為IP增加安全性

IPv4的目的只是作為簡單的網絡互通協議，因而其中沒有包含安全特性。如果IPv4僅作為研究工具，或者在包括研究、軍事、教育和政府網絡的相對嚴格的轄區中作為產品型網絡協議而使用，缺乏安全性并不是一個嚴重的缺陷。但是，隨著IP網絡在商用和消費網絡中的重要性與日俱增，攻擊所導致的潛在危害將具有空前的破壞性。
本文主要內容包括：
•人們已經為IP定義的安全性目標。

•這些目標如何滿足。

•這些目標和相關論題如何在IP中定義。下一節將介紹IP的安全性體系結構(又稱為IPsec)本身的細節以及為完成上述目標而安裝的一些工具。

應注意，RFC1825以及后續文檔中所定義的IPsec提供的是IP的安全性體系結構，而不是Inte.net的安全性體系結構。兩者的區別很重要：IPsec定義了在IP層使用的安全性服務，對IPv4和IPv6都可用。如果在適當的IPv4選項格式中實現AH和ESP頭，IPv4也可以使用這種安全性功能，只是在IPv6中更容易實現。

安全性目標

對于安全性，可以定義如下三個公認的目標：

•身份驗證：能夠可靠地確定接收到的數據與發送的數據一致，并且確保發送該數據的實體與其所宣稱的身份一致。

•完整性：能夠可靠地確定數據在從源到目的地傳送的過程中沒有被修改。

•機密性：確保數據只能為預期的接收者使用或讀出，而不能為其他任何實體使用或讀出。完整性和身份驗證經常密切相關，而機密性有時使用公共密鑰加密來實現，這樣也有助于對源端進行身份驗證。
AH和ESP頭有助于在IP上實現上述目標。很簡單，AH為源節點提供了在包上進行數字簽名的機制。AH之后的數據都是純文本格式，可能被攻擊者截取。但是，在目的節點接收之后，可以使用AH中包含的數據來進行身份驗證。

另一方面，可以使用ESP頭對數據內容進行加密。ESP頭之后的所有數據都進行了加密，ESP頭為接收者提供了足夠的數據以對包的其余部分進行解密。

Internet安全性(實際上任何一種安全性)的問題在于很難創建安全性，尤其是在開放的網絡中，包可能經過任意數量的未知網絡，任一個網絡中都可能有包嗅探器在工作，而任何網絡都無法察覺。在這樣的開放環境中，即使使用了加密和數字簽名，安全性也將受到嚴重的威脅。對IP業務流的攻擊也包括諸如偵聽之類，致使從一個實體發往另一個實體的數據被未經授權的第三個實體所竊取。此外，IP安全性還應該解決下列安全性威脅：

•否認服務攻擊：即實體使用網絡傳送數據，致使某個授權用戶無法訪問網絡資源。例如，攻擊者可能使某主機淹沒于大量請求中，從而致使系統崩潰；或者重復傳送很長的email報文，企圖以惡意業務流塞滿用戶或站點帶寬。

•愚弄攻擊：即實體傳送虛報來源的包。例如，有一種愚弄攻擊是由攻擊者發送e-mail報文，報頭的“From:”指明該報文的發信人是美國總統。那些在在包頭攜帶錯誤源地址的攻擊則更加陰險。

密鑰處理問題則更加復雜。為使身份驗證和加密更可靠，IP安全性體系結構要求使用密鑰。如何安全地管理和分配密鑰，同時又能正確地將密鑰與實體結合以避免中間者的攻擊，這是Internet業界所面臨的最棘手的問題之一。這種中間者的攻擊是指，攻擊者(假設為C)將自己置于兩個通信實體(假設為A和B)之間，攔截A和B之間傳送的所有數據，冒充A把數據重新發送給B，也冒充B把數據重新發送給A。如果C能夠以類似B的公共密鑰進行身份驗證，從而讓A確認它就是B，同樣也讓B誤以為它就是A，那么A和B就會誤認為他們之間的傳送是安全的。

IPsec本身不能使Internet更加安全。本章只提出與Internet安全性相關的幾個最迫切的問題。對Internet安全性的細節感興趣的讀者，請參考本書作者的另一本書《PersonalEncryptionClearlyExplained》(APProfessional,1998)，書中討論了加密、數字簽名和Internet安全性問題。

RFC1825及建議的更新

RFC1825于1995年8月發布，共有22頁；其第5版修改草案完成于1998年5月，已經達到66頁。安全性的正確實現要求認真考慮細節問題，這是對原RFC進行擴充的主要原因。更新后的文檔在最終發布時，在關于如何實現所有的IP協議(包括ICMP和組播)方面將提供更多的細節，同時將更詳細討論密鑰管理相關問題和安全性關聯問題。

IPsec

IPsec的目標是提供既可用于IPv4也可用于IPv6的安全性機制，該服務由IP層提供。一個系統可以使用IPsec來要求與其他系統的交互以安全的方式進行—通過使用特定的安全性算法和協議。IPsec提供了必要的工具，用于一個系統與其他系統之間對彼此可接受的安全性進行協商。這意味著，一個系統可能有多個可接受的加密算法，這些算法允許該系統使用它所傾向的算法和其他系統協商，但如果其他系統不支持它的第一選擇，則它也可以接受某些替代算法。

IPsec中可能考慮如下安全性服務：

•訪問控制。如果沒有正確的密碼就不能訪問一個服務或系統?？梢哉{用安全性協議來控制密鑰的安全交換，用戶身份驗證可以用于訪問控制。

•無連接的完整性。使用IPsec，有可能在不參照其他包的情況下，對任一單獨的IP包進行完整性校驗。此時每個包都是獨立的，可以通過自身來確認。此功能可以通過使用安全散列技術來完成，它與使用檢查數字類似，但可靠性更高，并且更不容易被未授權實體所篡改。

•數據源身份驗證。IPsec提供的又一項安全性服務是對IP包內包含的數據的來源進行標識。此功能通過使用數字簽名算法來完成。

•對包重放攻擊的防御。作為無連接協議，IP很容易受到重放攻擊的威脅。重放攻擊是指攻擊者發送一個目的主機已接收過的包，通過占用接收系統的資源，這種攻擊使系統的可用性受到損害。為對付這種花招，IPsec提供了包計數器機制。

•加密。數據機密性是指只允許身份驗證正確者訪問數據，對其他任何人一律不準。它是通過使用加密來提供的。

•有限的業務流機密性。有時候只使用加密數據不足以保護系統。只要知道一次加密交換的末端點、交互的頻度或有關數據傳送的其他信息，堅決的攻擊者就有足夠的信息來使系統混亂或毀滅系統。通過使用IP隧道方法，尤其是與安全性網關共同使用，IPsec提供了有限的業務流機密性。

通過正確使用ESP頭和AH，上述所有功能都有可能得以實現。

原文轉自：http://www.kjueaiud.com