網絡安全中IPSec協議的應用
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡安全中IPSec協議的應用范文,希望能給你帶來靈感和參考,敬請閱讀。
IPSec提供訪問控制、無連接完整性、數據源的認證、有限通信量的機密性等安全服務,它是由IETF開發的一套Internet安全協議標準,可以“無縫”地為IP(IPv4~IPv6)提供可操作的、高質量的、基于數據加密的網絡安全服務。利用ipsec提供的安全服務可以實現不同的網絡安全配置。
1IPSec協議基礎
IPSec的安全服務是由通訊雙方建立的安全關聯(SA)來提供的。sA為通訊提供了安全協議、模式、算法和應用于單向IP流的密鑰等安全信息。它通過安全關聯庫(sAD)來進行管理,每一個IPSec節點包含有一個局部的安全策略庫(SPD)。IPSec系統在處理輸入/輸出IP流時必須考慮該策略庫,并從SPD中提取策略對IP流進行不同的處理。如果該策略決定IP流需要經過IPSec處理,則根據SPD與SAD的對應關系,找到相應的SA,對IP數據包進行相應的處理。SA由一個三元組惟一地標識,該三元組包含安全參數索引(SPI)、輸出處理sA的目的IP地址或者輸入處理sA的源IP地址以及一個特定的協議,SPI是為了唯一標識SA而生成的一個32位整數。IPSec主要使用兩種協議AH和ESP,這兩種協議均使用sA。如果希望同時用A}I和ESP來保護兩個對等實體之間的數據流,則需要兩個sA:一個用于A}I,另一個用于ESP。當一個sA協商完成時,通信的兩個對等實體會在它們的安全關聯數據庫(SAD)中存儲該sA參數。sA的一個重要參數是它的生存期,它以一個時間間隔或者以一定字節數的形式存在(IPSec協議利用該sA來處理)。
2安全關聯數據庫和安全策略數據庫
當IPSec處理數據流時有兩個必要的數據庫:安全策略數據庫(SPD)和安全關聯數據庫(SAD)。SPD指定了用于到達或者源自特定主機、網絡的數據流的策略,SAD包含活動的SA參數。對于SPD和SAD而言都需要單獨的輸入和輸出數據庫。IPSec協議要求不管通信流是輸入還是輸出在處理的過程中都必須查詢SPD,SPD中包含一個策略條目的有序列表。通過使用一個或多個選擇符來確定每一個條目。以下是IPSec允許的選擇符:
(1)目的IP地址:目的IP地址可以是一個32位的IPv4或者128位的IPv6地址。該地址可以是主機IP地址、廣播地址、單播地址、任意播地址、多播組地址等。
(2)源IP地址:同目的IP地址一樣,該地址可以從AH、ESP或者IP頭的源IP地址域中得到。
(3)傳輸層協議:傳輸層協議可以從IPv4協議或者IPv6的下一個頭域中得到。
(4)系統名:系統名可以是完整的DNS名或e—mailfg址。
(5)用戶ID:用戶ID可以是完整的DNN用戶名。SPD中的每一個條目都包含一個或多個選擇符、標志,該標志用于表明與條目中的選擇符匹配的數據報是丟棄、還是進~FIPSec處理。如果對數據包進行IPSec處理,則條目中必須包含一個指向SA內容的指針,該指針詳細說明了用于匹配該條目的數據包所使用的IPSec協議、操作模式以及密碼算法。選擇符與數據通信流相匹配的第一個條目被應用到該通信中。如果沒有發現匹配的條目,該通信數據包將被丟棄。因此,SPD中的條目應該按照應用程序希望的優先權排序。SAD中包含現行的sA條目,每個sA包含三元組索弓I:SPI、源或目的的IP地址、IPSec協議。此外,每個SAD條目還包含下面的域:
(1)序列號計數器:一個32位整數,用于生成AH或者ESP頭中的序列號域。
(2)序列號溢出:一個標志,該標識對序列號計數器的溢出進行審核;對于特定的sA,是否阻塞額外通信流的傳輸。
(3)抗重放窗口:使用一個32位計數器和位圖確定一個輸入的AH或者ESP數據包是否是一個重放包。
(4)A}I認證密碼算法和所需要的密鑰。
(5)ESP認證密碼算法和所需要的密鑰。
(6)ESP~B密算法,密鑰,初始化向量。
(7)IPSec協議操作模式:A}l和ESP通信應用哪種IPSec協議操作模式。
(8)SA生存:該域中包含一個時間間隔,另外還包含一個當該sA過期時是被替代還是終止的標識。對于輸入和輸出的處理IPSec要分別存入SAD。對于輸入或者輸出通信,將搜索各自的SAD來查找與從數據包頭域中解析出來的選擇符相匹配的SPI、源或目的地址以及IPSec協議。如果找到一個匹配的條目,將該SA的參數與AH或ESP頭中的域進行比較,若頭域與數據庫中的sA參數一致,就處理該數據包;若有任何差別,就丟棄該數據包;若沒有sA條目與選擇符相匹配,而且如果數據包是一個輸入包,就將其丟棄;若數據包是輸出的,則創建一個新的SA或者SA束,將其存入輸出SAD中。
3IPSec協議的具體應用
通過把IPSec應用到在具體的TCP/IP網絡環境下,可以實現網絡的安全訪問。
(1)端到端的安全訪問應用傳輸模式下的1PSec可以保證IP數據包在離開信源主機抵達信宿主機的整個過程中都是安全的(即需要端到端的安全訪問)。離開信源主機的IP數據包都會受到EsP、AH、ESP和AH一起實施的安全保護,從而實現網絡安全訪問。前提條件是進行網絡訪問的通信雙方(可以是主機、服務器或其它任何終端系統)必須都支持IPSec,這樣任何一個需要安全保護的IP數據包在離開發送主機的時候,會經過IPSec處理在原本的IP數據包中插入一個ESP頭(需要機密性安全服務)或AH頭(不需要機密性安全服務)。
(2)網關到網關的安全訪問目前企業構建VPN所選用最多方案中利用IPSec在IP層提供的安全服務,實現網絡之間的安全訪問。在網絡體系結構中IP層傳輸性能好,它能夠為VPN提供包括數據機密性、數據源驗證、數據完整性以及抗重播攻擊等安全服務。
作者:何利娟 單位:新鄉學院
