新一代安全协议标准IPSec.pdf

墨L—————————一．生里型垫堕堡兰垒!!室型垫堡塑堂全 新一代安全协议标准IPSec 张文海毛克峰1 摘要： IP协议的堆栈中加入安全特性，所以身份验证和访问控制在协议底层实现，对所有的上层 Database，SPD)、安全 的组件包括：安全策略数据库(Security Policy 全载荷协议)。IPSec的典型应用是VPN。 关键词： IPSec网络安全安全协议sPD SAAHESP 1 IPSec的诞生 众所周知，IP协议的优点是其开放性，网络建设初期，开发者们考虑的是如何方便快 捷地连结异种计算机，无暇顾及数据传递的安全性，而且在当时的条件下，安全操作也会 是网络设备的沉重负担。这种思想在网络的拓荒期发生了重要的作用，但是随着网络日益 成为我们日常生活的一部分，特别是在商业军事领域的广泛应用，人们要求数据在传输过 程中必须具有很高的安全性，不具安全性的IP协议越来越阻碍网络的深入发展。当前使用 的一个增强版。 一个安全的协议需要解决四个问题：验证数据的来源；保证数据完整性(未被篡改)； 保证数据机密性(未被偷看)；抗重播能力。IPSee均能很好地解决这些问题。 2IPSec的基本原理 TCP／IP协议分为四层，下层将对上层进行封装，即在上层传来的数据包外面加上头和 尾，头尾中将填上本层要用到的字段或校验码，每层都有明确的接口和功能，正是这种划 分保证了该协议的易用性和开放性。然而所有这些层中没有一层是负责安全的，相应地， 下层协议都是简单地附加上本层的内容，并不对本层或上层的内容进行加密处理。IPSec 改变其他各层的结构和作用。但是这层的“加入”和其他层的“加入”有很大的不同，因 北京图形研究所 信息技术高级研讨会烟台2001．7 如果经过IPSec层后，除了会产生必不可少的包头，原来的字符串还会变为无法识别的乱 字符串。IPSec层和网络层没有明显的界线，在某些系统中，会把这两层合起来。请看图1： 应用层 应用层 应用层 传输层 传输层 传输层 一专 IPSec层 或 IPSec层+网络层 网络层 网络层 数据链路层 数据链路层 数据链路层 IPv4四层结构 IPSec结构 IPSec结构 I 图1 PSec在IP堆栈中的位置 3IPSec的模式及实施方案 IPSec有两种工作模式：传输模式和隧道模式。这两种工作模式保护的内容不同，并 且分别适用于特定的IPSec实施方案。传输模式保护的是传输层的数据，主要用在端到端 IPSec的原理，数据包格式见图2。 l 原始的口包 l IP头 TCP头 数据 I 传输模式中 受保护的包 隧道模式中 受保护的包 图2两种模式中数据包的格式 隧道模式保护的是整个IP数据包，格式见图2。这个需保护数据包可以是本机的，但 大多数情况下是外来的，这一特性使该模式很适合网关型IPSec的实施方案——通过对网 4IPSec处理过程 图以隧道模式下的IPSec实现为例，说明IPSec的处理过程。 兰L—————————～一．皇里型垫堕塑堂全!!塞型垫堕塑堂全 IPSe