计算机网络安全

本书是“十二五”普通高等教育本科*规划教材、“十二五”江苏省高等学校重点教材。    在前两版成功的基础上精心修订，既注重介绍网络安全基础理论，又着眼培养读者网络安全技术和实践能力。全书详细讨论了密码学、消息鉴别和数字签名、身份认证、Internet安全、恶意代码及其防杀、防火墙、网络攻击与防范、虚拟专用网、无线网络安全、移动互联网安全等计算机网络安全的相关理论和主流技术。　　适合作为计算机专业本科生、大专生的计算机网络安全教材，也可供从事计算机网络安全工作的工程技术人员参考。    本书的电子教案可从清华大学出版社网站http://www.tup.tinghua.edu.cn上下载。
 

本书介绍网络安全基础理论及技术。全书共11章，详细讨论了密码学、消息鉴别和数字签名、身份认证、Internet安全、恶意代码及其防杀、防火墙、网络攻击与防范、虚拟专用网、无线网络安全和移动互联网安全。
本书内容反映了当前*的网络安全理论与技术，既注重基础理论的介绍，又着眼于读者技术应用和实践能力的培养。
本书适合作为计算机专业本科生、大专生的计算机网络安全教材，也可供从事计算机网络安全工作的工程技术人员参考。

 

目录

第1章概述/1

1.1网络安全挑战1

1.2网络安全的基本概念3

1.2.1网络安全的定义3

1.2.2网络安全的属性4

1.2.3网络安全层次结构4

1.2.4网络安全模型5

1.3OSI安全体系结构7

1.3.1安全攻击7

1.3.2安全服务10

1.3.3安全机制11

1.4网络安全防护体系14

1.4.1网络安全策略14

1.4.2网络安全体系15

思考题17

第2章密码学/18

2.1密码学概述18

2.1.1密码学的发展18

2.1.2密码学的基本概念19

2.1.3密码的分类20

2.2古典密码体制22

2.2.1置换技术22

2.2.2代换技术23

2.2.3古典密码分析27

2.2.4一次一密28

2.3对称密码体制29

2.3.1对称密码体制的概念29

2.3.2DES31

2.3.3AES38〖1〗计算机网络安全目录[3]〖3〗2.3.4分组密码的工作模式42

2.3.5RC444

2.4公钥密码体制45

2.4.1公钥密码体制原理45

2.4.2RSA算法50

2.4.3ElGamal公钥密码体制52

2.4.4DiffieHellman密钥交换协议53

2.5密码学的新进展56

2.5.1同态加密56

2.5.2属性基加密58

2.5.3可搜索加密59

思考题60

第3章消息鉴别与数字签名/61

3.1消息鉴别61

3.1.1消息鉴别的概念62

3.1.2基于MAC的鉴别62

3.1.3基于散列函数的鉴别64

3.1.4散列函数67

3.2数字签名72

3.2.1数字签名简介73

3.2.2基于公钥密码的数字签名原理74

3.2.3数字签名算法75

思考题78

第4章身份认证/79

4.1用户认证79

4.1.1基于口令的认证80

4.1.2基于智能卡的认证81

4.1.3基于生物特征的认证82

4.2认证协议83

4.2.1单向认证83

4.2.2双向认证84

4.3Kerberos86

4.3.1Kerberos版本487

4.3.2Kerberos版本593

4.4X.509认证服务97

4.4.1证书97

4.4.2认证的过程100

4.4.3X.509版本3101

4.5公钥基础设施102

4.5.1PKI体系结构102

4.5.2认证机构103

4.5.3PKIX相关协议105

4.5.4PKI信任模型106

思考题109

第5章Internet安全/110

5.1IP安全110

5.1.1IPSec体系结构110

5.1.2IPSec工作模式112

5.1.3AH协议113

5.1.4ESP协议114

5.1.5IKE117

5.2SSL/TLS120

5.2.1SSL体系结构121

5.2.2SSL记录协议123

5.2.3SSL修改密码规范协议125

5.2.4SSL报警协议125

5.2.5SSL握手协议126

5.2.6TLS130

5.2.7HTTPS130

5.3PGP131

5.3.1PGP操作132

5.3.2PGP密钥136

5.4Internet欺骗141

5.4.1ARP欺骗141

5.4.2DNS欺骗143

5.4.3IP地址欺骗144

5.4.4Web欺骗146

思考题147

第6章恶意代码/149

6.1恶意代码的概念及关键技术149

6.1.1恶意代码概念149

6.1.2恶意代码生存技术150

6.1.3恶意代码隐藏技术152

6.2计算机病毒153

6.2.1计算机病毒概述153

6.2.2计算机病毒防治技术157

6.3木马163

6.3.1木马概述163

6.3.2木马工作原理164

6.3.3木马防治技术167

6.4蠕虫170

6.4.1蠕虫概述170

6.4.2蠕虫的传播过程173

6.4.3蠕虫的分析和防范173

6.5其他常见恶意代码174

思考题176

第7章防火墙/177

7.1防火墙的概念177

7.2防火墙的特性178

7.3防火墙的技术179

7.3.1包过滤技术180

7.3.2代理服务技术184

7.3.3状态检测技术187

7.3.4自适应代理技术189

7.4防火墙的体系结构189

7.5个人防火墙191

7.6防火墙的应用与发展192

7.6.1防火墙的应用192

7.6.2防火墙技术的发展193

思考题194

第8章网络攻击与防范/195

8.1网络攻击概述195

8.1.1网络攻击的概念195

8.1.2网络攻击的类型196

8.1.3网络攻击的过程197

8.2常见网络攻击199

8.2.1拒绝服务攻击199

8.2.2分布式拒绝服务攻击201

8.2.3缓冲区溢出攻击203

8.2.4僵尸网络205

8.3入侵检测209

8.3.1入侵检测概述209

8.3.2入侵检测系统分类212

8.3.3分布式入侵检测217

8.3.4入侵检测技术发展趋势218

8.4计算机紧急响应220

8.4.1紧急响应220

8.4.2蜜罐技术221

思考题223

第9章虚拟专用网/224

9.1VPN概述224

9.1.1VPN的概念224

9.1.2VPN的基本类型226

9.1.3VPN的实现技术228

9.1.4VPN的应用特点231

9.2隧道技术232

9.2.1隧道的概念232

9.2.2隧道的基本类型234

9.3实现VPN的二层隧道协议234

9.3.1PPTP235

9.3.2L2F238

9.3.3L2TP240

9.4实现VPN的三层隧道协议242

9.4.1GRE242

9.4.2IPSec244

9.5MPLS VPN245

9.5.1MPLS的概念和组成246

9.5.2MPLS的工作原理247

9.5.3MPLS VPN的概念和组成248

9.5.4MPLS VPN的数据转发过程249

9.6SSL VPN250

9.6.1SSL VPN概述250

9.6.2基于Web浏览器模式的SSL VPN251

9.6.3SSL VPN的应用特点253

思考题254

第10章无线网络安全/255

10.1无线网络安全背景255

10.2IEEE 802.11无线网络安全256

10.2.1IEEE 802.11无线网络背景256

10.2.2WEP258

10.2.3IEEE 802.11i262

10.3IEEE 802.16无线网络安全274

10.3.1数据加密封装协议275

10.3.2密钥管理协议276

思考题278

第11章移动互联网安全/279

11.1移动互联网安全简介279

11.1.1移动互联网的概念与特点279

11.1.2移动互联网安全问题280

11.2移动互联网的终端安全281

11.2.1终端安全威胁281

11.2.2终端安全模型282

11.33GPP安全284

11.3.13GPP安全架构284

11.3.23GPP安全机制285

11.3.33GPP AKA286

思考题287

附录A实验指导/288

实验1密码学实验288

实验2操作系统安全实验289

实验3网络监听与扫描实验291

实验4剖析特洛伊木马292

实验5使用PGP实现电子邮件安全293

实验6防火墙实验293

实验7入侵检测软件Snort的使用与分析295

实验8IEEE 802.11加密与认证296

附录B课程设计指导/297

参考文献/299

前言随着Internet在全球的普及和发展，计算机网络成为信息的主要载体之一。计算机网络的全球互联趋势越来越明显，其应用范围日渐普及和广泛，应用层次逐步深入。国家发展、社会运转以及人类的各项活动对计算机网络的依赖性越来越强。计算机网络已经成为人类社会生活不可缺少的组成部分。与此同时，随着网络规模的不断扩大和网络应用的逐步普及，网络安全问题也越发突出，受到越来越广泛的关注。计算机和网络系统不断受到侵害，侵害形式日益多样化，侵害手段和技术日趋先进和复杂化，已经严重威胁到网络和信息的安全。一方面，计算机网络提供了丰富的资源以便用户共享；另一方面，资源共享度的提高也增加了网络受威胁和攻击的可能性。事实上，资源共享和网络安全是一对矛盾，随着资源共享的加强，网络安全问题也日益突出。计算机网络的安全已成为当今信息化建设的核心问题之一。网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，网络系统连续可靠正常地运行，网络服务不中断。从其本质上讲，网络安全就是网络上的信息安全。为了保证网络上信息的安全，首先需要自主计算机系统的安全；其次需要互联的安全，即连接自主计算机的通信设备、通信链路、网络软件和通信协议的安全；后需要各种网络服务和应用的安全。从广义来说，凡是涉及网络上信息的机密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全领域的相关理论和技术发展很快。为使读者全面、及时地了解和应用的网络安全技术，掌握网络安全的实践技能，编者在本书第2版的基础上进行了修订和补充。本次修订，保留和强化了实用性、体系结构、主线示例贯穿等特色，同时优化内容，淘汰陈旧知识、加入了当前的网络安全理论与算法；进一步扩充了网络安全实践的相关技术细节，并从知识内容优选、示例更新、实验体系扩展等多个方面进行修订，完善了理论教学内容，充实了实验指导。使得学生在系统学习基本概念、基本理论的基础上，深入理解并掌握常见网络安全防护技术。本书以网络面临的常见安全问题以及相应的检测、防护和恢复为主线，系统地介绍了网络安全的基本概念、理论基础、安全技术及其应用。全书共〖1〗计算机网络安全前言[3]〖3〗11章，内容包括计算机网络安全概述、密码学、消息鉴别和数字签名、身份认证、Internet安全、恶意代码及其防杀、防火墙、网络攻击与防范、虚拟专用网、无线网络安全、移动互联网安全等。希望通过本次修订，能够反映网络安全理论和技术的研究和教学进展，用通俗易懂的语言向读者全面而系统地介绍网络安全相关理论和技术，帮助读者建立完整的网络安全知识体系，掌握网络安全保护的实际技能。本书内容完整，安排合理，难度适中；理论联系实际，原理和技术有机结合；逻辑性强，重点突出；文字简明，通俗易懂。本书可作为高等院校计算机及其相关专业的本科生、大专生的教材，也可作为网络管理人员、网络工程技术人员的参考书。在本书的修订编写和申报“十二五”规划教材的过程中得到了清华大学出版社的大力帮助和支持，在此表示由衷的感谢。鉴于编者水平有限，书中难免出现错误和不当之处，殷切希望各位读者提出宝贵意见，并恳请各位专家、学者批评指正。作者的Email为[email protected]。本书配套课件可从清华大学出版社网站http://www.tup.tinghua.edu.cn下载。
编者2016年7月

评论

第5章Internet安全随着Internet的不断普及，TCP/IP体系结构成为当前计算机网络的基础，TCP/IP网络已基本成为现代计算机网络的代名词。但是，由于TCP/IP体系结构在设计之初的局限性，Internet存在的安全问题日益突出，各种安全隐患日渐严重。因此，人们设计了不同的安全机制来应对Internet面临的安全挑战。事实上，可以在TCP/IP体系结构上的任何层次实现安全机制，各层机制有不同的特点，提供不同的安全性。本章首先介绍3种典型的在TCP/IP不同层次提供的安全机制： IPSec、SSL/TLS和PGP，然后介绍常见的Internet欺骗及防范手段。5.1IP 安 全在TCP/IP协议分层模型中，IP层是可能实现端到端安全通信的底层。通过在IP层上实现安全性，不仅可以保护各种带安全机制的应用程序，而且可以保护许多无安全机制的应用。典型地，IP协议实现在操作系统中，因此，在IP层实现安全功能，可以不必修改应用程序。互联网工程任务组（IETF）于1998年颁布了一套开放标准网络安全协议： IP层安全标准IPSec（IP Security），其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于加密的安全。IPSec将密码技术应用在网络层，提供端对端通信数据的私有性、完整性、真实性和防重放攻击等安全服务。IPSec对于IPv4是可选的，对于IPv6是强制性的。IPSec能支持各种应用的原理在于它可以在IP层实现加密/认证功能，这样就可以在不修改应用程序的前提下保护所有的分布式应用，包括远程登录、电子邮件、文件传输和Web访问等。IPSec通过多种手段提供了IP层安全服务： 允许用户选择所需安全协议，允许用户选择加密和认证算法，允许用户选择所需的密码算法的密钥。IPSec可以安装在路由器或主机上，若IPSec安装在路由器上，则可在不安全的Internet上提供一个安全的通道；若安装在主机上，则能提供主机端对端的安全性。5.1.1IPSec体系结构IPSec规范相当复杂，因为它不是一个单独的协议。IPSec规范给出了应用于IP层的网络数据安全的一整套体系结构，包括认证头协议、封装安全载荷协议、Internet密钥〖1〗计算机网络安全第5章Internet安全[3]〖3〗交换协议和用于网络认证和加密的一些算法等。IPSec的主要构成组件如图51所示。图51IPSec组件IPSec的安全功能主要通过IP认证头（Authentication Header，AH）协议以及封装安全载荷（Encapsulating Security Payload，ESP）协议实现。AH提供数据的完整性、真实性和防重放攻击等安全服务，但不包括机密性。而ESP除了实现AH的功能外，还可以实现数据的机密性。AH和ESP可以分开使用或一起使用。完整的IPSec还应包括AH和ESP中所使用密钥的交换和管理，也就是Internet密钥交换（Internet Key Exchange，IKE）协议，IKE用于动态地认证IPSec参与各方的身份。IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法，而认证算法是HMACMD5，HMACSHA1和NULL认证算法。NULL加密和认证分别是不加密和不认证。在IP的认证和保密机制中出现的一个核心概念是安全关联（SA）。一个安全关联是发送方和接收方之间受到密码技术保护的单向关系，该关联对所携带的通信流量提供安全服务： 要么对通信实体收到的IP数据包进行“进入”保护，要么对实体外发的数据包进行“流出”保护。如果需要双向安全交换，则需要建立两个安全关联，一个用于发送数据，另一个用于接收数据。安全服务可以由AH或ESP提供，但不能两者都提供。一个安全关联由3个参数确定: 安全参数索引（SPI）。一个与SA相关的位串，仅在本地有意义。这个参数被分配给每一个SA，并且每一个SA都通过SPI进行标识。发送方把这个参数放置在每一个流出数据包的SPI域中，SPI由AH和ESP携带，使得接收系统能选择合适的SA处理接收包。SPI并非全局指定，因此SPI要与目标IP地址、安全协议标识一起来地标识一个SA。 目标IP地址。目前IPSec SA管理机制中仅仅允许单播地址。所以这个地址表示SA的目的端点地址，可以是用户终端系统、防火墙或路由器。它决定了关联方向。 安全协议标识。标识该关联是一个AH安全关联或ESP安全关联。处理与SA有关的流量时有两个数据库，即安全关联数据库（Security Association Database，SAD）和安全策略数据库（Security Policy Database，SPD）。SAD包含了与每一个安全关联相联系的参数，SPD则指定了主机或网关的所有IP流量的流入和流出分配策略。5.1.2IPSec工作模式IPSec的安全功能主要通过IP认证头(AH)协议以及封装安全载荷(ESP)协议实现。AH和ESP均支持两种模式： 传输模式和隧道模式，如图52所示。图52IPSec工作模式1. 传输模式传输模式主要为直接运行在IP层之上的协议(如TCP、UDP和ICMP)提供安全保护，一般用于在两台主机之间的端到端通信。传输模式是指在数据包的IP头和载荷之间插入IPSec信息。当一个主机在IPv4上运行AH或ESP时，其载荷是跟在IP报头后面的数据；对IPv6而言，其载荷是跟在IP报头后面的数据和IPv6的任何扩展头。传输模式使用原始明文IP头。传输模式的ESP可以加密和认证IP载荷，但不包括IP头。传输模式的AH可以认证IP载荷和IP报头的选中部分。2. 隧道模式隧道模式对整个IP包提供保护。为了达到这个目的，当IP数据包附加了AH或ESP域之后，整个数据包加安全域被当作一个新IP包的载荷，并拥有一个新的外部IP包头。原来（内部）的整个IP包利用隧道在网络之间传输，沿途路由器不能检查内部IP包头。由于原来的包被封装，新的、更大的包可以拥有完全不同的源地址与目的地址，以增强安全性。当SA的一端或两端为安全网关时使用隧道模式，如使用IPSec的防火墙或路由器。防火墙内的主机在没有IPSec时也可以实现安全通信： 当主机生成的未保护包通过本地网络边缘的防火墙或安全路由器时，IPSec提供隧道模式的安全性。IPSec操作隧道模式的例子如下。网络中的主机A生成以另一个网络中的主机B作为目的地址的IP包，该IP包从源主机A被发送到A网络边界的防火墙或安全路由器。防火墙过滤所有的外发包。根据对IPSec处理的请求，如果从A到B的包需要IPSec处理，则防火墙执行IPSec处理，给该IP包添加外层IP包头，外层IP包头的源IP地址为此防火墙的IP地址，目的地址可能为B本地网络边界的防火墙的地址。这样，包被传送到B的防火墙，而其间经过的中间路由器仅检查外部IP头；在B的防火墙处，除去外部IP头，内部的包被送往主机B。ESP在隧道模式中加密和认证（可选）整个内部IP包，包括内部IP报头。AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。当IPSec被用于端到端的应用时，传输模式更合理一些。在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中，通常采用隧道模式。而且，传输模式并不是必需的，因为隧道模式可以完全替代传输模式。但是隧道模式下的IP数据包有两个IP头，处理开销相对较大。5.1.3AH协议IP认证头（AH）协议为IP数据包提供数据完整性校验和身份认证，还有可选择的抗重放攻击保护，但不提供数据加密服务。数据完整性确保包在传输过程中内容不可更改；认证确保终端系统或网络设备能对用户或应用程序进行认证，并相应地提供流量过滤功能，同时还能防止地址欺诈攻击和重放攻击。认证基于消息鉴别码（MAC），双方必须共享同一个密钥。由于AH不提供机密性保证，所以它也不需要加密算法。AH可用来保护一个上层协议（传输模式）或一个完整的IP数据报（隧道模式）。它可以单独使用，也可以和ESP联合使用。认证头由如下几个域组成，如图53所示。图53IPSec认证头 邻接头（8位）。标识AH字段后面下一个负载的类型。 有效载荷长度（8位）。字长为32位的认证头长度减2。例如，认证数据域的默认长度是96位或3个32位字，另加3个字长的固定头，总共6个字，则载荷长度域的值为4。 保留（7位）。保留给未来使用。当前，这个字段的值设置为0。 安全参数索引（32位）。这个字段与目的IP地址和安全协议标识一起，共同标识当前数据包的安全关联。 序列号（32位）。单调递增的计数值，提供了反重放的功能。在建立SA时，发送方和接收方的序列号初始化为0，使用此SA发送的个数据包序列号为1，此后发送方逐渐增大该SA的序列号，并把新值插入到序列号字段。 认证数据（变量）。变长域，包含了数据包的完整性校验值（Integrity Check Value，ICV）或包的MAC。这个字段的长度必须是32位字的整数倍，可以包含填充。1. AH传输模式AH的传输模式只保护IP数据包的不变部分，它保护的是端到端的通信，通信的终点必须是IPSec终点，如图54所示。图54AH的传输模式在IPv4的传输模式AH中，AH插入到原始IP头之后，IP载荷（如TCP分段）之前。认证包括了除IPv4报头中可变的、被MAC计算置为0的域以外的整个包。在IPv6中，AH被作为端到端载荷，即不被中间路由器检查或处理。因此，AH出现在IP头以及跳、路由和分段扩展头之后。目的地址作为可选报头在AH前面或后面，由特定语义决定。同样，认证包括了除IPv6报头中可变的、被MAC计算置为0的域以外的整个包。2. AH隧道模式AH用于隧道模式时，整个原始IP包被认证，AH被插入到原始IP头和新IP头之间。原IP头中包含了通信的原始地址，而新IP头则包含了IPSec端点的地址，如图55所示。图55AH隧道模式使用隧道模式，整个内部IP包，包括整个内部IP头均被AH保护。外部IP头（IPv6中的外部IP扩展头）除了可变且不可预测的域之外均被保护。隧道模式可用来替换端到端安全服务的传输模式。但由于这一协议中没有提供机密性，因此，相当于没有隧道封装这一保护措施，所以它没有什么用处。5.1.4ESP协议封装安全载荷（ESP）协议为IP数据包提供数据完整性校验、身份认证和数据加密，还有可选择的抗重放攻击保护。即除了AH提供的所有服务外，ESP还提供数据保密服务，包括报文内容保密和流量限制保密。ESP用一个密码算法提供机密性，数据完整性则由身份验证算法提供。ESP通过插入一个的、单向递增的序列号提供抗重放服务。保密服务可以独立于其他服务而单独选择，数据完整性校验和身份认证用作保密服务的联合服务。只有选择了身份认证时，才可以选择抗重放服务。ESP可以单独使用，也可以和AH联合使用，还可以通过隧道模式使用。ESP可以提供主机到主机、防火墙到防火墙、主机到防火墙之间的安全服务。图56是ESP包的格式，它包含如下各域： 图56ESP格式 安全参数索引SPI（32位）。标识安全关联。ESP中的SPI是强制字段，总要提供。 序列号（32位）。单调递增计数值，提供反重放功能。这是强制字段，并且总要提供，即使接收方没有选择对特定SA的反重放服务。如果开放了反重放服务，则计数值不允许折返。 载荷数据（变长）。变长的字段，包括被加密保护的传输层分段（传输模式）或IP包（隧道模式）。该字段的长度是字节的整数倍。 填充域（0～255字节）。可选字段，但所有实现都必须支持该字段。该字段满足加密算法的需要（如果加密算法要求明文是字节的整数倍），还可以提供通信流量的保密性。发送方可以填充0～255字节的填充值。 填充长度（8位）。紧跟填充域，指示填充数据的长度，有效值范围是0～255。 邻接头（8位）。标识载荷中个报头的数据类型（如IPv6中的扩展头或上层协议TCP等）。 认证数据（变长）。一个变长域（必须为32位字长的整数倍），包含根据除认证数据域外的ESP包计算的完整性校验值。该字段长度由所选择的认证算法决定。载荷数据、填充数据、填充长度和邻接头域在ESP中均被加密。如果加密载荷的算法需要初始向量IV这样的同步数据，则必须从载荷数据域头部取，IV通常作为密文的开头，但并不被加密。对加密来说，发送方封装ESP字段，添加必要的填充并加密结果。发送方使用SA和IV（密码同步数据）指定的密钥、加密算法、算法模式来加密字段。如果加密算法要求IV，则这个数据被显式地携带在载荷字段中。加密在认证之前执行，并且不包含认证数据。这种方式有利于接收方在解密之前快速地检测数据包，拒绝重放和伪造的数据包。接收方使用密钥、解密算法和IV来解密ESP载荷数据、填充、填充长度和邻接头。如果指明使用了显式IV，则这个数据从负载中取出，输入到解密算法中。如果使用隐式IV，则接收方构造一个本地IV输入到解密算法中。认证算法由SA指定。与AH相同，ESP支持使用默认为96位的MAC，且应支持HMACMD596和HMACSHA196。发送方针对去掉认证数据部分的ESP计算ICV。SPI、序列号、载荷数据、填充数据、填充长度和邻接头都包含在ICV的计算中。1. 传输模式ESP传输模式ESP用于加密和认证（可选）IP携带的数据（如TCP分段），如图57所示。图57传输模式ESP在此模式下使用IPv4，ESP头位于传输头（TCP、UDP、ICMP）之前，ESP尾（填充数据、填充长度和邻接头域）放入IP包尾部。如果选择了认证，则将ESP的认证数据域置于ESP尾之后。整个传输层分段和ESP尾一起加密。认证覆盖ESP头和所有密文。在IPv6中，ESP被视为端到端载荷，即不被中间路由器校验和处理。因此，ESP头出现在IPv6基本头以及跳、路由和分段扩展头之后，目的可选扩展头可根据安全防护的需求出现在ESP头之前或之后。如果可选扩展头在ESP头之后，则加密包括整个传输段、ESP尾和目的可选扩展头。认证覆盖了ESP头和所有密文。传输模式ESP操作可归纳如下： (1)  在源端，包括ESP尾和整个传输层分段的数据块被加密，块中的明文被密文替代，形成要传输的IP包，如果选择了认证，则加上认证。(2)  将包送往目的地。中间路由器需要检查和处理IP头和任何附加的IP扩展头，但不需要检查密文。(3)  目的节点对IP报头和任何附加的IP扩展头进行处理后，利用ESP头中的SPI解密包的剩余部分，恢复传输层分段数据。传输模式操作为任何使用它的应用提供保护，而不需要在每个单独的应用中实现。同时，这种方式也是高效的，仅增加了少量的IP包长度。它的一个弱点是可能对传输包进行流量分析。2. 隧道模式ESP隧道模式ESP用于加密整个IP包，如图58所示。图58隧道模式ESP在此模式中，将ESP头作为包的前缀，并在包后附加ESP尾，然后对其进行加密。该模式用于对抗流量分析。由于IP头中包含目的地址和可能的路由以及跳的信息，不可能简单地传输带有ESP头的被加密的IP包，因为这样中间路由器就不能处理该数据包。因此，必须用新的IP报头封装整个数据块（ESP头、密文和可能的认证数据），其中拥有足够的路由信息，却没有为流量分析提供信息。传输模式适用于保护支持ESP特性的主机之间的连接，而隧道模式则适用于防火墙或其他安全网关，保护内部网络，隔离外部网络。后者加密仅发生在外部网络和安全网关之间或两个安全网关之间，从而内部网络的主机不负责加密工作，通过减少所需密钥数目简化密钥分配任务。另外，它阻碍了基于终目的地址的流量分析。5.1.5IKEIPSec的密钥管理包括密钥的建立和分发。密钥建立是依赖于加密的数据保护的核心，密钥分发则是数据保护的基础。IPSec体系结构文档要求支持以下两种密钥管理类型：  手动。系统管理员手动地为每个系统配置自己的密钥和其他通信系统密钥。这种方式适用于小规模、相对静止的环境。 自动。在大型分布系统中使用可变配置为SA动态地按需创建密钥。Internet密钥交换（IKE）用于动态建立SA和会话密钥。在建立安全会话之前，通信双方需要一种协议，用于自动地以受保护的方式进行双向认证，建立共享的会话密钥和生成IPSec的SA，这一协议叫做Internet密钥交换协议。IKE的目的是使用某种长期密钥（如共享的秘密密钥、签名公钥和加密公钥）进行双向认证并建立会话密钥，以保护后续通信。IKE代表IPSec对SA进行协商，并对安全关联数据库（SAD）进行填充。IETF设计了IKE的整个规范，主要由3个文档定义： RFC 2407，RFC 2408和RFC 2409。RFC 2407定义了因特网IP安全解释域（IPSec DOI），RFC 2408描述因特网安全关联和密钥管理协议ISAKMP，RFC 2409则描述了IKE如何利用Oakley、SKEME和ISAKMP进行安全关联的协商。ISAKMP为认证和密钥交换提供了一个框架，用来实现多种密钥交换。ISAKMP自身不包含特定的交换密钥算法，而是定义了一系列使用各种密钥交换算法的报文格式，规定了通信双方的身份认证，安全关联的建立和管理，密钥产生的方法，以及安全威胁（例如重放攻击）的预防。Oakley是一个基于DiffieHellman算法的密钥交换协议，描述了一系列称为“模式”的密钥交换，并且定义了每种模式提供的服务。Oakley允许各方根据本身的速度来选择使用不同的模式。以Oakley为基础，IKE借鉴了不同模式的思想，每种模式提供不同的服务，但都产生一个结果： 通过验证的密钥交换。在Oakley中，并未定义模式进行一次安全密钥交换时需要交换的信息，而IKE对这些模式进行了规范，将其定义成正规的密钥交换方法。SKEME是另外一种密钥交换协议，定义了验证密钥交换的一种类型。其中，通信各方利用公钥加密实现相互间的验证；同时“共享”交换的组件。每一方都要用对方的公钥来加密一个随机数字，两个随机数（解密后）都会对终的会话密钥产生影响。通信的一方可选择进行一次DiffieHellman交换，或者仅仅使用另一次快速交换对现有的密钥进行更新。IKE在它的公共密钥加密验证中，直接借用了SKEME这种技术，同时也借用了快速密钥刷新的概念。DOI(Domain Of Interpretation,解释域)是ISAKMP的一个概念，规定了ISAKMP的一种特定用法，其含义是，对于每个DOI值，都应该有一个与之相对应的规范，以定义与该DOI值有关的参数。IKE实际上是一种常规用途的安全交换协议，适用于多方面的需求，如SNMPv3、OSPFv3等。IKE采用的规范是在DOI中制定的，它定义了IKE具体如何协商IPSec SA。如果其他协议要用到IKE，每种协议都要定义各自的DOI。因此，由RFC 2409文档描述的IKE属于一种混合型协议。它创建在ISAKMP定义的框架上，沿用了Oakley的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式，从而定义出自己独一无二的验证加密材料生成技术以及协商共享策略。IKE定义了两个阶段的ISAKMP交换。阶段1建立IKE SA，对通信双方进行双向身份认证，并建立会话密钥；阶段2使用阶段1的会话密钥，建立一个或多个ESP或AH使用的SA。IKE SA定义了双方的通信形式，如使用哪种算法来加密IKE通信，怎样对远程通信方的身份进行验证等。随后，便可用IKE SA在通信双方之间建立任何数量的IPSec SA。因此，在具体的IPSec实现中，IKE SA保护IPSec SA的协商，IPSec SA保护终的网络中的数据流量。1. IKE阶段1阶段1的交换有两种模式： 积极模式和主模式，如图59所示。图59IKE阶段1的模式积极模式（aggressive mode）使用3条消息完成，前两条消息是DiffieHellman交换，用于建立会话密钥；消息2和消息3完成了双向认证。在消息1中，发起方可以提议密码算法。但是因为发起方还要发送一个DiffieHellman数，所以必须指定一种的DiffieHellman组，并期望响应方能够支持。如果不能支持，则响应方会拒绝本次链接请求，而且不会告诉发起方自己能够支持的算法。主模式(main mode)则需要6条消息。在对消息中，发起方发送一个cookie并请求对方的密码算法，响应方回应自己的cookie和能够接受的密码算法。消息3和消息4是一次DiffieHellman交换过程。消息5和消息6用消息3和消息4商定的DiffieHellman数值进行加密，完成双向身份认证的过程。主模式可以协商所有密码参数： 加密算法、散列算法、认证方式和DiffieHellman组，由发起方提议，响应方选择。IKE为每类密码参数规定了必须实现的算法，加密算法必须支持DES，散列算法要实现MD5，认证方式要支持预先共享密钥的方式，DiffieHellman组则是特定的g和p的模指数。积极模式的消息2和消息3、主模式的消息5和消息6都包含一个身份证据，用于证明发送方知道与其身份相关的秘密，同时作为以前发送的消息的完整性保护。在IKE中，身份证据随着认证方式的不同而不同。IKE阶段1可以接受的认证方法包括预先共享的秘密密钥、加密公钥、签名公钥等。通常，身份证据由某种密钥的散列值、Diffie