摘 要:IPSec协议作为下一代互联网协议的安全标准,它将在网络安全方面发挥日益重要的作用。文章详细分析了IPSec的安全实现机制,探讨并给出了IPSec协议应用于实际网络安全方面的几种安全模型。
关键词:IPSec;网络;安全;应用研究;安全模型
1.引言
当今世界随着互联网技术的飞速发展,信息高速公路成为各国发展的重点领域之一,电子商务、电子政务、远程教育、远程治疗、网上银行等新经济模式在全球广泛开展,在这场轰轰烈烈的信息化竞争浪潮中,网络安全正成为推广网络应用的关键领域之一。当今互联网不时发生黑客攻击、信息泄密、盗取银行账号、非法转账等不法事件,受害范围从个人、银行、企业及政府部门,甚至涉及国家军事安全等关键部门,据不完全统计每年因网络安全问题造成的损失高达数百亿美元。众所周知,TCP/IP是互联网标准通信协议,IP协议在设计时并没有考虑其安全性,后来为了加强互联网的安全,IETF组织研究制定了一套保护IP通信的安全协议―IPSec[1][4](Internet Protocol Security),IPSec为实现网络安全提供了两套协议:认证头AH[2](Authentication Header)协议和封装安全载荷ESP[3](Encapsulating Security Payload)协议。本文在详细分析IPSec的安全机制的基础上,讨论并建立了几种应用安全模型,同时分析指出了IPSec协议在实际应用可能出现的不足及改进方向。
2. IPSec安全机制分析
IPSec由安全协议、密钥交换协议及认证加密协议三个协议部分组成[4],其安全机制的实现需要通过AH(认证头协议)和ESP(封装安全载荷协议)及密钥管理协议来完成。其中加密密钥和认证密钥的协商采用IKE[5](Internet Key Exchange)协议实现,AH协议提供认证机制但不提供加密功能,除了对IP的有效载荷进行认证外,还对IP头部实施认证;ESP协议提供对IP数据包加密和认证;IKE负责管理密钥交换并完成以下功能:协商所用协议、加密算法和密钥;密钥交换。
2.1 认证头(AH)协议
AH的认证功能保证了接收者收到的源地址是可靠的,同时提供了数据完整性和抗重播能力,此外AH还能够防止网络攻击,如IP地址欺骗、IP源路由欺骗等。通常AH协议在两种模式下工作:传输模式和隧道模式,实际应用中它既可对两个节点传输数据提供源身份 的验证和保护,又可对发给安全网关或从安全网关发出的数据包流进行封装。在传输模式下,AH可以保护初始IP包,还可保护逐跳转发中固定部分的IP报头;在隧道模式下,AH将目的IP地址与初始IP包封装在新的IP包中,然后将新IP包发送到安全网关,完成对初始IP包以及IP封装报头的安全保护。
2.2 封装安全载荷(ESP)协议
ESP是插入IP数据报内的一个协议头,通过加密提供机密性,通过公共密钥加密对数据源进行身份验证,通过AH的序列号机制提供抗重播服务,通过安全网关提供有限业务流机密性。ESP也具有传输模式和隧道模式,在隧道模式下,ESP报头对整个IP包进行封装,并作为IP报头扩展将数据包定向到安全网关;在传输模式下,ESP加密传输层协议报头和原始数据。
2.3 Internet密钥交换(IKE)协议
IKE是自动密钥交换协议,用于动态建立SA(安全联盟),SA构成了IPSec协议的基础,是通信双方经协商建立的一种约定,它决定了IPSec协议、密钥以及密钥的生存时间,SA为单向通信,所以双向通信时就需建立起两个SA。为了认证对方的合法性,IKE为发送方和应答方定义了三种认证方式:预先共享密钥方式;数字签名方式;公共密钥方式。IKE由两个阶段实现,第一阶段为建立IKE使用的安全信道而交换SA,接着建立IKE SA,然后建立验证密钥,为双方IKE通信提供机密性、完整性、及消息源验证服务;第二阶段是以快速交换模式建立SA,并利用IKE SA对第二阶段的交换报文进行加密保护。
2.4 IPSec协议的工作模式
IPSec工作模式分为传输模式和隧道模式,传输模式保护IP载荷的上层协议,隧道模式保护包括IP头的整个IP分组。在传输模式下,IPSec头被插入到IP头和上层协议头之间,AH和ESP协议提供对传输头的保护;在隧道模式下,整个IP包被封装到另一个IP包中,并在两个IP包之间插入IPSec头,因此隧道模式下的数据包拥有两个IP头,被封装的IP包到达目的地再逐层拆封分解,还原为加密前的数据包。
3. IPSec在网络安全方面的应用探讨
网络安全研究是网络应用领域里的一个重要分支,无论是网上支付、网上银行,还是远程教育、远程医疗、电子政务等等都离不开网络安全环境的支撑。对于IP数据报的安全而言,IPSec协议是一个功能极强的、可扩充的安全协议,它提供了机密性、完整性、身份验证以及抗重播等安全措施;通过对IP层的安全保护,任何网络应用都可以得到这些服务而无需作任何变动。一般情况下,工作在传输模式下的IPSec协议可为应用提供网络端到另一个网络端的通信安全保护,而工作在隧道模式下的IPSec协议则提供了数据传输过程的通信安全保护。
3.1 IPSec应用的可行性及可靠性研究
网络通信安全是网络应用业务中很重要的一环,直接关系到网络应用的广度和深度。它主要体现在以下几个方面:(1)传输信息安全;(2)信息源身份认证;(3)防止恶意攻击;(4)网络设备安全;(5)网管安全等。TCP/IP协议作为网络应用平台的标准通信协议,需要承担网络通信安全方面的重任,IPSec作为IP层的标准安全协议,对IP通信安全提供了强有力的协议保护。下面我们以局域办公网为研究原型,通过前面对IPSec安全机制的分析,分别提出了几种安全通信模型。
3.2 端-端之间的安全模型
在一个成熟的局域办公网络中,当任意一台主机用户获得端到端的IPSec安全保护后,每一个离开或进入该主机的IP数据包都将得到IPSec协议的安全保护,由于通信端点同时也是IPSec协议端点,所以端到端保护模型工作在IPSec的传输模式下。例如在企业局域网中如果机关部门(例如财务处)内部服务器和下属二级部门(如后勤集团)内部服务器之间需要开展网上电子办公业务,就需要保障两台服务器之间的安全通信,这种情况下对两台服务器实施端到端的保护模式是合适的。
3.3 虚拟专网(VPN)模型
虚拟专网VPN(Virtual Private Network )模型是利用接入服务器、路由器及VPN设备(提供加密、解密及隧道化功能)在公网Internet上实现虚拟专网的技术。一般在Internet的
接入点配置防火墙和VPN设备,根据VPN设备接入方式的不同分为两种模型类型,一种是将VPN设备配置在防火墙内侧称之为内侧隧道型VPN Naganand Doraswamy , Dan Harkins .IPSec新一代英特网安全标准 , 京京工作室译, 机械工业出版社, 2000年1月
