12-11 IPSec 安全關聯
12-11-1 安全關聯的特性 『安全關聯』(Security Association, SA)是 IPSec 中重要的觀念。由前面所介紹的 AH 與 ESP 協定當中,可以發現所有通訊行為都必須依照雙方事先所協議的 SA 安全參數;到底 SA 是何種東西?相信是讀者最迫切想知道的答案。其實 SA 是資料庫(SAD)中的某一筆記錄,登錄所需的安全機制,譬如,安全協定(AH 或 ESP)、操作模式(傳輸或通道模式)、認證演算法(HMAC-MD5, …)、加密系統(DES-CBC, …)、或共享秘密金鑰等等。至於 SA 是如何建立的,將於下一章再介紹,在此先介紹 SA 的特性及相關參數,其特性歸納如下:
12-11-2 安全關聯的功能 依照 IPSec 協定的特性,安全關聯(SA)提供有下列功能:
由以上的介紹,我們可以做簡單的結論:AH SA 協定主要是訴求來源資料認證;而 ESP SA 較著重於資料隱密性功能;但是AH 與 ESP 都具有資料完整性的功能。如果通訊連線需要資料來源認證與資料隱密性功能,則必須由 AH SA 與 ESP SA 兩個安全關聯來描述,亦即必須同時經過 AH 與 ESP 封裝包裝。 12-11-3 安全關聯的組合 IPSec 不僅有 AH 與 ESP 兩種協定,而且每一種協定又有兩種操作模式,因此IPSec 協定就有 AH 傳輸、AH 通道、ESP 傳輸、ESP 通道等四種運作模式,其中每一種運作模式都需要獨立的 SA 來制定其安全政策。至於一個通訊連線也許需要多個 SA 來描述其安全機制,這多筆 SA 就稱為『安全關聯束』(SA Bundle),不同環境需求,可能出現不同的組合方式,基本上可歸納為『傳輸串接』(Transport Adjacency)與『反覆通道』(Iterated Tunneling)兩種組合方式,以下分述之。 【(A)傳輸串接】 『傳輸串接』是針對同一個 IP 封包做多次傳輸模式的操作,其中並沒有實現通道模式。在這種模式下,通訊連線也許會經由多個 AH 與 ESP 協定的傳輸模式包裝,每一層次的包裝皆是針對一個特殊路徑。圖 12-20 (a) 為傳輸串接組合的範例,其外層的安全關聯是利用 AH Transport 包裝,而內層是 ESP Transport 包裝,如果由封包結構來看,就好像傳輸模式的封包標頭串接起來的樣子,如圖 12-20 (b) 所示。
圖 12-20 傳輸串接組合之範例 【(B)反覆通道】 『反覆通道』是利用多層次的 IPSec 通道(Tunneling)做安全防護,這種多層次是以巢狀包裝方式。也就是說,最外層包裝內層協定封包,下一層再包裝下一個內層的協定封包,依此類推,達成反覆的(Iterated)封包包裝。反覆通道的安全關聯模式有下列三種:
圖 12-21 反覆通道 SA 模式之一
圖 12-22反覆通道 SA 模式之二
圖 12-23 反覆通道 SA 模式之三 |
翻轉工作室:粘添壽
資訊與網路安全技術
翻轉電子書系列:
|