網(wǎng)絡(luò)安全中IPSec協(xié)議的應(yīng)用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全中IPSec協(xié)議的應(yīng)用范文，希望能給你帶來靈感和參考，敬請閱讀。

IPSec提供訪問控制、無連接完整性、數(shù)據(jù)源的認(rèn)證、有限通信量的機(jī)密性等安全服務(wù)，它是由IETF開發(fā)的一套Internet安全協(xié)議標(biāo)準(zhǔn)，可以“無縫”地為IP(IPv4~IPv6)提供可操作的、高質(zhì)量的、基于數(shù)據(jù)加密的網(wǎng)絡(luò)安全服務(wù)。利用ipsec提供的安全服務(wù)可以實(shí)現(xiàn)不同的網(wǎng)絡(luò)安全配置。

1IPSec協(xié)議基礎(chǔ)

IPSec的安全服務(wù)是由通訊雙方建立的安全關(guān)聯(lián)(SA)來提供的。sA為通訊提供了安全協(xié)議、模式、算法和應(yīng)用于單向IP流的密鑰等安全信息。它通過安全關(guān)聯(lián)庫(sAD)來進(jìn)行管理，每一個(gè)IPSec節(jié)點(diǎn)包含有一個(gè)局部的安全策略庫(SPD)。IPSec系統(tǒng)在處理輸入／輸出IP流時(shí)必須考慮該策略庫，并從SPD中提取策略對(duì)IP流進(jìn)行不同的處理。如果該策略決定IP流需要經(jīng)過IPSec處理，則根據(jù)SPD與SAD的對(duì)應(yīng)關(guān)系，找到相應(yīng)的SA，對(duì)IP數(shù)據(jù)包進(jìn)行相應(yīng)的處理。SA由一個(gè)三元組惟一地標(biāo)識(shí)，該三元組包含安全參數(shù)索引(SPI)、輸出處理sA的目的IP地址或者輸入處理sA的源IP地址以及一個(gè)特定的協(xié)議，SPI是為了唯一標(biāo)識(shí)SA而生成的一個(gè)32位整數(shù)。IPSec主要使用兩種協(xié)議AH和ESP，這兩種協(xié)議均使用sA。如果希望同時(shí)用A}I和ESP來保護(hù)兩個(gè)對(duì)等實(shí)體之間的數(shù)據(jù)流，則需要兩個(gè)sA：一個(gè)用于A}I，另一個(gè)用于ESP。當(dāng)一個(gè)sA協(xié)商完成時(shí)，通信的兩個(gè)對(duì)等實(shí)體會(huì)在它們的安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)中存儲(chǔ)該sA參數(shù)。sA的一個(gè)重要參數(shù)是它的生存期，它以一個(gè)時(shí)間間隔或者以一定字節(jié)數(shù)的形式存在(IPSec協(xié)議利用該sA來處理)。

2安全關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫

當(dāng)IPSec處理數(shù)據(jù)流時(shí)有兩個(gè)必要的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)。SPD指定了用于到達(dá)或者源自特定主機(jī)、網(wǎng)絡(luò)的數(shù)據(jù)流的策略，SAD包含活動(dòng)的SA參數(shù)。對(duì)于SPD和SAD而言都需要單獨(dú)的輸入和輸出數(shù)據(jù)庫。IPSec協(xié)議要求不管通信流是輸入還是輸出在處理的過程中都必須查詢SPD，SPD中包含一個(gè)策略條目的有序列表。通過使用一個(gè)或多個(gè)選擇符來確定每一個(gè)條目。以下是IPSec允許的選擇符：

(1)目的IP地址：目的IP地址可以是一個(gè)32位的IPv4或者128位的IPv6地址。該地址可以是主機(jī)IP地址、廣播地址、單播地址、任意播地址、多播組地址等。

(2)源IP地址：同目的IP地址一樣，該地址可以從AH、ESP或者IP頭的源IP地址域中得到。

(3)傳輸層協(xié)議：傳輸層協(xié)議可以從IPv4協(xié)議或者IPv6的下一個(gè)頭域中得到。

(4)系統(tǒng)名：系統(tǒng)名可以是完整的DNS名或e—mailfg址。

(5)用戶ID：用戶ID可以是完整的DNN用戶名。SPD中的每一個(gè)條目都包含一個(gè)或多個(gè)選擇符、標(biāo)志，該標(biāo)志用于表明與條目中的選擇符匹配的數(shù)據(jù)報(bào)是丟棄、還是進(jìn)~FIPSec處理。如果對(duì)數(shù)據(jù)包進(jìn)行IPSec處理，則條目中必須包含一個(gè)指向SA內(nèi)容的指針，該指針詳細(xì)說明了用于匹配該條目的數(shù)據(jù)包所使用的IPSec協(xié)議、操作模式以及密碼算法。選擇符與數(shù)據(jù)通信流相匹配的第一個(gè)條目被應(yīng)用到該通信中。如果沒有發(fā)現(xiàn)匹配的條目，該通信數(shù)據(jù)包將被丟棄。因此，SPD中的條目應(yīng)該按照應(yīng)用程序希望的優(yōu)先權(quán)排序。SAD中包含現(xiàn)行的sA條目，每個(gè)sA包含三元組索弓I：SPI、源或目的的IP地址、IPSec協(xié)議。此外，每個(gè)SAD條目還包含下面的域：

(1)序列號(hào)計(jì)數(shù)器：一個(gè)32位整數(shù)，用于生成AH或者ESP頭中的序列號(hào)域。

(2)序列號(hào)溢出：一個(gè)標(biāo)志，該標(biāo)識(shí)對(duì)序列號(hào)計(jì)數(shù)器的溢出進(jìn)行審核；對(duì)于特定的sA，是否阻塞額外通信流的傳輸。

(3)抗重放窗口：使用一個(gè)32位計(jì)數(shù)器和位圖確定一個(gè)輸入的AH或者ESP數(shù)據(jù)包是否是一個(gè)重放包。

(4)A}I認(rèn)證密碼算法和所需要的密鑰。

(5)ESP認(rèn)證密碼算法和所需要的密鑰。

(6)ESP~B密算法，密鑰，初始化向量。

(7)IPSec協(xié)議操作模式：A}l和ESP通信應(yīng)用哪種IPSec協(xié)議操作模式。

(8)SA生存：該域中包含一個(gè)時(shí)間間隔，另外還包含一個(gè)當(dāng)該sA過期時(shí)是被替代還是終止的標(biāo)識(shí)。對(duì)于輸入和輸出的處理IPSec要分別存入SAD。對(duì)于輸入或者輸出通信，將搜索各自的SAD來查找與從數(shù)據(jù)包頭域中解析出來的選擇符相匹配的SPI、源或目的地址以及IPSec協(xié)議。如果找到一個(gè)匹配的條目，將該SA的參數(shù)與AH或ESP頭中的域進(jìn)行比較，若頭域與數(shù)據(jù)庫中的sA參數(shù)一致，就處理該數(shù)據(jù)包；若有任何差別，就丟棄該數(shù)據(jù)包；若沒有sA條目與選擇符相匹配，而且如果數(shù)據(jù)包是一個(gè)輸入包，就將其丟棄；若數(shù)據(jù)包是輸出的，則創(chuàng)建一個(gè)新的SA或者SA束，將其存入輸出SAD中。

3IPSec協(xié)議的具體應(yīng)用

通過把IPSec應(yīng)用到在具體的TCP／IP網(wǎng)絡(luò)環(huán)境下，可以實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問。

(1)端到端的安全訪問應(yīng)用傳輸模式下的1PSec可以保證IP數(shù)據(jù)包在離開信源主機(jī)抵達(dá)信宿主機(jī)的整個(gè)過程中都是安全的(即需要端到端的安全訪問)。離開信源主機(jī)的IP數(shù)據(jù)包都會(huì)受到EsP、AH、ESP和AH一起實(shí)施的安全保護(hù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全訪問。前提條件是進(jìn)行網(wǎng)絡(luò)訪問的通信雙方(可以是主機(jī)、服務(wù)器或其它任何終端系統(tǒng))必須都支持IPSec，這樣任何一個(gè)需要安全保護(hù)的IP數(shù)據(jù)包在離開發(fā)送主機(jī)的時(shí)候，會(huì)經(jīng)過IPSec處理在原本的IP數(shù)據(jù)包中插入一個(gè)ESP頭(需要機(jī)密性安全服務(wù))或AH頭(不需要機(jī)密性安全服務(wù))。

(2)網(wǎng)關(guān)到網(wǎng)關(guān)的安全訪問目前企業(yè)構(gòu)建VPN所選用最多方案中利用IPSec在IP層提供的安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全訪問。在網(wǎng)絡(luò)體系結(jié)構(gòu)中IP層傳輸性能好，它能夠?yàn)閂PN提供包括數(shù)據(jù)機(jī)密性、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性以及抗重播攻擊等安全服務(wù)。

作者：何利娟 單位：新鄉(xiāng)學(xué)院