用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术,早已出现的 RFC 1701 Generic Routing Encapsulation(GRE)协议就是个三层隧道协议。新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议。
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议 Authentication Header(AH)协议和 Encapsulating Security Payload(ESP)协议、密钥管理协议Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。
GRE 与 IP in IP、IPX over IP 等封装形式很相似,但比他们更通用。很多协议的细微差异都被忽略,这就导致了它不是建议用在某个特定的“X over Y”进行封装,所以是一种最基本的封装形式。
在最简单的情况下,系统接受到一个需要封装和路由的数据报,我们称之为有效报文(Payload)。这个有效报文首先被 GRE 封装然后被称之为 GRE 报文,这个报文接着被封装在 IP 协议中,然后完全由 IP 层负责此报文的向前传输(Forwarded)。我们也称这个负责向前传输的IP 协议为传递(Delivery)协议或传输(Transport)协议。整个被封装的报文具有图2 所示形式: Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 图2 通过 GRE 传输报文形式 GRE 的作用如下: 多协议的本地网通过单一协议的骨干网传输的服务 将一些不能连续的子网连接起来;这一点用于组建 VPN 扩大了网络的工作范围,包括那些路由网关有限的协议;如 IPX 包最多可以转发16次(既经过16个路由器),而在一个 Tunnel 连接中看上去只经过一个路由器 IPSec IPSec,IP 安全协议,是一组开放协议的总称,在特定的通信方之间提供数据的私有性、完整性保护,并能对数据源进行验证。IPSec 使用 IKE 进行协议及算法的协商,并采用由 IKE 生成的密码来加密和验证。IPSec 用来保证数据包在 Internet 网上传输时的私有性、完整性和真实性。IPSec 在 IP 层提供这些安全服务,对 IP 及所承载的数据提供保护。这些服务是通过两个安全协议 AH 和 ESP,通过加密等过程实现的。这些机制的实现不会对用户、主机或其它 Internet 组件造成影响;用户可以选择不同的加密算法,而不会对实现的其它部分造成影响。
IPSec 提供以下几种网络安全服务:
私有性 - IPsec 在传输数据包之前将其加密,以保证数据的私有性
完整性 - IPsec 在目的地要验证数据包,以保证该数据包在传输过程中没有被替换
真实性 - IPsec 端要验证所有受 IPsec 保护的数据包
反重复 - IPsec 防止了数据包被扑捉并重新投放到网上,即目的地会拒绝老的或重复的数据包;它通过与 AH 或 ESP 一起工作的序列号实现 IPSec 协议本身定义了如何在 IP 数据包中增加字段来保证 IP 包的完整性、私有性和真实性,这些协议还规定了如何加密数据包。使用 IPsec,数据就可以在公网上传输,而不必担心数据被监视、修改或伪造了。IPsec 提供了两个主机之间、两个安全网关之间或主机和安全网关主机的保护。
IPSec 定义了两个新的数据包头增加到 IP 包,这些数据包头用于保证 IP 数据包的安全性。这两个数据包头由AH(Authentication Header)和 ESP(Encapsulating Security Payload)规定。在网关上实现 IPSec,AH 将插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH 采用了安全哈希算法来对数据包进行保护。AH 没有对用户数据进行加密。ESP 将需要保护的用户数据进行加密后再封装到IP包中,ESP 可以保证数据的完整性、真实性和私有性。
IPSec 有隧道和传送两种工作方式。在隧道方式中,用户的整个 IP数据包被用来计算 ESP 头,且被加密,ESP 头和加密用户数据被封装在一个新的 IP 数据包中;在传送方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算 ESP 头,ESP 头和被加密的传输层数据被放置在原IP包头后面。当 IPSec 通信的一端为安全网关时,必须采用隧道方式。
Internet 密钥交换协议(IKE)用于在两个通信实体协商和建立安全相关,交换密钥。安全相关(Security Association)是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式,密钥交换采用 Diffie Hellman 协议。
安全相关也可以通过手工方式建立,但是当 VPN 中结点增多时,手工配置将非常困难。2100433B
