解析IPSec VPN網(wǎng)絡(luò)安全體系

IPSec應(yīng)用分析

目前建造虛擬專用網(wǎng)依據(jù)的主要國際標準有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標準的側(cè)重點有所不同，其中IPSec是由IETF正式定制的開放性IP安全標準，是虛擬專網(wǎng)的基礎(chǔ)。實際上，IPV6版本就將IPSec作為其組成部分，而L2TP協(xié)議草案中也規(guī)定它（L2TP標準）必須以IPSec為安全基礎(chǔ)。

目前，采用IPSec標準的VPN技術(shù)已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡(luò)和安全供應(yīng)商的鼎力支持，并且正在不斷豐富完善。可以斷定，IPSec將成為未來相當一段時間內(nèi)企業(yè)構(gòu)筑VPN的主流標準，因此企業(yè)在構(gòu)造VPN基礎(chǔ)設(shè)施 時應(yīng)該首先考慮IPSec標準。

IPSec 的優(yōu)勢

IPSec(IP Security)是IETF IPSec工作組為了在IP層提供通信安全而制訂的一整套協(xié)議標準，IPSec的結(jié)構(gòu)文檔RFC2401定義了IPSec的基本結(jié)構(gòu)，所有具體的實施方案均建立在它的基礎(chǔ)之上。

IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務(wù)器、電子郵件、文件傳輸及Web訪問在內(nèi)多種應(yīng)用程序的安全。盡管現(xiàn)在發(fā)行的許多Internet應(yīng)用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡(luò)級的安全功能，這也正是IPSec所提供的。下面為IPSec的一些優(yōu)點：

IPSec在傳輸層之下，對于應(yīng)用程序來說是透明的。當在廣域網(wǎng)出口處安裝IPSec時，無需更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類的上層軟件也不會被影響。

IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。 如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內(nèi)部的敏感信息。

IPSec的原理

IPSec包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對通信的各種保護方式；密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護參數(shù)，以及如何對通信實體的身份進行鑒別。IETF的IPSec工作組已經(jīng)制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協(xié)議組成。即：認證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（IKMP）。

認證協(xié)議頭（AH）協(xié)議提供數(shù)據(jù)源認證，無連接的完整性，以及一個可選的抗重放服務(wù)。AH認證整個IP頭，不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性。

安全加載封裝（ESP）協(xié)議通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密，來提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性，數(shù)據(jù)源認證，無連接的完整性，以及抗重放服務(wù)。和AH不同的是，ESP認證功能不對IP數(shù)據(jù)報頭中的源和目的以及其它域認證，這為ESP帶來了一定的靈活性，但也導(dǎo)致了它的弱點。

在IPSec中，AH和ESP是兩個獨立的協(xié)議，可以僅使用其中一個協(xié)議，也可以兩者同時使用。大部分的應(yīng)用實例中都采用了ESP或同時使用ESP和AH，但對于某些僅需要保證完整性的應(yīng)用（如股市行情的發(fā)送），也可僅使用AH。

IPSec支持預(yù)共享密鑰和自動協(xié)商兩種密鑰管理方式。預(yù)共享密鑰管理方式是指管理員使用自己的密鑰手工設(shè)置每個系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境和有限的安全需要時可以工作得很好。自動協(xié)商管理方式則能滿足其它所有的應(yīng)用要求。使用自動協(xié)商管理方式，通訊雙方在建立安全連接（SA）時可以動態(tài)地協(xié)商本次會話所需的加密密鑰和其它各種安全參數(shù)，無須用戶的介入。

IPSec使用Internet密鑰交換(IKE)協(xié)議實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式（傳輸或隧道模式）、密鑰的生存期等，這些安全參數(shù)的總體稱之為安全關(guān)聯(lián)（SA）。

IPSec協(xié)議族使用IKE密鑰交換協(xié)議來進行密鑰以及其它安全參數(shù)的協(xié)商。IKE通過兩個階段的協(xié)商來完成安全關(guān)聯(lián)（SA）的建立，第一階段，由IKE交換的發(fā)起方發(fā)起一個主模式交換或野蠻模式交換，交換的結(jié)果是建立一個名為ISAKMP SA的安全關(guān)聯(lián)；第二階段可由通信的任何一方發(fā)起一個快捷模式的消息交換序列，完成用于保護通信數(shù)據(jù)的IPSec SA的協(xié)商。

設(shè)計IPSec是為了給IP數(shù)據(jù)報提供高質(zhì)量的、可互操作的、基于密碼學的安全性。因此，IPSec協(xié)議中涉及各種密碼算法，具體的加密和認證算法的選擇因IPSec的實現(xiàn)不同而不同，但為了保證互操作性，IPSec中規(guī)定了每個IPSec實現(xiàn)要強制實現(xiàn)的算法。

IPSec規(guī)范中要求強制實現(xiàn)的加密算法是CBC模式的DES和NULL算法，而認證算法是HMAC-MD5、HMAC-SHA-1和NULL認證算法。必須強調(diào)指出的是，高強度的密碼算法是國家專控商品，至今美國仍實行對加密長度超過128位的加密算法的出口限制。

我國頒布的《中華人民共和國商用密碼管理條例》中規(guī)定，“商用密碼技術(shù)屬于國家秘密。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行專控管理。”，“任何單位或者個人只能使用經(jīng)國家密碼管理機構(gòu)認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品”，因此在選擇VPN產(chǎn)品時，應(yīng)采用經(jīng)過國家密碼管理機構(gòu)認可的產(chǎn)品。

IPSec的實現(xiàn)方式

IPSec的一個最基本的優(yōu)勢是它可以在各種網(wǎng)絡(luò)訪問設(shè)備、主機服務(wù)器和工作站上完全實現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實現(xiàn)VPN網(wǎng)關(guān)；在客戶端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式在應(yīng)用上提供更多的彈性：傳輸模式和隧道模式。

傳送模式通常當通訊發(fā)生在主機（客戶機或服務(wù)器）之間時使用。傳輸模式使用原始明文IP頭，AH或ESP被插在IP頭之后但在所有的傳輸層協(xié)議之前。由于沒有對原始IP頭進行加密，因此傳輸模式不能抗數(shù)據(jù)流量分析。

隧道模式通常當通訊雙方中有任一方是關(guān)聯(lián)到多臺主機的網(wǎng)絡(luò)訪問接入裝置時使用。在隧道模式下，AH或ESP被插在原始IP頭之前，同時生成一個新的IP頭，并用自己的地址作為源地址加入到新的IP頭。當隧道模式用于用戶終端設(shè)置時，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]