IPSec定义与IPSec协议体系结构

1 IPSec的定义

  IPSec(Internet Protocol Security)即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec适用于目前的版本IPv4和下一代IPv6。IPSec规范相当复杂,规范中包含大量的文档。由于IPSec在TCP/IP协议的核心层——IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。IPSec 也是被下一代Internet 所采用的网络安全协议。IPSec协议是现在VPN开发中使用的最广泛的一种协议,它有可能在将来成为IPVPN的标准。

IPSec的基本目的是把密码学的安全机制引入 IP协议,通过使用现代密码学方法支持保密和认证服务,使用户能有选择地使用,并得到所期望的安全服务。IPSec是随着IPv6的制定而产生的,鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的。

2 IPSec协议体系结构

IPSec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密钥协商部分。

(1)安全关联和安全策略:安全关联(Security Association,SA)是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。

(2)IPSec 协议的运行模式:IPSec协议的运行模式有两种,IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下,只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式下,IPSec 主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。

(3)AH(Authentication Header,认证头)协议:设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制,但是不提供数据机密性保护。 验证报头的认证算法有两种: 一种是基于对称加密算法(如DES),另一种是基于单向哈希算法(如MD5或SHA-1)。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据(传输层数据)和IP头中的固定字段提供认证保护,把AH插在IP报头的后面,主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中,作为新报文的载荷, 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。

(4)ESP(Encapsulate Security Payload,封装安全载荷)协议:封装安全载荷(ESP)用于提高Internet协议(IP)协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中,数据机密性是ESP的基本功能,而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性,它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。

(5)Internet 密钥交换协议(IKE):Internet密钥交换协议(IKE)是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体(如网络终端或网关)进行安全通信派生会话密钥。IKE建立在Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议,IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理,同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议(Oakley和SKEME安全密钥交换机制)的一部分功能,并综合了Oakley和SKEME的密钥交换方案,形成了自己独一无二的受鉴别保护的加密材料生成技术。

3 结束语

虽然IPSec协议目前应用比较广泛,性能比较稳定。但是IPSec协议是一个比较新的安全协议,而且非常复杂,作为一个还没有完全成熟的协议,IPSec 在理论上和实践上都有一些问题有待改进。其不足之处主要是由其复杂性和灵活性引起的,IPSec 包括了太多的选项,提供了过多可以变通的地方。相信随着IP技术的发展,IPSec协议会日臻完善!

来源:VOIP中国


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料
  • 1、回复“YD5GAI”免费领取《中国移动:5G网络AI应用典型场景技术解决方案白皮书
  • 2、回复“5G6G”免费领取《5G_6G毫米波测试技术白皮书-2022_03-21
  • 3、回复“YD6G”免费领取《中国移动:6G至简无线接入网白皮书
  • 4、回复“LTBPS”免费领取《《中国联通5G终端白皮书》
  • 5、回复“ZGDX”免费领取《中国电信5GNTN技术白皮书
  • 6、回复“TXSB”免费领取《通信设备安装工程施工工艺图解
  • 7、回复“YDSL”免费领取《中国移动算力并网白皮书
  • 8、回复“5GX3”免费领取《R1623501-g605G的系统架构1
  • 本周热点本月热点

     

      最热通信招聘

      最新招聘信息

    最新技术文章

    最新论坛贴子