IPSec的安全性如何?—微云MPLS
IPSec是專(zhuān)門(mén)設(shè)計(jì)為IP提供安全服務(wù)的一種協(xié)議(其實(shí)是一個(gè)協(xié)議族)。IPSec可有效保護(hù)IP數(shù)據(jù)報(bào)的安全,所采取的具體保護(hù)形式包括:數(shù)據(jù)源驗(yàn)證;無(wú)連接數(shù)據(jù)的完整性驗(yàn)證;數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù);抗重播保護(hù)等。
使用IPSec協(xié)議中的認(rèn)證頭(AH)協(xié)議和封裝安全載荷(ESP)協(xié)議,可以對(duì)IP數(shù)據(jù)報(bào)或上層協(xié)議(如UDP和TCP)進(jìn)行保護(hù),這種保護(hù)由IPSec兩種不同的工作模式(分別對(duì)應(yīng)隧道模式和傳輸模式)來(lái)提供。其中AH可以驗(yàn)證數(shù)據(jù)的起源、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。ESP除具有AH的所有能力之外,還可選擇保障數(shù)據(jù)的機(jī)密性,以及為數(shù)據(jù)流提供有限的機(jī)密性保障。
AH和ESP協(xié)議根據(jù)安全聯(lián)盟(SA)規(guī)定的參數(shù)為IP數(shù)據(jù)包提供安全服務(wù)。SA可以手工建立,也可以自動(dòng)建立。IKE就是IPSec規(guī)定的一種用來(lái)自動(dòng)管理SA的協(xié)議。IKE的實(shí)現(xiàn)可支持協(xié)商VPN,也可支持IP地址事先并不知道的遠(yuǎn)程接入。IKE必須支持協(xié)商方不是SA協(xié)商發(fā)生的端點(diǎn)的客戶(hù)協(xié)商模式,這樣可以隱藏端方身份。
雖然到目前為止,全球安全專(zhuān)家普遍認(rèn)為IPSec是最安全的IP協(xié)議,但也并非全是贊美之詞,最主要的批評(píng)是它的復(fù)雜性,因?yàn)橄到y(tǒng)復(fù)雜性是系統(tǒng)安全的主要威脅之一。IPSec有兩個(gè)運(yùn)行模式:傳輸模式和隧道模式,有兩個(gè)安全協(xié)議:AH和ESP。
AH提供認(rèn)證,ESP提供認(rèn)證和/或加密。這導(dǎo)致了額外的復(fù)雜性:打算認(rèn)證一個(gè)包的兩臺(tái)機(jī)器之間的通信總共有四種模式可供選擇:傳輸/AH,隧道/AH,空加密的傳輸/ESP以及空加密的隧道/ESP,而這些選擇之間的功能和性能差別都很小(因此沒(méi)有太大實(shí)際意義)。
產(chǎn)生這種問(wèn)題的原因是IPSec是多個(gè)國(guó)家的安全專(zhuān)家經(jīng)過(guò)多年的研究和討論后折衷的產(chǎn)物。因此有安全專(zhuān)家已經(jīng)提出安全協(xié)議的設(shè)計(jì)原則應(yīng)是多家競(jìng)爭(zhēng),擇優(yōu)使用,正如AES(高級(jí)加密標(biāo)準(zhǔn))那樣。
ATM/幀中繼VPN的“專(zhuān)用”性體現(xiàn)在虛電路連接的是一組閉合的用戶(hù)或社區(qū),安全性保證主要來(lái)自它的“閉合用戶(hù)群(CUG)”的特性,假設(shè)運(yùn)營(yíng)商不會(huì)(惡意)錯(cuò)誤配置而導(dǎo)致數(shù)據(jù)傳遞錯(cuò)誤,不會(huì)監(jiān)聽(tīng)用戶(hù)的流量,不會(huì)不經(jīng)過(guò)授權(quán)就進(jìn)入用戶(hù)網(wǎng)絡(luò),不會(huì)被修改,不會(huì)被非授權(quán)方進(jìn)行流量分析等,根本不提供認(rèn)證和加密等安全服務(wù)(當(dāng)然如果用戶(hù)需要傳遞特別敏感的數(shù)據(jù)(如金融信息)等,通常需要采用用戶(hù)自己實(shí)施的鏈路加密等方法)。而對(duì)于IPSec VPN,連接的也是一組閉合的用戶(hù)或社區(qū),但這時(shí)提供的安全服務(wù)還包括認(rèn)證和加密等。因此可以這樣認(rèn)為,IPSec比傳統(tǒng)的ATM/幀中繼 VPN更強(qiáng)的安全服務(wù),是到目前為止最為安全的VPN技術(shù)。
總結(jié)
以上是生活随笔為你收集整理的IPSec的安全性如何?—微云MPLS的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 在直角坐标系中划出下列角:
- 下一篇: IPv6改造三步曲——Vecloud