概述
IPSeC(IPSeCurty Protcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙、VPN集中器等等),或者它们可能在一个主机和一个安全网关之间,就像远程访问VPN这种情况。IPSec能够保护对等实体之间的多个数据流,并且一个单一网关能够支持不同的成对的合作伙伴之间的多条并发安全IPSec隧道。
IPSeC工作在I层,并且能够使用IKE(Internet Key Exchange,Internet密钥交换)协议来协商对等实体
之间的协议并产生IPSeC将用到的加密和认证密钥。从RFC(Requests for Comment,请求注释)1825到RFC1829一系列RFC中首次描述了IPSec。RFC1825、1826以及1827己经被后续的RFC进行了更新。表1给出了与IPSeC相关的KFC。
这还不是完整的IPSec相关的RFC列表,但是可以在IETF(Internet Engineering Task Force,Internet工程任务组)网站找到这些RFFC以及其他的RFFC.
www.ietf.org/rfc.html
与IPSec相关的特殊RFC可以在下面的网站找到:
www.ietf.org/html.charters/ipsec-charter.html
需要注意的是在IPSec引入后接着的3年中,开发了大量名副其实的IPSec工具,并且迅速被互联网行业所接受。
当你计划使用IPSec时,请记住下面一些内容:
? IPSec支持HDLC(High-Level Data-Link Control,高级数据链路控制)、ATM.PPP(Point-to-PomtProtocol,点对点协议)以及帧中继串行封装。
? IPSec也能够与GRE(Generic Routing Encapsulation,通用路由封装)以及IP-in-IP封装第3层隧道协议共同工作。
? IPSec不支持DLSw(data-link switching,数据链路交换)标准、SRB(source-rouute bridging,源路由桥接)、或者其他第3层隧道协议。
? IPSec不支持多端点隧道。
? IPSec只能严格地以单播IP数据报的形式工作。它不能以组播或者广播IP数据报的形式工作。
? 由于IPSec为每个分组数据提供认证。因此它比CET(Cisco Encryption Technology,Cisco加密技术)更慢。
? IPSec提供分组扩展,它导致分段存储以及IPSec分组的重新组装,这也是导致IPSec比CET更慢的另一个原因。
? 当使用NAT时,确定NAT在IPSec封装前有效,以便IPSec有全局的地址。
表1给出了使用IPSec时可能遇到的主要协议。下面是这些标准协议的快速浏览:
? IPSec(IPSecurity Protocol,IP安全协议):
---AH(Authentication Header,认证头)。
---ESP(Encapsulating Security Payload,封装安全负载)。
? 消息加密:
---DES(Data Encryption Standard,数据加密标准)。
---3DES(Triple DES).
? 消息完整性(散列)函数:
---HMAC(Hash-based Message Authentication Code,基于散列的消息认证码)。
---MD5(Message Digest5,消息摘要算法5).
---SHA-1(SecureHashAlgorithm-I,安全散列算法1)
? 对等实体认证:
---RSA(Rivest.Shamir以及Adelman)数字签名。
---RSAEncpted Nonces.
? 密钥管理:
---D-H(Diffie-Hellman).
---CA(Certificate Authority,证书授权)。
? 安全关联:
---IKE(Internet Key Exchange,Internet密钥交换)。
---ISAKMP(Internet Security Association and Key Management Protocol,Internet安全关联及密钥管理协议)。
注意:IKE和ISAKMP在Cisco的实现中是可互换的。