的实现机制

5.3.9　IPSec的实现机制

1.访问控制

访问控制是指防止未经授权对资源进行访问。IPSec环境中，需要进行访问控制的资源通常为主机中的数据和计算能力、安全网关内的本地网及其带宽。

IPSec使用身份认证机制进行访问控制。两个IPSec实体试图进行通信前，必须通过IKE协商SA，协商过程中要进行身份认证。身份认证采用公钥签名机制，使用数字签名标准（DSS）算法或RSA算法，而公钥通常是从证书中取得的。

2.数据源验证

数据源验证对数据起源所声明的身份进行验证。通常与无连接数据完整性相结合。

IPSec使用消息鉴别机制实现数据源验证服务。发送方在发送数据包前，要用消息、鉴别算法HMAC计算MAC。HMAC将消息的一部分和密钥作为输入，以MAC作为输出。MAC保存在IPSec头（AH、ESP头）的验证数据字段中。目的地收到IP包后，使用相同的验证算法和密钥计算验证数据。如果计算出的MAC与数据包中的MAC相同，则认为数据包是可信的，即通过验证。

3.无连接完整性和抗重播

无连接完整性服务对单份数据包是否被修改进行检查，而对数据包的到达顺序不作要求。IPSec使用数据源验证机制实现无连接完整性服务。

IPSec的抗重播服务，亦称为部分序号完整性服务，是指防止攻击者截取和复制IP包，然后发送到源目的地。IPSec根据IPSec头中的序号字段，使用滑动窗口原理，实现抗重播服务。

因为IP协议提供的服务是不可靠的和无连接的，即不保证数据包能够到达，也不保证按顺序到达，所以IPSec要求接收方维持一个大小为W的窗口（缺省时，W＝64），窗口右边界表示已接到的有效数据包的最大序号N。对于到达的任何有效（验证正确的）数据包，如序号在N－W＋1至N之间，则接收方应在窗口的相应位置作标记。数据包到达后，要进行进入处理。其过程如下：

（1）如数据包序号落在窗口内，且不是重发的，则进行MAC验证。如验证正确，则应在窗口的相应位置作标记。

（2）如数据包序号落在窗口右侧，且不是重发的，则进行MAC校验。如验证正确，则把数据序号作为窗口右边界，将窗口向前滑动，并在窗口的相应位置作标记。

（3）如数据包序号落在窗口左侧，或者验证失败，则将数据包丢弃，并产生一个审计事件。

4.机密性和有限的业务流机密性

业务流机密性服务是指防止对通信的外部属性（源地址、目的地址、消息长度和通信频率等）的泄露，从而使攻击者对网络流量进行分析，推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。IPSec使用ESP隧道模式，对IP包进行封装，可达到一定程度的机密性，即有限的业务流机密性。