IPSEC 安全架构、应用及展望 (4)

人工手动管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。手工管理系统在有限的安全需要可以工作得很好。使用手工管理系统，密钥由管理站点确定然后分发到所有的远程用户。真实的密钥可以用随机数字生成器或简单的任意拼凑计算出来，每一个密钥可以根据集团的安全政策进行修改。

自动管理系统能满足其他所有的应用要求。使用自动管理系统，可以动态地确定和分发密钥，显然和名称一样，是自动的。自动管理系统具有一个中央控制点，集中的密钥管理者可以令自己更加安全，最大限度的发挥IPSec的效用。 另一方面，自动管理系统可以随时建立新的SA密钥，并可以对较大的分布式系统上使用密钥进行定期的更新。自动管理模式是很有弹性的，但需要花费更多的时间及精力去设置，同时，还需要使用更多的软件。

IPSec的自动管理密钥协议的默认名字是ISAKMP/Oakley。互联网安全组织及密钥管理协议（Internet Security Association and Key Management Protocol ISAKMP）对互联网密钥管理的架构以及特定的协议提供支持。Oakley 密钥使用的协议基于Diffle-Hellman 算法，但它也提供额外的安全功能。特别是Oakley包括认证用户的机制。

IPSec的实现方式

IPSec的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性：传送模式和隧道模式。

IPSec数据包可以在压缩原始IP地址和数据的隧道模式使用。

传输模式通常当ESP在一台主机（客户机或服务器）上实现时使用，传输模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。

隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包：包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

ESP支持传输模式，这种方式保护了高层协议。传输模式也保护了IP包的内容，特别是用于两个主机之间的端对端通讯（例如，客户与服务器，或是两台工作站）。传输模式中的ESP加密及有时候会认证IP包内容，但不认证IP的包头。这种配置对于装有IPSec的小型网络特别有用。

但是，要全面实施VPN，使用隧道模式会更有效。ESP也支持隧道模式，保护了整个IP包。为此，IP包在添加了ESP字段后，整个包以及包的安全字段被认为是新的IP包外层内容，附有新的IP外层包头。原来的（及内层）包通过"隧道"从一个IP网络起点传输到另一个IP网点，中途的路由器可以检查IP的内层包头。因为原来的包已被打包，新的包可能有不同的源地址及目的地址，以达到安全的目的。

隧道模式被用在两端或是一端是安全网关的架构中，例如装有IPSec的路由器或防火墙。使用了隧道模式，防火墙内很多主机不需要安装IPSec 也能安全地通信。这些主机所生成的未加保护的网包，经过外网，使用隧道模式的安全组织规定（即SA，发送者与接收者之间的单向关系，定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数）传输。

以下是隧道模式的IPSec运作的例子。某网络的主机甲生成一个IP包，目的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。防火墙把所有出去的包过滤，看看有哪些包需要进行IPSec的处理。如果这个从甲到乙的包需要使用IPSec，防火墙就进行IPSec的处理，并把网包打包，添加外层IP包头。 这个外层包头的源地址是防火墙，而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送到主机乙的防火墙，中途的路由器只检查外层的IP包头。主机乙网络的防火墙会把外层IP包头除掉，把IP内层发送到主机乙去。

IPSec 及VPN

由于企业及政府用户需要把它们的专用WAN/LAN 架构与互联网连接，以便访问互联网的服务，所以他们非常热衷于部署安全的IP。用户需要把它们的网络与互联网分隔，但同时要在网上发送及接收网包。安全的IP就可以提供网上的认证及隐私机制。

因为IP安全机制是独立定义，其用途与现在的IP或IPv6不同，IP安全机制不需要依靠IPv6部署。我们可以看到安全IP的功能会首先被广泛使用，它会比IPv6先流行起来，因为对IP层的安全需求远比增加IPv6功能的需求多很多。

有了IPSec，管理人员就有了实施VPN的安全标准。此外，所有在IPSec中使用的加密及认证算法已经过仔细的研究和几年的验证，所以用户大可放心地将安全问题交付给IPSec。
[page]

展望：高集成度将使IPSec的发展产生飞跃

今天，信息高速公路比以往任何时候都显得重要，但是它也面临越来越大的安全威胁，因此对加强网络中每一个节点硬件安全性的需求正在不断增长。这需要将基本的安全功能(数据加密性和完整性)构建到每一台网络设备中，这样才有可能对网络中所有的数据包进行完全地加密保护。不过，对许多网络设备的设计而言，安全性是一个事后考虑的问题。我们需要对何处、何时以及在什么情况下加入安全特性进行重新考虑。目前有三种主要的方法可以在网络硬件设备上加入安全功能。第一种也是最重要的方法就是用一个协处理器和一个网络处理器或者通用处理器一起工作。随着数据处理速率的提高，这种方法变得越来越不实用，因为数据包必须穿越共享的资源如数据总线或存储器四次。第二种方法是增加一个安全处理器串接在网络处理器的后面。这种方法可以实现高速的数据处理，这个串接的安全处理器必须能完成许多类似于网络处理器的功能，像数据包的重新达包等，因而这样的工作被重复进行并且硅片面积也不得不增大一倍。第三种方法是将加密电路集成在与网络处理器类似的芯片中，从而在网络处理器中加入了安全功能同时又保持了传输速度并且最大限度地控制了芯片面积。当采用这种集成的方案设计新的网络线路卡时，用户可以从中受益。在设计一个网络安全产品时，必须同时考虑数据包处理和安全性需求。在已有产品中，一个通用处理器与一个安全协处理器一起工作将不能达到现有产品需要的10Gbps速度。但是如果将现有的网络处理器，如英特尔的IXP1200，与一个安全协处理器搭配使用，就可能达到这种要求。但是现有的安全芯片只提供协处理器架构，这是远远不够的。在下一代的IXP2850中，我们选择将安全和加密功能集成在芯片上，这不仅因为它是一个最好的方法来实现贯穿整个网络的保密功能，而且还因为它是一个更加高效的方法来提供安全性。就性能而言，这种方案能够更好地以10Gbps以太网速率进行加密和鉴别互联网协议安全(IPSec)，甚至能保证100%的数据传输安全。我们的设计采用了一个加密单元，它将大多数基本算法所需的功能整合在一起，但在某种意义上说将它集成在网络处理单元(NPU)的基本数据流程管道中更为简单。这个加密单元由几个算法组成以保证数据的机密性和完整性。每种算法有它自己在芯片面积、并行性和对称性方面的折衷考虑以及挑战。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有