解析IPSec VPN網絡安全體系

IPSec應用分析

目前建造虛擬專用網依據的主要國際標準有IPSec、L2TP、PPTP、L2F、SOCKS等。各種標準的側重點有所不同，其中IPSec是由IETF正式定制的開放性IP安全標準，是虛擬專網的基礎。實際上，IPV6版本就將IPSec作為其組成部分，而L2TP協議草案中也規定它（L2TP標準）必須以IPSec為安全基礎。

目前，采用IPSec標準的VPN技術已經基本成熟，得到國際上幾乎所有主流網絡和安全供應商的鼎力支持，并且正在不斷豐富完善。可以斷定，IPSec將成為未來相當一段時間內企業構筑VPN的主流標準，因此企業在構造VPN基礎設施 時應該首先考慮IPSec標準。

IPSec 的優勢

IPSec(IP Security)是IETF IPSec工作組為了在IP層提供通信安全而制訂的一整套協議標準，IPSec的結構文檔RFC2401定義了IPSec的基本結構，所有具體的實施方案均建立在它的基礎之上。

IPSec的主要特征在于它可以對所有IP級的通信進行加密和認證，正是這一點才使IPSec可以確保包括遠程登錄、客戶/服務器、電子郵件、文件傳輸及Web訪問在內多種應用程序的安全。盡管現在發行的許多Internet應用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護互聯網通信的安全套層協議（SSL），還有一部分產品支持保護Internet上信用卡交易的安全電子交易協議（SET）。然而，VPN需要的是網絡級的安全功能，這也正是IPSec所提供的。下面為IPSec的一些優點：

IPSec在傳輸層之下，對于應用程序來說是透明的。當在廣域網出口處安裝IPSec時，無需更改用戶或服務器系統中的軟件設置。即使在終端系統中執行IPSec，應用程序一類的上層軟件也不會被影響。

IPSec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。 如果需要的話，IPSec可以為個體用戶提供安全保障，這樣做就可以保護企業內部的敏感信息。

IPSec的原理

IPSec包括安全協議部分和密鑰協商部分，安全協議部分定義了對通信的各種保護方式；密鑰協商部分則定義了如何為安全協議協商保護參數，以及如何對通信實體的身份進行鑒別。IETF的IPSec工作組已經制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協議組成。即：認證協議頭（AH）、安全加載封裝（ESP）和互聯網密匙管理協議（IKMP）。

認證協議頭（AH）協議提供數據源認證，無連接的完整性，以及一個可選的抗重放服務。AH認證整個IP頭，不過由于AH不能加密數據包所加載的內容，因而它不保證任何的機密性。

安全加載封裝（ESP）協議通過對數據包的全部數據和加載內容進行全加密，來提供數據保密性、有限的數據流保密性，數據源認證，無連接的完整性，以及抗重放服務。和AH不同的是，ESP認證功能不對IP數據報頭中的源和目的以及其它域認證，這為ESP帶來了一定的靈活性，但也導致了它的弱點。

在IPSec中，AH和ESP是兩個獨立的協議，可以僅使用其中一個協議，也可以兩者同時使用。大部分的應用實例中都采用了ESP或同時使用ESP和AH，但對于某些僅需要保證完整性的應用（如股市行情的發送），也可僅使用AH。

IPSec支持預共享密鑰和自動協商兩種密鑰管理方式。預共享密鑰管理方式是指管理員使用自己的密鑰手工設置每個系統。這種方法在小型網絡環境和有限的安全需要時可以工作得很好。自動協商管理方式則能滿足其它所有的應用要求。使用自動協商管理方式，通訊雙方在建立安全連接（SA）時可以動態地協商本次會話所需的加密密鑰和其它各種安全參數，無須用戶的介入。

IPSec使用Internet密鑰交換(IKE)協議實現安全協議的自動安全參數協商，可協商的安全參數包括數據加密及鑒別算法、加密及鑒別的密鑰、通信的保護模式（傳輸或隧道模式）、密鑰的生存期等，這些安全參數的總體稱之為安全關聯（SA）。

IPSec協議族使用IKE密鑰交換協議來進行密鑰以及其它安全參數的協商。IKE通過兩個階段的協商來完成安全關聯（SA）的建立，第一階段，由IKE交換的發起方發起一個主模式交換或野蠻模式交換，交換的結果是建立一個名為ISAKMP SA的安全關聯；第二階段可由通信的任何一方發起一個快捷模式的消息交換序列，完成用于保護通信數據的IPSec SA的協商。

設計IPSec是為了給IP數據報提供高質量的、可互操作的、基于密碼學的安全性。因此，IPSec協議中涉及各種密碼算法，具體的加密和認證算法的選擇因IPSec的實現不同而不同，但為了保證互操作性，IPSec中規定了每個IPSec實現要強制實現的算法。

IPSec規范中要求強制實現的加密算法是CBC模式的DES和NULL算法，而認證算法是HMAC-MD5、HMAC-SHA-1和NULL認證算法。必須強調指出的是，高強度的密碼算法是國家專控商品，至今美國仍實行對加密長度超過128位的加密算法的出口限制。

我國頒布的《中華人民共和國商用密碼管理條例》中規定，“商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。”，“任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品”，因此在選擇VPN產品時，應采用經過國家密碼管理機構認可的產品。

IPSec的實現方式

IPSec的一個最基本的優勢是它可以在各種網絡訪問設備、主機服務器和工作站上完全實現，從而使其構成的安全通道幾乎可以延伸至網絡的任意位置。在網絡端，可以在路由器、防火墻、代理網關等設備中實現VPN網關；在客戶端，IPSec架構允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式在應用上提供更多的彈性：傳輸模式和隧道模式。

傳送模式通常當通訊發生在主機（客戶機或服務器）之間時使用。傳輸模式使用原始明文IP頭，AH或ESP被插在IP頭之后但在所有的傳輸層協議之前。由于沒有對原始IP頭進行加密，因此傳輸模式不能抗數據流量分析。

隧道模式通常當通訊雙方中有任一方是關聯到多臺主機的網絡訪問接入裝置時使用。在隧道模式下，AH或ESP被插在原始IP頭之前，同時生成一個新的IP頭，并用自己的地址作為源地址加入到新的IP頭。當隧道模式用于用戶終端設置時，它可以提供更多的便利來隱藏內部服務器主機和客戶機的地址。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]