一、IP安全概述 IPv4的安全缺陷:
对通信双方不能保证收到的IP数据报:
1、 确系来自声明的发送方(IP头内的源地址)
2、 确系原始数据,未被任何篡改
3、 未发生泄密事件,即原始数据在传输中途未被其他人偷看
IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。
IPSec定义了一种标准、健壮的以及包容广泛的机制,可用它为IP及其上层协议提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、数据源验证、抗重播、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA、AES等确保通信双方的机密性。
IPSec协议簇包括两个安全协议,它们分别是AH协议和ESP协议。
验证头(Authentication Header AH):可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网上重播。
封装安全载荷(Encapsulating Security Payload,ESP):它具有所有AH的功能,此外,它还可以利用加密技术保障数据的机密性。
AH和ESP的区别:
ESP要求使用高强度加密算法,会受到许多限制。
多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。
二、IPSec的作用方式 IPSec的作用方式有两种:传输模式和隧道模式。
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是IPSec终点。当数据包从传输层传送给网络层时,AH和ESP会进行"拦截",在IP头与上层协议头之间需插入一个IPSec头(AH头或ESP头)。当同时应用AH和ESP传输模式时,应该先应用ESP,再应用AH,这样数据完整性可应用到ESP载荷。
隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。它将整个IP数据包(称为内部IP头)进行封装,然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。该模式的通信终点由受保护的内部IP头指定,而IPSec终点由外部IP头指定,如果其终点为IPSec网关,则该网关会还原出内部IP包,再转发到最终的目的地。IPSec支持嵌套隧道,即对已隧道化的数据包再进行隧道化处理。
三、IPSec的实施
IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。在需要确保端到端的通信安全时,在主机实施显得尤为有用。在需要确保网络一部分的通信安全时,在路由器中实施IPSec就显得非常必要,比如在VPN和内联网中。
1、 主机实施:
好处:
保障端到端的安全性;
能够实现所有的IPSec安全模式,即传输模式和隧道模式;
能够为数据流提供安全保障;
在SA的协商过程中,能够自己维持用户身份验证的"场景"
主机实施可分成两类:
IPSec与操作系统集成实施。IPSec可当做网络层的一部分来实现。IPSec层需要IP层的服务构建IP头;
IPSec作为一个"契子"插入在协议堆栈的网络层与数据链路层之间实施,称为"堆栈中的块(BITS)"实施方案。二、IPSec的作用方式
IPSec的作用方式有两种:传输模式和隧道模式。
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是IPSec终点。当数据包从传输层传送给网络层时,AH和ESP会进行"拦截",在IP头与上层协议头之间需插入一个IPSec头(AH头或ESP头)。当同时应用AH和ESP传输模式时,应该先应用ESP,再应用AH,这样数据完整性可应用到ESP载荷。
隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。它将整个IP数据包(称为内部IP头)进行封装,然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。该模式的通信终点由受保护的内部IP头指定,而IPSec终点由外部IP头指定,如果其终点为IPSec网关,则该网关会还原出内部IP包,再转发到最终的目的地。IPSec支持嵌套隧道,即对已隧道化的数据包再进行隧道化处理。
三、IPSec的实施
IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。在需要确保端到端的通信安全时,在主机实施显得尤为有用。在需要确保网络一部分的通信安全时,在路由器中实施IPSec就显得非常必要,比如在VPN和内联网中。
1、 主机实施:
好处:
保障端到端的安全性;
能够实现所有的IPSec安全模式,即传输模式和隧道模式;
能够为数据流提供安全保障;
在SA的协商过程中,能够自己维持用户身份验证的"场景"
主机实施可分成两类:
IPSec与操作系统集成实施。IPSec可当做网络层的一部分来实现。IPSec层需要IP层的服务构建IP头;
IPSec作为一个"契子"插入在协议堆栈的网络层与数据链路层之间实施,称为"堆栈中的块(BITS)"实施方案。
2、 在路由器中实施: 优点:
保障通过公用网络,在两个子网之间传输数据的安全性;
可通过身份验证,授权用户进入私有网络。
路由器实施方案有两种类型:
原始实施:IPSec集成在路由器的软件中,和主机OS集成实施方案类似。
线缆中的块(BITW):IPSec在一个硬件设备中实现,这个设备直接接入路由器的物理接口。该设备一般不运行任何路由算法,只是附着在路由器设备上用来保障数据包的安全。
四、IPSec的优势
IPsec提供的安全服务包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性等服务。这些服务均在IP层提供,使用IP协议进行数据传输的所有应用系统合服务都可以使用IPSec,无须对这些应用系统和服务本身做任何修改。
IPsec对传输层以上的应用来说是完全透明的,操作系统中原有的应用程序无须修改就可以自动拥有IPSec提供的安全功能,降低了软件升级和用户培训的开销。
IPSec不仅可以实现密钥的自动管理以降低人工管理密钥的开销,而且多种高层协议和应用可以共享由网络层提供的密钥管理结构(IKE),大大降低了密钥协商的开销。
阅读(868) | 评论(0) | 转发(0) |