解析IPSec VPN網(wǎng)絡(luò)安全體系

IPSec應(yīng)用分析

目前建造虛擬專用網(wǎng)依據(jù)的主要國際標(biāo)準(zhǔn)有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標(biāo)準(zhǔn)的側(cè)重點(diǎn)有所不同，其中IPSec是由IETF正式定制的開放性IP安全標(biāo)準(zhǔn)，是虛擬專網(wǎng)的基礎(chǔ)。實(shí)際上，IPV6版本就將IPSec作為其組成部分，而L2TP協(xié)議草案中也規(guī)定它（L2TP標(biāo)準(zhǔn)）必須以IPSec為安全基礎(chǔ)。

目前，采用IPSec標(biāo)準(zhǔn)的VPN技術(shù)已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐富完善�？梢詳喽�，IPSec將成為未來相當(dāng)一段時(shí)間內(nèi)企業(yè)構(gòu)筑VPN的主流標(biāo)準(zhǔn)，因此企業(yè)在構(gòu)造VPN基礎(chǔ)設(shè)施 時(shí)應(yīng)該首先考慮IPSec標(biāo)準(zhǔn)。

IPSec 的優(yōu)勢

IPSec(IP Security)是IETF IPSec工作組為了在IP層提供通信安全而制訂的一整套協(xié)議標(biāo)準(zhǔn)，IPSec的結(jié)構(gòu)文檔RFC2401定義了IPSec的基本結(jié)構(gòu)，所有具體的實(shí)施方案均建立在它的基礎(chǔ)之上。

IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全。盡管現(xiàn)在發(fā)行的許多Internet應(yīng)用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護(hù)互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護(hù)Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡(luò)級(jí)的安全功能，這也正是IPSec所提供的。下面為IPSec的一些優(yōu)點(diǎn)：

IPSec在傳輸層之下，對(duì)于應(yīng)用程序來說是透明的。當(dāng)在廣域網(wǎng)出口處安裝IPSec時(shí)，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會(huì)被影響。

IPSec對(duì)終端用戶來說是透明的，因此不必對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)。 如果需要的話，IPSec可以為個(gè)體用戶提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。

IPSec的原理

IPSec包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對(duì)通信的各種保護(hù)方式；密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對(duì)通信實(shí)體的身份進(jìn)行鑒別。IETF的IPSec工作組已經(jīng)制定了12個(gè)RFC，對(duì)IPSec的方方面面都進(jìn)行了定義，但其核心由其中的三個(gè)最基本的協(xié)議組成。即：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（IKMP）。

認(rèn)證協(xié)議頭（AH）協(xié)議提供數(shù)據(jù)源認(rèn)證，無連接的完整性，以及一個(gè)可選的抗重放服務(wù)。AH認(rèn)證整個(gè)IP頭，不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。

安全加載封裝（ESP）協(xié)議通過對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密，來提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性，數(shù)據(jù)源認(rèn)證，無連接的完整性，以及抗重放服務(wù)。和AH不同的是，ESP認(rèn)證功能不對(duì)IP數(shù)據(jù)報(bào)頭中的源和目的以及其它域認(rèn)證，這為ESP帶來了一定的靈活性，但也導(dǎo)致了它的弱點(diǎn)。

在IPSec中，AH和ESP是兩個(gè)獨(dú)立的協(xié)議，可以僅使用其中一個(gè)協(xié)議，也可以兩者同時(shí)使用。大部分的應(yīng)用實(shí)例中都采用了ESP或同時(shí)使用ESP和AH，但對(duì)于某些僅需要保證完整性的應(yīng)用（如股市行情的發(fā)送），也可僅使用AH。

IPSec支持預(yù)共享密鑰和自動(dòng)協(xié)商兩種密鑰管理方式。預(yù)共享密鑰管理方式是指管理員使用自己的密鑰手工設(shè)置每個(gè)系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境和有限的安全需要時(shí)可以工作得很好。自動(dòng)協(xié)商管理方式則能滿足其它所有的應(yīng)用要求。使用自動(dòng)協(xié)商管理方式，通訊雙方在建立安全連接（SA）時(shí)可以動(dòng)態(tài)地協(xié)商本次會(huì)話所需的加密密鑰和其它各種安全參數(shù)，無須用戶的介入。

IPSec使用Internet密鑰交換(IKE)協(xié)議實(shí)現(xiàn)安全協(xié)議的自動(dòng)安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護(hù)模式（傳輸或隧道模式）、密鑰的生存期等，這些安全參數(shù)的總體稱之為安全關(guān)聯(lián)（SA）。

IPSec協(xié)議族使用IKE密鑰交換協(xié)議來進(jìn)行密鑰以及其它安全參數(shù)的協(xié)商。IKE通過兩個(gè)階段的協(xié)商來完成安全關(guān)聯(lián)（SA）的建立，第一階段，由IKE交換的發(fā)起方發(fā)起一個(gè)主模式交換或野蠻模式交換，交換的結(jié)果是建立一個(gè)名為ISAKMP SA的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個(gè)快捷模式的消息交換序列，完成用于保護(hù)通信數(shù)據(jù)的IPSec SA的協(xié)商。

設(shè)計(jì)IPSec是為了給IP數(shù)據(jù)報(bào)提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。因此，IPSec協(xié)議中涉及各種密碼算法，具體的加密和認(rèn)證算法的選擇因IPSec的實(shí)現(xiàn)不同而不同，但為了保證互操作性，IPSec中規(guī)定了每個(gè)IPSec實(shí)現(xiàn)要強(qiáng)制實(shí)現(xiàn)的算法。

IPSec規(guī)范中要求強(qiáng)制實(shí)現(xiàn)的加密算法是CBC模式的DES和NULL算法，而認(rèn)證算法是HMAC-MD5、HMAC-SHA-1和NULL認(rèn)證算法。必須強(qiáng)調(diào)指出的是，高強(qiáng)度的密碼算法是國家�？厣唐�，至今美國仍實(shí)行對(duì)加密長度超過128位的加密算法的出口限制。

我國頒布的《中華人民共和國商用密碼管理?xiàng)l例》中規(guī)定，“商用密碼技術(shù)屬于國家秘密。國家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行專控管理。”，“任何單位或者個(gè)人只能使用經(jīng)國家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品”，因此在選擇VPN產(chǎn)品時(shí)，應(yīng)采用經(jīng)過國家密碼管理機(jī)構(gòu)認(rèn)可的產(chǎn)品。

IPSec的實(shí)現(xiàn)方式

IPSec的一個(gè)最基本的優(yōu)勢是它可以在各種網(wǎng)絡(luò)訪問設(shè)備、主機(jī)服務(wù)器和工作站上完全實(shí)現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實(shí)現(xiàn)VPN網(wǎng)關(guān)；在客戶端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機(jī)和工作站。IPSec通過兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。

傳送模式通常當(dāng)通訊發(fā)生在主機(jī)（客戶機(jī)或服務(wù)器）之間時(shí)使用。傳輸模式使用原始明文IP頭，AH或ESP被插在IP頭之后但在所有的傳輸層協(xié)議之前。由于沒有對(duì)原始IP頭進(jìn)行加密，因此傳輸模式不能抗數(shù)據(jù)流量分析。

隧道模式通常當(dāng)通訊雙方中有任一方是關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪問接入裝置時(shí)使用。在隧道模式下，AH或ESP被插在原始IP頭之前，同時(shí)生成一個(gè)新的IP頭，并用自己的地址作為源地址加入到新的IP頭。當(dāng)隧道模式用于用戶終端設(shè)置時(shí)，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]