IP安全,IP安全是什么意思

IPSec協議是一個協議套件，為IP數據包中封裝的所有上層數據提供透明的安全保護，無需修改上層協議。IPSec的目的是在因特網協議棧中的IP層提供安全業務。它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。網絡通信易于受到各種攻擊, IPSec旨在為端系統提供相互身份驗證的方法,保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑以及傳輸中的數據不被竊取和攻擊。

IPSec依靠密碼技術保護各種環境中的通信,包括在專用網中計算機之間的通信鏈路,公司站點之間的鏈路,以及撥號用戶和公司LAN之間的鏈路。IPSec也用于貿易伙伴之間(外聯網連接)和電子商務應用。

IPSec是一個為IPv4和IPv6設計的“隧道協議”。隧道是在一對主機、一對安全網關(通常是防火墻),或一個安全網關和一個主機之間的“路徑”。可以建立一個隧道,運載所有的通信量,或在相同端點之間建立多個隧道,支持不同的TCP業務。

IPSec的一個重要特征是它能提供跨越IP網絡的端到端安全。低層安全協議只能提供單一鏈路的保護。但是應該把IPSec和上層會話協議,例如SSL(安全套接層),區分開。SSL已經成為Web服務器和客戶機之間安全通信的支柱。SSL仍然是小量用戶交易(例如從Amazon.com買一本書)的首選方法。但是SSL僅確保了會話安全,而非像IPSec那樣保護主機之間的IP連接。　　

IPSec有多種模式和業務,如下所述:

數據來源驗證 分組的頭部已經簽了名(通過一個散列算法來進行),因此接收者可以相信分組是可信的。

無連接完整性 簽名過程可以向接收者確保數據分組在傳輸過程中沒有被更改。

機密性 全部或部分分組可以用加密來隱藏他們的內容。加密隱藏了傳輸過程中原始分組的IP頭,因此外部分組需要有一個可以被中間轉發系統讀取的頭部。

重放保護 通過保護/隱藏重要分組信息,IPSec防止某人獲取分組,并在以后重放它們,　從而進入系統。

密鑰管理 IPSec使用IKE (因特網密鑰交換)管理各方面之間安全密鑰的交換。IKE是一個混合協議，它實際上使用到了ISAKMP協議（Internet 安全關聯和密鑰管理協議）、Oakley協議（密鑰確定協議）和描述支持匿名和快速密鑰刷新的密鑰交換的SKEME協議。IKE除了實現通信雙方的密鑰材料交換，還使用ISAKMP實現IPSec的安全關聯。

這些目標是通過使用兩大傳輸安全協議，頭部認證（AH） 和封裝安全負載 （ESP），以及密鑰管理程序和協議的使用來完成的。所需的 IPsec 協議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統的需求來決定。AH和ESP安全報頭都可以單獨使用，但是為了確保安全性，它們通常一起使用。當把加密和驗證結合起來，就可以在主機之間傳輸具有驗證和機密性的IP包。一般通過捆綁傳輸和隧道傳輸來實現兩者的結合。

IPSec出現得較晚。部分原因是它最初是為IPV6設計的,而IPv6的發布日期被改動了許多次。供應商產品之間的互用性也有問題。加密是處理器密集型的,在某些環境下可能不被支持。但是像Intel這樣的供應商已經開發了安全適配器,通過卸載加密加速IPSec的處理。