IP安全性解析.pdfVIP

口 IP安全性解析 山东电视台技术部刘玉山 摘要：首先分析了坤安全性问题，简要讨论了IPSec的体系结构，重点分析了其工作模式和实 现机制，最后介绍了IPSec的应用实例。 关键词：网络安全口协议IPSec体系结构虚拟专用网 1引言 协议族是实现网络连接性和互操作性的关键，是因特网的基础协议。TCP／IP协议的开放性 存在很多安全漏洞，由此带来的网络安全问题正日益突出。 网际协议m是网络层中最重要的协议，IP层接收由底层(如数据链路层)发来的数据 或 UDP层接收来的数据包发送到更高层，IP数据包中含有发送它的源主机地址或目地 是有效的，亦即这些服务相信数据包是从一个有效的主机地址发送过来的，也就是说，IP 地址是许多服务的认证基础。但IP层提供的服务是不可靠的，它没有采取任何有效措施来 保证所传送的数据包内容的真实性。IP的缺陷，从根本上讲是缺乏一种有效机制来确定数 据包的真正来源，IP包中没有任何东西可以确定包中的源地址和目地地址是否遭到篡改过。 因此人们提出了IP安全性的问题，其目地是要采用合适的算法，对建立在端一端系统上的 应用能够提供对信息的认证、信息的完整性和信息的保密的确保服务。 2 IPSec的基本原理 针对IP的安全要求，因特网任务工程组(IETF)成立了IP层安全(1P 工作组，制定了m安全协议(IP security 490CCNS2004中国电视传媒与网络发展高峰会设 D IP技术与网络电视口 (Intemet keymanagement 用相应的加密安全体制。本文将对IPSec相关技术及其应用作简要分析。 2．1 IPSec的体系结构 无缝地提供安全保障，各种应用程序可以享用皿层提供的安全服务和密钥管理，而不必设 计自己的安全机制。IPSec有两个基本目标：保护口数据包安全；为抵御网络攻击提供保 护措旋。图1显示了IPSec的体系结构、组件及各种组件间的相互关系。 图1 IPSec的体系结构 2．1_1安全体系 ．安全体系描述了m安全性的总体概念，安全需求、定义，并定义了网络层安全的技术 机制。 2．1．2封装安全载荷 封装安全载荷(EncapsulatingSecurity 和验证机制，为IP数据报提供数据源验证、数据完整性、抗重播和机密性安全服务，可在 传输模式和隧道模式下使用。它覆盖了为了包加密与ESP的使用相关的包格式和常规问题。 2．1．3验证头 验证头(AuthenticationHeader，AH)也是一个安全协议头，工作于传输模式，它为 口包提供数据完整性和验证服务。数据完整性可以保证在传输过程中不发生未经检测的修 改；验证服务可使末端系统或网络设备可以验证用户或应用程序，并根据需要过滤通信量， 验证服务还可防止地址欺骗攻击及重播攻击。它包含使用AH进行身份验证相关的包格式 和一般问题。 2．1．4加密和验证算法 算法。 491 中国电视传媒与网络发展高峰会议CCNS2004 口 使用，以提高安全强度。 2．1．5解释域 of 解释域(Domain 据库。 2．1．6密钥管理 对等实体、协商安全服务和产生共享密钥的标准。 2．2 IPSec的工作模式 IPSec有两种工作模式：传输模式和隧道模式，如图2所示。 2．2．1传输模式 在传输模式中，所选择的协议(AH或ESP)主要提供对上层协议的保护，传输模式用 于两台主机之间，实现端到端的安全。它所保护的数据包的终点也是IPSec的终点。当数 据包从传输层传递给网络层时，AH和ESP会进行拦截，在IP头上与上层协议头之间插入 再用AH，这样数据完