IPSec标准 虚拟专用网络的安全基础[2]

    IPSec提供三项主要的功能：单一认证功能(AH)，认证、加密组合功能(ESP)及钥匙交换功能。

    对于VPN来说，认证和加密都是必需的，因为只有双重安全措施才能确保未经授权的用户不能进入VPN，同时，Internet上的窃听者无法读取VPN上传输的信息。大部分的应用实例中都采用了ESP而不是AH。钥匙交换功能允许手工或自动交换密钥。

    当前的IPSec支持数据加密标准（DES），但也可以使用其它多种加密算法。因为人们对DES的安全性有所怀疑，所以用户会选择使用Triple-DES（即三次DES加密）。至于认证技术，将会推出一个叫作HMAC（MAC 即信息认证代码Message Authentication Code）的新概念。

    传输及隧道模式

    ESP 支持传输模式，这种方式保护了高层协议。传输模式也保护了IP包的内容，特别是用于两个主机之间的端对端通讯（例如，客户与服务器，或是两台工作站）。传输模式中的ESP加密及有时候会认证IP 包内容，但不认证IP的包头。这种配置对于装有IPSec的小型网络特别有用。

    但是，要全面实施VPN，使用隧道模式会更有效。ESP也支持隧道模式，保护了整个IP包。为此，IP包在添加了ESP字段后，整个包以及包的安全字段被认为是新的IP包外层内容，附有新的IP外层包头。原来的（及内层）包通过“隧道”从一个IP网络起点传输到另一个IP网点，中途的路由器可以检查IP的内层包头。因为原来的包已被打包，新的包可能有不同的源地址及目的地址，以达到安全的目的。

    隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的路由器或防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec 也能安全地通信。这些主机所生成的未加保护的网包，经过外网，使用隧道模式的安全组织规定（即SA，发送者与接收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数）传输。

    以下是隧道模式的IPSec运作的例子。某网络的主机甲生成一个IP包，目的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。防火墙把所有出去的包过滤，看看有哪些包需要进行IPSec的处理。如果这个从甲到乙的包需要使用IPSec，防火墙就进行IPSec的处理，并把网包打包，添加外层IP包头。 这个外层包头的源地址是防火墙，而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送到主机乙的防火墙，中途的路由器只检查外层的IP包头。主机乙网络的防火墙会把外层IP包头除掉，把IP内层发送到主机乙去。

    钥匙管理

    IPSec 的钥匙管理部分负责密钥的分发。IPSec架构支持两种密钥管理方式。

    人工手动管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。

    另一方面，自动管理系统可以随时建立新的SA密钥，并可以对较大的分布式系统上使用密钥进行定期的更新。自动管理模式是很有弹性的，但需要花费更多的时间及精力去设置，同时，还需要使用更多的软件。

    IPSec的自动管理密钥协议的默认名字是ISAKMP/Oakley。互联网安全组织及密钥管理协议（Internet Security Association and Key Management Protocol ISAKMP）对互联网密钥管理的架构以及特定的协议提供支持。

    Oakley 密钥使用的协议基于Diffle-Hellman 算法，但它也提供额外的安全功能。特别是Oakley包括认证用户的机制。

    IPSec及VPN

    由于企业及政府用户需要把它们的专用WAN/LAN 架构与互联网连接，以便访问互联网的服务，所以他们非常热衷于部署安全的IP。用户需要把它们的网络与互联网分隔，但同时要在网上发送及接受网包。安全的IP就可以提供网上的认证及隐私机制。

    因为IP安全机制是独立定义，其用途与现在的IP或IPv6不同，IP安全机制不需要依靠IPv6部署。我们可以看到安全IP的功能会首先被广泛使用，它会比IPv6先流行起来，因为对IP层的安全需求远比增加IPv6功能的需求多许多。

    有了IPSec，管理人员就有了实施VPN的安全标准。此外，所有在IPSec中使用的加密及认证算法已经过仔细的研究和几年的验证，所以用户大可放心地将安全问题交付给IPSec。