IPSec基礎(chǔ)(一)-IPSec服務(wù)

字號:

IPSec 協(xié)議不是一個單獨的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議Internet Key Exchange (IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。
    一、安全特性
    IPSec的安全特性主要有:
    ·不可否認(rèn)性 "不可否認(rèn)性"可以證實消息發(fā)送方是可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過消息。"不可否認(rèn)性"是采用公鑰技術(shù)的一個特征,當(dāng)使用公鑰技術(shù)時,發(fā)送方用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來驗證數(shù)字簽名。由于在理論上只有發(fā)送者才擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過驗證,發(fā)送者就不能否認(rèn)曾發(fā)送過該消息。但"不可否認(rèn)性"不是基于認(rèn)證的共享密鑰技術(shù)的特征,因為在基于認(rèn)證的共享密鑰技術(shù)中,發(fā)送方和接收方掌握相同的密鑰。
    ·反重播性 "反重播"確保每個IP包的性,保證信息萬一被截取復(fù)制后,不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后,再用相同的信息包冒取非法訪問權(quán)(即使這種冒取行為發(fā)生在數(shù)月之后)。
    ·數(shù)據(jù)完整性 防止傳輸過程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個數(shù)據(jù)包產(chǎn)生一個加密檢查和,接收方在打開包前先計算檢查和,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。
    ·數(shù)據(jù)可靠性(加密) 在傳輸前,對數(shù)據(jù)進行加密,可以保證在傳輸過程中,即使數(shù)據(jù)包遭截取,信息也無法被讀。該特性在IPSec中為可選項,與IPSec策略的具體設(shè)置相關(guān)。
    ·認(rèn)證 數(shù)據(jù)源發(fā)送信任狀,由接收方驗證信任狀的合法性,只有通過認(rèn)證的系統(tǒng)才可以建立通信連接。
    二、基于電子證書的公鑰認(rèn)證
    一個架構(gòu)良好的公鑰體系,在信任狀的傳遞中不造成任何信息外泄,能解決很多安全問題。IPSec與特定的公鑰體系相結(jié)合,可以提供基于電子證書的認(rèn)證。公鑰證書認(rèn)證在Windows 2000中,適用于對非Windows 2000主機、獨立主機,非信任域成員的客戶機、或者不運行Kerberos v5認(rèn)證協(xié)議的主機進行身份認(rèn)證。
    三、預(yù)置共享密鑰認(rèn)證
    IPSec也可以使用預(yù)置共享密鑰進行認(rèn)證。預(yù)共享意味著通信雙方必須在IPSec策略設(shè)置中就共享的密鑰達成一致。之后在安全協(xié)商過程中,信息在傳輸前使用共享密鑰加密,接收端使用同樣的密鑰解密,如果接收方能夠解密,即被認(rèn)為可以通過認(rèn)證。但在Windows 2000 IPSec策略中,這種認(rèn)證方式被認(rèn)為不夠安全而一般不推薦使用。
    四、公鑰加密
    IPSec的公鑰加密用于身份認(rèn)證和密鑰交換。公鑰加密,也被稱為"不對稱加密法",即加解密過程需要兩把不同的密鑰,一把用來產(chǎn)生數(shù)字簽名和加密數(shù)據(jù),另一把用來驗證數(shù)字簽名和對數(shù)據(jù)進行解密。
    使用公鑰加密法,每個用戶擁有一個密鑰對,其中私鑰僅為其個人所知,公鑰則可分發(fā)給任意需要與之進行加密通信的人。例如:A想要發(fā)送加密信息給B,則A需要用B的公鑰加密信息,之后只有B才能用他的私鑰對該加密信息進行解密。雖然密鑰對中兩把鑰匙彼此相關(guān),但要想從其中一把來推導(dǎo)出另一把,以目前計算機的運算能力來看,這種做法幾乎完全不現(xiàn)實。因此,在這種加密法中,公鑰可以廣為分發(fā),而私鑰則需要仔細(xì)地妥善保管。