IPSec封装模式在不同场景下应用.docVIP

IPSec封装模式在不同场景下应用 　　摘要：部署IPSec VPN时，在不同封装模式中需使用不同协议下的数据封装格式，并且IPSec通过在不同场景中使用不同的封装模式提供差异化安全服务。在阐述数据包封装格式基础上，详细分析不同场景中的封装模式选择并分析其原因，探讨IPSec封装模式在不同场景下的应用，为无保护的IP网络提供信息安全传输服务。 　　关键词：IPSec；传输模式；隧道模式；GRE 　　DOIDOI：10.11907/rjdk.172487 　　中图分类号：TP319 　　文献标识码：A 文章编号：1672-7800（2017）012-0169-03 　　Abstract：To everyone in the deployment of IPSec VPN in different encapsulation mode when using different protocols provide certain reference data encapsulation format， at the same time， through in different scenarios， in order to IPSec use different encapsulation mode to provide diversity of security services. This paper elaborates the packaging format of the packets， analyzes the selection of packaging modes in different scenarios and analyzes the reasons.Different deployment plans are selected according to the actual needs in different scenarios， and different packaging modes are selected in consideration of security， resource utilization and efficiency.Thus， secure transmission services for unprotected IP networks are provided. 　　Key Words：IPSec； transmission mode； tunnel mode； GRE 　　0 引言 　　TCP/IP?w系中网络层的核心协议是由RFC 791定义的IP，IP是一个网络协议，其提供的数据传送服务是不可靠的、无连接的[1]。因此，IP网络只是一个尽力而为的网络，其本身不提供对信息的安全服务。 　　IPSec是由Internet工程任务组（IETF）开发的开放标准框架，它定义了在网络层中使用安全服务，其功能包括数据加密、网络单元访问控制、数据源地址验证、数据完整性检查和防止重放攻击[2]。 　　IPSec对信息的保护主要由AH（Authentication Header，身份验证报头）协议和ESP（Encapsulating Security Payload，封装安全性有效负载）协议负责[3]。AH协议可对整个数据包（IP 报头与数据包中的数据负载）提供身份验证、完整性与抗重播保护，但它不对数据进行加密。ESP协议虽然只为IP 负载提供身份验证、完整性和抗重播保护，但能提供加密功能。 　　完整集成化企业范围的VPN安全主要通过在公网上的安全双向通信及透明的加密方案予以保证，以确保数据的完整性和保密性。VPN大多采用IPSec协议，IPSec作为在IPv4及IPv6上的加密通信框架，已为大多数厂商所支持，是VPN实现的Internet标准[4]。 　　1 IPSec的两种封装模式 　　IPSec有两种封装模式：传输（Transport）模式和隧道（Tunnel）模式。当使用传输模式时，IPSec只对IP数据包中上层协议的负载进行封装；当使用隧道模式时，IPSec对IP报头和有效负载都进行封装，从而提供对整个IP数据包的保护[5]。 　　不管在哪种封装模式下，既可以使用AH对整个IP数据包进行身份验证，也可以使用ESP对IP负载进行验证和加密。AH和ESP可以独立使用，也可以组合使用。假如既要为IP报头提供数据完整性与身份验证，又要为IP负载提供加密服务，就必须组合使用ESP与AH协议。 　　1.1 传输模式下的IPSec数据包封装 　　使用传输模式时，IPSec通过AH或ESP报头对IP负载提供保护，不保护原IP报头，即IP报头不封装就被传送