浅析IPSec协议及安全联盟

《浅析IPSec协议及安全联盟》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、浅析IPSec协议及安全联盟【摘要】在网络屮，绝大多数数据的传输都是明文的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取；用户的身份被冒充等。用户可以使用IPSec及安全联盟对传输的数据进行保护处理。这样，就会使信息泄漏风险降低。【关键词】IPSec；安全联盟1.IPSec协议简介IPSec协议族是IETF(InternetEngineeringTaskForce)制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信各方在IP层通过加密与数据源认证等方式，来

2、保证数据报在网络上传输时的私冇性、完整性、真实性和防重放。私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送。完整性(Dataintegrity)指对接收的数据进行认证，以判定报文是杏被篡改。真实性(Dataauthentication)指认证数据源，以保证数据來自真实的发送者。防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。IPSec通过认证头AH(AuthenticationHeader)和封装安全载荷E

3、SP（EncapsulatingSecurityPayload）这两个安全协议来实现上述目标。并且还可以通过因特网密钥交换协议IKE（InternetKeyExchange）为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。1.安全联盟IPSec在两个端点之间提供安全通信，这两个端点被称为IPSec对等体。安全联盟（SecurityAssociation）是IPSec对等体之间对某些要素的约定。例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和

4、隧道模式）、密码算法（DES和3DES）、特定数据流中保护数据的共享密钥以及密钥的生存周期等。安全联盟是单向的。如果有两个主机（A和B）使用ESP进行安全通信，主机A就需要两个SA,—个SA处理外发数据包，另一个SA处理进入的数据包。同样，主机B也需要两个SA。如图1所示。安全联盟还与协议相关。如果主机A和主机B同时使用AH和ESP进行安全通信，对于主机A就需要四个SA,All协议的两个SA（出方向和入方向各一个）和ESP协议的两个SA（出方向和入方向各一个）。同样，主机B也需要四个SA。安全联盟由一个三元组来

5、唯一标识。这个三元组包括：安全参数索引SPI（SecurityParameterIndex目的IP地址、安全协议号（AH或ESP）。SPI是为唯一标识SA而生成的一个32比特的数值，它在All和ESP头中传输。如图2所示。1.IPSec协议的封装模式IPSec协议有两种封装模式：传输模式。在传输模式下，AH或ESP被插入到IP头之后但在所有传输层协议之前，或所有其他IPSec协议之前。隧道模式。在隧道模式下，AH或ESP插在原始IP头Z前，另外生成一个新IP头放到AH或ESP之前。选释隧道模式还是传输模式可以从

6、以下方面考虑：从安全性來讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行认证和加密，而且，可以使用IPSec对等体的TP地址来隐藏客户机的IP地址。从性能來讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带宽。传输模式用于两台主机之间的通讯，或者是一台主机和一个安全网关之间的通讯。在传输模式下，对报文进行加密和解密的两台设备木身必须是报文的原始发送者和最终接收者。通常，在两个安全网关（路由器）之间的数据流量，绝大部分都不是安全网关本身的通讯量，因此在安全网关之间一般不使用传输模式，而总是

7、使用隧道模式。在一个安全网关被加密的报文，只冇另-个安全网关能够解密。因此必须对IP报文进行隧道封装，即增加一个新的IP头，进行隧道封装后的IP报文被发送到另一个安全网关，才能够被解密。1.总结IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务。例如，某个组织的安全策略可能规定來自特定子网的数据流应同时使用All和ESP进行保护，并使用三重数据加密标准3DES进行加密；同时，安全策略也可能规定来自另一个站点的数据流只使用ESP保护，并仅使用DES加密。通过安全联盟，TPSec能够对不同的数据流提供不

8、同级别的安全保护。作者简介：魏鲁生，武汉海事局通信信息中心，关注方向：光纤通信和传输网络应用技术、UPS电源维护等以及海事信息化管理技术发展与应用，湖北武汉合作路16号武汉海事局通信信息中心。