實現IPsec安全性的協議有哪些?
IPsec是專門用來解決IPv4 的一些基礎安全性問題的。為了解決這些問題,它實現了四個服務:數據傳輸加密、數據完整性驗證、數據源認證和數據狀態完整性。為了實現這些服務,IPsec VPN引入了許多協議。在本篇文章中,您將學習到實現IPsec安全性的協議。
十五年前虛擬專用網對于大多數企業來說還是個很新的概念。但在今天,任意重要的安全和路由相關產品中都含有標準的VPN功能,這項技術愈來愈成為企業運作的一個基本需求。眾所周知,大多數協議和應用程序在因特網上是通過明文傳輸的,通過VPN使用加密的數據在公共網上傳輸可以防止被黑客嗅探到敏感的數據并且可以幫助企業遵守數據隱私權。
早期的VPN產品需要在接入本地網絡的遠程客戶機上安裝自己的客戶端,現在有很多產品依然如此。這種加密方式和支持的協議使它們要么是個很好的選擇要么是個很糟的選擇,因為他們很容易被泄露出去。比如,點到點隧道協議曾一致被用來作為VPN解決方案,但是它并沒有提供足夠的安全因為通過GRE隧道加密不夠強而且通過MS-CHAP驗證太簡單。
今天,基于IPsec的VPNs成為了一種標準。使用因特網安全協議和其他相關協議,他們能夠提供足夠的安全性和加密措施用來保證會話是安全的并且被適當的加密過。
另外,較廣范圍的應用程序和數據的移動性為SSLVPN和移動設置VPNs鋪平了道路,隨著企業拓寬了員工接入敏感數據所使用的設備范圍,他們同樣擴大了傳輸數據的應用程序的數量。SSLVPN可以用來保護所有這些應用程序。
企業比以往有更多的選擇來保護自己敏感的數據并同時開啟遠程訪問和遵從數據隱私權。曾一度有人問:“是用IPsec還是SSL?”但是很多企業發現他們不是互相排斥的。當被考慮作為一個大規模遠程訪問方案時,每項技術都有自己的優勢。
IPsec VPN
IPsec VPN框架是一個IETF 標準套件,它能夠在不安全的網絡中實現安全的數據傳輸,如Internet。IPsec VPN提供了一些在網絡層實現安全通信的協議,以及一個用于交換身份和安全性協議管理信息的機制。IPsec套件是專門用來解決IPv4 的一些基礎安全性問題的。
為了解決這些漏洞,IETF已經開發了不同的協議標準定義。這些標準實現了以下四個基本服務:
數據傳輸加密:發起的主機能夠在傳輸之前對數據包進行加密。
數據完整性驗證:接收的主機能夠驗證每一個到達的數據包,保證所傳輸的原始數據已經成功接收。
數據源認證:發起的主機能夠給數據包添加標記,這樣接收者能夠認證這些數據。
數據狀態完整性:發起和接收的主機都能夠給數據包添加標記,這樣數據流的任何重復傳輸都可以被檢測和拒絕(這就是所謂的抗重放)。
IPsec VPN簡介
IPsec VPN工作在OSI Layer 3。
IPsec VPN能夠在遠程位置與企業網絡之間實現一個安全通道。
IPsec VPN需要使用安裝在主機上的客戶端和位于中央的硬件。
持續的IPsec VPN配置維護和帳號管理可能需要很大工作量。
用戶擁有完整的內部網絡功能。
IPsec VPN的訪問控制比較寬松。
IPsec VPN專門對VoIP、多媒體和網絡層傳輸進行了優化。
IPsec VPN使用了許多不同的安全性協議來實現這些服務。在底層,這些協議可以分成兩類:數據包協議和服務協議。數據包協議用于實現數據安全性服務。這里有兩種IPsec數據包協議:Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外還有許多服務協議,但是其中最主要的一個是Internet Key Exchange protocol (IKE)。
下面是IPsec VPN實現中通常會使用的協議簡要概述:
Authentication Header:AH定義在IETF RFC 2402,它支持IPsec數據驗證、認證和完整性服務。它不支持數據加密。AH一般是單獨實現的,但是它也可以與ESP一起實現。AH只有當我們需要保證交換數據雙方安全時才會使用。
Encapsulating Security Payload:ESP定義在IETF RFC 2406,它支持IPsec數據加密、驗證、認證和完整性服務。ESP可以單獨實現,也可以與AH一起實現。AH頭是預先設置在IP數據包的數據有效內容位置的,而ESP則將IP數據包的整個數據部分封裝到一個頭和尾上。
Internet Security Association and Key Management Protocol (ISAKMP):這些協議提供了實現IPsec VPN服務協商的框架和過程。ISAKMP定義在IETF RFC 2408。IKE定義在IETF RFC 2409。ISAKMP定義了創建和刪除認證密鑰和安全關聯(SA)的模式、語法和過程。IPsec節點會使用SA來跟蹤不同IPsec節點之間協商的各個方面的安全性服務政策。
Internet Key Exchange:IKE是 Oakley密鑰判定協議和SKEME密鑰交換協議的混合物。IKE協議負責管理IPsec VPN節點的ISAKMP中的IPsec安全關聯。IKE協議可以被ISAKMP使用; 但是它們并不相同。IKE是建立IPsec節點之間IPsec連接的機制。
作者:SearchEnterpriseWAN.com
