IPSec運作原理和模式

在使用IPSec安全發(fā)送數(shù)據(jù)之前，必須在雙方之間進行協(xié)商，確定雙方如何傳輸和保護發(fā)送的數(shù)據(jù)，協(xié)商的方法依據(jù)的是標(biāo)準(zhǔn)的IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）認證規(guī)則。經(jīng)過協(xié)商，會產(chǎn)生安全關(guān)聯(lián)（即Security Association，簡稱SA）約定，在SA中包含雙方協(xié)商出來的安全協(xié)議和安全參考索引（即Security Parameter Index）等參數(shù)。從順序上講，IKE將協(xié)商分為兩個階段，第一個階段稱為主模式SA，其功能是在兩臺主機之間建立一個新的安全的，經(jīng)過計算機或者用戶身份驗證的數(shù)據(jù)傳輸通道，讓雙方可以在其中安全通訊。第二個階段稱為快速模式SA，其功能是使用通過使用IPSEC協(xié)議，利用加密算法（例如AES、3DES、DES等），以及完整性和驗證數(shù)據(jù)的散列算法，來創(chuàng)建會話密鑰，對通訊數(shù)據(jù)進行加密，確保數(shù)據(jù)傳輸?shù)陌踩?。在該階段會創(chuàng)建兩個SA，分別用來管理傳輸?shù)臄?shù)據(jù)和接收的數(shù)據(jù)。

IPSec的運作模式包括傳輸模式和信道模式，前者表示在雙方通信過程中，需要對方來協(xié)商使用IPSec協(xié)議，后者表示只有與特定的主機通訊時，才需要協(xié)商使用IPSec協(xié)議，該模式只用于兩個不同網(wǎng)絡(luò)內(nèi)的主機的安全通訊，例如，可以將兩臺Windows Server 2008 R2服務(wù)器當(dāng)作路由器來使用，分別連接兩個不同的網(wǎng)絡(luò)，在兩者之間可以使用該模式。IPSec協(xié)議實際上包括AH（Authentication Header）和 ESP（Encapsulation Security Protocal）兩種協(xié)議，兩者的作用是對發(fā)送的數(shù)據(jù)繼進行簽名認證，執(zhí)行數(shù)據(jù)完整性檢查，保證其沒有被篡改。確保數(shù)據(jù)原來的準(zhǔn)確性。不同的是，前者不會對數(shù)據(jù)進行加密，而后者可以對其進行加密。在Windows 7/2008等系統(tǒng)中，可以通過新建連接安全規(guī)則的方法來啟用IPSec。當(dāng)然，對老版本的Windows XP等系統(tǒng)來說，需要使用自定義IP安全策略管理來實現(xiàn)。