通信工程师考试互联网技术IPSec技术
摘要:通信工程师考试互联网技术IPSec技术:由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络很容易受到黑客、恶意软件和其他不轨行为的攻击所以网上信息的安全和保密就成为一个至关重要的问题。
5.2 IPSec技术
5.2.1 IPSec技术概述
由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络很容易受到黑客、恶意软件和其他不轨行为的攻击所以网上信息的安全和保密就成为一个至关重要的问题。一方面,如果在TCP或UDP层加密,那么通过截取IP层的数据同样可以获得机密倌息,如果在IP层使用加密和验证就比较安全了;另一方面,假如网络安全服务在较低层实现,那么溶要改动的应用程序就要少得多,而且IP网络攻击诸如IP欺骗、各种窃听行为等由于其简单易行,在网络攻击中占有非常大的比例,因此把安全功能定位在IP层次是比较合适的。
IPSec是一系列基于IPN络,由IETF正式制定的开放性IP安全标准,它是虚拟专用网(VPN)的基础(VPN也可以不用IPSec协议实现,但IPSec使用的较多)针对IP包本身并无任何安全特性,很容易被伪造、修改及窃取等问题,IPSec提供了有效保护IP数据包安全性的措施。它采用的具体保护形式有:数据起源地验证,无连接数据的完整性验证,数据内容的机密性、抗重播保护以及有限的数据流机密性保证等。另外,IPSec还制定了一套默认的、强制实施的加密和验证算法,以确保不同的实施方案之间可以互通。
根据用户的不同安全霜求,IPSec可在以下几种情况进行配置实施:主机之间、网络安全网关(如路山器或防火墙)之间以及主机与安全网关之间。RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上IPSec姑通过使用“封装安全载荷(Encapsu lating Security Payload,ESP)”或者“验证头(Authentication Header,AH)”来对IP数据包或上层协议进行保护的。其中,AH可验证数据的起源地,保障数据的完整性以及数据包的抗重播特性。ESP除具有AH的所有能力之外,还可选择保障数据的机密性,以及为数据流提供有限的机密性保证。
IPSec协议(包括AH和ESP)既可用来保护一个完整的IP载荷,也可用来保护某个1P栽荷的上层协议。为此IPSec定义了两种不同的数据传输模式:传送模式和隧道模式。其中,传送模式用来保护上层协议,而隧道模式则用来保护整个IP数据包。在传送模式中,IP头与上层协议头之间葙插入一个特殊的IPSec头(AH头或ESP头);而在隧道模式中,要保护的整个IP包都需封装到另一个IP数据包里,同时在外部与内部IP头之间插入一个IPSec头。两种IPSec协议(AH和ESP)均能同时以传送模式或隧道模式工作。这两种模式的比较如图5-1所示。
由构建方法所决定,对传送模式所保护的数据包而言,其通位终点必须是一个加密的终点。在这种情况下,有时也可用隧道模式来取代传送模式。而隧道模式所保护的IP包,通信终点是由受保护的内部IP头指定的地点,加密终点则是那些由外部IP头指定的地点。在IPSec处理结束的时候,安全网关会剥离出内部IP包,再将那个包转发到它最终的目的地。
IPSec提供了两种密钥管理机制以执行它所肩负的数据验证以及(或者)机密性保证任务:人工增加密钥的方式和采用IKE(InternetKeyExchange,互联网密钥交换)方式,后者动态地验证IPSec参与各方的身份、协商安全服务并生成共享密钥。采用人工增加密钥的方式难免会在扩展(伸缩)能力上大打折扣,因此一般都采用IKE方式来进行动态协商。
IPSec中有两个重要的数据库,分别是安全联盟数据库(Security Association Database,SAD)和安全策略数据库(Security Policy Database,SPD)。SAD中的每-个元组是一个安全联盟(Security Association,SA),它是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等。SPD中的每一个元组是一条策略,策略是指应用于数据包的安全服务以及如何对数据包进行处理,是人机之间的安全接口,包括策略定义、表示、管理以及策略与IPSec系统各组件间的交互。通常都是将两个数据库联合使用。对于发送方,每个SPD的元组都有指针指向相关的SAD的元组。如果一个SPD的元组没有指向适合发送包的SA,那么将会创建新的SA或SA束,并将SPD的元组和新的SA元组链接起来。对于接收方,通过包头信息包含的IP目的地址、IP安全协议类型(AH或ESP)和SPI(Security Parameters Index,安全参数索引)在SAD中查找对应的SA。
返回目录
编辑特别推荐
延伸阅读
通信工程师微信公众号
通信工程师备考资料免费领取
去领取
距离2025 通信工程师考试
还有- 1
- 3
- 1
专注在线职业教育24年
APP 
微信群 
扫描二维码
扫描二维码
