进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安全的通信才成为可能。
　　
　　IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是与其前一节提到的协议工作方式类似的隧道模式，另一种是传输模式。
　　
　　传输模式，如图2所示，只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。
　　　
　　图2 传输模式示意图
　　
　　隧道模式，如图3所示，对整个IP数据色进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。
　　　
　　　
　　图3隧道模式示意图
　　
　　3)IPSec中的三个主要协议
　　
　　前面已经提到IPSec主要功能为加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH，ESP和IKE三个协议规定。为了介绍这三个协议，需要先引人一个非常重要的术语棗SA(Securlty Association安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。
　　
　　 通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，我们就说双方建立了一个SA。SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。当给定了一个SA，就确定了IPSec要执行的处理，如加密，认证等。SA可以进行两种方式的组合，分别为传输临近和嵌套隧道。
　　
　　1)ESP(Encapsulating Secuity Fayload)
　　
　　 ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，例如DES，TripleDES，RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。
　　
　　ESP协议数据单元格式三个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引(SPl)和序列号(Sequencenumber)。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载，填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部(Next Header)”用来指出有效负载部分使用的协议，可能是传输层协议(TCP或UDP)，也可能还是IPSec协议(ESP或AH)。
　　
　　通常，ESP可以作为IP的有效负载进行传输，这JFIP的头UKB指出下广个协议是ESP，而非TCP和UDP。由于采用了这种封装形式，所以ESP可以使用旧有的网络进行传输。
　　
　　前面已经提到用IPSec进行加密是可以有两种工作模式，意味着ESP协议有两种工作模式：传输模式(Transport Mode)和隧道模式(TunnelMode)。当ESP工作在传输模式时，采用当前的IP头部。而在隧道模式时，侍整个IP数据包进行加密作为ESP的有效负载，并在ESP头部前增添以网关地址为源地址的新的IP头部，此时可以起到NAT的作用。
　　
　　2)AH(Authentication Header)
　　
　　AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了对可以对IP的有效负载进行认证外，还可以对IP头部实施认证。主要是处理数据对，可以对IP头部进行认证，而ESP的认证功能主要是面对IP的有效负载。为了提供最基本的功能并保证互操作性，AH必须包含对HMAC?/FONT>SHA和HMAC?/FONT>MD5(HMAC是一种SHA和MD5都支持的对称式认证系统)的支持。
　　
　　AH既可以单独使用，也可在隧道模式下，或和ESP联用。
　　
　　3)IKE(Internet Key Exchange)
　　
　　IKE协议主要是对密钥交换进行管理，它主要包括三个功能：
　　
　　●对使用的协议、加密算法和密钥进行协商。
　　
　　●方便的密钥交换机制(这可能需要周期性的进行)。
　　
　　●跟踪对以上这些约定的实施。
　　
　　3．VPN系统的设计
　　
　　如图4所示，VPN的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密／解密模块、数据分组封装／分解模块和加密函数库几部分组成。
　　
　　　
　　管理模块负责整个系统的配置和管理。由管理模块来决定采取何种传输模式，对哪些IP数据包进行加密／解密。由于

上一页  [1] [2]