第八部分-网络协议的安全IP层的安全协议IPSec

IPV4的局限性表现在：1.IPV4的寻址能力有限。2.IPV4没有优先级的划分。3.IPV4的安全性差。对于通信的双方，不能保证收到的IP数据报：①确系来自声明的发送方（IP报头内的源地址）；②确系原始数据，未被任何篡改；③未发生泄密事件；IPSec(IPSecurity)IPSec(IPSecurity)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP／IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec的目标是：为IPV4和IPV6提供具有较强的互操作能力、高质量和基于密码技术的安全能力，在网络层实现多种安全服务，包括访问控制、数据完整性、数据源验证、抗重播和机密性等等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。IPSec基本工作原理IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。处理工作只有两种：丢弃或转发。IPSec通过查询SPD(SecurityPolicyDatabase安全策略数据库)决定对接收到的IP数据包的处理。SPD中存储了IPSec协议的安全策略，其每个条目都定义了要保护的是什么通信，怎样保护以及和谁共享这种保护。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进行安全的通信才成为可能。IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是传输模式，另一种是隧道模式。IPSec的工作模式1.传输模式主要用于两台主机之间，保护传输层协议头，实现端到端的安全。只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。2.隧道模式主要用于主机和路由器之间或者两台路由器之间，保护整个IP数据报。对整个IP数据报进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据报之间，从而组成一个新的IP头部。在隧道模式下，将整个IP数据报（其报头称为内部IP头）进行封装，然后增加一个IP头（称为外部IP头），并在外部与内部IP头之间插入一个IPSec头。该模式的通信终点由受保护的内部IP头指定，而IPSec的终点则由外部IP头指定。IPSec支持嵌套的隧道，即对已经隧道化的数据报再进行隧道化处理。IPSec的组成IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。IPSec结合了三个主要的协议从而组成一个和谐的安全框架。Internet密钥交换（IKE）协议封装安全载荷（ESP）协议认证头（AH）协议安全关联通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个SA。SA(SecurityAssociation)是两个应用IPSec的实体之间的一个单向的逻辑连接。它决定了如何保护通信数据，保护什么样的通信数据以及由谁实行保护的问题。SA是实现IPSec的基础。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。SA的组成SPI(安全策略索引)用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。目的地址所使用的机制SA可以事先手工建立，也可以在需要时通过因特网密钥交换协议动态建立。SA是单向的，一个关联就是发送者与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。IPSec服务1.机密性保护2.完整性保护及身份验证3.抵抗拒绝服务攻击4.防止中间人攻击5.完美向前保密