IPSec 提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务。弥补了由于 TCP/IP 协议体系自身带来的安全漏洞
IPSec 主要定义了以下三个相互关联的技术:
(1) Authentication Header(AH) :认证 IP 数据包,也就是将每个数据包中的数据和一个变化的数字签字结合起来,使得通讯一方确认发送数据的另一方的身份,并且确认数据在传输过程中没有被纂改过。
(2) Encapsulation Security Payload(ESP) : 使用硬件对数据包中的数据(包括敏感的 IP 地址)进行加密,这样,象 Sniffer 这样的网络监听软件都无法得到任何有用的信息。
(3)Internet Key Exchange(IKE) :一种功能强大的、灵活的协商协议 , 使得 VPN 节点之间达成安全通信的协定,如认证方法,加密方法,所用的密钥,密钥的使用期限,并允许智能的、安全密钥交换。
建立一个标准的 IPSEC VPN 一般需要几个过程:建立 SA 、隧道封装、协商 IKE 、数据加密和验证。
两台 APN 在交换数据之前,必须首先建立某种约定,这种约定,称为 “ 安全关联 ” ,指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台 APN 之间能够安全地交换一套密钥,以便在它们的连接中使用。
Internet 密钥交换
Internet 工程任务组 IETF 制定的安全关联标准法和密钥交换解决方案 --IKE ( Internet 密钥交换)负责这些任务,它提供一种方法供两台计算机建立安全关联 (SA) 。 SA 对两台计算机之间的策略协议进行编码,指定它们将使用哪些算法和什么样的密钥长度,以及实际的密钥本。
IKE 主要完成两个作用:
安全关联的集中化管理,减少连接时间
密钥的生成和管理
IPSec 机制中, ESP 封装尤为重要。 ESP 有两种工作模式:传输模式( Transport Mode )和隧道模式( Tunneling Mode )。
1 .传输模式
传输模式的工作原理是在 IP 包的包头与数据报之间插入一个 ESP 头,并将数据报进行加密,然后在 Internet 网上传输。这种模式的特点是保留了原 IP 头信息,即信源 / 宿地址不变,所有安全相关信息包括在 ESP 头中。传输双方依此进行安全封装传输和折封还原。 ESP 传输模式适用于主机与主机的安全通信。显然这种安全方式可将通信两端由源到宿的基于虚拟连接的传输信息进行加密。
2 .隧道模式
ESP 隧道模式的工作原理是先将 IP 数据包整个进行加密后再加上 ESP 头和新的 IP 头,这个新的 IP 头中包含有隧道源 / 宿的地址。当通过 ESP 隧道的数据包到达目的网关(即隧道的另一端)后,利用 ESP 头中的安全相关信息对加密过的原 IP 包进行安全相关处理,将已还原的高层数据按原 IP 头标明的 IP 地址递交,以完成信源 —— 信宿之间的安全传输。显然,这种安全相关对于源 / 宿地址来说应是双向的。 ESP 隧道模式可用于下列情况的安全服务:
1) 用于网关与网关之间保护内部网络。通过配置,一个网关可与多个网关建立 IPSec 的安全互联,从而实现具有相同安全策略的 VPN 。这种借助于安全关联的可配置保护模式,可以使得内部一些主机通过网关 —— 网关的 IPSec 隧道,另一些主机虽通过网关 —— 网关进行 Internet 通信,但并不经过 IPSec 隧道。这种 VPN 就有了应用的灵活性。
2) 用于网关与主机或主机与网关之间的安全保护, IPSec 隧道建在网关与主机之间。其中通过配有 IPSec 模块的安全网关保护一个内部网络,而另一侧保护的是一台主机。
|