IPSec概念与实现过程

2023-11-09 理论教育版权反馈

【摘要】：任务描述解释IPSec的概念及实现方法。上述任意一种模式都可以用来构建虚拟专用网，而这也是IPSec最主要的用途之一。IPSec中需要两种类型的数据包编码:身份验证标头和封装安全负载DPE。

任务描述

解释IPSec的概念及实现方法。

任务目标

掌握IPSec的概念。

1.IPSec介绍

互联网安全协议(IPSec)是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)。

IPSec主要由以下协议组成:认证头(AH)，为IP数据报提供无连接数据完整性、消息认证及防重放攻击保护；封装安全载荷(ESP)，提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性；安全关联(SA)，提供算法和数据包，提供AH、ESP操作所需的参数。

2.设计意图(www.chuimin.cn)

IPSec被设计用来提供:入口对入口通信安全，在此机制下，分组通信的安全性由单个节点提供给多台机器(甚至可以是整个局域网)；端到端分组通信安全，由作为端点的计算机完成安全操作。上述任意一种模式都可以用来构建虚拟专用网(VPN)，而这也是IPSec最主要的用途之一。应该注意的是，上述两种操作模式在安全的实现方面有着很大差别。

因特网范围内端到端通信安全的发展比预料的要缓慢，其中部分原因是其不够普遍或者说不被普遍信任。公钥基础设施能够得以形成(DNSSec最初就是为此产生的)，一部分是因为许多用户不能充分地认清他们的需求及可用的选项，导致其作为内含物强加到卖主的产品中(这也必将得到广泛采用)；另一部分可能归因于网络响应的退化(或说预期退化)。

3.IPSec操作模式

IPSec有两种操作模式:传输模式和隧道模式。在传输模式下运行时，源主机和目标主机必须直接执行所有加密操作，加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送，数据(密文)由源主机创建，并由目标主机检索，这种操作模式建立了端到端的安全性。

在隧道模式下运行时，除源主机和目标主机外，特殊网关还会执行加密处理。在这里，许多隧道在网关之间串联创建，建立了网关到网关的安全性。使用这些模式中的任何一种时，重要的是为所有网关提供验证数据包是否真实的能力及在两端验证数据包的能力，必须丢弃所有无效的数据包。

IPSec中需要两种类型的数据包编码(DPE):身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据提供网络级安全性，AH提供数据包的真实性和完整性，通过密钥散列函数(也称为MAC(消息验证代码))可以进行验证，此标头还禁止非法修改，并可选择提供反重放安全性。AH可以在多个主机、多个网关或多个主机和网关之间建立安全性，所有这些都实现了AH。ESP的标头用于提供加密、数据封装和数据机密性。通过对称密钥提供数据机密性。

IPSec概念与实现过程

相关推荐