IPSec定义与IPSec协议体系结构

1　IPSec的定义

　　IPSec（Internet Protocol Security）即Intenet安全协议，是IETF提供Internet安全通信的一系列规范，它提供私有信息通过公用网的安全保障。IPSec适用于目前的版本IPv4和下一代IPv6。IPSec规范相当复杂，规范中包含大量的文档。由于IPSec在TCP/IP协议的核心层——IP层实现，因此可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台。IPSec 也是被下一代Internet 所采用的网络安全协议。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。

IPSec的基本目的是把密码学的安全机制引入 IP协议，通过使用现代密码学方法支持保密和认证服务，使用户能有选择地使用，并得到所期望的安全服务。IPSec是随着IPv6的制定而产生的，鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的。

2　IPSec协议体系结构

IPSec将几种安全技术结合形成一个完整的安全体系，它包括安全协议部分和密钥协商部分。

（1）安全关联和安全策略：安全关联（Security Association，SA）是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。

（2）IPSec 协议的运行模式：IPSec协议的运行模式有两种，IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下，只要IPSec双方有一方是安全网关或路由器，就必须使用隧道模式。传输模式下，IPSec 主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。

（3）AH（Authentication Header，认证头）协议：设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制，但是不提供数据机密性保护。 验证报头的认证算法有两种： 一种是基于对称加密算法（如DES），另一种是基于单向哈希算法（如MD5或SHA-1）。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据（传输层数据）和IP头中的固定字段提供认证保护，把AH插在IP报头的后面，主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中，作为新报文的载荷， 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。

（4）ESP（Encapsulate Security Payload，封装安全载荷）协议：封装安全载荷（ESP）用于提高Internet协议（IP）协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中，数据机密性是ESP的基本功能，而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性，它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。

（5）Internet 密钥交换协议（IKE）：Internet密钥交换协议（IKE）是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体（如网络终端或网关）进行安全通信派生会话密钥。IKE建立在Internet安全关联和密钥管理协议（ISAKMP）定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议，IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理，同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议（Oakley和SKEME安全密钥交换机制）的一部分功能，并综合了Oakley和SKEME的密钥交换方案，形成了自己独一无二的受鉴别保护的加密材料生成技术。

3　结束语

虽然IPSec协议目前应用比较广泛，性能比较稳定。但是IPSec协议是一个比较新的安全协议，而且非常复杂，作为一个还没有完全成熟的协议，IPSec 在理论上和实践上都有一些问题有待改进。其不足之处主要是由其复杂性和灵活性引起的，IPSec 包括了太多的选项，提供了过多可以变通的地方。相信随着IP技术的发展，IPSec协议会日臻完善！

来源：VOIP中国