IP网络学习之IPSec协议

1、IP网络学习之IPSec协议IPSec 是 IETF （Internet Engineering Task Force,Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。IPSec （IP Security）产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时，都要经过IP层的处理，所以提供了 IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也

2、增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec提供了两种安全机制:认证（釆用ipsec的AH）和加密（采用ipsec的ESP）。认证机制使IP通信的数据接收方能够确认数据发送方的 真实身份，以及数据在传输过程中是否遭篡改。加密机 制通过对数据进行编码来保证数据的机密性，以防数据在传 输过程中被窃听。AH （Authen

3、tication Header）和 ESP （Encapsulating Security Payload,封装安全负载）都可 以提供认证服务，不过,AH提供的认证服务要强于ESPoIPSec 主要功能为加密和认证，为了进行加密和认证，IPSec还需 要有密钥的管理和交换的功能，以便为加密和认证提供所需 要的密钥并对密钥的使用进行管理。以上三方面的工作分别 由 AH, ESP 和 IKE （Internet Key Exchange, Internet 密 钥交换）三个协议规定。为了介绍这三个协议，需要先引人 一个非常重要的术语SA （Security Association安全关联）。 所谓

4、安全关联是指安全服务与它服务的载体之间的一个“连 接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA 的建立和维护。要实现AH和ESP,都必须提供对SA的支持。 通信双方如果要用IPSec建立一条安全的传输通路，需要事 先协商好将要釆用的安全策略，包括使用的加密算法、密钥、 密钥的生存期等。当双方协商好使用的安全策略后，我们就 说双方建立了一个SA0 SA就是能向其上的数据传输提供某 种IPSec安全保障的一个简单连接，可以由AH或ESP提供。 当给定了一个SA,就确定了 IPSec要执行的处理，如加密， 认证等。SA可以进行两种方式的组合，分别为传输临近和嵌 套隧道。IPSec的工

5、作原理类似于包过滤防火墙，可以看作 是对包过滤防火墙的一种扩展。当接收到一个IP数据包时, 包过滤防火墙使用其头部在一个规则表中进行匹配。当找到 一个相匹配的规则时，包过滤防火墙就按照该规则制定的方 法对接收到的IP数据包进行处理。这里的处理工作只有两 种：丢弃或转发。IPSec通过查询SPD （Security Policy Database安全策略数据库）决定对接收到的IP数据包的处 理。但是IPSec不同于包过滤防火墙的是，对IP数据包的 处理方法除了丢弃，直接转发（绕过IPSec）外，还有一种, 即进行IPSec处理。正是这新增添的处理方法提供了比包过 滤防火墙更进一步的网络安全性。进行IPSec处理意味着对 IP数据包进行加密和认证。包过滤防火墙只能控制来自或去 往某个站点的IP数据包的通过，可以拒绝来自某个外部站 点的IP数据包访问内部某些站点，也可以拒绝某个内部站 点对某些外部网站的访问。但是包过滤防火墙不能保证自内 部网络出去的数据包不被截取，也不能保证进入内部网络的 数据包未经过篡改。只有在对IP数据包实族了加密和认证 后，才能保证在外部网络传输的数据包的机密性、真实性、 完整性，通过Internet进行安全的通信才成