淺談IPsec的工作原理及優(yōu)缺點(diǎn)

什么是IPsec?

IPsec(IP安全性)是一套協(xié)議，旨在確保IP網(wǎng)絡(luò)上數(shù)據(jù)通信的完整性，機(jī)密性和身份驗(yàn)證。雖然IPsec標(biāo)準(zhǔn)的靈活性已引起商業(yè)市場(chǎng)的興趣，但由于其復(fù)雜性，導(dǎo)致識(shí)別協(xié)議存在若干問(wèn)題，與其他安全系統(tǒng)一樣，維護(hù)不良很容易導(dǎo)致關(guān)鍵系統(tǒng)故障。

IPsec可用于三個(gè)不同的安全域：虛擬專用網(wǎng)絡(luò)、應(yīng)用程序級(jí)安全性和路由安全性。目前，IPsec主要用于VPN，當(dāng)在應(yīng)用程序級(jí)安全性或路由安全性中使用時(shí)，IPsec不是一個(gè)完整的解決方案，必須與其他安全措施結(jié)合才能發(fā)揮其有效作用。

IPsec操作

IPsec有兩種操作模式：傳輸模式和隧道模式。在傳輸模式下運(yùn)行時(shí)，源主機(jī)和目標(biāo)主機(jī)必須直接執(zhí)行所有加密操作，加密數(shù)據(jù)通過(guò)使用L2TP(第2層隧道協(xié)議)創(chuàng)建的單個(gè)隧道發(fā)送，數(shù)據(jù)(密文)由源主機(jī)創(chuàng)建，并由目標(biāo)主機(jī)檢索，這種操作模式建立了端到端的安全性。

在隧道模式下運(yùn)行時(shí)，除源和目標(biāo)主機(jī)外，特殊網(wǎng)關(guān)還會(huì)執(zhí)行加密處理。在這里，許多隧道在網(wǎng)關(guān)之間串聯(lián)創(chuàng)建，建立了網(wǎng)關(guān)到網(wǎng)關(guān)的安全性。使用這些模式中的任何一種時(shí)，重要的是為所有網(wǎng)關(guān)提供驗(yàn)證數(shù)據(jù)包是否真實(shí)的能力以及在兩端驗(yàn)證數(shù)據(jù)包的能力，必須丟棄任何無(wú)效的數(shù)據(jù)包。

IPsec中需要兩種類型的數(shù)據(jù)包編碼(DPE)：身份驗(yàn)證標(biāo)頭(AH)和封裝安全負(fù)載(ESP)DPE。這些編碼為數(shù)據(jù)提供網(wǎng)絡(luò)級(jí)安全性，AH提供數(shù)據(jù)包的真實(shí)性和完整性，通過(guò)密鑰散列函數(shù)(也稱為MAC(消息驗(yàn)證代碼))可以進(jìn)行驗(yàn)證，此標(biāo)題還禁止非法修改，并可選擇提供反重放安全性。AH可以在多個(gè)主機(jī)，多個(gè)網(wǎng)關(guān)或多個(gè)主機(jī)和網(wǎng)關(guān)之間建立安全性，所有這些都實(shí)現(xiàn)了AH ，ESP標(biāo)頭提供加密，數(shù)據(jù)封裝和數(shù)據(jù)機(jī)密性。通過(guò)對(duì)稱密鑰提供數(shù)據(jù)機(jī)密性。

在通過(guò)各種隧道和網(wǎng)關(guān)的過(guò)程中，會(huì)向數(shù)據(jù)包添加額外的標(biāo)頭，在每次通過(guò)網(wǎng)關(guān)時(shí)，數(shù)據(jù)報(bào)都包含在新的標(biāo)頭中。此標(biāo)頭中包含安全參數(shù)索引(SPI)，SPI指定最后一個(gè)系統(tǒng)用于查看數(shù)據(jù)包的算法和密鑰，此系統(tǒng)中的有效負(fù)載也受到保護(hù)，因?yàn)閷z測(cè)到數(shù)據(jù)中的任何更改或錯(cuò)誤，從而導(dǎo)致接收方丟棄數(shù)據(jù)包。標(biāo)頭應(yīng)用于每個(gè)隧道的開(kāi)頭，然后在每個(gè)隧道的末尾進(jìn)行驗(yàn)證和刪除，這種方法可以防止不必要的開(kāi)銷累積。

IPsec的一個(gè)重要部分是安全關(guān)聯(lián)(SA)，SA使用AH和ESP中攜帶的SPI編號(hào)來(lái)指示哪個(gè)SA用于數(shù)據(jù)包，還包括IP目標(biāo)地址以指示端點(diǎn)：這可以是防火墻，路由器或最終用戶。安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD)用于存儲(chǔ)所有使用的SA，SAD使用安全策略來(lái)指示路由器應(yīng)該對(duì)數(shù)據(jù)包執(zhí)行的操作，三個(gè)例子包括完全丟棄數(shù)據(jù)包，僅丟棄SA，或替換不同的SA。正在使用的所有安全策略都存儲(chǔ)在安全策略數(shù)據(jù)庫(kù)中。

IPsec的缺點(diǎn)

在某些情況下，不可以進(jìn)行直接的端到端通信(即傳輸模式)。舉一個(gè)簡(jiǎn)單示例，其中H1和H2是一個(gè)直接隧道上的兩個(gè)主機(jī)，H1使用防火墻稱為FW1。

在大型分布式系統(tǒng)或域間環(huán)境中，多樣化的區(qū)域安全策略實(shí)施可能會(huì)給端到端通信帶來(lái)嚴(yán)重的問(wèn)題。在上面的示例中，假設(shè)FW1需要檢查流量?jī)?nèi)容以進(jìn)行入侵檢測(cè)，并且在FW1設(shè)置策略以拒絕所有加密流量以強(qiáng)制執(zhí)行其內(nèi)容檢查要求。然而，H1和H2構(gòu)建直接隧道而不了解防火墻及其策略規(guī)則的存在。因此，所有流量將被FW1丟棄，該場(chǎng)景顯示每個(gè)策略滿足其相應(yīng)的要求，而所有策略一起可能導(dǎo)致沖突。

IPsec最大的缺點(diǎn)之一是其復(fù)雜性，雖然IPsec的靈活性使其受歡迎，但它也導(dǎo)致了混亂，安全專家指出“IPsec包含太多選項(xiàng)和太多的靈活性”。IPsec的大部分靈活性和復(fù)雜性可能歸因于IPsec是通過(guò)委員會(huì)流程開(kāi)發(fā)的，由于委員會(huì)的政治性質(zhì)，標(biāo)準(zhǔn)中經(jīng)常添加額外的功能，選項(xiàng)和靈活性，以滿足標(biāo)準(zhǔn)化機(jī)構(gòu)的各個(gè)派系，這一過(guò)程與高級(jí)加密標(biāo)準(zhǔn)(AES)的開(kāi)發(fā)中使用的標(biāo)準(zhǔn)化過(guò)程形成鮮明對(duì)比，后者是1998年到期的數(shù)據(jù)加密標(biāo)準(zhǔn)的替代。

將此與NIST [國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院]為AES的發(fā)展所采取的方法進(jìn)行比較是有益的，而不是委員會(huì)，NIST組織了一次競(jìng)賽，幾個(gè)小組各自創(chuàng)建了自己的提案，并且在撰寫(xiě)本文時(shí)，已經(jīng)有一個(gè)消除階段，剩下的五個(gè)候選人中的任何一個(gè)都會(huì)比任何一個(gè)委員會(huì)做出的標(biāo)準(zhǔn)要好得多。

此外，IPsec的大部分文檔都很復(fù)雜且令人困惑，沒(méi)有提供概述或介紹，也沒(méi)有確定IPsec的目標(biāo)，用戶必須組裝這些部件并嘗試?yán)斫饪赡鼙幻枋鰹殡y以閱讀的文檔。為了說(shuō)明用戶必須忍受的挫敗感，請(qǐng)考慮ISAKMP規(guī)范，這些規(guī)范缺少關(guān)鍵解釋，包含許多錯(cuò)誤并且在不同位置自相矛盾。

然而，盡管IPsec可能并不完美，但與其他安全協(xié)議相比，它被認(rèn)為是一項(xiàng)重大改進(jìn)。例如，考慮流行的安全系統(tǒng)安全套接字層，雖然SSL廣泛部署在各種應(yīng)用程序中，但它本身就受到限制，因?yàn)樗趥鬏?應(yīng)用程序?qū)由鲜褂?，需要修改任何想要包含使用SSL能力的應(yīng)用程序。由于IPsec用于第3層，因此只需要對(duì)操作系統(tǒng)進(jìn)行修改，而不是對(duì)使用IPsec的應(yīng)用程序進(jìn)行修改。

IPsec是否過(guò)于復(fù)雜和令人困惑?

IPsec包含所有最常用的安全服務(wù)，包括身份驗(yàn)證，完整性，機(jī)密性，加密和不可否認(rèn)性。但是，IPsec的主要缺點(diǎn)是其復(fù)雜性和相關(guān)文檔的混亂性質(zhì)，盡管存在各種缺點(diǎn)，但許多人認(rèn)為IPsec是可用的最佳安全系統(tǒng)之一。希望在未來(lái)的IPsec修訂版中能夠證明可以得到相當(dāng)大的改進(jìn)，并且可以解決與架構(gòu)相關(guān)的問(wèn)題。