IPSec应用分析
目前建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。各种标准的侧重点有所不同,其中IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础。实际上,IPV6版本就将IPSec作为其组成部分,而L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。
目前,采用IPSec标准的VPN技术已经基本成熟,得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。可以断定,IPSec将成为未来相当一段时间内企业构筑VPN的主流标准,因此企业在构造VPN基础设施 时应该首先考虑IPSec标准。
IPSec 的优势
IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如,Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。然而,VPN需要的是网络级的安全功能,这也正是IPSec所提供的。下面为IPSec的一些优点:
IPSec在传输层之下,对于应用程序来说是透明的。当在广域网出口处安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。 如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
IPSec的原理
IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。
认证协议头(AH)协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
安全加载封装(ESP)协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性,但也导致了它的弱点。
在IPSec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH,但对于某些仅需要保证完整性的应用(如股市行情的发送),也可仅使用AH。
IPSec支持预共享密钥和自动协商两种密钥管理方式。预共享密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式,通讯双方在建立安全连接(SA)时可以动态地协商本次会话所需的加密密钥和其它各种安全参数,无须用户的介入。
IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。
IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMP SA的安全关联;第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。
设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此,IPSec协议中涉及各种密码算法,具体的加密和认证算法的选择因IPSec的实现不同而不同,但为了保证互操作性,IPSec中规定了每个IPSec实现要强制实现的算法。
IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法,而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。必须强调指出的是,高强度的密码算法是国家专控商品,至今美国仍实行对加密长度超过128位的加密算法的出口限制。
我国颁布的《中华人民共和国商用密码管理条例》中规定,“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”,“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”,因此在选择VPN产品时,应采用经过国家密码管理机构认可的产品。
IPSec的实现方式
IPSec的一个最基本的优势是它可以在各种网络访问设备、主机服务器和工作站上完全实现,从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端,可以在路由器、防火墙、代理网关等设备中实现VPN网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性:传输模式和隧道模式。
传送模式通常当通讯发生在主机(客户机或服务器)之间时使用。传输模式使用原始明文IP头,AH或ESP被插在IP头之后但在所有的传输层协议之前。由于没有对原始IP头进行加密,因此传输模式不能抗数据流量分析。
隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下,AH或ESP被插在原始IP头之前,同时生成一个新的IP头,并用自己的地址作为源地址加入到新的IP头。当隧道模式用于用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
【编辑推荐】
