APP下载

浅析IPSec协议及安全联盟

2015-01-07魏鲁生武汉海事局通信信息中心

大陆桥视野 2015年24期
关键词:海事局网关报文

魏鲁生/武汉海事局通信信息中心

浅析IPSec协议及安全联盟

魏鲁生/武汉海事局通信信息中心

在网络中,绝大多数数据的传输都是明文的,这样就会存在很多潜在的危险,比如:密码、银行帐户的信息被窃取;用户的身份被冒充等。用户可以使用IPSec及安全联盟对传输的数据进行保护处理。这样,就会使信息泄漏风险降低。

IPSec;安全联盟

1.IPSec协议简介

IPSec协议族是IETF(InternetEngineeringTaskForce)制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信各方在IP层通过加密与数据源认证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

私有性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送。

完整性(Dataintegrity)指对接收的数据进行认证,以判定报文是否被篡改。

真实性(Dataauthentication)指认证数据源,以保证数据来自真实的发送者。

防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。

IPSec通过认证头AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulatingSecurityPayload)这两个安全协议来实现上述目标。并且还可以通过因特网密钥交换协议IKE(InternetKeyExchange)为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。

2.安全联盟

IPSec在两个端点之间提供安全通信,这两个端点被称为IPSec对等体。

安全联盟(SecurityAssociation)是IPSec对等体之间对某些要素的约定。例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、密码算法(DES和3DES)、特定数据流中保护数据的共享密钥以及密钥的生存周期等。

安全联盟是单向的。如果有两个主机(A和B)使用ESP进行安全通信,主机A就需要两个SA,一个SA处理外发数据包,另一个SA处理进入的数据包。同样,主机B也需要两个SA。如图1所示。

图1 安全联盟是单向的逻辑连接

安全联盟还与协议相关。如果主机A和主机B同时使用AH和ESP进行安全通信,对于主机A就需要四个SA,AH协议的两个SA(出方向和入方向各一个)和ESP协议的两个SA(出方向和入方向各一个)。同样,主机B也需要四个SA。

安全联盟由一个三元组来唯一标识。这个三元组包括:安全参数索引SPI(SecurityParameterIndex)、目的IP地址、安全协议号(AH或ESP)。SPI是为唯一标识SA而生成的一个32比特的数值,它在AH和ESP头中传输。如图2所示。

图2 安全联盟由三元组来唯一标识

3.IPSec协议的封装模式

IPSec协议有两种封装模式:

传输模式。在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。

隧道模式。在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新IP头放到AH或ESP之前。

选择隧道模式还是传输模式可以从以下方面考虑:

从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行认证和加密,而且,可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。

从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。

传输模式用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。

通常,在两个安全网关(路由器)之间的数据流量,绝大部分都不是安全网关本身的通讯量,因此在安全网关之间一般不使用传输模式,而总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。

4.总结

IPSec能够允许系统、网络的用户或管理员控制对等体间安全服务。例如,某个组织的安全策略可能规定来自特定子网的数据流应同时使用AH和ESP进行保护,并使用三重数据加密标准3DES进行加密;同时,安全策略也可能规定来自另一个站点的数据流只使用ESP保护,并仅使用DES加密。通过安全联盟,IPSec能够对不同的数据流提供不同级别的安全保护。

魏鲁生,武汉海事局通信信息中心,关注方向:光纤通信和传输网络应用技术、UPS电源维护等以及海事信息化管理技术发展与应用,湖北武汉合作路16号武汉海事局通信信息中心。

猜你喜欢

海事局网关报文
基于J1939 协议多包报文的时序研究及应用
交通运输部海事局“新一代卫星AIS验证载荷”成功发射
交通运输部海事局公布第二批可在线办理的电子证照清单
基于FPGA的工业TSN融合网关设计
一种主从冗余网关的故障模式分析与处理
低轨星座短报文通信中的扩频信号二维快捕优化与实现
中方将在渤海执行军事任务
浅析反驳类报文要点
实地考察强交流
基于6LoWPAN的嵌入式多网关系统设计与实现