网际协议安全（IPSec）

网络与通信

丁弋军

由于因特网与局域网的发展，对网络安全的需要日益增加。值得关心的主要是网络通信在传输中的数据免遭修改、拦截、查看或被拦截时复制、被未经过身份验证的其他人员所访问等危险。网络保护策略通常只集中于使用防火墙、安全的路由器和用户访问的身份验证、实际网络线路免受访问和网络访问点不被利用，但这些保护策略并不能保护来自内部网络的攻击及保证数据在通过多个网络时被保护(因为有时传输必须在因特网上)。
Win2000中提供的IPSec通过采用加密安全服务，可确保IP网络的专用、安全通信；可以保护IP数据包及对网络攻击提供防卫。IPSec在网络层实现保护所有使用IP进行数据传输的应用程序和服务，并基于端对端的安全模式：发送计算机在传输之前加密数据，接收计算机在数据收到后才解密该数据。每台计算机在各自端口处理数据包，在资源和目标之间转发数据包的路由器并不需要支持IPSec。这种模式可成功地部署现有的企业方案(客户机/服务器、对等网、路由器/路由器、拨号上网客户机和从专用网络的因特网访问)。与在网络层之上操作的其他安全机制相比，这是一种改进，例如SSL(安全套接口层)，它只是保护使用SSL的应用。如果所有应用都需要保护，那么对每项应用的修改都是需要的。
IPSec在Win2000中由IPSec策略代理、ISAKMP/Oakley Key Management Service、IPSec驱动程序等组件构成。策略代理是位于每台Win2000计算机上的IPSec机制，随计算机启动而启动，并在策略指定的时间间隔内从Active Directory中检索或从该计算机的注册表中读取该策略，然后将策略信息发送到ISAKMP/Oakley服务、IPSec驱动程序和计算机注册表。ISAKMP/Oakley密钥管理服务驻留在运行Win2000的每台计算机上，由策略代理驱动，在IP数据报可从一台计算机传输到另一台计算机之前建立安全关联，产生实际密钥。它集合安全关联管理，降低了连接时间。IPSec驱动程序(IPSEC.SYS)也由策略代理驱动，并观察所有的IP数据报，用以匹配该计算机安全策略中的筛选器列表。如果发现了筛选器匹配，则发送计算机上的IPSec驱动程序将使用SA和共享的密钥加密该数据，并将它发送到接收计算机，接收计算机上的IPSec驱动程序解密被传输的数据，并将它传送到接收应用程序。
(（图1）)显示了运行Win2000的内部计算机A和B在通讯时IPSec的安全过程。