IPSec應用分析

目前建造虛擬專用網(wǎng)依據(jù)的主要國際標準有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標準的側重點有所不同，其中IPSec是由IETF正式定制的開放性IP安全標準，是虛擬專網(wǎng)的基礎。實際上，IPV6版本就將IPSec作為其組成部分，而L2TP協(xié)議草案中也規(guī)定它（L2TP標準）必須以IPSec為安全基礎。

目前，采用IPSec標準的VPN技術已經(jīng)基本成熟，得到國際上幾乎所有主流網(wǎng)絡和安全供應商的鼎力支持，并且正在不斷豐富完善?？梢詳喽?，IPSec將成為未來相當一段時間內企業(yè)構筑VPN的主流標準，因此企業(yè)在構造VPN基礎設施 時應該首先考慮IPSec標準。 

IPSec 的優(yōu)勢 

IPSec(IP Security)是IETF IPSec工作組為了在IP層提供通信安全而制訂的一整套協(xié)議標準，IPSec的結構文檔RFC2401定義了IPSec的基本結構，所有具體的實施方案均建立在它的基礎之上。 

IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務器、電子郵件、文件傳輸及Web訪問在內多種應用程序的安全。盡管現(xiàn)在發(fā)行的許多Internet應用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡級的安全功能，這也正是IPSec所提供的。下面為IPSec的一些優(yōu)點： 

IPSec在傳輸層之下，對于應用程序來說是透明的。當在廣域網(wǎng)出口處安裝IPSec時，無需更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPSec，應用程序一類的上層軟件也不會被影響。 

IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。 如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內部的敏感信息。

IPSec的原理 

IPSec包括安全協(xié)議部分和密鑰協(xié)商部分，安全協(xié)議部分定義了對通信的各種保護方式；密鑰協(xié)商部分則定義了如何為安全協(xié)議協(xié)商保護參數(shù)，以及如何對通信實體的身份進行鑒別。IETF的IPSec工作組已經(jīng)制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協(xié)議組成。即：認證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密匙管理協(xié)議（IKMP）。 

認證協(xié)議頭（AH）協(xié)議提供數(shù)據(jù)源認證，無連接的完整性，以及一個可選的抗重放服務。AH認證整個IP頭，不過由于AH不能加密數(shù)據(jù)包所加載的內容，因而它不保證任何的機密性。 

安全加載封裝（ESP）協(xié)議通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內容進行全加密，來提供數(shù)據(jù)保密性、有限的數(shù)據(jù)流保密性，數(shù)據(jù)源認證，無連接的完整性，以及抗重放服務。和AH不同的是，ESP認證功能不對IP數(shù)據(jù)報頭中的源和目的以及其它域認證，這為ESP帶來了一定的靈活性，但也導致了它的弱點。 

在IPSec中，AH和ESP是兩個獨立的協(xié)議，可以僅使用其中一個協(xié)議，也可以兩者同時使用。大部分的應用實例中都采用了ESP或同時使用ESP和AH，但對于某些僅需要保證完整性的應用（如股市行情的發(fā)送），也可僅使用AH。 

IPSec支持預共享密鑰和自動協(xié)商兩種密鑰管理方式。預共享密鑰管理方式是指管理員使用自己的密鑰手工設置每個系統(tǒng)。這種方法在小型網(wǎng)絡環(huán)境和有限的安全需要時可以工作得很好。自動協(xié)商管理方式則能滿足其它所有的應用要求。使用自動協(xié)商管理方式，通訊雙方在建立安全連接（SA）時可以動態(tài)地協(xié)商本次會話所需的加密密鑰和其它各種安全參數(shù)，無須用戶的介入。 

IPSec使用Internet密鑰交換(IKE)協(xié)議實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商，可協(xié)商的安全參數(shù)包括數(shù)據(jù)加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式（傳輸或隧道模式）、密鑰的生存期等，這些安全參數(shù)的總體稱之為安全關聯(lián)（SA）。

IPSec協(xié)議族使用IKE密鑰交換協(xié)議來進行密鑰以及其它安全參數(shù)的協(xié)商。IKE通過兩個階段的協(xié)商來完成安全關聯(lián)（SA）的建立，第一階段，由IKE交換的發(fā)起方發(fā)起一個主模式交換或野蠻模式交換，交換的結果是建立一個名為ISAKMP SA的安全關聯(lián)；第二階段可由通信的任何一方發(fā)起一個快捷模式的消息交換序列，完成用于保護通信數(shù)據(jù)的IPSec SA的協(xié)商。 

設計IPSec是為了給IP數(shù)據(jù)報提供高質量的、可互操作的、基于密碼學的安全性。因此，IPSec協(xié)議中涉及各種密碼算法，具體的加密和認證算法的選擇因IPSec的實現(xiàn)不同而不同，但為了保證互操作性，IPSec中規(guī)定了每個IPSec實現(xiàn)要強制實現(xiàn)的算法。

IPSec規(guī)范中要求強制實現(xiàn)的加密算法是CBC模式的DES和NULL算法，而認證算法是HMAC-MD5、HMAC-SHA-1和NULL認證算法。必須強調指出的是，高強度的密碼算法是國家?？厣唐罚两衩绹詫嵭袑用荛L度超過128位的加密算法的出口限制。

我國頒布的《中華人民共和國商用密碼管理條例》中規(guī)定，“商用密碼技術屬于國家秘密。國家對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實行?？毓芾?。”，“任何單位或者個人只能使用經(jīng)國家密碼管理機構認可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品”，因此在選擇VPN產(chǎn)品時，應采用經(jīng)過國家密碼管理機構認可的產(chǎn)品。 

IPSec的實現(xiàn)方式 

IPSec的一個最基本的優(yōu)勢是它可以在各種網(wǎng)絡訪問設備、主機服務器和工作站上完全實現(xiàn)，從而使其構成的安全通道幾乎可以延伸至網(wǎng)絡的任意位置。在網(wǎng)絡端，可以在路由器、防火墻、代理網(wǎng)關等設備中實現(xiàn)VPN網(wǎng)關；在客戶端，IPSec架構允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式在應用上提供更多的彈性：傳輸模式和隧道模式。 

傳送模式通常當通訊發(fā)生在主機（客戶機或服務器）之間時使用。傳輸模式使用原始明文IP頭，AH或ESP被插在IP頭之后但在所有的傳輸層協(xié)議之前。由于沒有對原始IP頭進行加密，因此傳輸模式不能抗數(shù)據(jù)流量分析。 

隧道模式通常當通訊雙方中有任一方是關聯(lián)到多臺主機的網(wǎng)絡訪問接入裝置時使用。在隧道模式下，AH或ESP被插在原始IP頭之前，同時生成一個新的IP頭，并用自己的地址作為源地址加入到新的IP頭。當隧道模式用于用戶終端設置時，它可以提供更多的便利來隱藏內部服務器主機和客戶機的地址。 

【編輯推薦】

1. VLAN-VPN典型配置
2. 城域VPN融合業(yè)務平臺
3. 企業(yè)為什么需要SSL VPN
4. 企業(yè)網(wǎng)絡信息化應用的新方向 全方位VPN
5. VPN指南：新手、高手和IT專業(yè)人士，一個都不能少