• 由 RFC2409 文件描述的 IKE 协议属于一种混合型协议，它建立在由 Internet 安 全关联和密钥管理协议(Internet Security Association and Key Management Protocol, ISAKMP, RFC2408)定义的一个框架上，采用Oakley 交换模式和 SKEME 基于公开密钥加密的验证方法实现。
• IPSec 协议提供的安全服务包括：数据源认证、无连接数据的完整性验证、 数据机密性、抗重播保护、访问控制以及对有限的数据流机密性保证。 IPSec可以保障主机之间、网络安全网关〔路由器或防火墙等)之间或主机 与网关之间的数据包的安全。
• 由于受 IPSec 保护的数据包本身也是一种IP 数据包，所以 IPSec 还可以提 供嵌套安全服务，换而言之，经过 IPSec 处理的 IP数据包依然是 IP 数据 包，对它可以再进行IPSec 处理。如可在通信主机之间提供ESP 加密认证 保护，并在双方网关间通过一个通道，将那些受封装安全载荷协议ESP 保护的数据再进行一次验证头协议 AH 认证保护。
-7-
IPSEC协议简介
I PSec 协议按照人们事先制定的策略对信 息进行认证、加密和传输。IKE 策略和 IPSec DOI 负责根据对应的策略建立相应的 安全关联（Security Association,SA），在安 全关联 SA 中详细规定了用于安全通信的参 数，主要包括：加密算法、认证算法、协 议模式、IP 地址、生存期、序列号等。根 据 SA 所进行的认证、加密和传输工作由验 证头协议 AH、封装安全载荷协议 ESP、加 密算法和认证算法实现。 两个协议之间的关系归纳为以下两点： （1）IKE 按照策略中的规则从解释域中选 取参数建立安全机制（即 SA 和密钥）。解 释域中存放着描述验证头协议 AH、封装安 全载荷协议 ESP、加密算法 和认证算法的参数和其相关信息。 （2）根据安全关联 SA 选择验证头协议AH、 封装安全载荷协议ESP方案对 IP包进行安全 传输。如果采用封装安全载荷协议ESP方案， IP包可加密也可认证，而验证头协议 AH 方 案只能身份认证不能加密。
-6-
IPSEC协议简介
（1）封装安全载荷协议（ESP）通过将整个 IP 分组或上层协议部分(传输层协议的数据，如 TCP、UDP 或 ICMP 协议数据)封装到一个 ESP 载荷之中，然后进行相应的安全处理：如加密处 理等，以达到对通信的机密性和保密性进行保护 的目的。 （2）验证头协议（AH）为 IP 通信提供数据源认 证、数据完整性和反重播保证。 （3）加密算法：描述各种加密算法如何应用于 封装安全载荷协议（ESP）中，默认算法是 DESCBC 算法。 （4）验证算法：描述各种身份验证算法如何应 用于验证头协议（AH）中和封装安全载荷协议 （ESP）的身份验证选项。 （5）密钥管理：即密钥管理方案，默认的密钥 交换协议是 IKE(Internet 密钥交换协议)。 （6）解释域：彼此相关联的各部分地标准符以 及运作参数，实际上是一个数据库，用于存放所 有IPSec安全参数，这些参数用以与IPSec服务相 应的系统参考并调用。 （7）策略：它决定两个实体之间是否能够通信 和在能够通信的情况下如何通信。
第七讲 IPSEC、SSL、HTTPS&SSH
/s/1dDIrNup
-1-
• IPSEC • SSL/TLS • HTTPs • SSH
OUTLINE
-2-
IPSEC协议简介
• 互联网工程任务组(The Internet Engineering Task Force, IETF)下属的 IPSec（IP Security)工作组于 1998 年提出了 IP 安全体系结构。该 IP 安 全体系结构由12个 RFC (Request for Comments)标准文档组成，这些标 准文档对 IPSec 的体系、基本协议、密钥管理、转码方式等进行了定义。 RFC2407是IPSec 的解释(Domain of Interpretation, DOI )文档，定义 了一个特定环境下用于ISAKMP 框架的协议集。
-8-
安全关联SA
SA是两个通信实体经协商建立起来的一种协定。每个“安全关联”定义了 以下参数： • 结果 IPsec 头中的源 IP 地址和目标 IP 地址。这是 IPsec 双方保护数据包的 IP 地址； • IPsec 协议（AH 还是 ESP），有时也支持压缩（IPCOMP）； • IPsec 协议用的加密算法和密钥； • 安全参数索引（SPI）。这是一个32位的数据，用来识别“安全关联” （SA）。 SA 详细规定了用来进行安全通信的“安全要素”，即保护数据包安全的 IPSec协议类型、认证机制、加密算法、密钥以及一系列附属特性，如密钥长 度、密钥生命期及算法应用的细节等等。任何 IPSec 实施方案都会构成一个 SA 数据库（SADB），由它来维护 IPSec 协议用来保障数据包安全的 SA 记录。
• RFC2403, 2404, 2405, 2410介绍了用于验证头协议和封装安全载荷协议的加密 和验证算法，对安全协议的实施提供了具体的算法描述。RFC2411系统描述了 IPSec 标准文档中其它文档的摘要信息，给出这些文档之间的联系。
-4-
IPSEC协议简介
• IPSec 提供了一种标准的、健壮的以及包容广泛的机制，可用它为 IP 及 上层协议(如 UDP 和 TCP)提供安全保证。
-3-
பைடு நூலகம்
IPSEC协议简介
• IPSec 协议主要由三个部分组成，分别是验证头(Authentication Header, AH, RFC2402)协议、封装安全载荷(Encapsulating Security Payload, ESP, RFC2406) 协议，和密钥交换(Internet Key Exchange, IKE, RFC 2409)协议。
-5-
IPSEC协议简介
• 与 TCP/IP 协议一样，IPSec 协议是一系列相关的安全协议的套件。该套件内的每 一种协议都被统称为“IPSec”(验证头AH、封装安全载荷ESP以及 Internet密钥交换 等)。IPSec 协议通过对相关组件的定义，制定出了一个网络层的 IP 安全框架。比 如，IPSec 协议讨论了 IPSec 协议的语义，以及 IPSec 协议与 TCP/IP 协议之间如何 进行交互沟通的问题。