IP安全,IP安全是什么意思

IPSec協(xié)議是一個協(xié)議套件，為IP數(shù)據包中封裝的所有上層數(shù)據提供透明的安全保護，無需修改上層協(xié)議。IPSec的目的是在因特網協(xié)議棧中的IP層提供安全業(yè)務。它使系統(tǒng)能按需選擇安全協(xié)議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。網絡通信易于受到各種攻擊, IPSec旨在為端系統(tǒng)提供相互身份驗證的方法,保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑以及傳輸中的數(shù)據不被竊取和攻擊。

IPSec依靠密碼技術保護各種環(huán)境中的通信,包括在專用網中計算機之間的通信鏈路,公司站點之間的鏈路,以及撥號用戶和公司LAN之間的鏈路。IPSec也用于貿易伙伴之間(外聯(lián)網連接)和電子商務應用。

IPSec是一個為IPv4和IPv6設計的“隧道協(xié)議”。隧道是在一對主機、一對安全網關(通常是防火墻),或一個安全網關和一個主機之間的“路徑”。可以建立一個隧道,運載所有的通信量,或在相同端點之間建立多個隧道,支持不同的TCP業(yè)務。

IPSec的一個重要特征是它能提供跨越IP網絡的端到端安全。低層安全協(xié)議只能提供單一鏈路的保護。但是應該把IPSec和上層會話協(xié)議,例如SSL(安全套接層),區(qū)分開。SSL已經成為Web服務器和客戶機之間安全通信的支柱。SSL仍然是小量用戶交易(例如從Amazon.com買一本書)的首選方法。但是SSL僅確保了會話安全,而非像IPSec那樣保護主機之間的IP連接?！　?

IPSec有多種模式和業(yè)務,如下所述:

數(shù)據來源驗證 分組的頭部已經簽了名(通過一個散列算法來進行),因此接收者可以相信分組是可信的。

無連接完整性 簽名過程可以向接收者確保數(shù)據分組在傳輸過程中沒有被更改。

機密性 全部或部分分組可以用加密來隱藏他們的內容。加密隱藏了傳輸過程中原始分組的IP頭,因此外部分組需要有一個可以被中間轉發(fā)系統(tǒng)讀取的頭部。

重放保護 通過保護/隱藏重要分組信息,IPSec防止某人獲取分組,并在以后重放它們,　從而進入系統(tǒng)。

密鑰管理 IPSec使用IKE (因特網密鑰交換)管理各方面之間安全密鑰的交換。IKE是一個混合協(xié)議，它實際上使用到了ISAKMP協(xié)議（Internet 安全關聯(lián)和密鑰管理協(xié)議）、Oakley協(xié)議（密鑰確定協(xié)議）和描述支持匿名和快速密鑰刷新的密鑰交換的SKEME協(xié)議。IKE除了實現(xiàn)通信雙方的密鑰材料交換，還使用ISAKMP實現(xiàn)IPSec的安全關聯(lián)。

這些目標是通過使用兩大傳輸安全協(xié)議，頭部認證（AH） 和封裝安全負載 （ESP），以及密鑰管理程序和協(xié)議的使用來完成的。所需的 IPsec 協(xié)議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統(tǒng)的需求來決定。AH和ESP安全報頭都可以單獨使用，但是為了確保安全性，它們通常一起使用。當把加密和驗證結合起來，就可以在主機之間傳輸具有驗證和機密性的IP包。一般通過捆綁傳輸和隧道傳輸來實現(xiàn)兩者的結合。

IPSec出現(xiàn)得較晚。部分原因是它最初是為IPV6設計的,而IPv6的發(fā)布日期被改動了許多次。供應商產品之間的互用性也有問題。加密是處理器密集型的,在某些環(huán)境下可能不被支持。但是像Intel這樣的供應商已經開發(fā)了安全適配器,通過卸載加密加速IPSec的處理。