44、互联网安全认证协议与技术解析

互联网安全认证协议与技术解析

1. 互联网通信基础与安全需求

互联网是一个由大量计算机和设备（节点）组成的开放网络。每个节点都有唯一的网络地址，即IP地址，用于消息的收发。根据ISO的“开放系统互连（ISO - OSI）七层参考模型”，处理消息传输的互联网协议（IP）工作在第3层（网络层或IP层），而许多由终端用户调用的通信协议（包括认证协议）工作在第7层（应用层）。

IP层的通信以“IP数据包”的形式进行。一个未受加密保护的IP数据包，前三个字段有明显含义，第四个“上层字段”包含上层协议规范（如TCP）和传输的数据。以电子邮件通信为例，若IP数据包没有加密保护，两端的身份信息会出现在“IP报头字段”中，接收方可以知道发送方并进行回复。

当双方希望进行端到端加密的机密通信时，由于端到端加密在应用层协议中操作，只有“IP数据包”中第四个字段的消息内容会被加密。若所使用的IP协议没有安全保障，“IP报头”中的数据字段就得不到保护，对这些字段数据的修改是攻击的主要手段。

2. 互联网协议安全（IPSec）

互联网工程任务组（IETF）开展了一系列IP安全标准化工作，即IPSec。其主要目的是为IP数据包的“IP报头”（前三个字段）添加加密保护，规定对“IP报头”进行强制认证保护，并对“IP报头字段”中的端点身份信息提供可选的机密性保护。

2.1 认证保护

IP从版本4（IPv4）发展到版本6（IPv6），IPv6的数据结构是32位数据块的倍数，称为数据报。在具有IPSec保护的IPv6中，IP数据包有一个额外的“认证头”（AH）字段，位于“IP报头”和“上层字段”之间。AH的长度可变，但必须是32位