IPsec(IP Security)是IETF制定的三層隧道加密協定,它為Internet上傳輸的資料提供了高品質的、可互操作的、基于密碼學的安全保證。特定的通信方之間在IP層通過加密與資料源認證等方式,提供了以下的安全服務: 資料機密性(Confidentiality):IPsec發送方在通過網絡傳輸包前對包進行加密。 資料完整性(Data Integrity):IPsec接收方對發送方發送來的包進行認證,以確定資料在傳輸過程中沒有被篡改。 資料來源認證(Data Authentication):IPsec在接收端可以認證發送IPsec封包的發送端是否合法。 防重播(Anti-Replay):IPsec接收方可檢測并拒絕接收過時或重複的封包。
IPsec具有以下優點: 支援IKE(Internet Key Exchange,網際網路密鑰交換),可實作密鑰的自動協商功能,減少了密鑰協商的開銷。可以通過IKE建立和維護SA的服務,簡化了IPsec的使用和管理。 所有使用IP協定進行資料傳輸的應用系統和服務都可以使用IPsec,而不必對這些應用系統和服務本身做任何修改。 對資料的加密是以資料包為機關的,而不是以整個資料流為機關,這不僅靈活而且有助于進一步提高IP資料包的安全性,可以有效防範網絡攻擊。
的協定實作IPsec協定不是一個單獨的協定,它給出了應用于IP層上網絡資料安全的一整套體系結構,包括網絡認證協定AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,網際網路密鑰交換)和用于網絡認證及加密的一些算法等。其中,AH協定和ESP協定用于提供安全服務,IKE協定用于密鑰交換。IPsec提供了兩種安全機制:認證和加密。認證機制使IP通信的資料接收方能夠确認資料發送方的真實身份以及資料在傳輸過程中是否遭篡改。加密機制通過對資料進行加密運算來保證資料的機密性,以防資料在傳輸過程中被竊聽。IPsec協定中的AH協定定義了認證的應用方法,提供資料證和完整性保證;ESP協定定義了加密和可選認證的應用方法,提供資料可靠性保證。
IPSEC的基本概念
IPsec在兩個端點之間提供安全通信,端點被稱為IPsec對等體。SA是IPsec的基礎,也是IPsec的本質。SA是通信對等體間對某些要素的約定,例如,使用哪種協定(AH、ESP還是兩者結合使用)、協定的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護資料的共享密鑰以及密鑰的生存周期等。建立SA的方式有手工配置和IKE自動協商兩種。
SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個SA來分别對兩個方向的資料流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協定來建構一個獨立的SA。
SA由一個三元組來唯一辨別,這個三元組包括SPI(Security Parameter Index,安全參數索引)、目的IP位址、安全協定号(AH或ESP)。
SPI是用于唯一辨別SA的一個32比特數值,它在AH和ESP頭中傳輸。在手工配置SA時,需要手工指定SPI的取值。使用IKE協商産生SA時,SPI将随機生成。通過IKE協商建立的SA具有生存周期,手工方式建立的SA永不老化。IKE協商建立的SA的生存周期有兩種定義方式:基于時間的生存周期,定義了一個SA從建立到失效的時間; 基于流量的生存周期,定義了一個SA允許處理的最大流量。生存周期到達指定的時間或指定的流量,SA就會失效。SA失效前,IKE将為IPsec協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,繼續使用舊的SA保護通信。在新的SA協商好之後,則立即采用新的SA保護通信。
IPsec有如下兩種工作模式:
隧道(tunnel)模式:使用者的整個IP資料包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的使用者資料被封裝在一個新的IP資料包中。通常,隧道模式應用在兩個安全網關之間的通訊。
傳輸(transport)模式:隻是傳輸層資料被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的使用者資料被放置在原IP標頭後面。通常,傳輸模式應用在兩台主機之間的通訊,或一台主機和一個安全網關之間的通訊。
二、拓撲圖
防火牆:
R1
R2
R3