综合讲解软交换设备中的安全机制
软交换设备还是比较常用的,于是我研究了一下软交换设备中的安全机制,在这里拿出来和大家分享一下,希望对大家有用。IPSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,故可以保证互通性,并且可以提供嵌套安全服务。
IPSec协议主要由AH(认证头)协议,ESP(封装安全载荷)协议和负责密钥管理的IKE(因特网密钥交换)协议三个协议组成。认证头(AH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。数据完整性可以通过校验码(MD5)来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。解释域(DOI)将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。
IPSec支持两种运行模式:传输模式和隧道模式。传输模式为上层协议提供安全保护,保护的是IP包的有效载荷,通常该模式用于端对端的安全通信。隧道模式由于是对整个IP包提供保护,故在IP包上再加报头,从而可以加强保护,通常该模式使用在至少一端是安全网关的时候。AH协议不对IP数据报进行加密,因此不提供机密性保护。但由于AH提供数据完整性校验、身份认证和防重放保护,因此提供IP认证,也可以为上层提供保护。
ESP协议除了提供数据完整性校验、身份认证和防重放保护外,同时提供加密。ESP的加密和认证是可选的,要求支持这两种算法中的至少一种算法,但不能同时置为空。根据要求,ESP协议必须支持下列算法:
(1)使用CBC模式的DES算法
(2)使用MD5的HMAC算法
(3)使用SHA-1的HMAC算法
(4)空认证算法
(5)空加密算法
AH协议和ESP协议在使用中都涉及到密钥管理。IKE协议主要在通信双方建立连接时规定使用的IPSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。IKE采用自动模式进行管理,IKE的实现可支持协商虚拟专业网(VPN),也可从用于在事先并不知道的远程访问接入方式。
如果低层协议不支持IPSec,则应建议采用过渡性AH方案,过渡性AH方案是在H.248协议头中定义可选的AH头来实现对协议连接的保护,过渡性AH方案只能提供一定程度的保护,例如该方案不能提供防窃听保护。