1.1 IPSec 体系结构 IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在IP层,为IP层及其上层协议提供保护。 IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。 IPSec在传输层之下,对应用程序和终端用户来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。 1.1.1 IPSec的组成 IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。 IPSec 体 系封装安全载荷验证头(AH)加密算法加密算法解释域(DOI)密钥管理策略 图 2.3 IPSec的体系结构 AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。 IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务——亦即所谓的“IPSec安全关联”。 SA(安全关联):一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。即SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。 策略:策略是一个非常重要的但又尚未成为标准的组件,它决定两个实体之间是否能够通信...
