淺析IPSec協(xié)議及安全聯(lián)盟

【摘 要】在網(wǎng)絡(luò)中，絕大多數(shù)數(shù)據(jù)的傳輸都是明文的，這樣就會存在很多潛在的危險，比如：密碼、銀行帳戶的信息被竊??；用戶的身份被冒充等。用戶可以使用IPSec及安全聯(lián)盟對傳輸?shù)臄?shù)據(jù)進行保護處理。這樣，就會使信息泄漏風險降低。

【關(guān)鍵詞】IPSec；安全聯(lián)盟

1.IPSec協(xié)議簡介

IPSec協(xié)議族是IETF（Internet Engineering Task Force）制定的一系列協(xié)議，它為IP數(shù)據(jù)報提供了高質(zhì)量的、可互操作的、基于密碼學的安全性。特定的通信各方在IP層通過加密與數(shù)據(jù)源認證等方式，來保證數(shù)據(jù)報在網(wǎng)絡(luò)上傳輸時的私有性、完整性、真實性和防重放。

私有性（Confidentiality）指對用戶數(shù)據(jù)進行加密保護，用密文的形式傳送。

完整性（Data integrity）指對接收的數(shù)據(jù)進行認證，以判定報文是否被篡改。

真實性（Data authentication）指認證數(shù)據(jù)源，以保證數(shù)據(jù)來自真實的發(fā)送者。

防重放（Anti-replay）指防止惡意用戶通過重復發(fā)送捕獲到的數(shù)據(jù)包所進行的攻擊，即接收方會拒絕舊的或重復的數(shù)據(jù)包。

IPSec通過認證頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulating Security Payload）這兩個安全協(xié)議來實現(xiàn)上述目標。并且還可以通過因特網(wǎng)密鑰交換協(xié)議IKE（Internet Key Exchange）為IPSec提供自動協(xié)商交換密鑰、建立和維護安全聯(lián)盟的服務(wù)，以簡化IPSec的使用和管理。

2.安全聯(lián)盟

IPSec在兩個端點之間提供安全通信，這兩個端點被稱為IPSec對等體。

安全聯(lián)盟（Security Association）是IPSec對等體之間對某些要素的約定。例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的封裝模式（傳輸模式和隧道模式）、密碼算法（DES和3DES）、特定數(shù)據(jù)流中保護數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。

安全聯(lián)盟是單向的。如果有兩個主機（A和B）使用ESP進行安全通信，主機A就需要兩個SA，一個SA處理外發(fā)數(shù)據(jù)包，另一個SA處理進入的數(shù)據(jù)包。同樣，主機B也需要兩個SA。如圖1所示。

安全聯(lián)盟還與協(xié)議相關(guān)。如果主機A和主機B同時使用AH和ESP進行安全通信，對于主機A就需要四個SA，AH協(xié)議的兩個SA（出方向和入方向各一個）和ESP協(xié)議的兩個SA（出方向和入方向各一個）。同樣，主機B也需要四個SA。

安全聯(lián)盟由一個三元組來唯一標識。這個三元組包括：安全參數(shù)索引SPI（Security Parameter Index）、目的IP地址、安全協(xié)議號（AH或ESP）。SPI是為唯一標識SA而生成的一個32比特的數(shù)值，它在AH和ESP頭中傳輸。如圖2所示。

3.IPSec協(xié)議的封裝模式

IPSec協(xié)議有兩種封裝模式：

傳輸模式。在傳輸模式下，AH或ESP被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。

隧道模式。在隧道模式下，AH或ESP插在原始IP頭之前，另外生成一個新IP頭放到AH或ESP之前。

選擇隧道模式還是傳輸模式可以從以下方面考慮：

從安全性來講，隧道模式優(yōu)于傳輸模式。它可以完全地對原始IP數(shù)據(jù)報進行認證和加密，而且，可以使用IPSec對等體的IP地址來隱藏客戶機的IP地址。

從性能來講，隧道模式因為有一個額外的IP頭，所以它將比傳輸模式占用更多帶寬。

傳輸模式用于兩臺主機之間的通訊，或者是一臺主機和一個安全網(wǎng)關(guān)之間的通訊。在傳輸模式下，對報文進行加密和解密的兩臺設(shè)備本身必須是報文的原始發(fā)送者和最終接收者。

通常，在兩個安全網(wǎng)關(guān)（路由器）之間的數(shù)據(jù)流量，絕大部分都不是安全網(wǎng)關(guān)本身的通訊量，因此在安全網(wǎng)關(guān)之間一般不使用傳輸模式，而總是使用隧道模式。在一個安全網(wǎng)關(guān)被加密的報文，只有另一個安全網(wǎng)關(guān)能夠解密。因此必須對IP報文進行隧道封裝，即增加一個新的IP頭，進行隧道封裝后的IP報文被發(fā)送到另一個安全網(wǎng)關(guān)，才能夠被解密。

4.總結(jié)

IPSec能夠允許系統(tǒng)、網(wǎng)絡(luò)的用戶或管理員控制對等體間安全服務(wù)。例如，某個組織的安全策略可能規(guī)定來自特定子網(wǎng)的數(shù)據(jù)流應同時使用AH和ESP進行保護，并使用三重數(shù)據(jù)加密標準3DES進行加密；同時，安全策略也可能規(guī)定來自另一個站點的數(shù)據(jù)流只使用ESP保護，并僅使用DES加密。通過安全聯(lián)盟，IPSec能夠?qū)Σ煌臄?shù)據(jù)流提供不同級別的安全保護。

作者簡介：

魏魯生，武漢海事局通信信息中心，關(guān)注方向：光纖通信和傳輸網(wǎng)絡(luò)應用技術(shù)、UPS電源維護等以及海事信息化管理技術(shù)發(fā)展與應用，湖北武漢合作路16號武漢海事局通信信息中心。