路由交換安全與VPN講義中山大學信息科學與技術學院王常吉

副教授2006年11月局域網與VLAN局域網標準沖突域與廣播域虛擬局域網（VLAN）2|

1/11/2024

局域網設備在OSI/RM中的位置路由器網絡層網絡地址尋址、路由網橋/交換機數據鏈路層用MAC地址尋址集線器/中繼器工作物理層，沒有尋址能力網絡層數據鏈路層物理層3|

1/11/2024

局域網標準IEEE,1884年成立，320,000成員，147國家IEEE802.2LLCIEEE802.3EthernetIEEE802.5TokenRingIEEE802.6MAN(DQDB)IEEE802.10，1QVLANIEEE802.11WirelessLANFDDI,ANSIATM,ATMForum&ITU-T4|

1/11/2024

HowSwitchesLearnHostLocationsInitialMACaddresstableisemptyMACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3ABCD5|

1/11/2024

HowSwitchesLearnHostsLocationsStationAsendsaframetoStationCSwitchcachesstationAMACaddresstoportE0bylearningthesourceaddressofdataframesTheframefromstationAtostationCisfloodedouttoallportsexceptportE0(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E0E1E2E3DCBA6|

1/11/2024

HowSwitchesLearnHostLocationsStationDsendsaframetostationCSwitchcachesstationDMACaddresstoportE3bylearningthesourceAddressofdataframesTheframefromstationDtostationCisfloodedouttoallportsexceptportE3(unknownunicastsareflooded)MACaddresstable0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0:0260.8c01.1111E3:0260.8c01.4444E0E1E2E3DCAB7|

1/11/2024

HowSwitchesFilterFramesStationAsendsaframetostationCDestinationisknown,frameisnotfloodedE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.44440260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3XXDCABMACaddresstable8|

1/11/2024

StationDsendsabroadcastormulticastframeBroadcastandmulticastframesarefloodedtoallportsotherthantheoriginatingport0260.8c01.11110260.8c01.22220260.8c01.33330260.8c01.4444E0E1E2E3DCABE0:0260.8c01.1111E2:0260.8c01.2222E1:0260.8c01.3333E3:0260.8c01.4444MACaddresstableBroadcastandMulticastFrames9|

1/11/2024

廣播域和沖突域沖突域：在同一個沖突域中的每一個節點都能收到所有被發送的幀廣播域：網絡中能接收任一設備發出的廣播幀的所有設備的集合廣播域可以跨網段，而沖突域只是發生的同一個網段。HUB所有端口都在同一個廣播域，沖突域內。Switch所有端口都在同一個廣播域內，而每一個端口就是一個沖突域。10|

1/11/2024

沖突域和廣播域CollisionDomain1CollisionDomain2BroadcastDomainBridgesterminatecollisiondomains11Multicast,broadcast,andunknowndestinationeventsbecomeglobaleventsServerAARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPARPIneedtoknowtheMACaddressforServerAARPARPARPARPARPARPARPARP廣播風暴引起的性能問題12BroadcastscanconsumeallavailablebandwidthEachdevicemustdecodethebroadcastframeServerA廣播風暴1310.1.1.010.1.2.010.1.3.0LANbroadcaststerminateattherouterinterfaceLAN1LAN2LAN3通過路由器隔離廣播域14SegmentationFlexibility

Security3rdfloor2ndfloor1stfloorSALESHRENGAVLAN=Abroadcastdomain=Logicalnetwork(subnet)通過VLAN實現廣播域的隔離15|

1/11/2024

VLAN的類型基于物理端口劃分的VLAN基于MAC地址劃分的VLAN基于網絡層協議劃分的VLAN基于網絡層地址（IP地址）的VLAN16|

1/11/2024

基于物理端口分組（PortBased）主機A主機B主機C主機D以太網交換機VLAN表端口所屬VLANPort1VLAN5Port2VLAN10…………Port7VLAN5…………Port10VLAN10Port1Port2Port7Port1017|

1/11/2024

基于物理端口分組（PortBased）優點配置簡單缺點不允許一個端口同時屬于多過VLAN當終端計算機位置變化時，必須由管理員重新配置VLAN的接口。18|

1/11/2024

二層VLAN：根據MACAddress分組

MACAddress

VLAN1212354145121

12389234873743

23045834758445

25483573475843

1基于MAC地址分組（MACBased）19|

1/11/2024

基于MAC地址分組（MACBased）VLAN表MAC地址所屬VLANMACAMACBMACCMACDVLAN10VLAN5VLAN10VLAN5主機A主機B主機C主機DMACAMACBMACCMACD以太網交換機20|

1/11/2024

基于MAC地址分組（MACBased）優點工作站物理移動時，不需要重新配置，依然屬于原來的VLAN。缺點在初始時所有的用戶必須在至少一個VLAN上初始化21|

1/11/2024

基于網絡層協議分組VLAN表協議類型所屬VLANIPX協議IP協議……VLAN5VLAN10……主機A主機B主機C主機D使用IPX協議運行IP協議使用IPX協議運行IP協議以太網交換機22|

1/11/2024

基于網絡地址分組VLAN表IP網絡所屬VLANIP1.1.1.1/24IP1.1.2.1/24……VLAN5VLAN10……主機A主機B主機C主機D1.1.1.51.1.2.881.1.1.81.1.2.99以太網交換機23|

1/11/2024

基于網絡地址分組優點可以根據協議類型劃分物理移動時，無需修改網絡地址缺點交換機檢查網絡層協議信息，消耗資源對于沒有層次結構的協議（不可路由）不適用24|

1/11/2024

交換機之間傳輸VLAN成員信息交換機之間必須知道每個工作站屬于哪一個VLAN，否則VLAN只能限制在同一臺交換機上。交換機之間三種交換信息的方式TrunkTaggingSigalingTime-DivisionMultiplexingINTER-SWITCHCOMMUNICATIONSWITCH#1SWITCH#225|

1/11/2024

交換機之間傳輸VLAN成員信息FrameTagging在交換機之間的主干鏈路（Trunck-Link）上傳輸的Frame中，在MAC頭標中插入VLAN標識符Signalling當一臺工作站發送第一個frame時，交換機記錄它的MAC地址、端口，在地址表中緩存，并定期向其他的交換機廣播。TimeDivisionMultiplexing通過時分多路復用技術，在交換機之間的鏈路上為每個VLAN建立一個獨立的信道26|

1/11/2024

VLAN的優點易于維護－容易解決人員位置的變動有效地控制廣播流量，提高性能增強網絡安全性27|

1/11/2024

VLAN的優點—易于維護公司每年有20%-40%的工作人員需要改變工作位置。這種移動、添加和改變是網絡管理中開支的重點。許多移動需要重新布線、重新分配地址、重新配置HUB和路由器。VLAN提供了一種有效的機制來管理這種業務。同一VLAN中的用戶，不管其位置如何，都可以使用同一網絡地址。當用戶移動時，只要還連接至交換機并在同一個VLAN中，就可以使用原來的網絡地址。VLAN需要很少的重新布線、配置和調試，是對傳統LAN技術的重大改進。路由器的配置也不受影響，當用戶搬遷時，只要還在原來的子網，路由配置就不用改變。28|

1/11/2024

每個網絡都有廣播流量。廣播的頻率與應用類型、服務器類型、物理分段以及網絡資源的使用方式密切相關。如果需要預先測試網絡，確保不會有與廣播相關的問題。一種有效的方式是對物理網絡進行分段，用防火墻隔離各個段。即使一個網段上有過量的廣播數據，其他網段不會受影響。這種分段能力提供了更高的可靠性，是廣播流量盡可能減小，從而應用有更多的帶寬可用。VLAN的優點——控制廣播流量29|

1/11/2024

當兩個交換機之間沒有路由器時，廣播流量被轉發至每個交換機端口。這種整個網絡中只有一個廣播域的網絡被稱為平坦型網絡。優點：低延遲，高流通率，易于管理。缺點：容易受到廣播數據報的攻擊。VLAN能有效地提供路由器的防火墻功能，從而保護網絡不受有害廣播數據的影響。另外，VLAN有所有交換機的優點。VLAN的組越小，一個VLAN中的廣播風暴所影響的用戶就越少。可以根據應用類型以及應用的廣播頻率來劃分VLAN。VLAN的優點——控制廣播流量30|

1/11/2024

監聽的威脅經常有重要的、機密的數據通過LAN。機密數據需要安全的訪問控制機制。LAN的一個缺點就是它太容易被滲透。插入一個可用的接口，一個惡意的用戶就可獲得整個網段上的數據。通過物理隔離，可以實現控制一個組中的用戶數量防止其它用戶在沒有申請的情況下進入VLAN把未使用的端口劃到一個低性能的網段VLAN的優點——增強網絡安全性31|

1/11/2024

實現這種結構的VLAN相當直觀。交換機端口按應用類型和訪問級別進行分組。有安全要求的應用和資源一般放在一個安全的VLAN中。交換機限制對安全VLAN的訪問。可以根據主機地址、應用類型和協議類型設置安全控制機制。可以用訪問控制列表來增強安全性，這種技術在VLAN之間通訊時特別有用。在安全子網中，路由器也象交換機一樣提供安全控制。路由器可以根據工作站地址、應用類型和協議類型甚至時間來設置安全控制機制。VLAN的優點——增強網絡安全性32|

1/11/2024

VLAN的問題互操作性問題標準滯后，實現上的不一致不同廠商實現方式不同，除非選擇單一廠家的產品硬件設備、VLAN軟件、管理軟件設備的廢棄，造成投資的浪費增加了管理的復雜性33|

1/11/2024

目錄VPN技術概述IP安全體系結構認證頭協議(AH)封裝安全載荷(ESP)安全關聯(SA)密鑰管理34|

1/11/2024

VPN概述VirtualPrivateNetwork虛擬專用網虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。利用像Internet這樣的公共的或不安全的媒體，通過應用多種技術提供用戶認證、數據完整性和訪問控制，從而提供網絡應用程序之間的安全通信。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。VPN不是一種單一的技術，而是具有若干特性的系統35|

1/11/2024

VPN概述IETF草案理解基于IP的VPN為：“使用IP機制仿真出一個私有的廣域網”。通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。虛擬：用戶不再需要擁有實際的長途數據線路，而是使用公共網絡資源。但它建立的只是一種臨時的邏輯連接，一旦通信會話結束，這種連接就斷開了。專用：用戶可以定制最符合自身需求的網絡。以IP為主要通訊協議的VPN，也可稱之為IP-VPN。36|

1/11/2024

VPN概述VPN技術雖然種類眾多，但IETF下的IPSec工作組推出的IPSec協議是目前工業界IPVPN標準，以IPSec協議構建虛擬專用網已成為主流。基于IPSec構建IPVPN是指利用實現IPsec協議的安全網關（SecurityGateway）充當邊界路由器，完成安全的遠程接入和在廣域網上內部網絡的“虛擬”專線互聯等37|

1/11/2024

VPN概述IPSec的應用：IPSec提供對跨越LAN/WAN，Internet的通訊提供安全性分支辦公機構通過Internet安全互聯遠程安全訪問Internet與合作伙伴建立extranet與intranet的互連增強電子商務安全性38|

1/11/2024

VPN的類型每種VPN都具有特定的要求和優先權，實現的目的、解決的問題也不同用于移動工作者的遠程訪問Client-LANVPN，也叫AccessVPN替代早期的撥號遠程訪問網絡用于局域網間連接的PNLAN-LAN型IntranetVPN和ExtranetVPN39|

1/11/2024

VPN的安全性VPN的主要目的是保護傳輸數據，必須具備4個關鍵功能認證：數據傳輸的來源確如其聲明所言，目的地確實是數據期望到達的位置訪問控制：限制對網絡未經授權的訪問機密性：防止數據在通過網絡時被察看數據完整性：防止傳輸中對數據的任何篡改VPN的目的是保護從信道的一個端點到另一端點傳輸的信息流，信道的端點之前和之后，VPN不提供任何的數據包保護40|

1/11/2024

VPN系統組成41|

1/11/2024

VPN系統組成VPN服務器：接受來自VPN客戶機的連接請求；VPN客戶機：可以是終端計算機，也可以是路由器；隧道：數據傳輸通道，在其中傳輸的數據必須經過封裝；VPN連接：在VPN連接中，數據必須經過加密；隧道協議：封裝數據、管理隧道的通信標準傳輸數據：經過封裝、加密后在隧道上傳輸的數據；公共網絡：如Internet，也可以是其他共享型網絡42|

1/11/2024

VPN關鍵技術RFC（RequestForComments）：“請求注解”，包含了關于Internet的幾乎所有重要的文字資料。RFC享有網絡知識圣經之美譽。RFC2194：第一個VPNRFC，1997年9月14日發布。自1999年4月17日之后，有10個RFC直接涉及VPN，如RFC2401-2411和RFC2451。有80多個RFC涉及隧道。43|

1/11/2024

VPN關鍵技術隧道技術：VPN的基本技術，它在公用網建立一條數據通道（隧道），讓數據包通過這條隧道傳輸。隧道由隧道協議形成，常用的有第2、3層隧道協議。密碼技術：加解密技術：在VPN應用中將認證信息、通信數據等由明文轉換為密文的相關技術，其可靠性主要取決于加解密的算法及強度。身份認證技術：在正式的隧道連接開始之前需要確認用戶的身份，以便系統進一步實施資源訪問控制或用戶授權。密鑰管理技術：如何在公用數據網上安全地傳遞密鑰而不被竊取。QoS技術：保證VPN的性能穩定，在管理上滿足企業的要求。44|

1/11/2024

VPN的隧道技術對通過隧道的數據進行處理的兩個基本過程：加密和封裝。加密：保證VPN的“私有性”；通信雙方數據的加密涉及到：加密方法的選擇、密鑰的交換、密鑰的管理等。封裝：構建隧道的基本手段；使得隧道能夠實現信息的隱蔽和信息的抽象。將一種協議封裝在另一種協議中傳輸，從而實現被封裝協議對封裝協議的透明性，保持被封裝協議的安全特性。45|

1/11/2024

VPN的隧道技術安全協議：就是構建隧道的“隧道協議”。IP隧道協議：使用IP協議作為封裝協議的隧道協議。第二層隧道協議：首先把各種網絡協議封裝到數據鏈路層的PPP幀中，再把整個PPP幀裝入隧道協議中。這種雙層封裝方法形成的數據包依靠第二層協議進行傳輸。如：PPTP（點到點隧道協議，Point-to-PointTunnelingProtocol）、L2F（第二層轉發協議，LayerTwoForwarding）和L2TP（第二層隧道協議，LayerTwoTunnelingProtocol）等；46|

1/11/2024

VPN的隧道技術第三層隧道協議：把各種網絡協議直接裝入隧道協議中，封裝的是網絡層協議數據包。如：GRE（通用路由封裝協議，GenericRoutingEncapsulation）和IPSec（IP層安全協議，InternetProtocolSecurity）IPSec的應用最為廣泛，是事實上的網絡層安全標準。不同協議層次的隧道協議各有優缺點，可考慮將其結合以構建虛擬專用網的完整解決方案。47|

1/11/2024

IPSec架構IPSec是提供網絡層通信安全的一套協議簇IPSec只是一個開放的結構，通過在主IP報頭后面接續擴展報頭，為目前流行的數據加密或認證算法的實現提供統一的數據結構需求：身份認證、數據完整性和保密性IPSec在IPv6中是強制的，在IPv4中是可選的48|

1/11/2024

IPSec發展歷史1994年IETF專門成立IP安全協議工作組，來制定和推動一套稱為IPSec的IP安全協議標準。1995年8月公布了一系列關于IPSec的建議標準。1996年，IETF公布下一代IP的標準IPv6，把鑒別和加密作為必要的特征，IPSec成為其必要的組成部分。1999年底，IETF安全工作組完成了IPSec的擴展，在IPSec協議中加上ISAKMP（因特網安全關聯和密鑰管理協議），IKE（密鑰交換協議）、Oakley（密鑰確定協議）。ISAKMP/IKE/Oakley支持自動建立加密、鑒別信道，以及密鑰的自動安全分發和更新。幸運的是，IPv4也可以實現這些安全特性。49|

1/11/2024

IPSec的應用方式端到端（end－end）：主機到主機的安全通信端到路由（end－router）：主機到路由設備之間的安全通信路由到路由（router－router）：路由設備之間的安全通信，常用于在兩個網絡之間建立虛擬專用網50|

1/11/2024

IPSec的內容協議部分，分為：AH（認證頭，AuthenticationHeader）：提供完整性保護和抗重放攻擊；ESP（封裝安全載荷，EncapsulatingSecurityPayload）：提供機密性、完整性保護和抗重放攻擊；密鑰管理（KeyManagement）SA（SecurityAssociation）ISAKMP定義了密鑰管理框架IKE是目前正式確定用于IPSec的密鑰交換協議51|

1/11/2024

VPN概述IPSEC的優點在防火墻或路由器中實現時，可以對所有通過其邊界的流量實施強安全性，而公司內部或工作組內部的通信不會招致與安全處理相關的開銷防火墻內的IPSec能在所有外部流量均使用IP時阻止旁路IPSec在傳輸層以下，對所有應用透明，因此在防火墻或路由器使用IPSec時，不需要對用戶系統或服務系統做任何改變IPSec可以對最終用戶透明IPSec可以為單個用戶提供安全性52|

1/11/2024

IPSec安全體系結構53|

1/11/2024

IP安全體系結構IPSEC文檔體系結構(Architecture)：定義IPSec技術的一般性概念、需求和機制封裝安全有效載荷（ESP-EncapsulatingSecurityPayload）認證頭（AH-AuthenticationHeader）加密算法（EncryptionAlgorithm）認證算法（AuthenticationAlgorithm）密鑰管理（KeyManagement）：ISAKMP解釋域（DOI-DomainofInterpretation）：其他文檔需要的為了彼此間互相聯系的一些值，包括經過檢驗的加密和認證算法的標識以及操作參數，比如密鑰的生存期54|

1/11/2024

IP安全體系結構IPSEC協議框架：綜合了密碼技術和協議安全機制，IPSec協議的設計目標是在IPV4和IPV6環境中為網絡層流量提供靈活的安全服務。IPSEC文檔RFC2401:AnoverviewofsecurityarchitectureRFC2402:DescriptionofapacketencryptionextensiontoIPv4andIPv6RFC2406:DescriptionofapacketemcryptionextensiontoIPv4andIPv6RFC2408:Specificationofkeymanagamentcapabilities55|

1/11/2024

IP安全體系結構

IPSec在IP層提供安全服務，系統可以選擇所需要的安全協議，確定該服務所用的算法，并提供安全服務所需加密密鑰。訪問控制無連接完整性數據源認證拒絕重放數據包保密性（加密）有限的信息流保密性56|

1/11/2024

IP安全體系結構AHESP(只加密)ESP(加密并認證)訪問控制√√√無連接的完整性√√數據源發認證√√檢測重放攻擊√√√機密性√√有限的通信流保密√√57|

1/11/2024

IP安全體系結構安全關聯(SecurityAssociation)是兩個通信實體經過協商建立起來的一種協定，他們決定了用來保護數據包安全的IPSec協議、密碼算法、密鑰等信息，IPSec實體要建立一個本地SA數據庫(SADB)，SPI(SAParameterIndex)是AH或ESP中的一個字段，用來標識數據包對應的SASA是單向的，該連接為其運載的流量提供安全服務。多個SA聯合使用構成SA束(SAbundle)。SA是協議相關的，根據安全協議不同，SA分為：AHSA和ESPSA；根據使用模式不同，SA又分為傳輸模式SA和隧道模式SA58|

1/11/2024

IP安全體系結構

SA由三個參數唯一確定：SecurityParametersIndex(SPI)IP目的地址（IPDA）：安全協議：AH或者ESP。sourcedstprotospiSA記錄1.1.1.12.2.2.2AH11MD5,K12.2.2.21.1.1.1ESP12DES,K22.2.2.21.1.1.1AH13SHA,K3A(1.1.1.1)B(2.2.2.2)A的SADB59|

1/11/2024

IP安全體系結構SA參數序數計數器：一個32位用于生成AH或ESP頭中的序數字段計數器溢出位：一個標志位表明該序數計數器是否溢出，如果是，將生成一個審計事件，并禁止本SA的進一步的包傳送。反重放窗口：用于確定一個入站的AH或ESP是否是一個回放AH信息：認證算法，密鑰，密鑰生存期，以及與密鑰一起的其他參數ESP信息：加密和認證算法，密鑰，初始值，密鑰生存期，以及與密鑰一起的其他參數60|

1/11/2024

IP安全體系結構SA的生存期：一個時間間隔或字節計數。到時候一個SA必須用一個新的SA替換或終止IPSec協議模式：隧道，傳輸PathMTU：最大傳輸單元（不需要分段傳輸的最大包長度）路徑和遲滯變量61|

1/11/2024

IP安全體系結構安全策略(Policy)決定了為哪種類型的包提供何種安全服務，IP信息流與SA關聯的手段是通過安全策略數據庫SPD(SecurityPolicyDatabase)每一個SPD入口通過一組IP和更高層協議域值，稱選擇符來定義，以下的選擇符確定SPD入口：源地址目標地址協議（TCP/UDP/ICMP）源端口和目標端口用戶ID數據敏感性級別服務類型（ToS）62|

1/11/2024

IPSEC外發數據報處理LookupSPDtofindpolicyfordatagramCreatenewSAifneeded.ApplykeysinSAforencryption/MACing.PassprocesseddatagramdowntoLinkLayer.PasstonextinstanceofIPSecprocessing.FurtherIPSecprocessingrequired?Drop,passthroughorprocessdatagram?63|

1/11/2024

IP安全體系結構安全策略數據庫SPD和安全關聯數據庫SADBsourcedstprotospiSA記錄1.1.1.12.2.2.2AH11MD5,K1,…1.1.1.12.2.2.2ESP12DES,K2,…2.2.2.21.1.1.1AH13DES,K3,…A(1.1.1.1)B(2.2.2.2)A的SADBsourcedestprotocolportpolicy1.1.1.12.2.2.2TCP80AH1.1.1.13.3.3.3TCP25ESPA的SPD64|

1/11/2024

傳輸模式HeaderPayloadIPdatagramNetworkHeaderPayloadIPdatagramIPSECTransportMode65|

1/11/2024

隧道模式IPSECTunnelMode：ProtectionforentireIPdatagram.Entiredatagramplussecurityfieldstreatedasnewpayloadof‘outer’IPdatagram.Sooriginal‘inner’IPdatagramencapsulatedwithin‘outer’IPdatagram.IPSecprocessingperformedatsecuritygatewaysonbehalfofendpointhosts.Gatewaycouldbeperimeterfirewallorrouter.Gateway-to-gatewayratherthanend-to-endsecurity.HostsneednotbeIPSec-aware.IntermediateroutershavenovisibilityofinnerIPdatagram.Evenorginalsourceanddestinationaddressesencapsulatedandso‘hidden’.66|

1/11/2024

隧道模式HeaderPayloadHeaderPayloadHeaderPayloadInnerIPdatagramOuterHeaderNetworkHeaderPayloadInnerIPdatagramInnerIPdatagramInnerIPdatagramSecurityGatewaySecurityGatewayOuterHeaderIPSECTunnelMode67|

1/11/2024

AH協議AH=AuthenticationHeader(RFC2402).Providesdataoriginauthenticationanddataintegrity.AHauthenticateswholepayloadandmostofheader.PreventsIPaddressspoofing.SourceIPaddressisauthenticated.Createsstatefulchannel.Useofsequencenumbers.Preventsreplayofolddatagrams.AHsequencenumberisauthenticated.UsesMACandsecretkeysharedbetweenendpoints68|

1/11/2024

AH協議認證頭支持數據完整性和IP包認證，數據完整性確保在包的傳輸過程中內容不可更改，認證確保終端系統或網絡設備能對用戶或應用程序進行認證，并相應地提供流量過濾功能，同時還能夠防止地址欺詐攻擊和重放攻擊在IPV4和IPV6中，AH使用約定的協議號51NextHeaderSequenceNumberSPI31AuthenticationData完整性保護的數據Payload

Lengthreserved數據IP頭069|

1/11/2024

AH協議Nextheader：8bit，標識數據載荷中的封裝方式或協議Payloadlength(有效載荷長度)：8bit，以32位字為單位的認證數據字段的長度。最小值是0，僅僅用于“null”認證算法的情況。這不應該在IPSec中發生，IPSec中必須指定一位。Reserved：16bit，保留以供將來使用。發送時必需設置為全零。Securityparametersindex(SPI)：

為數據報識別安全聯合的32位偽隨機值。SPI值0被保留來表明“沒有安全聯合存在”。70|

1/11/2024

AH協議完整性校驗值：認證數據域考慮因素

計算MAC值：

產生完整性校驗值(

IntegrityCheckValue,ICV)利用秘密密鑰加密

雙方必須協商好：

ICV加密的秘密密鑰

采用何種

MAC演算法

(如HMAC-SHA-1)選擇那些數據域來計算

ICV值71|

1/11/2024

AH–TransportandTunnelPayload(egTCP,UDP,ICMP)InnerIPheaderAHintransportmode:AHintunnelmode:MACscope-allimmutablefieldsPayload(egTCP,UDP,ICMP)OriginalIPheaderOuterIPheaderMACscope-allimmutablefieldsAHLen,SPI,seqno,MACAHLen,SPI,seqno,MAC72|

1/11/2024

ESP協議ESP=EncapsulatingSecurityPayload(RFC2406).Providesoneorbothof:confidentialityforpayload/innerdatagram.NBsequencenumbernotprotectedbyencryption.authenticationofpayload/innerdatagrambutnot

ofanyheaderfields(originalheaderorouterheader).Traffic-flowconfidentialityintunnelmode.UsessymmetricencryptionandMACsbasedonsecretkeyssharedbetweenendpoints.TherearebothengineeringandpoliticalreasonsfortheseparateexistenceofauthenticationinAHandinESP.73|

1/11/2024

ESP協議0SP