IPSec入门指南.pdfVIP

IPSec 入门指南 1 IPSec 协议简介 IPSec （IP Security ）协议族是IETF 制定的一系列协议，它为 IP 数据报提供 了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通 过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、 真实性和防重放。 私有性（Confidentiality ）指对用户数据进行加密保护，用密文的形式传送。 完整性（Data integrity）指对接收的数据进行验证，以判定报文是否被篡改。 真实性（Data authentication）指验证数据源，以保证数据来自真实的发送者。 防重放（Anti-replay ）指防止恶意用户通过重复发送捕获到的数据包所进行的 攻击，即接收方会拒绝旧的或重复的数据包。 IPSec 通过 AH（Authentication Header ，认证头）和 ESP（Encapsulating Security Payload ，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE （Internet Key Exchange ，因特网密钥交换协议）为 IPSec 提供了自动协商交换密 钥、建立和维护安全联盟的服务，以简化 IPSec 的使用和管理。 AH 是报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防 报文重放功能；然而，AH 并不加密所保护的数据报。 ESP 是封装安全载荷协议，它除提供 AH 协议的所有功能之外（但其数据完整 性校验不包括 IP 头），还可提供对 IP 报文的加密功能。 AH 和 ESP 可以单独使用，也可以同时使用。对于 AH 和 ESP，都有两种操作 模式：传输模式和隧道模式。 IKE 协商并不是必须的，IPSec 所使用的策略和算法等也可以手工协商 IKE 用于协商 AH 和 ESP 所使用的密码算法，并将算法所需的必备密钥放到恰 当位置。 2 安全联盟 IPSec 在两个端点之间提供安全通信，端点被称为 IPSec 对等体。 IPSec 能够允许系统、网络的用户或管理员控制对等体间安全服务的粒度。 例如，某个组织的安全策略可能规定来自特定子网的数据流应同时使用 AH 和 ESP 进行保护，并使用 3DES （Triple Data Encryption Standard，三重数据加密标 准）进行加密；另一方面，策略可能规定来自另一个站点的数据流只使用 ESP 保护，并仅使用 DES 加密。通过 SA （Security Association，安全联盟），IPSec 能够对不同的数据流提供不同级别的安全保护。 安全联盟是 IPSec 的基础，也是 IPSec 的本质。SA 是通信对等体间对某些 要素的约定，例如，使用哪种协议（AH 、ESP 还是两者结合使用）、协议的操作 模式（传输模式和隧道模式）、密码算法（DES 和 3DES ）、特定流中保护数据的 共享密钥以及密钥的生存周期等。 安全联盟是单向的，在两个对等体之间的双向通信，最少需要两个安全联盟 来分别对两个方向的数据流进行安全保护。同时，如果希望同时使用 AH 和 ESP 来保护对等体间的数据流，则分别需要两个 SA，一个用于AH ，另一个用于ESP 。 安全联盟由一个三元组来唯一标识，这个三元组包括 SPI （Security Parameter Index ，安全参数索引）、目的IP 地址、安全协议号（AH 或 ESP ）。SPI 是为唯一 标识 SA 而生成的一个 32 比特的数值，它在AH 和 ESP 头中传输。 安全联盟具有生存周期。生存周期的计算包括两种方式： 以时间为限制，每隔指定长度的时间就进行更新； 以流量为限制，每传输指定的数据量（字节）就进行更新。 3 IPSec 协议的操作模式 IPSec 协议有两种操作模式：传输模式和隧道模式。SA