示了身份認(rèn)證和加密算法，以及安全協(xié)議之間（AH或者ESP）的關(guān)系。

IPSec的身份認(rèn)證方法是由IKE協(xié)議定義的，被分為三類：數(shù)字簽名、公鑰證書和預(yù)共享密鑰。圖8-17顯示了IKE協(xié)議和這三種身份認(rèn)證方法之間的關(guān)系。

圖8-16 IPSec協(xié)議及與身份認(rèn)證、加密算法和安全協(xié)議之間的關(guān)系 圖8-17 IKE與身份認(rèn)證方法之間的關(guān)系

總結(jié)

以上是生活随笔為你收集整理的IPSec逻辑体系架构的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。