摘要:本文对IPv4平安协议IPSec进行了分析,要紧包括IPSec的组成及其体系结构,对平安联盟(SA)的简单介绍、对认证机制、加密机制和密钥治理的详细讨论,其中包括认证头AH、封装载荷协议ESP的头格式和它们的工作模式、认证算法、加密算法等,另外还指出了IPSec的优缺点和进展趋势。 关键词:IPv4;IPSec协议;AH;封装平安载荷协议(ESP)
1 IPv4协议
IPv4的特点:
通过扩展的地址和路由选择功能。IP地址长度由32位增加到128位,可支持数量大得多的可寻址节点、更多级的地址层次和较为简单的地址自动配置。
概念了任意成员(any cast)的地址。用来标识一组接口,在可不能引发混淆的情形下将简称“任一地址”,发往这种地址的分组将只发给由该地址所标识的一组接口中的一个成员。
简化的首部格式。IPv4首部的某些字段被取消或改成选项,以减少报文分组处置进程中经常使用情形的处置费用,并使得IPv4首部的带宽开销尽可能低,尽管地址长度增加了。尽管IPv4地址长度是IPv4地址的四倍,但IPv4首部的长度只有IPv4首部的两倍。
支持扩展首部和选项。IPv4的选项放在单独的首部中,位于报文分组中IPv4首部和传送层首部之间。因为大多数IPv4选项首部可不能被报文分组投递途径上的任何路由器检查和处置,直至其抵达最终目的地,这种组织方式有利于改良路由器在处置包括选项的报文分组时的性能。IPv4的另一改良,是其选项与IPv4不同,可具有任意长度,不限于40字节。
支持验证和隐私权。IPv4概念了一种扩展,可支持权限验证和数据完整性。这一扩展是IPv4的大体内容,要求所有的实现必需支持这一扩展。IPv4还概念了一种扩展,借助于加密支持保密性要求。
支持自动配置。IPv4支持多种形式的自动配置,从孤立网络节点地址的“即插即用”自动配置,到DHCP提供的全功能的设施。
效劳质量能力。IPv4增加了一种新的能力,若是某些报文分组属于特定的工作流,发送者
要求对其给予特殊处置,那么可对这些报文分组加标号,例如非缺省效劳质量通信业务或“实时”效劳。
基于IPv4的网络
今世,全世界互联网高度进展。由于通信和网络的日趋融合。基于IPv4网络地址编码方式已于2020年1月正式宣告枯竭。那么,IPv4便成了能顺利解决地址耗尽问题的最好方式。将IPv4向IPv4转换成功的情形下,全世界所有的终端都能够拥有一个IP地址。
IPv4是下一版本的互联网地址编码方式,最初它的提出是由于随着互联网的高速进展,IPv4概念的有限地址将不能够知足需要。而地址空间的欠缺必然程度上妨碍了互联网的进一步进展。因此,IPv4采纳128位地址长度,能够不受限制地极大量提供IP地址,从而确保以后端到端连接进展的需要。
除地址分派具有优势,IPv4还在高效劳质量、整体吞吐量等享有优势,但在平安接入方面并无取得显著提高。IPv4关于网络平安性没有质的飞跃。IPv4与IPv4也有一样的平安问题。
平安联盟(Security Associations, SA )
平安联盟是IPSec的重要组成部份,AH和ESP协议都必需利用SA。IKE协议的要紧功能之一确实是成立和保护SA。IPSec规定所有的AH和ESP的实现都必需支持SA。一个平安联盟是一条能够对在其上传输的数据信号提供平安效劳的单工(即单方向的传输)连接。也确实是说,两个主机之间或两个平安网关之间的认证通信将利用两个SA,别离用于通信的发送方和接收方。SA提供的平安效劳取决于所选的平安协议(AH或ESP)、模式、SA作用的两头点和平安协议所要求的效劳。若是要在同一个通信流中利用AH和ESP两个平安协议,那么需要创建两个(或更多)的平安联盟来爱惜该通信流。
2 IPSec平安协议
IPSec的体系结构
在IPv4中,IPSec平安协议是一个协议族,要紧包括:认证头(AH)、封装平安载荷(ESP)、密钥互换(ZKE)等四部份。它提供的平安效劳包括有:无连接数据完整检查,身份验证,数据内容的平安性保证。有限数据流平安性保证和抗重播爱惜。IPSec协议的体系结构能够参考图一所示。
体系结构
策略
ESP协议
EH协议
加密算法
认证算法
解释域
密钥管理协议
图一 IPSec结构图
认证头协议
认证头(AH)利用在为数据原始验证、提供数据完成性和部份有限的可选的抗重播效劳。认证头概念了对数据所实施的平安爱惜的方式、头位置、输入和输出处置规那么和身份验证的覆盖范围,可是不提供所用的身份验证算法进行具体概念。认证头(AH)有两种工作模式,即隧道模式和传输模式。隧道模式是对整个IP数据提供认证爱惜,而传输模式只对传
输层数据和IP头中的固定字段提供认证爱惜,要紧适合于主机实现。AH认证头的格式如图二所示。
下一包头 (1字节) | 有效数据长度 (1字节) | 保留字段 (2字节) |
安全参数索引SPI(4字节) |
序列号(4字节) |
认证数据字段(可变) |
| | |
图二 AH认证头的格式
IPv4的认证要紧由认证头AH来完成。AH协议不仅能够对IP数据包的有效数据部份进行认证,还能够对IP数据包的IP头部进行认证。
AH老是位于外IP包头以后,但在内IP包头之前,若是还采纳了ESP协议,那么,在AH字段以后即是ESP字段,最后是其他高层协议头(如
TCP或UDP),如图三所示。
IPv4包头 | AH | ESP | 内部IP包的上层传输数据层的数据 |
| | | |
图三 带有AH头的IPv4数据包格式
认证头的工作方式及身份认证的实现
认证头有两种工作方式,即传输模式和隧道模式。传输模式只对上层协议数据(传输层数据)和IP头中的固定字段提供认证爱惜,要紧适合于主机实现。隧道模式对整个IP数据包提供认证爱惜,既可用于主机,也可用于平安网关,而且当AH在平安网关上实现时,必需采纳隧道模式。认证 头 ( AH)的认证数据是通过在数据的传输进程中对IP数据包用某种平安性很高的单向函数计算而取得的。发送方在发送一个IP数据包之前,必需先定位该数据包所对应的SA。 SA一样有两种选取方式,即面向进程的和面向主机的选取方式,前者SA的选取是依照所传输的IP数据包的目的地址和发送该IP数据包进程的进程号来决定的,而后者SA的选取那么是依照所传输的IP数据包的目的地址和发送该IP数据包的主机地址来决定的。
认证算法
IPSec 默许的认证算法是MD5认证算法,该算法的要紧原理是对明文数据进行填充和分块,
该算法中所采纳的Hash函数必需依托于求两个具有相同Hash值的消息在计算上的不可行性。当用户有某些特殊认证要求时,用户也能够选用其他适合的认证算法来计算相应的认证数据。可是,每一个支持IPSec的系统都必需实现MD5认证算法。
密钥互换协议
密钥互换协议主若是作用在密钥互换,它包括加密算法、协议和密钥协商算法。采纳密钥互换协议(IKE)一样包括两个时期:协商创建通信信道和成立“主模式”。密钥互换协议所交互的消息都是以请求和响应的方式成对显现。在协商创建通信信道消息中协商了加密算法,进行D—H互换和Nonce互换。成立“主模式”时期通过量交互消息,实现了EAP-SIM认证进程。
3 加密机制
IPSec 协议通过将加密数据放置在ESP字段中来实现对IP数据包的加密传输。用户能够依照自己的需要对整个IP数据包进行加密,也能够只对IP数据包中的高层协议部份(如TCP,UDP)进行加密。ESP和AH都能提供认证、数据完整性检查和抗重放解决,但只有ESP能加密。ESP和AH能够组合或嵌套。
封装平安载荷协议(ESP)
封装平安载荷(ESP)提供数据源验证、机密性、数据完整性和抗重播等多重平安效劳。封装平安载荷的格式是灵活的,依照不同的加密算法而各自不同,但起始处必需是平安参数索引,以便概念密钥的生存周期,加密算法等。封装平安载荷有两种加密模式,即隧道模式、传输模式。隧道模式对整个IP分组进行加密,该模式包括有足够路由信息的IP头封装,从而方便中间结点的识别,该方式适用于设置有防火墙或有其他类型平安网关的结构体系。传输模式只对传输层数据加密,各类扩展头是以用明文传输,该方式适用于端到端的加密。
封装平安载荷协议(ESP)字段的格式
ESP头能够放置在IP头以后、上层协议头(如TCP,UDP)之前,对IPv4来讲,如存在目的可选头,那么ESP插在此头之前。在隧道模式下那么把
整个IP数据包都封装在ESP的加密数据域中。
ESP字段共分为4个固定字段和一个可选项字段,其具体魄式如图四所示:
安全参数索引SP1:4字节 |
序列号:4字节 |
载荷数据:长度可变 |
| 填充项:0-255字节 |
| 填充项长度 | 下一包头 |
Authentication Data(认证数据):长度可变 |
| | |
图四
ESP的工作模式
ESP协议也利用两种模式进行数据传输,即隧道模式和传输模式。隧道模式下的ESP不但为原始IP数据包提供身份认证,而且还对原始IP数据包和ESP尾部进行加密处置(若是选择了加密),只是新的IP头仍是没有取得爱惜。这种模式既可用于主机,也可用于平安网关,而且当ESP在平安网关上实现时,必需采纳隧道模式。传输模式只对IP数据包中的上层传输层的数据部份进行封装加密,例如,对IP数据包中的TCP或UDP报文部份进行加密。不管在哪一种模式下,IPSec协议都必需在发送IP数据包之前,事前计算好ESP的各个字段,并在收到相应的IP数据包后,必需能够恢恢复先IP数据包的内容。
加密算法
在IPSec协议中,采纳ESP协议对IP层的加密问题进行处置,该协议与具体的加密算法相对独立,支持几乎所有的对称加密算法,但IPSec要求任何实现都必需支持DES(数据加密标准)。为了保证各系统之间大体的互操作性,ESP协议所采纳的缺省加密算法为54位的DES(Data Encryption Standard)加密算法。
密钥治理
Internet密钥互换IKE是成立在密钥治理协议ISAKMP(Internet Security Association and Key Management Protocol)基础上的,提供了通信两边协商平安参数和成立平安协定的框架。IKE的最终结果是一个通过验证的密钥和成立在两边同意基础上的平安协定,即SA。SA包括所有如IP层效劳、传输或应用层效劳、流通传输的自我爱惜的各类各样的网络协议所需要的信息。不管是AH仍是ESP,密钥治理都是整个平安机制平安性的关键,IKE在协商成立SA之前,必需对通信两边进行认证。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议