安全協(xié)議IPSEC的 安全架構(gòu).docx

安全協(xié)議IPSEC的 安全架構(gòu)、應用及展望二(圖)七、IPSec在VPN上的應用 在了解IPSec協(xié)議的工作原理后，我們來看它不同的用場合，值得注意的是在網(wǎng)絡層提供安全機制，對應用層而言是完全透通的(trarsparent)。IPSec可以裝設在gateway或主機上，或是兩者同時，若IPSec裝在gateway上，則可在不安全的Internet上提供一個安全的信道，若是裝在主機，則能提供主機端對端的安全性。分別是gateway對gateway，主機對gateway，主機對主機三種可能的應用狀況。IPSec的優(yōu)點IPSec在傳輸層之下，對于應用程序來說是透明的。當在路由器或防火墻上安裝IPSec時，無需更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPSec，應用程序一類的上層軟件也不會被影響。IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護企業(yè)內(nèi)部的敏感信息。IPSec正向Internet靠攏。已經(jīng)有一些機構(gòu)部分或全部執(zhí)行了IPSec。IAB的前任總裁Christian Huitema認為，關于如何保證Internet安全的討論是他所見過的最激烈的討論之一。討論的話題之一就是安全是否在恰當?shù)膮f(xié)議層上被使用。想要提供IP級的安全，IPSec必須成為配置在所有相關平臺（包括Windows NT，Unix和Macintosh系統(tǒng)）的網(wǎng)絡代碼中的一部分。實際上，現(xiàn)在發(fā)行的許多Internet應用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡級的功能，這也正是IPSec所提供的。VPN工作原理IPSec提供三種不同的形式來保護通過公有或私有IP網(wǎng)絡來傳送的私有數(shù)據(jù)：認證：可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。數(shù)據(jù)完整：保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。機密性：使相應的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。在IPSec由三個基本要素來提供以上三種保護形式：認證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密鑰管理協(xié)議（IKMP）。認證協(xié)議頭和安全加載封裝可以通過分開或組合使用來達到所希望的保護等級。對于VPN來說，認證和加密都是必需的，因為只有雙重安全措施才能確保未經(jīng)授權的用戶不能進入VPN，同時，Internet上的竊聽者無法讀取VPN上傳輸?shù)男畔?。大部分的應用實例中都采用了ESP而不是AH。密鑰交換功能允許手工或自動交換密鑰。當前的IPSec支持數(shù)據(jù)加密標準（DES），但也可以使用其它多種加密算法。因為人們對DES的安全性有所懷疑，所以用戶會選擇使用Triple-DES（即三次DES加密）。至于認證技術，將會推出一個叫作HMAC（MAC 即信息認證代碼Message Authentication Code）的新概念。認證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個密碼。正如整個名稱所示，AH通過一個只有密鑰持有人才知道的數(shù)字簽名來對用戶進行認證。這個簽名是數(shù)據(jù)包通過特別的算法得出的獨特結(jié)果；AH還能維持數(shù)據(jù)的完整性，因為在傳輸過程中無論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。不過由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機密性。兩個最普遍的AH標準是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過最高到160位密匙提供更強的保護。安全加載封裝（ESP）通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容，因為只有受信任的用戶擁有密匙打開內(nèi)容。ESP也能提供認證和維持數(shù)據(jù)的完整性。最主要的ESP標準是數(shù)據(jù)加密標準（DES），DES最高支持56位的密匙，而Triple-DES使用三套密匙加密，那就相當于使用最高到168位的密匙。由于ESP實際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時間，從而導致性能下降。密鑰管理包括密鑰確定和密鑰分發(fā)兩個方面，最多需要四個密鑰：AH和ESP各兩個發(fā)送和接收密鑰。密鑰本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密鑰可以表示為5F39DA752E0C25B4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密鑰（DES）足夠滿足大多數(shù)商業(yè)應用了。密鑰管理包括手工和自動兩種方式。人工手動管理方式是指管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設置每個系統(tǒng)。這種方法在小型網(wǎng)絡環(huán)境中使用比較實際。手工管理系統(tǒng)在有限的安全需要可以工作得很好。使用手工管理系統(tǒng)，密鑰由管理站點確定然后分發(fā)到所有的遠程用戶。真實的密鑰可以用隨機數(shù)字生成器或簡單的任意拼湊計算出來，每一個密鑰可以根據(jù)集團的安全政策進行修改。自動管理系統(tǒng)能滿足其他所有的應用要求。使用自動管理系統(tǒng)，可以動態(tài)地確定和分發(fā)密鑰，顯然和名稱一樣，是自動的。自動管理系統(tǒng)具有一個中央控制點，集中的密鑰管理者可以令自己更加安全，最大限度的發(fā)揮IPSec的效用。 另一方面，自動管理系統(tǒng)可以隨時建立新的SA密鑰，并可以對較大的分布式系統(tǒng)上使用密鑰進行定期的更新。自動管理模式是很有彈性的，但需要花費更多的時間及精力去設置，同時，還需要使用更多的軟件。IPSec的自動管理密鑰協(xié)議的默認名字是ISAKMP/Oakley?；ヂ?lián)網(wǎng)安全組織及密鑰管理協(xié)議（Internet Security Association and Key Management Protocol ISAKMP）對互聯(lián)網(wǎng)密鑰管理的架構(gòu)以及特定的協(xié)議提供支持。Oakley 密鑰使用的協(xié)議基于Diffle-Hellman 算法，但它也提供額外的安全功能。特別是Oakley包括認證用戶的機制。IPSec的實現(xiàn)方式IPSec的一個最基本的優(yōu)點是它可以在共享網(wǎng)絡訪問設備，甚至是所有的主機和服務器上完全實現(xiàn)，這很大程度避免了升級任何網(wǎng)絡相關資源的需要。在客戶端，IPSec架構(gòu)允許使用在遠程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機和工作站。通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。IPSec數(shù)據(jù)包可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用。傳輸模式通常當ESP在一臺主機（客戶機或服務器）上實現(xiàn)時使用，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。隧道模式通常當ESP在關聯(lián)到多臺主機的網(wǎng)絡訪問介入裝置實現(xiàn)時使用，隧道模式處理整個IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內(nèi)部服務器主機和客戶機的地址。ESP支持傳輸模式，這種方式保護了高層協(xié)議。傳輸模式也保護了IP包的內(nèi)容，特別是用于兩個主機之間的端對端通訊（例如，客戶與服務器，或是兩臺工作站）。傳輸模式中的ESP加密及有時候會認證IP包內(nèi)容，但不認證IP的包頭。這種配置對于裝有IPSec的小型網(wǎng)絡特別有用。但是，要全面實施VPN，使用隧道模式會更有效。ESP也支持隧道模式，保護了整個IP包。為此，IP包在添加了ESP字段后，整個包以及包的安全字段被認為是新的IP包外層內(nèi)容，附有新的IP外層包頭。原來的（及內(nèi)層）包通過隧道從一個IP網(wǎng)絡起點傳輸?shù)搅硪粋€IP網(wǎng)點，中途的路由器可以檢查IP的內(nèi)層包頭。因為原來的包已被打包，新的包可能有不同的源地址及目的地址，以達到安全的目的。隧道模式被用在兩端或是一端是安全網(wǎng)關的架構(gòu)中，例如裝有IPSec的路由器或防火墻。使用了隧道模式，防火墻內(nèi)很多主機不需要安裝IPSec 也能安全地通信。這些主機所生成的未加保護的網(wǎng)包，經(jīng)過外網(wǎng)，使用隧道模式的安全組織規(guī)定（即SA，發(fā)送者與接收者之間的單向關系，定義裝在本地網(wǎng)絡邊緣的安全路由器或防火墻中的IPSec軟件IP交換所規(guī)定的參數(shù)）傳輸。以下是隧道模式的IPSec運作的例子。某網(wǎng)絡的主機甲生成一個IP包，目的地址是另一個網(wǎng)中的主機乙。這個包從起始主機被發(fā)送到主機甲的網(wǎng)絡邊緣的安全路由器或防火墻。防火墻把所有出去的包過濾，看看有哪些包需要進行IPSec的處理。如果這個從甲到乙的包需要使用IPSec，防火墻就進行IPSec的處理，并把網(wǎng)包打包，添加外層IP包頭。 這個外層包頭的源地址是防火墻，而目的地址可能是主機乙的網(wǎng)絡邊緣的防火墻?，F(xiàn)在這個包被傳送到主機乙的防火墻，中途的路由器只檢查外層的IP包頭。主機乙網(wǎng)絡的防火墻會把外層IP包頭除掉，把IP內(nèi)層發(fā)送到主機乙去。IPSec 及VPN由于企業(yè)及政府用戶需要把它們的專用WAN/LAN 架構(gòu)與互聯(lián)網(wǎng)連接，以便訪問互聯(lián)網(wǎng)的服務，所以他們非常熱衷于部署安全的IP。用戶需要把它們的網(wǎng)絡與互聯(lián)網(wǎng)分隔，但同時要在網(wǎng)上發(fā)送及接收網(wǎng)包。安全的IP就可以提供網(wǎng)上的認證及隱私機