1 IPSec的定義
IPSec(Internet Protocol Security)即Intenet安全協(xié)議,是IETF提供Internet安全通信的一系列規(guī)范,它提供私有信息通過公用網(wǎng)的安全保障。IPSec適用于目前的版本IPv4和下一代IPv6。IPSec規(guī)范相當(dāng)復(fù)雜,規(guī)范中包含大量的文檔。由于IPSec在TCP/IP協(xié)議的核心層——IP層實(shí)現(xiàn),因此可以有效地保護(hù)各種上層協(xié)議,并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺。IPSec 也是被下一代Internet 所采用的網(wǎng)絡(luò)安全協(xié)議。IPSec協(xié)議是現(xiàn)在VPN開發(fā)中使用的最廣泛的一種協(xié)議,它有可能在將來成為IPVPN的標(biāo)準(zhǔn)。
IPSec的基本目的是把密碼學(xué)的安全機(jī)制引入 IP協(xié)議,通過使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù),使用戶能有選擇地使用,并得到所期望的安全服務(wù)。IPSec是隨著IPv6的制定而產(chǎn)生的,鑒于IPv4的應(yīng)用仍然很廣泛,所以后來在IPSec的制定中也增加了對IPv4的支持。IPSec在IPv6中是必須支持的。
2 IPSec協(xié)議體系結(jié)構(gòu)
IPSec將幾種安全技術(shù)結(jié)合形成一個(gè)完整的安全體系,它包括安全協(xié)議部分和密鑰協(xié)商部分。
(1)安全關(guān)聯(lián)和安全策略:安全關(guān)聯(lián)(Security Association,SA)是構(gòu)成IPSec的基礎(chǔ),是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定,它們決定了用來保護(hù)數(shù)據(jù)包安全的安全協(xié)議(AH協(xié)議或者ESP協(xié)議)、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等。
(2)IPSec 協(xié)議的運(yùn)行模式:IPSec協(xié)議的運(yùn)行模式有兩種,IPSec隧道模式及IPSec傳輸模式。隧道模式的特點(diǎn)是數(shù)據(jù)包最終目的地不是安全終點(diǎn)。通常情況下,只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器,就必須使用隧道模式。傳輸模式下,IPSec 主要對上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù),通常情況下,傳輸模式只用于兩臺主機(jī)之間的安全通信。
(3)AH(Authentication Header,認(rèn)證頭)協(xié)議:設(shè)計(jì)AH認(rèn)證協(xié)議的目的是用來增加IP數(shù)據(jù)報(bào)的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù),但是AH不提供任何保密性服務(wù)。IPSec驗(yàn)證報(bào)頭AH是個(gè)用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選的抗重傳攻擊的機(jī)制,但是不提供數(shù)據(jù)機(jī)密性保護(hù)。 驗(yàn)證報(bào)頭的認(rèn)證算法有兩種: 一種是基于對稱加密算法(如DES),另一種是基于單向哈希算法(如MD5或SHA-1)。 驗(yàn)證報(bào)頭的工作方式有傳輸模式和隧道模式。傳輸模式只對上層協(xié)議數(shù)據(jù)(傳輸層數(shù)據(jù))和IP頭中的固定字段提供認(rèn)證保護(hù),把AH插在IP報(bào)頭的后面,主要適合于主機(jī)實(shí)現(xiàn)。隧道模式把需要保護(hù)的IP包封裝在新的IP包中,作為新報(bào)文的載荷, 然后把AH插在新的IP報(bào)頭的后面。隧道模式對整個(gè)IP數(shù)據(jù)報(bào)提供認(rèn)證保護(hù)。
(4)ESP(Encapsulate Security Payload,封裝安全載荷)協(xié)議:封裝安全載荷(ESP)用于提高Internet協(xié)議(IP)協(xié)議的安全性。它可為IP提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重放以及數(shù)據(jù)完整性等安全服務(wù)。ESP屬于IPSec的機(jī)密性服務(wù)。其中,數(shù)據(jù)機(jī)密性是ESP的基本功能,而數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性檢驗(yàn)以及抗重傳保護(hù)都是可選的。ESP主要支持IP數(shù)據(jù)包的機(jī)密性,它將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再重新封裝到新的IP數(shù)據(jù)包中。
(5)Internet 密鑰交換協(xié)議(IKE):Internet密鑰交換協(xié)議(IKE)是IPSec默認(rèn)的安全密鑰協(xié)商方法。IKE通過一系列報(bào)文交換為兩個(gè)實(shí)體(如網(wǎng)絡(luò)終端或網(wǎng)關(guān))進(jìn)行安全通信派生會(huì)話密鑰。IKE建立在Internet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)定義的一個(gè)框架之上。IKE是IPSec目前正式確定的密鑰交換協(xié)議,IKE為IPSec的AH和ESP協(xié)議提供密鑰交換管理和SA管理,同時(shí)也為ISAKMP提供密鑰管理和安全管理。IKE具有兩種密鑰管理協(xié)議(Oakley和SKEME安全密鑰交換機(jī)制)的一部分功能,并綜合了Oakley和SKEME的密鑰交換方案,形成了自己獨(dú)一無二的受鑒別保護(hù)的加密材料生成技術(shù)。
3 結(jié)束語
雖然IPSec協(xié)議目前應(yīng)用比較廣泛,性能比較穩(wěn)定。但是IPSec協(xié)議是一個(gè)比較新的安全協(xié)議,而且非常復(fù)雜,作為一個(gè)還沒有完全成熟的協(xié)議,IPSec 在理論上和實(shí)踐上都有一些問題有待改進(jìn)。其不足之處主要是由其復(fù)雜性和靈活性引起的,IPSec 包括了太多的選項(xiàng),提供了過多可以變通的地方。相信隨著IP技術(shù)的發(fā)展,IPSec協(xié)議會(huì)日臻完善!
來源:VOIP中國