IPsec 技术技术手册手册 目目 录录 第第 1 章章 简介简介.1 1.1对称密钥密码学.1 1.2散列函数.3 1.3公钥密码系统.4 1.4公钥基础设施（PKI） 5 第第 2 章章 IPSEC 体系结构体系结构1 2.1需要 IPSEC的原因1 2.2IPSEC提供的服务.1 2.3安全关联（SECURITY ASSOCIATION, SA）.2 2.4安全策略数据库（SECURITY POLICE DATABASE, SPD） 4 第第 3 章章 IPSEC 协议内容协议内容1 3.1AH 协议1 3.2ESP 协议.2 3.3传输模式.4 3.4隧道模式.4 3.5IPSEC数据包的处理.5 第第 4 章章 IKE 协议协议.1 4.1简介.1 4.2DPD 基本原理4 4.3IPSEC穿越 NAT .6 4.4DHCP OVER IPSEC7 4.5MODE-CFG8 4.6XAUTH.9 第第 5 章章 VRF-AWARE IPSEC .1 第第 6 章章 IPSEC 调试信息调试信息1 6.1IPSEC报文调试信息.1 6.2IKE 协商过程调试信息.2 6.2.1正常协商过程.2 6.2.2协商失败信息.4 6.2.3配置下载信息.7 6.3IPSEC和 IKE 配置信息13 6.3.1显示 ID 别名.13 6.3.2显示 ID 组.14 6.3.3显示 IKE 提议14 6.3.4显示 IPsec 提议14 6.3.5显示隧道配置.15 6.3.6显示策略信息.15 6.3.7显示 IKE 协商状态信息16 6.3.8显示 IPsec SA 信息17 6.3.9显示 IPsec 安全策略库18 6.3.10显示 IPsec 报文的统计信息18 6.3.11其他.21 第第 1 章章简介简介 密码学是研究数据的加密、解密以及认证的学科。有两种加密数据的基本方法：一种是使用对称密 钥；另一种是使用非对称密钥。前者就是所谓的对称密钥密码学，而后者就是公钥密码学。对称密码系 统使用相同的密钥来对数据进行加密和解密；而非对称密码系统则使用一个密钥加密，而使用另一个密 钥解密。 散列函数是一种接受任意长的消息为输入，并产生固定长的输出的算法，这个输出称为消息摘要或 指纹。 1.1对称密钥密码学对称密钥密码学 密码学的历史可以追述到 2000 多年以前，人们认为，最开始的密码是一个被称为“恺撒密码”的移 位密码，它将原始的字符串消息（密码学上称为“明文” ）进行简单的移位形成另一串字符串消息（密码 学上称为“密文” ） ，它的密钥就是字符移动的间隔，密钥的范围（密码学上称为密钥空间）是 26（由于 字符串由 AZ 之间的字符组成） 。这种密码虽然简单，但其从此将人类带入辉煌的密码时代。移位密码的 下一代密码称为代换密码。事实上，移位密码是代换密码的一个子集。代换密码与移位密码的不同在于： 它不是把字母移动某个确定的间隔，而是将每一个字母用另一个字母来代替。它的密钥也不是一个整数， 而是一个代换。对代换密码进行穷举密钥搜索是很困难的，因为密钥空间含有 26 个字母的所有可能代换， 共有 26 的阶乘（26!）种可能的代换，即穷举密钥需进行 26！次尝试。对代换密码的密钥进行穷举搜索 需要费很大的力气。然而，用统计密码分析技术却可以很容易的破解代换密码。密码分析学是研究破译 密码系统的技术。统计密码分析学使用统计信息对密码进行攻击。 另一种在几百年前就使用的密码是置换密码，也称为换位密码。在置换密码中，并不改变字母本身， 而是改变字母的相对位置；而移位或代换密码这是用其他字母来代替明文中的字母。置换密码技术在现 代密码技术中广泛使用。 许多人将 Claude Shannon(先农)誉为现代密码学之父，他提出的扩散和混淆是构造密码体制基本要素。 使用统计分析来攻破一个代换密码是比较容易的。Shannon 提出了一种挫败这种攻击的方法；使用某种形 式的扩散技术，使密文的统计成分与明文之间不存在关系；同时结合混淆技术，使密文的统计成分和加 密密钥的取值之间的关系尽可能的复杂。通过使用复杂的代换算法来确保密文的每一个字符都是由尽可 能多的明文字符决定的。Feistel 密码结构是 IBM 公司的 Horst Feistel 于 1973 年公开的，它是第一个体现 Shannon 思想的密码系统。现在，Feistel 密码结构仍然广泛应用与大量的密码系统中。Feistel 密码结构独 特的设计特征可以概括如下： 它利用乘积密码，即顺序执行两个或更多各基本的代换密码和/或置换密码。 它利用一个代换函数执行几轮代换。 它利用一个密钥编排算法使密钥比特数转化为一些子密钥，以供密码在不同的迭代中使用。 目前，几乎所以的对称密码系统都使用了这些特征。 曾经一段时间使用最广泛的加密方法都基于 1977 年被美国标准局（National Bureau of Standards,现在 的美国标准与技术协会，NIST）作为第 46 号联邦信息处理标准而采用的数据加密标准 DES（Data Encryption Standard） 。在 DES 中数据以 64bit 分组进行加密，密钥长度为 56bit。加密算法经过一系列的 步骤把 64bit 的输入变换成 64bit 的输出，解密过程中使用同样的步骤和同样的密钥。DES 得到了广泛的 使用，它的安全性也是许多争论的主题。DES 的批评者的火力集中在两个方面。第一个方面是 IBM 原来 的 LUCIFER 算法（DES 的初期版本）的密钥长度是 128bit，而提交作为标准的系统却只有 56bit，足足 减少了 72bit 的密钥长度。批评者担心，这个密钥长度不足以抵御穷举式攻击。第二个方面是 DES 的内 部结构即 S 盒子（用于提供非线性变换）的设计标准是保密的，这样用户就无法确信 DES 的内部结构不 存在任何隐藏的弱点，利用这种弱点 NSA（美国国家安全局）能够在不知道密钥的情况下解密报文。后 来在差分密码分析上所做的工作似乎说明 DES 有着非常强的内部结构。无论争论的是非曲直究竟怎样， DES 实际上很成功，它得到广泛的使用，特别是在金融领域。现在一般认为，除极端敏感的场合外， DES 在商业应用上使用现在还不必担心。 假设 DES 的设计不存在后门，那么 DES 的问题就主要在于它的密钥长度。攻击者可以在 255次运算 内找到 56 比特的 DES 密钥 K。随着计算机系统运算速度的增加，在有限的时间内进行大量运算将变得更 可行。为了适当程度的安全性，需要一个密钥长度至少为 128 比特的算法。意识到 DES 已经快完成它的 历史使命，NIST 于 1997 年 1 月宣布了一项选择一个用作高级加密标准（AES）的候选算法的计划：这个 标准将取代 DES。有关各方在 1998 年上半年提交了 15 个密码算法。1999 年 8 月 9 日，NIST 宣布已经选 出 5 个最终候选算法来参加第二轮的角逐。最终，NIST 在 2000 年 10 月 2 日披露，它选择了 5 个最终候 选算法之一的 Rijndael 作为 AES 候选算法。 Rijndael 是一个使用可变分组和密钥长度的迭代分组密码。它是由比利时的 Joan Daemen 和 Vincent Rijmen 设计的。Rijndael 支持长度为 128、192、256 比特分组和密钥。但是 AES 只选了 128 比特的分组 和 128、192、256 比特的密钥。对 Rijndael 的 192 比特、256 比特的分组没有进行评估。Rindael 使用的 轮数依赖于分组和密钥的长度。如果分组长度是 128 比特，k 是密钥长度的比特数，则轮数 r 为 k/32+6。 也就是说，若密钥长度分别为 128、192 和 256 比特，则对应的轮数分别为 10、12、和 14。 Rijndael 是一个面向字节的密码。用一个 128 比特的明文分组作为初始状态。此状态经过许多次依赖 于密钥的变换，最后的状态是一个 128 比特的密文分组。需要特别指出的是 AES 不是基于 Feistel 结构的 （尽管 Feistel 结构在分组密码中占据着及其重要的地位）,而是基于一种叫做“置换代换”网络的结构， 它是分层的。 1.2散列函数散列函数 散列函数用于消息或文件的完整性检验。比如，可以对一个二进制文件计算摘要，将结果与可靠站 点或媒介中的同一文件的摘要进行比较，如果文件没有改变，这两个摘要是相同的。散列函数的另一个 常用方面是数字签名：对要签名的消息先进行散列，形成一个固定长的摘要，然后对这个摘要签名。 散列值以如下形式的函数 H 产生的：h=H(x),其中 x 是变长的报文，H(x)是定长的散列值。要用于报 文鉴别，散列函数 H 必须具有如下性质： 1、 H 能用于任何长度的消息。 2、 H 产生定长输出。 3、 对任何给定的 x，H(x)要相对易于计算，使得硬件和软件实现成为实际可行。 4、 对任何给定的码 h，寻找 x 使得 H(x)=h 在计算是不可行的。即单向性质。 5、 对任何给定的消息 x，寻找不等于 x 的消息 y，使得 H(y)= H(x)在计算上是不可行的。即弱抗碰 撞。 6、 寻找任何消息对(x,y)，使得 H(x)=H(y)在计算上是不可行的。即强抗碰撞。 MD5 报文摘要算法是由 Ron Rivest(RSA 算法Rivest-Shamir-Adleman中的“R”)在麻省理工学院提 出的。MD5 曾是使用最普遍的安全散列算法，但是现在它的安全性受到了置疑。该算法以一个任意长度 的报文作为输入，产生一个 128 比特的报文摘要作为输出。输入是按 512 比特的分组进行处理的。 SHA 安全散列算法由美国国家标准和技术协会（NIST）提出，并作为联邦信息处理标准在 1993 年 公布；1995 年又发布了一个修订版 FIPS PUB180-1，通常称之为 SHA-1。SHA 是基于 MD4 算法的，并 且它的设计在很大程度上是模仿 MD4 的。而 MD4 是 MD5 的先驱，它们均由 Ron Rivest 设计。 RIPEMD-160 报文摘要算法是在欧洲 RACE 的 PIPE 项目中由研究人员开发而成的，这些研究人员曾 经对 MD4 和 MD5 部分进行了成功的攻击。他们最初开发 128 比特的版本 PIPEM。在 RIPE 项目结束后， H.Dobbertin(他不是 RIPE 项目成员)发现了对两循环 RIPEMD 的攻击方法以及随后对 MD4 和 MD5 的攻击 方法。正因为这些攻击，PIPE 项目的部分成员决定对 RIPEMD 进行修改。该算法可以接收任意长度的输 入报文，产生的输出是一个 160 比特的报文摘要。输入是按 512 比特分组进行处理的。 1.3公钥密码系统公钥密码系统 公开密钥密码编码学的发展是整个密码编码学历史上最大的而且也许是唯一真正的革命。从最初一 直到现代，几乎所以的密码编码系统都建立在基本的代换和置换工具的基础上。在用了数千年的本质上 可以手算完成的算法之后，常规的密码编码学随着转轮加密/解密机的发展才出现了一个重大的进步。机 电式变码旋转件使得极其复杂的密码系统被研制出来。有了计算机之后，更加复杂的系统被设计出来， 其中最有名的就是 Lucifer 在 IBM 进行的最终设计出数据加密标准 DES 的工作。但是不管是转轮机还是 DES，虽然代表了重要的进展，却仍然依赖于代换和置换这样的基本工具。 公开密钥密码编码学则与以前的所有方法都截然不同。一方面公开密钥算法基于数学函数而不是代 换和置换，更重要的是，公开密钥密码编码学是非对称的，它用到两个不同的密钥，而对称的常规加密 则只是使用一个密钥。使用两个密钥对于保密通信、密钥分配和鉴别等领域都有着深远的影响。 公开密钥算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。这些算