IPSec基礎(chǔ)-IPSec服務(wù)

字號(hào):

IPSec基礎(chǔ)-IPSec服務(wù)
    IPSec 協(xié)議不是一個(gè)單獨(dú)的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議Internet Key Exchange (IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)...
    IPSec基礎(chǔ)-IPSec服務(wù)
    IPSec 協(xié)議不是一個(gè)單獨(dú)的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議Internet Key Exchange (IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。
    一、安全特性
    IPSec的安全特性主要有:
     ·不可否認(rèn)性 "不可否認(rèn)性"可以證實(shí)消息發(fā)送方是可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過(guò)消息。"不可否認(rèn)性"是采用公鑰技術(shù)的一個(gè)特征,當(dāng)使用公鑰技術(shù)時(shí),發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過(guò)驗(yàn)證,發(fā)送者就不能否認(rèn)曾發(fā)送過(guò)該消息。但"不可否認(rèn)性"不是基于認(rèn)證的共享密鑰技術(shù)的特征,因?yàn)樵诨谡J(rèn)證的共享密鑰技術(shù)中,發(fā)送方和接收方掌握相同的密鑰。
    ·反重播性 "反重播"確保每個(gè)IP包的性,保證信息萬(wàn)一被截取復(fù)制后,不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后,再用相同的信息包冒取非法訪問(wèn)權(quán)(即使這種冒取行為發(fā)生在數(shù)月之后)。
    ·數(shù)據(jù)完整性 防止傳輸過(guò)程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和,接收方在打開包前先計(jì)算檢查和,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。
    ·數(shù)據(jù)可靠性(加密) 在傳輸前,對(duì)數(shù)據(jù)進(jìn)行加密,可以保證在傳輸過(guò)程中,即使數(shù)據(jù)包遭截取,信息也無(wú)法被讀。該特性在IPSec中為可選項(xiàng),與IPSec策略的具體設(shè)置相關(guān)。
    ·認(rèn)證 數(shù)據(jù)源發(fā)送信任狀,由接收方驗(yàn)證信任狀的合法性,只有通過(guò)認(rèn)證的系統(tǒng)才可以建立通信連接。
    二、基于電子證書的公鑰認(rèn)證
    一個(gè)架構(gòu)良好的公鑰體系,在信任狀的傳遞中不造成任何信息外泄,能解決很多安全問(wèn)題。IPSec與特定的公鑰體系相結(jié)合,可以提供基于電子證書的認(rèn)證。公鑰證書認(rèn)證在Windows 2000中,適用于對(duì)非Windows 2000主機(jī)、獨(dú)立主機(jī),非信任域成員的客戶機(jī)、或者不運(yùn)行Kerberos v5認(rèn)證協(xié)議的主機(jī)進(jìn)行身份認(rèn)證。
    三、預(yù)置共享密鑰認(rèn)證
    IPSec也可以使用預(yù)置共享密鑰進(jìn)行認(rèn)證。預(yù)共享意味著通信雙方必須在IPSec策略設(shè)置中就共享的密鑰達(dá)成一致。之后在安全協(xié)商過(guò)程中,信息在傳輸前使用共享密鑰加密,接收端使用同樣的密鑰解密,如果接收方能夠解密,即被認(rèn)為可以通過(guò)認(rèn)證。但在Windows 2000 IPSec策略中,這種認(rèn)證方式被認(rèn)為不夠安全而一般不推薦使用。
    四、公鑰加密
    IPSec的公鑰加密用于身份認(rèn)證和密鑰交換。公鑰加密,也被稱為"不對(duì)稱加密法",即加解密過(guò)程需要兩把不同的密鑰,一把用來(lái)產(chǎn)生數(shù)字簽名和加密數(shù)據(jù),另一把用來(lái)驗(yàn)證數(shù)字簽名和對(duì)數(shù)據(jù)進(jìn)行解密。
    使用公鑰加密法,每個(gè)用戶擁有一個(gè)密鑰對(duì),其中私鑰僅為其個(gè)人所知,公鑰則可分發(fā)給任意需要與之進(jìn)行加密通信的人。例如:A想要發(fā)送加密信息給B,則A需要用B的公鑰加密信息,之后只有B才能用他的私鑰對(duì)該加密信息進(jìn)行解密。雖然密鑰對(duì)中兩把鑰匙彼此相關(guān),但要想從其中一把來(lái)推導(dǎo)出另一把,以目前計(jì)算機(jī)的運(yùn)算能力來(lái)看,這種做法幾乎完全不現(xiàn)實(shí)。因此,在這種加密法中,公鑰可以廣為分發(fā),而私鑰則需要仔細(xì)地妥善保管。
    五、Hash函數(shù)和數(shù)據(jù)完整性
    Hash信息驗(yàn)證碼HMAC(Hash message authentication codes)驗(yàn)證接收消息和發(fā)送消息的完全一致性(完整性)。這在數(shù)據(jù)交換中非常關(guān)鍵,尤其當(dāng)傳輸媒介如公共網(wǎng)絡(luò)中不提供安全保證時(shí)更顯其重要性。
    HMAC結(jié)合hash算法和共享密鑰提供完整性。Hash散列通常也被當(dāng)成是數(shù)字簽名,但這種說(shuō)法不夠準(zhǔn)確,兩者的區(qū)別在于:Hash散列使用共享密鑰,而數(shù)字簽名基于公鑰技術(shù)。hash算法也稱為消息摘要或單向轉(zhuǎn)換。稱它為單向轉(zhuǎn)換是因?yàn)椋?BR>    1)雙方必須在通信的兩個(gè)端頭處各自執(zhí)行Hash函數(shù)計(jì)算;
    2)使用Hash函數(shù)很容易從消息計(jì)算出消息摘要,但其逆向反演過(guò)程以目前計(jì)算機(jī)的運(yùn)算能力幾乎不可實(shí)現(xiàn)。
    Hash散列本身就是所謂加密檢查和或消息完整性編碼MIC(Message Integrity Code),通信雙方必須各自執(zhí)行函數(shù)計(jì)算來(lái)驗(yàn)證消息。舉例來(lái)說(shuō),發(fā)送方首先使用HMAC算法和共享密鑰計(jì)算消息檢查和,然后將計(jì)算結(jié)果A封裝進(jìn)數(shù)據(jù)包中一起發(fā)送;接收方再對(duì)所接收的消息執(zhí)行HMAC計(jì)算得出結(jié)果B,并將B與A進(jìn)行比較。如果消息在傳輸中遭篡改致使B與A不一致,接收方丟棄該數(shù)據(jù)包。