中级通信工程师

本文整理了2014年中级通信工程师考试《互联网技术》相关知识点，希望能够帮助您更好的全面备考2014年通信工程师考试!

5.6.2 基于IPSec的VPN实现

IPSec(IPSecurity)产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。

最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截至1998年11月主要协议己经基本制定完成。

IPSec的工作原理类似于包过滤防火墙，可以看做是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。

IPSec通过查询安全策略数据库(SecurityPolicyDatabase,SPD)决定对接收到的IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃和直接转发(绕过IPSec)外，还可进行IPSec处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。

进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性、真实性和完整性，通过Internet进行安全的通信才成为可能。

IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式：传输模式和隧道模式。

传输模式只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，将IPSec协议头部插入到IP头部和传输层头部之间。

隧道模式对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。

前面已经提到IPSec主要功能是加密和认证。为了进行加密和认证，IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议，需要先引入一个非常重要的概念：安全关联(Security Association,SA)。安全关联是指安全服务与它服务的载体之间的一个“连接”.AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，就说双方建立了一个SA.SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。给定了一个SA,就确定了IPSec要执行的处理，如加密，认证等。

编辑推荐：

2014年通信工程师考试中级互联网技术第五章汇总二

2014年通信工程师考试中级互联网技术章节汇总 

2014年中级通信工程师考试设备环境章节汇总

更多关注：2014年通信工程师考试时间  通信工程师考试试题  通信工程师考试科目 

（责任编辑：xy）

共2页,当前第1页  第一页  前一页  下一页