網(wǎng)絡(luò)安全模型下身份驗(yàn)證機(jī)制的分析研究

摘要：在面向報(bào)文信息的網(wǎng)絡(luò)安全模型基礎(chǔ)上，IPSec提供了數(shù)據(jù)源驗(yàn)證服務(wù)以彌補(bǔ)IP協(xié)議不足，但仍存在通信實(shí)體安全性的問(wèn)題。因此在面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)模型指導(dǎo)下，結(jié)合IPSec在網(wǎng)絡(luò)層實(shí)施安全服務(wù)的優(yōu)點(diǎn)，深入分析并提出一種網(wǎng)絡(luò)層身份驗(yàn)證機(jī)制以預(yù)防假冒攻擊，最后對(duì)兩種網(wǎng)絡(luò)安全模型下的身份驗(yàn)證作了分析比較。

關(guān)鍵詞：安全模型；身份驗(yàn)證；IP；IPSec

0 引言

傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的注重點(diǎn)是數(shù)據(jù)安全，而不是網(wǎng)絡(luò)基礎(chǔ)設(shè)施本身的安全。在網(wǎng)絡(luò)攻擊不斷泛濫的形勢(shì)下，有必要將安全保護(hù)的對(duì)象由通信的數(shù)據(jù)轉(zhuǎn)向通信的物理設(shè)備，沒(méi)有安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施支撐，安全的網(wǎng)絡(luò)通信如同空中樓閣。

1 面向報(bào)文信息的網(wǎng)絡(luò)安全模型

目前，討論的大多數(shù)通信模型是一方通過(guò)互聯(lián)網(wǎng)傳送報(bào)文給另一方，雙方協(xié)調(diào)共同完成信息交換。如需要保護(hù)信息傳輸防止攻擊者竊取和破壞信息時(shí)，就該在原有的通信模型基礎(chǔ)上提供安全服務(wù)。目前有兩類(lèi)安全服務(wù)模型，即網(wǎng)絡(luò)傳輸安全模型和網(wǎng)絡(luò)訪問(wèn)安全模型。

網(wǎng)絡(luò)傳輸安全模型是在數(shù)據(jù)發(fā)送或接收前對(duì)其進(jìn)行安全轉(zhuǎn)換，保證通信雙方數(shù)據(jù)的保密性，避免攻擊者竊取報(bào)文后直接讀取，有時(shí)需要可信任第三方負(fù)責(zé)分發(fā)保密信息。網(wǎng)絡(luò)訪問(wèn)安全模型是利用驗(yàn)證或訪問(wèn)控制等方式控制非授權(quán)網(wǎng)絡(luò)實(shí)體非法訪問(wèn)資源。除上述兩種安全模型之外，還有一種網(wǎng)絡(luò)安全模型，旨在提供集成的網(wǎng)絡(luò)安全，但僅僅是個(gè)一般概念上的描述模型，并非成熟實(shí)用。

網(wǎng)絡(luò)傳輸安全模型，IPSec在TCP／IP網(wǎng)絡(luò)層協(xié)議基礎(chǔ)上提供了具體的安全服務(wù)框架，主要為數(shù)據(jù)通信增加安全保護(hù)，是網(wǎng)絡(luò)傳輸較安全的一個(gè)實(shí)施方案。

2 安全框架lPSec

國(guó)際標(biāo)準(zhǔn)組織(Iso)制訂的Is07498—2提出一個(gè)典型的傳統(tǒng)網(wǎng)絡(luò)安全體系結(jié)構(gòu)(NSA)，該結(jié)構(gòu)描述了一系列的安全服務(wù)以及實(shí)現(xiàn)這些安全服務(wù)的機(jī)制。大多數(shù)安全服務(wù)可存在于ISO協(xié)議模型的任何一層，但其中IP層具有簡(jiǎn)單透明的優(yōu)勢(shì)，而其他協(xié)議層實(shí)現(xiàn)起來(lái)既增大系統(tǒng)開(kāi)銷(xiāo)，又會(huì)降低系統(tǒng)效率。于是，1ETF工作組于1998年11月制定了全新的IPSec安全體系結(jié)構(gòu)，發(fā)布一系列相關(guān)規(guī)范文檔，推出多種IP層安全服務(wù)框架。

IPSec安全體系結(jié)構(gòu)規(guī)范州詳細(xì)描述提供的多種安全服務(wù)以及實(shí)現(xiàn)安全服務(wù)的多種安全機(jī)制。安全服務(wù)主要包括數(shù)據(jù)保密、數(shù)據(jù)完整性驗(yàn)證、數(shù)據(jù)源驗(yàn)證、訪問(wèn)控制、抗重發(fā)攻擊等。這些服務(wù)通過(guò)安全協(xié)議ESP(Encapsulating Security Payload)和AH(Authentication Header)實(shí)現(xiàn)，它們建立在密碼技術(shù)之上，可提供多種加密算法和驗(yàn)證算法供用戶(hù)選擇。

無(wú)論是加密算法還是驗(yàn)證算法都要使用密鑰，因此IPSec提供了密鑰交換協(xié)議IKE(Internet Key Exchange)。IKE是基于ISAKMP密鑰交換框架定義的密鑰交換協(xié)議，它定義了兩個(gè)協(xié)商階段。階段一是建立一個(gè)IKESA，可通過(guò)兩種交換模式實(shí)現(xiàn)：一種是主模式交換，一種是自信模式交換。階段二是建立一個(gè)IPSecSA，只能通過(guò)快速模式交換實(shí)現(xiàn)。其中安全關(guān)聯(lián)SA(security Association)數(shù)據(jù)庫(kù)是一個(gè)三元組集合，每個(gè)三元組稱(chēng)為SAID即<服務(wù)類(lèi)型，目的地址，安全參數(shù)索引SPI>。服務(wù)類(lèi)型可以是驗(yàn)證服務(wù)(AH)或者封裝安全凈荷服務(wù)(ESP)，SPI是端系統(tǒng)用來(lái)標(biāo)識(shí)通信流的一個(gè)整數(shù)值。IKE協(xié)議是一個(gè)復(fù)雜的協(xié)}義，它用于動(dòng)態(tài)地管理密鑰，其安全性對(duì)IPSec提供的安全性影響至關(guān)重要。

2．1 IPSec工作原理

無(wú)論IPSec以什么方式實(shí)現(xiàn)，其工作原理都類(lèi)似。IPSec工作原理(見(jiàn)圖2)：當(dāng)IP數(shù)據(jù)包進(jìn)入或離開(kāi)IPSec結(jié)構(gòu)時(shí)，它會(huì)根據(jù)安全策略數(shù)據(jù)庫(kù)(SPD)對(duì)該IP包進(jìn)行相應(yīng)的處理。當(dāng)接口接收到一個(gè)IP分組(里面包含了IPSec頭)后，從該IP包中提取安全參數(shù)索引SPI、目的地址、協(xié)議號(hào)——它們組成一個(gè)三元組SAID，并根據(jù)該SAID檢索安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SADB，以找到處理該分組的安全關(guān)聯(lián)SA；對(duì)接收分組進(jìn)行序列號(hào)檢查、完整性驗(yàn)證和解密處理，最終恢復(fù)明文分組；從明文分組中提取源、目的地址，上層協(xié)議，端口號(hào)，構(gòu)造出選擇符，將SA指向的SPD條目所對(duì)應(yīng)的選擇符與接收?qǐng)?bào)文構(gòu)造出的選擇符進(jìn)行比較，如果一致，再比較該SPD條目的安全要求與接收分組的實(shí)際安全策略是否相符，若出現(xiàn)不一致的情況，則將分組丟棄，否則繼續(xù)處理分組。

當(dāng)一個(gè)IP分組被發(fā)送時(shí)，其源／目的地址、協(xié)議號(hào)、端口號(hào)等元素構(gòu)成選擇符，并作為關(guān)鍵字檢索安全策略數(shù)據(jù)庫(kù)SPD，由SPD檢索輸出相應(yīng)的安全策略有三種：一是丟棄發(fā)送報(bào)文；二是不進(jìn)行安全服務(wù)處理；三是應(yīng)用網(wǎng)絡(luò)層安全服務(wù)，返回策略條目相對(duì)應(yīng)的SA條目指針。如果指針?lè)强眨瑒t根據(jù)指向的SA對(duì)該IP包進(jìn)行相應(yīng)的安全處理；如果指針為空，即SPD中沒(méi)有建立對(duì)應(yīng)的安全關(guān)聯(lián)SA，IPSec會(huì)通過(guò)策略引擎調(diào)用密鑰協(xié)商模塊IKE，按照策略要求協(xié)商SA，并將產(chǎn)生的SA填入SADB中，并應(yīng)用于待處理的分組。

2．2 IPSec性能分析

我們利用工具CASTSJ(communication Analysis and Sim-ulation T001)對(duì)裝有集成IPSec功能的NETBSD操作系統(tǒng)的兩臺(tái)工作站進(jìn)行了測(cè)試，從端到端TCP包通信的數(shù)據(jù)吞吐量和單向數(shù)據(jù)傳輸時(shí)間延遲兩個(gè)方面來(lái)考察IPSec性能。測(cè)試分三類(lèi)：運(yùn)行未使用IPSec的服務(wù)(classl)，運(yùn)行具有IPSec驗(yàn)證功能的服務(wù)(class2)，運(yùn)行具有IPSec加密功能的服務(wù)(class3)。從試驗(yàn)結(jié)果可以明顯得出以下兩個(gè)結(jié)論。第一，相同時(shí)間內(nèi)兩端的平均數(shù)據(jù)吞吐量：classl＞class2＞class3，三類(lèi)比值大約為15:11：5；第二，單向數(shù)據(jù)傳輸平均時(shí)間延遲：class3＞class2＞classl，三類(lèi)比值大約為7:2:1。

雖然IPSec提供端到端的安全通信，但是，整個(gè)網(wǎng)絡(luò)層安全解決方案是在操作系統(tǒng)內(nèi)核中集成IPSec，這樣必然會(huì)影響網(wǎng)絡(luò)性能。并且，如果使用了IPSec服務(wù)，實(shí)時(shí)通信也會(huì)比較難實(shí)現(xiàn)。為了減少計(jì)算量提高網(wǎng)絡(luò)性能，一個(gè)可行的解決方法是針對(duì)不同的數(shù)據(jù)實(shí)施不同的安全保護(hù)措施，對(duì)于不重要的數(shù)據(jù)可以不進(jìn)行安全保護(hù)。

從空間復(fù)雜度角度分別對(duì)AH協(xié)議和ESP協(xié)議的兩種模式(傳輸模式和隧道模式)進(jìn)行了比較分析。在傳輸模式下，IPSec AH協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Byms，總共24Bytes。而IPSec ESP協(xié)議報(bào)頭固定字段長(zhǎng)度為10Byms，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Byms，總共22Byms。在隧道模式下，IPSec AH協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，還有新IP報(bào)頭20Bytes，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Byms，總共44Byms。而IPSec ESP協(xié)議報(bào)頭固定字段長(zhǎng)度為12Byms，還有新IP報(bào)頭20Bytes，驗(yàn)證數(shù)據(jù)域(可選)長(zhǎng)度12Bytes，總共42Bytes。

另外，從時(shí)間復(fù)雜度和吞吐量?jī)蓚€(gè)角度分別對(duì)IPSec中使用的加密算法3DES和驗(yàn)證算法MD5，SHA-1、HMAC-MD5、HMAC-SHAl進(jìn)行了試驗(yàn)比較。試驗(yàn)結(jié)果為，對(duì)于同—種指令處理能力，數(shù)據(jù)吞吐量由大到小的算法依次為：MD5，HMAC-MD5，SHAl，HMAC-SHAl，3DES，而HMAC-MD5的執(zhí)行時(shí)間比MD5要長(zhǎng)，HMAC-SHAl的執(zhí)行時(shí)間比SHAl要長(zhǎng)。

2．3 IPSec數(shù)據(jù)源驗(yàn)證服務(wù)及存在問(wèn)題

IPSec在網(wǎng)絡(luò)層提供了多種安全服務(wù)，為現(xiàn)有網(wǎng)絡(luò)以及下一代網(wǎng)絡(luò)提供了一定的安全保障。其中，源驗(yàn)證服務(wù)使得IP報(bào)文接收者能確信整個(gè)報(bào)文未被修改，報(bào)文確實(shí)是從其所聲稱(chēng)的源IP地址主機(jī)發(fā)送出來(lái)的。基于共享密鑰實(shí)現(xiàn)的驗(yàn)證服務(wù)，是由AH協(xié)議提供的服務(wù)，其作用范圍為整個(gè)報(bào)文，它利用密碼技術(shù)和驗(yàn)證技術(shù)來(lái)實(shí)現(xiàn)，通過(guò)有密鑰控制的Hash算法產(chǎn)生的報(bào)文摘要提供了基于密鑰的報(bào)文驗(yàn)證機(jī)制，實(shí)現(xiàn)了報(bào)文完整性驗(yàn)證和數(shù)據(jù)源驗(yàn)證兩方面服務(wù)。

上述服務(wù)存在一個(gè)前提，即主機(jī)IP地址已經(jīng)存在。因?yàn)闊o(wú)論報(bào)文發(fā)送還是接收，需要根據(jù)報(bào)文選擇符檢索安全策略數(shù)據(jù)庫(kù)SPD，數(shù)據(jù)庫(kù)的每個(gè)條目是根據(jù)真實(shí)的源地址和目的地址建立的。但是IPSec數(shù)據(jù)源驗(yàn)證服務(wù)不能保證報(bào)文源IP地址的真實(shí)可靠性，無(wú)法檢測(cè)子網(wǎng)內(nèi)IP地址假冒報(bào)文，不能抵制IP地址假冒攻擊。另外密鑰協(xié)商過(guò)程比較復(fù)雜，而且需要用戶(hù)參與，其透明度不高。

綜上所述，IPSec數(shù)據(jù)源驗(yàn)證存在如下不足。

(1)IPSec需要通過(guò)用戶(hù)密鑰協(xié)商之后再提供數(shù)據(jù)源驗(yàn)證服務(wù)，而不能提供基于網(wǎng)絡(luò)實(shí)體特征信息的密鑰協(xié)商過(guò)程，對(duì)用戶(hù)而言透明性不好。

(2)利用IKE進(jìn)行密鑰協(xié)商前，通信實(shí)體之間需要經(jīng)過(guò)身份驗(yàn)證。主要有三種驗(yàn)證方式：預(yù)置共享密鑰認(rèn)證、數(shù)字簽名和公鑰系統(tǒng)。第一種方式并不實(shí)用，而后兩種方式需要可信任第三方參與。整個(gè)密鑰協(xié)商過(guò)程比較繁瑣，性能不高。

任何一個(gè)網(wǎng)絡(luò)安全解決方案不可能解決所有的安全問(wèn)題，從上述兩個(gè)問(wèn)題可以看出：首先，IPSec著重從用戶(hù)和信息安全角度保障通信數(shù)據(jù)的安全，而忽視網(wǎng)絡(luò)通信實(shí)體的安全，不能提供安全的IP地址供接入網(wǎng)絡(luò)的實(shí)體使用。而且目前針對(duì)網(wǎng)絡(luò)設(shè)備的攻擊屢見(jiàn)不鮮，存在多種基于網(wǎng)絡(luò)實(shí)體的攻擊方法，包括基于DNS攻擊、基于路由器攻擊、基于普通主機(jī)攻擊和基于各種服務(wù)器攻擊。其次，由于數(shù)據(jù)源驗(yàn)證服務(wù)基于密鑰和IP地址實(shí)現(xiàn)，盡管在IKE密鑰協(xié)商之前通信實(shí)體進(jìn)行互相驗(yàn)證，但所提供的幾種身份驗(yàn)證機(jī)制并不簡(jiǎn)單實(shí)用。再次，IPSec主要應(yīng)用于建設(shè)VPN網(wǎng)絡(luò)，通過(guò)公網(wǎng)搭建企業(yè)內(nèi)部網(wǎng)可大大降低成本，但是，由于其復(fù)雜性以及用戶(hù)透明度低，目前IPsec應(yīng)用于端系統(tǒng)尚不普及。

因此，在上述安全模型基礎(chǔ)上應(yīng)該考慮網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，在保證網(wǎng)絡(luò)通信實(shí)體可信的前提下，再進(jìn)一步提供可靠的安全服務(wù)。

3 面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全模型

為了從根本上解決安全隱患，在源頭遏制多種攻擊的發(fā)生，應(yīng)該從主機(jī)接入開(kāi)始進(jìn)行安全的管理和監(jiān)控，因此一種新型的網(wǎng)絡(luò)安全模型面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全模型被提了出來(lái)。所示為在轉(zhuǎn)發(fā)設(shè)備可信、網(wǎng)絡(luò)終端設(shè)備不可信的假設(shè)前提下，面向基礎(chǔ)設(shè)施(主機(jī))的安全模型。

主機(jī)A接入子網(wǎng)1時(shí)受到主機(jī)接入控制，主要是監(jiān)測(cè)和控制主機(jī)A的身份標(biāo)識(shí)和IP地址配置情況。其次，主機(jī)A收發(fā)報(bào)文時(shí)受到報(bào)文收發(fā)控制，主要是監(jiān)測(cè)和控制主機(jī)A發(fā)送或接收?qǐng)?bào)文過(guò)程中出現(xiàn)的異常情況，比如地址假冒或頻率超高等。主機(jī)A的報(bào)文在網(wǎng)絡(luò)傳輸過(guò)程中受到報(bào)文傳遞控制，主要是監(jiān)測(cè)和控制報(bào)文在路由結(jié)點(diǎn)之間轉(zhuǎn)發(fā)傳遞的報(bào)文完整性和真實(shí)性。最后，主機(jī)A的報(bào)文發(fā)送和接收全程受到信息安全控制，主要是端到端通信過(guò)程中數(shù)據(jù)加密，解密以及密鑰管理等處理。

該模型假定轉(zhuǎn)發(fā)設(shè)備是可信的，也就是說(shuō)轉(zhuǎn)發(fā)設(shè)備是不在主機(jī)接入控制范圍內(nèi)。如果把轉(zhuǎn)發(fā)設(shè)備看作終端設(shè)備，只是比普通主機(jī)功能更強(qiáng)大，那么可以把假設(shè)前提定為轉(zhuǎn)發(fā)設(shè)備和網(wǎng)絡(luò)終端設(shè)備均不可信。在這種情況下，這個(gè)模型也是適用的，只是任何接入網(wǎng)絡(luò)的物理設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)都要受到接入控制。

對(duì)于IP假冒，雖然IPSec在其相應(yīng)前提條件下可以為通信的數(shù)據(jù)提供良好的源驗(yàn)證服務(wù)，但在網(wǎng)絡(luò)設(shè)備的接入和IP地址安全可靠使用等方面沒(méi)有提供較完善的驗(yàn)證服務(wù)，其前提條件較多不太合理，因此并不能提供可靠的數(shù)據(jù)源驗(yàn)證以監(jiān)測(cè)IP地址假冒行為。在面向基礎(chǔ)設(shè)施網(wǎng)絡(luò)模型指導(dǎo)下，實(shí)體接入網(wǎng)絡(luò)時(shí)增加安全控制機(jī)制，在此基礎(chǔ)上通過(guò)網(wǎng)絡(luò)層身份驗(yàn)證機(jī)制提供可靠的數(shù)據(jù)源驗(yàn)證，可以有效檢測(cè)控制假冒報(bào)文。

4 新的網(wǎng)絡(luò)層身份驗(yàn)證機(jī)制

IPSec安全框架選擇在網(wǎng)絡(luò)層提供安全服務(wù)，其優(yōu)點(diǎn)是不需要對(duì)其他協(xié)議層次作任何改動(dòng)，可以為IP層以上協(xié)議提供透明的安全服務(wù)。網(wǎng)絡(luò)發(fā)展趨勢(shì)是Everything Over IP，在網(wǎng)絡(luò)層提供安全服務(wù)是最好的選擇，可以屏蔽各類(lèi)通信子網(wǎng)，而且不會(huì)影響上層的服務(wù)。但網(wǎng)絡(luò)層所提供的功能必須高效快速，不應(yīng)嚴(yán)重影響網(wǎng)絡(luò)性能，否則將得不償失，安全也就失去了意義。借鑒IPSec在網(wǎng)絡(luò)層設(shè)計(jì)安全服務(wù)的優(yōu)點(diǎn)，選擇網(wǎng)絡(luò)層作為設(shè)計(jì)的基礎(chǔ)是合理的。

IP地址作為一個(gè)終端實(shí)體的身份標(biāo)識(shí)，每個(gè)報(bào)文中所攜帶的源IP地址是否合法真實(shí)，報(bào)文是否為真正的實(shí)體所發(fā)送，通常可利用數(shù)據(jù)源身份驗(yàn)證機(jī)制解決。

身份驗(yàn)證系統(tǒng)至少應(yīng)該有兩個(gè)實(shí)體，一個(gè)是驗(yàn)證實(shí)體，一個(gè)是被驗(yàn)證實(shí)體。此外，還應(yīng)該明確驗(yàn)證對(duì)象是什么?針對(duì)IP假冒問(wèn)題，這里驗(yàn)證的對(duì)象是傳輸中的報(bào)文，如果驗(yàn)證通過(guò)說(shuō)明報(bào)文中所聲稱(chēng)的實(shí)體就是真實(shí)的報(bào)文發(fā)送實(shí)體，如果未通過(guò)則說(shuō)明報(bào)文是由假冒實(shí)體發(fā)送的。因此，最初狀態(tài)安全實(shí)體網(wǎng)絡(luò)開(kāi)始形成時(shí)，應(yīng)該建立對(duì)象之間的驗(yàn)證關(guān)系和驗(yàn)證信息，實(shí)體和IP地址形成關(guān)聯(lián)，然后利用它們監(jiān)控網(wǎng)絡(luò)內(nèi)實(shí)體的報(bào)文發(fā)送情況，及時(shí)發(fā)現(xiàn)IP假冒行為。

結(jié)合面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全模型和上述分析，身份驗(yàn)證機(jī)制分為三個(gè)階段：

(1)第一個(gè)階段，建立身份驗(yàn)證子網(wǎng)絡(luò)，即建立實(shí)體間的驗(yàn)證關(guān)系。

(2)第二個(gè)階段，建立實(shí)體身份標(biāo)識(shí)和安全的驗(yàn)證信息，即為所有加入驗(yàn)證子網(wǎng)絡(luò)的實(shí)體建立身份標(biāo)識(shí)并且分配安全的驗(yàn)證信息，以便檢測(cè)和控制網(wǎng)內(nèi)實(shí)體的通信報(bào)文。

(3)第三個(gè)階段，通信過(guò)程中檢測(cè)和控制網(wǎng)內(nèi)傳輸?shù)膱?bào)文，即利用上一個(gè)階段所建立的驗(yàn)證信息檢查報(bào)文的真?zhèn)危_定其是否為真實(shí)的實(shí)體發(fā)出的。

上述三個(gè)階段的身份驗(yàn)證機(jī)制可有效解決IPSec存在的一些不足之處。首先，不需要事先存在IP地址，因?yàn)樵诘诙€(gè)階段時(shí)可以為接入的網(wǎng)絡(luò)實(shí)體配置安全的IP地址。其次，第二個(gè)階段后，驗(yàn)證實(shí)體可利用報(bào)文發(fā)送實(shí)體特有的安全驗(yàn)證信息檢測(cè)接收?qǐng)?bào)文的真實(shí)性，提供可靠的數(shù)據(jù)源驗(yàn)證，有效檢測(cè)控制IP假冒行為，無(wú)需用戶(hù)過(guò)多參與，增加透明度。最后，驗(yàn)證實(shí)體和被驗(yàn)證實(shí)體間密鑰協(xié)商過(guò)程比較簡(jiǎn)單，可提高性能。

5 結(jié)束語(yǔ)

面向報(bào)文信息的網(wǎng)絡(luò)安全模型體現(xiàn)了端到端的安全思想，它只關(guān)注兩端通信實(shí)體間數(shù)據(jù)的安全傳輸，而忽略了端實(shí)體自身的安全性。雖然IPSec主要提供了基于密鑰的數(shù)據(jù)源驗(yàn)證服務(wù)，但并不能保證端實(shí)體的合法可信性，并且不能提供基于網(wǎng)絡(luò)設(shè)備特征信息的密鑰協(xié)商過(guò)程。

面向網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全模型體現(xiàn)了點(diǎn)到點(diǎn)的安全思想，它關(guān)注通信過(guò)程中的每個(gè)傳輸階段，保證每個(gè)階段數(shù)據(jù)發(fā)送實(shí)體都是合法可信。顯然，一開(kāi)始的傳輸階段的安全性最重要，可以在數(shù)據(jù)發(fā)源子網(wǎng)絡(luò)利用數(shù)據(jù)源驗(yàn)證服務(wù)檢測(cè)報(bào)文產(chǎn)生實(shí)體的身份真實(shí)性，及時(shí)有效地發(fā)現(xiàn)地址假冒行為。