IPSec基礎(chǔ)－IPSec服務(wù)
    IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header（AH）、封裝安全載荷協(xié)議Encapsulating Security Payload（ESP）、密鑰管理協(xié)議Internet Key Exchange （IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)...
    IPSec基礎(chǔ)－IPSec服務(wù)
    IPSec 協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)議 Authentication Header（AH）、封裝安全載荷協(xié)議Encapsulating Security Payload（ESP）、密鑰管理協(xié)議Internet Key Exchange （IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。
    一、安全特性
    IPSec的安全特性主要有：
     ·不可否認(rèn)性 "不可否認(rèn)性"可以證實消息發(fā)送方是可能的發(fā)送者，發(fā)送者不能否認(rèn)發(fā)送過消息。"不可否認(rèn)性"是采用公鑰技術(shù)的一個特征，當(dāng)使用公鑰技術(shù)時，發(fā)送方用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來驗證數(shù)字簽名。由于在理論上只有發(fā)送者才擁有私鑰，也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名，所以只要數(shù)字簽名通過驗證，發(fā)送者就不能否認(rèn)曾發(fā)送過該消息。但"不可否認(rèn)性"不是基于認(rèn)證的共享密鑰技術(shù)的特征，因為在基于認(rèn)證的共享密鑰技術(shù)中，發(fā)送方和接收方掌握相同的密鑰。
    ·反重播性 "反重播"確保每個IP包的性，保證信息萬一被截取復(fù)制后，不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后，再用相同的信息包冒取非法訪問權(quán)（即使這種冒取行為發(fā)生在數(shù)月之后）。
    ·數(shù)據(jù)完整性 防止傳輸過程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個數(shù)據(jù)包產(chǎn)生一個加密檢查和，接收方在打開包前先計算檢查和，若包遭篡改導(dǎo)致檢查和不相符，數(shù)據(jù)包即被丟棄。
    ·數(shù)據(jù)可靠性（加密） 在傳輸前，對數(shù)據(jù)進行加密，可以保證在傳輸過程中，即使數(shù)據(jù)包遭截取，信息也無法被讀。該特性在IPSec中為可選項，與IPSec策略的具體設(shè)置相關(guān)。
    ·認(rèn)證 數(shù)據(jù)源發(fā)送信任狀，由接收方驗證信任狀的合法性，只有通過認(rèn)證的系統(tǒng)才可以建立通信連接。
    二、基于電子證書的公鑰認(rèn)證
    一個架構(gòu)良好的公鑰體系，在信任狀的傳遞中不造成任何信息外泄，能解決很多安全問題。IPSec與特定的公鑰體系相結(jié)合，可以提供基于電子證書的認(rèn)證。公鑰證書認(rèn)證在Windows 2000中，適用于對非Windows 2000主機、獨立主機，非信任域成員的客戶機、或者不運行Kerberos v5認(rèn)證協(xié)議的主機進行身份認(rèn)證。
    三、預(yù)置共享密鑰認(rèn)證
    IPSec也可以使用預(yù)置共享密鑰進行認(rèn)證。預(yù)共享意味著通信雙方必須在IPSec策略設(shè)置中就共享的密鑰達成一致。之后在安全協(xié)商過程中，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密，如果接收方能夠解密，即被認(rèn)為可以通過認(rèn)證。但在Windows 2000 IPSec策略中，這種認(rèn)證方式被認(rèn)為不夠安全而一般不推薦使用。
    四、公鑰加密
    IPSec的公鑰加密用于身份認(rèn)證和密鑰交換。公鑰加密，也被稱為"不對稱加密法"，即加解密過程需要兩把不同的密鑰，一把用來產(chǎn)生數(shù)字簽名和加密數(shù)據(jù)，另一把用來驗證數(shù)字簽名和對數(shù)據(jù)進行解密。
    使用公鑰加密法，每個用戶擁有一個密鑰對，其中私鑰僅為其個人所知，公鑰則可分發(fā)給任意需要與之進行加密通信的人。例如：A想要發(fā)送加密信息給B，則A需要用B的公鑰加密信息，之后只有B才能用他的私鑰對該加密信息進行解密。雖然密鑰對中兩把鑰匙彼此相關(guān)，但要想從其中一把來推導(dǎo)出另一把，以目前計算機的運算能力來看，這種做法幾乎完全不現(xiàn)實。因此，在這種加密法中，公鑰可以廣為分發(fā)，而私鑰則需要仔細(xì)地妥善保管。
    五、Hash函數(shù)和數(shù)據(jù)完整性
    Hash信息驗證碼HMAC（Hash message authentication codes）驗證接收消息和發(fā)送消息的完全一致性（完整性）。這在數(shù)據(jù)交換中非常關(guān)鍵，尤其當(dāng)傳輸媒介如公共網(wǎng)絡(luò)中不提供安全保證時更顯其重要性。
    HMAC結(jié)合hash算法和共享密鑰提供完整性。Hash散列通常也被當(dāng)成是數(shù)字簽名，但這種說法不夠準(zhǔn)確，兩者的區(qū)別在于：Hash散列使用共享密鑰，而數(shù)字簽名基于公鑰技術(shù)。hash算法也稱為消息摘要或單向轉(zhuǎn)換。稱它為單向轉(zhuǎn)換是因為：
    1）雙方必須在通信的兩個端頭處各自執(zhí)行Hash函數(shù)計算；
    2）使用Hash函數(shù)很容易從消息計算出消息摘要，但其逆向反演過程以目前計算機的運算能力幾乎不可實現(xiàn)。
    Hash散列本身就是所謂加密檢查和或消息完整性編碼MIC（Message Integrity Code），通信雙方必須各自執(zhí)行函數(shù)計算來驗證消息。舉例來說，發(fā)送方首先使用HMAC算法和共享密鑰計算消息檢查和，然后將計算結(jié)果A封裝進數(shù)據(jù)包中一起發(fā)送；接收方再對所接收的消息執(zhí)行HMAC計算得出結(jié)果B，并將B與A進行比較。如果消息在傳輸中遭篡改致使B與A不一致，接收方丟棄該數(shù)據(jù)包。