5.2 IPSec之二----安全协议

1、安全协议

• 认证头AH协议只提供认证服务
• 封装安全荷载协议ESP提供认证和加密两种服务
• 认证服务是可选的，加密服务必须实现

2、认证头协议AH

• 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包
• 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部分进行认证

• 下一个头标指被保护的IP荷载的值 ，比如传输层协议数据TCP值为6，UDP值为17

• 序列号字段记录序列号计数器的值，为每个AH包赋予一个序号
• 通信双方建立安全关联时，计数器初始化为0- 安全关联是单向的- 每发送一个包，外出的安全关联的计数器增1- 每接收一个包，进入的安全关联的计数器增1- 序列号用于防止存放攻击
• 认证数据是可变长度字段，取决于采用的认证方法，认证数据也称为完整性校验值（ICV），该字段必须为32位的整数倍。如果不够32位，则必须进行填充
• 用于生成完整性校验值ICV的算法由安全关联指定

3、封装安全荷载协议ESP

对于IPv6，与相应协议和模式下的IPv4相比，IPv6的与路由无关的扩展头也得到保护

4、ESP和AH的组合-----实际需求

可以对相同的IP业务流应用多个安全关联

• 实现SA束的基本方式- 传输邻接：指对同一个IP数据报多次应用传输模式的AH和ESP两种协议，但只允许两种协议一个层次的组合- 隧道迭代：指对同一个IP数据报在隧道模式下使用ESP和AH的多层嵌套- 传输--隧道束：两种方式的结合
• 认证和机密性服务

• ESP和AH的基本组合应用- IPSec规范列出了四种组合应用场景