|
首先我們來了解一下什么是IPsec�? IPsec ---(英語:Internet Protocol Security,縮寫為IPsec)����,是一個(gè)協(xié)議包,通過對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族(一些相互關(guān)聯(lián)的協(xié)議的集合)��。 實(shí)際上IPsec是一整套協(xié)議包而不只是一個(gè)單獨(dú)的協(xié)議�, 這一點(diǎn)對(duì)于我們認(rèn)識(shí)IPSec是很重要的。IPsec協(xié)議把多種安全技術(shù)集合到一起�,從而建立起一個(gè)安全、可靠的隧道�。在IPsec安全體系結(jié)構(gòu)中包括了3個(gè)最基本的協(xié)議:AH(Authentication Header)協(xié)議為IP包提供信息源驗(yàn)證和完整性保證;ESP(Encapsulating Security Payload)協(xié)議提供加密保證���;密鑰管理協(xié)議(ISAKMP)提供雙方交流時(shí)的共享安全信息�。ESP和AH協(xié)議都有相關(guān)的一系列支持文件��,規(guī)定了加密和認(rèn)證的算法���。 IPsec的定義我們說完了����,那么接下來我們就來了解一下IPsec的實(shí)現(xiàn)機(jī)制有哪些吧。 IPsec通過提供下列服務(wù)來保護(hù)通過公共IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù): ● 訪問控制 訪問控制是指防止未經(jīng)授權(quán)對(duì)資源進(jìn)行訪問����。IPsec中,需要進(jìn)行訪問控制的資源通常指主機(jī)中的數(shù)據(jù)和計(jì)算能力�、安全網(wǎng)關(guān)內(nèi)的本地網(wǎng)及其帶寬。IPsec使用身份認(rèn)證機(jī)制進(jìn)行訪問控制��。 ● 數(shù)據(jù)源認(rèn)證 數(shù)據(jù)源認(rèn)證對(duì)數(shù)據(jù)來源所聲明的身份進(jìn)行驗(yàn)證����,通常與無連接數(shù)據(jù)完整性相結(jié)合�����。IPsec使用消息鑒別機(jī)制實(shí)現(xiàn)數(shù)據(jù)源認(rèn)證服務(wù)�����。 ● 機(jī)密性和有限傳輸流量的機(jī)密性 相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容�,而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。有限傳輸流量的機(jī)密性服務(wù)是指防止對(duì)通信的外部屬性(源地址、目的地址�����、消息長度和通信頻率等)的泄露��,從而使攻擊者無法對(duì)網(wǎng)絡(luò)流量進(jìn)行分析��,推導(dǎo)其中的傳輸頻率��、通信者身份���、數(shù)據(jù)包大小�、數(shù)據(jù)流標(biāo)識(shí)符等信息�����。 ● 無連接完整性和抗重播 無連接完整性服務(wù)對(duì)單份數(shù)據(jù)包是否被修改進(jìn)行檢查�����,而對(duì)數(shù)據(jù)包的到達(dá)順序不作要求��。IPsec使用數(shù)據(jù)源認(rèn)證機(jī)制實(shí)現(xiàn)無連接完整性服務(wù)���。IPsec的抗重播服務(wù)���,亦稱為部分序號(hào)完整性服務(wù)���,是指防止攻擊者截取和復(fù)制IP包,然后發(fā)送到目的地�。IPsec根據(jù)IPsec頭中的序號(hào)字段,使用滑動(dòng)窗口原理��,實(shí)現(xiàn)抗重播服務(wù)�。 上面的服務(wù)都在IP層上實(shí)現(xiàn)。IPsec采用了以下兩個(gè)協(xié)議提供傳輸安全: AH和ESP���。IP AH提供無連接完整性��、數(shù)據(jù)源認(rèn)證和可選的防重播服務(wù)��。ESP協(xié)議可提供機(jī)密性和受限傳輸流機(jī)密性��;還可提供無連接完整性、數(shù)據(jù)源認(rèn)證和防重播服務(wù)��。這些協(xié)議可單獨(dú)使用或組合使用���,以提供所希望的安全服務(wù)���。 IPsec允許用戶(或系統(tǒng)管理員)控制安全服務(wù)的粒度���。如: 單個(gè)加密隧道用于兩個(gè)安全網(wǎng)關(guān)間所有的傳輸或在通過網(wǎng)關(guān)的兩臺(tái)主機(jī)間為每個(gè)TCP連接建立獨(dú)立的加密隧道。IPsec管理在下列方面體現(xiàn)了很大的靈活性:使用何種安全服務(wù)和何種組合; 給定的安全保護(hù)采用何種粒度;用于加密的算法�。 由于這些安全服務(wù)使用共享的安全值(加密密鑰),因此IPsec必須依賴于一套獨(dú)立的密鑰管理機(jī)制����。IPsec提供了一個(gè)基于公鑰體系的實(shí)現(xiàn)方法IKE,并要求支持手工和自動(dòng)密鑰分發(fā)���。在IPsec中采用了多種密碼技術(shù)����。同時(shí)�����,也可以采用其他自動(dòng)密鑰分發(fā)技術(shù)�����,如:基于KDC的系統(tǒng)(Kerberos)和其他公鑰系統(tǒng)。 IPsec較好地融合了加密技術(shù)和訪問控制技術(shù)���,實(shí)現(xiàn)了在主機(jī)或安全網(wǎng)關(guān)環(huán)境中對(duì)IP傳輸?shù)谋Wo(hù)����。這種保護(hù)或者基于安全策略數(shù)據(jù)庫(SPD)中定義的需求��,或者基于由應(yīng)用定義的需求�����。通常��,報(bào)文按SPD數(shù)據(jù)庫中匹配的情況�,根據(jù)IP和傳輸層的頭信息選擇提供IPsec安全服務(wù)、丟棄或允許旁路(bypass)�����,這是根據(jù)篩選器標(biāo)識(shí)的相應(yīng)數(shù)據(jù)庫策略來確定�。 IPsec可以運(yùn)行于網(wǎng)絡(luò)的任意一部分,它可以在路由器和防火墻之間����、路由器和路由器之間、PC機(jī)和服務(wù)器之間�����、PC機(jī)和撥號(hào)訪問設(shè)備之間����,為各種分布式應(yīng)用提供安全,可保證LAN���、專用和公用WAN以及Internet的通信安全���。
|
