IPSEC在企业网中的应用

1.IPSEC简介

IPSec 是包括安全协议(Security Protocol)和密钥交换协议（IKE），由IETF（Internet Engineering TaskForce，Internet 工程任务组）开发的，可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称，其中安全协议又包括AH（头验证协议）和ESP（安全封装载荷）；而IKE是一种基于ISAKMP（Internet Security Association and Key Management Protocol，互联网安全关联和密钥管理协议）中TCP/IP框架，合并了Oakley（密钥交换协议）的一部分和SKEME（密钥技术协议）的混合协议。

2.IPSEC的安全特性

（1）不可否认性："不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。　　

（2）抗重播性（Anti-Replay）： IPsec接收方可根据数据包数据段前加入的32位序列号来检测每个IP包的唯一性并拒绝接收过时或重复的报文，以防止***者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

（3）数据完整性（Data Integrity）： IPsec接收方利用md5,sha-1等哈希算法对发送方发送来的包进行认证，防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。　　

（4）数据可靠性（Confidentiality）：IPsec发送方在通过des,3des,aes等对称加密算法在网络传输包前对包进行加密，保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

（5）数据来源认证（Data Authentication）：IPsec在接收端通过preshared key(域共享密钥)，证书，kerberos v5等可以认证发送IPsec报文的发送端是否合法。

3.IPSEC的工作模式

（1）隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

（2）传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

4.IPSEC安全机制中两种协议的比较

AH协议（IP协议号为51）提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。，但因为IP头部分包含很多变量，比如type of service(TOS)，flags，fragment offset，TTL以及header checksum。所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。因此AH不支持NAT转换。

ESP协议（IP协议号为50）提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。

先介绍一下ipsec，导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。