通信工程師考試互聯(lián)網(wǎng)技術(shù)IPSec技術(shù)

　在線輔導　面授招生　考試大綱　指定教材　報名時間

5.2 IPSec技術(shù)
5.2.1 IPSec技術(shù)概述
由于計算機網(wǎng)絡具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征，致使網(wǎng)絡很容易受到黑客、惡意軟件和其他不軌行為的攻擊所以網(wǎng)上信息的安全和保密就成為一個至關重要的問題。一方面，如果在TCP或UDP層加密，那么通過截取IP層的數(shù)據(jù)同樣可以獲得機密倌息，如果在IP層使用加密和驗證就比較安全了；另一方面，假如網(wǎng)絡安全服務在較低層實現(xiàn)，那么溶要改動的應用程序就要少得多，而且IP網(wǎng)絡攻擊諸如IP欺騙、各種竊聽行為等由于其簡單易行，在網(wǎng)絡攻擊中占有非常大的比例，因此把安全功能定位在IP層次是比較合適的。
IPSec是一系列基于IPN絡，由IETF正式制定的開放性IP安全標準，它是虛擬專用網(wǎng)(VPN)的基礎（VPN也可以不用IPSec協(xié)議實現(xiàn)，但IPSec使用的較多）針對IP包本身并無任何安全特性，很容易被偽造、修改及竊取等問題，IPSec提供了有效保護IP數(shù)據(jù)包安全性的措施。它采用的具體保護形式有：數(shù)據(jù)起源地驗證，無連接數(shù)據(jù)的完整性驗證，數(shù)據(jù)內(nèi)容的機密性、抗重播保護以及有限的數(shù)據(jù)流機密性保證等。另外，IPSec還制定了一套默認的、強制實施的加密和驗證算法，以確保不同的實施方案之間可以互通。
根據(jù)用戶的不同安全霜求，IPSec可在以下幾種情況進行配置實施：主機之間、網(wǎng)絡安全網(wǎng)關（如路山器或防火墻）之間以及主機與安全網(wǎng)關之間。RFC2401定義了IPSec的基本結(jié)構(gòu)，所有具體的實施方案均建立在它的基礎之上IPSec姑通過使用“封裝安全載荷（Encapsu lating Security Payload,ESP)”或者“驗證頭（Authentication Header,AH)”來對IP數(shù)據(jù)包或上層協(xié)議進行保護的。其中，AH可驗證數(shù)據(jù)的起源地，保障數(shù)據(jù)的完整性以及數(shù)據(jù)包的抗重播特性。ESP除具有AH的所有能力之外，還可選擇保障數(shù)據(jù)的機密性，以及為數(shù)據(jù)流提供有限的機密性保證。
IPSec協(xié)議（包括AH和ESP)既可用來保護一個完整的IP載荷，也可用來保護某個1P栽荷的上層協(xié)議。為此IPSec定義了兩種不同的數(shù)據(jù)傳輸模式：傳送模式和隧道模式。其中，傳送模式用來保護上層協(xié)議，而隧道模式則用來保護整個IP數(shù)據(jù)包。在傳送模式中，IP頭與上層協(xié)議頭之間葙插入一個特殊的IPSec頭（AH頭或ESP頭)；而在隧道模式中，要保護的整個IP包都需封裝到另一個IP數(shù)據(jù)包里，同時在外部與內(nèi)部IP頭之間插入一個IPSec頭。兩種IPSec協(xié)議（AH和ESP)均能同時以傳送模式或隧道模式工作。這兩種模式的比較如圖5-1所示。

由構(gòu)建方法所決定，對傳送模式所保護的數(shù)據(jù)包而言，其通位終點必須是一個加密的終點。在這種情況下，有時也可用隧道模式來取代傳送模式。而隧道模式所保護的IP包，通信終點是由受保護的內(nèi)部IP頭指定的地點，加密終點則是那些由外部IP頭指定的地點。在IPSec處理結(jié)束的時候，安全網(wǎng)關會剝離出內(nèi)部IP包，再將那個包轉(zhuǎn)發(fā)到它最終的目的地。
IPSec提供了兩種密鑰管理機制以執(zhí)行它所肩負的數(shù)據(jù)驗證以及（或者）機密性保證任務：人工增加密鑰的方式和采用IKE(InternetKeyExchange,互聯(lián)網(wǎng)密鑰交換）方式，后者動態(tài)地驗證IPSec參與各方的身份、協(xié)商安全服務并生成共享密鑰。采用人工增加密鑰的方式難免會在擴展（伸縮）能力上大打折扣，因此一般都采用IKE方式來進行動態(tài)協(xié)商。
IPSec中有兩個重要的數(shù)據(jù)庫，分別是安全聯(lián)盟數(shù)據(jù)庫（Security Association Database，SAD)和安全策略數(shù)據(jù)庫（Security Policy Database,SPD)。SAD中的每-個元組是一個安全聯(lián)盟（Security Association,SA),它是構(gòu)成IPSec的基礎，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它決定了用來保護數(shù)據(jù)包安全的IPSec協(xié)議、轉(zhuǎn)碼方式、密鑰以及密鑰的有效存在時間等。SPD中的每一個元組是一條策略，策略是指應用于數(shù)據(jù)包的安全服務以及如何對數(shù)據(jù)包進行處理，是人機之間的安全接口，包括策略定義、表示、管理以及策略與IPSec系統(tǒng)各組件間的交互。通常都是將兩個數(shù)據(jù)庫聯(lián)合使用。對于發(fā)送方，每個SPD的元組都有指針指向相關的SAD的元組。如果一個SPD的元組沒有指向適合發(fā)送包的SA，那么將會創(chuàng)建新的SA或SA束，并將SPD的元組和新的SA元組鏈接起來。對于接收方，通過包頭信息包含的IP目的地址、IP安全協(xié)議類型（AH或ESP)和SPI(Security Parameters Index,安全參數(shù)索引）在SAD中查找對應的SA。

返回目錄 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦

中級通信專業(yè)實務 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務傳輸與接入教程匯總

通信專業(yè)實務考試設備與環(huán)境教程匯總

通信專業(yè)實務考試交換技術(shù)教程匯總