知识百科
您的位置:网站首页 > 知识百科 > 什么是IPsec?IPsec简单概述

什么是IPsec?IPsec简单概述

时间:2021-06-24 13:01 发布:http://www.pbsvpn.com 点击量:287

本文对 IPsec 的工作原理、系统组件以及它们如何组合在一起以提供上述安全服务进行了高级描述。本说明的目的是使读者能够“想象”整个过程/系统,了解它如何适应 IP 环境,并为本文档的后面部分提供环境,这些部分更详细地描述了每个组件。

IPsec 实施在主机或安全网关环境中运行,为 IP 流量提供保护。提供的保护基于由用户或系统管理员建立和维护的安全策略数据库(Security Policy Database,SPD) 定义的要求,或者由在上述任一者建立的约束内运行的应用程序定义。通常,根据与数据库 (SPD) 中的条目匹配的 IP 和传输层报头信息(选择器,第 4.4.2 节),为三种处理模式之一选择数据包。根据选择器识别的适用数据库策略,每个数据包要么被提供 IPsec 安全服务,要么被丢弃,要么被允许绕过 IPsec。

1、IPsec 的作用

IPsec 通过使系统能够选择所需的安全协议、确定用于服务的算法以及放置提供所请求的服务所需的任何加密密钥,在 IP 层提供安全服务。 IPsec 可用于保护一对主机之间、一对安全网关之间或安全网关与主机之间的一个或多个“路径”。 (在整个 IPsec 文档中使用的术语“安全网关”是指实现 IPsec 协议的中间系统。例如,实现 IPsec 的路由器或防火墙就是安全网关。)

IPsec 可以提供的一组安全服务包括访问控制、无连接完整性、数据源身份验证、重放数据包的拒绝(部分序列完整性的一种形式)、机密性(加密)和有限的流量流机密性。因为这些服务是在 IP 层提供的,所以它们可以被任何高层协议使用,例如 TCP、UDP、ICMP、BGP 等。

IPsec DOI 还支持 IP 压缩的协商 [SMPT98],部分原因是观察到当在 IPsec 中使用加密时,它会阻止较低协议层的有效压缩。

2、IPsec 的工作原理

IPsec 使用两种协议来提供流量安全——认证报文头 (Authentication Header,AH) 和封装安全载荷 (Encapsulating Security Payload,ESP)。这两种协议在它们各自的 RFC [KA98a, KA98b] 中有更详细的描述。

* IP认证报文头(AH) [KA98a] 提供无连接完整性、数据源身份验证和可选的抗重播服务。

* 封装安全载荷(ESP)协议 [KA98b] 可以提供机密性(加密)和有限的流量流机密性。它还可以提供无连接完整性、数据源身份验证和抗重放服务。(无论何时调用 ESP,都必须应用这些安全服务中的一组或另一组。)

* AH 和 ESP 都是访问控制的工具,基于加密密钥的分配和与这些安全协议相关的流量管理。

这些协议可以单独应用或相互组合应用,以提供一组所需的 IPv4 和 IPv6 安全服务。

每个协议支持两种使用模式:传输模式和隧道模式。在传输模式中,协议主要为上层协议提供保护;在隧道模式下,这些协议适用于隧道传输的 IP 数据包。两种模式之间的差异在第 4 节中讨论。

IPsec 允许用户(或系统管理员)控制提供安全服务的粒度。例如,可以创建单个加密隧道来承载两个安全网关之间的所有流量,或者可以为通过这些网关进行通信的每对主机之间的每个 TCP 连接创建单独的加密隧道。IPsec 管理必须包含用于指定的设施:

* 使用哪些安全服务以及使用哪些组合

* 应用应该给定安全保护的粒度

* 用于实现基于密码的安全性的算法

因为这些安全服务使用共享的秘密值(加密密钥),所以 IPsec 依赖于一套单独的机制来放置这些密钥。(密钥用于身份验证/完整性和加密服务。)本文档要求支持手动和自动分配密钥。它指定了一种特定的基于公钥的方法(IKE——[MSST97,Orm97,HC98])用于自动密钥管理,但可以使用其他自动密钥分发技术。例如,可以使用基于 KDC 的系统(如 Kerberos)和其他公钥系统(如 SKIP)。

3、IPsec可以怎么使用

IPsec 可以通过多种方式在主机中实现,或者与路由器或防火墙结合使用(以创建安全网关)。下面提供了几个常见的例子:

A. 将 IPsec 集成到本地 IP 实现,这需要访问 IP 源代码,并且适用于主机和安全网关。

B. “Bump-in-the-stack” (BITS) 实现,IPsec在本地 IP 和本地网络驱动程序之间的 IP 协议栈的现有实现之下实现。在这种情况下不需要 IP 堆栈的源代码访问,这使得这种实现方法适用于遗留系统。当采用这种方法时,通常在主机中使用。

C. 外置加密处理器的使用是军方使用的网络安全系统以及一些商业系统的常见设计特征。它有时被称为“Bump-in-the-wire”(BITW)实现。此类实现可以设计为服务于主机或网关(或两者)。通常 BITW 设备是 IP 可寻址的。在支持单个主机时,它可能非常类似于 BITS 实现,但在支持路由器或防火墙时,它必须像安全网关一样运行。

以上就是IPsec简单概述的介绍

如果您在海外有分支机构,或在海外有服务器需要传输大量的数据,要实现高清视频会议或电话会议,可以考虑使用MPLS VPN解决方案。    国际线路咨询热线:185-1068-0975