技術領域

本發明涉及信息系統及網絡安全領域，具體來說，就是在信息承載網絡上確保合法用戶才可以訪問被授權的資源，同時保護正常服務以防被外部攻擊。

背景技術

在國際互聯網（Internetwork，Internet）發展初期，由于規模較小且相對私有，設計時并未考慮完善的安全保護手段。隨著Internet爆炸性增長，公共網絡上出現大量不可靠用戶，而絕大部分通訊流量卻要經過這些不安全的公共網絡，所以根本無法保證在網絡上發送和接受數據是安全可靠的。為了彌補網絡安全性缺失，同時不需要關注高層協議而具備通用性，Internet社區設計了一種在網絡互連協議（Internet?Protocol，IP）層提供安全性的協議，這個協議被稱作IP?Security，縮寫為IPSEC。

所述IPSEC的安全特性主要有：

1數據私密性，通過三重數據加密算法（Triple?Data?Encryption?Algorithm，3DES）、高級加密算法（Advanced?Encryption?Algorithm，AES）等加密算法對數據進行加解密，保證數據包在傳輸過程中，即使被截取，信息也無法被破解讀取；

2數據完整性，通過消息摘要算法第五版（Message?Digest?Algorithm，MD5）、安全散列算法（Secure?Hash?Algorithm，SHA）等算法對數據進行驗證，防止傳輸過程中數據被第三方篡改；

3數據抗重放性，通過序列號防止數據被截取后，通過大量復制重新傳送給目的端；

4不可否認性，發送方通過私鑰生成一個數字簽名并和數據一起發送，接收方可以通過公鑰驗證數字簽名。在理論上私鑰只有發送方擁有，所以可以通過數字簽名來防止發送方否認曾發送該消息。

所述IPSEC的關鍵概念主要有：

1安全關聯(Security?Associations，SA)，為安全傳輸創建的一個單向邏輯通道，所有經過同一個SA的數據會得到相同的安全服務。雙向數據需要通信實體之間維護一對SA。

2安全關聯數據庫(Security?Associations?Database，SAD)，用于存放與SA關聯的所有狀態數據結構；

3安全策略數據庫(Security?Policy?Database，SPD)，用于存放數據報文應用的安全服務以及獲取安全服務的方式；

4安全參數索引(Security?Parameters?Index，SPI)，一個隨認證頭/封裝安全載荷（IP?Authentication?Header/Encapsulate?Secure?Payload，AH/ESP）頭傳送的32bit數值，用于接收端識別數據和SA的綁定關系。

IPSEC并非一個單獨的協議，而是一系列協議和服務的集合。這些服務和集合一起來提供不同類型的安全保護。

IPSEC協議主要有：

1AH：為IP報文提供數據完整性、數據源認證和抗重發攻擊，但不為數據提供機密性，適合傳輸非機密性數據。其工作原理是發送方通過HMAC-MD5（以任意長度的比特串和密鑰作為輸入，輸出128位的完整性校驗值）或HMAC-SHA1算法（以任意長度的比特串和密鑰作為輸入，輸出160位的完整性校驗值）應用到報文數據內容生成認證數據，并將其附在報文中發送；接收方收到帶有認證數據的報文后，執行同樣的算法并和發送方的認證數據進行比較，如果傳輸過程中對數據的任何修改都可能導致比較失敗，這樣既可提供數據完整性保護。

AH會為每個數據報文添加一個身份驗證頭，格式為

Next?Header:8bit，描述AH認證頭下一個載荷的類型；

Payload?Length:8bit，AH認證頭長度，以4字節為單位減2；

Reserved:16bit，保留字段，留于后續擴展；

SPI:32bit，接收方將根據SPI查找對應SA；

Sequence?Number:32bit，單增序列號，唯一標識每個數據報文，提供抗重放攻擊；

Authenicaion?Data：通常96bit，完整性認證值。

2ESP：為IP報文提供機密性、數據完整性和抗重放攻擊。其工作原理是發送方通過DES、3DES和AES等算法對數據報文有效負載進行加密處理以避免其他用戶通過監聽來獲取數據報文的內容，接收方使用相同的密鑰對報文進行解密處理以恢復明文。ESP也提供數據完整性保護，但并不認證IP頭。ESP會為每個數據報文添加一個ESP報文頭和報文尾。