安全協(xié)議IPSEC的 安全架構(gòu).docx

安全協(xié)議IPSEC的 安全架構(gòu)、應(yīng)用及展望二(圖)七、IPSec在VPN上的應(yīng)用 在了解IPSec協(xié)議的工作原理后，我們來(lái)看它不同的用場(chǎng)合，值得注意的是在網(wǎng)絡(luò)層提供安全機(jī)制，對(duì)應(yīng)用層而言是完全透通的(trarsparent)。IPSec可以裝設(shè)在gateway或主機(jī)上，或是兩者同時(shí)，若IPSec裝在gateway上，則可在不安全的Internet上提供一個(gè)安全的信道，若是裝在主機(jī)，則能提供主機(jī)端對(duì)端的安全性。分別是gateway對(duì)gateway，主機(jī)對(duì)gateway，主機(jī)對(duì)主機(jī)三種可能的應(yīng)用狀況。IPSec的優(yōu)點(diǎn)IPSec在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。當(dāng)在路由器或防火墻上安裝IPSec時(shí)，無(wú)需更改用戶(hù)或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPSec，應(yīng)用程序一類(lèi)的上層軟件也不會(huì)被影響。IPSec對(duì)終端用戶(hù)來(lái)說(shuō)是透明的，因此不必對(duì)用戶(hù)進(jìn)行安全機(jī)制的培訓(xùn)。如果需要的話(huà)，IPSec可以為個(gè)體用戶(hù)提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。IPSec正向Internet靠攏。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了IPSec。IAB的前任總裁Christian Huitema認(rèn)為，關(guān)于如何保證Internet安全的討論是他所見(jiàn)過(guò)的最激烈的討論之一。討論的話(huà)題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。想要提供IP級(jí)的安全，IPSec必須成為配置在所有相關(guān)平臺(tái)（包括Windows NT，Unix和Macintosh系統(tǒng)）的網(wǎng)絡(luò)代碼中的一部分。實(shí)際上，現(xiàn)在發(fā)行的許多Internet應(yīng)用軟件中已包含了安全特征。例如，Netscape Navigator和Microsoft Internet Explorer支持保護(hù)互聯(lián)網(wǎng)通信的安全套層協(xié)議（SSL），還有一部分產(chǎn)品支持保護(hù)Internet上信用卡交易的安全電子交易協(xié)議（SET）。然而，VPN需要的是網(wǎng)絡(luò)級(jí)的功能，這也正是IPSec所提供的。VPN工作原理IPSec提供三種不同的形式來(lái)保護(hù)通過(guò)公有或私有IP網(wǎng)絡(luò)來(lái)傳送的私有數(shù)據(jù)：認(rèn)證：可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時(shí)可以確定申請(qǐng)發(fā)送者在實(shí)際上是真實(shí)發(fā)送者，而不是偽裝的。數(shù)據(jù)完整：保證數(shù)據(jù)從原發(fā)地到目的地的傳送過(guò)程中沒(méi)有任何不可檢測(cè)的數(shù)據(jù)丟失與改變。機(jī)密性：使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無(wú)意獲取數(shù)據(jù)的接收者無(wú)法獲知數(shù)據(jù)的真正內(nèi)容。在IPSec由三個(gè)基本要素來(lái)提供以上三種保護(hù)形式：認(rèn)證協(xié)議頭（AH）、安全加載封裝（ESP）和互聯(lián)網(wǎng)密鑰管理協(xié)議（IKMP）。認(rèn)證協(xié)議頭和安全加載封裝可以通過(guò)分開(kāi)或組合使用來(lái)達(dá)到所希望的保護(hù)等級(jí)。對(duì)于VPN來(lái)說(shuō)，認(rèn)證和加密都是必需的，因?yàn)橹挥须p重安全措施才能確保未經(jīng)授權(quán)的用戶(hù)不能進(jìn)入VPN，同時(shí)，Internet上的竊聽(tīng)者無(wú)法讀取VPN上傳輸?shù)男畔?。大部分的?yīng)用實(shí)例中都采用了ESP而不是AH。密鑰交換功能允許手工或自動(dòng)交換密鑰。當(dāng)前的IPSec支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)（DES），但也可以使用其它多種加密算法。因?yàn)槿藗儗?duì)DES的安全性有所懷疑，所以用戶(hù)會(huì)選擇使用Triple-DES（即三次DES加密）。至于認(rèn)證技術(shù)，將會(huì)推出一個(gè)叫作HMAC（MAC 即信息認(rèn)證代碼Message Authentication Code）的新概念。認(rèn)證協(xié)議頭（AH）是在所有數(shù)據(jù)包頭加入一個(gè)密碼。正如整個(gè)名稱(chēng)所示，AH通過(guò)一個(gè)只有密鑰持有人才知道的數(shù)字簽名來(lái)對(duì)用戶(hù)進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過(guò)特別的算法得出的獨(dú)特結(jié)果；AH還能維持?jǐn)?shù)據(jù)的完整性，因?yàn)樵趥鬏斶^(guò)程中無(wú)論多小的變化被加載，數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測(cè)出來(lái)。不過(guò)由于AH不能加密數(shù)據(jù)包所加載的內(nèi)容，因而它不保證任何的機(jī)密性。兩個(gè)最普遍的AH標(biāo)準(zhǔn)是MD5和SHA-1，MD5使用最高到128位的密匙，而SHA-1通過(guò)最高到160位密匙提供更強(qiáng)的保護(hù)。安全加載封裝（ESP）通過(guò)對(duì)數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來(lái)嚴(yán)格保證傳輸信息的機(jī)密性，這樣可以避免其他用戶(hù)通過(guò)監(jiān)聽(tīng)來(lái)打開(kāi)信息交換的內(nèi)容，因?yàn)橹挥惺苄湃蔚挠脩?hù)擁有密匙打開(kāi)內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。最主要的ESP標(biāo)準(zhǔn)是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），DES最高支持56位的密匙，而Triple-DES使用三套密匙加密，那就相當(dāng)于使用最高到168位的密匙。由于ESP實(shí)際上加密所有的數(shù)據(jù)，因而它比AH需要更多的處理時(shí)間，從而導(dǎo)致性能下降。密鑰管理包括密鑰確定和密鑰分發(fā)兩個(gè)方面，最多需要四個(gè)密鑰：AH和ESP各兩個(gè)發(fā)送和接收密鑰。密鑰本身是一個(gè)二進(jìn)制字符串，通常用十六進(jìn)制表示，例如，一個(gè)56位的密鑰可以表示為5F39DA752E0C25B4。注意全部長(zhǎng)度總共是64位，包括了8位的奇偶校驗(yàn)。56位的密鑰（DES）足夠滿(mǎn)足大多數(shù)商業(yè)應(yīng)用了。密鑰管理包括手工和自動(dòng)兩種方式。人工手動(dòng)管理方式是指管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設(shè)置每個(gè)系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境中使用比較實(shí)際。手工管理系統(tǒng)在有限的安全需要可以工作得很好。使用手工管理系統(tǒng)，密鑰由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶(hù)。真實(shí)的密鑰可以用隨機(jī)數(shù)字生成器或簡(jiǎn)單的任意拼湊計(jì)算出來(lái)，每一個(gè)密鑰可以根據(jù)集團(tuán)的安全政策進(jìn)行修改。自動(dòng)管理系統(tǒng)能滿(mǎn)足其他所有的應(yīng)用要求。使用自動(dòng)管理系統(tǒng)，可以動(dòng)態(tài)地確定和分發(fā)密鑰，顯然和名稱(chēng)一樣，是自動(dòng)的。自動(dòng)管理系統(tǒng)具有一個(gè)中央控制點(diǎn)，集中的密鑰管理者可以令自己更加安全，最大限度的發(fā)揮IPSec的效用。 另一方面，自動(dòng)管理系統(tǒng)可以隨時(shí)建立新的SA密鑰，并可以對(duì)較大的分布式系統(tǒng)上使用密鑰進(jìn)行定期的更新。自動(dòng)管理模式是很有彈性的，但需要花費(fèi)更多的時(shí)間及精力去設(shè)置，同時(shí)，還需要使用更多的軟件。IPSec的自動(dòng)管理密鑰協(xié)議的默認(rèn)名字是ISAKMP/Oakley?；ヂ?lián)網(wǎng)安全組織及密鑰管理協(xié)議（Internet Security Association and Key Management Protocol ISAKMP）對(duì)互聯(lián)網(wǎng)密鑰管理的架構(gòu)以及特定的協(xié)議提供支持。Oakley 密鑰使用的協(xié)議基于Diffle-Hellman 算法，但它也提供額外的安全功能。特別是Oakley包括認(rèn)證用戶(hù)的機(jī)制。IPSec的實(shí)現(xiàn)方式IPSec的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)訪(fǎng)問(wèn)設(shè)備，甚至是所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這很大程度避免了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶(hù)端，IPSec架構(gòu)允許使用在遠(yuǎn)程訪(fǎng)問(wèn)介入路由器或基于純軟件方式使用普通MODEM的PC機(jī)和工作站。通過(guò)兩種模式在應(yīng)用上提供更多的彈性：傳送模式和隧道模式。IPSec數(shù)據(jù)包可以在壓縮原始IP地址和數(shù)據(jù)的隧道模式使用。傳輸模式通常當(dāng)ESP在一臺(tái)主機(jī)（客戶(hù)機(jī)或服務(wù)器）上實(shí)現(xiàn)時(shí)使用，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。隧道模式通常當(dāng)ESP在關(guān)聯(lián)到多臺(tái)主機(jī)的網(wǎng)絡(luò)訪(fǎng)問(wèn)介入裝置實(shí)現(xiàn)時(shí)使用，隧道模式處理整個(gè)IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。當(dāng)隧道模式用在用戶(hù)終端設(shè)置時(shí)，它可以提供更多的便利來(lái)隱藏內(nèi)部服務(wù)器主機(jī)和客戶(hù)機(jī)的地址。ESP支持傳輸模式，這種方式保護(hù)了高層協(xié)議。傳輸模式也保護(hù)了IP包的內(nèi)容，特別是用于兩個(gè)主機(jī)之間的端對(duì)端通訊（例如，客戶(hù)與服務(wù)器，或是兩臺(tái)工作站）。傳輸模式中的ESP加密及有時(shí)候會(huì)認(rèn)證IP包內(nèi)容，但不認(rèn)證IP的包頭。這種配置對(duì)于裝有IPSec的小型網(wǎng)絡(luò)特別有用。但是，要全面實(shí)施VPN，使用隧道模式會(huì)更有效。ESP也支持隧道模式，保護(hù)了整個(gè)IP包。為此，IP包在添加了ESP字段后，整個(gè)包以及包的安全字段被認(rèn)為是新的IP包外層內(nèi)容，附有新的IP外層包頭。原來(lái)的（及內(nèi)層）包通過(guò)隧道從一個(gè)IP網(wǎng)絡(luò)起點(diǎn)傳輸?shù)搅硪粋€(gè)IP網(wǎng)點(diǎn)，中途的路由器可以檢查IP的內(nèi)層包頭。因?yàn)樵瓉?lái)的包已被打包，新的包可能有不同的源地址及目的地址，以達(dá)到安全的目的。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝IPSec 也能安全地通信。這些主機(jī)所生成的未加保護(hù)的網(wǎng)包，經(jīng)過(guò)外網(wǎng)，使用隧道模式的安全組織規(guī)定（即SA，發(fā)送者與接收者之間的單向關(guān)系，定義裝在本地網(wǎng)絡(luò)邊緣的安全路由器或防火墻中的IPSec軟件IP交換所規(guī)定的參數(shù)）傳輸。以下是隧道模式的IPSec運(yùn)作的例子。某網(wǎng)絡(luò)的主機(jī)甲生成一個(gè)IP包，目的地址是另一個(gè)網(wǎng)中的主機(jī)乙。這個(gè)包從起始主機(jī)被發(fā)送到主機(jī)甲的網(wǎng)絡(luò)邊緣的安全路由器或防火墻。防火墻把所有出去的包過(guò)濾，看看有哪些包需要進(jìn)行IPSec的處理。如果這個(gè)從甲到乙的包需要使用IPSec，防火墻就進(jìn)行IPSec的處理，并把網(wǎng)包打包，添加外層IP包頭。 這個(gè)外層包頭的源地址是防火墻，而目的地址可能是主機(jī)乙的網(wǎng)絡(luò)邊緣的防火墻?，F(xiàn)在這個(gè)包被傳送到主機(jī)乙的防火墻，中途的路由器只檢查外層的IP包頭。主機(jī)乙網(wǎng)絡(luò)的防火墻會(huì)把外層IP包頭除掉，把IP內(nèi)層發(fā)送到主機(jī)乙去。IPSec 及VPN由于企業(yè)及政府用戶(hù)需要把它們的專(zhuān)用WAN/LAN 架構(gòu)與互聯(lián)網(wǎng)連接，以便訪(fǎng)問(wèn)互聯(lián)網(wǎng)的服務(wù)，所以他們非常熱衷于部署安全的IP。用戶(hù)需要把它們的網(wǎng)絡(luò)與互聯(lián)網(wǎng)分隔，但同時(shí)要在網(wǎng)上發(fā)送及接收網(wǎng)包。安全的IP就可以提供網(wǎng)上的認(rèn)證及隱私機(jī)