257
人物
IPSec协议
一.IPSec协议
IPSec(IP Security)是网络安全协议的一个工业标准,IPSec主要功能是为IP通信提供加密和认证,为 IP 网络通信提供透明的安全服务,保护
TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
IPSec产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持,是目前TCP/IP网络的安全化协议标准。
IPSec协议是一组协议,它既可以作为一个完整的VPN方案,也可以与其他协议配合使用,如PPTP、L2TP。它工作在OSI第3层(网络层),可以为上层应用提供一个安全的网络连接,提供基于一种端-对-端的安全模式。
IPSec有两种工作模式,一种是隧道模式,另一种是传输模式。传输模式只对IP数据包的有效负载进行加密或认证,此时继续使用原始IP头部。传输模式对IP包的路由支持较好。隧道模式对整个IP数据包进行加密或认证。此时,需要新产生一个IP头部,原来的IP头被加密,有效地防止“中间人”攻击。
二.IPSec中的三个主要协议
AH协议(Authentication Header)
AH协议为IP通信提供数据源认证和数据完整性检验,它能保护通信免受篡改,但并不加密传输内容,不能防止窃听。AH联合数据完整性保护并在发送接收端使用共享密钥来保证身份的真实性;使用HASH算法在每一个数据包上添加一个身份验证报头来实现数据完整性检验。需要预约好收发两端的HASH算法和共享密钥。
ESP协议(Encapsulating Security Payload)
ESP主要区别于AH协议的是它的数据安全性保证,它使用预约好的加密算法和密钥对IP包进行加密,防止窃听。它也提供AH类似的数据源认证和数据完整性检验。AH协议与ESP协议可以联合使用,也可以单独使用。
Internet密钥交换协议IKE(Internet Key Exchange)
无论实现AH或ESP还是两者的联合,收发端两台计算机必须首先建立某种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。
IKE协议主要是对密钥交换进行管理,主要包括对使用的协议、加密算法和密钥进行协商;建立可靠的密钥交换机制。IKE是一个混合协议,它使用到了三个不同协议的相关部分:安全关联和密钥交换协议ISAKMP,密钥确定协议Oakley和SKEME。
IPSec协议是一组协议,可以选择其中一部分来组成特定的IPSec应用,同时选择与之配套的加密和认证算法,IPSec协议与加密和认证算法是独立的,这样可以保持IPSec
VPN的灵活性和算法上的先进性。
最后更新:2017-01-04 22:34:51