第6讲网络信息安全之安全协议
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
20
对于隧道模式,去除外部IP头和ESP头,恢 复原IP数据报。如果该数据报是一个分段, 则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播 等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证 有些字段在传输中可能会改变(如服务类型、 标志、分段偏移、生存期、头校验和等), AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密, 并且IP数据报并非顺序到达接收方,因此每个 ESP数据报必须携带能够使接收方建立解密同 步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入 在传输模式下, ESP头插在IP头之后,并填写 ESP头中各个字段值,ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器 在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址 对于传输模式,数据包只有一个IP头,不会 出现上述情况 (2) SA查找 利用三元组<SPI,目的IP地址,AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理,否则丢弃该数据报
7
AH和ESP协议可以分别单独使用,也可以联 合使用。每个协议都支持两种应用模式: (1) 传输模式:为上层协议数据提供安全保护 (2) 隧道模式:以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必须 定义强制实现的加密算法 因此,在使用数据认证和加密机制时, 必须解 决三个问题:
2
通常安全协议是基于某一通信协议,提供安 全机制或服务,并非单独运行 按网络体系结构划分,安全协议可以分成数 据链路层安全协议、网络层安全协议、传输 层安全协议和应用层安全协议 数据链路层:PPTP/L2TP协议通过隧道技术 在某种程度上增强了PPP协议的安全性 网络层:IPSec(IP Security)协议是基于IP协 议的安全协议
28
(3) 抗重播检查 检查AH头的序列号字段 如果序列号有效, 则说明不是一个重复的数据 报,则继续处理; 否则丢弃该数据报
(4) 完整性验证步骤 将AH头认证数据字段中的ICV值保存下来, 然后将ICV置为0 将IP头中可变字段置为0 如果认证算法需要进行隐式填充, 则在数据报 末尾执行填充
29
17
(4) 重新计算IP头校验和 重新计算新IP头中的校验和字段值 如果被ESP封装的IP数据报长度大于物理网 络最大帧长, 由IP协议进行分段处理和传输
(二) 进入数据报的处理
(1) 数据报组装 由IP协议对分段传输的IP数据报进行组装, 然后提交给ESP进行处理 (2) SA查找 利用三元组在SAD中查找相应的SA,如果该 SA存在,则继续处理,否则丢弃该数据报
32
每个SA由一个三元组惟一地标识,即: 安全参数索引(SPI) 目的IP地址 安全协议(AH或ESP)标识符 理论上, 目的地址可以是单播、组播或广播地 址。目前,IPSec只支持单播SA SA分成两类:传输模式SA和隧道模式SA。 主机节点SA必须支持传输模式和隧道模式; 网关节点SA只需支持隧道模式
19
解密ESP数据报, 解密范围包括载荷数据、填 充项、填充长度和下一个头字段等 (6) 填充项处理步骤 如果填充项由加密算法指定, 则检查是否符合 算法所要求的格式;如果填充项由默认填充 方案生成,则检查是否从1开始单向递增的 从载荷中去除填充项 (7) 提交IP数据报 对于传输模式,将ESP头的“下一个头”字 段值复制到IP头的协议字段,并计算出一个 新的IP校验和,然后提交给上层协议
16
如果加密算法要求明文长度是32位整数倍, 则要 进行填充 如果需要密码同步数据, 则将其输入加密算法 对数据报进行加密, 加密范围从载荷数据开始, 到“下一个头”字段 (3) 完整性检查值(ICV)计算步骤 从SA中得到认证算法 如果认证算法要求认证数据长度必须是32位整 数倍, 则要执行填充, 长度由认证算法确定 认证算法计算ICV值,并填写到ESP头的“验 证数据”字段中
3
传输层:SSL(Secure Socket Layer)协议是基 于TCP协议的安全协议 应 用 层 : S-HTTP(Secure-HTTP) 协 议 对 应 HTTP协议,S/MIME (Secure/MIME)协议对 应MIME协议,还有些应用层安全协议是为 解决特定应用的安全问题的,如用于加密电 子邮件的PGP(Pretty Good Privacy)协议、用 于 支 持 信 用 卡 电 子 交 易 的 SET(Secure Electronic Transaction)协议、用于提供第三 方认证服务的Kerberos等
使用相同的认证算法计算验证数据, 计算结果 与保存下来的ICV值进行比较。如果匹配, 继续处理,否则丢弃该数据报 (5) 提交IP数据报 对于传输模式,将AH头的“下一个头”字段 值复制到IP头的协议字段,并重新计算IP校 验和,然后提交给相应的上层协议进行处理 对于隧道模式, 首先去除外部IP头和AH头, 恢复原IP数据报,如果该数据报是一个分段, 则插入到 IP数据流中
12
Hale Waihona Puke 填充项长度:指明填充项的长度,接收端利 用它恢复载荷数据的实际长度 下一个头:指明载荷数据的类型。如果是隧 道模式,其值为4,表示IP-in-IP;如果是传 输模式,其值为上层协议的类型,如TCP对 应的值为6 验证数据:由认证算法对ESP数据报进行散列 计算所得到的完整性检查值(ICV)。该字段是 可选的,只有对ESP数据报进行完整性认证的 SA才会有该字段。SA使用的认证算法必须指 明ICV的长度、比较规则及认证步骤
4
二、IPSec协议
网络层提供了端到端的数据传输服务,而 网络层安全协议主要解决两个端点之间的安 全交换数据问题, 涉及数据传输的机密性和完 整性, 防止在数据交换过程中数据被非法窃听 和篡改 IPSec协议是对IP协议的安全性增强,它在网 络层协议的基础上增加了安全算法协商和数 据加密/解密处理的功能和过程
9
ESP通过加密器和验证器提供数据机密性和 完 整 性 , 加 密 器 和 验 证 器 使 用 的 算 法 由 ESP SA来指定 为了互操作, IPSec规定了ESP强制实施的密 码算法(DES/3DES)和认证算法(MD5/SHA) 基本的ESP功能和实际使用的算法是分离的, 有利于算法的更换和更新 ESP抗重播服务是可选的, 发送端在ESP数据 报中插入一个惟一的、单向递增的序列号 接收端可通过检验该序列号来验证数据报的 惟一性,但并非必须检查数据报序列号
8
通信双方必须协商所使用的安全协议、加密 算法和密钥 必须能方便和安全地交换与更新密钥 能对协商的细节和过程进行记录和管理
一、ESP协议
ESP在IP数据报中插入一个协议头,为IP数 据报提供数据机密性、数据完整性、抗重播 以及数据源认证等安全服务 ESP可用于传输模式和隧道模式两种模式。 ESP可单独使用,也可和AH组合使用
10
11
SPI:32位随机数,用来确定一个特定的SA。 在密钥交换过程中,由目标主机来选定SPI 序列号:32位整数, 用于提供抗重播服务。发 送端必须产生和填写序列号,接收端并非不一 定处理 载荷数据:受ESP保护的数据报包含在载荷数 据字段中,字段长度由数据长度来决定 填充项:0-255个字节, 填充内容可以由密码 算法来指定。如果密码算法没有指定,则由 ESP指定,填充项第1个字节值是1,后面所有 字节值都是单向递增的
22
23
24
AH协议处理
AH强制实施的认证算法是MD5/SHA
(一) 外出数据报的处理
(1) AH头插入 传输模式下, AH头插在IP头之后,并填写各 个字段值, “下一个头”值为6,表示是TCP 隧道模式下, AH头插在整个IP数据报前面, “下一个头” 值是4,表示是IP-in-IP。在 AH头前增加一个IP头,并填写相应的字段, 协议字段字段值为51,表示是AH
第六讲 安全协议
1
一、基本概念
在网络环境下交换信息时,存在着信息被窃 取、篡改、重放和假冒等风险,必须采用数 据机密性、数据完整性和身份真实性等安全 机制来防范 这些安全机制通常采用安全协议来实现,使 通信各方能够遵循相同的安全协议 安全协议定义了网络安全系统结构、安全机 制、密码算法以及密码算法协商机制等
5
IPSec提供了数据机密性、数据完整性、抗重 播保护和接纳控制等安全服务,用于保证IP 协议及上层协议能安全地交换数据 IPSec安全体系由如下部分组成: 安全协议(AH/ESP) 安全联盟SA(Security Associations) 安全策略SP(Security Policy) 密钥管理协议(IKE)
25
(2) 完整性检查值(ICV)计算 首先根据认证算法要求填充数据字段,然后 使用认证算法计算ICV,并填写到AH头的“ 验证数据”字段中 参与ICV计算的部分有:IP头中固定不变的 字段、AH头和上层协议数据
(3) 恢复IP头 恢复IP头中被置为0的字段的值
26
(二) 进入数据报的处理
(1) 数据报组装 由IP协议对分段传输的IP数据报进行组装, 然后提交给AH进行处理 隧道模式存在两个目的IP地址, 其作用不同 当一个数据包到达隧道目的端点时, 则要使用 一个三元组<目的IP地址, 协议标识, SPI>在 SAD中查找用于处理该数据包的SA, 这里使 用的是外部IP头中的目的IP地址
31
(一) SA基本特性
SA是IPSec的重要组成部分,AH和ESP协议 都必须使用SA,IKE协议主要功能之一就是 建立和维护SA SA是为数据通信提供安全服务,并通过AH 或ESP来体现这种安全服务 如果一个通信流需要同时使用AH和ESP,则 要创建两个以上的SA SA是单向的,在双向通信时,必须建立两个 SA,各自负责一个方向
6
1. 安全协议
IPSec 提 供 了 两 种 安 全 协 议 : 认 证 头 AH(Authentication Header)和封装安全有效 载荷ESP(Encapsulating Security Payload) AH只提供数据完整性认证机制, 可防止数据 篡改和重播 ESP同时提供了数据完整性认证和数据加密传 输机制,除了具有AH所有安全能力之外,还 可提供了数据机密性
18
(3) 抗重播检查 检查ESP头的序列号字段,如果序列号正确, 则继续处理,否则丢弃该数据报
(4) 完整性验证 首先提取ESP中验证数据值, 然后使用相同的 认证算法进行计算,两者比较,如果匹配, 则 继续处理,否则丢弃该数据报
(5) 数据解密步骤 通过SA获取解密算法和密钥 提取密码同步数据,并输入解密算法
15
对于隧道模式, ESP头插在整个IP数据报前面, ESP头的“下一个头”字段值为4, 表示是IP-
in-IP 在ESP头前增加一个IP头,填写下列字段: 源IP地址取自源ESP节点的IP地址 目的IP地址从处理该数据报的SA中获取 协议号为50,代表是ESP 其它字段按常规方式填写 (2) 数据加密处理步骤 从SA中得到加密算法和密钥
30
2. 安全联盟
IPSec通过安全联盟(SA)实体集中存放和管理 所有的协商细节,SA中包含了实现安全通信 所需的所有信息,SA可看作由通信双方共同 签署的有关安全通信的“合同” 通过SA可建立不同安全级的安全通道, 例如 用户需要与A网和B网建立不同级别的安全通 道, 可设置两个SA:SA(a)和SA(b), SA(a)可 协商使用更强的加密算法和更长的密钥 SA由安全联盟数据库(SAD)来维护和管理
21
AH的认证范围和ESP有所不同,AH可以对外 部IP头的固定字段(包括版本、报头长度、报 文总长度、标识、协议号、源IP地址、目的IP 地址等字段)进行认证 在任何模式下,AH头总是跟随在IP头之后。 在IPv4中,IP头的协议字段值为51,表示在IP 头之后是一个AH头 AH头之后的内容取决于AH应用模式,如果是 传输模式,则是一个上层协议头;如果是隧道 模式,则是另一个IP头
对于隧道模式,去除外部IP头和ESP头,恢 复原IP数据报。如果该数据报是一个分段, 则插入到IP数据流中
二、AH协议
AH提供了数据完整性、数据源验证及抗重播 等安全服务 AH不仅可为上层协议提供认证, 还可以为IP 头某些字段提供认证 有些字段在传输中可能会改变(如服务类型、 标志、分段偏移、生存期、头校验和等), AH不能保护这些字段
13
14
ESP协议处理
由于ESP采用密码算法对IP数据报进行加密, 并且IP数据报并非顺序到达接收方,因此每个 ESP数据报必须携带能够使接收方建立解密同 步的数据, 如初始化向量(IV)
(一) 外出数据报处理
(1) ESP头插入 在传输模式下, ESP头插在IP头之后,并填写 ESP头中各个字段值,ESP头的“下一个头” 字段值为6, 表示是TCP
27
在使用SA对数据包进行处理后, 使用选择器 在进入SPD中查找处理该数据包的安全策略, 这里使用的是内部IP头中的目的IP地址 对于传输模式,数据包只有一个IP头,不会 出现上述情况 (2) SA查找 利用三元组<SPI,目的IP地址,AH>在SAD 中查找处理这个数据报的SA 如果找到则继续处理,否则丢弃该数据报
7
AH和ESP协议可以分别单独使用,也可以联 合使用。每个协议都支持两种应用模式: (1) 传输模式:为上层协议数据提供安全保护 (2) 隧道模式:以隧道方式传输IP报文 AH/ESP的安全性完全依赖于所采用的加密算 法。为保证不同实现方案之间的互通性, 必须 定义强制实现的加密算法 因此,在使用数据认证和加密机制时, 必须解 决三个问题:
2
通常安全协议是基于某一通信协议,提供安 全机制或服务,并非单独运行 按网络体系结构划分,安全协议可以分成数 据链路层安全协议、网络层安全协议、传输 层安全协议和应用层安全协议 数据链路层:PPTP/L2TP协议通过隧道技术 在某种程度上增强了PPP协议的安全性 网络层:IPSec(IP Security)协议是基于IP协 议的安全协议
28
(3) 抗重播检查 检查AH头的序列号字段 如果序列号有效, 则说明不是一个重复的数据 报,则继续处理; 否则丢弃该数据报
(4) 完整性验证步骤 将AH头认证数据字段中的ICV值保存下来, 然后将ICV置为0 将IP头中可变字段置为0 如果认证算法需要进行隐式填充, 则在数据报 末尾执行填充
29
17
(4) 重新计算IP头校验和 重新计算新IP头中的校验和字段值 如果被ESP封装的IP数据报长度大于物理网 络最大帧长, 由IP协议进行分段处理和传输
(二) 进入数据报的处理
(1) 数据报组装 由IP协议对分段传输的IP数据报进行组装, 然后提交给ESP进行处理 (2) SA查找 利用三元组在SAD中查找相应的SA,如果该 SA存在,则继续处理,否则丢弃该数据报
32
每个SA由一个三元组惟一地标识,即: 安全参数索引(SPI) 目的IP地址 安全协议(AH或ESP)标识符 理论上, 目的地址可以是单播、组播或广播地 址。目前,IPSec只支持单播SA SA分成两类:传输模式SA和隧道模式SA。 主机节点SA必须支持传输模式和隧道模式; 网关节点SA只需支持隧道模式
19
解密ESP数据报, 解密范围包括载荷数据、填 充项、填充长度和下一个头字段等 (6) 填充项处理步骤 如果填充项由加密算法指定, 则检查是否符合 算法所要求的格式;如果填充项由默认填充 方案生成,则检查是否从1开始单向递增的 从载荷中去除填充项 (7) 提交IP数据报 对于传输模式,将ESP头的“下一个头”字 段值复制到IP头的协议字段,并计算出一个 新的IP校验和,然后提交给上层协议
16
如果加密算法要求明文长度是32位整数倍, 则要 进行填充 如果需要密码同步数据, 则将其输入加密算法 对数据报进行加密, 加密范围从载荷数据开始, 到“下一个头”字段 (3) 完整性检查值(ICV)计算步骤 从SA中得到认证算法 如果认证算法要求认证数据长度必须是32位整 数倍, 则要执行填充, 长度由认证算法确定 认证算法计算ICV值,并填写到ESP头的“验 证数据”字段中
3
传输层:SSL(Secure Socket Layer)协议是基 于TCP协议的安全协议 应 用 层 : S-HTTP(Secure-HTTP) 协 议 对 应 HTTP协议,S/MIME (Secure/MIME)协议对 应MIME协议,还有些应用层安全协议是为 解决特定应用的安全问题的,如用于加密电 子邮件的PGP(Pretty Good Privacy)协议、用 于 支 持 信 用 卡 电 子 交 易 的 SET(Secure Electronic Transaction)协议、用于提供第三 方认证服务的Kerberos等
使用相同的认证算法计算验证数据, 计算结果 与保存下来的ICV值进行比较。如果匹配, 继续处理,否则丢弃该数据报 (5) 提交IP数据报 对于传输模式,将AH头的“下一个头”字段 值复制到IP头的协议字段,并重新计算IP校 验和,然后提交给相应的上层协议进行处理 对于隧道模式, 首先去除外部IP头和AH头, 恢复原IP数据报,如果该数据报是一个分段, 则插入到 IP数据流中
12
Hale Waihona Puke 填充项长度:指明填充项的长度,接收端利 用它恢复载荷数据的实际长度 下一个头:指明载荷数据的类型。如果是隧 道模式,其值为4,表示IP-in-IP;如果是传 输模式,其值为上层协议的类型,如TCP对 应的值为6 验证数据:由认证算法对ESP数据报进行散列 计算所得到的完整性检查值(ICV)。该字段是 可选的,只有对ESP数据报进行完整性认证的 SA才会有该字段。SA使用的认证算法必须指 明ICV的长度、比较规则及认证步骤
4
二、IPSec协议
网络层提供了端到端的数据传输服务,而 网络层安全协议主要解决两个端点之间的安 全交换数据问题, 涉及数据传输的机密性和完 整性, 防止在数据交换过程中数据被非法窃听 和篡改 IPSec协议是对IP协议的安全性增强,它在网 络层协议的基础上增加了安全算法协商和数 据加密/解密处理的功能和过程
9
ESP通过加密器和验证器提供数据机密性和 完 整 性 , 加 密 器 和 验 证 器 使 用 的 算 法 由 ESP SA来指定 为了互操作, IPSec规定了ESP强制实施的密 码算法(DES/3DES)和认证算法(MD5/SHA) 基本的ESP功能和实际使用的算法是分离的, 有利于算法的更换和更新 ESP抗重播服务是可选的, 发送端在ESP数据 报中插入一个惟一的、单向递增的序列号 接收端可通过检验该序列号来验证数据报的 惟一性,但并非必须检查数据报序列号
8
通信双方必须协商所使用的安全协议、加密 算法和密钥 必须能方便和安全地交换与更新密钥 能对协商的细节和过程进行记录和管理
一、ESP协议
ESP在IP数据报中插入一个协议头,为IP数 据报提供数据机密性、数据完整性、抗重播 以及数据源认证等安全服务 ESP可用于传输模式和隧道模式两种模式。 ESP可单独使用,也可和AH组合使用
10
11
SPI:32位随机数,用来确定一个特定的SA。 在密钥交换过程中,由目标主机来选定SPI 序列号:32位整数, 用于提供抗重播服务。发 送端必须产生和填写序列号,接收端并非不一 定处理 载荷数据:受ESP保护的数据报包含在载荷数 据字段中,字段长度由数据长度来决定 填充项:0-255个字节, 填充内容可以由密码 算法来指定。如果密码算法没有指定,则由 ESP指定,填充项第1个字节值是1,后面所有 字节值都是单向递增的
22
23
24
AH协议处理
AH强制实施的认证算法是MD5/SHA
(一) 外出数据报的处理
(1) AH头插入 传输模式下, AH头插在IP头之后,并填写各 个字段值, “下一个头”值为6,表示是TCP 隧道模式下, AH头插在整个IP数据报前面, “下一个头” 值是4,表示是IP-in-IP。在 AH头前增加一个IP头,并填写相应的字段, 协议字段字段值为51,表示是AH
第六讲 安全协议
1
一、基本概念
在网络环境下交换信息时,存在着信息被窃 取、篡改、重放和假冒等风险,必须采用数 据机密性、数据完整性和身份真实性等安全 机制来防范 这些安全机制通常采用安全协议来实现,使 通信各方能够遵循相同的安全协议 安全协议定义了网络安全系统结构、安全机 制、密码算法以及密码算法协商机制等
5
IPSec提供了数据机密性、数据完整性、抗重 播保护和接纳控制等安全服务,用于保证IP 协议及上层协议能安全地交换数据 IPSec安全体系由如下部分组成: 安全协议(AH/ESP) 安全联盟SA(Security Associations) 安全策略SP(Security Policy) 密钥管理协议(IKE)
25
(2) 完整性检查值(ICV)计算 首先根据认证算法要求填充数据字段,然后 使用认证算法计算ICV,并填写到AH头的“ 验证数据”字段中 参与ICV计算的部分有:IP头中固定不变的 字段、AH头和上层协议数据
(3) 恢复IP头 恢复IP头中被置为0的字段的值
26
(二) 进入数据报的处理
(1) 数据报组装 由IP协议对分段传输的IP数据报进行组装, 然后提交给AH进行处理 隧道模式存在两个目的IP地址, 其作用不同 当一个数据包到达隧道目的端点时, 则要使用 一个三元组<目的IP地址, 协议标识, SPI>在 SAD中查找用于处理该数据包的SA, 这里使 用的是外部IP头中的目的IP地址
31
(一) SA基本特性
SA是IPSec的重要组成部分,AH和ESP协议 都必须使用SA,IKE协议主要功能之一就是 建立和维护SA SA是为数据通信提供安全服务,并通过AH 或ESP来体现这种安全服务 如果一个通信流需要同时使用AH和ESP,则 要创建两个以上的SA SA是单向的,在双向通信时,必须建立两个 SA,各自负责一个方向
6
1. 安全协议
IPSec 提 供 了 两 种 安 全 协 议 : 认 证 头 AH(Authentication Header)和封装安全有效 载荷ESP(Encapsulating Security Payload) AH只提供数据完整性认证机制, 可防止数据 篡改和重播 ESP同时提供了数据完整性认证和数据加密传 输机制,除了具有AH所有安全能力之外,还 可提供了数据机密性
18
(3) 抗重播检查 检查ESP头的序列号字段,如果序列号正确, 则继续处理,否则丢弃该数据报
(4) 完整性验证 首先提取ESP中验证数据值, 然后使用相同的 认证算法进行计算,两者比较,如果匹配, 则 继续处理,否则丢弃该数据报
(5) 数据解密步骤 通过SA获取解密算法和密钥 提取密码同步数据,并输入解密算法
15
对于隧道模式, ESP头插在整个IP数据报前面, ESP头的“下一个头”字段值为4, 表示是IP-
in-IP 在ESP头前增加一个IP头,填写下列字段: 源IP地址取自源ESP节点的IP地址 目的IP地址从处理该数据报的SA中获取 协议号为50,代表是ESP 其它字段按常规方式填写 (2) 数据加密处理步骤 从SA中得到加密算法和密钥
30
2. 安全联盟
IPSec通过安全联盟(SA)实体集中存放和管理 所有的协商细节,SA中包含了实现安全通信 所需的所有信息,SA可看作由通信双方共同 签署的有关安全通信的“合同” 通过SA可建立不同安全级的安全通道, 例如 用户需要与A网和B网建立不同级别的安全通 道, 可设置两个SA:SA(a)和SA(b), SA(a)可 协商使用更强的加密算法和更长的密钥 SA由安全联盟数据库(SAD)来维护和管理
21
AH的认证范围和ESP有所不同,AH可以对外 部IP头的固定字段(包括版本、报头长度、报 文总长度、标识、协议号、源IP地址、目的IP 地址等字段)进行认证 在任何模式下,AH头总是跟随在IP头之后。 在IPv4中,IP头的协议字段值为51,表示在IP 头之后是一个AH头 AH头之后的内容取决于AH应用模式,如果是 传输模式,则是一个上层协议头;如果是隧道 模式,则是另一个IP头