IP_SECURITY协议(IPSec),是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。
&">nbsp;
IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP(InternetSecurityAssociationKeyManagementProtocolInternet安全协定密钥管理协议)为Internet密钥管理提供框架结构,为安全属性的协商提供协议支持。它本身不能建立会话密钥;然而它可与各种会话密钥建立协议一起使用,如Qakley,为Internet密钥管理提供完整的解决方案。
Oakley密钥确定协议使用一种混合的Diffie-Hellman技术,在Internet主机及路由器上建立会话密钥。Onkley提供重要的完美的前向保密安全特性,它基于经过大量公众审查的密码技术。完善的前向保密确保在任何单个密钥受损时只有用此密钥加密的数据受损。而用后续的会话密钥加密的数据不会受损。
ISAKMP及Qakley协议已结合到一种混合协议中。用Qakley分解ISAKMP使用ISAKMP框架来支持Qakley密钥交换模式的子集。这种新的密钥交换协议提供可选的完美前向保密、全安全关联特性协商以及提供否认、非否认的鉴别方法。例如,这种协议的实施可用于建立虚拟专用网络(VPN)并允许远程用户从远程站址(有动态分配的IP地址)接入安全网络。
IPSec工作时,首先两端的网络设备必须就SA(securityassociation)达成一致,这是两者之间的一项安全策略协定。SA包括:
加密算法
鉴别算法
共享会话密钥
密钥使用期限
SA是单向的,故欲进行双向通信需建立两个SA(各为一个方向)。这些SA通过ISAKMP协商或可人工定义。
SA商定之后,然后确定是使用鉴别、保密和完整性或仅仅只用鉴别。IPSec有两种模式:隧道模式和传输模式;
在隧道模式中,整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中,只有数据部分是封装,而IP报头则不封装即被传送。目前,标准规定必须实施密码块链接(CBC)模式中的DES。
IPSec接收端的网络设备根据接收端的SA数据库对使用IPSec加密的数据进行相应的解密并接收,这样就达到了传送数据的私有性和完整性。