（信号与信息处理专业论文）下一代密钥交换协议理论分析与实现.pdf

摘要 安全协议族i p s e c 是目前的i p 安全标准。i p s e c 提供的安全服务，如源认证 和完整性保护等都需要用到安全关联s a ( s e c u r i t ya s s o c i a t i o n ) ，协议族定义了一 种标准的管理s a 的协 义密钥交换协议i k e ( i n t e m e tk e ye x c h a n g ep r o t o c 0 1 ) 。 密钥交换协议是安全协议族i p s e c 中最关键、最重要的协议，其对安全协议的重 要性是不言而喻的。对密钥交换协议的研究是网络安全研究中的热点，本文就是 对该协议进行了研究和实现。 论文首先分析、总结了第一代i k e 协议中存在的典型缺点：协议过于复杂、 消息数目太多；容易受拒绝服务d o s ( d e n yo f s e r v i c e ) 攻击：适用范围也受到限 制等。鉴于第一代的密钥交换协议存在的问题，寻求下一代安全的密钥交换协议 ( s o no f i k e ) 显得迫切。接着比较分析了下代的密钥交换协议中典型代表协议： i k e v 2 和j f k ( j u s tf a s tk e y i n g ) 。其中i k e v 2 是i k e 的第2 版，仍保留了i k e 中 的协商机制。而j f k 是一个新的协议，消除了i k e 中的协商机制。同时j f k 抛 弃了i k e 和i k e v 2 中两个阶段的概念，使协议消息数目减少，从而提高了运行 效率：i k e v 2 和j f k 都具有抗d o s 攻击的能力及身份保护的能力。鉴于i k e v 2 和j f k 的特点，j f k 在安全和效率上更优于i k e v 2 。最后，作者选择了j f k 协 议标准( 草案) ，同时编写了下一代密钥交换协议程序并嵌入到安全路由器的实时 操作系统r t o s ( r e a l t i m eo p e r a t i n gs y s t e m ) v x w o r k s 中，获得了满意的效果。 下一代密钥交换协议j f k 在安全路由器中的实现，根除了i k e 本身的固有 复杂性所可能引起的安全性问题。通过对安全路由器进行不关机测试，结果证明 了j f k 不仅能够为i p s e c 提供安全关联的管理，也提高了密钥管理的效率，而且 协议运行稳定可靠。安全路由器中实现下一代的密钥交换协议，不仅在保证政府、 国防安全通信方面具有重要的现实意义，而且在企业等领域的安全通信同样具有 重要的社会效益。 关键词：安全协议、密钥交换协议、安全关联、拒绝服务、i k e v 2 、j f k a b s t r a c t i p s e ci st h es t a n d a r dp r o t o c o lf a m i l yo fi ps e c u r i t y t h es e c u r i t ys e r v i c eo fl p s e c ， s u c ha ss o u r c ec e r t i f i c a t i o na n d i n t e g r a l i t yp r o t e c t i o n ，n e e d ss a ( s e c u r i t y a s s o c i a t i o n ) ，s oi p s e cd e f i n e dap r o t o c o ln a m e di k e ( i n t e m e tk e ye x c h a n g ep r o t o c 0 1 ) t om a n a g es a i ti st h em o s ti m p o r t a n tk e yp r o t o c o lt h a tt h er e s e a r c ho fk e ye x c h a n g e p r o t o c o lb e c o m e st h ef o c u si nt h er e s e a r c ho fn e t w o r ks e c u r i t y t h i sd i s s e r t a t i o ni s a i m e da tr e s e a r c h i n ga n di m p l e m e n t a t i o no ft h i sp r o t o c 0 1 f i r s t l yt h i sd i s s e r t a t i o na n a l y s e sa n ds u m m a r i z e st h eb u g so f t h es t a n d a r di k e p r o t o c o lw h i c hi st o oc o m p l e x i t ya n dh a st o om a n ym e s s a g e sa n d i sl i a b l et os u f f e r d o sa t t a c ka n dh a st h el i m i t a t i o no fu s e b e c a u s eo ft h e s eb u g si ni k ei ti si m p o r t a n t t or e s e a r c ht h es o no fi k e s e c o n d l yt h i sd i s s e r t a t i o na n a l y s e sa n dc o m p a r e si k e v 2 a n dj f k ( j u s tf a s tk e y i n g ) ，w h i c ha r et h er e p r e s e n t a t i o np r o t o c o l so fs o no fi k ea n d o n l yd r a f t so fi e t fn o w i k e v 2i st h en e x tv e r s i o no fi k ew h i c hr e m a i n st h e n e g o t i a t i o na n d t w op h a s e si ni k e b u tj f ki sac o m p l e t e l yn e wp r o t o c o li t d i m i n i s h e st h en e g o t i a t i o na n d t w op h a s e s t h en u m b e ro fm e s s a g e sb e c o m e sl e s ss o t h ee f f i c i e n c yo f p r o t o c o li se n h a n c e d b o t ho fj f ka n di k e v 2h a v et h ea b i l i t yt o p r o t e c tt h ei d e n t i t ya n dd e f e n s ed o sa t t a c k s oj f ki sb e t t e rt h a ni k e v 2i ns e c u r i t y a n de f f i c i e n c y l a s t l yic h o o s ej f kp r o t o c o la n dp r o g r a m m et h ep r o t o c o la n de m b e d i ti nt h er t o s ( r e a l - t i m eo p e r a t i n gs y s t e m ) - - v x w o r k so fs e c u r i t yr o u t e ra n dt h e e f f e c tisb e t t e r t h ei m p l e m e n t a t i o no fs o no fi k ei ns e c u r i t yr o u t e rd e r a c i n a t e st h eb u g so fl k e b e c a u s eo fi t si n t r i n s i cc o m p l e x i t y i ti sp r o v e dt h a tt h ep r o t o c o lc a np r o v i d et h e m a n a g e m e n to fs a ，a tt h es a m et i m et h ee f f i c i e n c yi se n h a n c e d t h ep r o t o c o lr u n s s t a b l yw h e nl e tt h es e c u r i t yr o u t e rb e t h ei m p l e m e n t a t i o no fj f k i ns e c u r i t yr o u t e ri s o fg r e a ts i g n i f i c a n c ef o r t h es e c u r i t yc o m m u n i c a t i o no fg o v e r n m e n ta n dn a t i o n a l d e f e n s e ，a tt h es a m et i m ei so fg r e a tb e n e f i tt ot h ee n t e r p r i s e s k e y w o r d s ：i p s e c 、i k e 、d o s 、s a 、i k e v 2 、j f k 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得成都理工大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名： 关于论文使用授权的说明 本人完全了解成都理工大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公命论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：导师签名：同 期： 第一章，j l 高 第一章引言 t c p i p 协议构建的互联网的丌放性，决定它们在安全方面存在着先天的缺 陷。基于t c p i p 的互联网的先天脆弱和缺陷也使其成为大多数信息高科技犯 罪，包括黑客的入侵、恶意攻击网站、数字信息盗窃以及计算机病毒传播等等 的温床。这使得人们在饱尝信息时代带来的种种快捷与方便的同时，又不得不 担心其潜在危险的一面。所以，信息安全和网络安全问题也越来越受到人们的 重视，并迅速成为发展最快的技术之一。 1 1i p 安全与i p s e c t c p i p 互联网的先天缺陷主要来源于i p 协议的无连接、完全丌放、无任 何安全措施等特性上，所以必须对i p 协议进行安全处理。在此背景下，i p s e c 应运而生。i p s e c 作为一种协议套件可以“无缝”地为i p 引入安全特性，并提 供数据源目的身份鉴别、数据完整性检查以及机密性保护机制，保证协议和数 据的安全。 目前，i p s e c 是适用于所有i n t e m e t 通信的一种安全技术，适用于i p v 4 和 i p v 6 。除此之外，i p s e c 可以为运行于i p 上层的任何一种协议提供安全保护， 如t c p 、u d p 和i c m p 等。i p s e c 是目f j 矿最易于扩展、最完整的一种网络安全 协议。凭借i p s e c ，i n t e m e t 的安全体系将迈入一个崭新的时代。 i p s e c 作用在t c p i p 模型的i p 层，为i p 及上层协议( o nu d p 和t c p ) 提供 安全保护。为了保障i p 包的安全，i p s e c 定义了一套特殊的方法，规定要保护 什么通信，怎样保护，以及允许何人向何人发送数据等。通过这套方法，i p s e c 就能够保障主机之间、网络安全网关( 路由器和防火墙) 之间或主机与安全网关 之间的数据包的安全。受i p s e c 保护的数据包本身仍是一种i p 包，这就意味着 通过i p s e c 可以向同一个i p 包嵌套多利- 安伞服务，如在通信主机之问提供端到 端鉴别，然后通过安全网关之间的通道获得加密服务等。这种以整个i p 包为操 作对象的实现方法很容易地向上层提供机密性、完整性、访问控制、源认证和 成都理丁大学硕l j 论义 下一代密钏交换协泌理论分析0 实现 抗重播等安全服务。 i p s e c 通过向原i p 包中增加一扩展头来标识经鉴别和加密的包，这种扩展 头来自于两种i p s e c 协议：鉴别头a h ( a u t h e m i c a t i o nh e a d e r ) 或封装安全载荷 e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 。a h 可以向数据提供源认证、完整性和抗 重播服务；e s p 则更进步，除了具有a h 的所有能力外，还可以向数据提供 可选择的保密性以及受限流量保密服务。需要注意的是，a h 和e s p 所提供的 安全保护完全依赖于它们所采用的加密算法。 1 2 密钥交换协议的背景和意义 安全关联s a 是i p s e c 的基础，a h 和e s p 均使用s a 。s a 是通信实体经 过协商建立起来的一种简单的“连接”，规定用来保护数据的i p s e c 协议类型、 加密算法、认证方式、加密和认证密钥、密钥的生存时间等，为所承载的流量 提供安全服务。 密钥交换协议i k e t l l 是i p s e c 规定的用来自动管理s a 的协议，包括协商、 更新和删除s a 等。 可见密钥交换协议是安全协议族i p s e c 1 ，最关键、最重要的协议，其对安 全协议的重要性是不言而喻的。只有安全的密钥交换协议才能保证有安全的 i p s e c 协议，对密钥交换协议的研究已成为网络安全中的热点。 i p s e c 协议中规定的标准密钥交换我们称其为第一代的密钥交换协议i k e ， 其主要的缺点表现在：协议过于负杂，多达6 9 条消息。过于复杂的协议以至 于难以理解其复杂的规定，并怀疑其是否能保证数据的安全性：易受d o s 攻击； 适用范围受到限制。如当使用者使用便携式计算机或者d h c p 接入网络时，此 时i k e 将无能为力。 鉴于密钥交换协议在i p s e cr f l 的+ 甄耍陀以及第一代密钥交换协议的典型问 题，本文认为对第一代密钥交换协议修改也难以从根本上解决问题，正是如此， 研究安全的下一代密钥交换协议是i p s e c 协议族的关键。 1 3国内外对下一代密钥交换协议的研究现状 由于历史的原因，在国外关于下一代的密钥交换协议的研究已受到安全专 筇一髓j f ， 家的普遍关注，特别是在一些高校。专家针对i k e 中存在的问题，提出了几种 建议草案来弥补i k e 中的不足，称为下一代密钥交换协议。其中典型的建议草 案包括了j f k l 2 1 和i k e v 2 3 , 4 1 ，其中i k e v 2 是i k e 的第2 个版本，而j f k 则是 一个全新的协议。由于是建议草案，f 1 自订仍是研究的对象，而没有具体到在安 全协议中的蓟见 目前国内在密钥交换领域相对比较落后。针对i k e 中存在的问题，只是提 出了各自的修改意见。没有针对下一代密钥交换协议进行研究报告，更没有关 于在安全路由器中实现的相关报道。本文认为i k e 本身固有的特点，决定对i k e 的瞳朔鲍【6 人本厕婉匙问匦 目前安全路由器在国内主要依赖国外j 一商提供的现成代码，由于中国国情 的特殊性，研发具有自主知识产权的适合中国国情的安全路由器就显得尤为重 要。 1 4 论文研究的主要工作和论文章节安排 论文在中国电子科技集团公司第三十研究所项目的支持下，在对i p s e c 安 全协议、密钥交换协议、下一代密钥交换协议进行了分析和研究，这些技术主 要针对安全路由器中密钥交换协议的系统架构，最后本文提出了一种密钥交换 协溯拘实l 见镱咯差嚣i 诉包擒 分析i p s e c 安全协议。分析了i p s e c 在实现i p 数掘安全的机制；研究、分 析密钥交换协议。分析了第一代i k e 中存在的缺点以及其可能引起的安全问题。 分昧比菠r f _ 叫洲砬钥交 奂l 夕舣中典垩蚺瑟i k e v 2 和j f k 。本文i 芹细分 析i k e v 2 和j f k 各自的特点；在安全路由器中用下一代密钥交换协议实现安全 关联的管理。由于第一代密钥交换协议i k e 存在的一些典型问题，目前且被安 全路由器所采用。于是就有必要采用第二代密钥交换协议来实现第代i k e 在 安白瓤酯冲悯。 论文的结构安排如下：第一章引出了研究的内容、背景和意义，介绍其在 国内外的研究现状；第二章介绍i p s e c 安全协议族；第三章介绍并分析i p s e c 中的第一代密钥交换协议i k eq - 仔在的问题：笫【! q 章研究、分析和比较下一代 的密钥交换协议：第五章讨论安全路由器中的i p s e c 协议；第六章是下一代密 成都理工人学坝i j 论义 下一代密钏交换协议理论分析。j 实现 钥交换协议的实现部分；第七章概括性的总结了论文的结论，并指出了将来需 要的工1 任 4 第一二章安令协议族i p s e c 第二章安全协议族ip s e c 2 1i p s e c 概述 i p s e c 作用在t c p i p 模型的i p 层，为i p 及上层协谢如u d p 和t c p ) 提供 安全保护。为了保障i p 包的安全，i p s e c 定义了一套特殊的方法，以规定要保 护什么通信，怎样保护，以及允许何人向何人发送数据等。通过这套方法，i p s e c 就能够保障主机之间、网络安全网关( 路由器和防火墙) 之间或主机与安全网关 之间的数据包的安全。受i p s e c 保护的数据包本身仍是一种i p 包，这就意味着 通过i p s e c 可以向同一个i p 包嵌套多种安全服务，如在通信主机之间提供端到 端鉴别，然后通过安全网关之间的通道获得加密服务等。这种以整个i p 包为操 作对象的实现方法很容易地向上层提供机密性、完整性、访问控制、源认证和 抗重群删隰 i p s e c 通过向原来的i p 包巾增加一扩展头来标识经鉴另t l , n d n 密的包，这种 扩展头来自于两种i p s e c 协议：鉴别头a h 或封装安全载荷e s p 。a h 可以向数 据提供源认证、完整性和抗重播服务：e s p 则更进一步，除了具有a h 的所有 能力外，还可以向数据提供可选择的保密性以及受限流量保密服务。需要注意 艉a h 并ie s p 所提( 郸度蝌超斟幻赣n 蜀f 胴自劬瞻濞法引。 由于i p s e c 提供的安全服务，如源认证和完整性等都需要用到共享密钥， 所以协议还强制了一种机制，即能够为这些服务手工地添加密钥。同时，还定 义了一种标准的添加密钥的方式，用来动态地鉴别i p s e c 通信参与方的身份、 七i 】 颧稀韵安剑陵务以则减奠享鞯目，正薪憎范所锣e 叻电溺钧i k e 。 i p s e c 是目自 惟一一种能为任何形式的互联网通信提供安全保障的协议。 此夕 ，i p s e c 芟睛影施价数喊稚既挚们菇势新瑶毪保护o 2 2i p s e c 体系结构 本节较详细地介绍了i p s e c 的体系结构。包括i p s e c 的不同组件、各组件 成都理工人学硕l 论义 下代密钐j 交换协议理论分析0 实现 刁司鲍翅到乍用、i p s e c 协谬倒，的= 即忡l l 】议以技留fl 陋彰荫甜墓 2 2 。li p s e c 组件 i p s e c 协议套包括：a h ( r f c 2 4 0 2 ) 、e s p ( r f c 2 4 0 6 ) 、i k e ( r f c 2 4 0 9 ) 、 i s a k m p o a k l e y ( r f c 2 4 0 8 ) 以及密码算法( r f c 2 4 0 3 、2 4 0 4 、2 4 0 5 镑等。另外， 还有r f c 2 4 0 1 ，安全体系结构概述。图2 1 给出了i p s e c 各组件之间的关系及 图2 1 i p s e c 个协议之间的规划关系( r f c 2 4 11 ) 它f l 巅俱体含义黾 a r c h i t e c t u r e ( 体系结拗：包含了i p s e c 的基本概念、主机和网关应该提 供拇酎畸蟛詹& i p s e c 协测 匀晤意以贼 曼t c p i p 协测白赡勺沟j 酸舶】题。 e s p 和a h ：定义了协议、载荷头的格式以及它们所能提供的服务。另 夕卜，璇义了殪f i p 奁冉敏碜璧炒呗u o j ；! 1 5 确，芒义其乖陲向铕折雹j j j 恕 加密和鉴别算法：定义了如何对数据进行编码，以确保它的安全。包括 具粥暂基密阴拇随曼算泊瑚瓤鲜斟踹 l i c e ( 密钥交换) ：描述怎样为i p s e c 协议生成密钥。i n t e r a c t 上许多要求 完整哟黟澎燃口百他l j 西立i k e 进f 弼搿拗商。 d o i ( 解释j 驹：i k e 通过协商某些参数来为各种协议提供密钥，而这些参 i p s e cd o i 文潋r f c 2 4 0 7 ) 太赌乏。此外还手吨骏葩镌参数c l i 。 p o l i c y ( 策略) ：决定了两个实体之间能否通信：如果能，将采用何种编码 方式象 第一二章安令肌汉族一i p s e c 2 2 2 安全关联s a 安全关联s a 是构成i p s e c 的基础。所谓安全关联就是一个能够向通信数 据流提供安全服务的【 - j 发送方到接受方之f h j 的单向“连接”。安全关联是与协议 相关的，也就是说，每一种协议都有一个s a ，如果分别需要通过使用a h 和 e s p 进行安全通信，则针对每一种协议都得构建一个独立的s a 。另外，s a 是 单向的，换言之，如果两个实体正通过e s p 或a h 通信，那么任一方都需要一 个s a ( o u t ) 来姆嘲拙舱魁掘包，“个s a ( i n ) 女匮黝入舱黝舱! 。 安垒舭3 僦睦棚 安全参数索引s p i ( s e c u r i t yp a r a m e t e ri n d e x ) ：一个3 2 - b i t 字串，用于 唯一地标识接收端上的一个s a 。s p i 包含在a h 和e s p 的报头中，使接收 系统舀致旺畦刘匀翅肺选择s a 。 i p 目的地j l z ( i pd s t ) ：当前版水f ，只定义为个单播地址。s a 的 目l j 勺i 敞 也啦女嘛鼷用户系钐甾摊懒防蒯藿衍噼出黼。 安全协议标识符( s e c u r i t yp r o t o c o li d e n t i f i e r ) ：表明该s a 是a h 还是 e s p 乡骶 ( 1 ) s a 的创建与删除 s a 的仓i 踺乡鹏防蝣 碛劫商s a 参数再用s a 更新s a d b 。 i p s e c 协议规定必须支持人工密钥协商，但人工协商s a 的各种参数一般通 过线外方式，这显然是麻烦而危险的。当密钥管理协议失效时，人工密钥协商 将是叼诽常有用的嘴匕 在已经配置好i p s e c 的环境中，s a 的建立通过某种密钥管理协诚如i k e ) 来完成。如果安全策略要求建立安全、保密的连接，但找不到相应的s a ，i p s e c 的内核便会自动调用i k e 。i k e 会与目标主机或者中途路由器协商具体的s a ， s a 创建好并加入s a 数据库s a d b ( s ad a t a b a s e ) 中后，加密数据便会在两个主 机之间钎渤： 当茁下列胤蝴蠕露珊除s a ： 存活晰i 巨i 蝴 密膨岘蝴： s a 编嘲烈鲥匿量已趣茁刚辩谊值 成都理丁人学倾i j 论文 下一代衔钏交换协 义理论分析o 实现 s a 的纂q 糖别栅畅孩s a s a 可以手工或i k e 删除。为了降低别人破解系统的可能性，必须及时删 除应该删除的s a 。为避免耽搁通信，必须在现有的s a 过期之前，协商好一个 新的s a 。 ( 2 ) s a 的参数 在每一个i p s e c 执行过程中，都有一个s a d b ，它定义着许多与s a 有关 的参数 s e q u e n c en u m b e r ( 序列号) ：一个3 2 - b i t 字段，在数掘包“输出”时使用。 它属于a h 和e s p 报头的一部分。每用s a 处理一个数据包，该值加1 ，当溢 出时貅i 腱s a 。 s e q u e n c en u m b e ro v e r f l o w ( 序列号溢出) ：一个用来标识s e q u e n c e n u m b e r 是黜的陪蕊 a n t i r e p l a yw i n d o w ( 抗重播窗口) ：用来判断“输入”的a h 或e s p 包是 否被劐番 l i f e t i m eo f s a ( s a 存活姗：规定了s a 最长的存在时间。如果超出这个 时间，该s a 将不再使用，并在超i 孩时问之日，j 及时协商好一个新s a 。s a 存 活日拍同以诲臧应谚凝s a 保胸挎字节数也可以珐扫戊s a 的| 芍续吲白j 。 i p s e cp r o t o c o lm o d e ( i p s e c 协议模式) ：i p s e c 的工作模式，隧道模式和传 输衡氏 t u n n e ld e s t i n a t i o n ( 隧道目的地地上止) ：对于隧道模式的i p s e c 而言，该参 掰黜了隧韵目獭则止憾憎黟怖煳i p 坳厶 p m t u ( 路径m t u ) ：在隧道模式下使用i p s e c 时，必须维持正确的pm t u 信鼠仑l 敢| j 蓉柑越l 舱! 进i 孙雕漪分隐 ( 3 ) 安全策略( s e c u r i t yp o l i c y ) 安全策略决定了为一个包提供的安全服务。在运行i p s e c 协议的系统中都 维护一个数据库s p d ( s e c u r i t yp o l i c yd a t a b a s e ) ，其中包含了为i p 包提供安全服 务物移虢鼠 i p 包的输出和输入处理都要以安全策略为准。在数据包输入或输出处理过 程中，通过一些选择符( s e l e c t o r ) 一一数据包的地址、名字或所用协议端口等对 销：节发伞忱- 汉收一i p s e c 数旧萄新亍险泰然屁陶断囱瓤j 1 刻艿舶提目陛发蝴臣氖 安筻籼醒目搿潞管团蛩蒴勖燃册畅汲修燃 2 2 3i p s e e 工作模式 a h 和e s p 都支持使用两个模式：传输模式( t r a n s p o r tm o d e ) 矛i 隧道模式 ( t u n n e lm o d e l1 6 l 。 ( 1 ) 传输模式 传输模式用于两个主机之阳j 端到端的通信，其主旨是保护上层协议，也就 是说，传输模式的i p s e c 只保护i p 包i - f i 的有效载荷，如t c p 或u d p 部分等。 对i p v 4 而言，有效载荷是指i p 报头之后的数据；而对于i p v 6 则是i p 报头和 i p v 6 扩猎艮妣后的黼。 传输模式中的a h 只鉴别i p 包的有效载荷及i p 报头中的某些部分：传输 模吉冲的e s p m 职, - i p 包盼够嫩婚锦指亍力睡褓护，撇瞄肋口眺鳘甥0 。 ( 2 ) 隧道模式 隧道模式提供对整个i p 包的保护。i p s e c 在该模式下处理i p 包时，会在原 有的i p 报头前面附加上一个i p 报头，而将原来的整个i p 包作为有效载荷进行 保护。隧道模式一般应用在s a 的一端( 或两狮是安全网关( 带i p s e c 的防火墙 和路由器) 的情况下。当i p 包到达安全网关时，它的前面将被附加上一个新的 i p 报头以构成一个新i p 包，然后对新l p 包的有效载荷( 即原末的整个i p 匈进 行i p s e c 处理，完成后将数据发送出去，沿途斗l 的路由器只对新i p 报头进行检 查，直到目的安全网关，这样i p 包就象在“安全隧道”中安全地传送。i p s e c 相港懿澍盯：工作离融口图2 2 所录 网络a 上的主机a 欲跟网络b 上的主机b 通信，那么主机a 产生一个i p 包，其目的地址应是主机b 。这个包到达网络的边界路由器s e c r t r a ，s e c r t r a 经过判断认为应该为a 到b 的数据作i p s e c 处理，于是利用一个新的i p 报头 对收到的i p 包进行封装，然后发送出去。这个外部i p 报头的源地址是s e c r t r a ， 而目的地址则是网络b 的防火墙地址s e c r t rb 。中间的，不安全公用网中的如 何路由器只检查外部i p 报头。等这个数挑他到达s e c r t rb 时，太掉外部i p 头， 内硎蛩籀掊期b 。 主 h o s t a 一 s e c r t r a ： s e c r t r a 一 s e c r 仃b ： s e c r t rb 一 h o s tb ： 源= 主机a 目的= 主机b 源= 安全路由器a源= 主机a 目的= 安全路由器b目的= 主机b l ! ! 坐兰i鱼丝些竺l 源= 士机a 目的= 主棚b 图2 2i p s e c 隧道模式 隧道模式的e s p 对整个i p 包进行加密并可选择鉴别整个包。隧道模式下 的a h 对磐1 、内部i p 包i 斯亍鉴聪并对外部i p 报头侑射举鉴批 2 3 鉴别报头a h 鉴别报头用来向i p 数据报提供无连接完整性和数据源认证以及抗重播服 务。提供这些服务的基础是使用消息鉴别码m a c ( m e s s a g ea u t h e n t i c a t i o n c o d e ) ，因比通f 黝蟛赠芒享一个毛龉徽目。 2 3 1a h 头格式 如图3 所暴 o7153 l n e x th e a d e r p a y l o a dl e n g t h r e s e r v e d s e c u r i t yp a r a m t e r si n d e x ( s p l ) s e q u e n c en u m b e r a u t h e n t i c a t i o nd a t a 图2 3a h 头格式 n e x th e a d e r ( 下付艮头8 - b i t ) ：标识a h 报池刁勐铡跨乓类坠 。p a y l o a dl e n g t h ( 有效载荷长度，8 - b i t ) ：a h 包以3 2 b i t 计算的个数减2 。 r e s e r v e d ( 保留，l6 - b i t ) ：留劁移艮暖朔，必须设为o 。 第_ 二节安伞协议族l p s e c s p i ( 安全参数索引，3 2 一b i t ) ：跟目的i p 地址和安全协议( a h ) 唯一确定用 于数黝s a 。 s e q u e n c e n u m b e r ( 序列号，3 2 - b i t ) ：包含了一个单调递增的计数器，发送 方膨确襄瑟萃戴当某个s a 建丑对，通n 秘0 童澎剜捌舒匕为0 。 a u t h e n t i c a t i o nd a t a ( 鉴别数据，可变长) ：整个长度必须是3 2 位字的整数 像 薤刚吨拾整个包的i c v ( 完劐蝴。 2 3 2 抗重播服务( a n t i r e p l a y ) 重播攻击是指攻击者获得了已经被鉴别过的数据包的副本，然后把它发送 到预期的目标以达到未经授权参与通信的目的。接收到的副本可能会通过某种 方式破坏某些服务。a h 中的s e q u e n c en u m b e r 字段就是用来防止此类型的攻 击。 当通信双方协商并建立一个新的s a 时，发送方初始化序列号计数器为0 。 以后每发送一个数据包就将计数器加l ，然后放于序列号字段中。在启用抗重 播功能之后，发送方在同一个s a 下决不允诩：在l 2 3 2 - - l 之间重复序列号。如 果亨列号e 垮；i 丘2 3 2 - - 1 ，则蟛i 赙戮融嘛鳓f c js a 。 i p 提供无连接、不可靠的服务，所以协议并不能保证数据包按顺序到达， 也不能保证所有的包都能交付。因此，i p s e c 使用单调递增的序列号并通过下 歹雌蛛完成魔虱翻& 氖如图2 4 ) ； 一盔卫整动左良 接收过的乜接收的包 幽2 4 抗重播机制 ( 1 ) 如果收到的包落入窗v i 之内并且是新的则作有效包处理，如果该包已 经僦贝唾弃陔包 ( 2 ) 如果收到的包落在窗口的右边，则将窗口前移。如，收到包n + i ，则前 移i 。这降谢刘妊i 的露撕的包永礅b 于窗口的鼋拓端。 成都理工人学坝i 沦义 卜。代样钏交换阱议理论分析i 实现 ( 3 ) 如剩劐妊噬堆妫商口的掘狈惬多粥茬丑 2 3 3 完整性检验值o c v ) 在a h 的a u t h e n t i c a t i o nd a t a 字段中包含了i c v 。i c v 是由m a c 算法产生 的，女 h m a c m d 5 9 6 h m a c s h a 卜9 6 h m a c 对下歹蟛删亍计强 在崩献嘶别研哙改姻侮蓼己鼋雪腿端点可匕上予测的i p 报兴字段。 整个a h 手隙a u t h e n t i c a t i o nd a t a 必勿秘胃为0 ) 。 整个上层协议数据( 如数据报中的t c p 部分或隧道模式下的内部i p 包) 。 2 3 4a h 的传输和隧道模式 a h 协议可以用于传输模式和隧道模式。区别之处在于它保护的数据是一 个上层协议还是一个完整的i p 数据报。在任一种模式下，a h 都要对外部i p 头撷醍酵盼逝亍鉴别。 在i p v 4 中使用传输模式的a h ，a h 报头会被插在i p 报头和i p 有效载荷 之间，如图2 5 ( b ) 所示。a h 所起的作用是鉴别除i p v 4 报头中可变字段之外的 整个包。在i p v 6 环境中，a h 被看作是端到端的有效载荷，它出现在i p v 6 基础 报头、逐个跃点、路山和分段扩展报头的后面。a h 鉴别包括可变字段之外的 整个i p 包 对于隧道模式，a h 被插在原i p 报头和新( 外部) i p 报头( i p v 6 还包括扩展报 头) 之间，如图2 5 ( c ) 。该模式下的a h 对原来的整个i p 包及外部报头的一部 分进陧鼢u o 第二帝宜令协议族i p s e c i 千j j 始i p 搬头 t c p 数钳 i 毫u 始i p 撤头扩腱报头t c p数据 i ( a ) 应用a h 前 一鉴别范罔叶 1 刎始i p 撤头 7 爿 ia h 。l t c 9 数擀 - 一鉴别范闱斗 i 衲始- p 撒头 扩腱撒头 f a h 7 习t c p 数据 ( b ) 传输模式 一捺别范同 i 新i p 掀央a 纠c c f f i p 搬头t c p数 l i ： ( c ) 隧道模式 幽2 5a h 鉴别的作用域 2 4 封装安全有效载荷e s p e s p 可以向数据包提供保密性服务，包括消息内容的保密性和有限的通信 流量的保密性。同时，作为可选功能，e s p 也可以提供与a h 相同的身份鉴别 服氖 2 4 1e s p 包格式 图2 6 为e s p 包格式 l 认 证 保 护 07 l5 2 3 3l s e c u r i t yp a r a m t e r sl n d e x ( s p i ) s e q u e n c en u m b e r i v p a y l o a dd a t a ( 可变k ) p a d d i n g ( 0 2 5 5 字1 y ) p a d d i n gl e n g t h n e x th e a d e r a u t h e n t i c a t i o nd a t a ( 可变b = = ) 密 保 护 l 童 i 耋 2 6e s p 包格式 s e c u r i t yp a r a m e t e r si n d e x ( 安令参数索，j i ，3 2 b i t ) ：与 办议、目的地址一起 成都理工大学颂i ：论义 下一代街钏交换协议理论分析j 实现 唯懒s a 。 s e q u e n c en u m b e r ( 序列号，3 2 b i t ) ：单调递增计数器值。提供抗重播功能 ( 见a h ) 。 p a y l o a dd a t a ( 有效载荷数据，可变长) ：传输模式下，为传输层数据：在 隧猷疑河蜞劂；| 圭帕鼢i p 包 p a d d i n g ( 填充值，0 - - 2 5 5 字韵：向p a y l o a dd a t a 后面填充一定数量的值 使p a y l o a dd a t a 的长= 】! 勤 蟆充催韭向掬剪劭12 字节唯龆为4 字训瑾数倍。 p a dl e n g t h ( 填枨庞8 b i t ) ：填苍薤瑚铈渡氲 n e x th e a d e r ( 下一个报头，8 b i t ) ：有效载荷中第一个报头的协议号，用来 标【晖剩豉施魄尉芬抖包含的类型。 a u t h e n t i c a t i o nd a t a ( 鉴别数据，可变鼢：必须为3 2 比特的整数倍。对除 去泼甥i 敝聊驹键阶e s p 包耿i c v ( 完崩蝴。 2 4 2 加密和鉴别算法 e s p 中p a y l o a dd a t a 、p a d d i n g 、p a dl e n g t h 以及n e x th e a d e r 字段根据要求 都被加密。标准中，e s p 定义了一种固定的和多种可选编码算法用于提供数据 机密性服务。这种固定的编码算法是d e s c b c ( 如有鉴别服务用h m a c m d 5 ) ， 其芭耘孽魏抱插 3 d e s 、r c 5 、i d e a ，3 i d e a ，c a s t 以及b l o w f i s h 等 a h 、e s p 支持默认长度为9 6 位的m a c ，并必须支持h m a c m d 5 9 6 和 h m a c s h a 9 6 。 2 4 3 填充 填充司撕等f 列几个目盹 ( 1 ) 2 1 密算法可能要求明文应该是某一数量的倍数，填充可以扩展明文为需 要的娥。 ( 2 ) e s p 格式要求p a dl e n g t h 和n e x th e a d e r 字段必须在3 2 位字中右对齐。 填葱驰踊面哮摊妊霸挤。 ( 3 ) 填充可以有效地隐藏有效载荷的真实长度，起到预防业务量分析攻击的 目的。 如果加密算法没有具体指定填充内容，则必须使用一种默认的填充处理： 第一二帝安伞协c 义族i p s e c 用整数l 填充第一个填充字节，用2 填充第二个字节依次类推，使整个填充内 容待湖秽黼歹| 上l ，2 ，3 ， 2 4 4e s p 传输模式和隧道模式 ( 1 ) 传输模式e s p 传输模式e s p 用于加密，还可以选择用来鉴别i p 负载数据( 如t c p 、u d p 部分) 。如图2 7 所示，在i p v 4 中，e s p 报头被插入到i p 报头和传输层报：头l - ( t c p 、 u d p 、i c m p 钧之问，并将e s p 报眉p a d d i n g 、p a dl e n g t h 及n e x th e a d e r 墒 放在i p 包之后。如果鉴别服务被选择，则将e s pa u t h e n t i c a t i o nd a t a 域追加在 e s p 报尾氤 对于i p v 6 ，e s p 被看作是端对端的有效载荷，所以，中问路由器不会对它 进行检查和处理。因此，e s p 报头应插入到i p v 6 基础报头和逐个跃点、路由和 分段扩展报头的后面。目标选项扩展报头可以出现在e s p 报头之后或之前。如 舅吾毽j 苹鉴易明& 磊贝嘲务 甥叫勘在e s p 手6 班琶后。 传输模式e s p 可以为任何上层应用程序提供机密性保护，这样避免了为每 个应用程序提供安全性服务所带来的低效和损耗。当然，该模式有一个缺点是 育良堆输的包哲确酎盏赢羹扮析。 一鉴别范嗣o 一加密范同叶 i p v 4 ：区三正习夏工j 互j 丑卫 一鉴别范围o 一加密范罔叶 - 蹦：区互正巫二匡噩王e 豆二圈 ( a ) 传输模式 - 一鉴别范同 一加密范同 一m ：匝互正丑亟五压丑二豆 圃 卜一裕jj l ； 0 ：i - y ；1 i p v 6 ：加密范同叶 ( b ) 隧j 酋樽式 图2 7e s p