ＩＰｓｅｃ

目錄
·標準現(xiàn)狀
·設(shè)計意圖
·IPsec與其它互聯(lián)網(wǎng)安全協(xié)議的對比
·技術(shù)細節(jié)
·實現(xiàn)




IPsec(縮寫IP Security)是保護IP協(xié)議安全通信的標準，它主要對IP協(xié)議分組進行加密和認證。
IPsec作為一個協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護分組流的協(xié)議；(2)用來建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個部分：加密分組流的封裝安全載荷（ESP）及較少使用的認證頭（AH），認證頭提供了對分組流的認證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。




標準現(xiàn)狀

IPv6是IETF為IP協(xié)議分組通信制定的新的因特網(wǎng)標準，IPsec是其中必選的內(nèi)容，但在IPv4中的使用則是可選的。這樣做的目的，是為了隨著IPv6的進一步流行，IPsec可以得到更為廣泛的使用。IPsec協(xié)議在RFCs 2401-2409中定義，根據(jù)工作進展，至2004年會有新版的替換文檔發(fā)布。


設(shè)計意圖

IPsec被設(shè)計用來提供(1)入口對入口通信安全，在此機制下，分組通信的安全性由單個節(jié)點提供給多臺機器（甚至可以是整個局域網(wǎng)）；(2)端到端分組通信安全，由作為端點的計算機完成安全操作。上述的任意一種模式都可以用來構(gòu)建虛擬專用網(wǎng) (VPN)，而這也是IPsec最主要的用途之一。應(yīng)該注意的是，上述兩種操作模式在安全的實現(xiàn)方面有著很大差別。
因特網(wǎng)范圍內(nèi)端到端通信安全的發(fā)展比預料的要緩慢。其中部分原因，是因為其不夠普遍或者說不被普遍信任。公鑰基礎(chǔ)設(shè)施能夠得以形成（DNSSEC最初就是為此產(chǎn)生的），一部分是因為許多用戶不能充分地認清他們的需求及可用的選項，導致其作為內(nèi)含物強加到賣主的產(chǎn)品中（這也必將得到廣泛采用）；另一部分可能歸因于網(wǎng)絡(luò)響應(yīng)的退化（或說預期退化），就像兜售信息的充斥而帶來的帶寬損失一樣。


IPsec與其它互聯(lián)網(wǎng)安全協(xié)議的對比

IPsec協(xié)議工作在OSI 模型的第三層，使其在單獨使用時適于保護基于TCP和UDP的協(xié)議。這就意味著，與傳輸層或更高層的協(xié)議相比（如 SSL就不能保護UDP層的通信流），IPsec協(xié)議必須處理可靠性和分片的問題，這同時也增加了它的復雜性和處理開銷。相對而言，SSL/TLS依靠更高層的TCP（OSI的第四層）來管理可靠性和分片。


技術(shù)細節(jié)


認證頭
認證頭（AH）被用來保證被傳輸分組的完整性和可靠性。此外，它還保護不受重發(fā)攻擊。認證頭試圖保護IP數(shù)據(jù)報的所有字段，那些在傳輸IP分組的過程中要發(fā)生變化的字段就只能被排除在外。

封裝安全載荷 (ESP)
封裝安全載荷（ESP）協(xié)議對分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是，IP分組頭部不被包括在內(nèi)。


實現(xiàn)

FreeS/WAN項目已經(jīng)開發(fā)了一個開源的GNU/Linux環(huán)境下的IPsec實現(xiàn)。且一個基于KAME項目的IPsec實現(xiàn)已經(jīng)包含在NetBSD、FreeBSD以及2.6 Linux內(nèi)核中。從某種程度上說，也是因為這個原因，F(xiàn)ree S/WAN項目的開發(fā)在2004年3月時被中止。Openswan和strongSwan是Free S/WAN延續(xù)。
至今已有許多IPsec協(xié)議和ISAKMP/IKE協(xié)議的實現(xiàn)。它們包括：

NRL IPsec，屬于原型的一種
OpenBSD，代碼源于NRL IPsec
Mac OS X，包含了Kame IPsec的代碼
Cisco IOS
Microsoft Windows Win2K and WinXP
SSH Sentinel (現(xiàn)作為 SafeNet的一部分)提供了工具包
Solaris

• 通信詞典解釋