广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

前面我们在虚拟专用网络的安全基础中提到过虚拟专用网采用的标准。ipsec是一系列基于ip网络（包括intranet、extranet和internet）的，由ietf正式定制的开放性ip安全标准，是虚拟专网的基础，已经相当成熟可靠。这里主要介绍：

ipsec

ipsec的优点

vpn工作原理

ipsec的实现方式

ipsec及vpn

ipsec

1994年，互联网体系机构理事会（internet architecture board iab）曾发表了一篇关于《互联网体系结构中的安全问题（rfc 1636）》的报告。报告中陈述了人们对安全的渴望，并阐述了安全机制的关键技术。其中包括保护网络架构免受非法监视及控制、以及保证终端用户之间使用认证和加密技术进行安全交易等。

后来的事实证明，人们对这一问题的关注是不无道理的。计算机紧急事件响应队（cert）在1996年的年终报告中列举了影响近11，000个站点的2，500多起安全事件。其中最严重的攻击包括ip哄骗（入侵者伪造假的ip地址，并对基于ip认证的应用程序进行哄骗）和各种的窃听和嗅探网包（攻击者在信息传输过程中非法截取如登录口令或数据库内容一类的敏感信息）。

iab为了杜绝这些手段，将认证和加密作为下一代ip（即ipv6）中必不可少的安全特征。这就意味着厂商可以开始提供这些项目的服务了。实际上有一些厂商已经在这样做了。

ipsec细则首先于1995年在互联网标准草案中颁布。

ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。下面的例子指明了ipsec的用途。


保证internet上各分支办公点的安全连接。公司可以借助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络，而只需依托internet即可以获得同样的效果。
保证internet上远程访问的安全。在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
通过外部网或内部网建立与合作伙伴的联系。ipsec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。
提高了电子商务的安全性。尽管在电子商务的许多应用中已嵌入了一些安全协议，ipsec的使用仍可以使其安全级别在原有的基础上更进一步，因为所有由网络管理员指定的通信都是经过加密和认证的。
ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证，正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。

ipsec的优点

如果在路由器或防火墙上执行了ipsec，它就会为周边的通信提供强有力的安全保障。一个公司或工作组内部的通信将不涉及与安全相关的费用。下文叙述了ipsec的一些优点：

ipsec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec，应用程序一类的上层软件也不会被影响。
ipsec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。
如果需要的话，ipsec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。
ipsec正向internet靠拢。已经有一些机构部分或全部执行了ipsec。iab的前任总裁christian huitema认为，关于如何保证internet安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供ip级的安全，ipsec必须成为配置在所有相关平台（包括windows nt，unix和macintosh系统）的网络代码中的一部分。

实际上，现在发行的许多internet应用软件中已包含了安全特征。例如，netscape navigator和microsoft internet explorer支持保护互联网通信的安全套层协议（ssl），还有一部分产品支持保护internet上信用卡交易的安全电子交易协议（set）。然而，vpn需要的是网络级的功能，这也正是ipsec所提供的。

vpn工作原理

ipsec提供三种不同的形式来保护通过公有或私有ip网络来传送的私有数据：

认证--可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性--使相应的接收者能获取发送的真正内容，而无意获取数据的接收者无法获知数据的真正内容。
在ipsec由三个基本要素来提供以上三种保护形式：认证协议头（ah）、安全加载封装（esp）和互联网密匙管理协议（ikmp）。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。

对于vpn来说，认证和加密都是必需的，因为只有双重安全措施才能确保未经授权的用户不能进入vpn，同时，internet上的窃听者无法读取vpn上传输的信息。大部分的应用实例中都采用了esp而不是ah。钥匙交换功能允许手工或自动交换密钥。

当前的ipsec支持数据加密标准（des），但也可以使用其它多种加密算法。因为人们对des的安全性有所怀疑，所以用户会选择使用triple-des（即三次des加密）。至于认证技术，将会推出一个叫作hmac（mac 即信息认证代码message authentication code）的新概念。

认证协议头（ah）是在所有数据包头加入一个密码。正如整个名称所示，ah通过一个只有密匙持有人才知道的"数字签名"来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；ah还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于ah不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的ah标准是md5和sha-1，md5使用最高到128位的密匙，而sha-1通过最高到160位密匙提供更强的保护。
安全加载封装（esp）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密匙打开内容。esp也能提供认证和维持数据的完整性。最主要的esp标准是数据加密标准（des），des最高支持56位的密匙，而triple-des使用三套密匙加密，那就相当于使用最高到168位的密匙。由于esp实际上加密所有的数据，因而它比ah需要更多的处理时间，从而导致性能下降。
密匙管理包括密匙确定和密匙分发两个方面，最多需要四个密匙：ah和esp各两个发送和接收密匙。密匙本身是一个二进制字符串，通常用十六进制表示，例如，一个56位的密匙可以表示为5f39da752e0c25b4。注意全部长度总共是64位，包括了8位的奇偶校验。56位的密匙（des）足够满足大多数商业应用了。密匙管理包括手工和自动两种方式。
人工手动管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。手工管理系统在有限的安全需要可以工作得很好。使用手工管理系统，密匙由管理站点确定然后分发到所有的远程用户。真实的密匙可以用随机数字生成器或简单的任意拼凑计算出来，每一个密匙可以根据集团的安全政策进行修改。
自动管理系统能满足其他所有的应用要求。使用自动管理系统，可以动态地确定和分发密匙，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密匙管理者可以令自己更加安全，最大限度的发挥ipsec的效用。 另一方面，自动管理系统可以随时建立新的sa密钥，并可以对较大的分布式系统上使用密钥进行定期的更新。自动管理模式是很有弹性的，但需要花费更多的时间及精力去设置，同时，还需要使用更多的软件。
ipsec的自动管理密钥协议的默认名字是isakmp/oakley。互联网安全组织及密钥管理协议（internet security association and key management protocol isakmp）对互联网密钥管理的架构以及特定的协议提供支持。oakley 密钥使用的协议基于diffle-hellman 算法，但它也提供额外的安全功能。特别是oakley包括认证用户的机制。

ipsec的实现方式

ipsec的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，ipsec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通modem的pc机和工作站。通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。


ipsec packet 可以在压缩原始ip地址和数据的隧道模式使用

传送模式通常当esp在一台主机（客户机或服务勤）上实现时使用，传送模式使用原始明文ip头，并且只加密数据，包括它的tcp和udp头。
隧道模式通常当esp在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个ip数据包--包括全部tcp/ip或udp/ip头和数据，它用自己的地址做为源地址加入到新的ip头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
esp 支持传输模式，这种方式保护了高层协议。传输模式也保护了ip包的内容，特别是用于两个主机之间的端对端通讯（例如，客户与服务器，或是两台工作站）。传输模式中的esp加密及有时候会认证ip 包内容，但不认证ip的包头。这种配置对于装有ipsec的小型网络特别有用。

但是，要全面实施vpn，使用隧道模式会更有效。esp也支持隧道模式，保护了整个ip包。为此，ip包在添加了esp字段后，整个包以及包的安全字段被认为是新的ip包外层内容，附有新的ip外层包头。原来的（及内层）包通过“隧道”从一个ip网络起点传输到另一个ip网点，中途的路由器可以检查ip的内层包头。因为原来的包已被打包，新的包可能有不同的源地址及目的地址，以达到安全的目的。

隧道模式被用在两端或是一端是安全网关的架构中，例如装有ipsec的路由器或防火墙。使用了隧道模式，防火墙内很多主机不需要安装ipsec 也能安全地通信。这些主机所生成的未加保护的网包，经过外网，使用隧道模式的安全组织规定（即sa，发送者与接收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的ipsec软件ip交换所规定的参数）传输。

以下是隧道模式的ipsec运作的例子。某网络的主机甲生成一个ip包，目的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。防火墙把所有出去的包过滤，看看有哪些包需要进行ipsec的处理。如果这个从甲到乙的包需要使用ipsec，防火墙就进行ipsec的处理，并把网包打包，添加外层ip包头。 这个外层包头的源地址是防火墙，而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送到主机乙的防火墙，中途的路由器只检查外层的ip包头。主机乙网络的防火墙会把外层ip包头除掉，把ip内层发送到主机乙去。

ipsec 及vpn

由于企业及政府用户需要把它们的专用wan/lan 架构与互联网连接，以便访问互联网的服务，所以他们非常热衷于部署安全的ip。用户需要把它们的网络与互联网分隔，但同时要在网上发送及接受网包。安全的ip就可以提供网上的认证及隐私机制。

因为ip安全机制是独立定义，其用途与现在的ip或ipv6不同，ip安全机制不需要依靠ipv6部署。我们可以看到安全ip的功能会首先被广泛使用，它会比ipv6先流行起来，因为对ip层的安全需求远比增加ipv6功能的需求多许多。

有了ipsec，管理人员就有了实施vpn的安全标准。此外，所有在ipsec中使用的加密及认证算法已经过仔细的研究和几年的验证，所以用户大可放心地将安全问题交付给ipsec。

（）