IP安全,IP安全是什么意思

IP安全,IP安全是什么意思

IPSec協(xié)議是一個(gè)協(xié)議套件，為IP數(shù)據(jù)包中封裝的所有上層數(shù)據(jù)提供透明的安全保護(hù)，無(wú)需修改上層協(xié)議。IPSec的目的是在因特網(wǎng)協(xié)議棧中的IP層提供安全業(yè)務(wù)。它使系統(tǒng)能按需選擇安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。網(wǎng)絡(luò)通信易于受到各種攻擊, IPSec旨在為端系統(tǒng)提供相互身份驗(yàn)證的方法,保護(hù)一條或多條主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑以及傳輸中的數(shù)據(jù)不被竊取和攻擊。

IPSec依靠密碼技術(shù)保護(hù)各種環(huán)境中的通信,包括在專用網(wǎng)中計(jì)算機(jī)之間的通信鏈路,公司站點(diǎn)之間的鏈路,以及撥號(hào)用戶和公司LAN之間的鏈路。IPSec也用于貿(mào)易伙伴之間(外聯(lián)網(wǎng)連接)和電子商務(wù)應(yīng)用。

IPSec是一個(gè)為IPv4和IPv6設(shè)計(jì)的“隧道協(xié)議”。隧道是在一對(duì)主機(jī)、一對(duì)安全網(wǎng)關(guān)(通常是防火墻),或一個(gè)安全網(wǎng)關(guān)和一個(gè)主機(jī)之間的“路徑”。可以建立一個(gè)隧道,運(yùn)載所有的通信量,或在相同端點(diǎn)之間建立多個(gè)隧道,支持不同的TCP業(yè)務(wù)。

IPSec的一個(gè)重要特征是它能提供跨越IP網(wǎng)絡(luò)的端到端安全。低層安全協(xié)議只能提供單一鏈路的保護(hù)。但是應(yīng)該把IPSec和上層會(huì)話協(xié)議,例如SSL(安全套接層),區(qū)分開。SSL已經(jīng)成為Web服務(wù)器和客戶機(jī)之間安全通信的支柱。SSL仍然是小量用戶交易(例如從Amazon.com買一本書)的首選方法。但是SSL僅確保了會(huì)話安全,而非像IPSec那樣保護(hù)主機(jī)之間的IP連接。　　

IPSec有多種模式和業(yè)務(wù),如下所述:

數(shù)據(jù)來(lái)源驗(yàn)證 分組的頭部已經(jīng)簽了名(通過(guò)一個(gè)散列算法來(lái)進(jìn)行),因此接收者可以相信分組是可信的。

無(wú)連接完整性 簽名過(guò)程可以向接收者確保數(shù)據(jù)分組在傳輸過(guò)程中沒(méi)有被更改。

機(jī)密性 全部或部分分組可以用加密來(lái)隱藏他們的內(nèi)容。加密隱藏了傳輸過(guò)程中原始分組的IP頭,因此外部分組需要有一個(gè)可以被中間轉(zhuǎn)發(fā)系統(tǒng)讀取的頭部。

重放保護(hù) 通過(guò)保護(hù)/隱藏重要分組信息,IPSec防止某人獲取分組,并在以后重放它們,　從而進(jìn)入系統(tǒng)。

密鑰管理 IPSec使用IKE (因特網(wǎng)密鑰交換)管理各方面之間安全密鑰的交換。IKE是一個(gè)混合協(xié)議，它實(shí)際上使用到了ISAKMP協(xié)議（Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議）、Oakley協(xié)議（密鑰確定協(xié)議）和描述支持匿名和快速密鑰刷新的密鑰交換的SKEME協(xié)議。IKE除了實(shí)現(xiàn)通信雙方的密鑰材料交換，還使用ISAKMP實(shí)現(xiàn)IPSec的安全關(guān)聯(lián)。

這些目標(biāo)是通過(guò)使用兩大傳輸安全協(xié)議，頭部認(rèn)證（AH） 和封裝安全負(fù)載 （ESP），以及密鑰管理程序和協(xié)議的使用來(lái)完成的。所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應(yīng)用程序、和/或站點(diǎn)、組織對(duì)安全和系統(tǒng)的需求來(lái)決定。AH和ESP安全報(bào)頭都可以單獨(dú)使用，但是為了確保安全性，它們通常一起使用。當(dāng)把加密和驗(yàn)證結(jié)合起來(lái)，就可以在主機(jī)之間傳輸具有驗(yàn)證和機(jī)密性的IP包。一般通過(guò)捆綁傳輸和隧道傳輸來(lái)實(shí)現(xiàn)兩者的結(jié)合。

IPSec出現(xiàn)得較晚。部分原因是它最初是為IPV6設(shè)計(jì)的,而IPv6的發(fā)布日期被改動(dòng)了許多次。供應(yīng)商產(chǎn)品之間的互用性也有問(wèn)題。加密是處理器密集型的,在某些環(huán)境下可能不被支持。但是像Intel這樣的供應(yīng)商已經(jīng)開發(fā)了安全適配器,通過(guò)卸載加密加速IPSec的處理。