IPSec原理与实践

1、IPSec 原理与实践 1原理 （ 组图）随着越来越多的企业、单位接入 Internet 和接入速度的不断提 高，网络安全正日益成为网络治理的一个重要课题。 作为广泛部 署的 Window（s NT）Server 系统自身的安全受到越来越多的关注。 市场上也出现了专门多软、 硬件防火墙产品来保证内网服务器的 安全。事实上， Windows（ NT）Server 系统自身便带有功能强大 的防火墙系统IPSec,其全面的安全爱护功能并不输于其它商 业防火墙产品。本文将介绍基于Windows操作系统的防火墙系统 IPSec 的原理与实现。1 TCP/IP 过滤在深入探讨IPSec之前，我们首先来看一

2、下Windows系统的 TCP/IP 过滤功能。Windows 2000 Server 系统内部集成了专门多安全特性，这 包括 "本地安全及审核策略 "、"加密文件系统 "、"TCP/IP 过滤"、 "IP安全（IPSec）"等等。其中的"TCP/IP过滤"为用户提供了一 个简单、易于配置、易于使用的网络安全保障工具。它是用于入 站本地主机 TCP/IP 通讯的一组筛选器。 使用 TCP/IP 筛选能够为 每个 IP 接口严格指定所处理的传入 TCP/IP 通讯类型。 那个功能 设计用于隔离 I

3、nternet 或 Intranet 服务器所处理的通信。如图1所示，使用"TCP/IP"筛选，能够依照以下三种方式来限制本地主机的入站 TCP/IP 通讯：目标TCP端口目标UDP端口 IP 协议（号）"TCP/IP 筛选" 的使用有专门多限制，如不能依照源地址来 区不对待数据包的入站、 不能对出站通信进行筛选、 不能对已同 意的通信进行加密等等。假如想要实现更加灵活、安全的设计， 则必须使用 IPSec。2 IPSec 原理使用 internet 协议安全( Internet Protocol Security，IPSec)是解决网络安全问题的长久之

4、计。它能针对那些来自专 用网络和 internet 的攻击提供重要的防线，并在网络安全性与 便用性之间取得平衡。 IPSec 是一种加密的标准，它同意在差不 专门大的设备之间进行安全通信。 利用 IPSec 不仅能够构建基于 操作系统的防火墙， 实现一般防火墙的功能。 它还能够为许可通 信的两个端点建立加密的、可靠的数据通道。2.1 术语解释为了便于理解 IPSec 的工作原理， 首先介绍一些数据加密和 安全方面常用的一些术语和差不多知识， 然后再介绍 IPSec 的实3 / 42现以及它如何在网络中提供安全通信的。 这种介绍仅仅是一个概 述并为后面讨论 IPSec 做一个铺垫。 加密是一个复

5、杂的领域， 它 包含了许多规则、 算法以及数学方面的知识。 那个地点我们将着 重讨论加密技术的实际实现， 关于它内在的理论只作一个简要的 概述。2.1.1 数据加密标准数据加密标准（Data Encryption Standard , DES是美国 国家标准局于 1977 年开发的对称密钥算法。它是一种对称密钥 算法，能够使用4056位长的密钥。另一种称为 3DES的加密策 略也使用同样的DES算法，但它并不只是加密一次，而是先加密 一次，再加密（解密）一次，最后做第三次加密，每一次加密都 使用不同的密钥。这一过程显著地增加了解密数据的难度。2.1.2 RSA算法RSA是一种依照它的发明者 R

6、ivest， Shamir和Adleman命 名的公开密钥算法。它方便了对称密钥加密中的密钥交换过程。它还能够用来产生数字签名2.1.3 Diffie-HellmanDiffie-Hellman 是一种简化在非安全网络上交换秘密密钥 的公开密钥加密算法。算法是以 Diffie 和 Hellman 命名的，他 们在 1977 年出版了第一个公开密钥加密的公开搜索。它的要紧 目的是简化在不安全网络上交换秘密会话密钥的过程。2.1.4 散列函数散列（Hash）函数是一种单向的算法，它提取任意长度的一 段信息并产生固定长度的乱序的摘要。摘要是文本的一个截取， 只包含与文本最相关的部分，这确实是Hash

7、函数所产生的结果。 Hash 是一种单向的定义。我们能够在给定的文本上运行算法来 获得固定长度的Hash值，但不能从Hash过程中获得最初的文本。 Hash 函数能够唯一地定义文本。它对每个唯一的消息而言就像 是指纹一样。 不同的消息能够产生不同的值， 同时相同的消息会 产生完全相同的 Hash， Hash 值能够用于维持数据的完整性。假如A发送一个消息给B,并给B消息的Hasho B能够在消息上运 行用在该消息上的同一 Hash算法，并用计算得到的Hash值与B 收到的Hash值相比较。假如发觉依照消息计算出来的Hash与B收到的Hash值不同，就能够明白数据在传输的过程中出错了。2.1.5

8、 消息摘要： MD5消息摘要（Message Digest 5 ，MD5是一种符合工业标准 的单向 128 位的 Hash 算法，由 RSA Data Security Inc. 开发， 它能够从一段任意长的消息中产生一个128位的Hash值。（例如，质询握手身份验证协议（CHAP通过使用MD5来协商一种加密身份验证的安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。用这种方法，用户能够向服务器证明自己明白 密码，但不必实际将密码发送到网络上， 从而保证了密码本身的 安全性。）2.1.6 安全散列算法： SHA-1Secure Hash Algorithm （SHA-1）是一种产生

9、 160 位 Hash6 / 42值的单向Hash算法。它类似于 MD5但安全性比 MD5更高。2.1.7 Hash 信 息 验 证 码 HMAC（ Hash message authentication codes ）HMAC能够用来验证接收消息和发送消息的完全一致性（完 整性）。2.1.8 数字签名数字签名标准（Digital Sig nature Sta ndard ， DSS 是国 家标准技术研究所开发的数字签名算法。数字签名（DigitalSig nature，DS是一种用使用者的私有密钥加密的Hash值。它能够像正常签名一样用于认证， 但它也能够用做与签名相关的信 息完整性的认证。2.1.9 认证授权，CA是一个实体，通认证授权（ Certificate Authority7 / 42常是一台计算机，它保存了一些公开密钥。事实上，它保存的一 些称为认证的目标包含了用户或设备的信息， 其中包括它们的公 开密钥。认证包含某个公开密钥的所有者的认证信息， 如：姓名、 地址、公司等。认证的目的有两个：标志一个用户或设备的公开密钥。确认假设的公开密钥的拥有者是公开密钥的真实拥有者。认证授权（CA是一个记录了所有认证的第三方。使用CA用户能够有一个认证的集中贮藏处， 它同意用户获得其他用户的 公开密钥并认证那些用户。 它提供了一个记录用户和设备公开密