IPSec结构及其的应用.docVIP

IPSec结构及其的应用 　　 　　１ＩＰＳＥＣ作用 　　1997年，CERT(Computer Emergency Response Team)在其年度报告中列举了150 000个站点的2 500多个安全事故，其中最为严重的有两类：第1类是IP欺骗，即入侵者以虚假IP地址建立数据包，以欺骗基于IP认证的应用程序；第2类是各种类型的窃听和数据包嗅探，以获取合法用户的登录信息和其他数据。因此安全的IP协议应有必要的认证和加密功能。 　　IPSec通过在IP层对所有业务流加密和认证，保证了所有分布应用程序(包括远程登录、客户机/服务器、电子邮件系统、文件传输、Web访问等)的安全性，因此可提供网络内(包括局域网、广域网等)或网际间的安全通信。例如： 　　(1)公司可在因特网或公用广域网上建立自己的安全虚拟专用网，从而可节省建立和管理自己专用网的支出。 　　(2)配备有IPSec系统的终端用户，可在本地呼叫因特网服务提供商(ISP)以获取对某一公司网络的安全访问。 　　(3)IPSec不仅能用于建立内部网中的连接，而且也能用于建立与外部网的安全连接。 　　(4)某些Web应用程序和电子商务应用程序即使已有自己的安全协议，但使用IPSec可增加它们的安全性。 　　图1是IPSec应用示例，图中有一个用户系统和两个LAN。LAN内的通信未考虑安全性，然而从用户系统和LAN发出通信业务流时，都需在网际设备中使用IPSec协议。网际设备指路由器或防火墙等设备，用于将LAN连接到外部网中。网际设备对发往WAN的业务流进行加密和压缩，对来自WAN的业务流进行解密和解压缩。以上运算对LAN上的工作站和服务器来说都是透明的。 　　IPSec的使用场合和作用为： 　　IPSec用于防火墙和路由器等网际设备，可为通过网际设备的业务流提供强安全业务，且在LAN内(比如一个公司的LAN)的业务无需进行安全性处理。 　　IPSec用于防火墙，可防止使用IP的业务流绕过防火墙。 　　IPSec位于传输层(TCP、UDP)之下，所以它对应用程序来说是透明的。且当IPSec用于防火墙或路由器时，无需修改用户或服务器所使用的软件。即使IPSec用于端系统时，上层软件(包括应用程序)也不受影响。 　　IPSec对终端用户来说是透明的，因此无需对用户进行安全培训，同时也无需对用户发放或撤销密钥材料。 　　IPSec除了支持终端用户、保护系统和网络外，还在网络互联所需的路由结构中起着重要的作用。IPSec能保证：路由通告(新路由器用于向外界通告自己)来自一个被授权的路由器；邻居通告(路由器用于建立或维护与其他路由域中路由器的邻居关系)来自一个授权的路由器；重新定向的消息来自于数据包上次到达的路由器；路由的更新不被伪造。 　　 　　2 IPSec的结构 　　IPSec在IP层提供安全业务的方式是让系统选择所要求的安全协议、决定所需的算法和密钥。安全协议有两个：一是由协议的报头，即认证报头(AH)指定的认证协议;二是由协议数据包格式，即封装的安全负载(ESP)指定的将加密和认证结合起来的协议。安全业务有访问控制、无连接的完整性、数据源的认证性、对重放数据包的拒绝、保密性、受限的业务流保密性。 　　表1显示AH指定的协议(简称AH协议)和ESP指定的协议(简称ESP协议)所能提供的安全业务，其中ESP又分为仅加密和加密认证结合两种情况。 　　本节介绍IPSec结构中的两个主要概念：安全关联和模式。 　　 　　2.1 安全关联 　　安全关联(SA)是指由IPSec提供安全服务的业务流的发方到收方的一个单向逻辑关系，用来表示IPSec为SA所承载的数据通信提供安全服务。其方式是使用AH或ESP之一，一个SA不能同时使用AH和ESP保护。因为SA是单向的，所以两个系统之间的双向通信需要两个SA，每个方向一个。 　　一个SA可由3个参数惟一地表示为： 　　 　　3个参数的含义分别为： 　　安全参数索引(SPI)：赋值给该SA的比特串。其位置在AH和ESP报头中，作用是使接收系统对收到的数据包能够选择在哪个SA下进行处理，所以SPI只有本地意义。 　　目标IP地址：即SA中接收方的IP地址。该地址可以是终端用户系统或防火墙、路由器等网际设备的地址。目前的SA管理机制只支持单目传送地址(即只指定一个用户或网际设备的地址)。 　　安全协议标识符：该标识符表示SA使用的协议是AH协议还是ESP协议。 　　所以对任何IP数据包，通过IPv4或IPv6报头中的目标地址以及封装扩展报头(AH或ESP)中的SPI，对SA惟一地识别。 　　 　　2.2 AH和ESP的两种使用模式 　　AH和ESP的两种使用模式分别是传输模式和隧道模式，