IPsec在網絡安全中的應用

李治國 劉義武 戚曉晶

（92124部隊，遼寧 大連 116023）

引言

IPsec是以IP包為單位對信息進行暗號化的方式，來對傳輸途中的信息包進行加密或者防止遭到篡改的一種協議，是保護IP協議安全通信的標準，它主要對IP協議分組進行加密和認證。IPSec協議給出了應用于IP層上網絡數據安全的一整套體系結構，包括網絡認證協議、封裝安全載荷協議、密鑰管理協議和用于網絡認證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。

IPSec在IP層上對數據包進行安全處理，提供數據源的驗證，數據完整性，數據機密性，抗重放等安全服務。各種應用程序可以享用IP層提供的安全服務和密鑰管理，而不必設計和實現自己的安全機制，因而大大減少了密鑰協商的開銷，也降低了生長安全漏洞的可能性。

1 IPSec協議

1.1 IPSec目標

IPSec定義了IP層使用的安全服務，它面向IP層以上的數據保護，主要有以下的安全目標：

1.1.1 身份驗證：能夠可靠的確定接收到的數據與發送的數據一致，并且確保發送該數據的實體與其所宣稱的身份一致。

1.1.2 完整性：能夠可靠的確定數據在從源到目的地傳送的過程中沒有被修改。

1.1.3 機密性：確保數據只能為預期的接收者使用，而不能為其他任務實體使用或者讀出。

1.1.4 對包重放攻擊的防范。重放攻擊是指攻擊者發送一個目的主機已接收過的包，通過占用接收系統的資源，這種攻擊使系統的可用性受到損害，作為無連接協議，IP很容易受到重放攻擊的威脅。

1.2 IPSec基本特征

IPSec建立在兩個基本概念之上：

1.2.1 安全協議

安全協議提供了下列服務：原始認證、無連接完整性、加密、反重放，并通過使用兩種報頭來實現這些服務：認證報頭（AH）和封裝安全荷載（ESP）。它們用于隧道模式或傳輸模式。隧道模式封裝整個IP報文，而傳輸模式只封裝上層信息。在路由器中，IP報頭中的部分是不會變化的，比如，源和目的IP地址在隧道模式中，AH認證數據是基于整個原始IP報文的內容計算的，新IP頭中的選定部分在整個路由器中不發生變化。當報文路由時，發生變化的IP報頭并不用來計算認證數據。

1.2.2 密鑰管理

密鑰協商時發生在兩個進行IPSec通信的路由器之間。密鑰協商線程通過IKE協議，定期的在不安全的網絡上實現安全的密鑰交換。密鑰管理模塊的工作就是：密鑰的產生、銷毀和密鑰協商過程，它的焦點在于如何在非安全的網絡上交換IPSec算法使用的秘密密鑰，諸如認證數據的MAC算法和產生荷載數據的ESP加密密鑰等。我們可以采用手工的方式或者自動的過程來通知IPSec設備它們的密鑰。手工方式需要為每臺IPSec主機配置每一條SA所需的密鑰，因而很少使用。自動過程則使用名為IKE的密鑰管理協議。IKE充分考慮了IPSec使用的所有算法交換密鑰的復雜性，通過將密鑰管理函數替代普通的密鑰管理協議簡化了將新算法添加進IPSec協議套的過程，實現了在非安全網絡上安全的交換秘密密鑰。

2 IPSec的實現

在理解了IPSec的基本概念和原則之后，在路由器上配置IPSec的只需要兩個基本步驟：

2.1 使用ISAKMP進行密鑰交換

第一步是在每個IPSec對等端上建立一個ISAKMP的策略，它定義了與每個IPSec對等端協商的參數。ISAKMP策略的參數有：

加密算法DES,3DES；

Hash算法SHA，MD5；

認證方式RSA數字簽名，RSA臨時預共享密鑰。

2.2 使用IPSec

在配置完ISAKMP之后，配置IPSec需要以下步驟：

創建一個定義IPSec處理流量的訪問表；

創建一個定義用于所創建的訪問表上的安全策略的交換；

創建一個匹配訪問表和交換集的Crypto映射給IPSec對等端；

將Crypto映射應用到具體的接口上。

3 IPSec典型應用

3.1 體系設計

本例中，有2個通過低速128Kbps鏈路和低端2600系列路由器連到Internet的結點。在這兩個結點之間建立使用標準加密的安全連接。并希望盡可能減少額外的工作。同時要求加密 telnet會話來保證他們的密鑰被安全地傳送，但同時又希望結點之間所有的流量被認證。兩個路由器的以太口地址分別為172.50.1.0/24和150.100.1.0/24，串口地址段為205.15.1.0/24.拓撲結構如下：

3.2 配置清單

Router A和B的配置：

3.3 分析

根據需求，采用IPSec完全能滿足加密需求。首先，定義一個ISAKMP密鑰交換策略，它會定義允許ISAKMP與每一對等路由器協商密鑰交換的參數，這些參數在路由器上匹配。然后定義每一IPSec對等端使用的共享密鑰，這里使用itsasecret，它在每個IPSec路由器上都是相同的。然后定義IPSec用來創建一個或多個交換集的算法。設置用于分類使用不同變換集流量的訪問表。本例中創建了101和102兩條訪問表來匹配網段之間的流量。在設置完訪問表之后，創建一個crypto map，并應用到對應的路由器接口上，完成整個路由器的數據加密配置過程。

4 結束語

作為網絡基本節點的路由器，使用安全協議為周邊的數據通信提供強大的安全保障是IP網絡的發展趨勢，而IPSec協議經過實踐證明是IP安全協議中最為成熟和可靠的，在路由器中集中IPSec協議已成為重要的部分。

[1]merike kaeo.瀟湘工作室譯.網絡安全性設計[M].北京:人民郵電出版社，2000.

[2]謝希仁,鳴,張興元.計算機網絡[M].北京：電子工業出版社，2003.

[3]楊義先,鈕心忻,李名選.網絡信息安全與保密[M].北京人民郵電出版社，2001.