IPSec VPN快速入門
什么是IPSec VPN?IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,IPSec全稱為Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定義的安全標準框架,用以提供公用和專用網絡的端對端加密和驗證服務。
IPsec協議不是一個單獨的協議,它給出了應用于IP層上網絡數據安全的一整套體系結構,包括網絡認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,因特網密鑰交換)和用于網絡認證及加密的一些算法等。其中,AH協議和ESP協議用于提供安全服務,IKE協議用于密鑰交換。
IPsec提供了兩種安全機制:認證和加密。認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。加密機制通過對數據進行加密運算來保證數據的機密性,以防數據在傳輸過程中被竊聽。IPsec協議中的AH協議定義了認證的應用方法,提供數據源認證和完整性保證;ESP協議定義了加密和可選認證的應用方法,提供數據可靠性保證
一下子出現了三個專用名詞,這可能讓您感到十分費解,沒關系,下面我們就來具體說一說AH、ESP和IKE它們在實現IPSec中分別起著什么作用。
AH協議(IP協議號為51)提供數據源認證、數據完整性校驗和防報文重放功能,它能保護通信免受篡改,但不能防止竊聽,適合用于傳輸非機密數據。AH的工作原理是在每一個數據包上添加一個身份驗證報文頭,此報文頭插在標準IP包頭后面,對數據提供完整性保護。可選擇的認證算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。MD5算法的計算速度比SHA-1算法快,而SHA-1算法的安全強度比MD5算法高。
ESP協議(IP協議號為50)提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標準IP包頭后面添加一個ESP報文頭,并在數據包后面追加一個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密后再封裝到IP包中,以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。這三個加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法實現機制復雜,運算速度慢。對于普通的安全要求,DES算法就可以滿足需要。
在實際進行IP通信時,可以根據實際安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強于ESP。同時使用AH和ESP時,設備支持的AH和ESP聯合使用的方式為:先對報文進行ESP封裝,再對報文進行AH封裝,封裝之后的報文從內到外依次是原始IP報文、ESP頭、AH頭和外部IP頭。IPsec有如下兩種工作模式:
tunnel和transport模式下的數據封裝形式,data為傳輸層數據
隧道(tunnel)模式:用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常,隧道模式應用在兩個安全網關之間的通訊。
傳輸(transport)模式:只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭后面。通常,傳輸模式應用在兩臺主機之間的通訊,或一臺主機和一個安全網關之間的通訊 。
講完了AH、ESP及數據封裝模式,接下來我們來看一下IPSec是如何實現數據安全傳輸的。IPsec的兩個端點被稱為是IPsec對等體,要在兩個對等體之間實現數據的安全傳輸就要在兩者之間建立安全關聯(Security Association,SA)。SA是IPsec的基礎,也是IPsec的本質。SA是通信對等體間對某些要素的約定,例如,使用哪種協議(AH、ESP還是兩者結合使用)、協議的封裝模式(傳輸模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保護數據的共享密鑰以及密鑰的生存周期等。
SA是單向的,在兩個對等體之間的雙向通信,最少需要兩個SA來分別對兩個方向的數據流進行安全保護。同時,如果兩個對等體希望同時使用AH和ESP來進行安全通信,則每個對等體都會針對每一種協議來構建一個獨立的SA。SA是具有生存周期的,且只對通過IKE協商建立的SA有效,手工方式建立的SA永不老化。IKE協商建立的SA的生存周期有兩種定義方式:基于時間的生存周期,定義了一個SA從建立到失效的時間;基于流量的生存周期,定義了一個SA允許處理的最大流量。
生存周期到達指定的時間或指定的流量,SA就會失效。SA失效前,IKE將為IPsec協商建立新的SA,這樣,在舊的SA失效前新的SA就已經準備好。在新的SA開始協商而沒有協商好之前,繼續使用舊的SA保護通信。在新的SA協商好之后,則立即采用新的SA保護通信。
到這里大家可能也就明白了IKE是什么,簡單的講IKE是一種安全機制,它提供端與端之間的動態認證。IKE為IPsec提供了自動協商交換密鑰、建立SA的服務,這能夠簡化IPsec的使用和管理,大大簡化IPsec的配置和維護工作。IKE不是在網絡上直接傳輸密鑰,而是通過一系列數據的交換,最終計算出雙方共享的密鑰,有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的復雜度。
本文主要討論了IPsec實現數據安全傳輸的原理,最后我們來總結一下IPsec所具有的優點:
1、支持IKE(Internet Key Exchange,因特網密鑰交換),可實現密鑰的自動協商功能,減少了密鑰協商的開銷。可以通過IKE建立和維護安全關聯(Security Association,SA)的服務,簡化了IPsec的使用和管理。
2、所有使用IP協議進行數據傳輸的應用系統和服務都可以使用IPsec,由于IPSec工作在OSI的第3層,低于應用程序直接涉及的層級,所以對于應用程序來講,利用IPSec VPN所建立起來的隧道是完全透明的,無需修改既有的應用程序,并且,現有應用程序的安全解決方法也不會受到任何影響。
3、對數據的加密是以數據包為單位的,而不是以整個數據流為單位,這不僅靈活而且有助于進一步提高IP數據包的安全性,可以有效防范網絡攻擊。
【編輯推薦】
