淺析IPSec協(xié)議及安全聯(lián)盟

【摘 要】在網(wǎng)絡(luò)中，絕大多數(shù)數(shù)據(jù)的傳輸都是明文的，這樣就會(huì)存在很多潛在的危險(xiǎn)，比如：密碼、銀行帳戶的信息被竊取；用戶的身份被冒充等。用戶可以使用IPSec及安全聯(lián)盟對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)處理。這樣，就會(huì)使信息泄漏風(fēng)險(xiǎn)降低。

【關(guān)鍵詞】IPSec；安全聯(lián)盟

1.IPSec協(xié)議簡(jiǎn)介

IPSec協(xié)議族是IETF（Internet Engineering Task Force）制定的一系列協(xié)議，它為IP數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。特定的通信各方在IP層通過加密與數(shù)據(jù)源認(rèn)證等方式，來(lái)保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。

私有性（Confidentiality）指對(duì)用戶數(shù)據(jù)進(jìn)行加密保護(hù)，用密文的形式傳送。

完整性（Data integrity）指對(duì)接收的數(shù)據(jù)進(jìn)行認(rèn)證，以判定報(bào)文是否被篡改。

真實(shí)性（Data authentication）指認(rèn)證數(shù)據(jù)源，以保證數(shù)據(jù)來(lái)自真實(shí)的發(fā)送者。

防重放（Anti-replay）指防止惡意用戶通過重復(fù)發(fā)送捕獲到的數(shù)據(jù)包所進(jìn)行的攻擊，即接收方會(huì)拒絕舊的或重復(fù)的數(shù)據(jù)包。

IPSec通過認(rèn)證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)上述目標(biāo)。并且還可以通過因特網(wǎng)密鑰交換協(xié)議IKE（Internet Key Exchange）為IPSec提供自動(dòng)協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟的服務(wù)，以簡(jiǎn)化IPSec的使用和管理。

2.安全聯(lián)盟

IPSec在兩個(gè)端點(diǎn)之間提供安全通信，這兩個(gè)端點(diǎn)被稱為IPSec對(duì)等體。

安全聯(lián)盟（Security Association）是IPSec對(duì)等體之間對(duì)某些要素的約定。例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、密碼算法（DES和3DES）、特定數(shù)據(jù)流中保護(hù)數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。

安全聯(lián)盟是單向的。如果有兩個(gè)主機(jī)（A和B）使用ESP進(jìn)行安全通信，主機(jī)A就需要兩個(gè)SA，一個(gè)SA處理外發(fā)數(shù)據(jù)包，另一個(gè)SA處理進(jìn)入的數(shù)據(jù)包。同樣，主機(jī)B也需要兩個(gè)SA。如圖1所示。

安全聯(lián)盟還與協(xié)議相關(guān)。如果主機(jī)A和主機(jī)B同時(shí)使用AH和ESP進(jìn)行安全通信，對(duì)于主機(jī)A就需要四個(gè)SA，AH協(xié)議的兩個(gè)SA（出方向和入方向各一個(gè)）和ESP協(xié)議的兩個(gè)SA（出方向和入方向各一個(gè)）。同樣，主機(jī)B也需要四個(gè)SA。

安全聯(lián)盟由一個(gè)三元組來(lái)唯一標(biāo)識(shí)。這個(gè)三元組包括：安全參數(shù)索引SPI（Security Parameter Index）、目的IP地址、安全協(xié)議號(hào)（AH或ESP）。SPI是為唯一標(biāo)識(shí)SA而生成的一個(gè)32比特的數(shù)值，它在AH和ESP頭中傳輸。如圖2所示。

3.IPSec協(xié)議的封裝模式

IPSec協(xié)議有兩種封裝模式：

傳輸模式。在傳輸模式下，AH或ESP被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。

隧道模式。在隧道模式下，AH或ESP插在原始IP頭之前，另外生成一個(gè)新IP頭放到AH或ESP之前。

選擇隧道模式還是傳輸模式可以從以下方面考慮：

從安全性來(lái)講，隧道模式優(yōu)于傳輸模式。它可以完全地對(duì)原始IP數(shù)據(jù)報(bào)進(jìn)行認(rèn)證和加密，而且，可以使用IPSec對(duì)等體的IP地址來(lái)隱藏客戶機(jī)的IP地址。

從性能來(lái)講，隧道模式因?yàn)橛幸粋€(gè)額外的IP頭，所以它將比傳輸模式占用更多帶寬。

傳輸模式用于兩臺(tái)主機(jī)之間的通訊，或者是一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。在傳輸模式下，對(duì)報(bào)文進(jìn)行加密和解密的兩臺(tái)設(shè)備本身必須是報(bào)文的原始發(fā)送者和最終接收者。

通常，在兩個(gè)安全網(wǎng)關(guān)（路由器）之間的數(shù)據(jù)流量，絕大部分都不是安全網(wǎng)關(guān)本身的通訊量，因此在安全網(wǎng)關(guān)之間一般不使用傳輸模式，而總是使用隧道模式。在一個(gè)安全網(wǎng)關(guān)被加密的報(bào)文，只有另一個(gè)安全網(wǎng)關(guān)能夠解密。因此必須對(duì)IP報(bào)文進(jìn)行隧道封裝，即增加一個(gè)新的IP頭，進(jìn)行隧道封裝后的IP報(bào)文被發(fā)送到另一個(gè)安全網(wǎng)關(guān)，才能夠被解密。

4.總結(jié)

IPSec能夠允許系統(tǒng)、網(wǎng)絡(luò)的用戶或管理員控制對(duì)等體間安全服務(wù)。例如，某個(gè)組織的安全策略可能規(guī)定來(lái)自特定子網(wǎng)的數(shù)據(jù)流應(yīng)同時(shí)使用AH和ESP進(jìn)行保護(hù)，并使用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)3DES進(jìn)行加密；同時(shí)，安全策略也可能規(guī)定來(lái)自另一個(gè)站點(diǎn)的數(shù)據(jù)流只使用ESP保護(hù)，并僅使用DES加密。通過安全聯(lián)盟，IPSec能夠?qū)Σ煌臄?shù)據(jù)流提供不同級(jí)別的安全保護(hù)。

作者簡(jiǎn)介：

魏魯生，武漢海事局通信信息中心，關(guān)注方向：光纖通信和傳輸網(wǎng)絡(luò)應(yīng)用技術(shù)、UPS電源維護(hù)等以及海事信息化管理技術(shù)發(fā)展與應(yīng)用，湖北武漢合作路16號(hào)武漢海事局通信信息中心。