257
人物
IPSec協議
一.IPSec協議
IPSec(IP Security)是網絡安全協議的一個工業標準,IPSec主要功能是為IP通信提供加密和認證,為 IP 網絡通信提供透明的安全服務,保護
TCP/IP 通信免遭竊聽和篡改,可以有效抵禦網絡攻擊,同時保持易用性。
IPSec產生於IPv6的製定之中,用於提供IP層的安全性。由於所有支持TCP/IP協議的主機進行通信時,都要經過IP層的處理,所以提供了IP層的安全性就相當於為整個網絡提供了安全通信的基礎。鑒於IPv4的應用仍然很廣泛,所以後來在IPSec的製定中也增添了對IPv4的支持,是目前TCP/IP網絡的安全化協議標準。
IPSec協議是一組協議,它既可以作為一個完整的VPN方案,也可以與其他協議配合使用,如PPTP、L2TP。它工作在OSI第3層(網絡層),可以為上層應用提供一個安全的網絡連接,提供基於一種端-對-端的安全模式。
IPSec有兩種工作模式,一種是隧道模式,另一種是傳輸模式。傳輸模式隻對IP數據包的有效負載進行加密或認證,此時繼續使用原始IP頭部。傳輸模式對IP包的路由支持較好。隧道模式對整個IP數據包進行加密或認證。此時,需要新產生一個IP頭部,原來的IP頭被加密,有效地防止“中間人”攻擊。
二.IPSec中的三個主要協議
AH協議(Authentication Header)
AH協議為IP通信提供數據源認證和數據完整性檢驗,它能保護通信免受篡改,但並不加密傳輸內容,不能防止竊聽。AH聯合數據完整性保護並在發送接收端使用共享密鑰來保證身份的真實性;使用HASH算法在每一個數據包上添加一個身份驗證報頭來實現數據完整性檢驗。需要預約好收發兩端的HASH算法和共享密鑰。
ESP協議(Encapsulating Security Payload)
ESP主要區別於AH協議的是它的數據安全性保證,它使用預約好的加密算法和密鑰對IP包進行加密,防止竊聽。它也提供AH類似的數據源認證和數據完整性檢驗。AH協議與ESP協議可以聯合使用,也可以單獨使用。
Internet密鑰交換協議IKE(Internet Key Exchange)
無論實現AH或ESP還是兩者的聯合,收發端兩台計算機必須首先建立某種約定,這種約定,稱為"安全關聯",指雙方需要就如何保護信息、交換信息等公用的安全設置達成一致,更重要的是,必須有一種方法,使那兩台計算機安全地交換一套密鑰,以便在它們的連接中使用。
IKE協議主要是對密鑰交換進行管理,主要包括對使用的協議、加密算法和密鑰進行協商;建立可靠的密鑰交換機製。IKE是一個混合協議,它使用到了三個不同協議的相關部分:安全關聯和密鑰交換協議ISAKMP,密鑰確定協議Oakley和SKEME。
IPSec協議是一組協議,可以選擇其中一部分來組成特定的IPSec應用,同時選擇與之配套的加密和認證算法,IPSec協議與加密和認證算法是獨立的,這樣可以保持IPSec
VPN的靈活性和算法上的先進性。
最後更新:2017-01-04 22:34:51